CN114006766A - 网络攻击检测方法、装置、电子设备及可读存储介质 - Google Patents
网络攻击检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN114006766A CN114006766A CN202111299069.5A CN202111299069A CN114006766A CN 114006766 A CN114006766 A CN 114006766A CN 202111299069 A CN202111299069 A CN 202111299069A CN 114006766 A CN114006766 A CN 114006766A
- Authority
- CN
- China
- Prior art keywords
- user
- network attack
- blacklist
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000006870 function Effects 0.000 claims description 53
- 238000004364 calculation method Methods 0.000 claims description 21
- 238000012549 training Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 11
- 238000013075 data extraction Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 239000000243 solution Substances 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000007635 classification algorithm Methods 0.000 description 1
- 238000013527 convolutional neural network Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种网络攻击检测方法、装置、电子设备及可读存储介质。其中,方法包括预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数;从目标用户的操作日志数据中提取目标功能项数据,以作为目标用户的标准化操作信息;分别计算目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;若相似距离值小于网络攻击参数,则判定目标用户为攻击用户,从而可提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种网络攻击检测方法、装置、电子设备及可读存储介质。
背景技术
随着计算机技术的快速发展,越来越多的用户数据存储至网络中,为了提高网络数据安全性,实时或者提前预判和识别攻击用户,及时阻断网络攻击势在必行。然而,大量网络流量数据很难在短时间内从中识别和判断当前用户是否是攻击用户。因此,在安全审计从业人员精力有限的情况下,利用先进的计算机信息安全技术进行提前审查和过滤攻击用户,成为一个亟待解决的难题。
相关技术在执行网络攻击检测过程中,通常是基于攻击样本本身的特征进行检测、或者是针对具体的攻击方式进行预测用户的攻击倾向,如通过判断用户的访问频率、IP过滤、渗透审计等方式来判断用户是否为攻击用户。举例来说,现有技术中的一种基于神经网络和焦点损失的攻击检测方法,包括如下步骤:对攻击数据样本进行预处理;利用基于深度可卷积神经网络的缓冲区算法对预处理后的攻击数据样本进行特征提取,并构建检测模型;使用焦点损失函数进行模型训练与优化;利用测试数据对训练好的模型进行测试,以衡量分类算法的好坏。该方法尽管在一定程度上弥补了在缓冲区溢出漏洞攻击检测方面准确率不够高的问题,但是,由于其是基于攻击样本本身的特征进行检测,随着攻击方式的更新,攻击检测率将会逐渐下降。现有技术中的一种XSS攻击检测方法,获取用户输入数据,根据预设输入框画像,将输入数据标记为合法输入数据或与预设输入框画像不符的异常输入;比对异常输入与XSS攻击特征库,根据比对结果,将异常输入标记为未匹配XSS攻击特征库的静态异常或匹配XSS攻击特征库的XSS攻击;通过沙箱浏览器运行分析静态异常,根据分析结果,将静态异常标记为XSS攻击或动态异常。该方法通过比对输入数据与静态XSS的攻击特征库,判断用户的XSS攻击属性,需要维护静态的XSS攻击特征库、且无法针对其他攻击方式如SQL注入、CSRF等进行防护,从而也导致防护率低。由上论述可知,由于相关技术均受限于攻击特征和攻击类型,防护率低、动态性差,并无法有效防止网络攻击,网络安全性能较差。
发明内容
本申请提供了一种网络攻击检测方法、装置、电子设备及可读存储介质,提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
为解决上述技术问题,本发明实施例提供以下技术方案:
本发明实施例一方面提供了一种网络攻击检测方法,包括:
预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数;
从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息;
分别计算所述目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;
若所述相似距离值小于所述网络攻击参数,则判定所述目标用户为攻击用户。
可选的,所述从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息,包括:
获取所述目标用户在目标会话中的所有操作日志数据;
统计所述所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
可选的,所述统计所述所有操作日志数据中各目标功能项的操作次数,包括:
按照预设数据格式对所述所有操作日志数据进行处理;
从所述所有操作日志数据中删除非目标功能项的日志数据,得到目标操作日志数据;
按照各目标功能项对所述目标操作日志数据进行计数统计。
可选的,所述通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数,包括:
从云端获取黑名单和白名单;
遍历所述黑名单的各用户,并计算所述黑名单中每两个用户之间的闵氏距离,得到闵氏距离集;
将所述闵氏距离集的最大闵氏距离作为网络攻击参数初始化值,并将所述网络攻击参数初始化值作为当前网络攻击参数;
对所述黑名单的每个用户,将所述黑名单的当前用户与所述白名单的各用户构成黑白用户组合,得到黑白用户组合集;
计算所述黑白用户组合集的每个黑白用户组合中的黑名单用户与白名单用户之间的闵氏距离;若当前黑白用户组合的闵氏距离小于所述当前网络攻击参数,则基于所述当前黑白组合的闵氏距离对所述当前网络攻击参数进行调整,并将调整后的网络攻击参数作为当前网络攻击参数;直至所述黑白用户组合集中不存在闵氏距离小于所述当前网络攻击参数的黑白用户组合,并将所述当前网络攻击参数作为最终的网络攻击参数。
可选的,所述通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数之前,还包括:
所述云端预先根据攻击次数和攻击间隔时间设置用户危险等级计算规则和高危用户条件;
所述云端按照预设频率,调用所述用户危险等级计算规则计算当前黑名单各用户的危险等级;
所述云端根据各用户的危险等级和所述高危用户条件更新所述黑名单,以从所述黑名单中删除非高危用户。
可选的,所述判定所述目标用户为攻击用户之后,还包括:
将所述攻击用户的用户标识信息和攻击时间上传至所述云端,以使所述云端调用所述用户危险等级计算规则计算所述攻击用户的危险等级,若所述攻击用户的危险等级符合所述高危用户条件,则将所述攻击用户添加至所述黑名单;若所述攻击用户的危险等级不符合所述高危用户条件,则判定所述攻击用户为普通用户。
本发明实施例另一方面提供了一种网络攻击检测装置,包括:
攻击参数计算模块,用于预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数;
用户操作数据提取模块,用于从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息;
攻击用户识别模块,分别计算所述目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;若所述相似距离值小于所述网络攻击参数,则判定所述目标用户为攻击用户。
可选的,所述用户操作数据提取模块用于:获取所述目标用户在目标会话中的所有操作日志数据;统计所述所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
本发明实施例还提供了一种电子设备,包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如前任一项所述网络攻击检测方法的步骤。
本发明实施例最后还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前任一项所述网络攻击检测方法的步骤。
本申请提供的技术方案的优点在于,通过标准化日志数据获取用户的会话标准化操作集合,并计算出用户标准化操作集与黑名单用户的标准化操作集之间的相似程度距离,从而判断该用户是否相似于黑名单用户,而并非以用户本身特征判断该用户是否为攻击用户,不受限于攻击特征和攻击类型,适用于任何类型的网络攻击的检测场景,进而提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
此外,本发明实施例还针对网络攻击检测方法提供了相应的实现装置、电子设备及可读存储介质,进一步使得所述方法更具有实用性,所述装置、电子设备及可读存储介质具有相应的优点。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
为了更清楚的说明本发明实施例或相关技术的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络攻击检测方法的流程示意图;
图2为本发明实施例提供的一种现有技术中的项目部署示意图;
图3为本发明实施例提供的日志标准化操作方法的流程示意图;
图4为本发明实施例提供的网络攻击参数训练流程示意图;
图5为本发明实施例提供的另一种网络攻击检测方法的流程示意图;
图6为本发明实施例提供的网络攻击检测装置的一种具体实施方式结构图;
图7为本发明实施例提供的电子设备的一种具体实施方式结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在介绍了本发明实施例的技术方案后,下面详细的说明本申请的各种非限制性实施方式。
首先参见图1,图1为本发明实施例提供的一种网络攻击检测方法的流程示意图,本发明实施例可包括以下内容:
S101:预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数。
现有技术为了保障数据的安全性,在政企安全领域各地的数字化系统,会在地端进行平台部署的方案,将敏感数据存放在本地数据库,通过云端获取其他非敏感数据,如图2所示。这种情况下,各地平台的安全防护问题日益突出。基于此,本申请针对在线网络系统的网络安全问题给出了相应的部署方式。本申请涉及到两端,一端为云端,一端为待检测网络系统所在的地端,云端用于构建并维护黑名单和白名单,地端用于执行训练网络攻击参数以及识别对待检测网络系统进行操作的用户是否为攻击用户。地端从云端获取黑名单和白名单的相关数据,并将其识别到的攻击用户及其数据发送至云端。云端从地端的待检测网络操作系统中获取用户的操作日志数据,以基于这些操作日志数据构建黑白名单,动态黑名单的构建初始化步骤是获取较为完善的日志记录,较为完善的日志数据应该至少包含用户标识、功能项标识、当前会话标识。
本实施例的网络攻击参数用于衡量用户操作是否为网络攻击操作的一个参考标准,黑名单的用户均为攻击用户,相应的用户数据即为实施网络攻击的用户数据;黑名单的用户均为普通用户,所谓普通用户也即正常访问待检测网络系统的用户,相应的用户数据即为正常访问网络的用户数据;通过对实施网络攻击的数据和正常访问网络的数据进行学习,便可得到用户操作为网络攻击操作还是正常访问攻击操作的一个衡量参数,也即得到网络攻击参数。
S102:从目标用户的操作日志数据中提取目标功能项数据,以作为目标用户的标准化操作信息。
本实施例的目标用户为需要进行甄别是否对网络实施攻击的用户,操作日志数据是待检测网络系统所输出的,操作日志数据可包括但并不限制于用户标识、功能项标识、当前会话标识。功能项为用户对待检测网络系统执行某种操作功能时的一些操作参数,目标功能项为这种操作功能的一些关键操作参数,举例来说,用户执行页面登录功能,那么请求验证码、取得验证码和输入用户名这些均是目标功能项,而诸如静态页面信息、刷新操作就是非目标功能项;例如用户在网络中执行网络转账功能,则目标功能项也即关键功能项为银行卡号、余额和转账银行号卡号,而诸如刷新操作就是非目标功能项。从操作日志数据中提取到反馈用户对待检测网络系统执行某些操作时的关键数据,将这些数据作为标准化操作信息。标准化操作信息是指对用户的某次会话中关键功能项的操作次数进行统计,所得到的标准化的操作集S,标准化操作信息可包含用户在一次会话中,每个的功能项f的操作次数Nf、所有关键功能项的操作次数之和及总操作次数Nt。
S103:分别计算目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值。
为了提高网络攻击的检测精准度,本步骤可按照S102的方法从黑名单中提取每个黑名单用户的目标功能项数据以作为标准化操作信息。相似距离值可采用任何一种现有技术中计算两点之间距离的方法,诸如欧式距离,曼哈顿距离等等,所属领域技术人员可根据实际需求灵活选择,这均不影响本申请的实现。
S104:若相似距离值小于网络攻击参数,则判定目标用户为攻击用户。
若相似距离值小于网络攻击参数,则目标用户对待检测网络系统所执行的操作与黑名单中用户所执行的操作相似,那么就证明该目标用户为攻击用户。若相似距离值大于等于网络攻击参数,则目标用户对待检测网络系统所执行的操作与黑名单中用户所执行的操作完全不同,那么就证明该目标用户并不为攻击用户,而执行的是正常的网络访问操作。
在本发明实施例提供的技术方案中,通过标准化日志数据获取用户的会话标准化操作集合,并计算出用户标准化操作集与黑名单用户的标准化操作集之间的相似程度距离,从而判断该用户是否相似于黑名单用户,而并非以用户本身特征判断该用户是否为攻击用户,不受限于攻击特征和攻击类型,适用于任何类型的网络攻击的检测场景,进而提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
在上述实施例中,对于如何执行步骤S102并不做限定,本实施例中给出标准化操作信息的一种可选的生成实施方式,如图3所示,可包括如下步骤:
获取目标用户在目标会话中的所有操作日志数据;
统计所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
其中,统计所有操作日志数据中各目标功能项的操作次数的过程可包括:按照预设数据格式对所有操作日志数据进行处理;从所有操作日志数据中删除非目标功能项的日志数据,得到目标操作日志数据;按照各目标功能项对目标操作日志数据进行计数统计。
在本实施例中,标准化操作信息的生成过程可包括收集日志、整理和格式化日志、剔除非关键性功能日志、功能项计数统计。通过格式整理和非关键性功能日志删除,提取到更加精准的用户操作信息,有利于提高网络攻击检测精准度。
在执行S101时,可同时分析黑名单用户数据和白名单用户数据得到网络攻击参数,例如可利用机器学习算法对这些数据进行训练学习,从而获取网络攻击参数。当然,也可根据黑名单用户数据或白名单用户数据学习到一个初始参数,然后再利用另外一类用户数据对此参数进行调整,所属领域技术人员可根据实际需求进行灵活选择。基于此,本申请还给出通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数的一种实施方式,请参阅图4,可包括下述内容:
从云端获取黑名单和白名单;
遍历黑名单的各用户,并计算黑名单中每两个用户之间的闵氏距离,得到闵氏距离集;
将闵氏距离集的最大闵氏距离作为网络攻击参数初始化值,并将网络攻击参数初始化值作为当前网络攻击参数;
对黑名单的每个用户,将黑名单的当前用户与白名单的各用户构成黑白用户组合,得到黑白用户组合集;
计算黑白用户组合集的每个黑白用户组合中的黑名单用户与白名单用户之间的闵氏距离;若当前黑白用户组合的闵氏距离小于当前网络攻击参数,则基于当前黑白组合的闵氏距离对当前网络攻击参数进行调整,并将调整后的网络攻击参数作为当前网络攻击参数;直至黑白用户组合集中不存在闵氏距离小于当前网络攻击参数的黑白用户组合,并将当前网络攻击参数作为最终的网络攻击参数。
在本实施例中,在对于用户是否符合黑名单特征的判定,需要在具体实施例系统中,进行预先训练得到阈值μ,然后将μ与已知黑名单用户的闵氏距离比较,从而判断该用户是否相似于已知黑名单用户、从而识别出攻击属性并标识为黑名单用户。参数μ的训练步骤包括初始化参数和参数调整两个步骤。遍历已知黑名单用户,调用下述关系式计算两两用户(用i,j表示)之间的标准化操作集上的闵氏距离Lm,闵氏距离也即闵可夫斯基距离:
式中,n表示目标功能项的总数+1,k为目标功能项的计数,Nik表示黑名单的第i个用户在第k个目标功能项的标准化操作信息,Njk表示黑名单的第j个用户在第k个目标功能项的标准化操作信息。在得到所有黑名单用户两两之间的最大闵氏距离,作为初始化网络攻击参数μ=max(Lm)。遍历所有的黑名单和白名单用户,得到所有的黑、白名单用户组合。然后遍历黑白名单组合,针对每个黑白用户组合,计算其标准化操作集的闵氏距离Lm,若Lm<μ表示μ过大,则表明对于用户攻击属性存在误表达,可按照μ=Lm-1对网络攻击参数进行调整。
可以理解的是,黑名单中的某些用户不会一直为网络攻击用户,也可能存在某些攻击用户并不是真正的攻击用户,为了提高网络攻击的精准度,基于上述实施例,本申请的云端还会动态更新黑名单,提高黑名单的精准度,可包括下述内容:
云端预先根据攻击次数和攻击间隔时间设置用户危险等级计算规则和高危用户条件;
云端按照预设频率,调用用户危险等级计算规则计算当前黑名单各用户的危险等级;
云端根据各用户的危险等级和高危用户条件更新黑名单,以从黑名单中删除非高危用户。
在本实施例中,云端对于黑名单数据库中的用户数据,需要根据规则定时计算,以确定其风险等级,从而确定其为黑名单或者普通用户。预设频率可根据实际应用场景和网络安全程度要求进行确定,例如每隔一天或每天或每6个小时。用户危险等级计算规则和高危用户条件可根据实际应用场景灵活确定,高危用户条件基于用户危险等级计算规则来确定,也即用户危险等级超过哪个级别即为高危用户,没有超过这个级别的就是普通用户。用户危险等级计算规则例如可为多路规则,用于综合判断高风险用户是否为黑名单用户,一路规则定义的自变量为:过去时间段:t,存在高风险记录数量:count;因变量:y(是否为黑名单用户)。(t,count)->y(1是黑名单用户,0不是黑名单用户)。用户危险等级计算规则可如下:
a.过去5分钟(t)内存在2次(count)高风险记录,黑名单用户;
b.过去1小时(t)内存在5次(count)高风险记录,黑名单用户;
c.过去24小时(t)存在12次(count)高风险记录,黑名单用户;
d.否则为普通用户。
依据上述规则将满足上述规则的高风险用户,放入黑名单用户中,不属于该规则的,则从黑名单中删除,或者是不放入黑名单中。
基于上述实施例,在获取目标用户的操作日志、并进行标准化得到其标准化操作集S之后,遍历所有黑名单用户的标准化操作集合,逐个计算黑名单用户与当前用户的闵氏距离Lm,若存在任意Lm<μ,则认为当前用户相似于黑名单用户,为风险较高人员,将其上传至云端的黑名单库中,同时记录时间和用户id,如图5所示,也即在判定目标用户为攻击用户之后,将攻击用户的用户标识信息和攻击时间上传至云端,以使云端调用用户危险等级计算规则计算攻击用户的危险等级,若攻击用户的危险等级符合高危用户条件,则将攻击用户添加至黑名单;若攻击用户的危险等级不符合高危用户条件,则判定攻击用户为普通用户。
为了进一步提高网络攻击检测的精准度,可以在用户出现误报为黑名单的高危险用户时,适当调小网络攻击参数μ;在出现漏报用户时适当调大网络攻击参数μ。
需要说明的是,本申请中各步骤之间没有严格的先后执行顺序,只要符合逻辑上的顺序,则这些步骤可以同时执行,也可按照某种预设顺序执行,图1-图5只是一种示意方式,并不代表只能是这样的执行顺序。
本发明实施例还针对网络攻击检测方法提供了相应的装置,进一步使得方法更具有实用性。其中,装置可从功能模块的角度和硬件的角度分别说明。下面对本发明实施例提供的网络攻击检测装置进行介绍,下文描述的网络攻击检测装置与上文描述的网络攻击检测方法可相互对应参照。
基于功能模块的角度,参见图6,图6为本发明实施例提供的网络攻击检测装置在一种具体实施方式下的结构图,该装置可包括:
攻击参数计算模块601,用于预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数。
用户操作数据提取模块602,用于从目标用户的操作日志数据中提取目标功能项数据,以作为目标用户的标准化操作信息。
攻击用户识别模块603,分别计算目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;若相似距离值小于网络攻击参数,则判定目标用户为攻击用户。
可选的,在本实施例的一些实施方式中,上述用户操作数据提取模块602可用于:获取目标用户在目标会话中的所有操作日志数据;统计所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
作为上述实施例的一种可选的实施方式,上述用户操作数据提取模块602还可进一步用于:按照预设数据格式对所有操作日志数据进行处理;从所有操作日志数据中删除非目标功能项的日志数据,得到目标操作日志数据;按照各目标功能项对目标操作日志数据进行计数统计。
可选的,在本实施例的另一些实施方式中,上述攻击参数计算模块601可用于:从云端获取黑名单和白名单;遍历黑名单的各用户,并计算黑名单中每两个用户之间的闵氏距离,得到闵氏距离集;将闵氏距离集的最大闵氏距离作为网络攻击参数初始化值,并将网络攻击参数初始化值作为当前网络攻击参数;对黑名单的每个用户,将黑名单的当前用户与白名单的各用户构成黑白用户组合,得到黑白用户组合集;计算黑白用户组合集的每个黑白用户组合中的黑名单用户与白名单用户之间的闵氏距离;若当前黑白用户组合的闵氏距离小于当前网络攻击参数,则基于当前黑白组合的闵氏距离对当前网络攻击参数进行调整,并将调整后的网络攻击参数作为当前网络攻击参数;直至黑白用户组合集中不存在闵氏距离小于当前网络攻击参数的黑白用户组合,并将当前网络攻击参数作为最终的网络攻击参数。
可选的,在本实施例的其他一些实施方式中,上述装置例如还可包括黑名单更新模块,用于云端预先根据攻击次数和攻击间隔时间设置用户危险等级计算规则和高危用户条件;云端按照预设频率,调用用户危险等级计算规则计算当前黑名单各用户的危险等级;云端根据各用户的危险等级和高危用户条件更新黑名单,以从黑名单中删除非高危用户。
作为上述实施例的一种可选的实施方式,上述黑名单更新模块还可进一步用于:将攻击用户的用户标识信息和攻击时间上传至云端,以使云端调用用户危险等级计算规则计算攻击用户的危险等级,若攻击用户的危险等级符合高危用户条件,则将攻击用户添加至黑名单;若攻击用户的危险等级不符合高危用户条件,则判定攻击用户为普通用户。
本发明实施例所述网络攻击检测装置的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
由上可知,本发明实施例提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
上文中提到的网络攻击检测装置是从功能模块的角度描述,进一步的,本申请还提供一种电子设备,是从硬件角度描述。图7为本申请实施例提供的电子设备在一种实施方式下的结构示意图。如图7所示,该电子设备包括存储器70,用于存储计算机程序;处理器71,用于执行计算机程序时实现如上述任一实施例提到的网络攻击检测方法的步骤。
其中,处理器71可以包括一个或多个处理核心,比如4核心处理器、8核心处理器,处理器71还可为控制器、微控制器、微处理器或其他数据处理芯片等。处理器71可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable GateArray,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器71也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central Processing Unit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器71可以集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器71还可以包括AI(ArtificialIntelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器70可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器70还可包括高速随机存取存储器以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。存储器70在一些实施例中可以是电子设备的内部存储单元,例如服务器的硬盘。存储器70在另一些实施例中也可以是电子设备的外部存储设备,例如服务器上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器70还可以既包括电子设备的内部存储单元也包括外部存储设备。存储器70不仅可以用于存储安装于电子设备的应用软件及各类数据,例如:执行漏洞处理方法的程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。本实施例中,存储器70至少用于存储以下计算机程序701,其中,该计算机程序被处理器71加载并执行之后,能够实现前述任一实施例公开的网络攻击检测方法的相关步骤。另外,存储器70所存储的资源还可以包括操作系统702和数据703等,存储方式可以是短暂存储或者永久存储。其中,操作系统702可以包括Windows、Unix、Linux等。数据703可以包括但不限于网络攻击检测结果对应的数据等。
在一些实施例中,上述电子设备还可包括有显示屏72、输入输出接口73、通信接口74或者称为网络接口、电源75以及通信总线76。其中,显示屏72、输入输出接口73比如键盘(Keyboard)属于用户接口,可选的用户接口还可以包括标准的有线接口、无线接口等。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。通信接口74可选的可以包括有线接口和/或无线接口,如WI-FI接口、蓝牙接口等,通常用于在电子设备与其他电子设备之间建立通信连接。通信总线76可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extendedindustry standard architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图7中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本领域技术人员可以理解,图7中示出的结构并不构成对该电子设备的限定,可以包括比图示更多或更少的组件,例如还可包括实现各类功能的传感器77。
本发明实施例所述电子设备的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
由上可知,本发明实施例提高网络攻击检测精准度,可有效防止网络攻击,提升网络安全性能。
可以理解的是,如果上述实施例中的网络攻击检测方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电可擦除可编程ROM、寄存器、硬盘、多媒体卡、卡型存储器(例如SD或DX存储器等)、磁性存储器、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。
基于此,本发明实施例还提供了一种可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时如上任意一实施例所述网络攻击检测方法的步骤。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的硬件包括装置及电子设备而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
以上对本申请所提供的一种网络攻击检测方法、装置、电子设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种网络攻击检测方法,其特征在于,包括:
预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数;
从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息;
分别计算所述目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;
若所述相似距离值小于所述网络攻击参数,则判定所述目标用户为攻击用户。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息,包括:
获取所述目标用户在目标会话中的所有操作日志数据;
统计所述所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
3.根据权利要求2所述的网络攻击检测方法,其特征在于,所述统计所述所有操作日志数据中各目标功能项的操作次数,包括:
按照预设数据格式对所述所有操作日志数据进行处理;
从所述所有操作日志数据中删除非目标功能项的日志数据,得到目标操作日志数据;
按照各目标功能项对所述目标操作日志数据进行计数统计。
4.根据权利要求1至3任意一项所述的网络攻击检测方法,其特征在于,所述通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数,包括:
从云端获取黑名单和白名单;
遍历所述黑名单的各用户,并计算所述黑名单中每两个用户之间的闵氏距离,得到闵氏距离集;
将所述闵氏距离集的最大闵氏距离作为网络攻击参数初始化值,并将所述网络攻击参数初始化值作为当前网络攻击参数;
对所述黑名单的每个用户,将所述黑名单的当前用户与所述白名单的各用户构成黑白用户组合,得到黑白用户组合集;
计算所述黑白用户组合集的每个黑白用户组合中的黑名单用户与白名单用户之间的闵氏距离;若当前黑白用户组合的闵氏距离小于所述当前网络攻击参数,则基于所述当前黑白组合的闵氏距离对所述当前网络攻击参数进行调整,并将调整后的网络攻击参数作为当前网络攻击参数;直至所述黑白用户组合集中不存在闵氏距离小于所述当前网络攻击参数的黑白用户组合,并将所述当前网络攻击参数作为最终的网络攻击参数。
5.根据权利要求1至3任意一项所述的网络攻击检测方法,其特征在于,所述通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数之前,还包括:
所述云端预先根据攻击次数和攻击间隔时间设置用户危险等级计算规则和高危用户条件;
所述云端按照预设频率,调用所述用户危险等级计算规则计算当前黑名单各用户的危险等级;
所述云端根据各用户的危险等级和所述高危用户条件更新所述黑名单,以从所述黑名单中删除非高危用户。
6.根据权利要求5所述的网络攻击检测方法,其特征在于,所述判定所述目标用户为攻击用户之后,还包括:
将所述攻击用户的用户标识信息和攻击时间上传至所述云端,以使所述云端调用所述用户危险等级计算规则计算所述攻击用户的危险等级,若所述攻击用户的危险等级符合所述高危用户条件,则将所述攻击用户添加至所述黑名单;若所述攻击用户的危险等级不符合所述高危用户条件,则判定所述攻击用户为普通用户。
7.一种网络攻击检测装置,其特征在于,包括:
攻击参数计算模块,用于预先通过训练从云端获取的黑名单用户数据和白名单用户数据,得到待检测网络系统的网络攻击参数;
用户操作数据提取模块,用于从目标用户的操作日志数据中提取目标功能项数据,以作为所述目标用户的标准化操作信息;
攻击用户识别模块,分别计算所述目标用户的标准化操作信息与黑名单各用户的标准化操作信息之间的相似距离值;若所述相似距离值小于所述网络攻击参数,则判定所述目标用户为攻击用户。
8.根据权利要求7所述的网络攻击检测装置,其特征在于,所述用户操作数据提取模块用于:获取所述目标用户在目标会话中的所有操作日志数据;统计所述所有操作日志数据中各目标功能项的操作次数,并将统计结果作为标准化操作信息。
9.一种电子设备,其特征在于,包括处理器和存储器,所述处理器用于执行所述存储器中存储的计算机程序时实现如权利要求1至6任一项所述网络攻击检测方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述网络攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299069.5A CN114006766A (zh) | 2021-11-04 | 2021-11-04 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299069.5A CN114006766A (zh) | 2021-11-04 | 2021-11-04 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114006766A true CN114006766A (zh) | 2022-02-01 |
Family
ID=79927275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111299069.5A Pending CN114006766A (zh) | 2021-11-04 | 2021-11-04 | 网络攻击检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006766A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080044145A (ko) * | 2006-11-15 | 2008-05-20 | 한국전자통신연구원 | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 |
| WO2016171243A1 (ja) * | 2015-04-22 | 2016-10-27 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN111191201A (zh) * | 2019-12-25 | 2020-05-22 | 中国平安财产保险股份有限公司 | 基于数据埋点的用户识别方法、装置、设备及存储介质 |
| CN112395612A (zh) * | 2019-08-15 | 2021-02-23 | 中兴通讯股份有限公司 | 一种恶意文件检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-11-04 CN CN202111299069.5A patent/CN114006766A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080044145A (ko) * | 2006-11-15 | 2008-05-20 | 한국전자통신연구원 | 웹 로그 상호연관분석을 이용한 웹 애플리케이션 공격의침입 탐지 시스템 및 방법 |
| WO2016171243A1 (ja) * | 2015-04-22 | 2016-10-27 | 株式会社日立製作所 | サイバー攻撃分析装置及びサイバー攻撃分析方法 |
| CN108092948A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信集团湖北有限公司 | 一种网络攻击模式的识别方法和装置 |
| CN112395612A (zh) * | 2019-08-15 | 2021-02-23 | 中兴通讯股份有限公司 | 一种恶意文件检测方法、装置、电子设备及存储介质 |
| CN111191201A (zh) * | 2019-12-25 | 2020-05-22 | 中国平安财产保险股份有限公司 | 基于数据埋点的用户识别方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888554B (zh) | 服务器攻击的检测方法和装置 | |
| CN109831465A (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| RU2708356C1 (ru) | Система и способ двухэтапной классификации файлов | |
| CN109933984B (zh) | 一种最佳聚类结果筛选方法、装置和电子设备 | |
| CN109992969B (zh) | 一种恶意文件检测方法、装置及检测平台 | |
| CN109598124A (zh) | 一种webshell检测方法以及装置 | |
| CN111931179B (zh) | 基于深度学习的云端恶意程序检测系统及方法 | |
| CN109145030B (zh) | 一种异常数据访问的检测方法和装置 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN109271788A (zh) | 一种基于深度学习的Android恶意软件检测方法 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN107426136B (zh) | 一种网络攻击的识别方法和装置 | |
| CN109727027A (zh) | 账户识别方法、装置、设备及存储介质 | |
| CN106301979B (zh) | 检测异常渠道的方法和系统 | |
| CN112016317A (zh) | 基于人工智能的敏感词识别方法、装置及计算机设备 | |
| CN114491523A (zh) | 恶意软件检测方法、装置、电子设备、介质及产品 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN111803956B (zh) | 游戏外挂行为的确定方法、装置、电子设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN114285587A (zh) | 域名鉴别方法和装置、域名分类模型的获取方法和装置 | |
| CN114006766A (zh) | 网络攻击检测方法、装置、电子设备及可读存储介质 | |
| CN115688107A (zh) | 一种涉诈app检测系统和方法 | |
| CN116938505A (zh) | 一种失陷主机检测方法及相关装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |