CN110719260A - 智能网络安全分析方法、装置及计算机可读存储介质 - Google Patents
智能网络安全分析方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110719260A CN110719260A CN201910868045.3A CN201910868045A CN110719260A CN 110719260 A CN110719260 A CN 110719260A CN 201910868045 A CN201910868045 A CN 201910868045A CN 110719260 A CN110719260 A CN 110719260A
- Authority
- CN
- China
- Prior art keywords
- request
- request event
- training
- flow
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Data Mining & Analysis (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种人工智能技术,揭露了一种智能网络安全分析方法,包括:接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作得到训练流量值,将所述请求事件与所述训练流量值分别输入至安全分析模型进行训练并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练,接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。本发明还提出一种智能网络安全分析装置以及一种计算机可读存储介质。本发明可以实现精准高效的智能网络安全分析功能。
Description
技术领域
本发明涉及人工智能技术领域,尤其涉及一种接收用户的请求操作,对所述用户的请求操作进行智能网络安全分析的方法、装置及计算机可读存储介质。
背景技术
计算机网络安全主要是指在网络系统运行过程中业务系统不会受到恶意破坏,信息资源及数据资源不会被恶意篡改,从而保证计算机系统及使用者的信息安全性。网络流量检测方法作为一种有效的防护手段,能够发现未知攻击行为,可以为保证业务系统正常工作提供重要技术支持,近年来受到越来越多的关注。传统的网络流量检测方法主要分四类:基于端口的方法、基于深度包检测的方法、基于统计的方法、基于行为的方法等。其中,基于端口的方法准确性较低,基于深度包检测的方法无法处理计算复杂度较高,而基于统计和基于行为的方法是基于机器学习的思路,虽然计算复杂度相对不高,但都需要设计一组能准确反映流量特性的特征集,所以特征集质量直接影响分类性能。
发明内容
本发明提供一种智能网络安全分析方法、装置及计算机可读存储介质,其主要目的在于对用户输入的请求操作进行准确智能的网络安全分析。
为实现上述目的,本发明提供的一种智能网络安全分析方法,包括:
接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件;
若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中;
若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练;
接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
可选地,将所述请求事件输入至流量检测中心分析得出请求流量值,包括:
将所述请求事件输入至所述流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值;
若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至所述缓冲区同时生成模型请求记录;
通过所述模型请求记录在所述缓冲区进行模拟,得到所述请求事件每个数据包的字节数,并累加所述字节数得到所述请求事件的请求流量值。
可选地,所述安全分析模型包括输入层、隐藏层、输出层和求解训练损失值;
其中,所述输入层接收所述训练流量值集,并对所述训练流量值集进行激活操作得到输出数据S;
所述隐藏层对所述输入层的输出数据S进行卷积操作后通过所述输出层输出,所述卷积操作为:
其中ω’为输出数据,k为卷积核的大小,p为所述卷积操作的步幅,t为数据补零矩阵。
可选地,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b为所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
可选地,所述求解训练损失值L(e)为:
其中,e为输出数据ω’与所述请求事件集yi的误差值,k为所述请求事件集的数量,yi为所述请求事件集,ω’为输出数据。
此外,为实现上述目的,本发明还提供一种智能网络安全分析装置,该装置包括存储器和处理器,所述存储器中存储有可在所述处理器上运行的智能网络安全分析程序,所述智能网络安全分析程序被所述处理器执行时实现如下步骤:
接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件;
若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中;
若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练;
接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
可选地,将所述请求事件输入至流量检测中心分析得出请求流量值,包括:
将所述请求事件输入至所述流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值;
若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至所述缓冲区同时生成模型请求记录;
通过所述模型请求记录在所述缓冲区进行模拟,得到所述请求事件每个数据包的字节数,并累加所述字节数得到所述请求事件的请求流量值。
可选地,所述安全分析模型包括输入层、隐藏层、输出层和求解训练损失值;
其中,所述输入层接收所述训练流量值集,并对所述训练流量值集进行激活操作得到输出数据S;
所述隐藏层对所述输入层的输出数据S进行卷积操作后通过所述输出层输出,所述卷积操作为:
其中ω’为输出数据,k为卷积核的大小,p为所述卷积操作的步幅,t为数据补零矩阵。
可选地,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b为所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有智能网络安全分析程序,所述智能网络安全分析程序可被一个或者多个处理器执行,以实现如上所述的智能网络安全分析方法的步骤。
本发明基于流量检测中心首先对多种请求事件进行流量值的判断,经过这种判断可过滤掉一部分潜在的网络异常请求操作,然后通过对流量分割、流量清洗并最终生成图像的手段,构造流量训练集输入至安全分析模型,通过第二次的分析可进一步提高对网络安全的分析,提高了分析准确率。因此本发明提出的智能网络安全分析方法、装置及计算机可读存储介质可以实现精准的智能网络安全分析功能。
附图说明
图1为本发明一实施例提供的智能网络安全分析方法的流程示意图;
图2为本发明一实施例提供的智能网络安全分析装置的内部结构示意图;
图3为本发明一实施例提供的智能网络安全分析装置中智能网络安全分析程序的模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种智能网络安全分析方法。参照图1所示,为本发明一实施例提供的智能网络安全分析方法的流程示意图。该方法可以由一个装置执行,该装置可以由软件和/或硬件实现。
在本实施例中,智能网络安全分析方法包括:
S1、接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值。
较佳地,所述客户端又称为用户端,是指与服务器相连接并为用户提供服务的程序,最常见的客户端包括聊天app、音乐播放软件、网页等。进一步地,所述客户端请求事件是对所述客户端的一系列操作,如用户更换自己在所述聊天app中的头像、用户批量在所述音乐播放软件中下载所选中的歌曲、用户在所述网页中打开新的网址链接或在网页中上传文件等操作都可被称为请求事件。
进一步地,所述流量检测中心基于一种流量轮廓监控技术,可实时分析出各个数据交换的流量值,如当用户更换自己在所述聊天app中的头像时,所述流量检测中心基于所述流量轮廓监控技术分析出此次更换头像所需要的请求流量值。
具体地,所述分析包括所述请求事件输入至流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值,若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至缓冲区同时生成模型请求记录,所述模型请求记录包括所述请求事件的源IP地址、目的IP地址、组成所述请求事件的所有数据包个数、每个数据包进入路由器的接口等,通过所述模拟请求记录进行模拟进而得到每个数据包的字节数直至累加得到所述请求事件的请求流量值。较佳地,所述流量检测中心对于每次的请求事件都有所备份,所述备份即为已知请求事件。
S2、若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件。
优选地,所述第一预设阈值为一个数据集合,根据不同的请求事件,所述第一预设阈值的数值不同。如用户批量在音乐播放软件中下载歌曲的请求流量值很大可能上一定比用户更换聊天头像所需要的请求流量值大,若将用户更换聊天头像所需要的最大请求流量值预设为10M,若此次发生的更换头像请求事件被所述流量检测中心分析出所需要的请求流量值为15M,则认为此次更换头像请求事件为威胁请求事件,不利于网络安全因此不给予执行。
S3、若所述请求流量值小于第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成操作得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中。
较佳地,根据S2所述可知,请求流量值由每个数据包的字节数累加得到,如用户在网页中上传文件的请求事件,所述数据包包括所述网页访问服务器端口的数据包、服务器给予所述网页访问回应的数据包、用户添加文件后,并再次访问服务器让服务器接收所述文件的数据包,服务器接收成功后给予用户接收成功或失败的反馈数据包等。因此,所述流量分割是将所述请求流量值分割为若干个流量分割值,如请求流量值总共为20M,经过所述流量分割后变为0.12M、1.17M、2.64M等若干流量分割值,具体地,所述流量分割是访问所述流量检测中心的分析过程,从而可以快速得到流量分割值。
优选地,所述流量清洗主要是去除上述流量分割所产生的异常流量分割值,如用户在网页中上传文件的请求事件的最终流量分割值集合为[0.12、1.17、2.64、0、9.11、0、0.34、0…],其中包括了若干个数值为0的流量分割值,所述数值为0的流量分割值产生原因是有些数据包是在服务器内部之间完成的操作,不存在流量消耗,而所述流量清洗是去除所述流量分割值为0的数值。
进一步地,由于后续安全分析模型对输入数据是基于图像形式进行分析,而所述图像是由若干个相同规格的矩阵组成,因此所述图像生成是将所述流量分割值集整理成相同规格的矩阵形式,较佳地,如所述流量分割值集为[0.12、1.17、2.64、9.11、0.34、7.43、6.12、7.17],则变为矩阵形式为其中不足部分的地方可进行补零操作或者取所述流量分割值集中平均值,而所述矩阵形式即为训练流量值集。
S4、若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述风险控制中心退出训练。
本发明较佳地,所述请求事件集与所述训练流量值集是一一对应的关系,如所述请求事件集有请求事件A,则所述训练流量值集中就有相应的矩阵形式的训练流量A与之一一对应。进一步地,所述第二预设阈值一般设置为5000。
较佳地,所述安全分析模型包括输入层、隐藏层和输出层。所述输入层接收所述训练流量值集,并对所述训练流量值集进行激活操作,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
进一步地,所述隐藏层对所述输入层的输出数据S进行卷积操作,所述卷积操作为:
其中ω’为输出数据,k为卷积核的大小,p为所述卷积操作的步幅,t为数据补零矩阵;
较佳地,所述安全分析模型根据所述输出层的输出数据ω’与所述请求事件集输入至损失函数中。所述损失函数根据所述输出数据ω’与所述请求事件集计算出训练损失值,判断所述训练损失值与第三预设阈值的大小,直至所述训练损失值小于所述第三预设阈值退出训练,所述损失函数为最小二乘法,所述训练损失值为L(e):
其中,e为所述输出数据ω’与所述请求事件集yi的误差值,k为所述请求事件集的数量,yi为所述请求事件集,ω’为所述输出数据。
S5、接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
发明还提供一种智能网络安全分析装置。参照图2所示,为本发明一实施例提供的智能网络安全分析装置的内部结构示意图。
在本实施例中,所述智能网络安全分析装置1可以是PC(Personal Computer,个人电脑),或者是智能手机、平板电脑、便携计算机等终端设备,也可以是一种服务器等。该智能网络安全分析装置1至少包括存储器11、处理器12,通信总线13,以及网络接口14。
其中,存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是智能网络安全分析装置1的内部存储单元,例如该智能网络安全分析装置1的硬盘。存储器11在另一些实施例中也可以是智能网络安全分析装置1的外部存储设备,例如智能网络安全分析装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括智能网络安全分析装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于智能网络安全分析装置1的应用软件及各类数据,例如智能网络安全分析程序01的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行智能网络安全分析程序01等。
通信总线13用于实现这些组件之间的连接通信。
网络接口14可选的可以包括标准的有线接口、无线接口(如WI-FI接口),通常用于在该装置1与其他电子设备之间建立通信连接。
可选地,该装置1还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在智能网络安全分析装置1中处理的信息以及用于显示可视化的用户界面。
图2仅示出了具有组件11-14以及智能网络安全分析程序01的智能网络安全分析装置1,本领域技术人员可以理解的是,图1示出的结构并不构成对智能网络安全分析装置1的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
在图2所示的装置1实施例中,存储器11中存储有智能网络安全分析程序01;处理器12执行存储器11中存储的智能网络安全分析程序01时实现如下步骤:
步骤一、接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值。
较佳地,所述客户端又称为用户端,是指与服务器相连接并为用户提供服务的程序,最常见的客户端包括聊天app、音乐播放软件、网页等。进一步地,所述客户端请求事件是对所述客户端的一系列操作,如用户更换自己在所述聊天app中的头像、用户批量在所述音乐播放软件中下载所选中的歌曲、用户在所述网页中打开新的网址链接或在网页中上传文件等操作都可被称为请求事件。
进一步地,所述流量检测中心基于一种流量轮廓监控技术,可实时分析出各个数据交换的流量值,如当用户更换自己在所述聊天app中的头像时,所述流量检测中心基于所述流量轮廓监控技术分析出此次更换头像所需要的请求流量值。
具体地,所述分析包括所述请求事件输入至流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值,若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至缓冲区同时生成模型请求记录,所述模型请求记录包括所述请求事件的源IP地址、目的IP地址、组成所述请求事件的所有数据包个数、每个数据包进入路由器的接口等,通过所述模拟请求记录进行模拟进而得到每个数据包的字节数直至累加得到所述请求事件的请求流量值。较佳地,所述流量检测中心对于每次的请求事件都有所备份,所述备份即为已知请求事件。
步骤二、若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件。
优选地,所述第一预设阈值为一个数据集合,根据不同的请求事件,所述第一预设阈值的数值不同。如用户批量在音乐播放软件中下载歌曲的请求流量值很大可能上一定比用户更换聊天头像所需要的请求流量值大,若将用户更换聊天头像所需要的最大请求流量值预设为10M,若此次发生的更换头像请求事件被所述流量检测中心分析出所需要的请求流量值为15M,则认为此次更换头像请求事件为威胁请求事件,不利于网络安全因此不给予执行。
步骤三、若所述请求流量值小于第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成操作得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中。
较佳地,根据S2所述可知,请求流量值由每个数据包的字节数累加得到,如用户在网页中上传文件的请求事件,所述数据包包括所述网页访问服务器端口的数据包、服务器给予所述网页访问回应的数据包、用户添加文件后,并再次访问服务器让服务器接收所述文件的数据包,服务器接收成功后给予用户接收成功或失败的反馈数据包等。因此,所述流量分割是将所述请求流量值分割为若干个流量分割值,如请求流量值总共为20M,经过所述流量分割后变为0.12M、1.17M、2.64M等若干流量分割值,具体地,所述流量分割是访问所述流量检测中心的分析过程,从而可以快速得到流量分割值。
优选地,所述流量清洗主要是去除上述流量分割所产生的异常流量分割值,如用户在网页中上传文件的请求事件的最终流量分割值集合为[0.12、1.17、2.64、0、9.11、0、0.34、0…],其中包括了若干个数值为0的流量分割值,所述数值为0的流量分割值产生原因是有些数据包是在服务器内部之间完成的操作,不存在流量消耗,而所述流量清洗是去除所述流量分割值为0的数值。
进一步地,由于后续安全分析模型对输入数据是基于图像形式进行分析,而所述图像是由若干个相同规格的矩阵组成,因此所述图像生成是将所述流量分割值集整理成相同规格的矩阵形式,较佳地,如所述流量分割值集为[0.12、1.17、2.64、9.11、0.34、7.43、6.12、7.17],则变为矩阵形式为其中不足部分的地方可进行补零操作或者取所述流量分割值集中平均值,而所述矩阵形式即为训练流量值集。
步骤四、若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述风险控制中心退出训练。
本发明较佳地,所述请求事件集与所述训练流量值集是一一对应的关系,如所述请求事件集有请求事件A,则所述训练流量值集中就有相应的矩阵形式的训练流量A与之一一对应。进一步地,所述第二预设阈值一般设置为5000。
较佳地,所述安全分析模型包括输入层、隐藏层和输出层。所述输入层接收所述训练流量值集,并对所述训练流量值集进行激活操作,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
进一步地,所述隐藏层对所述输入层的输出数据S进行卷积操作,所述卷积操作为:
其中ω’为输出数据,k为卷积核的大小,p为所述卷积操作的步幅,t为数据补零矩阵;
较佳地,所述安全分析模型根据所述输出层的输出数据ω’与所述请求事件集输入至损失函数中。所述损失函数根据所述输出数据ω’与所述请求事件集计算出训练损失值,判断所述训练损失值与第三预设阈值的大小,直至所述训练损失值小于所述第三预设阈值退出训练,所述损失函数为最小二乘法,所述训练损失值为L(e):
其中,e为所述输出数据ω’与所述请求事件集yi的误差值,k为所述请求事件集的数量,yi为所述请求事件集,ω’为所述输出数据。
步骤五、接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
可选地,在其他实施例中,智能网络安全分析程序还可以被分割为一个或者多个模块,一个或者多个模块被存储于存储器11中,并由一个或多个处理器(本实施例为处理器12)所执行以完成本发明,本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,用于描述智能网络安全分析程序在智能网络安全分析装置中的执行过程。
例如,参照图3所示,为本发明智能网络安全分析装置一实施例中的智能网络安全分析程序的程序模块示意图,该实施例中,所述智能网络安全分析程序可以被分割为数据接收并判断模块10、数据处理模块20、模型训练模块30、安全分析结果输出模块40示例性地:
所述数据接收并判断模块10用于:接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件。
所述数据处理模块20用于:若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中。
所述模型训练模块30用于:若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练。
所述安全分析结果输出模块40用于:接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果
上述数据接收并判断模块10、数据处理模块20、模型训练模块30、安全分析结果输出模块40等程序模块被执行时所实现的功能或操作步骤与上述实施例大体相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有智能网络安全分析程序,所述智能网络安全分析程序可被一个或多个处理器执行,以实现如下操作:
接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件;
若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中;
若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练;
接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种智能网络安全分析方法,其特征在于,所述方法包括:
接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件;
若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中;
若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练;
接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
2.如权利要求1所述的智能网络安全分析方法,其特征在于,将所述请求事件输入至流量检测中心分析得出请求流量值,包括:
将所述请求事件输入至所述流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值;
若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至所述缓冲区同时生成模型请求记录;
通过所述模型请求记录在所述缓冲区进行模拟,得到所述请求事件每个数据包的字节数,并累加所述字节数得到所述请求事件的请求流量值。
4.如权利要求3中的智能网络安全分析方法,其特征在于,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b为所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
6.一种智能网络安全分析装置,其特征在于,所述装置包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的智能网络安全分析程序,所述智能网络安全分析程序被所述处理器执行时实现如下步骤:
接收客户端请求事件,将所述请求事件输入至流量检测中心分析得出请求流量值,若所述请求流量值大于第一预设阈值,将所述请求事件鉴定为威胁请求事件;
若所述请求流量值小于所述第一预设阈值,对所述请求流量值进行包括流量分割、流量清洗及图像生成的处理操作,得到训练流量值,将所述请求事件与所述训练流量值分别输入至数据库中的请求事件集和训练流量值集中;
若所述数据库中的请求事件集大小达到第二预设阈值,将所述请求事件集与所述训练流量值集输入至安全分析模型进行训练,并得到训练损失值,直至所述训练损失值小于第三预设阈值,所述安全分析模型退出训练;
接收用户的请求操作,依次利用所述流量检测中心和所述安全分析模型得出用户的所述请求操作是否为威胁请求事件并输出分析结果。
7.如权利要求6所述的智能网络安全分析装置,其特征在于,将所述请求事件输入至流量检测中心分析得出请求流量值,包括:
将所述请求事件输入至所述流量检测中心,所述流量检测中心判断所述请求事件是否属于已知请求事件,若属于已知请求事件直接输出请求流量值;
若所述请求事件不属于已知请求事件,所述流量检测中心创建缓冲区,将所述请求事件输入至所述缓冲区同时生成模型请求记录;
通过所述模型请求记录在所述缓冲区进行模拟,得到所述请求事件每个数据包的字节数,并累加所述字节数得到所述请求事件的请求流量值。
9.如权利要求8所述的智能网络安全分析装置,其特征在于,所述激活操作为:
S=θ(ωXi+b)
其中,S为所述激活操作的输出值,θ为所述安全分析模型参数,ω为所述安全分析模型的权重,b为所述安全分析模型的偏置,X为所述训练流量值集,i为所述训练流量值集内数据的编号。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有智能网络安全分析程序,所述智能网络安全分析程序可被一个或者多个处理器执行,以实现如权利要求1至5中任一项所述的智能网络安全分析方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910868045.3A CN110719260B (zh) | 2019-09-09 | 2019-09-09 | 智能网络安全分析方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910868045.3A CN110719260B (zh) | 2019-09-09 | 2019-09-09 | 智能网络安全分析方法、装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110719260A true CN110719260A (zh) | 2020-01-21 |
CN110719260B CN110719260B (zh) | 2022-07-29 |
Family
ID=69210465
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910868045.3A Active CN110719260B (zh) | 2019-09-09 | 2019-09-09 | 智能网络安全分析方法、装置及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110719260B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108173818A (zh) * | 2017-12-13 | 2018-06-15 | 北京明朝万达科技股份有限公司 | 一种基于Proxy日志数据的网络安全威胁分析方法及系统 |
CN109274547A (zh) * | 2018-08-17 | 2019-01-25 | 中国平安人寿保险股份有限公司 | 基于网络安全的服务熔断方法、装置、设备及存储介质 |
-
2019
- 2019-09-09 CN CN201910868045.3A patent/CN110719260B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108173818A (zh) * | 2017-12-13 | 2018-06-15 | 北京明朝万达科技股份有限公司 | 一种基于Proxy日志数据的网络安全威胁分析方法及系统 |
CN109274547A (zh) * | 2018-08-17 | 2019-01-25 | 中国平安人寿保险股份有限公司 | 基于网络安全的服务熔断方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
刘健男: ""基于支持向量机的网络流量分类检测系统的研究与实现"", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Also Published As
Publication number | Publication date |
---|---|
CN110719260B (zh) | 2022-07-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10248910B2 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
CN113315742B (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
CN114095567B (zh) | 数据访问请求的处理方法、装置、计算机设备及介质 | |
CN108600172B (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
WO2018027226A1 (en) | Detection mitigation and remediation of cyberattacks employing an advanced cyber-decision platform | |
CN110572402B (zh) | 基于网络访问行为分析的互联网托管网站检测方法、系统和可读存储介质 | |
WO2019018829A1 (en) | MITIGATING IMPROVED CYBERSECURITY THREATS USING DEEP AND BEHAVIORAL ANALYTICS | |
CN107222497A (zh) | 网络流量异常监测方法及电子设备 | |
CN113098852B (zh) | 一种日志处理方法及装置 | |
CN114666101A (zh) | 一种攻击溯源检测系统、方法、设备及介质 | |
CN113472798A (zh) | 一种网络数据包的回溯解析方法、装置、设备及介质 | |
CN110719260B (zh) | 智能网络安全分析方法、装置及计算机可读存储介质 | |
US9235639B2 (en) | Filter regular expression | |
CN113254672B (zh) | 异常账号的识别方法、系统、设备及可读存储介质 | |
CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
CN114003784A (zh) | 请求录制方法、装置、设备及存储介质 | |
CN113014555B (zh) | 一种攻击事件的确定方法、装置、电子设备和存储介质 | |
CA3153550A1 (en) | Core recommendation method, device and system | |
CN114679335A (zh) | 电力监控系统网络安全风险评估训练、评估方法及设备 | |
CN111882415A (zh) | 一种质量检测模型的训练方法和相关装置 | |
CN106487771A (zh) | 入侵行为的获取方法及装置 | |
CN113194075B (zh) | 访问请求的处理方法、装置、设备及存储介质 | |
CN116886452B (zh) | 一种主机失陷研判方法及系统 | |
CN114237915B (zh) | 分布式环境下基于机器学习的数据修复方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |