CN111131335A - 基于人工智能的网络安全防护方法、装置、电子设备 - Google Patents

基于人工智能的网络安全防护方法、装置、电子设备 Download PDF

Info

Publication number
CN111131335A
CN111131335A CN202010234182.4A CN202010234182A CN111131335A CN 111131335 A CN111131335 A CN 111131335A CN 202010234182 A CN202010234182 A CN 202010234182A CN 111131335 A CN111131335 A CN 111131335A
Authority
CN
China
Prior art keywords
session
access
traffic
data
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010234182.4A
Other languages
English (en)
Other versions
CN111131335B (zh
Inventor
彭晨晨
陈国�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010234182.4A priority Critical patent/CN111131335B/zh
Publication of CN111131335A publication Critical patent/CN111131335A/zh
Application granted granted Critical
Publication of CN111131335B publication Critical patent/CN111131335B/zh
Priority to PCT/CN2021/077170 priority patent/WO2021196911A1/zh
Priority to US17/702,766 priority patent/US20220224706A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/08Learning-based routing, e.g. using neural networks or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/72Routing based on the source address
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2483Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于人工智能的网络安全防护方法、装置、电子设备及计算机可读存储介质;方法包括:获取针对目标网络地址的待防护访问流量;针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;通过神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理;将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量;基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理,通过本发明,能够实现对加密攻击流量和不加密攻击流量的识别与清洗。

Description

基于人工智能的网络安全防护方法、装置、电子设备
技术领域
本发明涉及人工智能和网络技术,尤其涉及一种基于人工智能的网络安全防护方法、装置、电子设备及计算机可读存储介质。
背景技术
人工智能(AI,Artificial Intelligence)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法和技术及应用系统。
相关技术中的超文本传输协议(HTTP,Hypertext Transfer Protocol)采用明文传输信息,存在被窃听和篡改的风险,基于安全套接字层的HTTP(HTTPS,Hyper TextTransfer Protocol over SecureSocket Layer)基于HTTP开发,使用安全套接层进行加密的信息交互,提供了身份验证、信息机密性和完整性校验功能,随着用户对安全性要求的增强,以及一些政策性的强制性要求,越来越多的网络服务主动或被动的将自己的服务由HTTP切换到HTTPS为数据传输带来更高的安全性的同时,也给了黑客可乘之机,HTTPS协议在网络上传输加密的报文,相关技术中的内容检测技术失去了效果,由于处理HTTPS连接的巨大资源消耗,使得攻击成本较低,危害性却较大。
发明内容
本发明实施例提供一种基于人工智能的网络安全防护方法、装置及计算机可读存储介质,能够实现对加密攻击流量和不加密攻击流量的识别与清洗。
本发明实施例的技术方案是这样实现的:
本发明实施例提供一种基于人工智能的网络安全防护方法,包括:
获取针对目标网络地址的待防护访问流量;
针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;
通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理;
将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量;
基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理。
本发明实施例提供一种基于人工智能的网络安全防护装置,包括:
流量获取模块,用于获取针对目标网络地址的待防护访问流量;
数据提取模块,用于针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;
流量分类模块,用于通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理;
流量识别模块,用于将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量;
流量清洗模块,用于基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理。
在上述方案中,所述流量获取模块,还用于:
向路由器发送镜像流量请求,其中所述镜像流量请求携带所述目标网络地址,以使
所述路由器在对针对所述目标网络地址的访问流量进行路由时,对所述访问流量进行复制得到所述访问流量的镜像流量,其中所述访问流量包括网络服务提供方的签约用户针对所述目标网络地址的网络请求;
接收所述路由器发送的所述镜像流量,以作为供所述待防护访问流量。
在上述方案中,所述流量获取模块,还用于:
向路由器发送牵引路由规则,其中所述牵引路由规则携带所述目标网络地址和牵引目标网络地址,以使
所述路由器将针对所述目标网络地址的访问流量引导至所述牵引目标网络地址,其中所述访问流量包括网络服务提供方的签约用户针对所述目标网络地址的网络请求;
接收所述路由器引导至所述牵引目标网络地址的所述访问流量,以作为所述待防护访问流量。
在上述方案中,所述流量分类模块,还用于:
通过网络安全防护进程与所述神经网络模型之间的套接字连接,向所述神经网络模型发送所述每个会话的数据统计特征;
通过所述网络安全防护进程与所述神经网络模型之间的套接字连接,接收所述神经网络模型返回的分类结果。
在上述方案中,所述获取针对目标网络地址的待防护访问流量之前,所述流量获取模块,还用于:
从路由器获取针对所述目标网络地址的待检测访问流量,所述待检测访问流量是针对所述目标网络地址的访问流量进行复制形成的镜像流量;
对所述待检测访问流量进行攻击行为模式匹配,当匹配到攻击行为时,确定需要获取针对所述目标网络地址的待防护访问流量。
在上述方案中,所述数据提取模块,还用于:
针对所述待防护访问流量中包括的多个会话,提取出每个会话包括的多个数据包;
从所述每个会话包括的多个数据包中,提取以下至少一个维度的数据特征:
所述数据包的传输所应用的安全套接层的协议版本;所述数据包的传输所应用的握手版本;所述数据包的传输所应用的安全套接层的包长;所述数据包的加密套件长度;所述数据包的加密套件;所述数据包的组长度;所述数据包的组内容;所述数据包的扩展长度;所述数据包的支持扩展数;
对所述每个会话的至少一个维度的数据特征中,提取对应的数据统计特征。
在上述方案中,所述数据提取模块,还用于:
获取正常会话样本中各个维度的数据特征的正常众数、以及异常会话样本中各个维度的数据的异常众数;
确定所述每个会话的至少一个维度的数据特征与对应维度的正常众数之间的距离,以作为对应维度的正常绝对距离;
确定所述每个会话的至少一个维度的数据特征与对应维度的异常众数之间的距离,以作为对应维度的异常绝对距离;
将针对每个会话所确定的至少一个维度的正常绝对距离和异常绝对距离,组合为对应会话的数据统计特征。
在上述方案中,所述神经网络模型包括级联的嵌入层、隐含层和全连接层;所述流量分类模块,还用于:
针对所述每个会话执行以下处理:
通过所述嵌入层接收所述会话的数据统计特征,并传输到所述隐含层;
通过所述隐含层从所接收的数据统计特征中提取隐含层特征,并传输到全连接层;
通过所述全连接层对所接收的隐含层特征映射为正常类别概率和异常类别概率;
其中,所述正常类别概率和异常类别概率中的较大值对应的类别为所述会话的分类结果。
在上述方案中,所述隐含层包括:批量标准化层、卷积层和池化层;所述流量分类模块,还用于:
通过所述批量标准化层对所接收的数据统计特征的激活值进行标准化处理,得到满足正态分布的数据统计特征;
通过所述卷积层对所述批量标准化层输出的数据统计特征进行特征提取处理,得到对应所述数据统计特征的卷积层特征;
通过所述池化层对所述卷积层输出的卷积层特征进行采样处理,得到对应所述数据统计特征的隐含层特征。
在上述方案中,当所述待防护访问流量是通过牵引路由规则从路由器引导得到时,所述流量清洗模块,还用于:
将所述待防护访问流量中的所述攻击访问流量进行过滤,将过滤后得到的正常访问流量发送到所述路由器,以使所述路由器进行转发;
将所述来源地址发送到所述路由器,以使所述路由器符合所述来源地址的新访问流量识别为新攻击访问流量,并对所述新攻击访问流量进行屏蔽处理;
其中,所述新访问流量是网络服务提供方在所述待防护访问流量之后针对所述目标网络地址发送的,所述新访问流量包括所述网络服务提供方的签约用户针对所述目标网络地址的网络请求。
在上述方案中,当所述待防护访问流量是从路由器接收的镜像流量时,所述流量清洗模块,还用于:
将所述来源地址发送到所述路由器,以使所述路由器符合所述来源地址的新访问流量识别为新攻击访问流量,并对所述新攻击访问流量进行屏蔽处理;
其中,所述新访问流量是网络服务提供方在所述待防护访问流量之后针对所述目标网络地址发送的,所述新访问流量包括所述网络服务提供方的签约用户针对所述目标网络地址的网络请求。
在上述方案中,所述装置还包括:训练模块,用于所述通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理之前,
通过从路由器旁路抓包的方式获取会话样本,并将预标记的正常会话样本和异常会话样本组合为训练样本集合;
初始化所述神经网络模型,并初始化包括会话样本以及对应所述会话样本的分类结果的损失函数;
在所述神经网络模型每次迭代训练过程中执行以下处理:
通过所述神经网络模型,对所述训练样本集合包括的会话样本进行分类处理,得到对应所述会话样本的分类结果;
将对应所述会话样本的真实类别和所述分类结果代入所述损失函数,以确定所述损失函数取得最小值时对应的神经网络模型参数;
根据所确定的神经网络模型参数更新所述神经网络模型。
本发明实施例提供一种电子设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本发明实施例提供的基于人工智能的网络安全防护方法。
本发明实施例提供一种计算机可读存储介质,存储有可执行指令,用于被处理器执行时,实现本发明实施例提供的基于人工智能的网络安全防护方法。
本发明实施例具有以下有益效果:
通过对待防护访问流量中的会话进行分析出数据统计层面的特征,不依赖于信息层面的特征来识别攻击访问流量,因此识别不受流量报文是否加密的影响,从而能够实现兼容加密和不加密攻击访问流量的识别,进而能够基于攻击访问流量的源地址进行屏蔽处理以实现各种访问流量(包括加密和不加密攻击访问流量)的清洗。
附图说明
图1是本发明实施例提供的基于人工智能的网路安全防护方法的应用系统100的一个可选的架构示意图;
图2是本发明实施例提供的应用基于人工智能的网络安全防护方法的安全服务器200的结构示意图;
图3A-3C是本发明实施例提供的基于人工智能的网络安全防护方法的一个可选的流程示意图;
图4是本发明实施例提供的基于人工智能的网络安全防护方法中神经网络模型训练架构图;
图5是本发明实施例提供的基于人工智能的网络安全防护方法中的抓包示意图;
图6是本发明实施例提供的基于人工智能的网络安全防护方法的神经网络模型架构图;
图7是本发明实施例提供的基于人工智能的网络安全防护方法的防护系统部署架构图;
图8是本发明实施例提供的基于人工智能的网络安全防护方法的进程通信示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解, “一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)分布式拒绝服务攻击(DDoS,Distributed Denial of Service):分布式的DoS攻击,黑客通过控制分布在互联网各处的肉鸡在同时间内对目标服务器发送大量异常流量,服务器忙于处理异常流量,无法处理正常用户请求,甚至系统崩溃,造成拒绝服务,随着技术本身的发展,持续对抗过程中出现一些相比以往非常高级的攻击手法,例如,HTTPS CC攻击。
2)HTTPS:是以安全为目标的超文本传输协议(HTTP,Hypertext TransferProtocol)通道,简单讲是HTTP的安全版,即HTTP下加入安全套接层(SSL,Secure SocketsLayer)。
3)挑战黑洞(CC,Challenge Collapsar)攻击:CC攻击的原理是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃,CC主要是用来攻击页面的,当一个网页访问的人数特别多的时候,打开网页的速度就会变慢,CC就是模拟多个用户不停地进行访问那些需要大量数据操作的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
4)屏蔽:对特定源地址的访问流量进行拦截、部分丢弃、延迟转发或重定向,以使来自于特定源地址的访问流量无法访问或难以访问被保护的目标网络地址,从而放弃攻击。
相关技术中的HTTP协议采用明文传输信息,存在被窃听和篡改的风险,HTTPS基于HTTP开发,使用SSL/传输层安全(TLS,Transport Layer Security)协议进行加密的信息交互,提供了身份验证、信息机密性和完整性校验功能。随着用户对安全性要求的增强,以及一些政策性的强制性要求,越来越多的网络服务主动或被动的将自己的服务由HTTP切换到HTTPS,HTTPS为数据传输带来更高的安全性的同时,也给了黑客可乘之机,HTTPS协议在网络上传输加密的报文,相关技术中的内容检测技术失去了效果,由于处理HTTPS连接的巨大资源消耗,让HTTPS的DDoS攻击成本较低,危害性却较大,为此需要提供一种在不解密场景下的网络安全防护方案。
基于大数据分析、机器学习、深度学习的人工智能技术在网络安全领域的实践非常丰富,已广泛应用于实际安全场景,包括垃圾邮件识别、骚扰短信识别、网页后门检测、智能扫描器、基于域名生成算法的域名检测、反信用卡欺诈等,本发明实施例提供的基于人工智能的网络安全防护方案通过HTTPS人工智能模型对密码套件、组内容、包长、密码套件长度、组长度、扩展长度与扩展数的分布和取值情况进行学习,实现在不解密情况下对HTTPS攻击流量的识别,在多次攻击中体现出良好的防护效果。
相关技术中对于HTTPS CC攻击的防御方案,一方面是采用对加密流量进行解密,然后在已解密的明文信息中提取攻击特征,从而进行攻击流量识别的方案,另一方面是从攻击行为模式上来分析,例如通常扫描式攻击会对资源目录进行不断遍历,那么其访问不同统一资源定位符的可能性会非常大,同时获取到的响应码也是不确定的,可能会出现大量的非200正常响应码,在请求方法上,也可能会进行不停的变换尝试,如GET请求、POST请求、OPTION请求等,针对请求同一统一资源定位符的参数,会进行不同的替换,集中时间段内可能会有大量互联网协议(IP,Internet Protocol)地址访问同一个固定的统一资源定位符,会不断伪造合法的用户代理来避免用户代理规则的特征查杀等。
相关技术中的HTTPS CC防护算法主要依赖对流量进行解密,其缺点非常明显:1、开销大,对海量的加密流量逐个解密耗费巨大的系统资源,防御HTTPS CC对系统的消耗大约是防御HTTP CC的10倍;2、场景受限,在很多场景下用户并不会将证书导入第三方的防护设备,特别是公有云场景,因而导致防护系统不具备解密能力,无法防护HTTPS CC攻击;3、误杀风险,基于行为模式的识别方案中,某些业务场景下的正常用户行为与攻击者行为相似度高,易产生误判,同时,用户行为具有多样性和多变性,基于行为模式的识别方案为构建用户行为模型带来挑战。
HTTPS CC攻击流量是加密传输,因此相关技术中基于内容的攻击检测防护方案遇到瓶颈,虽然通过解密的方式仍然可以进行防护,但由于处理HTTPS连接的巨大资源消耗,让HTTPS的DDoS攻击成本较低,危害性却较大,基于上述问题,本发明实施例提供了一种基于人工智能的网路安全防护方法,其实际上是基于卷积神经网络的对HTTPS CC攻击的不解密识别方案,该方案可以通过海量的旁路数据训练深度学习模型,模型训练成熟后就具有自动判断正常流量和攻击流量的能力,最后在防护过程中,防护系统保持与深度学习模型通信:防护系统接收数据,并发送到深度学习模型,深度学习模型判断数据的合法性并把结果发送到防护系统,防护系统对抓包文件进行整合统计原理(也就是卷积神经网络的数据预处理),防护系统根据深度学习模型的判断结果可以把恶意的源IP拉黑屏蔽,从而实现对HTTPS CC攻击的有效防护,本发明实施例提供的基于人工智能的网路安全防护方法无需用户增加额外麻烦去导入证书即可实现对HTTPS CC攻击的有效自动的防护,而且对正常业务不会有任何影响,特别适合云企业云这种业务类型繁多、攻击威胁严重、业务重要性高的平台,本发明实施例提供的基于人工智能的网络安全防护方法中的模型通过多次的迭代与优化后,已经形成一套成熟的HTTPS CC攻击的不解密识别防护方案,并在现网的多次攻防对抗中表现出良好的清洗率。
本发明实施例提供一种基于人工智能的网路安全防护方法、装置、电子设备和计算机可读存储介质,能够解决加密攻击访问流量以及不加密攻击访问流量识别的技术问题,下面说明本发明实施例提供的电子设备的示例性应用,本发明实施例提供的电子设备可以实施为笔记本电脑,平板电脑,台式计算机,机顶盒,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备)等各种类型的用户终端,也可以实施为服务器。下面,将说明设备实施为服务器时示例性应用。
参见图1,图1是本发明实施例提供的基于人工智能的网路安全防护方法的应用系统100的一个可选的架构示意图,网络服务提供方400将访问流量发送至核心路由器300,由核心路由器将访问流量转发至业务服务器600的网络地址(即目标网络地址)。为了防止访问流量中存在攻击流量对业务服务器600进行攻击,需要通过安全服务器200对访问流量进行识别与清洗,具体是,安全服务器200中部署的攻击检测系统201从核心路由器300获取针对目标网络地址的访问流量进行复制形成的镜像流量作为待检测流量,当检测到攻击行为时,攻击检测系统201发送告警通知到控制系统202,由控制系统202将告警通知转发至网络安全防护系统203,网络安全防护系统203从核心路由器300获取访问流量的镜像流量作为待防护访问流量,网络安全防护系统203对待防护访问流量进行数据提取,通过网络安全防护系统203中的网络安全进程与神经网络模型通信,由神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于网络安全防护系统隐含层特征对网络安全防护系统每个会话进行正常或异常的分类处理,并将待防护访问流量中被分类为异常的会话识别为攻击访问流量,从而获取攻击访问流量的来源地址作为恶地址,网络安全防护系统203中的清洗系统2031从核心路由器300中进行访问流量的牵引,再对来源于恶地址的攻击流量进行屏蔽,将来源不是恶地址的正常流量回注到核心路由器300,由核心路由器300将其转发到目标网络地址。
参见图2,图2是本发明实施例提供的应用基于人工智能的网络安全防护方法的安全服务器200的结构示意图,图2所示的安全服务器200包括:至少一个处理器210、存储器250、至少一个网络接口220。安全服务器200中的各个组件通过总线系统240耦合在一起。可理解,总线系统240用于实现这些组件之间的连接通信。总线系统240除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统240。
处理器210可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
存储器250可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器250可选地包括在物理位置上远离处理器 210的一个或多个存储设备。
存储器250包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Memory),易失性存储器可以是随机存取存储器(RAM,Random Access Memory)。本发明实施例描述的存储器250旨在包括任意适合类型的存储器。
在一些实施例中,存储器250能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统251,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块252,用于经由一个或多个(有线或无线)网络接口220到达其他计算设备,示例性的网络接口220包括:蓝牙、无线相容性认证(WiFi)、和通用串行总线(USB,Universal Serial Bus)等。
在一些实施例中,本发明实施例提供的装置可以采用软件方式实现,图2示出了存储在存储器250中的基于人工智能的网路安全防护装置255,其可以是程序和插件等形式的软件,包括以下软件模块:流量获取模块2551、数据提取模块2552、流量分类模块2553、流量识别模块2554、流量清洗模块2555以及训练模块2556,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分,将在下文中说明各个模块的功能。
在另一些实施例中,本发明实施例提供的基于人工智能的网路安全防护装置可以采用硬件方式实现,作为示例,本发明实施例提供的基于人工智能的网路安全防护装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本发明实施例提供的基于人工智能的网路安全防护方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex ProgrammableLogic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)或其他电子元件。
将结合本发明实施例提供的服务器的示例性应用和实施,说明本发明实施例提供的基于人工智能的网路安全防护方法。
参见图3A,图3A是本发明实施例提供的基于人工智能的网络安全防护方法的一个可选的流程示意图,将结合图3A示出的步骤进行说明。
在步骤101中,服务器获取针对目标网络地址的待防护访问流量。
这里的服务器中部署有网络安全防护系统,网络安全防护系统中的安全防护进程可以获取针对目标网络地址的待防护访问流量,这里的目标网络地址即为被保护网络地址,服务器中还部署有攻击检测系统,攻击检测系统实际上是对针对目标网络地址的待检测访问流量进行粗粒度的攻击检测。
在一些实施例中,在执行步骤101之前,还可以执行以下技术方案,攻击检测系统从路由器获取针对目标网络地址的待检测访问流量,待检测访问流量是针对目标网络地址的访问流量进行复制形成的镜像流量;对待检测访问流量进行攻击行为模式匹配,当匹配到攻击行为时,确定需要获取针对目标网络地址的待防护访问流量,以基于神经网络模型识别出待防护访问流量中的攻击访问流量。
在一些实施例中,网络安全防护系统基于神经网络模型对待防护访问流量进行分类处理,作为示例,网络安全防护系统对待防护访问流量中的会话进行分类,识别出由异常会话构成的攻击流量,待检测访问流量是攻击检测系统基于攻击行为模式进行攻击检测的对象,攻击检测系统识别出待检测访问流量中是否存在攻击行为,仅仅是对待检测访问流量进行定性分析,其是一种比基于神经网络模型进行识别的方式更为粗粒度的识别过程,攻击检测可以是基于行为模式进行检测,核心路由器通过分光将针对目标网络地址的访问流量进行复制形成的镜像流量转发到攻击检测系统以进行攻击检测,当攻击检测系统匹配检测到攻击行为之后,会产生告警到控制系统,防护系统接收到来自控制系统的告警,确定需要获取针对目标网络地址的待防护访问流量,以基于神经网络模型识别出待防护访问流量中的攻击访问流量。
在一些实施例中,待防护访问流量和待检测访问流量可以是相同时段发生的访问流量,也是不同时段,即交错时间发生的访问流量,这具体取决于路由器的数据缓存策略,即路由器所接收的访问流量的缓存时长,具体而言,当路由器所接收的访问流量的缓存时间超过进行攻击检测所耗费的时间,则待防护访问流量和待检测访问流量可以是相同时段发生的访问流量,从而保证所有的流量都能经过攻击检测以及通过神经网络模型进行识别,保证不存在漏过的攻击流量抵达目标网络地址,当路由器所接收的访问流量的缓存时间不超过进行攻击检测所耗费的时间,则待防护访问流量是待检测访问流量之后时段发生的访问流量,从而保证正常流量能够在较短的时间内抵达目标网络地址,而没有完全等待进行攻击检测完成之后就会进行相应的转发。
在一些实施例中,步骤101中的获取针对目标网络地址的待防护访问流量,可以通过以下技术方案实现,向路由器发送镜像流量请求,其中镜像流量请求携带目标网络地址,以使路由器在对针对目标网络地址的访问流量进行路由时,对访问流量进行复制得到访问流量的镜像流量,其中访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求;接收路由器发送的镜像流量,以作为待防护访问流量。
在一些实施例中,这里的网络服务提供方是向签约用户提供网络访问功能的实体,在以下情形中,网络安全防护系统可以向路由器发送镜像流量请求获取镜像流量作为待防护访问流量:针对目标网络地址进行安全防护的功能刚刚被启动时,网络安全防护系统中没有攻击访问流量的来源地址数据;攻击访问流量的来源地址超出有效期,即丧失时效性,从而不具有防护意义;攻击访问流量的来源地址的数量与目标网络地址被攻击次数的比值小于比值阈值,表征还有潜在具有攻击性的来源地址没被发现;攻击访问流量的来源地址的数量小于数量阈值,这里的数量阈值可以是全网受保护地址的攻击访问流量的地址数量的平均值,说明已经探测到的源地址到数量未到达全网的平均水平,将镜像流量作为待防护访问流量,属于旁路监控模式,旁路部署方案是对当前网络影响最小的监控模式,不会影响现有的网络结构,不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时。
在一些实施例中,步骤101中的获取针对目标网络地址的待防护访问流量,可以通过以下技术方案实现,向路由器发送牵引路由规则,其中牵引路由规则携带目标网络地址和牵引目标网络地址,以使路由器将针对目标网络地址的访问流量引导至牵引目标网络地址,其中访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求; 接收路由器引导至牵引目标网络地址的访问流量,以作为待防护访问流量。
在一些实施例中,这里的目标网络地址为网络安全防护系统的网络地址,网络服务提供方为向签约用户提供网络访问功能的实体,路由牵引是实现流量牵引的技术手段,本质是发布一个新的路由规则到路由器,即将目的地址为目标网络地址的报文转发到网络安全防护系统,这里的网络安全防护系统的网络地址即为牵引目标网络地址,这里新的路由规则是将报文从路由器转发到网络安全防护系统,以替代路由器中报文的原先的路由规则,这里原先的路由规则,则是将目的地址为目标网络地址的报文正常转发到下一跳路由器,在以下情形中,网络安全防护系统可以发送访问流量牵引请求:针对目标网络地址进行安全防护的功能刚刚被启动时,网络安全防护系统中没有攻击访问流量的来源地址数据;攻击访问流量的来源地址超出有效期,即丧失时效性,从而不具有防护意义;攻击访问流量的来源地址的数量与目标网络地址被攻击次数的比值小于比值阈值,表征还有潜在具有攻击性的来源地址没被发现;攻击访问流量的来源地址的数量小于数量阈值,这里的数量阈值可以是全网受保护地址的攻击访问流量的地址数量的平均值,说明已经探测到的源地址到数量未到达全网的平均水平,通过牵引规则获取的流量作为待防护访问流量,可以保证不漏过每一个数据包,即从核心路由器获取每一个数据包,并对每一个数据包进行攻击流量识别后,再进行相应的攻击流量屏蔽以及正常流量的转发行为。
在步骤102中,服务器针对待防护访问流量中包括的多个会话,提取每个会话的数据统计特征。
这里的服务器中部署有网络安全防护系统,网络安全防护系统中的安全防护进程可以针对待防护访问流量中包括的多个会话,提取每个会话的数据统计特征,会话中客户端的数据包在网络中以报文的形式传输,通过网络安全防护系统中的安全防护进程对路由器接收的报文进行数据层面的统计分析得到数据统计特征,以此输入神经网络模型来进行分类。
参见图3B,图3B是本发明实施例提供的基于人工智能的网络安全防护方法的一个可选的流程示意图,将结合图3B示出的1021-1023步骤进行说明,步骤102中针对待防护访问流量中包括的多个会话,提取每个会话的数据统计特征,可以通过以下步骤1021-1023实现。
在步骤1021中,针对待防护访问流量中包括的多个会话,提取出每个会话包括的多个数据包。
这里的每个会话包含多个数据包,会话指具备相同的源IP、目的IP、源端口、目的端口、协议的一组数据包的集合。
在步骤1022中,从每个会话包括的多个数据包中,提取以下至少一个维度的数据特征:数据包的传输所应用的安全套接层的协议版本;数据包的传输所应用的握手版本;数据包的传输所应用的安全套接层的包长;数据包的加密套件长度;数据包的加密套件;数据包的组长度;数据包的组内容;数据包的扩展长度;数据包的支持扩展数。
在步骤1023中,对每个会话的至少一个维度的数据特征中,提取对应的数据统计特征。
在一些实施例中,步骤1023中对每个会话的至少一个维度的数据特征中,提取对应的数据统计特征,可以通过以下技术方案实现,获取正常会话样本中各个维度的数据特征的正常众数、以及异常会话样本中各个维度的数据的异常众数;确定每个会话的至少一个维度的数据特征与对应维度的正常众数之间的距离,以作为对应维度的正常绝对距离;确定每个会话的至少一个维度的数据特征与对应维度的异常众数之间的距离,以作为对应维度的异常绝对距离;将针对每个会话所确定的至少一个维度的正常绝对距离和异常绝对距离,组合为对应会话的数据统计特征。
在一些实施例中,在抓包文件中提取每个报文的基本数据特征:SSL协议版本、握手版本、SSL包长、加密套件长度、加密套件、组长度、组内容、扩展长度、支持扩展数;通过对每个报文的基本数据特征进行分析,提取出各基本数据特征在攻击包和正常包中聚集的众数,这些数据就可以作为卷积神经网络的输入数据,数据包的SSL协议版本、握手版本、SSL包长、加密套件长度、加密套件、组长度、组内容、扩展长度、支持扩展数是协议的基本特征,可直接从协议流量的抓包文件中提取,进一步对基本数据特征进行统计分析得到的二次特征,分析正常和异常会话样本中各基本数据特征的聚集值即众数,并分别计算抓包文件中的基本特征与众数的绝对距离,通过对待防护访问流量中的会话进行分析出数据统计层面的特征,不依赖于信息层面的特征来识别攻击访问流量,因此识别不受流量报文是否加密的影响,从而能够实现兼容加密和不加密攻击访问流量的识别,进而能够基于攻击访问流量的源地址进行屏蔽处理以实现各种访问流量(包括加密和不加密攻击访问流量)的清洗,这里数据统计层面的特征是如上所述多个维度的数据统计特征,从而能够基于多个维度的数据统计特征进行更加准确的攻击流量识别。
在一些实施例中,在执行步骤103之前,还可以执行以下技术方案,通过从路由器旁路抓包的方式获取会话样本,并将预标记的正常会话样本和异常会话样本组合为训练样本集合;初始化神经网络模型,并初始化包括会话样本以及对应会话样本的分类结果的损失函数;在神经网络模型每次迭代训练过程中执行以下处理:通过神经网络模型,对训练样本集合包括的会话样本进行分类处理,得到对应会话样本的分类结果;将对应会话样本的真实类别和分类结果代入损失函数,以确定损失函数取得最小值时对应的神经网络模型参数;根据所确定的神经网络模型参数更新神经网络模型。
在一些实施例中,神经网络模型中有嵌入层、隐含层和全连接层,其中,嵌入层作为神经网络模型的第一层,用于固定输入维度,卷积层用于提取特征,隐含层中的池化层用于对特征进行采样,全连接层用于将学到的分布式特征表示映射到样本标记空间,以作为分类器,隐含层中还包括批量标准化层、随机失活层、卷积层、池化层、展开层和高斯噪声层,批量标准化层在每批训练样本集合上将前一层的激活值重新规范化,即使得其输出数据的均值接近0,其标准差接近1,即形成正态分布,随机失活层用于断开整个1D特征图,而不是单个神经元,如果一张特征图的相邻元素之间有很强的相关性(通常发生在低层的卷积层中),那么普通的dropout无法正则化其输出,否则就会导致明显的学习率下降,这种情况下随机失活层中的Spatial Dropout 1D能够帮助提高特征图之间的独立性,隐含层中的高斯噪声层是为数据施加0均值,标准差为stddev的加性高斯噪声,该层在克服过拟合时比较有用高斯噪声是需要对输入数据进行破坏时的自然选择,隐含层中的flatten处理是将输入压平,即将多维的输入一维化,常用在从卷积层到全连接层的过渡,在搭建卷积神经网络后,通过海量的正常业务数据和攻击数据对模型进行训练,待模型收敛完成后就具备了自动识别正常业务数据和攻击数据的能力,训练迭代过程中所使用的损失函数参见公式(1):
Figure 86224DEST_PATH_IMAGE001
其中,
Figure 472206DEST_PATH_IMAGE002
是真实标签,表征真实类别,
Figure 986364DEST_PATH_IMAGE003
是通过神经网络模型进行分类处理得到的。
在一些实施例中,在执行步骤103之前,还可以执行以下技术方案,通过网络安全防护进程与神经网络模型之间的套接字连接,向神经网络模型发送每个会话的数据统计特征,以使神经网络模型进行分类处理,这里的神经网络模型 可以是运行神经网络模型的进程,在将待防护访问流量中被分类为异常的会话识别为攻击访问流量之前,还可以执行以下技术方案:通过网络安全防护进程与神经网络模型之间的套接字连接,接收神经网络模型返回的分类结果。
在步骤103中,服务器通过神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于隐含层特征对每个会话进行正常或异常的分类处理。
在一些实施例中,这里服务器中部署有网络安全防护系统,网络安全防护进程与神经网络模型(即运行神经网络模型的进程)进行通信,神经网络模型包括级联的嵌入层、隐含层和全连接层;步骤103中通过神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于隐含层特征对每个会话进行正常或异常的分类处理,可以通过以下技术方案实现,针对每个会话执行以下处理:通过嵌入层接收会话的数据统计特征,并传输到隐含层;通过隐含层从所接收的数据统计特征中提取隐含层特征,并传输到全连接层;通过全连接层对所接收的隐含层特征映射为正常类别概率和异常类别概率;其中,正常类别概率和异常类别概率中的较大值对应的类别为会话的分类结果。
在一些实施例中,全连接层在整个神经网络模型中起到“分类器”的作用,如果说卷积层、池化层等操作是将原始数据映射到隐层特征空间的话,全连接层则起到将学到的“分布式特征表示”映射到样本标记空间的作用。在实际使用中,全连接层可由卷积操作实现:对前层是全连接的全连接层可以转化为卷积核为1x1的卷积;而前层是卷积层的全连接层可以转化为卷积核为高x宽的全局卷积,高和宽分别为前层卷积结果的高和宽,全连接的核心操作就是矩阵向量乘积,本质就是由一个特征空间线性变换到另一个特征空间,全连接层常出现在最后几层,用于对前面设计的特征做加权和。
在一些实施例中,隐含层包括:批量标准化层、卷积层和池化层;通过隐含层从所接收的数据统计特征中提取隐含层特征,包括:通过批量标准化层对所接收的数据统计特征的激活值进行标准化处理,得到满足正态分布的数据统计特征;通过卷积层对批量标准化层输出的数据统计特征进行特征提取处理,得到对应数据统计特征的卷积层特征;通过池化层对卷积层输出的卷积层特征进行采样处理,得到对应数据统计特征的隐含层特征。
在一些实施例中,批量标准化层在每批训练样本集合上将前一层的激活值重新规范化,即使得其输出数据的均值接近0,其标准差接近1,即形成正态分布,这里的神经网络模型中卷积层以及池化层会存在三轮迭代,卷积层用于进行特征提取得到特征图,池化层对输入的特征图进行压缩,一方面使特征图变小,简化网络计算复杂度;一方面进行特征压缩,提取主要特征。
在步骤104中,服务器将待防护访问流量中被分类为异常的会话识别为攻击访问流量。
在一些实施例中,这里的服务器中部署有网络安全防护系统,网络安全防护系统中的网络安全防护进程接收神经网络的分类结果,在神经网络模型进行分类时会输出待防护访问流量中每个会话属于异常的会话的概率以及属于正常的会话的概率,当属于异常的会话的概率超过属于正常的会话的概率时,将该会话分类为异常的会话,且识别为攻击访问流量。
在步骤105中,服务器基于攻击访问流量的来源地址,对针对目标网络地址的攻击访问流量进行屏蔽处理。
在一些实施例中,当待防护访问流量是通过牵引路由规则从路由器引导得到时,步骤105中基于攻击访问流量的来源地址,对针对目标网络地址的攻击访问流量进行屏蔽处理,可以通过以下技术方案实现,将待防护访问流量中的攻击访问流量进行过滤,将过滤后得到的正常访问流量发送到路由器,以使路由器进行转发;将来源地址发送到路由器,以使路由器符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理;其中,新访问流量是网络服务提供方在待防护访问流量之后针对目标网络地址发送的,新访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求。
这里,将通过牵引规则获取的流量作为待防护访问流量,可以保证不漏过每一个数据包,即从核心路由器获取每一个数据包,并对每一个数据包进行攻击流量识别后,再进行相应的攻击流量屏蔽以及正常流量的转发行为,虽然相对于针对镜像流量进行识别的方案相比,将通过牵引规则获取的流量作为待防护访问流量的网络传输速度略微降低,但是能够保证不漏过任何一个攻击流量的数据包。
在一些实施例中,当待防护访问流量是通过牵引路由规则从路由器引导得到时,这里待防护访问流量是没有经过镜像的原始流量,这里将待防护访问流量中的攻击访问流量进行过滤,将过滤后得到的正常访问流量发送到路由器,以使路由器将其转发到到达目标网络地址的下一跳路由器,以上过程属于正常流量的回注过程,同时也将获得的来源地址发送到路由器,以使路由器将符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理,这里还可以不将来源地址发送到路由器,而是再次从路由器将新访问流量牵引到网络安全防护系统,由网络安全防护系统将符合来源地址的新访问流量进行丢包处理,将不符合来源地址的新访问流量发送到路由器,以使路由器将其转发到到达目标网络地址的下一跳路由器。
在一些实施例中,当待防护访问流量是从路由器接收的镜像流量时,步骤105中基于攻击访问流量的来源地址,对针对目标网络地址的攻击访问流量进行屏蔽处理,可以通过以下技术方案实现,将来源地址发送到路由器,以使路由器符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理;其中,新访问流量是网络服务提供方在待防护访问流量之后针对目标网络地址发送的,新访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求。
这里,将镜像流量作为待防护访问流量,属于旁路监控模式,旁路部署方案是对当前网络影响最小的监控模式,不会影响现有的网络结构,不会对网速造成任何影响。旁路模式分析的是镜像端口拷贝过来的数据,对原始数据包不会造成延时,对应镜像流量的原始流量可以被正常的屏蔽和转发,并不会等待网络安全防护系统对镜像流量的识别结果出来之后再对对应镜像流量的原始流量进行屏蔽和转发。
在一些实施例中,由于这里进行识别的对象是镜像流量,因此不能直接对镜像流量进行流量回注,而是基于来源地址进行流量清洗,这里的流量清洗的方式可以是将来源地址发送到路由器,以使路由器符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理,还可以不将来源地址发送到路由器,而是再次从路由器将新访问流量牵引到网络安全防护系统,由网络安全防护系统将符合来源地址的新访问流量进行丢包处理,将不符合来源地址的新访问流量发送到路由器,以使路由器将其转发到到达目标网络地址的下一跳路由器。
在一些实施例中,可以向区块链网络发送查询交易,其中,所述查询交易指示了用于查询所述区块链网络中账本的智能合约以及查询参数,以使所述区块链网络中的共识节点通过执行对应的智能合约来查询所述账本中记录的多个网络安全防护系统上报的目标网络地址,攻击访问流量的来源地址,得到所述账本中符合所述查询参数的网络安全防护系统上报的目标网络地址,攻击访问流量的来源地址,还可以向所述区块链网络发送更新交易,其中,所述更新交易指示了用于更新所述账本的智能合约、以及所述网络安全防护系统所识别出来的新的目标网络地址,攻击访问流量的来源地址,以使所述区块链网络中的共识节点通过执行用于更新所述账本的智能合约,将所述网络安全防护系统所识别出来的新的目标网络地址,攻击访问流量的来源地址更新到所述账本中,以供安全防护系统或者路由器进行查询和使用。
在一些实施例中,参见图3C,图3C是本发明实施例提供的基于人工智能的网络安全防护方法的交互流程图,首先服务器中部署的攻击检测系统从路由器获取针对所述目标网络地址的访问流量进行复制形成的镜像流量作为待检测流量,对待检测流量进行攻击检测,当检测到攻击行为时,攻击检测系统发送告警通知到控制系统,由控制系统将告警通知转发至网络安全防护系统,网络安全防护系统从路由器获取访问流量的镜像流量作为待防护访问流量,网络安全防护系统对待防护访问流量进行数据提取,通过网络安全防护系统中的网络安全进程与神经网络模型通信,由神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理,并将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量,从而获取攻击访问流量的来源地址作为恶地址,网络安全防护系统从路由器中进行访问流量的牵引,再对来源于恶地址的攻击流量进行屏蔽,对正常流量进行转发,当进行识别的待防护访问流量为镜像流量时,将恶意源地址发送至路由器,以使路由器对来自于恶意源地址的流量进行拦截。
下面,将说明本发明实施例在一个实际的应用场景中的示例性应用。
本发明实施例提供的基于人工智能的网络安全防护方法是通过包括正常流量数据与异常流量数据的旁路数据,不断迭代训练卷积神经网络模型,使其具有判断正常流量及异常流量的能力,模型训练成熟后部署在现网网络安全防护系统中进行防护,所以本发明实施例提供的基于人工智能的网络安全防护方法主要包括卷积神经网络模型训练以及网络安全防护系统部署两个方面。
参见图4,图4是本发明实施例提供的基于人工智能的网络安全防护方法中神经网络模型训练架构图,神经网络模型的训练流程如下,首先通过旁路抓包方式采集正常业务抓包和攻击抓包,这里的旁路抓包指的是通过旁路进行网络流量的观测的方式,从而不会影响网络流量是在主干道流通,接着上述抓包被数据提取模块提取整合成正常的会话数据样本和异常的会话数据样本,正常的会话数据样本和异常的会话数据样本分别打上不同标签,用于神经网络模型训练,接着通过海量的正常的会话数据样本和异常的会话数据样本不断训练后,卷积神经网络趋于成熟,从而具备了自动识别正常业务流量和攻击流量的能力,模型成熟后将部署在网络安全防护系统中用于实际攻击的防护。
接下来将详细说明数据提取模块的实现原理以及神经网络模型的搭建方法,数据提取模块从抓包文件中提取数据,并且为各个数据分配标签,正常业务数据的标签为0,攻击数据的标签为1,作为用于训练神经网络模型的训练数据,具体步骤如下:在抓包文件中提取每个报文的基本数据特征:SSL协议版本、握手版本、SSL包长、加密套件长度、加密套件、组长度、组内容、扩展长度、支持扩展数;通过对每个报文的基本数据特征进行分析,提取出各基本特征在攻击包和正常包中聚集的众数,进一步提取特征如下表1,表1是本发明实施例提供的基于人工智能的网络安全防护方法的数据特征提取表格,这些数据就可以作为卷积神经网络的输入数据,第一栏部分是协议的基本特征,可直接从协议流量的抓包文件中提取,第二栏和第三栏部分为对第一栏中的基本特征的进一步统计分析得到的二次特征,分别分析了正常和异常样本的各基本特征的聚集值即众数,并计算每个样本与众数的绝对距离。
Figure 568524DEST_PATH_IMAGE004
参见图5,图5是本发明实施例提供的基于人工智能的网络安全防护方法中的抓包示意图,数据包中包括了所抓取数据包的SSL协议版本、握手版本、SSL包长、加密套件长度、加密套件、组长度、组内容、扩展长度以及支持扩展数,例如,包长为326,SSL协议版本为TLS1.0,握手版本为TLS2.0,加密套件长度为148,扩展长度为133,组长度为52,参见图6,图6是本发明实施例提供的基于人工智能的网络安全防护方法的神经网络模型架构图,神经网络模型中有嵌入层(Embedding)、常用层、卷积层(Conv1D)、池化层(Maxpooling1D)以及全连接层(Dense()层),其中,嵌入层作为神经网络模型的第一层,用于固定输入维度,卷积层用于提取特征,池化层用于对特征进行采样,全连接层用于将学到的分布式特征表示映射到样本标记空间,以作为分类器,常用层中批量标准化层(BatchNormalization)进行均衡化处理,即在每批训练样本集合上将前一层的激活值重新规范化,即使得其输出数据的均值接近0,其标准差接近1,常用层中的随机失活层(Spatial Dropout 1D)与Dropout的作用类似,但它断开的是整个1D特征图,而不是单个神经元,如果一张特征图的相邻元素之间有很强的相关性(通常发生在低层的卷积层中),那么普通的dropout无法正则化其输出,否则就会导致明显的学习率下降,这种情况下Spatial Dropout 1D能够帮助提高特征图之间的独立性,卷积层、随机失活层与池化层会存在三轮迭代,常用层中高斯噪声层(GaussianNoise)的高斯噪声处理是为数据施加0均值,标准差为stddev的加性高斯噪声,该层在克服过拟合时比较有用高斯噪声是需要对输入数据进行破坏时的自然选择,常用层中展开层(Flatten()层)的flatten处理是将输入压平,即将多维的输入一维化,常用在从卷积层到全连接层的过渡,这里的全连接层(Dense()层)也存在三轮迭代,在搭建卷积神经网络后,通过海量的正常业务数据和攻击数据对模型进行训练,待模型收敛完成后就具备了自动识别正常业务数据和攻击数据的能力,训练迭代过程中所使用的损失函数参见公式(1):
Figure 851737DEST_PATH_IMAGE005
参见图7,图7是本发明实施例提供的基于人工智能的网络安全防护方法的网络安全防护系统部署架构图,DDoS防护流程涉及:攻击检测系统、控制系统、网络安全防护系统,检测防护流程如下,当核心路由器接收到来自于网络服务提供方的访问流量时,核心路由器通过分光,把镜像流量转发到攻击检测系统以进行攻击检测,当攻击检测系统检测到攻击之后,会产生告警到控制系统,网络安全防护系统接收到来自控制系统的告警,会通过与核心路由器建立的边界网关协议向核心路由器发布被攻击IP地址的牵引路由以实现边界网关牵引,通过网络安全防护系统对旁路抓包获取的镜像流量(包括正常流量和攻击流量)进行识别,获取到攻击流量的恶意IP地址,网络安全防护系统根据识别结果将被牵引到网络安全防护系统上的访问流量中的攻击流量进行清洗,并把正常流量回注到核心路由器,再转发到核心的网关,再进一步转发到目标网络地址的业务服务器上,这里神经网络模型在完成训练后将部署在网络安全防护系统中。
下面继续说明攻击流量的清洗过程,当被保护IP地址遭受到攻击后,通向这个IP地址的所有流量(包括正常流量和攻击流)都被牵引到网络安全防护系统上,网络安全防护系统会对攻击流量进行识别和清洗,最后把正常流量回注到服务器上,攻击流量的清洗方法如下:参见图8,图8是本发明实施例提供的基于人工智能的网络安全防护方法的进程通信示意图,在网络安全防护系统中部署DDoS防护进程(网络安全防护进程)和神经网络模型,DDoS防护进程与神经网络模型通过socket进行通信,DDoS防护进程在防护过程中采集当前流量中的所有特征数据(数据采集统计方式与数据提取模块的实现方式一样),并发送到神经网络模型,神经网络模型对待检测数据判断,会在每个会话数据打上结果标签,并把这个结果输出到DDoS防护进程,一个会话包含多个数据包,会话指具备相同的源IP、目的IP、源端口、目的端口、协议的一组数据包的集合,DDoS防护进程会基于这些结果来做清洗,针对被识别为异常报文的源IP,DDoS防护进程会将其拉黑,即这个来源IP的所有报文将被丢弃,正常来源IP的报文会被神经网络模型识别成正常,所有正常来源IP不会被拉黑,所以来源于这些IP的流量会被DDoS防护进程转发到服务器,通过上述步骤,就可以完成对攻击流量的识别和清洗,并将正常流量转发到服务器上,实际是服务器中运行DDoS防护进程,并通过该进程与服务器中神经网络模型(即模型的运行实例)之间进行数据交互,从而使神经网络模型完成流量识别,相比于相关技术中“模型与进程”耦合的方案进行了解耦改进,通过DDoS防护进程与神经网络模型的解耦,神经网络模型可以灵活下线、暂停或更新,而不需要将整个防护功能关停,从而避免了重新上线所导致的防护延迟。
本发明实施例提供的基于人工智能的网络安全防护方法是一种基于卷积神经网络的HTTPS CC攻击的不解密识别防护方案,可以作为现网DDoS防护算法体系中的有效补充,通过海量的旁路数据训练深度学习模型,模型训练成熟后就具有自动判断正常流量和攻击流量的能力,从而对HTTPS CC实现高效准确的清洗,保障被攻击服务器业务稳定,保证正常业务不受影响,同时,本方案不需要服务器/客户端做任何改造即可接入,具有很好的兼容性,另一方面,相对于相关技术中的大数据方案,机器学习算法通过合适的算法建模,可以在无规则的情况下实现分类,泛化能力强,基于大量数据进行自动化学习和训练,不依赖基线,对于新上线业务也能进行防护,因此,深度学习模型对现网防护能力提升具有重要意义,除了使用本发明实施例提供的网路安全防护方法还可以使用其他机器学习算法来搭建神经网络模型。
下面继续说明本发明实施例提供的基于人工智能的网路安全防护装置255的实施为软件模块的示例性结构,在一些实施例中,如图2所示,存储在存储器250的基于人工智能的网路安全防护装置255中的软件模块可以包括:流量获取模块2551,用于获取针对目标网络地址的待防护访问流量;数据提取模块2552,用于针对待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;流量分类模块2553,用于通过神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于隐含层特征对每个会话进行正常或异常的分类处理;流量识别模块2554,用于将待防护访问流量中被分类为异常的会话识别为攻击访问流量;流量清洗模块2555,用于基于攻击访问流量的来源地址,对针对目标网络地址的攻击访问流量进行屏蔽处理。
在一些实施例中,流量获取模块2551,还用于:向路由器发送镜像流量请求,其中镜像流量请求携带目标网络地址,以使路由器在对针对目标网络地址的访问流量进行路由时,对访问流量进行复制得到访问流量的镜像流量,其中所述访问流量包括网络服务提供方的签约用户针对所述目标网络地址的网络请求;接收路由器发送的镜像流量,以作为待防护访问流量。
在一些实施例中,流量获取模块2551,还用于:向路由器发送牵引路由规则,其中牵引路由规则携带目标网络地址和牵引目标网络地址,以使路由器将针对目标网络地址的访问流量引导至牵引目标网络地址,其中访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求; 接收路由器引导至牵引目标网络地址的访问流量,以作为待防护访问流量。
在一些实施例中,流量分类模块2553,还用于:通过网络安全防护进程与神经网络模型之间的套接字连接,向神经网络模型发送每个会话的数据统计特征;通过所述网络安全防护进程与所述神经网络模型之间的套接字连接,接收所述神经网络模型返回的分类结果。
在一些实施例中,获取针对目标网络地址的待防护访问流量之前,流量获取模块2551,还用于:从路由器获取针对目标网络地址的待检测访问流量,待检测访问流量是针对目标网络地址的访问流量进行复制形成的镜像流量;对待检测访问流量进行攻击行为模式匹配,当匹配到攻击行为时,确定需要获取针对目标网络地址的待防护访问流量。
在一些实施例中,数据提取模块2552,还用于:针对待防护访问流量中包括的多个会话,提取出每个会话包括的多个数据包;从每个会话包括的多个数据包中,提取以下至少一个维度的数据特征:数据包的传输所应用的安全套接层的协议版本;数据包的传输所应用的握手版本;数据包的传输所应用的安全套接层的包长;数据包的加密套件长度;数据包的加密套件;数据包的组长度;数据包的组内容;数据包的扩展长度;数据包的支持扩展数;对每个会话的至少一个维度的数据特征中,提取对应的数据统计特征。
在一些实施例中,数据提取模块2552,还用于:获取正常会话样本中各个维度的数据特征的正常众数、以及异常会话样本中各个维度的数据的异常众数;确定每个会话的至少一个维度的数据特征与对应维度的正常众数之间的距离,以作为对应维度的正常绝对距离;确定每个会话的至少一个维度的数据特征与对应维度的异常众数之间的距离,以作为对应维度的异常绝对距离;将针对每个会话所确定的至少一个维度的正常绝对距离和异常绝对距离,组合为对应会话的数据统计特征。
在一些实施例中,神经网络模型包括级联的嵌入层、隐含层和全连接层;流量分类模块,流量分类模块2553,还用于:针对每个会话执行以下处理:通过嵌入层接收会话的数据统计特征,并传输到隐含层通过隐含层从所接收的数据统计特征中提取隐含层特征,并传输到全连接层;通过全连接层对所接收的隐含层特征映射为正常类别概率和异常类别概率;其中,正常类别概率和异常类别概率中的较大值对应的类别为会话的分类结果。
在一些实施例中,隐含层包括:批量标准化层、卷积层和池化层;流量分类模块2553,还用于:通过批量标准化层对所接收的数据统计特征的激活值进行标准化处理,得到满足正态分布的数据统计特征;通过卷积层对批量标准化层输出的数据统计特征进行特征提取处理,得到对应数据统计特征的卷积层特征;通过池化层对卷积层输出的卷积层特征进行采样处理,得到对应数据统计特征的隐含层特征。
在一些实施例中,当待防护访问流量是通过牵引路由规则从路由器引导得到时,流量清洗模块2555,还用于:将待防护访问流量中的攻击访问流量进行过滤,将过滤后得到的正常访问流量发送到路由器,以使路由器进行转发;将来源地址发送到路由器,以使路由器符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理;其中,新访问流量是网络服务提供方在待防护访问流量之后针对目标网络地址发送的,新访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求。
在一些实施例中,当待防护访问流量是从路由器接收的镜像流量时,流量清洗模块2555,还用于:将来源地址发送到路由器,以使路由器符合来源地址的新访问流量识别为新攻击访问流量,并对新攻击访问流量进行屏蔽处理;其中,新访问流量是网络服务提供方在待防护访问流量之后针对目标网络地址发送的,新访问流量包括网络服务提供方的签约用户针对目标网络地址的网络请求。
在一些实施例中,装置255还包括:训练模块2556,用于:通过神经网络模型对每个会话的数据统计特征提取隐含层特征,以基于隐含层特征对每个会话进行正常或异常的分类处理之前,通过从路由器旁路抓包的方式获取会话样本,并将预标记的正常会话样本和异常会话样本组合为训练样本集合;初始化神经网络模型,并初始化包括会话样本以及对应会话样本的分类结果的损失函数;在神经网络模型每次迭代训练过程中执行以下处理:通过神经网络模型,对训练样本集合包括的会话样本进行分类处理,得到对应会话样本的分类结果;将对应会话样本的真实类别和分类结果代入损失函数,以确定损失函数取得最小值时对应的神经网络模型参数;根据所确定的神经网络模型参数更新神经网络模型。
本发明实施例提供一种存储有可执行指令的存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本发明实施例提供的基于人工智能的网络安全防护方法,例如,如图3A-3C示出的基于人工智能的网络安全防护方法。
在一些实施例中,存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(HTML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
综上所述,通过本发明实施例对数据统计层面的众数特征,而不依赖反应内容的信息层面的特征来识别攻击访问流量,因此识别不受流量报文是否加密的影响,从而能够实现兼容加密和不加密攻击访问流量的识别,基于识别结果获取攻击访问流量的源地址,以对针对目标网络地址的攻击访问流量进行屏蔽处理,从而能够实现兼容加密和不加密攻击访问流量的清洗。
以上所述,仅为本发明的实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。

Claims (15)

1.一种基于人工智能的网络安全防护方法,其特征在于,包括:
获取针对目标网络地址的待防护访问流量;
针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;
通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理;
将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量;
基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理。
2.根据权利要求1所述的方法,其特征在于,所述获取针对目标网络地址的待防护访问流量,包括:
向路由器发送镜像流量请求,其中所述镜像流量请求携带所述目标网络地址,以使
所述路由器在针对所述目标网络地址的访问流量进行路由时,对所述访问流量进行复制得到所述访问流量的镜像流量,其中所述访问流量包括网络服务提供方的签约用户针对所述目标网络地址的网络请求;
接收所述路由器发送的所述镜像流量,以作为所述待防护访问流量。
3.根据权利要求1所述的方法,其特征在于,所述获取针对目标网络地址的待防护访问流量,包括:
向路由器发送牵引路由规则,其中所述牵引路由规则携带所述目标网络地址和牵引目标网络地址,以使
所述路由器将针对所述目标网络地址的访问流量引导至所述牵引目标网络地址,其中所述访问流量包括网络服务提供方的签约用户针对所述目标网络地址的网络请求;
接收所述路由器引导至所述牵引目标网络地址的所述访问流量,以作为所述待防护访问流量。
4.根据权利要求1所述的方法,其特征在于,所述提取每个会话的数据统计特征之后,所述方法还包括:
通过网络安全防护进程与所述神经网络模型之间的套接字连接,向所述神经网络模型发送所述每个会话的数据统计特征;
在将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量之前,所述方法还包括:
通过所述网络安全防护进程与所述神经网络模型之间的套接字连接,接收所述神经网络模型返回的分类结果。
5.根据权利要求1所述的方法,其特征在于,所述获取针对目标网络地址的待防护访问流量之前,所述方法还包括:
从路由器获取针对所述目标网络地址的待检测访问流量,所述待检测访问流量是针对所述目标网络地址的访问流量进行复制形成的镜像流量;
对所述待检测访问流量进行攻击行为模式匹配,当匹配到攻击行为时,确定需要获取针对所述目标网络地址的待防护访问流量。
6.根据权利要求1所述的方法,其特征在于,所述针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征,包括:
针对所述待防护访问流量中包括的多个会话,提取出每个会话包括的多个数据包;
从所述每个会话包括的多个数据包中,提取以下至少一个维度的数据特征:
所述数据包的传输所应用的安全套接层的协议版本;所述数据包的传输所应用的握手版本;所述数据包的传输所应用的安全套接层的包长;所述数据包的加密套件长度;所述数据包的加密套件;所述数据包的组长度;所述数据包的组内容;所述数据包的扩展长度;所述数据包的支持扩展数;
对所述每个会话的至少一个维度的数据特征中,提取对应的数据统计特征。
7.根据权利要求6所述的方法,其特征在于,所述对所述每个会话的至少一个维度的数据特征中,提取对应的数据统计特征,包括:
获取正常会话样本中各个维度的数据特征的正常众数、以及异常会话样本中各个维度的数据的异常众数;
确定所述每个会话的至少一个维度的数据特征与对应维度的正常众数之间的距离,以作为对应维度的正常绝对距离;
确定所述每个会话的至少一个维度的数据特征与对应维度的异常众数之间的距离,以作为对应维度的异常绝对距离;
将针对每个会话所确定的至少一个维度的正常绝对距离和异常绝对距离,组合为对应会话的数据统计特征。
8.根据权利要求1所述的方法,其特征在于,
所述神经网络模型包括级联的嵌入层、隐含层和全连接层;
所述通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理,包括:
针对所述每个会话执行以下处理:
通过所述嵌入层接收所述会话的数据统计特征,并传输到所述隐含层;
通过所述隐含层从所接收的数据统计特征中提取隐含层特征,并传输到全连接层;
通过所述全连接层对所接收的隐含层特征映射为正常类别概率和异常类别概率;
其中,所述正常类别概率和异常类别概率中的较大值对应的类别为所述会话的分类结果。
9.根据权利要求8所述的方法,其特征在于,
所述隐含层包括:批量标准化层、卷积层和池化层;
所述通过所述隐含层从所接收的数据统计特征中提取隐含层特征,包括:
通过所述批量标准化层对所接收的数据统计特征的激活值进行标准化处理,得到满足正态分布的数据统计特征;
通过所述卷积层对所述批量标准化层输出的数据统计特征进行特征提取处理,得到对应所述数据统计特征的卷积层特征;
通过所述池化层对所述卷积层输出的卷积层特征进行采样处理,得到对应所述数据统计特征的隐含层特征。
10.根据权利要求1至9任一项所述的方法,其特征在于,当所述待防护访问流量是通过牵引路由规则从路由器引导得到时,所述基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理,包括:
将所述待防护访问流量中的所述攻击访问流量进行过滤,将过滤后得到的正常访问流量发送到所述路由器,以使所述路由器进行转发;
将所述来源地址发送到所述路由器,以使所述路由器将符合所述来源地址的新访问流量识别为新攻击访问流量,并对所述新攻击访问流量进行屏蔽处理;
其中,所述新访问流量是网络服务提供方在所述待防护访问流量之后针对所述目标网络地址发送的,所述新访问流量包括所述网络服务提供方的签约用户针对所述目标网络地址的网络请求。
11.根据权利要求1至9任一项所述的方法,其特征在于,当所述待防护访问流量是从路由器接收的镜像流量时,所述基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理,包括:
将所述来源地址发送到所述路由器,以使所述路由器将符合所述来源地址的新访问流量识别为新攻击访问流量,并对所述新攻击访问流量进行屏蔽处理;
其中,所述新访问流量是网络服务提供方在所述待防护访问流量之后针对所述目标网络地址发送的,所述新访问流量包括所述网络服务提供方的签约用户针对所述目标网络地址的网络请求。
12.根据权利要求1至9任一项所述的方法,其特征在于,所述通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理之前,所述方法还包括:
通过从路由器旁路抓包的方式获取会话样本,并将预标记的正常会话样本和异常会话样本组合为训练样本集合;
初始化所述神经网络模型,并初始化包括会话样本以及对应所述会话样本的分类结果的损失函数;
在所述神经网络模型每次迭代训练过程中执行以下处理:
通过所述神经网络模型,对所述训练样本集合包括的会话样本进行分类处理,得到对应所述会话样本的分类结果;
将对应所述会话样本的真实类别和所述分类结果代入所述损失函数,以确定所述损失函数取得最小值时对应的神经网络模型参数;
根据所确定的神经网络模型参数更新所述神经网络模型。
13.一种基于人工智能的网络安全防护装置,其特征在于,包括:
流量获取模块,用于获取针对目标网络地址的待防护访问流量;
数据提取模块,用于针对所述待防护访问流量中包括的多个会话,提取每个会话的数据统计特征;
流量分类模块,用于通过神经网络模型对所述每个会话的数据统计特征提取隐含层特征,以基于所述隐含层特征对所述每个会话进行正常或异常的分类处理;
流量识别模块,用于将所述待防护访问流量中被分类为异常的会话识别为攻击访问流量;
流量清洗模块,用于基于所述攻击访问流量的来源地址,对针对所述目标网络地址的攻击访问流量进行屏蔽处理。
14.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至12任一项所述的基于人工智能的网络安全防护方法。
15.一种存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至12任一项所述的基于人工智能的网络安全防护方法。
CN202010234182.4A 2020-03-30 2020-03-30 基于人工智能的网络安全防护方法、装置、电子设备 Active CN111131335B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202010234182.4A CN111131335B (zh) 2020-03-30 2020-03-30 基于人工智能的网络安全防护方法、装置、电子设备
PCT/CN2021/077170 WO2021196911A1 (zh) 2020-03-30 2021-02-22 基于人工智能的网络安全防护方法、装置、电子设备
US17/702,766 US20220224706A1 (en) 2020-03-30 2022-03-23 Artificial intelligence-based network security protection method and apparatus, and electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010234182.4A CN111131335B (zh) 2020-03-30 2020-03-30 基于人工智能的网络安全防护方法、装置、电子设备

Publications (2)

Publication Number Publication Date
CN111131335A true CN111131335A (zh) 2020-05-08
CN111131335B CN111131335B (zh) 2020-08-28

Family

ID=70493852

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010234182.4A Active CN111131335B (zh) 2020-03-30 2020-03-30 基于人工智能的网络安全防护方法、装置、电子设备

Country Status (3)

Country Link
US (1) US20220224706A1 (zh)
CN (1) CN111131335B (zh)
WO (1) WO2021196911A1 (zh)

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111294365A (zh) * 2020-05-12 2020-06-16 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质
CN111861716A (zh) * 2020-07-23 2020-10-30 北京睿知图远科技有限公司 一种基于软件系统的贷中监控预警等级生成方法
CN112039871A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
CN112506699A (zh) * 2020-11-25 2021-03-16 江苏恒信和安电子科技有限公司 一种数据安全备份方法、设备和系统
CN112738109A (zh) * 2020-12-30 2021-04-30 杭州迪普科技股份有限公司 一种Web攻击的检测方法及装置
CN112804230A (zh) * 2020-05-12 2021-05-14 上海有孚智数云创数字科技有限公司 分布式拒绝服务攻击的监控方法、系统、设备及存储介质
CN112882696A (zh) * 2021-03-24 2021-06-01 国家超级计算天津中心 一种基于超级计算机的全要素模型训练系统
CN112968915A (zh) * 2021-05-18 2021-06-15 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置
CN113114541A (zh) * 2021-06-15 2021-07-13 上海兴容信息技术有限公司 一种判断网络节点之间能否建立网络连接的方法和系统
CN113132388A (zh) * 2021-04-21 2021-07-16 广东电网有限责任公司 一种数据安全交互方法及系统
TWI741698B (zh) * 2020-07-28 2021-10-01 中華電信股份有限公司 察覺惡意攻擊的方法及網路安全管理裝置
WO2021196911A1 (zh) * 2020-03-30 2021-10-07 腾讯科技(深圳)有限公司 基于人工智能的网络安全防护方法、装置、电子设备
CN113630381A (zh) * 2021-07-05 2021-11-09 郑州云智信安安全技术有限公司 一种基于分布式与人工智能的双工赋能网络攻防的方法及系统
CN114158080A (zh) * 2020-08-17 2022-03-08 中国电信股份有限公司 监测方法、装置及计算机可读存储介质
CN114186269A (zh) * 2021-12-06 2022-03-15 淄博云科互联网信息技术有限公司 基于人工智能的大数据信息安全防护方法及人工智能系统
CN114301698A (zh) * 2021-12-30 2022-04-08 北京天融信网络安全技术有限公司 流量数据库构建方法和流量检测模型训练方法
CN114553939A (zh) * 2022-04-25 2022-05-27 北京广通优云科技股份有限公司 一种it智能运维系统中基于加密流量的资源稳定切换方法
CN114710437A (zh) * 2022-06-07 2022-07-05 南京邮电大学 一种结合区块链的物联网边缘网络路由架构
CN114866486A (zh) * 2022-03-18 2022-08-05 广州大学 一种基于数据包的加密流量分类系统
CN116702152A (zh) * 2023-05-11 2023-09-05 李香 一种具有漏洞扫描功能的计算机安全防护管理系统
CN117118749A (zh) * 2023-10-20 2023-11-24 天津奥特拉网络科技有限公司 一种基于个人通信网络的身份验证系统

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114205151A (zh) * 2021-12-12 2022-03-18 南京理工大学 基于多特征融合学习的http/2页面访问流量识别方法
CN114338853B (zh) * 2021-12-31 2022-09-20 西南民族大学 一种工业互联网下的区块链流量监检测方法
CN114300146B (zh) * 2022-01-11 2023-03-31 贵州云上医疗科技管理有限公司 一种应用于智慧医疗的用户信息安全处理方法及系统
CN114500071B (zh) * 2022-02-10 2024-04-16 江苏大学 一种针对目标网站动态增长的自适应指纹攻击方法和系统
CN115801369A (zh) * 2022-05-25 2023-03-14 龚良 基于云计算的数据处理方法及服务器
CN116436649B (zh) * 2023-03-23 2024-02-09 北京神州安付科技股份有限公司 基于云服务器密码机的网络安全系统和方法
CN116471057A (zh) * 2023-03-29 2023-07-21 华能信息技术有限公司 一种恶意流量解析分析方法
CN116668120A (zh) * 2023-06-01 2023-08-29 泰州市野徐太丰防护用品厂 基于访问习性分析的网络安全防护系统
CN117692207B (zh) * 2023-12-12 2024-05-03 国网湖北省电力有限公司鄂州供电公司 一种基于加权相似度匹配的指令级电力系统业务防护方法
CN117421729B (zh) * 2023-12-18 2024-04-26 湖南森鹰科技有限公司 一种自动化程序攻击检测方法、装置、系统及介质
CN117792800B (zh) * 2024-02-28 2024-05-03 四川合佳科技有限公司 一种基于物联网安全评估系统的信息验证方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180198816A1 (en) * 2016-02-09 2018-07-12 International Business Machines Corporation Forecasting and classifying cyber-attacks using analytical data based neural embeddings
US20190019058A1 (en) * 2017-07-13 2019-01-17 Endgame, Inc. System and method for detecting homoglyph attacks with a siamese convolutional neural network
CN109818970A (zh) * 2019-03-07 2019-05-28 腾讯科技(深圳)有限公司 一种数据处理方法及装置
CN110247930A (zh) * 2019-07-01 2019-09-17 北京理工大学 一种基于深度神经网络的加密网络流量识别方法
CN110719275A (zh) * 2019-09-30 2020-01-21 浙江大学 一种基于报文特征的电力终端漏洞攻击检测方法
US20200044852A1 (en) * 2018-03-07 2020-02-06 Open Inference Holdings LLC Systems and methods for privacy-enabled biometric processing
CN110855682A (zh) * 2019-11-18 2020-02-28 南京邮电大学 网络攻击检测方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10341391B1 (en) * 2016-05-16 2019-07-02 EMC IP Holding Company LLC Network session based user behavior pattern analysis and associated anomaly detection and verification
CN111131335B (zh) * 2020-03-30 2020-08-28 腾讯科技(深圳)有限公司 基于人工智能的网络安全防护方法、装置、电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180198816A1 (en) * 2016-02-09 2018-07-12 International Business Machines Corporation Forecasting and classifying cyber-attacks using analytical data based neural embeddings
US20190019058A1 (en) * 2017-07-13 2019-01-17 Endgame, Inc. System and method for detecting homoglyph attacks with a siamese convolutional neural network
US20200044852A1 (en) * 2018-03-07 2020-02-06 Open Inference Holdings LLC Systems and methods for privacy-enabled biometric processing
CN109818970A (zh) * 2019-03-07 2019-05-28 腾讯科技(深圳)有限公司 一种数据处理方法及装置
CN110247930A (zh) * 2019-07-01 2019-09-17 北京理工大学 一种基于深度神经网络的加密网络流量识别方法
CN110719275A (zh) * 2019-09-30 2020-01-21 浙江大学 一种基于报文特征的电力终端漏洞攻击检测方法
CN110855682A (zh) * 2019-11-18 2020-02-28 南京邮电大学 网络攻击检测方法

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021196911A1 (zh) * 2020-03-30 2021-10-07 腾讯科技(深圳)有限公司 基于人工智能的网络安全防护方法、装置、电子设备
CN112804230A (zh) * 2020-05-12 2021-05-14 上海有孚智数云创数字科技有限公司 分布式拒绝服务攻击的监控方法、系统、设备及存储介质
CN111294365B (zh) * 2020-05-12 2020-08-18 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质
CN112804230B (zh) * 2020-05-12 2023-01-24 上海有孚智数云创数字科技有限公司 分布式拒绝服务攻击的监控方法、系统、设备及存储介质
CN111294365A (zh) * 2020-05-12 2020-06-16 腾讯科技(深圳)有限公司 攻击流量防护系统、方法、装置、电子设备和存储介质
CN111861716B (zh) * 2020-07-23 2021-06-22 北京睿知图远科技有限公司 一种基于软件系统的贷中监控预警等级生成方法
CN111861716A (zh) * 2020-07-23 2020-10-30 北京睿知图远科技有限公司 一种基于软件系统的贷中监控预警等级生成方法
TWI741698B (zh) * 2020-07-28 2021-10-01 中華電信股份有限公司 察覺惡意攻擊的方法及網路安全管理裝置
CN114158080B (zh) * 2020-08-17 2024-03-01 中国电信股份有限公司 监测方法、装置及计算机可读存储介质
CN114158080A (zh) * 2020-08-17 2022-03-08 中国电信股份有限公司 监测方法、装置及计算机可读存储介质
CN112039871A (zh) * 2020-08-28 2020-12-04 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
CN112039871B (zh) * 2020-08-28 2022-04-19 绿盟科技集团股份有限公司 一种确定调用的网络防护设备的方法及装置
CN112506699A (zh) * 2020-11-25 2021-03-16 江苏恒信和安电子科技有限公司 一种数据安全备份方法、设备和系统
CN112738109A (zh) * 2020-12-30 2021-04-30 杭州迪普科技股份有限公司 一种Web攻击的检测方法及装置
CN112882696A (zh) * 2021-03-24 2021-06-01 国家超级计算天津中心 一种基于超级计算机的全要素模型训练系统
CN112882696B (zh) * 2021-03-24 2024-02-02 国家超级计算天津中心 一种基于超级计算机的全要素模型训练系统
CN113132388A (zh) * 2021-04-21 2021-07-16 广东电网有限责任公司 一种数据安全交互方法及系统
CN113132388B (zh) * 2021-04-21 2023-04-07 广东电网有限责任公司 一种数据安全交互方法及系统
CN112968915B (zh) * 2021-05-18 2021-08-06 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置
CN112968915A (zh) * 2021-05-18 2021-06-15 卓尔智联(武汉)研究院有限公司 Dns域名服务器攻击的处理方法、处理系统、处理装置
CN113114541A (zh) * 2021-06-15 2021-07-13 上海兴容信息技术有限公司 一种判断网络节点之间能否建立网络连接的方法和系统
CN113630381A (zh) * 2021-07-05 2021-11-09 郑州云智信安安全技术有限公司 一种基于分布式与人工智能的双工赋能网络攻防的方法及系统
CN114186269A (zh) * 2021-12-06 2022-03-15 淄博云科互联网信息技术有限公司 基于人工智能的大数据信息安全防护方法及人工智能系统
CN114301698A (zh) * 2021-12-30 2022-04-08 北京天融信网络安全技术有限公司 流量数据库构建方法和流量检测模型训练方法
CN114866486A (zh) * 2022-03-18 2022-08-05 广州大学 一种基于数据包的加密流量分类系统
CN114553939B (zh) * 2022-04-25 2022-07-19 北京广通优云科技股份有限公司 一种it智能运维系统中基于加密流量的资源稳定切换方法
CN114553939A (zh) * 2022-04-25 2022-05-27 北京广通优云科技股份有限公司 一种it智能运维系统中基于加密流量的资源稳定切换方法
CN114710437B (zh) * 2022-06-07 2022-08-23 南京邮电大学 一种结合区块链的物联网边缘网络路由系统
CN114710437A (zh) * 2022-06-07 2022-07-05 南京邮电大学 一种结合区块链的物联网边缘网络路由架构
CN116702152A (zh) * 2023-05-11 2023-09-05 李香 一种具有漏洞扫描功能的计算机安全防护管理系统
CN117118749A (zh) * 2023-10-20 2023-11-24 天津奥特拉网络科技有限公司 一种基于个人通信网络的身份验证系统

Also Published As

Publication number Publication date
CN111131335B (zh) 2020-08-28
WO2021196911A1 (zh) 2021-10-07
US20220224706A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
CN111131335B (zh) 基于人工智能的网络安全防护方法、装置、电子设备
JP7167240B6 (ja) コンピュータネットワーク及びシステムのプロテクションのためのリアクティブ及びプリエンプティブセキュリティシステム
Patil et al. A methodical overview on phishing detection along with an organized way to construct an anti-phishing framework
US7958549B2 (en) Attack defending system and attack defending method
CN107872456A (zh) 网络入侵防御方法、装置、系统及计算机可读存储介质
Kumar et al. Intrusion detection systems: a review
Akbar et al. Intrusion detection system methodologies based on data analysis
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
CN112685734A (zh) 安全防护方法、装置、计算机设备和存储介质
Fu et al. Encrypted malware traffic detection via graph-based network analysis
Rajendran Hybrid intrusion detection algorithm for private cloud
Le et al. Unsupervised monitoring of network and service behaviour using self organizing maps
CN108737332A (zh) 一种基于机器学习的中间人攻击预测方法
Hasan et al. Optimization algorithms for intrusion detection system: a review
CN115134166B (zh) 一种基于蜜洞的攻击溯源方法
Jogdand et al. Survey of different IDS using honeytoken based techniques to mitigate cyber threats
Althobiti et al. Machine Learning approach to Secure Software Defined Network: Machine Learning and Artificial Intelligence
Modi et al. Design and implementation of RESTFUL API based model for vulnerability detection and mitigation
Kalangi et al. A Hybrid IP Trace Back Mechanism to Pinpoint the Attacker
Vadlamani A survey on detection and defense of application layer DDoS attacks
Paddalwar et al. Cyber threat mitigation using machine learning, deep learning, artificial intelligence, and blockchain
Kirubakaran et al. An Effective Study on Different Levels of Honeypot with Applications and Design of Real Time Honeypot
Wegner Multi-agent malicious behaviour detection
Bhingarkar et al. A survey: cloud hosted website protection using soft computing techniques
Li et al. Prism: Real-Time Privacy Protection Against Temporal Network Traffic Analyzers

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant