CN110177122A - 一种识别网络安全风险的模型建立方法及装置 - Google Patents
一种识别网络安全风险的模型建立方法及装置 Download PDFInfo
- Publication number
- CN110177122A CN110177122A CN201910528049.7A CN201910528049A CN110177122A CN 110177122 A CN110177122 A CN 110177122A CN 201910528049 A CN201910528049 A CN 201910528049A CN 110177122 A CN110177122 A CN 110177122A
- Authority
- CN
- China
- Prior art keywords
- security risk
- network security
- test
- model
- data sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000013527 convolutional neural network Methods 0.000 claims abstract description 41
- 238000012549 training Methods 0.000 claims abstract description 19
- 238000012360 testing method Methods 0.000 claims description 60
- 238000003860 storage Methods 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000004891 communication Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 238000005070 sampling Methods 0.000 claims description 5
- 230000005055 memory storage Effects 0.000 claims description 2
- 238000013473 artificial intelligence Methods 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 19
- 238000013528 artificial neural network Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000011161 development Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000005065 mining Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000013135 deep learning Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007306 functionalization reaction Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
本发明的实施例提供一种识别网络安全风险的模型建立方法及装置,涉及人工智能领域,能够得到识别网络安全风险的模型,进一步准确的识别网络安全隐患。该方法包括:获取网络中预定时间段的网络流量的数据集,获取专家为数据样本标注的网络问题类型;在预定时间段中确定第一目标时间段;以第一目标时间段的时序为横坐标,以数据样本为纵坐标,将数据集转换为二维坐标曲线图;将二维坐标曲线图转换为二维图像;以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为数据样本标注的网络问题类型训练生成识别网络安全风险的模型。本申请实施例应用于识别网络安全风险的模型的建立。
Description
技术领域
本发明的实施例涉及人工智能领域,尤其涉及一种识别网络安全风险的模型建立方法及装置。
背景技术
随着计算机技术及其相关学科的迅猛发展,整个社会的自动化程度不断提高,将从根本上改变人与计算机之间的关系,使计算机能够更好地为人类服务。与此同时,随着信息网络技术的迅猛发展,网络安全威胁和风险日益突出,网络空间治理难度不断增大,这一区别于现实社会的“第二类生存空间”,正处在挑战与机遇并存的发展转折期,并逐步成为世界主要国家开展国力竞争和战略博弈的新领域。如何有效防控网络攻击、确保网络安全已经成为世界性的普遍难题。伴随深度学习技术研究热潮的兴起,其方法理念已经在诸多领域得到了广泛的应用,如何借助这一先进技术,通过海量数据的深度挖掘与应用,以网络安全相关的大数据为基础,在未知威胁发现、网络行为分析、网络安全预警等方面取得突破性进展,实现网络安全战略升级转型,已经成为重要的研究方向。
现有的网络安全威胁和风险的识别方法是基于流量的异常挖掘,即通过对所有网络会话进行统计分析,计算内网主机多维统计特征,如主机上行流量与下行流量比值,以及内网主机特定时间段内的流出数据大小等,分析其中的流量异常行为。而基于流量的异常挖掘进行识别网络安全的方法对于数据提取、分析识别与预测均需要人为的经验。
发明内容
本发明的实施例提供一种识别网络安全风险的模型建立方法及装置,能够得到识别网络安全风险的模型,进一步准确的识别网络安全隐患。
第一方面,提供一种识别网络安全风险的模型建立方法,包括如下步骤:获取网络中预定时间段的网络流量的数据集,其中数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;获取专家为数据样本标注的网络问题类型;在预定时间段中确定第一目标时间段;以第一目标时间段的时序为横坐标,以数据样本为纵坐标,将数据集转换为二维坐标曲线图,其中,二维坐标曲线图包括横坐标、纵坐标、以及第一目标时间段的时序与数据样本的关系曲线;将二维坐标曲线图转换为二维图像,其中,二维图像包含第一目标时间段的时序与数据样本的关系曲线;以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为所述数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
上述方案中,由于获取网络中预定时间段的网络流量的数据集,其中数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;获取专家为数据样本标注的网络问题类型;在预定时间段中确定第一目标时间段;以第一目标时间段的时序为横坐标,以数据样本为纵坐标,将数据集转换为二维坐标曲线图;将二维坐标曲线图转换为二维图像;以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为所述数据样本标注的网络问题类型训练生成识别网络安全风险的模型。本申请通过将网络流量的数据集分时段进行整理转换成二维图像,结合专家为数据样本标注的网络问题类型,进行卷积神经网络训练,生成识别网络安全风险的模型,当需要判断当前网络问题时,只需要收集当前网络的数据集,转化为二维图像,输入识别网络安全风险的模型中,便可直接得出当前网络存在的问题类型,避免了现有技术中使用基于流量的异常挖掘进行识别网络安全的方法中数据提取、分析识别与预测均需要人为经验参与而造成的误差,既能够提高识别网络安全风险的效率,又能够准确的识别网络安全风险。
可选的,数据流量特征包括:第一目标时间段中每个采样点的数据流量、第一目标时间段中任一采样点在连续预定日期的数据流量的平均值;TCP包流量特征包括:每个采样点的TCP包流量、第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
可选的,在预定时间段中确定第二目标时间段;以第二目标时间段的时序为测试横坐标,以数据样本为测试纵坐标,将数据集转换为测试二维坐标曲线图,其中,测试二维坐标曲线图包括测试横坐标、测试纵坐标、以及第二目标时间段的时序与数据样本的关系曲线;将测试二维坐标曲线图转换为测试二维图像,其中,测试二维图像包含第二目标时间段的时序与数据样本的关系曲线;将测试二维图像输入识别网络安全风险的模型中,若确定识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
第二方面,提供一种识别网络安全风险的模型建立装置,包括:获取模块,用于获取网络中预定时间段的网络流量的数据集,其中数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;获取模块,还用于获取专家为数据样本标注的网络问题类型;确定模块,用于在预定时间段中确定第一目标时间段;转换模块,用于以确定模块确定的第一目标时间段的时序为横坐标,以获取模块获取的数据样本为纵坐标,将数据集转换为二维坐标曲线图,其中,二维坐标曲线图包括横坐标、纵坐标、以及第一目标时间段的时序与数据样本的关系曲线;转换模块,还用于将二维坐标曲线图转换为二维图像,其中,二维图像包含第一目标时间段的时序与数据样本的关系曲线;生成模块,用于以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
可选的,数据流量特征包括:第一目标时间段中每个采样点的数据流量、第一目标时间段中任一采样点在连续预定日期的数据流量的平均值;TCP包流量特征包括:每个采样点的TCP包流量、第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
可选的,确定模块,还用于在预定时间段中确定第二目标时间段;转换模块,还用于以确定模块确定的第二目标时间段的时序为测试横坐标,以数据样本为测试纵坐标,将数据集转换为测试二维坐标曲线图,其中,测试二维坐标曲线图包括测试横坐标、测试纵坐标、以及第二目标时间段的时序与数据样本的关系曲线;转换模块,还用于将测试二维坐标曲线图转换为测试二维图像,其中,测试二维图像包含第二目标时间段的时序与数据样本的关系曲线;确定模块,还用于将测试二维图像输入识别网络安全风险的模型中,若确定识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
第三方面,提供一种识别网络安全风险的模型建立装置,包括通信接口、处理器、存储器、总线;存储器用于存储计算机执行指令,处理器与存储器通过总线连接,当识别网络安全风险的模型建立装置运行时,处理器执行存储器存储的计算机执行指令,以使识别网络安全风险的模型建立装置执行如上述的识别网络安全风险的模型建立方法。
第四方面,提供一种计算机存储介质,包括指令,其特征在于,当指令在计算机上运行时,使得计算机执行如上述的识别网络安全风险的模型建立方法。
第五方面,提供一种计算机程序产品,计算机程序产品包括指令代码,指令代码用于执行如上述的识别网络安全风险的模型建立方法。
可以理解地,上述提供的任一种识别网络安全风险的模型建立装置、计算机存储介质或计算机程序产品均用于执行上文所提供的第一方面对应的方法,因此,其所能达到的有益效果可参考上文第一方面的方法以及下文具体实施方式中对应的方案的有益效果,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例提供的一种卷积神经网络的结构示意图;
图2为本发明的实施例提供的一种识别网络安全风险的模型建立方法示意图;
图3为本发明的实施例提供的一种数据集的二维坐标曲线图示意图;
图4为本发明的实施例提供的一种识别网络安全风险的模型建立装置的结构示意图;
图5为本发明的另一实施例提供的一种识别网络安全风险的模型建立装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着计算机技术及其相关学科的迅猛发展,整个社会的自动化程度不断提高,将从根本上改变人与计算机之间的关系,使计算机能够更好地为人类服务。与此同时,随着信息网络技术的迅猛发展,网络安全威胁和风险日益突出,网络空间治理难度不断增大,如何有效防控网络攻击、确保网络安全已经成为世界性的普遍难题。而现有的网络安全威胁和风险的识别方法是基于流量的异常挖掘,即通过对所有网络会话进行统计分析,计算内网主机多维统计特征,如主机上行流量与下行流量比值,以及内网主机特定时间段内的流出数据大小等,分析其中的流量异常行为。而基于流量的异常挖掘进行识别网络安全的方法对于数据提取、分析识别与预测均需要人为的经验。
卷积神经网络(convolutional neural networks,CNN)是一种包含卷积计算且具有深度结构的前馈神经网络(feedforward neural networks,FNN),是深度学习(deeplearning)的代表算法之一。卷积神经网络包括一维卷积神经网络、二维卷积神经网络以及三维卷积神经网络。一维卷积神经网络常应用于序列类的数据处理,二维卷积神经网络常应用于图像类文本的识别,三维卷积神经网络主要应用于医学图像以及视频类数据识别。参照图1所示,卷积神经网络包括输入层11、卷积层12、池化层13、全连接层14、输出层15。其中,卷积层12、池化层13和全连接层14为卷积神经网络的隐含层,在常见构筑中,卷积层12和池化层13为卷积神经网络的特有结构。其中,卷积层12对输入层11输入的数据进行特征提取,其内部包含多个卷积核,组成卷积核的每个元素都对应一个权重系数和一个偏差量(bias vector),类似于一个前馈神经网络的神经元(neuron)。在卷积层12进行特征提取后,输出的特征图会被传递至池化层13进行特征选择和信息过滤。全连接层14等价于传统前馈神经网络中的隐含层,通常搭建在卷积神经网络隐含层的最后部分,并只向其它全连接层传递信号。输出层15的上游通常是全连接层14,因此其结构和工作原理与传统前馈神经网络中的输出层相同,对于图像分类问题,输出层使用逻辑函数或归一化指数函数(softmax function)输出分类标签。
基于上述卷积神经网络结构,本申请提供一种识别网络安全风险的模型建立方法,参照图2所示,具体包括如下步骤:
201、获取网络中预定时间段的网络流量的数据集。
其中网络流量的数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征。
202、获取专家为数据样本标注的网络问题类型。
由于不同的攻击种类,即不同的网络问题类型,可以产生网络流量与TCP包流量的不同变化,相关专家根据数据样本中网络流量与TCP包流量的变化,为数据样本标注网络问题类型。
203、在预定时间段中确定第一目标时间段。
其中,步骤201中的数据流量特征包括:第一目标时间段中每个采样点的数据流量、第一目标时间段中任一采样点在连续预定日期的数据流量的平均值。TCP包流量特征包括:每个采样点的TCP包流量、第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
例如,参照图3所示,第一时间段取2月21号0时到24时,获取网络中整点的数据流量(单位:Mbps)、TCP包流量(单位:Mbps),即采样点为一天24小时中的每个整点(单位:h);连续预定日期取5天,即2月16号到2月20号这五天在24小时中每个整点的数据流量的平均值,以及每个整点的TCP包流量的平均值。
优选的,本申请获取第一目标时间段中任一采样点在连续五日的数据流量的平均值以及第一目标时间段中任一采样点在连续十日的数据流量的平均值,第一目标时间段中任一采样点在连续五日的TCP包流量的平均值以及第一目标时间段中任一采样点在连续十日的TCP包流量的平均值。
204、以第一目标时间段的时序为横坐标,以数据样本为纵坐标,将数据集转换为二维坐标曲线图。
其中,二维坐标曲线图包括横坐标、纵坐标、以及第一目标时间段的时序与数据样本的关系曲线。
例如,参照图3所示,第一时间段取2月21号的0时到24时,第一时间段的采样点为2月21号24小时中的每个整点(单位:h),第一时间段的时序为横坐标,纵坐标为数据流量(单位:Mbps)和TCP包流量(单位:Mbps),绘制2月21号0时到24时数据流量的第一数据流量曲线图32、2月21号0时到24时TCP包流量的第一TCP包流量曲线图34、2月21号0时到24时在连续五日的数据流量的平均值与采样点的第二数据流量曲线图31、2月21号0时到24时在连续五日的TCP包流量的平均值与采样点的第二TCP包流量曲线图33。
优选的,本申请绘制第一目标时间段中的第一数据流量曲线图、第一目标时间段中的任一采样点在连续五日的数据流量的平均值与采样点的第二数据流量曲线图、以及第一目标时间段中任一采样点在连续十日的数据流量的平均值与采样点的第三数据流量曲线图,第一目标时间段中的第一TCP包流量曲线图、第一目标时间段中任一采样点在连续五日的TCP包流量的平均值与采样点的第二TCP包流量曲线图以及第一目标时间段中任一采样点在连续十日的TCP包流量的平均值与采样点的第三TCP包流量曲线图,共六条曲线。
205、将二维坐标曲线图转换为二维图像。
其中,二维图像包含第一目标时间段的时序与数据样本的关系曲线。转化过程为去掉二维坐标曲线图中的坐标系,只保存步骤204中绘制的关系曲线,便生成二维图像。
优选的,本申请中的二维坐标曲线图去掉坐标系后,剩余步骤204绘制的六条曲线图。
206、以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
其中,本申请中的卷积神经网络包括一个输入层、多个卷积层和多个池化层、多个全连接层和一个输出层,使用步骤205中转换成的二维图像,结合梯度下降算法训练卷积神经网络,使得卷积神经网络输出层的网络问题类型与输入的二维图像的标签信息相同,生成识别网络安全风险的模型。
进一步,本申请的卷积神经网络具体包括一个输入层、两个卷积层和两个池化层、一个全连接层和一个输出层,卷积层之前为输入层,每个卷积层之后有一池化层,全连接层位于最后一个池化层和输出层之间。
具体的,训练生成识别网络安全风险的模型的过程为:将二维图像输入卷积神经网络,获取卷积神经网络的输出结果,将卷积神经网络的输出结果作为预测问题类型;计算预测问题类型与专家标注的网络问题类型的交叉熵;将交叉熵作为损失函数,根据损失函数优化卷积神经网络的权重矩阵;在优化卷积神经网络权重参数的过程中,损失函数会不断地减小,采用“早停算法”使得损失函数不再明显地变小为止,此时得到的卷积神经网络为生成的识别网络安全风险的模型,其中,早停算法是一种损失函数的优化策略。
识别网络安全风险的模型训练完成后,可以进行测试来提高模型的精度,包括以下步骤:
301、在预定时间段中确定第二目标时间段。
其中,第二目标时间段的选取与第一目标时间段互不影响,即可选相同时间段或不同时间段。
302、以第二目标时间段的时序为测试横坐标,以数据样本为测试纵坐标,将数据集转换为测试二维坐标曲线图。
其中,测试二维坐标曲线图包括测试横坐标、测试纵坐标、以及第二目标时间段的时序与数据样本的关系曲线。其中,测试二维坐标曲线图的绘制方法可以参考步骤204。
303、将测试二维坐标曲线图转换为测试二维图像。
其中,测试二维图像包含第二目标时间段的时序与数据样本的关系曲线。测试二维图像的转换方法可以参考步骤205。
304、将测试二维图像输入识别网络安全风险的模型中,若确定识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
进一步的,若确定识别网络安全风险的模型的精度达到预定精度,则停止训练,将识别网络安全风险的模型布置到网络中进行网络安全风险的识别与查询。
上述方案中,由于获取网络中预定时间段的网络流量的数据集,其中数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;获取专家为数据样本标注的网络问题类型;在预定时间段中确定第一目标时间段;以第一目标时间段的时序为横坐标,以数据样本为纵坐标,将数据集转换为二维坐标曲线图;将二维坐标曲线图转换为二维图像;以二维图像作为卷积神经网络的输入,获取卷积神经网络的输出结果,并根据输出结果和专家为数据样本标注的网络问题类型训练生成识别网络安全风险的模型。本申请通过将网络流量的数据集分时段进行整理转换成二维图像,结合专家为数据样本标注的网络问题类型,进行卷积神经网络训练,生成识别网络安全风险的模型,当需要判断当前网络问题时,只需要收集当前网络的数据集,转化为二维图像,输入识别网络安全风险的模型中,便可直接得出当前网络存在的问题类型,避免了现有技术中使用基于流量的异常挖掘进行识别网络安全的方法中数据提取、分析识别与预测均需要人为经验参与而造成的误差,既能够提高识别网络安全风险的效率,又能够准确的识别网络安全风险。
本发明实施例可以根据上述的方法实施例对识别网络安全风险的模型建立装置进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在采用对应各个功能划分各个功能模块的情况下,图4给出了上述实施例中涉及的识别网络安全风险的模型的建立装置的一种可能的结构示意图。用于实施上述的识别网络安全风险的模型建立方法,具体的,包括:
获取模块41,用于获取网络中预定时间段的网络流量的数据集,其中所述数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;所述获取模块41,还用于获取专家为所述数据样本标注的网络问题类型;确定模块42,用于在所述预定时间段中确定第一目标时间段;转换模块43,用于以所述确定模块42确定的所述第一目标时间段的时序为横坐标,以所述获取模块41获取的所述数据样本为纵坐标,将所述数据集转换为二维坐标曲线图,其中,所述二维坐标曲线图包括所述横坐标、所述纵坐标、以及所述第一目标时间段的时序与所述数据样本的关系曲线;所述转换模块43,还用于将所述二维坐标曲线图转换为二维图像,其中,所述二维图像包含所述第一目标时间段的时序与所述数据样本的关系曲线;生成模块44,用于以所述二维图像作为卷积神经网络的输入,获取所述卷积神经网络的输出结果,并根据所述输出结果和专家为所述数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
可选的,所述数据流量特征包括:所述第一目标时间段中每个采样点的数据流量、所述第一目标时间段中任一采样点在连续预定日期的数据流量的平均值;所述TCP包流量特征包括:每个采样点的TCP包流量、所述第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
可选的,所述确定模块42,还用于在所述预定时间段中确定第二目标时间段;所述转换模块43,还用于以所述确定模块42确定的所述第二目标时间段的时序为测试横坐标,以所述数据样本为测试纵坐标,将所述数据集转换为测试二维坐标曲线图,其中,所述测试二维坐标曲线图包括所述测试横坐标、所述测试纵坐标、以及所述第二目标时间段的时序与所述数据样本的关系曲线;所述转换模块43,还用于将所述测试二维坐标曲线图转换为测试二维图像,其中,所述测试二维图像包含所述第二目标时间段的时序与所述数据样本的关系曲线;所述确定模块42,还用于将所述测试二维图像输入识别网络安全风险的模型中,若确定所述识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
在采用集成的模块的情况下,识别网络安全风险的模型建立装置包括:存储单元、处理单元以及接口单元。处理单元用于对识别网络安全风险的模型建立装置的动作进行控制管理。接口单元,用于识别网络安全风险的模型建立装置与其他设备的信息交互。存储单元,用于存储识别网络安全风险的模型建立装置的程序代码和数据。
其中,以处理单元为处理器,存储单元为存储器,接口单元为通信接口为例。其中,识别网络安全风险的模型建立装置参照图5中所示,包括通信接口501、处理器502、存储器503和总线504,通信接口501、处理器502通过总线504与存储器503相连。
处理器502可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
存储器503可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器503用于存储执行本申请方案的应用程序代码,并由处理器502来控制执行。通讯接口501用于与其他设备进行信息交互,例如支持识别网络安全风险的模型建立装置与其他设备的信息交互,例如从其他设备获取数据或者向其他设备发送数据。处理器502用于执行存储器503中存储的应用程序代码,从而实现本申请实施例中所述的方法。
此外,还提供一种计算存储媒体(或介质),包括在被执行时进行上述实施例中的识别网络安全风险的模型建立装置执行的方法操作的指令。另外,还提供一种计算机程序产品,包括上述计算存储媒体(或介质)。
其中,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,其作用在此不再赘述。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文全称:read-only memory,英文简称:ROM)、随机存取存储器(英文全称:random access memory,英文简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (9)
1.一种识别网络安全风险的模型建立方法,其特征在于,
获取网络中预定时间段的网络流量的数据集,其中所述数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;
获取专家为所述数据样本标注的网络问题类型;
在所述预定时间段中确定第一目标时间段;
以所述第一目标时间段的时序为横坐标,以所述数据样本为纵坐标,将所述数据集转换为二维坐标曲线图,其中,所述二维坐标曲线图包括所述横坐标、所述纵坐标、以及所述第一目标时间段的时序与所述数据样本的关系曲线;
将所述二维坐标曲线图转换为二维图像,其中,所述二维图像包含所述第一目标时间段的时序与所述数据样本的关系曲线;
以所述二维图像作为卷积神经网络的输入,获取所述卷积神经网络的输出结果,并根据所述输出结果和专家为所述数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
2.根据权利要求1所述的识别网络安全风险的模型建立方法,其特征在于,
所述数据流量特征包括:所述第一目标时间段中每个采样点的数据流量、所述第一目标时间段中任一采样点在连续预定日期的数据流量的平均值;
所述TCP包流量特征包括:每个采样点的TCP包流量、所述第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
3.根据权利要求1所述的识别网络安全风险的模型建立方法,其特征在于,还包括:
在所述预定时间段中确定第二目标时间段;
以所述第二目标时间段的时序为测试横坐标,以所述数据样本为测试纵坐标,将所述数据集转换为测试二维坐标曲线图,其中,所述测试二维坐标曲线图包括所述测试横坐标、所述测试纵坐标、以及所述第二目标时间段的时序与所述数据样本的关系曲线;
将所述测试二维坐标曲线图转换为测试二维图像,其中,所述测试二维图像包含所述第二目标时间段的时序与所述数据样本的关系曲线;
将所述测试二维图像输入识别网络安全风险的模型中,若确定所述识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
4.一种识别网络安全风险的模型建立装置,其特征在于,
获取模块,用于获取网络中预定时间段的网络流量的数据集,其中所述数据集至少包括如下数据样本:数据流量特征和传输控制协议TCP包流量特征;
所述获取模块,还用于获取专家为所述数据样本标注的网络问题类型;
确定模块,用于在所述预定时间段中确定第一目标时间段;
转换模块,用于以所述确定模块确定的所述第一目标时间段的时序为横坐标,以所述获取模块获取的所述数据样本为纵坐标,将所述数据集转换为二维坐标曲线图,其中,所述二维坐标曲线图包括所述横坐标、所述纵坐标、以及所述第一目标时间段的时序与所述数据样本的关系曲线;
所述转换模块,还用于将所述二维坐标曲线图转换为二维图像,其中,所述二维图像包含所述第一目标时间段的时序与所述数据样本的关系曲线;
生成模块,用于以所述二维图像作为卷积神经网络的输入,获取所述卷积神经网络的输出结果,并根据所述输出结果和专家为所述数据样本标注的网络问题类型训练生成识别网络安全风险的模型。
5.根据权利要求4所述的识别网络安全风险的模型建立装置,其特征在于,
所述数据流量特征包括:所述第一目标时间段中每个采样点的数据流量、所述第一目标时间段中任一采样点在连续预定日期的数据流量的平均值;
所述TCP包流量特征包括:每个采样点的TCP包流量、所述第一目标时间段中任一采样点在连续预定日期的TCP包流量的平均值。
6.根据权利要求4所述的识别网络安全风险的模型建立装置,其特征在于,
所述确定模块,还用于在所述预定时间段中确定第二目标时间段;
所述转换模块,还用于以所述确定模块确定的所述第二目标时间段的时序为测试横坐标,以所述数据样本为测试纵坐标,将所述数据集转换为测试二维坐标曲线图,其中,所述测试二维坐标曲线图包括所述测试横坐标、所述测试纵坐标、以及所述第二目标时间段的时序与所述数据样本的关系曲线;
所述转换模块,还用于将所述测试二维坐标曲线图转换为测试二维图像,其中,所述测试二维图像包含所述第二目标时间段的时序与所述数据样本的关系曲线;
所述确定模块,还用于将所述测试二维图像输入识别网络安全风险的模型中,若确定所述识别网络安全风险的模型的精度未达到预定精度,则重新获取网络流量的数据集进行识别网络安全风险的模型的训练。
7.一种识别网络安全风险的模型建立装置,其特征在于,包括通信接口、处理器、存储器、总线;所述存储器用于存储计算机执行指令,所述处理器与所述存储器通过所述总线连接,当所述识别网络安全风险的模型建立装置运行时,所述处理器执行所述存储器存储的计算机执行指令,以使所述识别网络安全风险的模型建立装置执行如权利要求1-3任一项所述的识别网络安全风险的模型建立方法。
8.一种计算机存储介质,包括指令,其特征在于,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1-3任一项所述的识别网络安全风险的模型建立方法。
9.一种计算机程序产品,其特征在于,所述计算机程序产品包括指令代码,所述指令代码用于执行如权利要求1-3任一项所述的识别网络安全风险的模型建立方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910528049.7A CN110177122A (zh) | 2019-06-18 | 2019-06-18 | 一种识别网络安全风险的模型建立方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910528049.7A CN110177122A (zh) | 2019-06-18 | 2019-06-18 | 一种识别网络安全风险的模型建立方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110177122A true CN110177122A (zh) | 2019-08-27 |
Family
ID=67698516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910528049.7A Pending CN110177122A (zh) | 2019-06-18 | 2019-06-18 | 一种识别网络安全风险的模型建立方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110177122A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110874646A (zh) * | 2020-01-16 | 2020-03-10 | 支付宝(杭州)信息技术有限公司 | 一种联邦学习的异常处理方法、装置及电子设备 |
| CN111160427A (zh) * | 2019-12-17 | 2020-05-15 | 博雅信安科技(北京)有限公司 | 一种基于神经网络的海量流量数据类型的检测方法 |
| CN111404942A (zh) * | 2020-03-18 | 2020-07-10 | 广东技术师范大学 | 一种基于深度学习的垂直类恶意爬虫流量识别方法 |
| CN111866024A (zh) * | 2020-08-05 | 2020-10-30 | 国家计算机网络与信息安全管理中心 | 一种网络加密流量识别方法及装置 |
| CN111950358A (zh) * | 2020-07-01 | 2020-11-17 | 浙江中控技术股份有限公司 | 一种基于图像识别的阀门粘滞检测方法 |
| CN112383516A (zh) * | 2020-10-29 | 2021-02-19 | 博雅正链(北京)科技有限公司 | 图神经网络构建方法、基于图神经网络的异常流量检测方法 |
| US20210125323A1 (en) * | 2019-10-25 | 2021-04-29 | Korea Institute Of Science And Technology | System and method for determining situation of facility by imaging sensing data of facility |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107682216A (zh) * | 2017-09-01 | 2018-02-09 | 南京南瑞集团公司 | 一种基于深度学习的网络流量协议识别方法 |
| CN108200006A (zh) * | 2017-11-21 | 2018-06-22 | 中国科学院声学研究所 | 一种基于层次化时空特征学习的网络流量分类方法及装置 |
| KR20180116934A (ko) * | 2017-04-18 | 2018-10-26 | 한국기술교육대학교 산학협력단 | Cnn을 활용한 패킷 페이로드 기반의 네트워크 트래픽 분류시스템 |
| CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
-
2019
- 2019-06-18 CN CN201910528049.7A patent/CN110177122A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180116934A (ko) * | 2017-04-18 | 2018-10-26 | 한국기술교육대학교 산학협력단 | Cnn을 활용한 패킷 페이로드 기반의 네트워크 트래픽 분류시스템 |
| CN107682216A (zh) * | 2017-09-01 | 2018-02-09 | 南京南瑞集团公司 | 一种基于深度学习的网络流量协议识别方法 |
| CN108200006A (zh) * | 2017-11-21 | 2018-06-22 | 中国科学院声学研究所 | 一种基于层次化时空特征学习的网络流量分类方法及装置 |
| CN109729091A (zh) * | 2019-01-03 | 2019-05-07 | 湖南大学 | 一种基于多特征融合和CNN算法的LDoS攻击检测方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210125323A1 (en) * | 2019-10-25 | 2021-04-29 | Korea Institute Of Science And Technology | System and method for determining situation of facility by imaging sensing data of facility |
| US11580629B2 (en) * | 2019-10-25 | 2023-02-14 | Korea Institute Of Science And Technology | System and method for determining situation of facility by imaging sensing data of facility |
| CN111160427A (zh) * | 2019-12-17 | 2020-05-15 | 博雅信安科技(北京)有限公司 | 一种基于神经网络的海量流量数据类型的检测方法 |
| CN111160427B (zh) * | 2019-12-17 | 2023-04-18 | 博雅信安科技(北京)有限公司 | 一种基于神经网络的海量流量数据类型的检测方法 |
| CN110874646A (zh) * | 2020-01-16 | 2020-03-10 | 支付宝(杭州)信息技术有限公司 | 一种联邦学习的异常处理方法、装置及电子设备 |
| CN112734045A (zh) * | 2020-01-16 | 2021-04-30 | 支付宝(杭州)信息技术有限公司 | 一种联邦学习的异常处理方法、装置及电子设备 |
| CN111404942A (zh) * | 2020-03-18 | 2020-07-10 | 广东技术师范大学 | 一种基于深度学习的垂直类恶意爬虫流量识别方法 |
| CN111950358A (zh) * | 2020-07-01 | 2020-11-17 | 浙江中控技术股份有限公司 | 一种基于图像识别的阀门粘滞检测方法 |
| CN111866024A (zh) * | 2020-08-05 | 2020-10-30 | 国家计算机网络与信息安全管理中心 | 一种网络加密流量识别方法及装置 |
| CN112383516A (zh) * | 2020-10-29 | 2021-02-19 | 博雅正链(北京)科技有限公司 | 图神经网络构建方法、基于图神经网络的异常流量检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177122A (zh) | 一种识别网络安全风险的模型建立方法及装置 | |
| CN110674604B (zh) | 基于多维时序帧卷积lstm的变压器dga数据预测方法 | |
| CN106570513B (zh) | 大数据网络系统的故障诊断方法和装置 | |
| CN110175168A (zh) | 一种基于生成对抗网络的时间序列数据填补方法及系统 | |
| AU2020102874A4 (en) | A recommendation model for aero dynamic design of structures using deep recurrent neural network | |
| CN116610092A (zh) | 用于车辆分析的方法和系统 | |
| CN109859204A (zh) | 卷积神经网络模型检验方法及装置 | |
| CN110111885B (zh) | 属性预测方法、装置、计算机设备及计算机可读存储介质 | |
| Mandelli et al. | Dynamic PRA: an overview of new algorithms to generate, analyze and visualize data | |
| CN105991517B (zh) | 漏洞发掘方法和装置 | |
| CN115510042A (zh) | 基于生成对抗网络的电力系统负荷数据填补方法及装置 | |
| CN109543247A (zh) | 基于nsga-ⅱ的模拟集成电路参数优化设计方法及装置 | |
| CN110298007A (zh) | 用户行为统计方法、装置、电子设备及计算机可读存储介质 | |
| CN113361194B (zh) | 一种基于深度学习的传感器漂移校准方法、电子设备及存储介质 | |
| CN114399064A (zh) | 基于多源传感器数据融合的设备健康指标构建方法 | |
| CN109034636A (zh) | 功率持续快速变化下操纵员人因可靠性分析方法与装置 | |
| JP6458157B2 (ja) | データ分析装置および分析方法 | |
| CN111881620A (zh) | 一种基于强化学习算法和gan模型的用户软件行为模拟系统及其工作方法 | |
| WO2014173271A1 (zh) | 数字化人机界面监视单元数量优化方法及系统 | |
| CN116013546A (zh) | 一种基于疾病中文解释的死因链检测模型训练及检测方法 | |
| CN115712874A (zh) | 基于时间序列特征的热能动力系统故障诊断方法及装置 | |
| JPH11296496A (ja) | パターン認識装置 | |
| CN113377962A (zh) | 一种基于图像识别和自然语言处理的智能过程模拟方法 | |
| CN112580781A (zh) | 深度学习模型的处理方法、装置、设备和存储介质 | |
| CN110459276A (zh) | 一种数据处理方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190827 |
|
| RJ01 | Rejection of invention patent application after publication |