CN111404941A - 网络安全防护方法及网络安全防护装置 - Google Patents
网络安全防护方法及网络安全防护装置 Download PDFInfo
- Publication number
- CN111404941A CN111404941A CN202010186712.2A CN202010186712A CN111404941A CN 111404941 A CN111404941 A CN 111404941A CN 202010186712 A CN202010186712 A CN 202010186712A CN 111404941 A CN111404941 A CN 111404941A
- Authority
- CN
- China
- Prior art keywords
- communication
- data
- intention
- image
- data stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/40—Extraction of image or video features
- G06V10/46—Descriptors for shape, contour or point-related descriptors, e.g. scale invariant feature transform [SIFT] or bags of words [BoW]; Salient regional features
- G06V10/462—Salient features, e.g. scale invariant feature transforms [SIFT]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明涉及网络安全技术领域,提供一种网络安全防护方法及装置,所述方法包括:截取网络通信数据,获得待识别数据;将所述待识别数据转换为预定格式的图像;对所述预定格式的图像进行图像特征提取,获得图像特征点;将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;根据所述第一通信意图对网络安全进行防护。本发明提供的技术方案,能够自动、高效地进行网络安全防护,且通用性好。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络安全防护方法及网络安全防护装置。
背景技术
现有的网络安全防护策略主要有访问控制、网络隔离、信息过滤、信息容错、数据镜像、数据备份和数据审计等,其中又以信息过滤和访问控制为首要防护策略。
现有的防护方法包括数据包特征匹配和/或网络通信行为特征匹配,在现阶段,这两种特征匹配方式都需要预先建立其各自对应的特征数据库、针对不同类型的网络数据设计不同的特征提取方法,并需要对数据包进行解析以得到可识别的数据、统计网络通信过程中的通信步骤,在以上工作的基础上才能识别出可疑的网络信息,再进一步对该可疑信息进行网络拦截。此外,当网络通信环境改变而导致网络数据类型发生改变时,又要重新设计特征数据库和特征提取方法以进行后续的信息识别工作。可见,现有的防护方法繁冗复杂、工作量大,且通用性差。
发明内容
有鉴于此,本发明旨在提出一种网络安全防护方法及装置,能够自动、高效地进行网络安全防护,且通用性好。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络安全防护方法,所述方法包括:
截取网络通信数据,获得待识别数据;
将所述待识别数据转换为预定格式的图像;
对所述预定格式的图像进行图像特征提取,获得图像特征点;
将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
根据所述第一通信意图对网络安全进行防护。
优选地,所述截取网络通信数据,获得待识别数据,包括:
持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流;
将一条数据流作为所述待识别数据。
优选地,所述截取网络通信数据,获得待识别数据,包括:
持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流;
对每条数据流均进行以下操作:对一条数据流按照预定规则进行分段,获得一条数据流的多个分段数据,将一条数据流的多个分段数据作为所述待识别数据;
所述将所述待识别数据转换为预定格式的图像,包括:将一条数据流的多个分段数据分别转换为与每个分段数据对应的预定格式的图像;
所述对所述预定格式的图像进行图像特征提取,获得图像特征点,包括:对每个分段数据对应的预定格式的图像分别进行图像特征提取,获得每个分段数据对应的图像特征点;
所述将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图,包括:
将每个分段数据对应的图像特征点分别输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的每个分段数据对应的第一通信意图;
所述根据所述第一通信意图对网络安全进行防护,包括:
对所有的分段数据的第一通信意图进行综合判定,获得该条数据流的通信意图,根据该条数据流的通信意图对网络安全进行防护。
优选地,所述根据该条数据流的通信意图对网络安全进行防护,包括:
当该条数据流的通信意图为预设的可疑通信意图中的一种时,从预设拦截策略中选取与该条数据流的通信意图对应的拦截策略;
根据与该条数据流的通信意图对应的拦截策略对该条数据流进行拦截。
进一步地,所述方法还包括:
对所有数据流的通信意图进行综合判定,获得所述预定终端的通信意图;
当所述预定终端的通信意图为所述预设的可疑通信意图中的一种时,禁止所述预定终端的所有通信。
优选地,所述对一条数据流按照预定规则进行分段,获得一条数据流的多个分段数据,包括:
识别该条数据流的通信协议;
按照所述通信协议的数据帧长度对该条数据流进行分段,获得该条数据流的多个分段数据。
进一步地,所述方法还包括:采用Scikit-Learn工具对预先建立的深度学习模型进行通信意图识别训练,获得所述训练好的通信意图识别模型。
进一步地,所述方法还包括:
将预设的多个测试数据分别输入所述训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的每个测试数据的通信意图;
将所有测试数据的通信意图和所述该条数据流的通信意图组成相似度矩阵;
采用AP聚类算法并基于所述相似度矩阵计算聚类中心;
将所述聚类中心对应的通信意图作为优化的通信意图;
当所述优化的通信意图为所述预设的可疑通信意图中的一种时,从所述预设拦截策略中选取与所述优化的通信意图对应的拦截策略;
根据与所述优化的通信意图对应的拦截策略对该条数据流进行拦截。
本发明的另一目的在于提出一种网络安全防护装置,能够自动、高效地进行网络安全防护,且通用性好。
为达到上述目的,本发明的技术方案是这样实现的:
一种网络安全防护装置,所述装置包括:
数据截取模块,用于截取网络通信数据,获得待识别数据;
图像生成模块,用于将所述待识别数据转换为预定格式的图像;
图像特征提取模块,用于对所述预定格式的图像进行图像特征提取,获得图像特征点;
通信意图获取模块,用于将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
防护模块,用于根据所述第一通信意图对网络安全进行防护。
本发明还提供一种计算机存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项网络安全防护方法。
本发明所述的网络安全防护方法及装置,将待识别数据转换为预定格式的图像,并对预定格式的图像进行图像特征提取,获得图像特征点,采用训练好的通信意图识别模型对该图像特征点进行通信意图识别,根据识别的通信意图对网络安全进行防护。由于将待识别数据统一转换为预定格式的图像后再进行后续操作,因此能够适用于各种网络环境下的各种网络数据类型,具有较好的通用性。同时,由于采用了预先训练好的通信意图识别模型对输入的图像特征点进行通信意图识别,不需要像现有技术那样做大量的前期准备工作,因此具有自动、高效的特点。可见,本发明提供的技术方案,能够自动、高效地进行网络安全防护,且通用性好。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施方式及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为本发明实施例的方法流程图;
图2为本发明实施例中对预定终端的通信意图进行识别的示意图;
图3为本发明实施例的装置结构图。
附图标记说明
1-网络通信链接1的数据流2-网络通信链接2的数据流
3-网络通信链接1的分段数据意图结果列表
4-网络通信链接2的分段数据意图结果列表
5-链接意图结果列表
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
本发明实施例提供的网络安全防护方法如图1所示,包括以下步骤:
步骤S101,截取网络通信数据,获得待识别数据;
本实施例中,持续地截取网络通信数据,以对各种网络通信数据进行实时监控。具体地,可优选地采用以下两种方法截取网络通信数据以获得待识别数据:
第一种方法包括:持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流,将其中某一条数据流作为上述待识别数据。
本实施例中,所述预定终端为某一台联网的计算机,预定终端的网络通信链接指的是该计算机与另外一台计算机进行参数、控制命令等的数据传输过程。预定终端在通信过程中通常存在多个网络通信链接,每条网络通信链接均对应一条二进制数据流,将其中某一条数据流作为待识别数据,则后续进行意图识别操作后,识别出的就是该条数据流的通信意图。对每一条数据流均进行意图识别操作,则可获得每一条数据流的通信意图,当发现某一条数据流的通信意图可疑时,可对其进行拦截操作。
第二种方法包括:持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流,对每条数据流均进行以下操作:对一条数据流按照预定规则进行分段,获得一条数据流的多个分段数据,将一条数据流的多个分段数据作为所述待识别数据。
实际操作中,可按照多种规则对一条数据流进行分段,以获得该条数据流的多个分段数据。本实施例中,优选地采用以下方法:识别该条数据流的通信协议,按照该通信协议的数据帧长度对该条数据流进行分段,获得该条数据流的多个分段数据。
具体地,所述通信协议包括IP协议、TCP协议和UDP协议等。若识别出该条数据流的通信协议为IP协议,则按照IP协议所封装的数据帧长度对该条数据流进行分段,相当于抓取每个数据帧的IP头;若识别出该条数据流的通信协议为TCP协议,则按照TCP协议所封装的数据帧长度对该条数据流进行分段,相当于抓取每个数据帧的TCP头;若识别出该条数据流的通信协议为UDP协议,则按照UDP协议所封装的数据帧长度对该条数据流进行分段,相当于抓取每个数据帧的UDP头。本实施例中,若识别不出该条数据流的通信协议,则将分段数据的长度设置为10000字节,以10000字节为长度对该条数据流进行分段。当最后一段数据不足10000字节时,以0补足。
本实施例中,将每条数据流进行分段以后,将其中某一条数据流的多个分段数据作为待识别数据,后续的通信意图识别操作将会对每一个分段数据进行通信意图识别,将该条数据流中所有的分段数据的通信意图进行综合判定,则可获得该条数据流的通信意图。对该计算机的所有的网络通信链接对应的数据流的通信意图进行综合判定,则可获得该计算机的通信意图。
步骤S102,将所述待识别数据转换为预定格式的图像;
本实施例将看似无规律的二进制通信数据统一转换为预定格式的图像,以便后续能够利用现有的SIFT(Scale-invariant feature transform,尺度不变特征变换)、SVM(Support Vector Machine,支持向量机)和AP(Affinity Propagation Clustering,亲和力传播聚类)等成熟算法对其进行有效处理。
当步骤S101采用上述第二种方法来实现时,即将一条数据流的多个分段数据作为待识别数据时,将所述待识别数据转换为预定格式的图像,具体采用如下方式实现:将一条数据流的多个分段数据分别转换为与每个分段数据对应的预定格式的图像。本实施例中,该预定格式的图像为一张100像素长、100像素宽、256级灰度的图像。
步骤S103,对所述预定格式的图像进行图像特征提取,获得图像特征点;
由于由二进制通信数据生成的图像数据量大,直接对生成的图像进行通信意图识别的计算量也较大、计算效率较低,因此,还需进一步提取图像特征,获得图像特征点。
本步骤中,在通过步骤S102将一条数据流的多个分段数据分别转换为与每个分段数据对应的预定格式的图像后,对所述预定格式的图像进行图像特征提取,获得图像特征点,具体采用如下方式实现:对一条数据流中的每个分段数据对应的预定格式的图像分别进行图像特征提取,获得一条数据流中的每个分段数据对应的图像特征点。本实施例中,优选地采用SIFT算法来提取图像特征。
步骤S104,将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
本实施例中所述的通信意图,指的是某台计算机的某条网络通信链接的通信意图,或某台计算机在某个时刻或某个时间段内的整体通信意图,也就是该计算机进行网络通信的目的。例如,点击某个网页链接可定义为意图访问某网站;VPN(Virtual PrivateNetwork,虚拟专用网络)网络链接可定义为意图通过虚拟专用网络进行数据传输;视频通话链接可定义为意图通过网络实时传输音视频,上述通信意图也可分别称为访问某网站的意图、通过虚拟专用网络通信的意图和视频通话的意图。而有些通信意图是不合法的,必须制定相应的策略对其进行拦截。
本步骤中,在通过步骤S103对一条数据流中的每个分段数据对应的预定格式的图像分别进行图像特征提取,获得一条数据流中的每个分段数据对应的图像特征点之后,将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图,具体采用如下方式实现:将一条数据流中的每个分段数据对应的图像特征点分别输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的一条数据流中的每个分段数据对应的第一通信意图。
步骤S105,根据所述第一通信意图对网络安全进行防护。
本步骤中,在通过步骤S104获得一条数据流中的每个分段数据对应的第一通信意图之后,根据所述第一通信意图对网络安全进行防护,具体采用如下方式实现:对所有的分段数据的第一通信意图进行综合判定,获得该条数据流的通信意图,根据该条数据流的通信意图对网络安全进行防护。具体的防护方法包括:当该条数据流的通信意图为预设的可疑通信意图中的一种时,从预设拦截策略中选取与该条数据流的通信意图对应的拦截策略,根据与该条数据流的通信意图对应的拦截策略对该条数据流进行拦截。本实施例中,通过操作计算机网卡或操作系统来具体实施对数据流的拦截操作。
上述预设的可疑通信意图和预设拦截策略预先设置好对应关系,并以表格的形式进行存储,如表1所示。当识别出某条数据流的通信意图(即某条网络通信链接的通信意图)为可疑通信意图——访问网站A时,其拦截策略为丢弃该通信数据,即阻止计算机访问网站A;当识别出某条数据流的通信意图为可疑通信意图——视频通话时,则修改通信数据为0x00;当识别出某条数据流的通信意图为可疑通信意图——VPN网络通信时,则禁止该台计算机的所有通信;当识别出某条数据流的通信意图为可疑通信意图——视频文件下载时,则丢弃该通信数据;当识别出某条数据流的通信意图为可疑通信意图——漏洞扫描时,则禁止该台计算机的所有通信。
表1
进一步地,对所述预定终端的所有数据流的通信意图进行综合判定,获得该预定终端的通信意图,即获得某台计算机在某个时刻或某个时间段内的整体通信意图。当该预定终端的通信意图为上述预设的可疑通信意图中的一种时,禁止该预定终端的所有通信。
图2示出了对预定终端的通信意图进行识别的示意图。图2中,首先识别计算机A的某一条网络通信链接中各个分段数据的通信意图,再对各个分段数据的通信意图进行综合判定,获得该网络通信链接的通信意图,最后对所有网络通信链接的通信意图进行综合判定,获得计算机A的通信意图。具体的通信意图识别过程如下:
(1)通过训练好的通信意图识别模型识别某段分段数据的通信意图。
(2)将该分段数据的通信意图缓存,与该分段数据对应的网络通信链接、计算机之间建立映射关系,存储于预设的分段数据意图结果列表中。
(3)持续进行识别过程,直到网络通信链接断开或分段数据意图结果列表中结果数量大于结果数量阀值,该阈值设为10个。
(4)对分段数据意图结果列表进行统计,如果识别出的某个意图的次数占所有识别出的意图的次数的70%,则认为意图识别成功,将该意图作为该网络通信链接的意图识别结果,缓存该结果,放入预设的链接意图结果列表中。
(5)如果未达到识别成功标准(即某个意图占比大于70%),则将结果数量阀值翻倍,重复以上过程,直到链接断开。
(6)当链接意图结果列表中结果数量大于20后,进行统计,计算每一个意图的次数占总数的比率,如果超过50%,则认为该计算机在网络通信中具有该意图,缓存该结果,放入计算机意图结果列表中。
(7)重复上述步骤,识别该计算机所有的网络通信链接的意图和监控网络中所有计算机的所有意图。
本实施例所述的方法还包括:采用Scikit-Learn工具对预先建立的深度学习模型进行通信意图识别训练,获得所述训练好的通信意图识别模型。训练是对深度学习模型的训练,以使该深度学习模型具备识别网络通信的意图的能力,该训练过程是有监督学习的过程。采用Scikit-Learn工具进行训练的具体方法如下:
(1)准备大量的网络通信数据,并对每个网络通信链接进行意图标注。
(2)将标注后的每个网络通信链接对应的数据流按照本实施例的步骤S102转换为预定格式的图像,并按照本实施例的步骤S103提取图像特征点。
(3)对图像特征点进行标准化,得到学习数据集。
(4)对学习数据集进行分割,得到70%的训练数据和30%的测试数据。
(5)基于SVM算法利用Scikit-Learn的train_test_split方法对上述训练数据和测试数据进行交叉检验,以获得最优的训练数据集和测试数据集。
(6)采用GridSearchCV方法进行网络搜索和交叉检验来寻找最优模型参数组合。通过不断调整深度学习模型的松弛变量和控制径向基函数核的大小,来确定最优模型,并得到最优松弛变量和最优径向基函数核的大小。
GridSearchCV可以保证在指定的参数范围内找到精度最高的参数,网格搜索算法使用每组超参数训练模型并挑选测试数据集误差最小的超参数组合。
(7)将最优松弛变量和最优径向基函数核的大小保存至意图匹配数据集的有监督学习结果表中作为训练结果,用于之后上线运行后的最优松弛变量和最优径向基函数核的大小。
(8)以最优松弛变量和最优径向基函数核的大小,使用Scikit-Learn计算每一个测试数据对每一个通信意图匹配概率,以获得每个测试数据的通信意图,将该数据保存到意图匹配数据集的训练数据意图概率表中,作为后续无监督学习的相似度矩阵。
为了提高通信意图的识别精度,本实施例所述的方法还包括采用Scikit-Learn的AP聚类算法进行的无监督学习过程,该无监督学习过程是对由上述训练好的通信意图识别模型的输出结果的进一步识别。
AP聚类算法需要用到以下参数:
吸引度(responsibility)矩阵R:其中r(i,k)描述了数据对象k适合作为数据对象i的聚类中心的程度,表示的是从i到k的消息。
归属度(availability)矩阵A:其中a(i,k)描述了数据对象i选择数据对象k作为其据聚类中心的适合程度,表示从k到i的消息。
相似度(similarity)矩阵S:通常S(i,j)取i,j的欧氏距离的负值,当i=j时,通常取整个矩阵的最小值或者中位数(Scikit-learn中默认为中位数),取的值越大则最终产生的类数量越多。
AP聚类算法步骤如下:
1.算法初始,吸引度矩阵和归属度矩阵均初始化为0矩阵
2.更新吸引度矩阵
3.更新归属度矩阵
4.根据衰减系数λ对以下两个公式进行衰减
5.重复步骤2-4直至矩阵稳定或者达到最大迭代次数,算法结束。最终取a+r最大的k作为聚类中心。
本实施例中,上述无监督学习过程包括:将预设的多个测试数据分别输入所述训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的每个测试数据的通信意图;将所有测试数据的通信意图和由步骤S105得到的某条数据流的通信意图组成相似度矩阵;采用AP聚类算法并基于所述相似度矩阵计算聚类中心;将所述聚类中心对应的通信意图作为对该条数据流的通信意图优化的通信意图;当该优化的通信意图为上述预设的可疑通信意图中的一种时,从上述预设拦截策略中选取与该优化的通信意图对应的拦截策略;根据与该优化的通信意图对应的拦截策略对该条数据流进行拦截。进一步地,将优化的通信意图添加至上述相似度矩阵中,作为下一次意图识别的输入,如此,能够不断地提高模型识别的精确度,进一步优化无监督学习。
与上述实施方式相对应地,本发明还提供一种网络安全防护装置,如图3所示,本实施例提供的装置包括:
数据截取模块201,用于截取网络通信数据,获得待识别数据;
图像生成模块202,用于将所述待识别数据转换为预定格式的图像;
图像特征提取模块203,用于对所述预定格式的图像进行图像特征提取,获得图像特征点;
通信意图获取模块204,用于将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
防护模块205,用于根据所述第一通信意图对网络安全进行防护。
上述装置的工作原理、工作流程等涉及具体实施方式的内容可参见本发明所提供的网络安全防护方法的具体实施方式,此处不再对相同的技术内容进行详细描述。
本发明还提供一种计算机存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本实施例所述的网络安全防护方法。
本发明还提供一种终端设备,包括处理器,该处理器用于执行本实施例所述的网络安全防护方法。
本发明所述的网络安全防护方法及装置,将待识别数据转换为预定格式的图像,并对预定格式的图像进行图像特征提取,获得图像特征点,采用训练好的通信意图识别模型对该图像特征点进行通信意图识别,根据识别的通信意图对网络安全进行防护。由于将待识别数据统一转换为预定格式的图像后再进行后续操作,因此能够适用于各种网络环境下的各种网络数据类型,具有较好的通用性。同时,由于采用了预先训练好的通信意图识别模型对输入的图像特征点进行通信意图识别,不需要像现有技术那样做大量的前期准备工作,因此具有自动、高效的特点。可见,本发明提供的技术方案,能够自动、高效地进行网络安全防护,且通用性好。
以上结合附图详细描述了本发明实施例的可选实施方式,但是,本发明实施例并不限于上述实施方式中的具体细节,在本发明实施例的技术构思范围内,可以对本发明实施例的技术方案进行多种简单变型,这些简单变型均属于本发明实施例的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明实施例对各种可能的组合方式不再另行说明。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得单片机、芯片或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,本发明实施例的不同实施方式之间也可以进行任意组合,只要其不违背本发明实施例的思想,其同样应当视为本发明实施例所公开的内容。
Claims (10)
1.一种网络安全防护方法,其特征在于,所述方法包括:
截取网络通信数据,获得待识别数据;
将所述待识别数据转换为预定格式的图像;
对所述预定格式的图像进行图像特征提取,获得图像特征点;
将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
根据所述第一通信意图对网络安全进行防护。
2.根据权利要求1所述的网络安全防护方法,其特征在于,所述截取网络通信数据,获得待识别数据,包括:
持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流;
将一条数据流作为所述待识别数据。
3.根据权利要求1所述的网络安全防护方法,其特征在于,所述截取网络通信数据,获得待识别数据,包括:
持续截取预定终端的网络通信链接,并获取每条网络通信链接对应的数据流;
对每条数据流均进行以下操作:对一条数据流按照预定规则进行分段,获得一条数据流的多个分段数据,将一条数据流的多个分段数据作为所述待识别数据;
所述将所述待识别数据转换为预定格式的图像,包括:
将一条数据流的多个分段数据分别转换为与每个分段数据对应的预定格式的图像;
所述对所述预定格式的图像进行图像特征提取,获得图像特征点,包括:对每个分段数据对应的预定格式的图像分别进行图像特征提取,获得每个分段数据对应的图像特征点;
所述将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图,包括:
将每个分段数据对应的图像特征点分别输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的每个分段数据对应的第一通信意图;
所述根据所述第一通信意图对网络安全进行防护,包括:
对所有的分段数据的第一通信意图进行综合判定,获得该条数据流的通信意图,根据该条数据流的通信意图对网络安全进行防护。
4.根据权利要求3所述的网络安全防护方法,其特征在于,所述根据该条数据流的通信意图对网络安全进行防护,包括:当该条数据流的通信意图为预设的可疑通信意图中的一种时,从预设拦截策略中选取与该条数据流的通信意图对应的拦截策略;
根据与该条数据流的通信意图对应的拦截策略对该条数据流进行拦截。
5.根据权利要求4所述的网络安全防护方法,其特征在于,所述方法还包括:
对所有数据流的通信意图进行综合判定,获得所述预定终端的通信意图;
当所述预定终端的通信意图为所述预设的可疑通信意图中的一种时,禁止所述预定终端的所有通信。
6.根据权利要求3所述的网络安全防护方法,其特征在于,所述对一条数据流按照预定规则进行分段,获得一条数据流的多个分段数据,包括:
识别该条数据流的通信协议;
按照所述通信协议的数据帧长度对该条数据流进行分段,获得该条数据流的多个分段数据。
7.根据权利要求4所述的网络安全防护方法,其特征在于,所述方法还包括:采用Scikit-Learn工具对预先建立的深度学习模型进行通信意图识别训练,获得所述训练好的通信意图识别模型。
8.根据权利要求7所述的网络安全防护方法,其特征在于,所述方法还包括:
将预设的多个测试数据分别输入所述训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的每个测试数据的通信意图;
将所有测试数据的通信意图和所述该条数据流的通信意图组成相似度矩阵;
采用AP聚类算法并基于所述相似度矩阵计算聚类中心;
将所述聚类中心对应的通信意图作为优化的通信意图;
当所述优化的通信意图为所述预设的可疑通信意图中的一种时,从所述预设拦截策略中选取与所述优化的通信意图对应的拦截策略;
根据与所述优化的通信意图对应的拦截策略对该条数据流进行拦截。
9.一种网络安全防护装置,其特征在于,所述装置包括:
数据截取模块,用于截取网络通信数据,获得待识别数据;
图像生成模块,用于将所述待识别数据转换为预定格式的图像;
图像特征提取模块,用于对所述预定格式的图像进行图像特征提取,获得图像特征点;
通信意图获取模块,用于将所述图像特征点输入训练好的通信意图识别模型,以获得所述训练好的通信意图识别模型输出的第一通信意图;
防护模块,用于根据所述第一通信意图对网络安全进行防护。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至8中任意一项所述的网络安全防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010186712.2A CN111404941B (zh) | 2020-03-17 | 2020-03-17 | 网络安全防护方法及网络安全防护装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010186712.2A CN111404941B (zh) | 2020-03-17 | 2020-03-17 | 网络安全防护方法及网络安全防护装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404941A true CN111404941A (zh) | 2020-07-10 |
| CN111404941B CN111404941B (zh) | 2022-08-09 |
Family
ID=71432573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010186712.2A Active CN111404941B (zh) | 2020-03-17 | 2020-03-17 | 网络安全防护方法及网络安全防护装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404941B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100091A (zh) * | 2015-07-13 | 2015-11-25 | 北京奇虎科技有限公司 | 一种协议识别方法及系统 |
| CN107122641A (zh) * | 2017-04-25 | 2017-09-01 | 杭州安石信息技术有限公司 | 基于使用习惯的智能设备机主识别方法及机主识别装置 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制系统安全检测方法及装置 |
| US20180183815A1 (en) * | 2016-10-17 | 2018-06-28 | Kerry Wayne Enfinger | System and method for detecting malware |
| CN109450860A (zh) * | 2018-10-16 | 2019-03-08 | 南京航空航天大学 | 一种基于熵和支持向量机的高级持续性威胁的检测方法 |
| CN110189769A (zh) * | 2019-05-23 | 2019-08-30 | 复钧智能科技(苏州)有限公司 | 基于多个卷积神经网络模型结合的异常声音检测方法 |
| CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
-
2020
- 2020-03-17 CN CN202010186712.2A patent/CN111404941B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100091A (zh) * | 2015-07-13 | 2015-11-25 | 北京奇虎科技有限公司 | 一种协议识别方法及系统 |
| US20180183815A1 (en) * | 2016-10-17 | 2018-06-28 | Kerry Wayne Enfinger | System and method for detecting malware |
| CN107122641A (zh) * | 2017-04-25 | 2017-09-01 | 杭州安石信息技术有限公司 | 基于使用习惯的智能设备机主识别方法及机主识别装置 |
| CN107404487A (zh) * | 2017-08-07 | 2017-11-28 | 浙江国利信安科技有限公司 | 一种工业控制系统安全检测方法及装置 |
| CN110875912A (zh) * | 2018-09-03 | 2020-03-10 | 中移(杭州)信息技术有限公司 | 一种基于深度学习的网络入侵检测方法、装置和存储介质 |
| CN109450860A (zh) * | 2018-10-16 | 2019-03-08 | 南京航空航天大学 | 一种基于熵和支持向量机的高级持续性威胁的检测方法 |
| CN110189769A (zh) * | 2019-05-23 | 2019-08-30 | 复钧智能科技(苏州)有限公司 | 基于多个卷积神经网络模型结合的异常声音检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 孙剑: "基于聚类的应用层DDoS攻击检测方法研究", 《计算机工程与应用》 * |
| 赵新辉: "基于链路监控的SDN恶意流量检测与防御", 《信息工程大学学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404941B (zh) | 2022-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108881192B (zh) | 一种基于深度学习的加密型僵尸网络检测系统及方法 | |
| CN113364752B (zh) | 一种流量异常检测方法、检测设备及计算机可读存储介质 | |
| CN112261007B (zh) | 基于机器学习的https恶意加密流量检测方法、系统及存储介质 | |
| CN111064678A (zh) | 基于轻量级卷积神经网络的网络流量分类方法 | |
| CN111953670B (zh) | 基于Meek传输插件的自适应混淆方法、系统及计算机存储介质 | |
| CN110222795B (zh) | 基于卷积神经网络的p2p流量的识别方法及相关装置 | |
| CN110417729A (zh) | 一种加密流量的服务与应用分类方法及系统 | |
| CN112261021B (zh) | 软件定义物联网下DDoS攻击检测方法 | |
| Cheng et al. | DDoS Attack Detection via Multi-Scale Convolutional Neural Network. | |
| CN111835769A (zh) | 基于vgg神经网络的恶意流量检测方法、装置、设备及介质 | |
| CN111935185B (zh) | 基于云计算构建大规模诱捕场景的方法及系统 | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN111818009A (zh) | 一种针对基于mqtt协议的报文的防护方法和装置 | |
| CN113408707A (zh) | 一种基于深度学习的网络加密流量识别方法 | |
| CN111404941B (zh) | 网络安全防护方法及网络安全防护装置 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| CN109981656A (zh) | 一种基于cdn节点日志的cc防护方法 | |
| CN113194092B (zh) | 一种精准的恶意流量变种检测方法 | |
| ÇİMEN et al. | Performance Analysis of Machine Learning Algorithms in Intrusion Detection Systems | |
| CN114362988A (zh) | 网络流量的识别方法及装置 | |
| Xue et al. | A stacking-based classification approach to android malware using host-level encrypted traffic | |
| Xie et al. | Adaptive meek technology for anti-traffic analysis | |
| CN116436649B (zh) | 基于云服务器密码机的网络安全系统和方法 | |
| CN116582372B (zh) | 一种物联网入侵检测方法、系统、电子设备及存储介质 | |
| CN114363005A (zh) | 基于机器学习的icmp检测方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |