CN107835201A - 网络攻击检测方法及装置 - Google Patents
网络攻击检测方法及装置 Download PDFInfo
- Publication number
- CN107835201A CN107835201A CN201711371958.1A CN201711371958A CN107835201A CN 107835201 A CN107835201 A CN 107835201A CN 201711371958 A CN201711371958 A CN 201711371958A CN 107835201 A CN107835201 A CN 107835201A
- Authority
- CN
- China
- Prior art keywords
- data stream
- current data
- current
- behavior
- sliding window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种网络攻击检测方法及装置,涉及云计算技术领域。所述网络攻击检测方法包括:获取网络中的当前数据流;基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;在为否时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;在为否时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。本发明通过采用嵌套式滑动窗口遗传算法频繁模式挖掘模型,能够有效解决当前数据流上基于单次扫描的频繁模式挖掘准确性不高,网络数据高速增长所导致的数据不及时处理以及云计算环境网络复杂化引起的常规入侵检测技术准确性降低的问题。
Description
技术领域
本发明涉及云计算技术领域,具体而言,涉及一种网络攻击检测方法及装置。
背景技术
随着各种网络技术的发展成熟,基于互联网的云计算全新服务模式得到了空前的发展,在最具权威的IT研究顾问咨询公司Gartner发布的“IT行业十大战略技术”报告中,“云计算”连续几年被评为前沿技术,同时也是2017年技术报告中人工智能等新技术的重要基础。
在云计算模式下,IT效率提高、成本节省等优势吸引大量数据朝着云平台中聚集,一方面带来了应用便利,另一方面这也大大提高了平台被攻击的风险。许多的恶意攻击行为(如APT攻击等)隐藏在大规模的网络流量中,对云平台或核心的数据进行攻击或窃取。因此,如何有效检测云平台下恶意行为并进行有效防护,进而确保云平台下机密数据的安全,是目前信息安全领域亟待解决的关键问题。
国内外针对云平台安全展开了大量的理论研究,研究包含适应于云环境的入侵检测模型、分布式入侵检测系统(Distributed intrusion detection systems,DIDS)、基于虚拟化的监控技术、基于数据挖掘的未知攻击检测算法等几个方面。以Snort为代表的入侵检测(Intrusion Detection System,IDS)模型通过对抓取到的数据包进行分析、按配置的规则进行检测并做出响应从而保证云平台的安全。为了提升对云平台攻击的实时检测效率,国内外研究人员开始着力研究分布式入侵检测系统,分布式入侵检测系统是一种通过将检测点分布在不同的位置,在核心层融合多IDS节点的警报信息进行分析的入侵检测系统。基于虚拟化的监控技术为云环境下的恶意行为分析提供必要的支撑,根据监控系统的部署位置,基于虚拟化的监控系统分为两类:一类是系统内部监控,另一类是系统外部监控。内部监控是指监控系统驻留在目标虚拟机内部,通过虚拟机监控器的高级特权保护监控系统的完整性,典型的内部监控系统有SIM和Lares。基于虚拟化的外部监控是将监控系统部署于被监控虚拟机外部,通过虚拟机监控器的高控制权来完成对虚拟机内部内核数据结构的监控,典型监控系统有VMDriver。利用数据挖掘技术实现对未知攻击的检测是云平台安全的重要保障,常见的应用于入侵检测的数据挖掘算法有关联规则、序列分析等。
以Snort为代表的传统入侵检测系统虽然在一定程度上保证了云平台的安全,但这种模式存在网络规则配置不灵活等一系列的问题,此外由于云平台规模的急剧扩展使得网络拓扑结构复杂化、网络流量迅猛增长,而在传统的入侵检测系统中过滤设备和路由设备完全分离,从而很难实现统一快速的防护。
当前网络数据高速增长,导致数据不能及时处理;计算环境网络复杂化,致攻击维度高引起的常规入侵检测技术准确性降低,当前数据流上基于单次扫描的频繁模式挖掘准确性不高。
发明内容
本发明的目的在于提供一种网络攻击检测方法及装置,其能够有效改善上述问题。
本发明的实施例是这样实现的:
第一方面,本发明实施例提供了一种网络攻击检测方法,所述方法包括:获取网络中的当前数据流;基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;在为否时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;在为否时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
第二方面,本发明实施例还提供了一种网络攻击检测装置,其包括获取模块,用于获取网络中的当前数据流;一级检测模块,用于基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;二级检测模块,用于在所述当前数据流的行为不为异常时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;提取模块,用于在所述当前数据流的行为异常时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
本发明实施例提供的网络攻击检测方法及装置,首先获取网络中的当前数据流;然后,基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;在为否时,再通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;在为否时,提取所述当前数据流的行为特征,并在最后将所述行为特征加入所述恶意行为攻击特征库。本发明通过两级检测,能够解决网络数据流中的已知攻击的检测效率,以及实现网络数据流中的未知攻击的挖掘,有效改善了当前数据流上基于单次扫描的频繁模式挖掘准确性不高,网络数据高速增长所导致的数据不及时处理以及云计算环境网络复杂化引起的常规入侵检测技术准确性降低的问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为一种可应用于本发明实施例中的电子设备的结构框图;
图2为本发明第一实施例提供的网络攻击检测方法的流程框图;
图3为本发明第一实施例中步骤S210的子步骤流程框图;
图4为本发明第一实施例提供的步骤S400的流程框图;
图5为本发明第一实施例提供的步骤S500的流程框图;
图6为本发明第一实施例中步骤S220的子步骤流程框图;
图7为本发明第二实施例提供的网络攻击检测装置的结构框图;
图8为本发明第二实施例提供的一级检测模块的结构框图;
图9为本发明第二实施例提供的第二种网络攻击检测装置的结构框图;
图10为本发明第二实施例提供的第三种网络攻击检测装置的结构框图;
图11为本发明第二实施例提供的二级检测模块的结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清晰、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
图1示出了一种可应用于本申请实施例中的电子设备100的结构框图。如图1所示,电子设备100可以包括存储器110、存储控制器120、处理器130、显示屏幕140和网络攻击检测装置。例如,该电子设备100可以为个人电脑(personal computer,PC)、平板电脑、智能手机、个人数字助理(personal digital assistant,PDA)等。
存储器110、存储控制器120、处理器130、显示屏幕140各元件之间直接或间接地电连接,以实现数据的传输或交互。例如,这些元件之间可以通过一条或多条通讯总线或信号总线实现电连接。所述网络攻击检测方法分别包括至少一个可以以软件或固件(firmware)的形式存储于存储器110中的软件功能模块,例如所述网络攻击检测装置包括的软件功能模块或计算机程序。
存储器110可以存储各种软件程序以及模块,如本申请实施例提供的网络攻击检测方法及装置对应的程序指令/模块。处理器130通过运行存储在存储器110中的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现本申请实施例中的网络攻击检测方法。存储器110可以包括但不限于随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器130可以是一种集成电路芯片,具有信号处理能力。上述处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(NetworkProcessor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本发明实施例中所应用的电子设备100为实现网络攻击检测方法,还可以具备自显示功能,其中的显示屏幕140可以在所述电子设备100与用户之间提供一个交互界面(例如用户操作界面)或用于显示图像数据给用户参考。例如,可以显示网络攻击检测装置获取的流量信息。
在介绍本发明的具体实施例之前首先需要说明的是,本发明是计算机技术在云计算技术领域的一种应用。在本发明的实现过程中,会涉及到多个软件功能模块的应用。申请人认为,如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后,在结合现有公知技术的情况下,本领域技术人员完全可以运用其掌握的软件编程技能实现本发明,凡本发明申请文件提及的软件功能模块均属此范畴,申请人不再一一列举。
第一实施例
请参照图2,本实施例提供了一种网络攻击检测方法,所述方法包括:
步骤S200:获取网络中的当前数据流;
本实施例中,可以通过SDN框架下的OpenFlow交换机实时获取可能包含有正常流量、攻击流量以及恶意流量的所述当前数据流。
步骤S210:基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;
本实施例中,所述恶意行为攻击特征库可以是经过机器学习或深度学习模型对网络流量进行训练获得的,可以理解的是,所述恶意行为供给特征库中包含有大量的正常行为流量特征组成的正常行为模式库,以及异常行为流量特征组成的异常行为模式库,通过将所述当前数据流的行为与所述恶意行为攻击特征库中存在的已知行为进行对比,即可判断所述当前数据流的行为是正常,还是异常,或是无法判别所述当前数据流的行为是否异常。
在步骤S210的判断结果为否时,执行步骤S220;
步骤S220:通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;
本实施例中,如果经过步骤S210判断出所述当前数据流的行为不为异常,即所述当前数据流的行为是已知的正常行为,或未知的无法判断的行为时,可以进行步骤S220,进行第二级的检测。此时,通过滑动窗口遗传算法频繁模式挖掘模型NSWGM(Nested SlidingWindow Genetic Model),以及基于核密度估计的大数据环境下数据流异常点检测模型,即可对不确定行为是否正常的数据流进行学习分析和深度挖掘,更准确的判断所述当前数据流是否正常。
在步骤S220的判断结果为否时,执行步骤S230;
步骤S230:提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
本实施例中,步骤S220的判断结束时可以向用户反馈结果。当所述判断结果为否时,即所述当前数据流的行为异常时,可将该数据流的特征提取出来,并添加到所述恶意行为攻击特征库中,以对所述恶意行为攻击特征库中的异常行为模式库进行增量更新。特别的,当所述当前数据流的行为正常时,也可以将其添加到所述恶意行为攻击特征库中,以对所述恶意行为攻击特征库中的正常行为模式库进行增量更新。
本实施例中,所述滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型共同构成训练学习期,可以利用该训练学习器对不确定数据进行学习分析和深度挖掘,对所述恶意行为攻击特征库中的正常行为模式库和异常行为模式库进行增量更新。其核心在于知识库的形成和学习过程的构建,也就是多维模式下的用户访问模式库的构建和特征事件的筛选,即多维数据流的频繁模式挖掘和查询过程。
在流式计算中,当数据流到来后直接在内存中进行数据的实时计算,数据延迟较短,实时性强,能够及时反馈结果,本实施例在流式计算的基础上进行,可以有效改善当前网络数据高速增长所导致的数据不能及时处理,以及云计算环境网络复杂化所导致攻击维度高引起的常规入侵检测技术准确性降低的现状。
请参照图3,本实施例中,进一步的,所述步骤S210可以包括如下子步骤:
步骤S300:利用模式生成器挖掘所述当前数据流,获得所述当前数据流的当前行为特征;
步骤S310:通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询,判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
在步骤S310的判断结果为否时,执行步骤S320;
步骤S320:表征所述当前数据流的行为不为异常。
本实施例中,可通过数据流增量查询模型来匹配特征库,如果流量异常(有恶意行为)则生成所述恶意行为检测结果,并将所述恶意行为检测结果发送给SDN框架内中SDN控制器,通过所述SDN控制器制定规则并以流表形式下发给OpenFlow交换机来将该流量丢弃(或拦截),如果是正常流量则通过基于滑动窗口频繁模式挖掘模型和基于核密度估计的异常点检测模型来判断该流量是否正常,如果正常,不需要任何操作,如果是异常,则将该流量特征添加进攻击特征库。
为了解决现有技术中由于数据流增量更新快所导致的查询效率和实时性相对不足的问题,本实施例通过在精确数据流查询语言PQSAL的基础上提出一种数据流增量查询模型。当数据更新时对增量进行维护,从而在数据流处理过程中实时的向用户呈现各类特定查询的增量,不需要再对更新数据集的查询结果进行重新计算,在一遍扫描的过程中得出查询结果,保证查询操作的实时性。同时在数据流增量查询的基础上以更低的计算成本进行模式匹配、相关性分析等数据流挖掘工作。
请参照图4,本实施例中,进一步的,在所述步骤S300之后,还可以包括如下步骤:
步骤S400:基于所述当前行为特征构建攻击图谱,并基于所述攻击图谱建立所述恶意行为攻击特征库。
本实施例中,本实施例中,可通过步骤S300中的模式生成器挖掘出所述当前数据流中的行为特征,再构建出攻击图谱,通过收集大量的数据流对应的攻击图谱,即可以构建出所述恶意行为攻击特征库。
请参照图5,本实施例中,进一步的,在所述步骤S210之后,且步骤S210的判断结果为是时,还可以包括如下步骤:
步骤S500:表征当前存在网络攻击,将所述当前数据流进行丢弃。
本实施例中,可通过数据流增量查询模型来匹配特征库,如果流量异常(有恶意行为)则生成所述恶意行为检测结果,并将所述恶意行为检测结果发送给SDN框架内中SDN控制器,通过所述SDN控制器制定规则并以流表形式下发给OpenFlow交换机来将该流量丢弃(或拦截)。
请参照图6,本实施例中,进一步的,所述步骤S220可以包括如下子步骤:
步骤S600:采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
步骤S610:对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
步骤S620:使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式;
本实施例中,所采用的基于滑动窗口的频繁模式挖掘,是对网络中的流量进行频繁模式(相同的数据流频繁出现)的挖掘,如果网络中同一种数据流频繁出现,说明该数据流是有问题的,即该数据流为异常的,而该数据流本身是不具备攻击特征的,因此难以被现有的攻击检测模型所检测出来。
为了解决现有技术中的数据流基于单次扫描的频繁模式挖掘准确性不高的问题,本实施例通过在云计算并行计算技术的基础上采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM(Nested Sliding Window Genetic Model),首先利用滑动窗口技术扫描近期当前数据流,并对当前窗口内的数据流进行分块,形成嵌套数据子窗口群,使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,然后合并扫描嵌套子窗口上的块频繁模式,形成当前滑动窗口中的频繁模式。
该嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM输入的是滑动窗口中的数据流,输出的结果是数据流动态流动过程中的最近频繁项集。模型由三个主要部分组成:一是对数据流滑动窗口中嵌套数据子窗口的最新数据使用并行遗传算法挖掘频繁项集;二是将各个嵌套数据子窗口的频繁项集合并扫描,获得当前滑动窗口内数据的最终频繁项集;三是随着滑动窗口中的新数据流入和旧数据流出,旧数据流被周期性删除,形成新的窗口数据集,重复一二步骤的操作,直到数据流停止。
步骤S630:通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点;
在步骤S630的判断结果为是时,执行步骤S640;
步骤S640:表征所述当前数据流的行为异常。
在在异常点检测方面,本实施例采用基于核密度估计的大数据环境下数据流异常点检测方法,首先采用Epanechnikov核函数估计待处理数据的核密度,降低数据维度、减小计算量。同时,考虑到流数据的海量、动态性,在流数据挖掘和分析中仅关注最近数据的特点,本项目拟在基于核密度估计的数据流异常点挖掘模型中采用指数衰减技术,将基核函数的权重根据数据所在滑动窗口中的顺序进行动态调整,对核密度函数进行更新,保证数据的有效性。最后,考虑数据流传输的开销,本项目拟在基于核密度估计的数据流异常点挖掘模型中引入散度模型对数据传输开销进行监控,在大数据分析体系架构中,如果子结点接收流数据的概率分布模型没有发生显著变化且该数据点不是局部异常点时,则不需要将这些流数据传送给协调结点。同理,协调结点中全局数据的概率分布模型没有发生显著变化时,则不需要将其概率分布发送给所有的结点。从系统的宏观角度上减少不必要的通信开销,减轻系统负担。
本实施例提供的网络攻击检测方法,基于流式计算,在云计算并行计算技术的基础上采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM,能够有效解决当前数据流上基于单次扫描的频繁模式挖掘准确性不高,以及网络数据高速增长所导致的数据不能及时处理,和云计算环境网络复杂化所导致攻击维度高引起的常规入侵检测技术准确性降低的问题。
第二实施例
请参照图7,本实施例提供了一种网络攻击检测装置700,其包括:
获取模块710,用于获取网络中的当前数据流;
一级检测模块720,用于基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;
二级检测模块730,用于在所述当前数据流的行为不为异常时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;
提取模块740,用于在所述当前数据流的行为异常时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
请参照图8,本实施例中,进一步的,所述一级检测模块720还可以包括如下单元:
挖掘单元721,用于利用模式生成器挖掘所述当前数据流,获得所述当前数据流的当前行为特征;
查询单元722,用于通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询,判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
第一表征单元723,用于在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为不匹配时,表征所述当前数据流的行为不为异常。
请参照图9,本实施例中,进一步的,所述网络攻击检测装置700还可以包括如下模块:
特征库模块750,用于基于所述当前行为特征构建攻击图谱,并基于所述攻击图谱建立所述恶意行为攻击特征库。
请参照图10,本实施例中,进一步的,所述网络攻击检测装置700还可以包括如下模块:
丢弃模块760,用于在基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为异常时,表征当前存在网络攻击,将所述当前数据流进行丢弃。
请参照图11,本实施例中,进一步的,所述二级检测模块730还可以包括如下单元:
扫描单元731,用于采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
分块单元732,用于对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
频繁单元733,用于使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式
核密度单元734,用于通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点;
第二表征单元735,用于在所述当前滑动窗口中的频繁模式中存在异常点时,表征所述当前数据流的行为异常。
综上所述,本发明实施例提供的网络攻击检测方法及装置,首先获取网络中的当前数据流;然后,基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;在为否时,再通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;在为否时,提取所述当前数据流的行为特征,并在最后将所述行为特征加入所述恶意行为攻击特征库。本发明通过两级检测,能够解决网络数据流中的已知攻击的检测效率,以及实现网络数据流中的未知攻击的挖掘,有效改善了当前数据流上基于单次扫描的频繁模式挖掘准确性不高,网络数据高速增长所导致的数据不及时处理以及云计算环境网络复杂化引起的常规入侵检测技术准确性降低的问题。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络攻击检测方法,其特征在于,所述方法包括:
获取网络中的当前数据流;
基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;
在为否时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;
在为否时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
2.根据权利要求1所述的方法,其特征在于,基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常,包括:
利用模式生成器挖掘所述当前数据流,获得所述当前数据流的当前行为特征;
通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询,判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
其中,在为不匹配时,表征所述当前数据流的行为不为异常。
3.根据权利要求2所述的方法,其特征在于,在利用模式生成器挖掘所述当前数据流,获得所述当前数据流的当前行为特征之后,所述方法还包括:
基于所述当前行为特征构建攻击图谱,并基于所述攻击图谱建立所述恶意行为攻击特征库。
4.根据权利要求1-3中任一权项所述的方法,其特征在于,在基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常之后,所述方法还包括:
在为是时,表征当前存在网络攻击,将所述当前数据流进行丢弃。
5.根据权利要求1-3中任一权项所述的方法,其特征在于,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常,包括:
采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式;
通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点;
在为是时,表征所述当前数据流的行为异常。
6.一种网络攻击检测装置,其特征在于,所述装置包括:
获取模块,用于获取网络中的当前数据流;
一级检测模块,用于基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为是否异常;
二级检测模块,用于在所述当前数据流的行为不为异常时,通过滑动窗口遗传算法频繁模式挖掘模型以及基于核密度估计的异常点检测模型判断所述当前数据流的行为是否正常;
提取模块,用于在所述当前数据流的行为异常时,提取所述当前数据流的行为特征,并将所述行为特征加入所述恶意行为攻击特征库。
7.根据权利要求6所述的装置,其特征在于,所述一级检测模块包括:
挖掘单元,用于利用模式生成器挖掘所述当前数据流,获得所述当前数据流的当前行为特征;
查询单元,用于通过数据流增量查询模型在预先建立的恶意行为攻击特征库中查询,判断所述当前行为特征是否与所述恶意行为攻击特征库中的恶意行为匹配;
第一表征单元,用于在所述当前行为特征与所述恶意行为攻击特征库中的恶意行为不匹配时,表征所述当前数据流的行为不为异常。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
特征库模块,用于基于所述当前行为特征构建攻击图谱,并基于所述攻击图谱建立所述恶意行为攻击特征库。
9.根据权利要求6-8中任一权项所述的装置,其特征在于,所述装置还包括:
丢弃模块,用于在基于预先建立的恶意行为攻击特征库,判断所述当前数据流的行为异常时,表征当前存在网络攻击,将所述当前数据流进行丢弃。
10.根据权利要求6-8中任一权项所述的装置,其特征在于,所述二级检测模块包括:
扫描单元,用于采用嵌套式滑动窗口遗传算法频繁模式挖掘模型NSWGM并利用滑动窗口技术扫描所述当前数据流,获得当前滑动窗口数据流;
分块单元,用于对所述当前滑动窗口数据流进行分块,形成嵌套数据子窗口群;
频繁单元,用于使用并行遗传算法挖掘每个嵌套数据子窗口中的频繁项集,并合并扫描嵌套子窗口上的块频繁模式,获得当前滑动窗口中的频繁模式;
核密度单元,用于通过基于核密度估计的异常点检测模型判断所述当前滑动窗口中的频繁模式中是否存在异常点;
第二表征单元,用于在所述当前滑动窗口中的频繁模式中存在异常点时,表征所述当前数据流的行为异常。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711371958.1A CN107835201A (zh) | 2017-12-14 | 2017-12-14 | 网络攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711371958.1A CN107835201A (zh) | 2017-12-14 | 2017-12-14 | 网络攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107835201A true CN107835201A (zh) | 2018-03-23 |
Family
ID=61645188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711371958.1A Pending CN107835201A (zh) | 2017-12-14 | 2017-12-14 | 网络攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107835201A (zh) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108630312A (zh) * | 2018-05-11 | 2018-10-09 | 北京诺道认知医学科技有限公司 | 一种高血压诊断规则库自动生成方法及装置 |
| CN108718249A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络加速方法、装置与计算机可读存储介质 |
| CN108718296A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络管控方法、装置与计算机可读存储介质 |
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN109286622A (zh) * | 2018-09-26 | 2019-01-29 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
| CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110809009A (zh) * | 2019-12-12 | 2020-02-18 | 江苏亨通工控安全研究院有限公司 | 一种应用于工控网络的两级入侵检测系统 |
| CN111343210A (zh) * | 2020-05-21 | 2020-06-26 | 上海飞旗网络技术股份有限公司 | 一种基于快速模式匹配的加密流量检测方法及装置 |
| CN111654482A (zh) * | 2020-05-25 | 2020-09-11 | 泰康保险集团股份有限公司 | 一种异常流量的检测方法、装置、设备及介质 |
| CN112257062A (zh) * | 2020-12-23 | 2021-01-22 | 北京金睛云华科技有限公司 | 一种基于频繁项集挖掘的沙箱知识库生成方法和装置 |
| CN112769869A (zh) * | 2021-02-09 | 2021-05-07 | 浙江工商大学 | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 |
| CN112801157A (zh) * | 2021-01-20 | 2021-05-14 | 招商银行股份有限公司 | 扫描攻击的检测方法、装置和计算机可读存储介质 |
| CN113159992A (zh) * | 2021-04-23 | 2021-07-23 | 全球能源互联网研究院有限公司 | 一种闭源电力工控系统行为模式的分类方法及装置 |
| CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN113746781A (zh) * | 2020-05-28 | 2021-12-03 | 深信服科技股份有限公司 | 一种网络安全检测方法、装置、设备及可读存储介质 |
| CN116155548A (zh) * | 2022-12-22 | 2023-05-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102662642A (zh) * | 2012-04-20 | 2012-09-12 | 浪潮电子信息产业股份有限公司 | 一种基于嵌套滑动窗口和遗传算法的并行处理方法 |
| CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
| US20160034640A1 (en) * | 2014-07-30 | 2016-02-04 | Sequenom, Inc. | Methods and processes for non-invasive assessment of genetic variations |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN107040517A (zh) * | 2017-02-22 | 2017-08-11 | 南京邮电大学 | 一种面向云计算环境的认知入侵检测方法 |
-
2017
- 2017-12-14 CN CN201711371958.1A patent/CN107835201A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102662642A (zh) * | 2012-04-20 | 2012-09-12 | 浪潮电子信息产业股份有限公司 | 一种基于嵌套滑动窗口和遗传算法的并行处理方法 |
| US20160034640A1 (en) * | 2014-07-30 | 2016-02-04 | Sequenom, Inc. | Methods and processes for non-invasive assessment of genetic variations |
| CN105488393A (zh) * | 2014-12-27 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种基于数据库蜜罐的攻击行为意图分类方法及系统 |
| CN105187411A (zh) * | 2015-08-18 | 2015-12-23 | 福建省海峡信息技术有限公司 | 一种分布式异常检测网络数据流的方法 |
| CN107040517A (zh) * | 2017-02-22 | 2017-08-11 | 南京邮电大学 | 一种面向云计算环境的认知入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 杨宜东等: ""基于核密度估计的分布数据流离群点检测"", 《计算机研究与发展》 * |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019205282A1 (zh) * | 2018-04-27 | 2019-10-31 | 广州西麦科技股份有限公司 | 基于sdn网络的网络管控方法、装置与计算机可读存储介质 |
| CN108718249A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络加速方法、装置与计算机可读存储介质 |
| CN108718296A (zh) * | 2018-04-27 | 2018-10-30 | 广州西麦科技股份有限公司 | 基于sdn网络的网络管控方法、装置与计算机可读存储介质 |
| CN108630312A (zh) * | 2018-05-11 | 2018-10-09 | 北京诺道认知医学科技有限公司 | 一种高血压诊断规则库自动生成方法及装置 |
| CN109088869A (zh) * | 2018-08-14 | 2018-12-25 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN109088869B (zh) * | 2018-08-14 | 2021-09-28 | 北京科东电力控制系统有限责任公司 | Apt攻击检测方法及装置 |
| CN109286622B (zh) * | 2018-09-26 | 2021-04-20 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
| CN109286622A (zh) * | 2018-09-26 | 2019-01-29 | 天津理工大学 | 一种基于学习规则集的网络入侵检测方法 |
| CN110213287B (zh) * | 2019-06-12 | 2020-07-10 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110213287A (zh) * | 2019-06-12 | 2019-09-06 | 北京理工大学 | 一种基于集成机器学习算法的双模式入侵检测装置 |
| CN110809009A (zh) * | 2019-12-12 | 2020-02-18 | 江苏亨通工控安全研究院有限公司 | 一种应用于工控网络的两级入侵检测系统 |
| WO2021196691A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN111343210A (zh) * | 2020-05-21 | 2020-06-26 | 上海飞旗网络技术股份有限公司 | 一种基于快速模式匹配的加密流量检测方法及装置 |
| CN111654482A (zh) * | 2020-05-25 | 2020-09-11 | 泰康保险集团股份有限公司 | 一种异常流量的检测方法、装置、设备及介质 |
| CN111654482B (zh) * | 2020-05-25 | 2022-06-07 | 泰康保险集团股份有限公司 | 一种异常流量的检测方法、装置、设备及介质 |
| CN113746781A (zh) * | 2020-05-28 | 2021-12-03 | 深信服科技股份有限公司 | 一种网络安全检测方法、装置、设备及可读存储介质 |
| CN112257062A (zh) * | 2020-12-23 | 2021-01-22 | 北京金睛云华科技有限公司 | 一种基于频繁项集挖掘的沙箱知识库生成方法和装置 |
| CN112801157A (zh) * | 2021-01-20 | 2021-05-14 | 招商银行股份有限公司 | 扫描攻击的检测方法、装置和计算机可读存储介质 |
| CN112769869A (zh) * | 2021-02-09 | 2021-05-07 | 浙江工商大学 | 一种基于贝叶斯攻击图的sdn网络安全预测方法及对应系统 |
| CN113159992A (zh) * | 2021-04-23 | 2021-07-23 | 全球能源互联网研究院有限公司 | 一种闭源电力工控系统行为模式的分类方法及装置 |
| CN113242258A (zh) * | 2021-05-27 | 2021-08-10 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN113242258B (zh) * | 2021-05-27 | 2023-11-14 | 安天科技集团股份有限公司 | 一种主机集群的威胁检测方法和装置 |
| CN116155548A (zh) * | 2022-12-22 | 2023-05-23 | 新浪技术(中国)有限公司 | 一种威胁识别方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107835201A (zh) | 网络攻击检测方法及装置 | |
| CN107992746A (zh) | 恶意行为挖掘方法及装置 | |
| CN103870751B (zh) | 入侵检测方法及系统 | |
| CN106341414B (zh) | 一种基于贝叶斯网络的多步攻击安全态势评估方法 | |
| CN105740712B (zh) | 基于贝叶斯网络的Android恶意行为检测方法 | |
| CN104660594B (zh) | 一种面向社交网络的虚拟恶意节点及其网络识别方法 | |
| Liu et al. | Discovering spatio-temporal causal interactions in traffic data streams | |
| CN111460167A (zh) | 基于知识图谱定位排污对象的方法及相关设备 | |
| CN107517216A (zh) | 一种网络安全事件关联方法 | |
| CN105553998A (zh) | 一种网络攻击异常检测方法 | |
| CN103714185B (zh) | 主题事件更新方法库及城市多源时空信息并行更新方法 | |
| CN107438052A (zh) | 一种面向未知工业通信协议规约的异常行为检测方法 | |
| CN108123939A (zh) | 恶意行为实时检测方法及装置 | |
| CN105471882A (zh) | 一种基于行为特征的网络攻击检测方法及装置 | |
| CN106202665B (zh) | 基于域映射与加权关联规则的早期故障根原因识别方法 | |
| CN110290120A (zh) | 一种云平台的时序演化网络安全预警方法 | |
| CN103414711A (zh) | 基于信任的网络群体异常感知方法 | |
| CN108062860A (zh) | 基于拥塞传播分析的道路瓶颈识别方法及其系统 | |
| CN105183659B (zh) | 基于多级模式预测的软件系统行为异常检测方法 | |
| CN108900467A (zh) | 一种基于Docker的自动化蜜罐搭建及威胁感知的方法 | |
| CN105654144A (zh) | 一种基于机器学习的社交网络本体构建方法 | |
| WO2020101128A1 (ko) | 딥러닝을 이용한 셰일가스 생산량 예측방법 | |
| CN103577514A (zh) | 用于自动数据探索的方法和装置 | |
| CN104113544A (zh) | 基于模糊隐条件随机场模型的网络入侵检测方法及系统 | |
| CN106060039A (zh) | 一种面向网络异常数据流的分类检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180323 |
|
| RJ01 | Rejection of invention patent application after publication |