CN111586071B - 一种基于循环神经网络模型的加密攻击检测方法及装置 - Google Patents
一种基于循环神经网络模型的加密攻击检测方法及装置 Download PDFInfo
- Publication number
- CN111586071B CN111586071B CN202010423687.5A CN202010423687A CN111586071B CN 111586071 B CN111586071 B CN 111586071B CN 202010423687 A CN202010423687 A CN 202010423687A CN 111586071 B CN111586071 B CN 111586071B
- Authority
- CN
- China
- Prior art keywords
- data stream
- sequence
- training
- target
- neural network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Security & Cryptography (AREA)
- Bioinformatics & Computational Biology (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种基于循环神经网络模型的加密攻击检测方法及装置,在获取到用于训练循环神经网络模型的训练样本集后,根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型,然后根据加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果。如此,能够准确检测出加密攻击行为,从而便于及时对加密攻击行为进行后续的处理,进而提高数据信息的安全性。
Description
技术领域
本申请涉及大数据人工智能深度学习技术领域,具体而言,涉及一种基于循环神经网络模型的加密攻击检测方法及装置。
背景技术
在数据流的收发过程中,通常可能会存在一些攻击行为,这些攻击行为会非法读取或者写入相关的信息数据,从而对数据信息的安全性造成极大威胁。基于此,在数据流的收发过程中,需要及时检测出这些攻击行为并进行阻止。
然而,经本申请发明人研究发现,这些攻击行为通常会以加密的形式存在的,而传统的方案中通常是通过将数据流的特征与预设的特征进行单独匹配从而确定数据流中是否存在攻击行为,但是该方案无法准确检测出加密攻击行为,进而导致无法及时对加密攻击行为进行后续的处理,极大降低了数据信息的安全性。
发明内容
有鉴于此,本申请的目的在于提供一种基于循环神经网络模型的加密攻击检测方法及装置,能够准确检测出加密攻击行为,从而便于及时对加密攻击行为进行后续的处理,进而提高数据信息的安全性。
根据本申请的第一方面,提供一种基于循环神经网络模型的加密攻击检测方法,应用于服务器,所述方法包括:
获取用于训练循环神经网络模型的训练样本集,其中,所述训练样本集包括多个训练样本以及每个训练样本的训练分类标签,所述训练样本包括存在加密攻击行为的数据流特征序列,所述训练分类标签包括所述存在加密攻击行为的数据流特征序列所对应的攻击行为类型;
根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型;
根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果。
在第一方面的一种的可能的实施方式中,所述循环神经网络模型包括循环网络和输出网络,所述循环网络包括以链式相连的各个循环单元构成的有向图网络,所述输出网络包括序列分类器;
所述根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型的步骤,包括:
通过所述有向图网络中的每个循环单元提取所述训练样本集中每个训练样本的数据流特征序列的特征向量,并分别将所述特征向量输入到下一链式相连的循环单元进行循环提取,以得到由每个循环单元分别提取得到的特征向量构成的特征向量序列;
将每个训练样本所对应的特征向量序列输入到所述序列分类器中,得到每个特征向量序列所对应的预测分类标签,其中,所述序列分类器包括交叉熵分类器;
根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对所述循环神经网络模型进行训练,得到加密攻击检测模型。
在第一方面的一种的可能的实施方式中,所述根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对所述循环神经网络模型进行训练,得到加密攻击检测模型的步骤,包括:
计算每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签之间的LOSS值;
根据所述LOSS值,采用反向传播算法计算所述循环神经网络模型的网络参数的梯度;
根据计算得到的所述梯度,采用随机梯度下降法更新所述循环神经网络模型的网络参数后继续迭代训练,当任意一次训练后的循环神经网络模型满足预设的训练终止条件时,输出训练得到的加密攻击检测模型。
在第一方面的一种的可能的实施方式中,所述根据所述LOSS值,采用反向传播算法计算所述循环神经网络模型的网络参数的梯度的步骤,包括:
根据所述LOSS值确定反向传播训练的反向传播路径;
从所述循环神经网络模型中选择与所述反向传播路径对应的串接节点进行反向传播训练,并在到达所述反向传播路径对应的串接节点时,计算所述循环神经网络模型的网络参数的梯度。
在第一方面的一种的可能的实施方式中,所述根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果的步骤,包括:
将所述待检测数据流的目标数据流特征序列输入到所述加密攻击检测模型中的有向图网络中,通过所述有向图网络中的每个循环单元提取所述目标数据流特征序列的目标特征向量,并分别将所述目标特征向量输入到下一链式相连的循环单元进行循环提取,以得到由每个循环单元分别提取得到的特征向量构成的目标特征向量序列;
将所述目标特征向量序列输入到所述加密攻击检测模型中的序列分类器中,得到所述目标特征向量序列所对应的每个预测分类标签的置信度;
根据所述目标特征向量序列所对应的每个预测分类标签的置信度得到所述目标数据流特征序列所对应的分类结果。
在第一方面的一种的可能的实施方式中,所述方法还包括:
根据所述目标数据流特征序列所对应的分类结果对所述待检测数据流的数据源进行处理。
在第一方面的一种的可能的实施方式中,所述根据所述目标数据流特征序列所对应的分类结果对所述待检测数据流的数据源进行处理的步骤,包括:
获取与所述目标数据流特征序列所对应的分类结果匹配的数据源防护策略;
根据所述数据源防护策略对所述待检测数据流的数据源所发送的数据流进行数据源防护处理。
根据本申请的第二方面,本申请实施例还提供一种基于循环神经网络模型的加密攻击检测装置,其特征在于,应用于服务器,所述装置包括:
获取模块,用于获取用于训练循环神经网络模型的训练样本集,其中,所述训练样本集包括多个训练样本以及每个训练样本的训练分类标签,所述训练样本包括存在加密攻击行为的数据流特征序列,所述训练分类标签包括所述存在加密攻击行为的数据流特征序列所对应的攻击行为类型;
训练模块,用于根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型;
分类模块,用于根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果。
基于上述任一方面,本申请在获取到用于训练循环神经网络模型的训练样本集后,根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型,然后根据加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果。如此,能够准确检测出加密攻击行为,从而便于及时对加密攻击行为进行后续的处理,进而提高数据信息的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的加密攻击检测系统的应用场景示意图;
图2示出了本申请实施例所提供的基于循环神经网络模型的加密攻击检测方法的流程示意图之一;
图3示出了本申请实施例所提供的基于循环神经网络模型的加密攻击检测方法的流程示意图之二;
图4示出了本申请实施例所提供的基于循环神经网络模型的加密攻击检测装置的功能模块示意图之一;
图5示出了本申请实施例所提供的基于循环神经网络模型的加密攻击检测装置的功能模块示意图之二;
图6示出了本申请实施例所提供的用于执行上述的基于循环神经网络模型的加密攻击检测方法的服务器的组件结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请实施例的一些实施例实现的操作。应该理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其它操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例,都属于本申请保护的范围。
图1示出了本申请实施例所提供的加密攻击检测系统10的应用场景示意图。本实施例中,加密攻击检测系统10可以包括服务器100以及与服务器100通信连接的数据源200。数据源200中可以是指用于执行某些业务数据的收发的网络设备,例如路由器、交换机设备等,在此不作具体限定。
在其它可行的实施例中,该加密攻击检测系统10也可以仅包括图1所示组成部分的其中一部分或者还可以包括其它的组成部分。
在一些实施例中,服务器100可以包括处理器。处理器可以处理与服务请求有关的信息和/或数据,以执行本申请中描述的一个或多个功能。处理器可以包括一个或多个处理核(例如,单核处理器或多核处理器)。
前述的数据库可以存储数据和/或指令。在一些实施例中,数据库可以存储向数据源200分配的数据。在一些实施例中,数据库可以存储在本申请中描述的示例性方法的数据和/或指令。在一些实施例中,数据库可以包括大容量存储器、可移动存储器、易失性读写存储器、或只读存储器等,或其任意组合。
在一些实施例中,数据库可以连接到网络以与加密攻击检测系统10(例如,服务器100,数据源200等)中的一个或多个组件通信。加密攻击检测系统10中的一个或多个组件可以经由网络访问存储在数据库中的数据或指令。在一些实施例中,数据库可以直接连接到加密攻击检测系统10中的一个或多个组件(例如,服务器100,数据源200等);或者,在一些实施例中,数据库也可以是服务器100的一部分。
图2示出了本申请实施例提供的基于循环神经网络模型的加密攻击检测方法的流程示意图,本实施例中,该基于循环神经网络模型的加密攻击检测方法可以由图1中所示的服务器100执行。应当理解,在其它实施例中,本实施例的基于循环神经网络模型的加密攻击检测方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。该基于循环神经网络模型的加密攻击检测方法的详细步骤介绍如下。
步骤S110,获取用于训练循环神经网络模型的训练样本集。
步骤S120,根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型。
步骤S130,根据加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果。
本实施例中,训练样本集可以包括多个训练样本以及每个训练样本的训练分类标签,训练样本可以包括存在加密攻击行为的数据流特征序列,训练分类标签可以包括存在加密攻击行为的数据流特征序列所对应的攻击行为类型。
其中,可以预先通过模拟多种不同攻击行为类型的加密攻击行为从而获得存在加密攻击行为的数据流特征序列,同时可以为每个数据流特征序列标记对应的攻击行为类型。在具体模拟的过程中,为了提高训练样本的数量,可以针对每次模拟过程中相同的攻击行为类型的加密攻击行为执行不同程度的参数调整,并且可以以多个分布式模拟设备的形式进行并行模拟。
本实施例中,循环神经网络模型(Recurrent Neural Network,RNN)是一类以序列数据为输入,在序列的演进方向进行递归且所有节点按链式连接的递归神经网络。
基于上述步骤,本实施例在获取到用于训练循环神经网络模型的训练样本集后,根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型,然后根据加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果。如此,能够准确检测出加密攻击行为,从而便于及时对加密攻击行为进行后续的处理,进而提高数据信息的安全性。
在一种可能的实施方式中,上述的循环神经网络模型可以包括循环网络和输出网络,循环网络可以包括以链式相连的各个循环单元构成的有向图网络,输出网络可以包括序列分类器,其中,序列分类器可以包括交叉熵分类器。
例如,有向图网络展开中以链式相连的元素可以被称为循环单元,通常循环单元构成的链式连接可类比前馈神经网络中的隐含层,循环单元与循环单元之间的链式连接也可以被称为隐含层与隐含层之间的连接,此时每个循环单元当前时间步的状态可以由该时间步的输入和上一个时间步的状态决定,也即每个循环单元可以对上一个循环单元输出的特征向量进行处理并循环输入到下一个循环单元中。
基于此,针对步骤S120,本实施例可以通过有向图网络中的每个循环单元提取训练样本集中每个训练样本的数据流特征序列的特征向量,并分别将特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取得到的特征向量构成的特征向量序列。
例如,假设有向图网络中的循环单元分别包括链式循环链接的循环单元A、循环单元B、循环单元C以及循环单元D,那么循环单元A可以提取训练样本集中每个训练样本的数据流特征序列的第一特征向量,然后将特征向量输入到循环单元B进行提取,得到第二特征向量,接着循环单元B将第二特征向量输入到循环单元C进行提取,得到第三特征向量,而后循环单元C将第三特征向量输入到循环单元D进行提取,得到第四特征向量,从而构成一个循环提取过程,该循环提取过程中所提取出的特征向量序列记为{第一特征向量,第二特征向量,第三特征向量,第四特征向量}。
在此基础上,可以将每个训练样本所对应的特征向量序列输入到序列分类器中,得到每个特征向量序列所对应的预测分类标签,从而根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对循环神经网络模型进行训练,得到加密攻击检测模型。
例如,在一种可能的示例中,为了提高训练效果,可以计算每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签之间的LOSS值,然后根据LOSS值,采用反向传播算法计算循环神经网络模型的网络参数的梯度,由此可以根据计算得到的梯度,采用随机梯度下降法更新循环神经网络模型的网络参数后继续迭代训练,当任意一次训练后的循环神经网络模型满足预设的训练终止条件时,输出训练得到的加密攻击检测模型。
例如,为了进一步提高训练效果,并且减少计算量,可以根据LOSS值确定反向传播训练的反向传播路径,然后从循环神经网络模型中选择与反向传播路径对应的串接节点进行反向传播训练,并在到达反向传播路径对应的串接节点时,计算循环神经网络模型的网络参数的梯度。
其中,上述的训练终止条件可以根据实际设计需求进行个性化设置,例如,为了减少计算量,可以将该训练终止条件设置为当迭代训练次数达到设定次数时,终止训练;又例如,为了保证训练效果,可以将该训练终止条件设置为当LOSS值低于设定值时,终止训练,或者LOSS值不再继续下降,或者下降幅度低于设定幅度时,终止训练。
可以理解的是,本领域技术人员可以根据实际需求选择上述示例性的训练终止条件中的一种或者多种组合,在此不做具体限定。
呈上所述,在训练得到该加密攻击检测模型的基础上,针对步骤S130,本实施例可以将待检测数据流的目标数据流特征序列输入到加密攻击检测模型的有向图网络中,通过有向图网络的每个循环单元提取目标数据流特征序列的目标特征向量,并分别将目标特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取到的特征向量构成的目标特征向量序列。
然后,将目标特征向量序列输入到加密攻击检测模型中的序列分类器中,得到目标特征向量序列所对应的每个预测分类标签的置信度,从而根据目标特征向量序列所对应的每个预测分类标签的置信度得到目标数据流特征序列所对应的分类结果。
例如,如果目标特征向量序列在某个预测分类标签的置信度大于设定置信度,那么可以将该预测分类标签所对应的攻击行为类型作为目标数据流特征序列所对应的分类结果。
在此基础上,请结合参阅图3,在步骤S130之后,本实施例提供的基于循环神经网络模型的加密攻击检测方法还可以包括步骤S140,具体描述如下。
步骤S140,根据目标数据流特征序列所对应的分类结果对待检测数据流的数据源进行处理。
示例性地,在确定目标数据流特征序列所对应的分类结果的基础上,可以获取与目标数据流特征序列所对应的分类结果匹配的数据源防护策略,并根据数据源防护策略对待检测数据流的数据源所发送的数据流进行数据源防护处理。
例如,针对不同的攻击行为类型,可以预先配置该攻击行为类型所对应的数据源防护策略,该数据源防护策略可以包括在针对该待检测数据流的数据源的后续数据收发过程中,进行数据流过滤和阻止的防护处理单元。
例如,可以根据确定的防护处理单元,生成所述防护处理单元对对应的所述数据源进行防护处理时的防护处理进程和防护处理过滤信息,同时可以将所述数据源所对应的数据流信息进行识别处理得到多个数据流分段,并根据所述防护处理过滤信息确定出每个数据流分段对应的过滤数据区域,根据所述过滤数据区域确定出对应的过滤数据区域序列,然后将所述防护处理进程和所述防护处理过滤信息标识至所述过滤数据区域序列,得到目标过滤数据区域,并确定所述目标过滤数据区域与所述过滤数据区域序列中的每个过滤数据区域之间的相关度,根据相关度最大值对应的过滤数据区域的防护处理进程确定所述过滤数据区域的目标进程,然后根据所述目标进程确定对所述数据源执行数据防护处理。
基于同一发明构思,请参阅图4,示出了本申请实施例提供的基于循环神经网络模型的加密攻击检测装置110的功能模块示意图,本实施例可以根据上述方法实施例对基于循环神经网络模型的加密攻击检测装置110进行功能模块的划分。例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本申请实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。比如,在采用对应各个功能划分各个功能模块的情况下,图4示出的基于循环神经网络模型的加密攻击检测装置110只是一种装置示意图。其中,基于循环神经网络模型的加密攻击检测装置110可以包括获取模块111、训练模块112以及分类模块113,下面分别对该基于循环神经网络模型的加密攻击检测装置110的各个功能模块的功能进行详细阐述。
获取模块111,用于获取用于训练循环神经网络模型的训练样本集,其中,训练样本集包括多个训练样本以及每个训练样本的训练分类标签,训练样本包括存在加密攻击行为的数据流特征序列,训练分类标签包括存在加密攻击行为的数据流特征序列所对应的攻击行为类型。可以理解,该获取模块111可以用于执行上述步骤S110,关于该获取模块111的详细实现方式可以参照上述对步骤S110有关的内容。
训练模块112,用于根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型。可以理解,该训练模块112可以用于执行上述步骤S120,关于该训练模块112的详细实现方式可以参照上述对步骤S120有关的内容。
分类模块113,用于根据加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果。可以理解,该分类模块113可以用于执行上述步骤S130,关于该分类模块113的详细实现方式可以参照上述对步骤S130有关的内容。
在一种可能的实施方式中,循环神经网络模型包括循环网络和输出网络,循环网络包括以链式相连的各个循环单元构成的有向图网络,输出网络包括序列分类器。
在一种可能的实施方式中,训练模块112用于通过以下方式根据训练样本集对循环神经网络模型进行训练,得到加密攻击检测模型:
通过有向图网络中的每个循环单元提取训练样本集中每个训练样本的数据流特征序列的特征向量,并分别将特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取得到的特征向量构成的特征向量序列。
将每个训练样本所对应的特征向量序列输入到序列分类器中,得到每个特征向量序列所对应的预测分类标签。
根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对循环神经网络模型进行训练,得到加密攻击检测模型。
在一种可能的实施方式中,训练模块112用于通过以下方式对循环神经网络模型进行训练,得到加密攻击检测模型:
计算每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签之间的LOSS值。
根据LOSS值,采用反向传播算法计算循环神经网络模型的网络参数的梯度。
根据计算得到的梯度,采用随机梯度下降法更新循环神经网络模型的网络参数后继续迭代训练,当任意一次训练后的循环神经网络模型满足预设的训练终止条件时,输出训练得到的加密攻击检测模型。
在一种可能的实施方式中,训练模块112用于通过以下方式采用反向传播算法计算循环神经网络模型的网络参数的梯度:
根据LOSS值确定反向传播训练的反向传播路径。
从循环神经网络模型中选择与反向传播路径对应的串接节点进行反向传播训练,并在到达反向传播路径对应的串接节点时,计算循环神经网络模型的网络参数的梯度。
在一种可能的实施方式中,分类模块113用于通过以下方式提取待检测数据流的目标数据流特征序列,并对目标数据流特征序列进行分类,得到目标数据流特征序列所对应的分类结果:
将待检测数据流的目标数据流特征序列输入到加密攻击检测模型的有向图网络中,通过有向图网络的每个循环单元提取目标数据流特征序列的目标特征向量,并分别将目标特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取到的特征向量构成的目标特征向量序列。
将目标特征向量序列输入到加密攻击检测模型中的序列分类器中,得到目标特征向量序列所对应的每个预测分类标签的置信度。
根据目标特征向量序列所对应的每个预测分类标签的置信度得到目标数据流特征序列所对应的分类结果。
在一种可能的实施方式中,请进一步参阅图5,基于循环神经网络模型的加密攻击检测装置110还可以包括处理模块114,该处理模块114用于根据目标数据流特征序列所对应的分类结果对待检测数据流的数据源进行处理。
在一种可能的实施方式中,该处理模块114具体可以用于获取与目标数据流特征序列所对应的分类结果匹配的数据源防护策略,并根据数据源防护策略对待检测数据流的数据源所发送的数据流进行数据源防护处理。
基于同一发明构思,请参阅图6,示出了本申请实施例提供的用于执行上述基于循环神经网络模型的加密攻击检测方法的服务器100的结构示意框图,该服务器100可以包括基于循环神经网络模型的加密攻击检测装置110、机器可读存储介质120和处理器130。
本实施例中,机器可读存储介质120与处理器130均位于服务器100中且二者分离设置。然而,应当理解的是,机器可读存储介质120也可以是独立于服务器100之外,且可以由处理器130通过总线接口来访问。可替换地,机器可读存储介质120也可以集成到处理器130中,例如,可以是高速缓存和/或通用寄存器。
处理器130是该服务器100的控制中心,利用各种接口和线路连接整个服务器100的各个部分,通过运行或执行存储在机器可读存储介质120内的软件程序和/或模块,以及调用存储在机器可读存储介质120内的数据,执行该服务器100的各种功能和处理数据,从而对服务器100进行整体监控。可选地,处理器130可包括一个或多个处理核心;例如,处理器130可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器中。
其中,处理器130可以是一个通用的中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制上述方法实施例提供的基于循环神经网络模型的加密攻击检测方法的程序执行的集成电路。
机器可读存储介质120可以是ROM或可存储静态信息和指令的其他类型的静态存储设备,RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(Electrically Erasable Programmabler-Only MEMory,EEPROM)、只读光盘(Compactdisc Read-Only MEMory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。机器可读存储介质120可以是独立存在,通过通信总线与处理器130相连接。机器可读存储介质120也可以和处理器集成在一起。其中,机器可读存储介质120用于存储执行本申请方案的机器可执行指令。处理器130用于执行机器可读存储介质120中存储的机器可执行指令,以实现前述方法实施例提供的基于循环神经网络模型的加密攻击检测方法。
基于循环神经网络模型的加密攻击检测装置110可以包括存储在机器可读存储介质120的软件功能模块(例如图4中所示的获取模块111、训练模块112以及分类模块113),当处理器130执行基于循环神经网络模型的加密攻击检测装置110中的软件功能模块时,以实现前述方法实施例提供的基于循环神经网络模型的加密攻击检测方法。
由于本申请实施例提供的服务器100是上述服务器100执行的方法实施例的另一种实现形式,且服务器100可用于执行上述方法实施例提供的基于循环神经网络模型的加密攻击检测方法,因此其所能获得的技术效果可参考上述方法实施例,在此不再赘述。
进一步地,本申请实施例还提供一种包含计算机可执行指令的可读存储介质,计算机可执行指令在被执行时可以用于实现上述方法实施例提供的基于循环神经网络模型的加密攻击检测方法。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的方法操作,还可以执行本申请任意实施例所提供的基于循环神经网络模型的加密攻击检测方法中的相关操作。
本申请实施例是参照根据本申请实施例的方法、设备和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
尽管在此结合各实施例对本申请进行了描述,然而,在实施所要求保护的本申请过程中,本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书,可理解并实现所述公开实施例的其他变化。在权利要求中,“包括”一词不排除其他组成部分或步骤,“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施,但这并不表示这些措施不能组合起来产生良好的效果。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种基于循环神经网络模型的加密攻击检测方法,应用于服务器,其特征在于,所述方法包括:
获取用于训练循环神经网络模型的训练样本集,其中,所述训练样本集包括多个训练样本以及每个训练样本的训练分类标签,所述训练样本包括存在加密攻击行为的数据流特征序列,所述训练分类标签包括所述存在加密攻击行为的数据流特征序列所对应的攻击行为类型;
根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型;
根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果;
根据所述目标数据流特征序列所对应的分类结果对所述待检测数据流的数据源进行处理;
其中,所述循环神经网络模型包括循环网络和输出网络,所述循环网络包括以链式相连的各个循环单元构成的有向图网络,所述输出网络包括序列分类器;
根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型的步骤,包括:
通过所述有向图网络中的每个循环单元提取所述训练样本集中每个训练样本的数据流特征序列的特征向量,并分别将所述特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取得到的特征向量构成的特征向量序列;
将每个训练样本所对应的特征向量序列输入到所述序列分类器中,得到每个特征向量序列所对应的预测分类标签;
根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对所述循环神经网络模型进行训练,得到加密攻击检测模型;
根据所述目标数据流特征序列所对应的分类结果对所述待检测数据流的数据源进行处理,包括:
获取与目标数据流特征序列所对应的分类结果匹配的数据源防护策略,并根据数据源防护策略对待检测数据流的数据源所发送的数据流进行数据源防护处理,该数据源防护策略包括在针对该待检测数据流的数据源的后续数据收发过程中,进行数据流过滤和阻止的防护处理单元;
根据所述防护处理单元,生成所述防护处理单元对对应的所述数据源进行防护处理时的防护处理进程和防护处理过滤信息;
将所述数据源所对应的数据流信息进行识别处理得到多个数据流分段,并根据所述防护处理过滤信息确定出每个数据流分段对应的过滤数据区域,根据所述过滤数据区域确定出对应的过滤数据区域序列;
将所述防护处理进程和所述防护处理过滤信息标识至所述过滤数据区域序列,得到目标过滤数据区域,并确定所述目标过滤数据区域与所述过滤数据区域序列中的每个过滤数据区域之间的相关度,根据相关度最大值对应的过滤数据区域的防护处理进程确定所述过滤数据区域的目标进程,然后根据所述目标进程对所述数据源执行数据防护处理。
2.根据权利要求1所述的基于循环神经网络模型的加密攻击检测方法,其特征在于,根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对所述循环神经网络模型进行训练,得到加密攻击检测模型的步骤,包括:
计算每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签之间的LOSS值;
根据所述LOSS值,采用反向传播算法计算所述循环神经网络模型的网络参数的梯度;
根据计算得到的所述梯度,采用随机梯度下降法更新所述循环神经网络模型的网络参数后继续迭代训练,当任意一次训练后的循环神经网络模型满足预设的训练终止条件时,输出训练得到的加密攻击检测模型。
3.根据权利要求2所述的基于循环神经网络模型的加密攻击检测方法,其特征在于,根据所述LOSS值,采用反向传播算法计算所述循环神经网络模型的网络参数的梯度的步骤,包括:
根据所述LOSS值确定反向传播训练的反向传播路径;
从所述循环神经网络模型中选择与所述反向传播路径对应的串接节点进行反向传播训练,并在到达所述反向传播路径对应的串接节点时,计算所述循环神经网络模型的网络参数的梯度。
4.根据权利要求1所述的基于循环神经网络模型的加密攻击检测方法,其特征在于,根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果的步骤,包括:
将所述待检测数据流的目标数据流特征序列输入到所述加密攻击检测模型的有向图网络中,通过所述有向图网络的每个循环单元提取所述目标数据流特征序列的目标特征向量,并分别将所述目标特征向量输入到下一链式相连的循环单元进行循环提取,得到由每个循环单元分别提取到的特征向量构成的目标特征向量序列;
将所述目标特征向量序列输入到所述加密攻击检测模型中的序列分类器中,得到所述目标特征向量序列所对应的每个预测分类标签的置信度;
根据所述目标特征向量序列所对应的每个预测分类标签的置信度得到所述目标数据流特征序列所对应的分类结果。
5.一种基于循环神经网络模型的加密攻击检测装置,其特征在于,应用于服务器,所述装置包括:
获取模块,用于获取用于训练循环神经网络模型的训练样本集,其中,所述训练样本集包括多个训练样本以及每个训练样本的训练分类标签,所述训练样本包括存在加密攻击行为的数据流特征序列,所述训练分类标签包括所述存在加密攻击行为的数据流特征序列所对应的攻击行为类型;
训练模块,用于根据所述训练样本集对所述循环神经网络模型进行训练,得到加密攻击检测模型;
分类模块,用于根据所述加密攻击检测模型提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果;
处理模块,用于根据目标数据流特征序列所对应的分类结果对待检测数据流的数据源进行处理;
其中,所述循环神经网络模型包括循环网络和输出网络,所述循环网络包括以链式相连的各个循环单元构成的有向图网络,所述输出网络包括序列分类器;
所述训练模块用于通过以下方式对所述循环神经网络模型进行训练,得到加密攻击检测模型:
通过所述有向图网络中的每个循环单元提取所述训练样本集中每个训练样本的数据流特征序列的特征向量,并分别将所述特征向量输入到下一链式相连的循环单元进行循环提取,以得到由每个循环单元分别提取得到的特征向量构成的特征向量序列;
将每个训练样本所对应的特征向量序列输入到所述序列分类器中,得到每个特征向量序列所对应的预测分类标签,其中,所述序列分类器包括交叉熵分类器;
根据每个特征向量序列所对应的预测分类标签以及每个特征向量序列所对应的训练分类标签,对所述循环神经网络模型进行训练,得到加密攻击检测模型;
所述处理模块具体用于:
获取与目标数据流特征序列所对应的分类结果匹配的数据源防护策略,并根据数据源防护策略对待检测数据流的数据源所发送的数据流进行数据源防护处理,该数据源防护策略包括在针对该待检测数据流的数据源的后续数据收发过程中,进行数据流过滤和阻止的防护处理单元;
根据所述防护处理单元,生成所述防护处理单元对对应的所述数据源进行防护处理时的防护处理进程和防护处理过滤信息;
将所述数据源所对应的数据流信息进行识别处理得到多个数据流分段,并根据所述防护处理过滤信息确定出每个数据流分段对应的过滤数据区域,根据所述过滤数据区域确定出对应的过滤数据区域序列;
将所述防护处理进程和所述防护处理过滤信息标识至所述过滤数据区域序列,得到目标过滤数据区域,并确定所述目标过滤数据区域与所述过滤数据区域序列中的每个过滤数据区域之间的相关度,根据相关度最大值对应的过滤数据区域的防护处理进程确定所述过滤数据区域的目标进程,然后根据所述目标进程对所述数据源执行数据防护处理。
6.根据权利要求5所述的基于循环神经网络模型的加密攻击检测装置,其特征在于,所述分类模块用于通过以下方式提取待检测数据流的目标数据流特征序列,并对所述目标数据流特征序列进行分类,得到所述目标数据流特征序列所对应的分类结果:
将所述待检测数据流的目标数据流特征序列输入到所述加密攻击检测模型中的有向图网络中,通过所述有向图网络中的每个循环单元提取所述目标数据流特征序列的目标特征向量,并分别将所述目标特征向量输入到下一链式相连的循环单元进行循环提取,以得到由每个循环单元分别提取得到的特征向量构成的目标特征向量序列;
将所述目标特征向量序列输入到所述加密攻击检测模型中的序列分类器中,得到所述目标特征向量序列所对应的每个预测分类标签的置信度;
根据所述目标特征向量序列所对应的每个预测分类标签的置信度得到所述目标数据流特征序列所对应的分类结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010423687.5A CN111586071B (zh) | 2020-05-19 | 2020-05-19 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010423687.5A CN111586071B (zh) | 2020-05-19 | 2020-05-19 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111586071A CN111586071A (zh) | 2020-08-25 |
CN111586071B true CN111586071B (zh) | 2022-05-20 |
Family
ID=72110957
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010423687.5A Active CN111586071B (zh) | 2020-05-19 | 2020-05-19 | 一种基于循环神经网络模型的加密攻击检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586071B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887304B (zh) * | 2021-01-25 | 2022-12-30 | 山东省计算中心(国家超级计算济南中心) | 基于字符级神经网络的web应用入侵检测方法及系统 |
CN112822206B (zh) * | 2021-01-29 | 2021-12-07 | 清华大学 | 网络协同攻击行为的预测方法、装置以及电子设备 |
CN115278680B (zh) * | 2022-07-29 | 2023-04-07 | 国网区块链科技(北京)有限公司 | 一种移动应用攻击检测方法、装置、设备和存储介质 |
CN116112216B (zh) * | 2022-12-15 | 2024-05-14 | 中国电信股份有限公司 | 云数据验证方法、装置、电子设备及非易失性存储介质 |
CN115834248A (zh) * | 2023-02-06 | 2023-03-21 | 山东省计算中心(国家超级计算济南中心) | 面向信息物理系统的攻击和异常数据流检测方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108280458A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 群体关系类型识别方法及装置 |
CN108880781A (zh) * | 2018-06-14 | 2018-11-23 | 成都信息工程大学 | 一种对加掩防护加密设备的无掩码神经网络攻击方法 |
CN109308494A (zh) * | 2018-09-27 | 2019-02-05 | 厦门服云信息科技有限公司 | Lstm循环神经网络模型及基于该模型的网络攻击识别方法 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN110473569A (zh) * | 2019-09-11 | 2019-11-19 | 苏州思必驰信息科技有限公司 | 检测说话人欺骗攻击的优化方法及系统 |
CN110866107A (zh) * | 2019-10-12 | 2020-03-06 | 浙江大搜车软件技术有限公司 | 素材语料的生成方法、装置、计算机设备和存储介质 |
CN111026847A (zh) * | 2019-12-09 | 2020-04-17 | 北京邮电大学 | 一种基于注意力网络和长短期记忆网络的文本情感识别方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827102B (zh) * | 2010-04-20 | 2013-01-30 | 中国人民解放军理工大学指挥自动化学院 | 基于内容过滤的数据防护方法 |
US10220167B2 (en) * | 2016-03-24 | 2019-03-05 | Cisco Technology, Inc. | Mechanisms to prevent anomaly detectors from learning anomalous patterns |
US20190005237A1 (en) * | 2017-06-30 | 2019-01-03 | Paul J. Long | Method and apparatus for identifying, predicting, preventing network malicious attacks |
-
2020
- 2020-05-19 CN CN202010423687.5A patent/CN111586071B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108280458A (zh) * | 2017-01-05 | 2018-07-13 | 腾讯科技(深圳)有限公司 | 群体关系类型识别方法及装置 |
CN108880781A (zh) * | 2018-06-14 | 2018-11-23 | 成都信息工程大学 | 一种对加掩防护加密设备的无掩码神经网络攻击方法 |
CN109308494A (zh) * | 2018-09-27 | 2019-02-05 | 厦门服云信息科技有限公司 | Lstm循环神经网络模型及基于该模型的网络攻击识别方法 |
CN110086776A (zh) * | 2019-03-22 | 2019-08-02 | 国网河南省电力公司经济技术研究院 | 基于深度学习的智能变电站网络入侵检测系统及检测方法 |
CN110473569A (zh) * | 2019-09-11 | 2019-11-19 | 苏州思必驰信息科技有限公司 | 检测说话人欺骗攻击的优化方法及系统 |
CN110866107A (zh) * | 2019-10-12 | 2020-03-06 | 浙江大搜车软件技术有限公司 | 素材语料的生成方法、装置、计算机设备和存储介质 |
CN111026847A (zh) * | 2019-12-09 | 2020-04-17 | 北京邮电大学 | 一种基于注意力网络和长短期记忆网络的文本情感识别方法 |
Non-Patent Citations (1)
Title |
---|
基于深度学习的网络入侵检测研究综述";张勇东等;《广州大学学报(自然科学版)》;20190630;第17页-24页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111586071A (zh) | 2020-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111586071B (zh) | 一种基于循环神经网络模型的加密攻击检测方法及装置 | |
US10785241B2 (en) | URL attack detection method and apparatus, and electronic device | |
CN109936582B (zh) | 构建基于pu学习的恶意流量检测模型的方法及装置 | |
CN113469366B (zh) | 一种加密流量的识别方法、装置及设备 | |
CN116647411B (zh) | 游戏平台网络安全的监测预警方法 | |
CN109800560B (zh) | 一种设备识别方法和装置 | |
CN111159697B (zh) | 一种密钥检测方法、装置及电子设备 | |
CN111931179B (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
CN111260220B (zh) | 群控设备识别方法、装置、电子设备和存储介质 | |
CN111881289A (zh) | 分类模型的训练方法、数据风险类别的检测方法及装置 | |
CN111740946A (zh) | Webshell报文的检测方法及装置 | |
KR20190028880A (ko) | 봇넷 탐지 시스템을 학습하기 위한 학습 데이터를 생성하는 방법 및 그 장치 | |
CN115314268B (zh) | 基于流量指纹和行为的恶意加密流量检测方法和系统 | |
CN111738467A (zh) | 一种运行状态异常检测方法、装置及设备 | |
CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
CN116980162A (zh) | 云审计的数据检测方法、装置、设备、介质及程序产品 | |
Hashemi et al. | Runtime monitoring for out-of-distribution detection in object detection neural networks | |
CN110855635A (zh) | Url识别方法、装置及数据处理设备 | |
CN110598794A (zh) | 一种分类对抗的网络攻击检测方法及系统 | |
CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
CN116488874A (zh) | 基于自监督掩码上下文重构的网络入侵检测方法和系统 | |
CN115037790A (zh) | 异常注册识别方法、装置、设备及存储介质 | |
CN111343105B (zh) | 基于深度学习的断流识别方法及装置 | |
KR20220103375A (ko) | 그래디언트를 활용한 커버리지 기반의 모델 검증 방법 및 그를 위한 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |