CN110730164B - 安全预警方法及相关设备、计算机可读存储介质 - Google Patents
安全预警方法及相关设备、计算机可读存储介质 Download PDFInfo
- Publication number
- CN110730164B CN110730164B CN201910880321.8A CN201910880321A CN110730164B CN 110730164 B CN110730164 B CN 110730164B CN 201910880321 A CN201910880321 A CN 201910880321A CN 110730164 B CN110730164 B CN 110730164B
- Authority
- CN
- China
- Prior art keywords
- attribute data
- data
- target
- network security
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Computational Mathematics (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Virology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Biophysics (AREA)
- Evolutionary Biology (AREA)
- Biomedical Technology (AREA)
- Evolutionary Computation (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Molecular Biology (AREA)
- Algebra (AREA)
- Databases & Information Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例公开了一种安全预警方法及相关设备、计算机可读存储介质。该方法包括:获取目标设备的属性数据,属性数据的数据类型包括数值型数据和非数值型数据;预处理获取的属性数据,包括分箱数值型数据,以及编码非数值型数据;然后输入预处理后的属性数据分别到N个算法不同的网络安全模型中训练,将该N个算法不同的网络安全模型的输出进行预设规则计算,根据预设规则计算后的结果描述了目标设备的安全指数。采用本发明实施例,能够对目标设备的网络安全进行检测,通过多模型融合的方式提升了检测的精确度。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种安全预警方法及相关设备、计算机可读存储介质。
背景技术
网络信息化发展日新月异,恶意攻击更新迭代速度惊人,据统计,每天全球有超过5000个新型恶意攻击产生,电脑管家必须在恶意软件传播以前准确识别并消灭它们。恶意软件识别是计算机安全的一个重要领域。每时每刻我们的计算机都在受到威胁,无论我们用计算机做什么:浏览网址、观看视屏、发送电子邮件……藏在阴暗面的攻击者都在试图通过上述过程潜入我们的计算机,窃取信息,盗取电子财物。我们之所以能在充满威胁的网络里自由“冲浪”,是得益于形式多样的“电脑管家”的保护,它主要通过监控网络和系统的状态及使用情况,识别系统外的恶意用户对系统的非法入侵,保障系统提供安全,维持稳定的系统环境。
预警机制是检测网络安全中的一个重要环节,由于攻击手段的多样性和网络环节的复杂性,单纯依靠基于误用和基于异常的检测机制将产生过度冗余报警信息,使系统不能满足对实时性的需要;传统电脑管家大多是基于规则的,开发电脑管家的软件工程师们,仔细分析每一个恶意软件的攻击行为,总结它们的攻击特点,提出了一条条保护电脑的规则,一旦某个软件的行为触发了保护规则,则认定为该软件是恶意软件。每当新型恶意软件出现的时候,就是工程师们熬夜加班修补漏洞的时候,需要重新对新的恶意软件制定新的规则,通过仔细分析每该恶意软件的攻击行为,总结它们的攻击特点,来识别出该恶意软件,可想而知的是,该种方法费时费力,效率不高。因此,如何方便而又准确的对恶意软件进行攻击预警是本领域技术人员正在研究的问题。
发明内容
本发明实施例公开了一种安全预警方法及相关设备、计算机可读存储介质,能够方便而又准确的对恶意软件进行攻击预警。
第一方面,本发明实施例提供了一种安全预警方法,该方法包括:
获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;
将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了所述目标设备的网络安全指数。
在上述方法中,首先获取目标设备的目标属性数据,该目标属性数据描述了目标设备的硬件设施和软件配置;然后输入目标属性数据分别到N个算法不同的网络安全模型中,其中N为大于或等于2的正整数,该N个算法不同的网络安全模型用于预测目标设备的网络安全指数;将N个模型的输出结果进行预设规则计算,以得到最终的预测结果,该预测结果描述了目标设备的网络安全指数。本申请实施例能够对目标设备的网络安全进行检测,通过多模型融合的方式提升了检测的精确度。
基于第一方面,在其中一种可选的实现方式中,所述获取目标设备的目标属性数据包括:
获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码。
这种实现方式对获取的属性数据进行预处理,即对数值型数据进行分箱,以及对非数值型数据进行编码,这种对不同的数据类型进行不同的预处理的方式,能够提高模型的预测精度。
基于第一方面,在其中一种可选的实现方式中,所述获取目标设备的目标属性数据包括:
获取目标设备的目标属性数据,所述目标属性数据包括所述目标设备在预设时间段内和/或预设区域内的属性数据,所述属性数据描述了所述目标设备的硬件设施和软件配置。
这种实现方式通过获取目标设备在预设时间段内和/或预设区域内的属性数据,可以精确的得到所需的时间或区域范围内的网络安全指数。
基于第一方面,在其中一种可选的实现方式中,所述N个不同的深度学习模型中至少包括xDeepFM模型;所述xDeepFM模型用于对所述目标属性数据进行训练,从而预测所述目标设备的网络安全指数。
基于第一方面,在其中一种可选的实现方式中,所述将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
根据所述预测结果输出网络安全预警,所述网络安全预警包括所述目标设备的网络安全等级或所述目标设备的网络安全等级的文字描述。
基于第一方面,在其中一种可选的实现方式中,所述将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
若所述预测结果的数据大于预设阈值,则表示所述目标设备处于不安全状态,输出网络安全预警,所述网络安全预警包括所述目标设备的安全等级或所述目标设备的网络安全等级的文字描述。
第二方面,本发明实施例提供了一种安全预警装置,包括:
获取单元,用于获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
输入单元,用于将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;
计算单元,用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果的数据描述了所述目标设备的网络安全指数。
基于第二方面,在其中一种可选的实现方式中,所述获取单元具体包括:
所述获取单元,还用于获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理单元,用于预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码,所述目标属性数据包括所述预处理后的属性数据。
基于第二方面,在其中一种可选的实现方式中,所述获取单元具体包括:
所述获取单元,还用于获取目标设备的目标属性数据,所述目标属性数据包括所述目标设备在预设时间段内和/或预设区域内的属性数据,所述属性数据描述了所述目标设备的硬件设施和软件配置。
基于第二方面,在其中一种可选的实现方式中,所述N个不同的深度学习模型中至少包括xDeepFM模型;所述xDeepFM模型用于对所述目标属性数据进行训练,从而预测所述目标设备的网络安全指数。
基于第二方面,在其中一种可选的实现方式中,所述装置还包括:
输出单元,用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,根据所述预测结果输出网络安全预警,所述网络安全预警包括所述目标设备的网络安全等级或所述目标设备的网络安全等级的文字描述。
基于第二方面,在其中一种可选的实现方式中,所述装置还包括:
所述输出单元,还用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,若所述预测结果的数据大于预设阈值,则表示所述目标设备处于不安全状态,输出网络安全预警,所述网络安全预警包括所述目标设备的安全等级或所述目标设备的网络安全等级的文字描述。
需要说明的是,第二方面的实现方式及相应的有益效果可以参照第一方面以及相应实现方式中的描述,此处不再赘述。
第三方面,本发明实施例提供了一种安全预警设备,其特征在于,包括处理器、存储器和通信设备,处理器、存储器和通信设备相互连接,其中,存储器用于存储计算机程序,通信设备用于与外部设备进行信息交互;处理器被配置用于调用计算机程序,执行如第一方面所述的方法。
需要说明的是,第三方面的实现方式及相应的有益效果可以参照第一方面以及相应实现方式中的描述,此处不再赘述。
第四方面,本发明实施例提供了一种计算机可读存储介质,所述计算机存储介质存储有程序指令,所述程序指令当被处理器执行时使所述处理器执行第一方面所述的方法。
需要说明的是,第四方面的实现方式及相应的有益效果可以参照第一方面以及相应实现方式中的描述,此处不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施例或背景技术中所需要使用的附图作简单地介绍。
图1是本发明实施例提供的一种安全预警方法的系统架构图;
图2是本发明实施例提供的一种安全预警方法的流程示意图;
图3是本发明实施例提供的一种安全预警装置的结构示意图;
图4是本发明实施例提供的一种安全预警设备的结构示意图。
具体实施方式
下面将结合附图对本发明实施例中的技术方案进行描述。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。在本申请说明书中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。在本说明书中使用的术语“设备”、“单元”、“系统”等用于表示计算机相关的实体、硬件、固件、硬件和软件的组合、软件、或执行中的软件。例如,设备可以是但不限于,处理器,数据处理平台,计算设备,计算机,2个或更多个计算机等。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
首先,对本申请中的部分用语进行解释说明,以便于本领域技术人员理解。
(1)xDeepFM模型:一种极深因子分解机模型,将CIN与线性回归单元、全连接神经网络单元组合在一起,得到最终的模型,不仅能同时以显式和隐式的方式自动学习高阶的特征交互,使特征交互发生在向量级,还兼具记忆与泛化的学习能力,可以通过结合显式和隐式的高阶特征交互能力来提升预测模型的精准度。相比于其他类型的深度分解机算法,它更容易训练,通过引入压缩交互网络(Compressed Interaction Network,CIN),发掘特征之间的组合关系。
(2)LightGBM模型:基于决策树算法的分布式梯度提升框架,比Xgboost更强大、速度更快的模型,性能上有很大的提升,与传统算法相比具有的优点:更快的训练效率、低内存使用、更高的准确率、支持并行化学习、可处理大规模数据、原生支持类别特征、不需要对类别特征再进行0-1编码等。
为了更好的理解本发明实施例提供的一种安全预警方法及相关设备,下面先对本发明实施例的安全预警方法的系统架构进行描述。如图1所示,其为本发明实施例提供的一种安全预警方法的系统架构示意图,该系统可以包括一个或多个服务器(多个服务器可以构成一个服务器集群),以及一个或多个终端(或设备),其中:
服务器可以包括但不限于后台服务器、组件服务器、数据处理服务器等,服务器可以通过互联网与多个终端进行通信。服务器为终端提供安全预警服务。服务器上需要运行有相应的服务器端程序来提供相应的安全预警服务,如数据库服务、数据计算、决策执行等等。
终端可以安装并运行相关的应用。应用是指与服务器相对应,为客户提供本地服务的程序。这里,该本地服务可包括但不限于:向服务器发送信息(例如属性数据信息)和接收服务器发送的信息(例如安全预警信息)以及共享信息等等。本方案实施例中的终端可以包括但不限于任何一种基于智能操作系统的电子产品,其可与用户通过键盘、虚拟键盘、触摸板、触摸屏以及声控设备等输入设备来进行人机交互,诸如智能手机、平板电脑、个人电脑等。其中,智能操作系统包括但不限于任何通过向移动设备提供各种移动应用来丰富设备功能的操作系统,诸如安卓(AndroidTM)、iOSTM、Windows PhoneTM等。
下面结合图2就本申请的安全预警方法进行说明,如图2所示,其为本申请实施例提供的一种安全预警方法的流程示意图,该方法可以基于图1所示的系统架构或者其他架构来实现,该方法可以包括但不限于以下步骤:
步骤S101:获取目标设备的目标属性数据,所述目标属性数据描述了目标设备的硬件设施和软件配置。
具体地,目标属性数据描述了设备的硬件设施和软件配置,目标属性数据的数据类型包括数值型数据和非数值型数据,可以通过导入文档或目标设备自动收集等方式获取目标设备的目标属性数据;举例来说,目标设备的属性数据可以通过安装在目标设备上的windows系统收集得到,通过Microsoft端点保护方案和Windows Defender收集的威胁报告组合生成的计算机属性数据,属性数据可以包括设备运行状况指标、软硬件环境如系统、防火墙版本、杀毒软件个数、默认浏览器、屏幕分辨率、处理器的核心数、处理器的架构、运行内存大小、硬盘容量等。目标设备的属性数据还可以通过其他设施的输入来获取,例如用户输入、文档导入等方式。
在其中一个实施方式中,在获取目标设备的目标属性数据之前,获取目标设备的属性数据,预处理该属性数据,其中,预处理包括分箱数值型数据,以及编码非数值型数据,对于数值型数据,根据数据的分布范围进行分箱预处理,其中分箱处理为按照预设规则将数据划分为多个分箱,便于后续的输入,下面列举两类分箱方式,一类为等距离分箱,即等宽度分箱,设数据散布的范围划分为K个等宽的空间,每个空间为一个分箱;另一类为等频度分箱,即等深度分箱,根据数据的个数划分为T个数据个数相等的分箱,其中K、T均为正整数;对于非数值型数据,也可以说是类别型数据,类别型数据在模型中通常无法直接使用,需要将类别型数据编码为模型可识别的数据特征。经过数据预处理,使得数据符合后续深度学习模型的输入要求,这种对不同的数据类型进行不同的预处理的方式,能够提高模型的预测精度。
在其中一个实施方式中,获取目标设备的目标属性数据,其中目标属性数据包括目标设备在预设时间段内和/或预设区域内的属性数据,属性数据描述了目标设备的硬件设施和软件配置。举例来说,预设时间段为最近半年内,预设区域为固定硬盘(例如C盘),目标设备可以获取距离当前时间的半年内的属性数据(硬件设施和软件数据),也可以获取C盘的属性数据,也可以获取C盘距离当前时间的半年内的属性数据,来作为目标属性数据,这种实现方式通过获取目标设备在预设时间段内和/或预设区域内的属性数据,可以精确的得到所需的时间或区域范围内的网络安全指数。
步骤S102:将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果;
具体地,获取目标设备的目标属性数据后,将目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,N为大于或等于2的正整数,每个网络安全模型得到一个输出结果,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数,由于使用的网络安全模型的算法不同,则每个模型的输出结果也是不同的,根据不同模型的不同算法特性以及侧重点,可以综合得出不同思路的输出结果,提高了最终的预测结果的准确性。
举例来说,在本申请实施例中,模型一使用LightGBM模型,基于梯度提升决策树的算法,针对大数据集训练做出了特殊的优化,在保证训练准确率的基础上,大大提升了训练速度,将预处理后的属性数据(分箱后的数值型数据和编码后的类别型数据)输入到LightGBM模型中,LightGBM模型输出该属性数据对应的目标设备可能受攻击的概率;考虑到电脑属性数据中多为类别型数据,因此模型二采用xDeepFM模型,基于深度学习算法,挖掘容易受到攻击电脑的特征组合,将预处理后的属性数据(分箱后的数值型数据和编码后的类别型数据)输入到xDeepFM模型中,通过结合显式和隐式的高阶特征交互能力来提升预测的精准度,xDeepFM模型输出该属性数据对应的目标设备可能受攻击的概率。由于属性数据中同时包含数值型和类别型数据,结合LightGBM在处理数值型数据上的优势和xDeepFM上在处理类别数据上的优势,得到了更加准确的结果。其中,LightGBM模型和xDeepFM模型均为深度学习模型,在使用这两个模型进行网络安全预测之前,通过大量样本数据对这两个模型进行特征训练,在训练过程中逐渐提高模型的准确度以达到所需的准确度。
由于xDeepFM模型可以说是将CIN与线性回归单元(线性模块)、全连接神经网络单元组合在一起的模型,为了提高模型的通用性,xDeepFM中不同的模块共享相同的输入数据。而在具体的应用场景下,不同的模块也可以接入各自不同的输入数据,例如,线性模块中依旧可以接入很多根据先验知识提取的交叉特征来提高记忆能力,而在CIN或者DNN中,为了减少模型的计算复杂度,可以只导入一部分稀疏的特征子集,在本申请实施例中,xDeepFM中不同的模块可以共享相同的输入数据,也可以在线性模块中接入攻击样本数据,在CIN或者DNN中,导入预处理后的属性数据。其中,集成的CIN和DNN两个模块能够帮助模型同时以显式和隐式的方式学习高阶的特征交互,而集成的线性模块和深度神经模块也让模型兼具记忆与泛化的学习能力。
可以理解的,还可以选取三个或三个以上的模型,输入该预处理后的属性数据到选取的三个或三个以上的模型中训练,本申请实施例采用的模型为经过不断训练同时在训练中不断优化的模型,每一次向模型中输入预处理后的属性数据,根据输出的结果从数据中分析出强相关的特征向量,即从所有的输出结果的准确度中选取准确度最高的特征组合,选择最佳的特征组合方式,根据最佳的特征向量组合提升模型的准确度。
在其中一个实施方式中,可以将数据按照类型预先分类,根据不同模型的不同特点,输入到不同的模型中以提高准确度,举例来说,由于LightGBM模型处理数值型数据精度更高,而xDeepFM模型处理类别型数据精度更高,则将目标属性数据分为数值型数据和类别型数据,将数值型数据输入到LightGBM模型中,将类别型数据输入到xDeepFM模型中。
在其中一个实施方式中,还可以将数据按照时间预先分类,不同时间段的数据只取部分进行训练,以提高预测的准确度,举例来说,对于距离当前时间半年以内的数据全部提取,半年至五年的数据随机提取一半,五年以上的数据随机提取5%,这些数据构成目标属性数据,输入到N个模型中。
步骤S103:将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了所述目标设备的网络安全指数。
具体地,输入预处理后的属性数据到N个模型中训练后,将N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了目标设备的网络安全指数,其中该预设规则计算可以是通过预设比例的分配加权,当N大于等于3时可以是取N个模型的输出数据的中位数,等等。举例来说,若N为2,模型一使用LightGBM模型,模型二采用xDeepFM模型,将预处理后的属性数据分别输入到这两个模型中,两个模型分别输出一个结果,这个结果为目标设备可能受到恶意攻击的概率,将这两个模型的输出结果进行预设规则计算,该预设规则为通过预设比例4:6的分配加权,即取LightGBM模型的输出数据的40%,xDeepFM模型的输出数据的60%,相加后得到最终结果,得出目标设备可能受到恶意攻击的概率;若N为3,将三个模型的输出结果进行预设规则计算,该预设规则为取三个模型的输出数据的中位数,从而得到最终结果,得出目标设备可能受到恶意攻击的概率。
在其中一个实施方式中,将所述N个模型的输出进行预设规则计算之后,得出目标设备可能受到恶意攻击的概率,根据所述预设规则计算后的结果输出安全通知,其中,安全通知包括目标设备的安全分数或目标设备安全等级或目标设备的安全等级的文字描述,举例来说,若N为2,模型一输出的结果为0.5,模型二输出的结果为0.8,将这两个结果进行预设规则计算为0.65,根据预设规则可以有多种输出安全通知的方式,接下来列举三种:方式一,通过计算的结果0.65,该安全通知可以直接输出为一个安全分数65%,表示目标设备的受攻击的概率为65%;方式二,预设安全等级,例如若结果在0-0.2之间,则安全等级为A,表明目标设备安全,若结果在0.2-0.5之间,则安全等级为B,表明目标设备受攻击概率较低,若结果在0.5-0.8之间,则安全等级为C,表明目标设备受攻击概率较高,若结果在0.8-1之间,则安全等级为D,表明目标设备极易受到恶意攻击,通过计算的结果0.65,该安全通知输出为等级C;方式三,预设方式二中的安全等级后,该安全通知输出也可以为安全等级相应的文字描述“受攻击概率较高”。可选的,安全通知还可以包括受攻击的来源以及原因,举例来说,目标设备受攻击的概率为65%,其中存在浏览器防护功能受木马攻击、软件垃圾剩余等问题。
在其中一个实施方式中,将所述N个模型的输出进行预设规则计算之后,得出目标设备可能受到恶意攻击的概率,若根据预设规则计算后的结果大于阈值,则输出安全通知,举例来说,阈值为0.5,若N为2,模型一输出的结果为0.5,模型二输出的结果为0.8,将这两个结果进行预设规则计算为0.65,大于阈值,则判断该目标设备容易受到恶意攻击,则输出安全预警;若阈值为0.7,小于阈值,则判断该目标设备不容易受到恶意攻击,不输出安全预警。
实施本申请实施例,获取目标设备的属性数据,属性数据的数据类型包括数值型数据和非数值型数据;预处理获取的属性数据,包括分箱数值型数据,以及编码非数值型数据;然后输入预处理后的属性数据分别到N个模型中训练,将N个模型的输出进行预设规则计算,根据预设规则计算后的结果描述了目标设备的安全指数。通过对设备的属性数据的处理,结合多个模型的综合输出,能够提升对目标设备的安全指数检测的精确度。
为了便于更好地实施本申请实施例的上述方案,本申请还对应提供了一种安全预警装置,下面结合附图来进行详细说明:
如图3所示,本申请实施例提供一种安全预警装置30的结构示意图,安全预警装置30可以包括:获取单元301、输入单元302和计算单元303,其中,
获取单元301,用于获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
输入单元302,用于将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;
计算单元303,用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果的数据描述了所述目标设备的网络安全指数。
在其中一种实现方式中,所述获取单元301具体包括:
所述获取单元301,还用于获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理单元304,用于预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码,所述目标属性数据包括所述预处理后的属性数据。
在其中一种实现方式中,所述获取单元301,还用于获取目标设备的目标属性数据,所述目标属性数据包括所述目标设备在预设时间段内和/或预设区域内的属性数据,所述属性数据描述了所述目标设备的硬件设施和软件配置。
在其中一种实现方式中,所述N个不同的深度学习模型中至少包括xDeepFM模型;所述xDeepFM模型用于对所述目标属性数据进行训练,从而预测所述目标设备的网络安全指数。
在其中一种实现方式中,所述装置还包括输出单元305,用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,根据所述预测结果输出网络安全预警,所述网络安全预警包括所述目标设备的网络安全等级或所述目标设备的网络安全等级的文字描述。
在其中一种实现方式中,所述输出单元305,还用于将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,若所述预测结果的数据大于预设阈值,则表示所述目标设备处于不安全状态,输出网络安全预警,所述网络安全预警包括所述目标设备的安全等级或所述目标设备的网络安全等级的文字描述。
需要说明的是,本申请实施例中图3所描述的装置中各功能单元的功能可参见上述图2中所述的方法实施例中步骤S201-步骤S203的相关描述,此处不再赘述。
根据以上安全预警装置图,请参考图4,图4是本申请实施例提供的一种简化的安全预警设备结构示意图。便于理解和图示方便,图4的安全预警设备40中,可以包括以下一个或多个组件:存储器401、处理器402、通信设备403和输入/输出设备404。
存储器401可以包括一个或多个存储单元,每个单元可以包括一个或多个存储器,存储器可用于存储程序和各种数据,并能在安全预警设备40运行过程中高速、自动地完成程序或数据的存取。当图4所示的安全预警设备40,执行图2所述方法时,存储器可以用来存储安全预警、安全预警以及其他相关数据等。
通信设备403,也可以称为收发机,或收发器等,其中可以包括用来进行无线、有线或其他通信方式的单元。可选的,可以将403部分中用于实现接收功能的器件视为接收单元,将用于实现发送功能的器件视为发送单元,即403部分包括接收单元和发送单元。
处理器402,处理器也可以称为处理单元,处理单板,处理模块,处理装置等。处理器可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。当图4所示的安全预警设备40,执行图2所述方法时,所述处理器402调用所述存储器401的安全预警程序,执行以下步骤:
通过所述通信设备403获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;
将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了所述目标设备的网络安全指数。
在其中一种实施方式中,所述处理器402获取目标设备的目标属性数据包括:
通过所述通信设备403获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码,所述目标属性数据包括所述预处理后的属性数据。
在其中一种实施方式中,所述处理器402获取目标设备的目标属性数据包括:
获取目标设备的目标属性数据,所述目标属性数据包括所述目标设备在预设时间段内和/或预设区域内的属性数据,所述属性数据描述了所述目标设备的硬件设施和软件配置。
在其中一种实施方式中,所述N个不同的深度学习模型中至少包括xDeepFM模型;所述xDeepFM模型用于对所述目标属性数据进行训练,从而预测所述目标设备的网络安全指数。
在其中一种实施方式中,所述处理器402将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
根据所述预测结果输出网络安全预警,所述网络安全预警包括所述目标设备的网络安全等级或所述目标设备的网络安全等级的文字描述。
在其中一种实施方式中,所述处理器402将所述N个模型的输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
若所述预测结果的数据大于预设阈值,则表示所述目标设备处于不安全状态,输出网络安全预警,所述网络安全预警包括所述目标设备的安全等级或所述目标设备的网络安全等级的文字描述。
需要说明的是,本申请实施例中的安全预警设备40中处理器402的执行步骤可参考上述各方法实施例中图2实施例中的具体实现方式,这里不再赘述。
输入/输出设备404,可以为安全预警设备40外围部件接口之间提供接口,上述外围部件可以为键盘,鼠标,显示器,按钮,相似装置等。这些按钮可包括但不限于:启动/关闭按钮,锁定按钮和重置按钮等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
在本申请中,所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本申请实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。尽管在此结合各实施例对本申请进行了描述,然而,在实施例所要求保护的本申请过程中,本领域技术人员可理解并实现公开实施例的其他变化。
Claims (9)
1.一种安全预警方法,其特征在于,包括:
获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;其中,所述N个算法不同的网络安全模型包括LightGBM模型和xDeepFM模型;所述LightGBM模型是基于决策树算法的分布式梯度提升框架;所述xDeepFM模型包括压缩交互网络CIN、线性回归单元和全连接神经网络单元,所述线性回归单元中接入攻击样本数据,所述CIN或者全连接神经网络单元中导入预处理后的属性数据,所述预处理包括对数值型数据进行分箱,以及对非数值型数据进行编码;
将所述N个输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了所述目标设备的网络安全指数。
2.根据权利要求1所述的方法,其特征在于,所述获取目标设备的目标属性数据包括:
获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码。
3.根据权利要求1所述的方法,其特征在于,所述获取目标设备的目标属性数据包括:
获取目标设备的目标属性数据,所述目标属性数据包括所述目标设备在预设时间段内和/或预设区域内的属性数据,所述属性数据描述了所述目标设备的硬件设施和软件配置。
4.根据权利要求1所述的方法,其特征在于,所述将所述N个输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
根据所述预测结果输出网络安全预警,所述网络安全预警包括所述目标设备的网络安全等级或所述目标设备的网络安全等级的文字描述。
5.根据权利要求1所述的方法,其特征在于,所述将所述N个输出结果进行预设规则计算,以得到最终的预测结果之后,还包括:
若所述预测结果的数据大于预设阈值,则表示所述目标设备处于不安全状态,输出网络安全预警,所述网络安全预警包括所述目标设备的安全等级或所述目标设备的网络安全等级的文字描述。
6.一种安全预警装置,其特征在于,包括:
获取单元,用于获取目标设备的目标属性数据,所述目标属性数据描述了所述目标设备的硬件设施和软件配置;
输入单元,用于将所述目标属性数据分别输入到N个算法不同的网络安全模型中进行训练,得到N个输出结果,其中,所述N为大于或等于2的正整数,所述N个算法不同的网络安全模型用于预测所述目标设备的网络安全指数;其中,所述N个算法不同的网络安全模型包括LightGBM模型和xDeepFM模型;所述LightGBM模型是基于决策树算法的分布式梯度提升框架;所述xDeepFM模型包括压缩交互网络CIN、线性回归单元和全连接神经网络单元,所述线性回归单元中接入攻击样本数据,所述CIN或者全连接神经网络单元中导入预处理后的属性数据,所述预处理包括对数值型数据进行分箱,以及对非数值型数据进行编码;
计算单元,用于将所述N个输出结果进行预设规则计算,以得到最终的预测结果,所述预测结果描述了所述目标设备的网络安全指数。
7.根据权利要求6所述的装置,其特征在于,所述获取单元具体包括:
所述获取单元,还用于获取目标设备的属性数据,所述属性数据的数据类型包括数值型数据和非数值型数据;
预处理单元,用于预处理所述属性数据以得到预处理后的目标属性数据,所述预处理包括对所述数值型数据进行分箱,以及对所述非数值型数据进行编码,所述目标属性数据包括所述预处理后的属性数据。
8.一种安全预警设备,其特征在于,包括处理器、存储器和通信设备,处理器、存储器和通信设备相互连接,其中,存储器用于存储计算机程序,通信设备用于与外部设备进行信息交互;处理器被配置用于调用计算机程序,执行如权利要求1-5任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1-5任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910880321.8A CN110730164B (zh) | 2019-09-18 | 2019-09-18 | 安全预警方法及相关设备、计算机可读存储介质 |
| PCT/CN2019/117174 WO2021051536A1 (zh) | 2019-09-18 | 2019-11-11 | 安全预警方法及相关设备、计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910880321.8A CN110730164B (zh) | 2019-09-18 | 2019-09-18 | 安全预警方法及相关设备、计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110730164A CN110730164A (zh) | 2020-01-24 |
| CN110730164B true CN110730164B (zh) | 2022-09-16 |
Family
ID=69219202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910880321.8A Active CN110730164B (zh) | 2019-09-18 | 2019-09-18 | 安全预警方法及相关设备、计算机可读存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110730164B (zh) |
| WO (1) | WO2021051536A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111431849B (zh) * | 2020-02-18 | 2021-04-16 | 北京邮电大学 | 一种网络入侵检测方法及装置 |
| CN115708028A (zh) * | 2021-08-19 | 2023-02-21 | 中国石油化工股份有限公司 | 化工过程故障诊断方法、系统、电子设备及存储介质 |
| CN114091940B (zh) * | 2021-11-26 | 2022-07-01 | 广州广汽商贸物流有限公司 | 一种物流园区安全风险预警方法、系统、设备及存储介质 |
| CN114422184A (zh) * | 2021-12-14 | 2022-04-29 | 国网浙江省电力有限公司金华供电公司 | 基于机器学习的网络安全攻击类型和威胁等级预测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| WO2017219548A1 (zh) * | 2016-06-20 | 2017-12-28 | 乐视控股(北京)有限公司 | 用户属性预测方法及装置 |
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
| CN110164453A (zh) * | 2019-05-24 | 2019-08-23 | 厦门快商通信息咨询有限公司 | 一种多模型融合的声纹识别方法、终端、服务器及存储介质 |
| CN110177114A (zh) * | 2019-06-06 | 2019-08-27 | 腾讯科技(深圳)有限公司 | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104883278A (zh) * | 2014-09-28 | 2015-09-02 | 北京匡恩网络科技有限责任公司 | 一种利用机器学习对网络设备进行分类的方法 |
| CN107147515A (zh) * | 2017-03-21 | 2017-09-08 | 华南师范大学 | 一种基于mln的网络空间安全态势预测方法及系统 |
| CN107046534A (zh) * | 2017-03-24 | 2017-08-15 | 厦门卓讯信息技术有限公司 | 一种网络安全态势模型训练方法、识别方法及识别装置 |
-
2019
- 2019-09-18 CN CN201910880321.8A patent/CN110730164B/zh active Active
- 2019-11-11 WO PCT/CN2019/117174 patent/WO2021051536A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017219548A1 (zh) * | 2016-06-20 | 2017-12-28 | 乐视控股(北京)有限公司 | 用户属性预测方法及装置 |
| CN107483458A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 网络攻击的识别方法及装置、计算机可读存储介质 |
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
| CN110164453A (zh) * | 2019-05-24 | 2019-08-23 | 厦门快商通信息咨询有限公司 | 一种多模型融合的声纹识别方法、终端、服务器及存储介质 |
| CN110177114A (zh) * | 2019-06-06 | 2019-08-27 | 腾讯科技(深圳)有限公司 | 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021051536A1 (zh) | 2021-03-25 |
| CN110730164A (zh) | 2020-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110730164B (zh) | 安全预警方法及相关设备、计算机可读存储介质 | |
| Xu et al. | Hadm: Hybrid analysis for detection of malware | |
| Alaiz-Moreton et al. | Multiclass Classification Procedure for Detecting Attacks on MQTT‐IoT Protocol | |
| US11003766B2 (en) | Enhancing cybersecurity and operational monitoring with alert confidence assignments | |
| Vinayakumar et al. | Deep android malware detection and classification | |
| Amin et al. | Android malware detection through generative adversarial networks | |
| US11381580B2 (en) | Machine learning classification using Markov modeling | |
| US20200151392A1 (en) | System and method automated analysis of legal documents within and across specific fields | |
| Chen et al. | An anti-phishing system employing diffused information | |
| D'Angelo et al. | Effective classification of android malware families through dynamic features and neural networks | |
| Rao et al. | PhishDump: A multi-model ensemble based technique for the detection of phishing sites in mobile devices | |
| CN107003976A (zh) | 基于可准许活动规则确定可准许活动 | |
| EP3916597B1 (en) | Detecting malware with deep generative models | |
| Luo et al. | Towards improving detection performance for malware with a correntropy-based deep learning method | |
| CN110162939B (zh) | 人机识别方法、设备和介质 | |
| WO2023055426A1 (en) | Techniques for input classification and responses using generative neural networks | |
| Wei et al. | Toward identifying APT malware through API system calls | |
| CN114070642A (zh) | 网络安全检测方法、系统、设备及存储介质 | |
| Liu et al. | MOBIPCR: Efficient, accurate, and strict ML-based mobile malware detection | |
| Hu et al. | Cross-site scripting detection with two-channel feature fusion embedded in self-attention mechanism | |
| Ye et al. | Android malware detection technology based on lightweight convolutional neural networks | |
| Zhen et al. | DA-GNN: A smart contract vulnerability detection method based on Dual Attention Graph Neural Network | |
| Khan et al. | Op2Vec: An Opcode Embedding Technique and Dataset Design for End‐to‐End Detection of Android Malware | |
| CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
| CN118103839A (zh) | 用于检测可疑网络活动的随机字符串分类 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40019549 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |