CN109246027B - 一种网络维护的方法、装置和终端设备 - Google Patents
一种网络维护的方法、装置和终端设备 Download PDFInfo
- Publication number
- CN109246027B CN109246027B CN201811095010.2A CN201811095010A CN109246027B CN 109246027 B CN109246027 B CN 109246027B CN 201811095010 A CN201811095010 A CN 201811095010A CN 109246027 B CN109246027 B CN 109246027B
- Authority
- CN
- China
- Prior art keywords
- message
- processed
- sequence
- message sequence
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明属于计算机技术领域,公开了一种网络维护的方法、装置和终端设备。本发明公开的网络维护的方法包括,将各待处理报文进行划分生成各待处理报文序列;分别根据每一待处理报文序列中的各待处理报文以及相应的时间间隔,采用预先训练的报文识别模型,获得每一待处理报文序列对应的报文类型识别结果;分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。除此之外,本发明还公开了利用上述方法的装置终端设备和存储介质。这样,利用预选训练的报文识别模型,简化了报文识别算法开发的复杂步骤,提高了报文识别效率以及精度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种网络维护的方法、装置和终端设备。
背景技术
随着互联网技术的发展,用户对互联网的应用需求的不断增多,业务数据量的急剧增加,网络维护也越来越困难。
现有技术下,通常采用特征识别的方式,判断报文是否异常。如,连接是否为空连接,会话中包含的报文数量是否超过指定数目,报文长度是否低于指定长度,是否包含指定字符,以及连接数是否符合预设条件等。
采用这种方式,由于不同业务对应的特征判断条件不同,因此,业务变更或出现新的业务时,需要对业务进行人工分析,进而开发相应的算法,这样,分析以及开发算法过程复杂,报文识别精度低。
发明内容
本发明实施例提供一种网络维护的方法、装置和终端设备,用以在进行网络维护时,采用预先训练的报文识别模型进行识别,提高了识别报文类型的精度。
第一方面,提供一种网络维护的方法,包括:
获取各待处理报文,以及各待处理报文之间的时间间隔;
将各待处理报文进行划分,生成各待处理报文序列;
分别根据每一待处理报文序列中的各待处理报文以及相应的时间间隔,采用预先训练的报文识别模型,获得每一待处理报文序列对应的报文类型识别结果,报文识别模型是基于由历史报文生成的历史报文序列、历史报文序列中各历史报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的;
分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。
这样,通过循环神经网络训练获得报文识别模型,简化了报文识别算法开发的复杂步骤,提高了报文识别效率以及精度。
第二方面,一种网络维护的装置,包括:
获取单元,用于获取各待处理报文,以及各待处理报文之间的时间间隔;
生成单元,用于将各待处理报文进行划分,生成各待处理报文序列;
识别单元,用于分别根据每一待处理报文序列中的各待处理报文以及相应的时间间隔,采用预先训练的报文识别模型,获得每一待处理报文序列对应的报文类型识别结果,报文识别模型是基于由历史报文生成的历史报文序列、历史报文序列中各历史报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的;
执行单元,用于分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。
第三方面,提供一种终端设备,包括至少一个处理单元、以及至少一个存储单元,其中,存储单元存储有计算机程序,当程序被处理单元执行时,使得处理单元执行上述任意一种网络维护的方法的步骤。
第四方面,提供一种计算机可读介质,其存储有可由终端设备执行的计算机程序,当程序在终端设备上运行时,使得终端设备执行上述任意一种网络维护的方法的步骤。
本发明实施例提供的一种网络维护的方法、装置和终端设备中,获取各待处理报文,以及各待处理报文之间的时间间隔;将各待处理报文进行划分,生成各待处理报文序列;分别根据每一待处理报文序列中的各待处理报文以及相应的时间间隔,采用预先训练的报文识别模型,获得每一待处理报文序列对应的报文类型识别结果,报文识别模型是基于由历史报文生成的历史报文序列,历史报文序列中各报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的;分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作,这样,简化了报文识别算法开发的复杂步骤,提高了报文识别效率以及精度。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施方式中一种服务器的结构示意图;
图2为本发明实施方式中一种网络维护的方法的实施流程图;
图3a为本发明实施方式中一种报文识别模型的示意图;
图3b为本发明实施方式中一种报文识别模型更新和识别示意图一;
图3c为本发明实施方式中一种报文识别模型更新和识别示意图二;
图4为本发明实施方式中一种网络维护的装置的结构示意图;
图5为本发明实施方式中服务器结构示意图。
具体实施方式
为了在进行网络维护时,提高报文识别的精度,本发明实施例提供了一种网络维护的方法、装置和终端设备。
首先,对本发明实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
1、服务器:可以安装各类应用程序,并且能够将已安装的应用程序中提供的实体进行显示的设备,该电子设备可以是移动的,也可以是固定的。例如,手机、平板电脑、车载设备、个人数字助理(personal digital assistant,PDA)或其它能够实现上述功能的电子设备等。
2、循环神经网络:是对序列中每一个元素都执行相同的操作并且每一操作都依赖于之前元素的输出结果的算法,即一个序列当前的输出与前面的输出也有关。
3、报文识别模型:本文的报文识别模型采用预设的循环神经网络进行训练后获得的,训练所需的不同类型的待处理报文序列样本从历史报文中获得,待处理报文序列样本基于历史报文生成,样本需要包括各种不同类型的历史报文序列,每个历史报文序列中各报文之间的时间间隔。
4、攻击报文:是指对用户(如,黑客)发送的对网络安全造成威胁的恶意报文。
5、可疑报文:考虑到服务器的收发性能、网络传输等各种因素的影响,正常报文在传输时有可能发生变形,对于这类报文,通常无法通过报文识别模型直接识别出类型,这类报文可以统称为可疑报文,在具体识别过程中,可以将不符合任何一类的报文都识别为可疑报文。也可以针对可疑报文,在进行报文识别模型训练时,将正常报文进行适当扭曲构造为可疑报文样本,利用可疑报文样本对模型进行一定的训练。
为保证网络安全,在对网络进行维护时,针对不同的报文类型可能采用的维护操作策略有所差别,最常见的例如丢弃攻击报文,转发正常报文等等。现有技术通常采用白特征方式、连接数判断以及统计算法识别的方式判断报文类型。报文类型可以根据报文是否异常来划分,一般包括正常报文、攻击报文或者可疑报文,也可以根据应用类型来划分,每一种应用类型关联对应的维护操作策略。根据报文类型的识别结果,执行相应的网络维护操作。其中,白特征方式是指根据指定特征判断报文是否异常,如,连接不能空连接,会话中至少包含3个报文,会话中报文长度小于100,以及会话中报文包含字符等。连接数判断是指判断连接数是否异常,其中,连接数是指用户进行访问(会话)时占用的连接的数量。正常报文的连接数一般较小,恶意报文的连接数会比较多。统计算法识别是指采用统计算法对报文进行统计分析,统计算法例如离散模型或马尔科夫链等算法。
但是,上述几种方式,对于不同的业务需要人工进行分析以及特征提取,并根据人工分析结果开发相应的算法,在算法中利用特征匹配的方式进行识别,这种利用人工进行特征提取的方式,可能导致特征提取不准确的结果,从而造成报文识别的精度较低,发生误判的可能性较大。
本发明实施例中提供了一种网络维护的技术方案,考虑到一个会话中的正常待处理报文序列,通常在报文特征以及各报文之间的时间间隔上,都要满足特定的条件,因此可以采用循环神经网络,从历史报文中,针对不同的类型的报文提取大量的待处理报文序列样本,每个待处理报文序列样本中包括多个报文,以及各报文之间的时间间隔等特征,将不同类型的待处理报文序列样本输入到循环神经网络,利用循环神经网络的自学习性能,获得报文识别模型。然后就可以将待处理的待处理报文序列以及各待处理报文之间的时间间隔,作为通过循环神经网络训练获得的报文识别模型的输入,获得每一待处理报文序列对应的报文类型识别结果,进一步地,根据报文类型识别结果,执行相应的网络维护操作。
进一步地,本发明实施例提供的网络维护的技术方案,可应用于公有云服务,私有云服务,数据中心等防御报文异常连接的场景,可部署于互联网出口,互联网接入点,互联网的核心交换节点,主要对采用会话形式进行数据交换的报文进行报文识别,如,采用传输控制协议 (Transmission Control Protocol,TCP)以及互联网传输协议(Quick UDPInternet Connection,QUIC)进行传输的报文等。
图1示出了一种服务器100的结构示意图。参阅图1所示,服务器100包括:处理器110、存储器120、电源130、显示单元140、输入单元150。
处理器110是服务器100的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器120内的软件程序和/或数据,执行服务器100的各种功能。
可选的,处理器110可包括一个或多个处理单元;优选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。在一些实施例中,处理器、存储器、可以在单一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
存储器120可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、各种应用程序等;存储数据区可存储根据服务器100的使用所创建的数据等。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
服务器100还包括给各个部件供电的电源130(比如电池),电源可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
显示单元140可用于显示由用户输入的信息或提供给用户的信息以及服务器100的各种菜单等,本发明实施例中主要用于显示服务器100中各应用程序的显示界面以及显示界面中显示的文本、图片等实体。显示单元140可以包括显示面板141。显示面板141可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
输入单元150可用于接收用户输入的数字或字符等信息。输入单元150可包括触控面板151以及其他输入设备152。其中,触控面板151,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板151上或在触控面板151附近的操作)。
具体的,触控面板151可以检测用户的触摸操作,并检测触摸操作带来的信号,将这些信号转换成触点坐标,发送给处理器110,并接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板151。其他输入设备152可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
当然,触控面板151可覆盖显示面板141,当触控面板151检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板141上提供相应的视觉输出。虽然在图1中,触控面板151与显示面板141是作为两个独立的部件来实现服务器100的输入和输出功能,但是在某些实施例中,可以将触控面板151与显示面板141集成而实现服务器100的输入和输出功能。
服务器100还可包括一个或多个传感器,例如压力传感器、重力加速度传感器、接近光传感器等。当然,根据具体应用中的需要,上述服务器100还可以包括摄像头等其它部件,由于这些部件不是本发明实施例中重点使用的部件,因此,在图1中没有示出,且不再详述。
本领域技术人员可以理解,图1仅仅是服务器的举例,并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
参阅图2所示,为本发明提供的一种网络维护的方法的实施流程图。该方法的具体实施流程如下:
步骤200:服务器获取各待处理报文以及各待处理报文之间的时间间隔。
步骤201:服务器将各待处理报文进行划分,生成各待处理报文序列。
具体的,首先,服务器获取各待处理报文的报文信息,将各待处理报文按照会话进行分组,即识别出同一会话的各报文。
本发明实施例中,仅以对采用TCP协议进行传输的报文进行识别为例进行说明。其中,TCP建立连接的过程包括三次握手,传输数据以及断开连接部分,报文信息至少包含以下参数:源网络协议(Internet Protocol,IP)地址,目的IP地址,源端口,目的端口以及传输协议。这样,就可以通过源IP地址,目的IP地址,源端口,目的端口以及传输协议,区分一个会话中包含的所有报文。
然后,服务器分别将每一会话的各待处理报文,按照报文传输顺序,分别生成每一会话对应的待处理报文序列。
这样,就可以通过待处理报文序列将会话中的各待处理报文按照传输顺序进行排列。
步骤202:服务器分别将每一待处理报文序列中各待处理报文以及各时间间隔作为预先训练的报文识别模型的输入,输出每一待处理报文序列对应的报文类型识别结果。
具体的,参阅图3a所示,为一种报文识别模型的示意图,图3a中,服务器将分别将每一待处理报文序列中的各待处理报文以及各时间间隔作为报文识别模型的输入,通过报文识别模型,输出每一待处理报文序列对应的报文类型识别结果。
其中,执行步骤202时,分别针对每一待处理报文序列,执行以下步骤:
首先,将一个待处理报文序列中各待处理报文以及相应的时间间隔,依次输入至报文识别模型,并依次获取每一待处理报文对应输出结果。
其中,获取上一个待处理报文对应的输出结果后,将上一个待处理报文的输出结果、下一个待处理报文以及下一个待处理报文与上一待处理报文之间的时间间隔,均作为报文识别模型的输入,获得下一个待处理报文对应的输出结果。
然后,将待处理报文序列中最后一个待处理报文对应的输出结果,确定为该待处理报文序列的报文类型识别结果。
其中,报文类型识别结果可以为状态类型或应用类型。状态类型至少包括:正常报文,攻击报文以及可疑报文。应用类型如微信或百度等,进一步地,报文类型识别结果以及报文类型均还可以根据实际需求进行设定,如业务类型等,在此不作限制。
可选的,可以采用以下方式对报文识别模型的原理进行说明:
待处理报文序列为[x1,x2,x3……xi……xn],x为报文,i为待处理报文的序号,n为待处理报文序列中包含的待处理报文的数量。t为时间间隔,ti为xi与xi-1之间的时间间隔,x1与上一个待处理报文之间的时间间隔t1为指定值,t1可以为0。xi对应的报文识别模型的输出值为yi。服务器分别将待处理报文以及相应的时间间隔进行组合,即{x1,t1}……{xn,tn},然后,依次将每一组合{xi,ti}以及yi-1作为待处理报文xi对应的输入,获得yi。最后,获得最后一个待处理报文xn对应的输出yn,并将yn确定为该待处理报文序列的报文类型识别结果。
进一步地,本发明实施例的报文识别模型为采用预设的循环神经网络进行训练后获得的,训练所需的不同类型的报文序列样本从历史报文中获得,报文序列样本基于历史报文生成,样本需要包括各种不同类型的历史报文序列,每个历史报文序列中各报文之间的时间间隔。也就是说,报文识别模型是基于由历史报文生成的历史报文序列,历史报文序列中各报文之间的时间间隔以及历史报文序列的报文类型,采用预设的循环神经网络进行训练后获得的。
在执行步骤202之前,预先采用以下步骤,获得报文识别模型:
首先,服务器获取样本数据库中的各历史报文,并将各历史报文按照会话进行划分,生成至少三个历史报文序列。
然后,服务器根据用户的指令,分别设置每一历史报文序列的报文类型。其中,报文类型为状态类型或应用类型。状态类型至少包括:正常报文,攻击报文以及可疑报文。
其中,考虑到服务器的收发性能、网络传输等各种因素的影响,正常报文在传输时有可能发生变形,对于这类报文,通常无法通过报文识别模型直接识别出类型,这类报文可以统称为可疑报文,在具体识别过程中,可以将不符合任何一类的报文都识别为可疑报文。也可以针对可疑报文,在进行报文识别模型训练时,将正常报文进行适当扭曲构造为可疑报文样本,利用可疑报文样本对模型进行一定的训练。
接着,服务器针对报文类型为攻击报文的历史报文序列,获取历史报文序列中各历史报文之间的时间间隔,将其它历史报文序列中各历史报文之间的时间间隔设置为指定时长。
然后,服务器根据各历史报文序列,历史报文序列中各历史报文之间的时间间隔,对循环神经网络进行训练时,服务器分别针对每一历史报文序列,执行以下步骤:将一个历史报文序列,历史报文序列中各历史报文之间的时间间隔输入循环神经网络,输出历史报文类型识别结果,然后,根据历史报文序列的报文类型与输出的历史报文类型识别结果,对循环神经网络中的模型参数进行调整。
最后,服务器获得训练后的循环神经网络,并将训练后的循环神经网络作为报文识别模型。
其中,循环神经网路,具体的表现形式为网络会对前面的信息进行记忆并应用于当前输出的计算中,即隐藏层之间的节点不再无连接而是有连接的,并且隐藏层的输入不仅包括输入层的输出还包括上一时刻隐藏层的输出。即一个序列当前的输出与前面的输出也有关。循环神经网络的目的是用来处理序列数据。
由于待处理报文序列中的各待处理报文属于同一会话,是相关联的一组报文,不能单独进行处理,需要综合起来才能得到会话的全部信息,并且各待处理报文之间有先后顺序关系,因此,采用循环神经网络训练获得的报文识别模型对待处理报文序列进行识别。进一步地,将时间间隔也输入到报文识别模型中,也就是说,将时间间隔作为待处理报文序列中的报文特征进行识别,提高了报文识别的精度。
步骤203:服务器分别根据每一待处理报文序列的报文类型识别结果,针对每一待处理报文序列执行相应的网络维护操作。
具体的,执行步骤203时,分别针对每一待处理报文序列,可以采用以下几种方式:
第一种方式为:根据报文类型识别结果,若一个待处理报文序列为攻击报文,则将该待处理报文序列进行丢弃处理;若该待处理报文序列为正常报文,则将该待处理报文序列进行转发处理;若该待处理报文序列为可疑报文,则将该待处理报文序列进行人工分析,获得分析结果,并根据分析结果,若该待处理报文序列为攻击报文,则将该待处理报文序列进行丢弃处理,否则将该待处理报文序列进行转发。
第二种方式为:根据报文类型识别结果,确定一个待处理报文序列的应用类型,并根据应用类型与维护操作之间的关联关系,执行该应用类型对应的维护操作。
例如,一个待处理报文序列的应用类型为微信,则获取微信对应的维护操作为重定向至指定地址,则将该待处理报文序列转发至指定地址。
进一步地,维护操作还可以为屏蔽,报警以及限速等任意指定操作,本发明实施例中维护操作仅为举例,不对维护操作进行具体限定。
这样,就可以根据报文识别结果,进行网络维护,提高网络安全性。
步骤204:服务器根据报文类型识别结果,或分析结果,对报文识别模型进行更新。
具体的,执行步骤204时,可以采用以下两种方式;
第一种方式为:参阅图3b所示,为一种报文识别模型更新和识别示意图一。服务器通过报文识别模型对待处理报文(如,实际业务)进行识别后,按照指定周期将报文类型识别结果或分析结果为指定报文类型的各待处理报文序列,以及待处理报文序列中各报文之间的时间间隔,发送至训练服务器;训练服务器基于接收的各报文(样本报文和/或指定类型的待处理报文序列)以及各时间间隔,对报文识别模型进行训练更新,获得更新后的报文识别模型,并将更新后的报文识别模型发送至服务器;服务器接收训练服务器发送的训练后的报文识别模型后,采用更新后的报文识别模型,对新的待处理报文进行识别。
其中,指定报文类型可以为正常报文,攻击报文、可疑报文以及应用类型中的任意一种。指定报文类型通常为攻击报文。训练服务器可以离线运行。服务器可以在线运行。
采用这种方式,可以将训练过程与报文识别过程分开,在服务器通过报文识别模型对待处理报文(即实际业务)进行识别,并根据报文类型识别结果,将各待处理报文进行相应处理;在训练服务器中根据服务器反馈的报文或者样本报文(如,历史报文)对报文识别模型进行更新。
第二种方式为:参阅图3c所示,为一种报文识别模型更新和识别示意图二,服务器根据待处理报文和时间间隔对待处理报文进行识别后,将报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,对报文识别模型进行再次训练,以对报文识别模型进行更新。
采用这种方式,服务器在报文识别的过程中,同时将指定类型报文作为反馈,将当前的报文识别模型进行更新。
这样,报文识别模型可以分别在不同的服务器(或,不同的模块)中执行和更新,也可以在同一个服务器(或,同一个模块)中执行和更新。
本发明实施例中,可以根据输入的报文(业务),不断对报文识别模型进行训练更新,从而根据训练后的报文识别模型进行识别,即便对于新类型的业务也可以根据自动学习进行模型更新,不需要人工对报文进行特征分析后再开发相应的算法,提高了效率以及精确度。
例如,服务器通过循环神经网络对游戏业务进行学习训练,获得报文识别模型,就可以根据该报文识别模型,识别出游戏业务,并将游戏业务对应的攻击源进行惩罚等维护操作。
又例如,服务器通过循环神经网络对随机载荷的TCP异常连接攻击业务进行学习训练,获得报文识别模型,就可以根据该报文识别模型,识别出随机载荷的TCP异常连接攻击业务,并将随机载荷的TCP异常连接攻击业务进行报警等维护操作。
基于同一发明构思,本发明实施例中还提供了一种网络维护的装置,由于上述装置及设备解决问题的原理与一种网络维护的方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图4所示,其为本发明实施例提供的一种网络维护的装置的结构示意图,包括:
获取单元40,用于获取各待处理报文,以及各待处理报文之间的时间间隔;
生成单元41,用于将各待处理报文进行划分,生成各待处理报文序列;
识别单元42,用于分别根据每一待处理报文序列中的各待处理报文以及相应的时间间隔,采用预先训练的报文识别模型,获得每一待处理报文序列对应的报文类型识别结果,报文识别模型是基于由历史报文生成的历史报文序列、历史报文序列中各历史报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的;
执行单元43,用于分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。
较佳的,每个待处理报文序列和每个历史报文序列均是同一个会话包含的各报文组成的待处理报文序列。
较佳的,识别单元42具体用于,针对一个待处理报文序列:
针对该待处理报文序列中的第一个待处理报文,将第一个待处理报文输入报文识别模型,并获取对应的输出结果;
针对该处理待处理报文序列中的每个其它待处理报文,依次将每一其它待处理报文、与上一个待处理报文之间的时间间隔,以及上一个待处理报文对应的输出结果,输入报文识别模型,并依次获取对应的输出结果;以及
将该待处理报文序列中最后一个待处理报文的输出结果,作为该待处理报文序列的报文类型识别结果。
较佳的,执行单元43具体用于:
确定待处理报文序列的报文类型识别结果表征攻击报文时,将一个待处理报文序列进行丢弃处理;
确定待处理报文序列的报文类型识别结果表征正常报文时,将一个待处理报文序列进行转发处理;
确定待处理报文序列的报文类型识别结果表征可疑报文时,进一步将待处理报文序列进行报文分析,并根据分析结果,判断待处理报文序列是否为攻击报文,若是,则将待处理报文序列进行丢弃处理,否则,将待处理报文序列进行转发处理。
较佳的,执行单元43具体用于:
根据待处理报文序列的报文类型识别结果,确定待处理报文序列的应用类型;
根据应用类型与维护操作之间的关联关系,执行待处理报文序列的应用类型对应的维护操作。
较佳的,识别单元42还用于:
将报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,发送至训练服务器,并接收训练服务器返回的更新后的报文识别模型,更新后的报文识别模型为采用报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔对报文识别模型进行再次训练后获得的;或者,
直接基于报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,对报文识别模型进行再次训练,获得更新后的报文识别模型。
基于同一技术构思,本发明实施例还提供了一种终端设备500,参照图5所示,终端设备500用于实施上述各个方法实施例记载的方法,例如实施图2所示的实施例,终端设备500可以包括存储器501、处理器502、输入单元503和显示面板504。
存储器501,用于存储处理器502执行的计算机程序。存储器501可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端设备500的使用所创建的数据等。处理器502,可以是一个中央处理单元(central processing unit, CPU),或者为数字处理单元等等。输入单元503,可以用于获取用户输入的用户指令。显示面板504,用于显示由用户输入的信息或提供给用户的信息,本发明实施例中,显示面板504主要用于显示终端设备中各应用程序的显示界面以及各显示界面中显示的控件实体。可选的,显示面板504可以采用液晶显示器(liquidcrystal display,LCD)或OLED(organic light-emitting diode,有机发光二极管)等形式来配置显示面板504。
本发明实施例中不限定上述存储器501、处理器502、输入单元503和显示面板504之间的具体连接介质。本发明实施例在图5中以存储器501、处理器502、输入单元503、显示面板504之间通过总线505连接,总线505在图5中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。总线505可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器501可以是易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器501也可以是非易失性存储器(non-volatilememory),例如只读存储器,快闪存储器(flash memory),硬盘(hard disk drive, HDD)或固态硬盘(solid-state drive, SSD)、或者存储器501是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器501可以是上述存储器的组合。
处理器502,用于实现如图2所示的实施例,包括:
处理器502,用于调用存储器501中存储的计算机程序执行如实施图2所示的实施例。
本发明实施例还提供了一种计算机可读存储介质,存储为执行上述处理器所需执行的计算机可执行指令,其包含用于执行上述处理器所需执行的程序。
在一些可能的实施方式中,本发明提供的一种网络维护的方法的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述描述的根据本发明各种示例性实施方式的一种网络维护的方法中的步骤。例如,终端设备可以执行如实施图2所示的实施例。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
本发明的实施方式的用于一种网络维护的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在计算设备上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向实体的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了装置的若干单元或子单元,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之,上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。
此外,尽管在附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种网络维护的方法,其特征在于,包括:
获取各待处理报文,以及各待处理报文之间的时间间隔;
将各待处理报文进行划分,生成各待处理报文序列;
针对该待处理报文序列中的第一个待处理报文,将第一个待处理报文输入报文识别模型,并获取对应的输出结果;
针对该待处理报文序列中的每个其它待处理报文,依次将每一其它待处理报文、与上一个待处理报文之间的时间间隔,以及上一个待处理报文对应的输出结果,输入所述报文识别模型,并依次获取对应的输出结果;以及
将该待处理报文序列中最后一个待处理报文的输出结果,作为所述该待处理报文序列的报文类型识别结果,所述报文识别模型是基于由历史报文生成的历史报文序列、历史报文序列中各历史报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的,其中,每个待处理报文序列和每个历史报文序列均是同一个会话包含的各报文组成的待处理报文序列;
分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。
2.如权利要求1所述的方法,其特征在于,所述分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作,具体包括:
确定待处理报文序列的报文类型识别结果表征攻击报文时,将一个所述待处理报文序列进行丢弃处理;
确定待处理报文序列的报文类型识别结果表征正常报文时,将一个所述待处理报文序列进行转发处理;
确定待处理报文序列的报文类型识别结果表征可疑报文时,进一步将待处理报文序列进行报文分析,并根据分析结果,判断待处理报文序列是否为攻击报文,若是,则将待处理报文序列进行丢弃处理,否则,将待处理报文序列进行转发处理。
3.如权利要求1所述的方法,其特征在于,所述分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作,具体包括:
根据待处理报文序列的报文类型识别结果,确定待处理报文序列的应用类型;
根据应用类型与维护操作之间的关联关系,执行待处理报文序列的应用类型对应的维护操作。
4.如权利要求2所述的方法,其特征在于,进一步包括:
将报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,发送至训练服务器,并接收所述训练服务器返回的更新后的报文识别模型,所述更新后的报文识别模型为采用报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔对所述报文识别模型进行再次训练后获得的;或者,
直接基于报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,对所述报文识别模型进行再次训练,获得更新后的报文识别模型。
5.一种网络维护的装置,其特征在于,包括:
获取单元,用于获取各待处理报文,以及各待处理报文之间的时间间隔;
生成单元,用于将各待处理报文进行划分,生成各待处理报文序列;
识别单元,用于针对该待处理报文序列中的第一个待处理报文,将第一个待处理报文输入报文识别模型,并获取对应的输出结果;
针对该待处理报文序列中的每个其它待处理报文,依次将每一其它待处理报文、与上一个待处理报文之间的时间间隔,以及上一个待处理报文对应的输出结果,输入所述报文识别模型,并依次获取对应的输出结果;以及
将该待处理报文序列中最后一个待处理报文的输出结果,作为所述该待处理报文序列的报文类型识别结果,所述报文识别模型是基于由历史报文生成的历史报文序列、历史报文序列中各历史报文之间的时间间隔,以及历史报文序列的报文类型采用预设的循环神经网络进行训练后获得的,其中,每个待处理报文序列和每个历史报文序列均是同一个会话包含的各报文组成的待处理报文序列;
执行单元,用于分别根据每一待处理报文序列的报文类型识别结果,执行相应的网络维护操作。
6.如权利要求5所述的装置,其特征在于,所述执行单元具体用于:
确定待处理报文序列的报文类型识别结果表征攻击报文时,将一个所述待处理报文序列进行丢弃处理;
确定待处理报文序列的报文类型识别结果表征正常报文时,将一个所述待处理报文序列进行转发处理;
确定待处理报文序列的报文类型识别结果表征可疑报文时,进一步将待处理报文序列进行报文分析,并根据分析结果,判断待处理报文序列是否为攻击报文,若是,则将待处理报文序列进行丢弃处理,否则,将待处理报文序列进行转发处理。
7.如权利要求5或6所述的装置,其特征在于,所述执行单元具体用于:
根据待处理报文序列的报文类型识别结果,确定待处理报文序列的应用类型;
根据应用类型与维护操作之间的关联关系,执行待处理报文序列的应用类型对应的维护操作。
8.如权利要求6所述的装置,其特征在于,所述识别单元还用于:
将报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,发送至训练服务器,并接收所述训练服务器返回的更新后的报文识别模型,所述更新后的报文识别模型为采用报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔对所述报文识别模型进行再次训练后获得的;或者,
直接基于报文类型识别结果或分析结果为指定报文类型的各待处理报文序列以及相应的时间间隔,对所述报文识别模型进行再次训练,获得更新后的报文识别模型。
9.一种终端设备,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~4任一权利要求所述方法的步骤。
10.一种计算机可读介质,其特征在于,所述计算机可读介质存储有可由终端设备执行的计算机程序,当所述计算机程序在所述终端设备上运行时,使得所述终端设备执行权利要求1~4任一权利要求所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811095010.2A CN109246027B (zh) | 2018-09-19 | 2018-09-19 | 一种网络维护的方法、装置和终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811095010.2A CN109246027B (zh) | 2018-09-19 | 2018-09-19 | 一种网络维护的方法、装置和终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109246027A CN109246027A (zh) | 2019-01-18 |
CN109246027B true CN109246027B (zh) | 2022-02-15 |
Family
ID=65058171
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811095010.2A Active CN109246027B (zh) | 2018-09-19 | 2018-09-19 | 一种网络维护的方法、装置和终端设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109246027B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110751570A (zh) * | 2019-09-16 | 2020-02-04 | 中国电力科学研究院有限公司 | 一种基于业务逻辑的电力业务报文攻击识别方法及系统 |
CN110782014A (zh) * | 2019-10-23 | 2020-02-11 | 新华三信息安全技术有限公司 | 一种神经网络增量学习方法及装置 |
CN111935140B (zh) * | 2020-08-10 | 2022-10-28 | 中国工商银行股份有限公司 | 异常报文识别方法及装置 |
CN113114679B (zh) * | 2021-04-13 | 2023-03-24 | 中国工商银行股份有限公司 | 报文的识别方法、装置、电子设备及介质 |
CN113452675A (zh) * | 2021-05-21 | 2021-09-28 | 济南浪潮数据技术有限公司 | 一种云平台中网络访问控制方法、装置、设备及存储介质 |
CN116112271B (zh) * | 2023-02-13 | 2024-02-20 | 山东云天安全技术有限公司 | 一种会话数据处理方法、电子设备及存储介质 |
CN116112266B (zh) * | 2023-02-13 | 2023-09-01 | 山东云天安全技术有限公司 | 一种识别会话数据的方法、电子设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN107819790A (zh) * | 2017-12-08 | 2018-03-20 | 中盈优创资讯科技有限公司 | 攻击报文的识别方法及装置 |
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707532B (zh) * | 2009-10-30 | 2012-08-15 | 中山大学 | 一种未知应用层协议自动分析方法 |
CN102315974B (zh) * | 2011-10-17 | 2014-08-27 | 北京邮电大学 | 基于层次化特征分析的tcp、udp流量在线识别方法和装置 |
CN103582512B (zh) * | 2013-02-04 | 2017-04-19 | 华为技术有限公司 | 特征提取装置、网络流量识别方法、装置和系统 |
CN105592044B (zh) * | 2015-08-21 | 2019-05-07 | 新华三技术有限公司 | 报文攻击检测方法以及装置 |
-
2018
- 2018-09-19 CN CN201811095010.2A patent/CN109246027B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
CN107819790A (zh) * | 2017-12-08 | 2018-03-20 | 中盈优创资讯科技有限公司 | 攻击报文的识别方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109246027A (zh) | 2019-01-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109246027B (zh) | 一种网络维护的方法、装置和终端设备 | |
US20210334624A1 (en) | Neural architecture search using a performance prediction neural network | |
CN109034660B (zh) | 基于预测模型的风险控制策略的确定方法及相关装置 | |
US11128668B2 (en) | Hybrid network infrastructure management | |
US11176508B2 (en) | Minimizing compliance risk using machine learning techniques | |
CN110088773A (zh) | 具有可分离卷积层的图像处理神经网络 | |
CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
US11423307B2 (en) | Taxonomy construction via graph-based cross-domain knowledge transfer | |
CN116032663B (zh) | 基于边缘设备的隐私数据处理系统、方法、设备及介质 | |
CN108154197A (zh) | 实现虚拟场景中图像标注验证的方法及装置 | |
US11625556B1 (en) | Customer service learning machine | |
CN113726545B (zh) | 基于知识增强生成对抗网络的网络流量生成方法及装置 | |
CN114722281B (zh) | 基于用户画像及用户选课行为的培训课程配置方法、装置 | |
CN113806434B (zh) | 大数据处理方法、装置、设备及介质 | |
CN114301670B (zh) | 基于ipv6地址的终端认证方法、装置、设备及介质 | |
CN113220367A (zh) | 小程序的运行方法、装置、电子设备及存储介质 | |
CN109922023A (zh) | 导航终端、导航系统、导航终端的多账号登录方法 | |
CN112800415A (zh) | 一种基于贪婪算法模型的弱口令检测方法和系统 | |
CN110601909B (zh) | 网络维护方法、装置、计算机设备和存储介质 | |
CN112101191A (zh) | 基于边框注意力网络的表情识别方法、装置、设备及介质 | |
WO2023066258A1 (zh) | 隐私数据的数据处理方法、装置、计算机设备及介质 | |
RU2704538C1 (ru) | Сетевая архитектура человекоподобной сети и способ реализации | |
CN113032543B (zh) | 基于栈结构的对话诊断方法、装置、设备及介质 | |
CN114978964A (zh) | 基于网络自检的通信公告配置方法、装置、设备及介质 | |
CN113413590A (zh) | 一种信息验证方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |