CN114553523A - 基于攻击检测模型的攻击检测方法及装置、介质、设备 - Google Patents
基于攻击检测模型的攻击检测方法及装置、介质、设备 Download PDFInfo
- Publication number
- CN114553523A CN114553523A CN202210158714.XA CN202210158714A CN114553523A CN 114553523 A CN114553523 A CN 114553523A CN 202210158714 A CN202210158714 A CN 202210158714A CN 114553523 A CN114553523 A CN 114553523A
- Authority
- CN
- China
- Prior art keywords
- attack
- attack detection
- detection model
- training
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 191
- 230000006399 behavior Effects 0.000 claims abstract description 118
- 238000012549 training Methods 0.000 claims abstract description 115
- 238000012360 testing method Methods 0.000 claims abstract description 64
- 238000013515 script Methods 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 24
- 238000012706 support-vector machine Methods 0.000 claims abstract description 19
- 238000004891 communication Methods 0.000 claims description 20
- 238000002790 cross-validation Methods 0.000 claims description 13
- 230000000694 effects Effects 0.000 claims description 5
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000010801 machine learning Methods 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 description 11
- 238000000605 extraction Methods 0.000 description 9
- 238000013473 artificial intelligence Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000010365 information processing Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012952 Resampling Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种基于攻击检测模型的攻击检测方法及装置、介质、设备,涉及网络安全领域,主要目的在于改善现有使用机器学习算法进行攻击行为检测时,由于训练样本数量以及特征选取数量少,导致攻击检测结果准确率低,误报率高的问题。包括:获取目标用户的操作行为数据;基于已完成模型训练的攻击检测模型对操作数据进行分类处理,得到分类结果,其中,攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,脚本语言特征是基于攻击样本进行提取的;若分类结果为攻击行为,则输出攻击警告,并拦截目标用户的所有操作行为所产生的数据。
Description
技术领域
本申请涉及一种网络安全技术领域,特别是涉及一种基于攻击检测模型的攻击检测方法及装置、介质、设备。
背景技术
随着互联网技术的快速发展,网站变得越来越普及,任何配备计算机和互联网连接的用户都可以访问网络应用程序。而对网络应用程序和网络的攻击也在不断增加。XSS攻击是最常见的网络攻击之一,攻击者通常将恶意脚本插入到易受攻击的网络应用程序中,制造会话劫持,敏感数据泄露,跨站请求伪造攻击以及其他安全漏洞。进一步的,利用XSS漏洞在服务器上执行恶意代码,获取用户或数据库权限等。
传统的XSS攻击预防方法包括基于硬件和软件的网络应用防火墙(waf)。其中大多数防火墙都是基于规则和签名的,可通过混淆攻击的有效载荷进行绕过,无法进行未知模式攻击的检测。因此,基于机器学习算法对XSS攻击进行检测得到了广泛关注。
然而,现有的使用机器学习算法进行攻击检测的方法大多存在训练样本数量少,特征选取少等缺陷,从而导致最终的检测结果准确率低下,误报率高的问题出现。
发明内容
有鉴于此,本申请提供一种基于攻击检测模型的攻击检测方法及装置、存储介质、计算机设备,主要目的在于改善现有使用机器学习算法进行攻击行为检测时,由于训练样本数量以及特征选取数量少,导致攻击检测结果准确率低,误报率高的技术问题。
依据本申请一个方面,提供了一种基于攻击检测模型的攻击检测方法,包括:
获取目标用户的操作行为数据;
基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
优选的,所述基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理之前,所述方法还包括:
基于支持向量机算法构建攻击检测模型,并获取训练样本,所述训练样本包括正常样本以及攻击样本;
基于所述攻击样本提取脚本语言特征;
基于所述所述训练样本以及所述脚本语言特征,对所述攻击检测模型进行模型训练,得到完成模型训练的攻击检测模型。
优选的,所述得到完成模型训练的攻击检测模型之后,所述方法还包括:
基于交叉验证对所述完成模型训练的攻击检测模型进行测试,得到测试指标参数,以作为衡量所述攻击检测模型的达标依据。
优选的,所述得到测试指标参数之后,所述方法还包括:
若所述测试指标参数大于或等于预设指标参数阈值,确定所述完成模型训练的攻击检测模型为最终攻击检测模型,以基于所述最终攻击检测模型对所述目标用户的操作行为数据进行分类处理。
优选的,所述方法还包括:
若所述测试指标参数小于所述预设指标参数阈值,则基于所述攻击样本重新提取脚本语言特征;
基于更新后的脚本语言特征以及所述训练样本,完成对所述攻击检测模型的训练,得到更新后的攻击检测模型;
基于交叉验证再次对所述更新后的攻击检测模型进行测试,得到更新后的测试指标参数,并再次判断所述更新后攻击检测模型是否达标。
优选的,所述拦截所述目标用户的所有操作行为所产生的数据之前,所述方法还包括:
输出针对所述攻击行为再次确认的提示信息,并获取所述再次确认的结果;
若所述再次确认的结果为攻击行为,将所述目标用户移入用户黑名单,并存储所述目标用户的用户信息,以在再次接收到所述目标用户的操作行为数据时,作为识别所述目标用户的依据。
优选的,所述方法还包括:
若所述再次确认的结果为非攻击行为,输出重新尝试的提示信息,并标记所述目标用户的操作行为数据,以作为更新所述攻击检测模型的训练样本。
依据本申请另一个方面,提供了一种基于攻击检测模型的攻击检测装置,包括:
获取模块,用于获取目标用户的操作行为数据;
分类模块,用于基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
拦截模块,用于若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
优选的,所述分类模块之前,所述装置还包括:
构建模块,用于基于支持向量机算法构建攻击检测模型,并获取训练样本,所述训练样本包括正常样本以及攻击样本;
第一提取模块,用于基于所述攻击样本提取脚本语言特征;
第一训练模块,用于基于所述所述训练样本以及所述脚本语言特征,对所述攻击检测模型进行模型训练,得到完成模型训练的攻击检测模型。
优选的,所述第一训练模块之后,所述装置还包括:
第一测试模块,用于基于交叉验证对所述完成模型训练的攻击检测模型进行测试,得到测试指标参数,以作为衡量所述攻击检测模型的达标依据。
优选的,所述第一测试模块之后,所述装置还包括:
确定模块,用于若所述测试指标参数大于或等于预设指标参数阈值,确定所述完成模型训练的攻击检测模型为最终攻击检测模型,以基于所述最终攻击检测模型对所述目标用户的操作行为数据进行分类处理。
优选的,所述装置还包括:
第二提取模块,用于若所述测试指标参数小于所述预设指标参数阈值,则基于所述攻击样本重新提取脚本语言特征;
第二训练模块,用于基于更新后的脚本语言特征以及所述训练样本,完成对所述攻击检测模型的训练,得到更新后的攻击检测模型;
第二测试模块,用于基于交叉验证再次对所述更新后的攻击检测模型进行测试,得到更新后的测试指标参数,并再次判断所述更新后攻击检测模型是否达标。
优选的,所述拦截模块之前,所述装置还包括:
输出模块,用于输出针对所述攻击行为再次确认的提示信息,并获取所述再次确认的结果;
存储模块,用于若所述再次确认的结果为攻击行为,将所述目标用户移入用户黑名单,并存储所述目标用户的用户信息,以在再次接收到所述目标用户的操作行为数据时,作为识别所述目标用户的依据。
优选的,所述装置还包括:
标记模块,用于若所述再次确认的结果为非攻击行为,输出重新尝试的提示信息,并标记所述目标用户的操作行为数据,以作为更新所述攻击检测模型的训练样本。
根据本申请的又一方面,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述攻击检测模型的攻击检测方法对应的操作。
根据本申请的再一方面,提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述攻击检测模型的攻击检测方法对应的操作。
借由上述技术方案,本申请实施例提供的技术方案至少具有下列优点:
本申请提供了一种基于攻击检测模型的攻击检测方法及装置,首先获取目标用户的操作行为数据;其次基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;最后若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。与现有技术相比,本申请实施例基于训练样本和脚本语言特征完成对攻击检测模型的训练,有效地提高了训练样本数量以及特征选取数量;并基于攻击检测模型对用户的操作行为数据进行分类,提高了攻击检测结果的准确性,降低了误报率;同时拦截被分类为攻击行为的用户的所有操作行为数据,降低了被攻击的概率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本申请实施例提供的一种基于攻击检测模型的攻击检测方法流程图;
图2示出了本申请实施例提供的另一种基于攻击检测模型的攻击检测方法流程图;
图3示出了本申请实施例提供的一种基于攻击检测模型的攻击检测装置组成框图;
图4示出了本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。
基于此,在一个实施例中,如图1所示,提供了一种基于攻击检测模型的攻击检测方法,以该方法应用于服务器等计算机设备为例进行说明,其中,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器,如智能医疗系统、数字医疗平台等。上述方法包括以下步骤:
101、获取目标用户的操作行为数据。
本申请实施例中,当前执行端可以为针对用户操作行为数据进行攻击检测的系统,并进一步拦截具有攻击意图的用户操作行为数据。其中,用户的操作行为数据用于表征用户在使用网络应用程序时所发起的操作请求,例如,打开网页的请求,返回查询数据的请求等。
需要说明的是,正常的用户操作行为数据中携带的内容包括但不限于用户信息以及用户使用网络应用程序时所发起的操作请求。而具有攻击意图的用户操作行为数据除上述内容外,通常情况下,会在操作行为数据中嵌入恶意的JavaScript代码进行恶意的活动。另外,用户操作行为数据的获取周期可以由用户方的开发人员自行设定,例如,每10分钟获取一次,也可以为了更及时的对恶意活动进行拦截,将获取周期缩短,本发明不做具体限定。
102、基于已完成模型训练的攻击检测模型对操作行为数据进行分类处理,得到分类结果。
由于传统的Web应用防火墙(waf),大多基于硬件和软件,利用规则和签名的方式进行攻击拦截,很容易通过混淆攻击的有效载荷进行绕过,而导致无法有效的拦截未知模式的攻击活动。为了克服这一问题,本申请实施例中,攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,脚本语言特征是基于攻击样本进行提取的。其中,通过基于支持向量机算法构建的攻击检测模型对获取到的用户操作行为数据进行分类判断,可以有效地完成对未知模式攻击的拦截。同时基于训练样本和脚本语言特征对攻击检测模型进行模型训练,可以有效克服传统机器学习模型样本数量少,特征选取少的缺点,从而提高检测结果的准确率。另外,训练样本包括收集到的攻击样本和生成的正常样本,示例性的,正常样本可以通过随机的字符和数字进行拼接,生成对应的特征,然而,攻击样本一般具有某些关键特性,例如,命中指定关键字等。脚本语言特征可以通过分析JavaScript进行提取。
需要说明的是,提取到合适的特征与攻击检测模型的准确度息息相关,可以通过计算机程序自动进行特征提取,也可以由用户方的开发人员自行设定,本发明不做具体限定。
103、若分类结果为攻击行为,则输出攻击警告,并拦截目标用户的所有操作行为所产生的数据。
本申请实施例中,当分类结果为攻击行为时,说明当前用户的操作行为数据中携带恶意代码,为了保证网络应用程序的安全,立即拦截当前用户的所有操作行为所产生的数据,以避免受其攻击,同时输出攻击警告,以提示再次确认攻击行为,并进一步确认攻击分类结果是否准确,以避免误判,从而导致用户体验感下降。
需要说明的是,警告可以以系统弹窗的形式进行输出,也可以以其他方式进行输出,本发明不做具体限定。
与现有技术相比,本申请实施例基于训练样本和脚本语言特征完成对攻击检测模型的训练,有效地提高了训练样本数量以及特征选取数量;并基于攻击检测模型对用户的操作行为数据进行分类,提高了攻击检测结果的准确性,降低了误报率;同时拦截被分类为攻击行为的用户的所有操作行为数据,降低了被攻击的概率。
本申请实施例提供了另一种基于攻击检测模型的攻击检测方法,如图2所示,该方法包括:
201、基于支持向量机算法构建攻击检测模型,并获取训练样本。
本申请实施例中,首先基于支持向量机算法构建攻击检测模型,可以有效的完成对未知模式攻击的识别。并获取训练样本,其中,训练样本包括正常样本以及攻击样本。具体的,由于对攻击检测模型进行训练需要大量的正常样本和有XSS攻击的有效载荷样本,以提高模型分类结果的准确度。针对攻击样本,可以通过攻击工具,例如,XSS攻击工具XSSTIKE和XSSER以及github等,进行攻击样本的收集,攻击样本可以是XSS攻击样本;针对正常样本,可以通过自动化测试攻击进行生成,例如,以拼接随机生成的字符和数字作为生成规则进行正常样本的生成。
示例性的,基于XSS攻击工具XSSTIKE收集20000个攻击样本,基于自动化测试攻击拼接随机生成的字符和数字生成20000个正常样本,将20000个攻击样本和20000个正常样本合并,随机选取其中70%的样本作为训练样本,30%的样本为测试样本。
202、基于攻击样本提取脚本语言特征。
本申请实施例中,基于步骤201收集的攻击样本进行脚本语言特征的提取。示例性的,可以分为三部分进行脚本语言特征的提取,分别为URL词组、页面内容、实时的JavaScript信息三部分,共提取如下17个特征:
URL词组部分:URL的长度、URL的单词数以及“.”的数量;
页面内容部分:链接关系、内嵌框架、图像、文件、设置超时、设置间隔、脚本、附件;
JavaScript信息部分:重定向的次数、实例化对象的数量、分配的总字节数、请求头、响应头、脚本大小。
203、基于训练样本以及脚本语言特征,对攻击检测模型进行模型训练,得到完成模型训练的攻击检测模型。
本申请实施例中,利用攻击检测模型将训练样本进行二分类:正常样本和攻击样本。
训练样本D表示为
D={(xi,yi)|xi∈Rn,yi∈{-1,1}}
其中xi为样本,1≤i≤m,m为样本数,n=17表示特征向量大小,yi表示样本的类别,其中-1表示攻击样本,1表示正常样本。
需要说明的是,支持向量机的基本想法是求解能够正确划分训练样本并且几何间隔最大的分离超平面。设超平面方程为wx+b=0。则需要求解如下的凸二次优化问题:
s.tyi(wx+b)-1≥0,i=1,2,...m
对上述非线性的攻击检测模型引入松弛变量
和正则化参数C
204、基于交叉验证对完成模型训练的攻击检测模型进行测试,得到测试指标参数,以作为衡量所述攻击检测模型的达标依据。
本申请实施例中,由于非线程的攻击检测模型可能存在过拟合的情况,因此可以基于交叉验证对完成模型训练的攻击检测模型进行测试,例如,利用k-fold交叉验证进行测试得到测试指标参数。其中,k-fold交叉验证是一种统计重采样技术;测试指标参数可以包括准确率、精确率以及召回率。其中,准确率用于表征当前攻击检测模型对用户操作行为数据进行分类,得到正确分类结果的概率,即分类结果的准确程度;精确率用于表征在被所有预测为正的样本中实际是正样本的概率,即对正样本分类结果的预测准确程度,也就是分类结果为正样本中实际是正样本的比例,是针对分类结果而言的;召回率用于表征实际为正的样本中被分类为正样本的概率,即攻击检测模型对正样本的识别能力,也叫查全率,是针对覆盖面的度量。
示例性的,将攻击检测模型在10个训练子样本上进行训练和测试,因此k=10。以准确率、精确率、召回率作为衡量攻击检测模型的达标依据。其中,
准确率=预测正确样本/所有样本=(TP+TN)/(TP+FN+FP+TN)
精确率=正类预测为正类/预测的正类=TP/(TP+FP)
召回率=将正类预测为正类/原本的正类=TP/(TP+FN)
FN:被判定为负样本,实际是正样本的样本数量。
FP:被判定为正样本,实际是负样本的样本数量。
TN:被判定为负样本,实际是负样本的样本数量。
TP:被判定为正样本,实际是正样本的样本数量。
另外,还可以基于k近邻算法和SVM算法对训练样本进行分类,并分别获取测试指标参数。基于三种方案分别得到的测试指标参数如表1所示。
表1
由此可知,本申请实施例提供的方法可以有效的提高攻击检测的准确率。
205a、若测试指标参数大于或等于预设指标参数阈值,确定完成模型训练的攻击检测模型为最终攻击检测模型。
进一步的,以基于最终攻击检测模型对目标用户的操作行为数据进行分类处理。
本申请实施例中,将步骤204得到的测试指标参数与预设指标参数阈值相比较,若大于,则说明当前攻击检测模型的分类准确度已达到要求,可以将其作为最终攻击检测模型进行用户操作行为数据分类,以实现保护网络应用程序的作用。
需要说明的是,在步骤204中得到的测试指标参数可以包括准确率、精确率以及召回率,在判定当前攻击监测模型的测试指标参数是否达标时,保证“三率”中至少一项超过预设指标参数阈值即可判定当前攻击检测模型为最终攻击检测模型,也可以是两项或三项均大于阈值,具体可根据实际情况设定,本发明不做具体限定。
205b、若测试指标参数小于预设指标参数阈值,则基于攻击样本重新提取脚本语言特征;
206b、基于更新后的脚本语言特征以及训练样本,完成对攻击检测模型的训练,得到更新后的攻击检测模型;
207b、基于交叉验证再次对更新后的攻击检测模型进行测试,得到更新后的测试指标参数,并再次判断更新后攻击检测模型是否达标。
本申请实施例中,若上述步骤中的得到的当前攻击检测模型的测试指标参数均小于预设参数指标阈值,则说明当前攻击检测模型并不达标,此时,需重新基于攻击样本进行脚本语言特征提取,并进一步基于训练样本以及重新提取的脚本语言特征重新训练攻击检测模型,直至攻击检测模型的测试参数指标达到预设参数指标为止。具体的提取步骤、训练步骤以及测试步骤在上述步骤中已经说明,在此不再赘述。
本申请实施例中,为了避免由于对用户操作行为数据产生误判,而导致用户体验感下降的情况发生,拦截目标用户的所有操作行为所产生的数据之前,实施例方法还包括:输出针对攻击行为再次确认的提示信息,并获取再次确认的结果;若再次确认的结果为攻击行为,将目标用户移入用户黑名单,并存储目标用户的用户信息,以在再次接收到目标用户的操作行为数据时,作为识别目标用户的依据。
其中,用户黑名单用于存储对网络应用程序有过攻击行为的用户信息。在攻击检测模型将当前用户操作行为数据分类为攻击行为后,为了确保分类结果的准确性,优选的,当前执行端可以向开发人员输出再次确认当前用户操作行为数据为攻击行为的提示信息,并获取再次确认的结果。如果确认当前用户的操作行为数据确实为攻击行为,则调取用户操作行为数据中所携带的用户信息,将其加入黑名单中,以在再次获取到该用户的操作行为数据时,加以防范。
本申请实施例中,为了提高用户体验感,同时提高攻击检测模型的分类准确度,实施例方法还包括:若再次确认的结果为非攻击行为,输出重新尝试的提示信息,并标记目标用户的操作行为数据,以作为更新攻击检测模型的训练样本。
具体的,如果再次确认的结果为非攻击行为,则说明攻击检测模型的分类结果有误,则向用户输出再次尝试的提示信息,并加以抱歉,以提高用户体验感。同时,标记并存储当前用户操作行为数据,以作为更新攻击检测模型的训练样本,并对其进行优化。
本申请提供了一种基于攻击检测模型的攻击检测方法,首先获取目标用户的操作行为数据;其次基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;最后若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。与现有技术相比,本申请实施例基于训练样本和脚本语言特征完成对攻击检测模型的训练,有效地提高了训练样本数量以及特征选取数量;并基于攻击检测模型对用户的操作行为数据进行分类,提高了攻击检测结果的准确性,降低了误报率;同时拦截被分类为攻击行为的用户的所有操作行为数据,降低了被攻击的概率。
进一步的,作为对上述图1所示方法的实现,本申请实施例提供了一种基于攻击检测模型的攻击检测装置,如图3所示,该装置包括:
获取模块31,分类模块32,拦截模块33。
获取模块31,用于获取目标用户的操作行为数据;
分类模块32,用于基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
拦截模块33,用于若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
在具体的应用场景中,所述分类模块之前,所述装置还包括:
构建模块,用于基于支持向量机算法构建攻击检测模型,并获取训练样本,所述训练样本包括正常样本以及攻击样本;
第一提取模块,用于基于所述攻击样本提取脚本语言特征;
第一训练模块,用于基于所述所述训练样本以及所述脚本语言特征,对所述攻击检测模型进行模型训练,得到完成模型训练的攻击检测模型。
在具体的应用场景中,所述第一训练模块之后,所述装置还包括:
第一测试模块,用于基于交叉验证对所述完成模型训练的攻击检测模型进行测试,得到测试指标参数,以作为衡量所述攻击检测模型的达标依据。
在具体的应用场景中,所述第一测试模块之后,所述装置还包括:
确定模块,用于若所述测试指标参数大于或等于预设指标参数阈值,确定所述完成模型训练的攻击检测模型为最终攻击检测模型,以基于所述最终攻击检测模型对所述目标用户的操作行为数据进行分类处理。
在具体的应用场景中,所述装置还包括:
第二提取模块,用于若所述测试指标参数小于所述预设指标参数阈值,则基于所述攻击样本重新提取脚本语言特征;
第二训练模块,用于基于更新后的脚本语言特征以及所述训练样本,完成对所述攻击检测模型的训练,得到更新后的攻击检测模型;
第二测试模块,用于基于交叉验证再次对所述更新后的攻击检测模型进行测试,得到更新后的测试指标参数,并再次判断所述更新后攻击检测模型是否达标。
在具体的应用场景中,所述拦截模块之前,所述装置还包括:
输出模块,用于输出针对所述攻击行为再次确认的提示信息,并获取所述再次确认的结果;
存储模块,用于若所述再次确认的结果为攻击行为,将所述目标用户移入用户黑名单,并存储所述目标用户的用户信息,以在再次接收到所述目标用户的操作行为数据时,作为识别所述目标用户的依据。
在具体的应用场景中,所述装置还包括:
标记模块,用于若所述再次确认的结果为非攻击行为,输出重新尝试的提示信息,并标记所述目标用户的操作行为数据,以作为更新所述攻击检测模型的训练样本。
本申请提供了一种基于攻击检测模型的攻击检测装置,首先获取目标用户的操作行为数据;其次基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;最后若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。与现有技术相比,本申请实施例基于训练样本和脚本语言特征完成对攻击检测模型的训练,有效地提高了训练样本数量以及特征选取数量;并基于攻击检测模型对用户的操作行为数据进行分类,提高了攻击检测结果的准确性,降低了误报率;同时拦截被分类为攻击行为的用户的所有操作行为数据,降低了被攻击的概率。
根据本申请一个实施例提供了一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的基于攻击检测模型的攻击检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
图4示出了根据本申请一个实施例提供的一种计算机设备的结构示意图,本申请具体实施例并不对计算机设备的具体实现做限定。
如图4所示,该计算机设备可以包括:处理器(processor)402、通信接口(Communications Interface)404、存储器(memory)406、以及通信总线408。
其中:处理器402、通信接口404、以及存储器406通过通信总线408完成相互间的通信。
通信接口404,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器402,用于执行程序410,具体可以执行上述基于攻击检测模型的攻击检测方法实施例中的相关步骤。
具体地,程序410可以包括程序代码,该程序代码包括计算机操作指令。
处理器402可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。计算机设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器406,用于存放程序410。存储器406可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序410具体可以用于使得处理器402执行以下操作:
获取目标用户的操作行为数据;
基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述基于攻击检测模型的攻击检测的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言,由于其与方法实施例基本对应,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
可能以许多方式来实现本申请的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本申请的方法和系统。用于所述方法的步骤的上述顺序仅是为了进行说明,本申请的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本申请实施为记录在记录介质中的程序,这些程序包括用于实现根据本申请的方法的机器可读指令。因而,本申请还覆盖存储用于执行根据本申请的方法的程序的记录介质。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本申请的保护范围之内。
Claims (10)
1.一种基于攻击检测模型的攻击检测方法,其特征在于,包括:
获取目标用户的操作行为数据;
基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
2.根据权利要求1所述的方法,其特征在于,所述基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理之前,所述方法还包括:
基于支持向量机算法构建攻击检测模型,并获取训练样本,所述训练样本包括正常样本以及攻击样本;
基于所述攻击样本提取脚本语言特征;
基于所述训练样本以及所述脚本语言特征,对所述攻击检测模型进行模型训练,得到完成模型训练的攻击检测模型。
3.根据权利要求2所述的方法,其特征在于,所述得到完成模型训练的攻击检测模型之后,所述方法还包括:
基于交叉验证对所述完成模型训练的攻击检测模型进行测试,得到测试指标参数,以作为衡量所述攻击检测模型的达标依据。
4.根据权利要求3所述的方法,其特征在于,所述得到测试指标参数之后,所述方法还包括:
若所述测试指标参数大于或等于预设指标参数阈值,确定所述完成模型训练的攻击检测模型为最终攻击检测模型,以基于所述最终攻击检测模型对所述目标用户的操作行为数据进行分类处理。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
若所述测试指标参数小于所述预设指标参数阈值,则基于所述攻击样本重新提取脚本语言特征;
基于更新后的脚本语言特征以及所述训练样本,完成对所述攻击检测模型的训练,得到更新后的攻击检测模型;
基于交叉验证再次对所述更新后的攻击检测模型进行测试,得到更新后的测试指标参数,并再次判断所述更新后攻击检测模型是否达标。
6.根据权利要求1所述的方法,其特征在于,所述拦截所述目标用户的所有操作行为所产生的数据之前,所述方法还包括:
输出针对所述攻击行为再次确认的提示信息,并获取所述再次确认的结果;
若所述再次确认的结果为攻击行为,将所述目标用户移入用户黑名单,并存储所述目标用户的用户信息,以在再次接收到所述目标用户的操作行为数据时,作为识别所述目标用户的依据。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述再次确认的结果为非攻击行为,输出重新尝试的提示信息,并标记所述目标用户的操作行为数据,以作为更新所述攻击检测模型的训练样本。
8.一种基于攻击检测模型的攻击检测装置,其特征在于,包括:
获取模块,用于获取目标用户的操作行为数据;
分类模块,用于基于已完成模型训练的攻击检测模型对所述操作行为数据进行分类处理,得到分类结果,其中,所述攻击检测模型为基于支持向量机算法构建的,并基于训练样本和脚本语言特征完成模型训练的,所述训练样本由基于攻击工具收集的攻击样本和基于自动化测试攻击生成的正常样本组成,所述脚本语言特征是基于所述攻击样本进行提取的;
拦截模块,用于若所述分类结果为攻击行为,则输出攻击警告,并拦截所述目标用户的所有操作行为所产生的数据。
9.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的基于攻击检测模型的攻击检测方法对应的操作。
10.一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的基于攻击检测模型的攻击检测方法对应的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210158714.XA CN114553523A (zh) | 2022-02-21 | 2022-02-21 | 基于攻击检测模型的攻击检测方法及装置、介质、设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210158714.XA CN114553523A (zh) | 2022-02-21 | 2022-02-21 | 基于攻击检测模型的攻击检测方法及装置、介质、设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114553523A true CN114553523A (zh) | 2022-05-27 |
Family
ID=81678033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210158714.XA Pending CN114553523A (zh) | 2022-02-21 | 2022-02-21 | 基于攻击检测模型的攻击检测方法及装置、介质、设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114553523A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115695054A (zh) * | 2023-01-04 | 2023-02-03 | 北京知其安科技有限公司 | 基于机器学习的waf拦截页面识别的方法、装置及相关组件 |
| CN115278680B (zh) * | 2022-07-29 | 2023-04-07 | 国网区块链科技(北京)有限公司 | 一种移动应用攻击检测方法、装置、设备和存储介质 |
| CN116884556A (zh) * | 2023-09-07 | 2023-10-13 | 徐州医科大学 | 一种基于内联区块链的医学数据安全共享平台 |
| CN116886446A (zh) * | 2023-09-06 | 2023-10-13 | 北京安天网络安全技术有限公司 | 一种自动化攻击的检测方法、电子设备及存储介质 |
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
| WO2024060061A1 (en) * | 2022-09-21 | 2024-03-28 | Citrix Systems, Inc. | Systems and methods for identifying scripts by coding styles |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110765459A (zh) * | 2019-10-18 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种恶意脚本检测方法、装置和存储介质 |
| CN110808968A (zh) * | 2019-10-25 | 2020-02-18 | 新华三信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备和可读存储介质 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN111614616A (zh) * | 2020-04-17 | 2020-09-01 | 江苏信息职业技术学院 | 一种xss攻击自动检测方法 |
| CN113965377A (zh) * | 2021-10-21 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种攻击行为检测方法及装置 |
-
2022
- 2022-02-21 CN CN202210158714.XA patent/CN114553523A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110765459A (zh) * | 2019-10-18 | 2020-02-07 | 北京天融信网络安全技术有限公司 | 一种恶意脚本检测方法、装置和存储介质 |
| CN110808968A (zh) * | 2019-10-25 | 2020-02-18 | 新华三信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备和可读存储介质 |
| CN111614616A (zh) * | 2020-04-17 | 2020-09-01 | 江苏信息职业技术学院 | 一种xss攻击自动检测方法 |
| CN111565205A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 网络攻击识别方法、装置、计算机设备和存储介质 |
| CN113965377A (zh) * | 2021-10-21 | 2022-01-21 | 北京天融信网络安全技术有限公司 | 一种攻击行为检测方法及装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115278680B (zh) * | 2022-07-29 | 2023-04-07 | 国网区块链科技(北京)有限公司 | 一种移动应用攻击检测方法、装置、设备和存储介质 |
| WO2024060061A1 (en) * | 2022-09-21 | 2024-03-28 | Citrix Systems, Inc. | Systems and methods for identifying scripts by coding styles |
| CN115695054A (zh) * | 2023-01-04 | 2023-02-03 | 北京知其安科技有限公司 | 基于机器学习的waf拦截页面识别的方法、装置及相关组件 |
| CN115695054B (zh) * | 2023-01-04 | 2023-03-21 | 北京知其安科技有限公司 | 基于机器学习的waf拦截页面识别的方法、装置及相关组件 |
| CN116886446A (zh) * | 2023-09-06 | 2023-10-13 | 北京安天网络安全技术有限公司 | 一种自动化攻击的检测方法、电子设备及存储介质 |
| CN116886446B (zh) * | 2023-09-06 | 2023-11-24 | 北京安天网络安全技术有限公司 | 一种自动化攻击的检测方法、电子设备及存储介质 |
| CN116884556A (zh) * | 2023-09-07 | 2023-10-13 | 徐州医科大学 | 一种基于内联区块链的医学数据安全共享平台 |
| CN116884556B (zh) * | 2023-09-07 | 2024-01-12 | 苏州慧睿康智能科技有限公司 | 一种基于内联区块链的医学数据安全共享平台 |
| CN117176478A (zh) * | 2023-11-02 | 2023-12-05 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
| CN117176478B (zh) * | 2023-11-02 | 2024-02-02 | 南京怡晟安全技术研究院有限公司 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| US9923912B2 (en) | Learning detector of malicious network traffic from weak labels | |
| CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
| EP3684025B1 (en) | Web page request identification | |
| CN109831459B (zh) | 安全访问的方法、装置、存储介质和终端设备 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| US20230418943A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
| CN111404949A (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN113949526A (zh) | 一种访问控制方法、装置、存储介质及电子设备 | |
| CN110674479B (zh) | 异常行为数据实时处理方法、装置、设备及存储介质 | |
| CN114024761B (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN112199569A (zh) | 一种违禁网址识别方法、系统、计算机设备及存储介质 | |
| CN117579395B (zh) | 一种应用人工智能进行网络安全漏洞扫描的方法及系统 | |
| CN117892102A (zh) | 基于主动学习的入侵行为检测方法、系统、设备及介质 | |
| CN114531283A (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
| CN113190847A (zh) | 一种脚本文件的混淆检测方法、装置、设备及存储介质 | |
| CN116112209A (zh) | 漏洞攻击流量检测方法及装置 | |
| CN115643044A (zh) | 数据处理方法、装置、服务器及存储介质 | |
| CN116015800A (zh) | 一种扫描器识别方法、装置、电子设备及存储介质 | |
| EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
| CN114866338A (zh) | 网络安全检测方法、装置及电子设备 | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN111901324B (zh) | 一种基于序列熵流量识别的方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20220527 |
|
| WD01 | Invention patent application deemed withdrawn after publication |