CN114884691A - 人工智能抵御网络攻击的系统及其方法 - Google Patents

人工智能抵御网络攻击的系统及其方法 Download PDF

Info

Publication number
CN114884691A
CN114884691A CN202210322318.6A CN202210322318A CN114884691A CN 114884691 A CN114884691 A CN 114884691A CN 202210322318 A CN202210322318 A CN 202210322318A CN 114884691 A CN114884691 A CN 114884691A
Authority
CN
China
Prior art keywords
feature
unit
information
packet
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210322318.6A
Other languages
English (en)
Inventor
赖育承
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shangcheng Technology Co ltd
Original Assignee
Shangcheng Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shangcheng Technology Co ltd filed Critical Shangcheng Technology Co ltd
Publication of CN114884691A publication Critical patent/CN114884691A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Feedback Control In General (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

一种人工智能抵御网络攻击的系统及其方法,其中包括使用者设备、身份认证设备、伺服设备及网络设备,网络设备接收用户设备传输至伺服设备的多个网络封包,网络设备执行以下步骤:该网络设备的封包过滤单元接收该网络封包并根据过滤用户数据库将所述网络封包传递至身份认证设备或过滤其网络封包;该身份认证设备接收所述网络封包,且对产生该网络封包的使用者设备进行身份认证,并依据身份认证结果将该网络封包传递至一伺服设备。

Description

人工智能抵御网络攻击的系统及其方法
技术领域
本发明有关于一种利用人工智能模型快速辨识并过滤具攻击行为的网络封包,且可避免身份认证所造成的大量运算资源耗损的人工智能抵御网络攻击的系统及其方法。
背景技术
随着因特网的快速发展,除了加快信息的传输外也改变许多产业的行为。为确保在因特网上的安全,因此如何防止网络攻击是一件重大的议题。目前的防范网络攻击的方式,是在攻击发生的之后才开始进行封包的分析。由于因特网的传输方式的多样化,使得过去的单一型态的网络攻击行为开始转变成复合式的攻击行为或是全新的攻击方式。
而目前已有用来抵御DDoS攻击的手段主要是依靠经验法则并搭配CDN疏通流量,以缓解DDoS攻击所造成的危害,而CDN的主要设计用意在于借由增设设备来以更高流量的服务来提高服务质量与增加营收,但是以CDN来缓解DDoS攻击却会造成用户付出巨大的成本,并且需要耗费大量人力资源进行分析攻击态样、制订规则且须避免规则间的冲突,所以此方法抵御方法过于被动且防御范围相当局限。
另外,也有些从业者为了避免网络设备被骇,所以会以如TLS的通讯协议来进行身份认证以确认联机双方身份,但是黑客则会利用通讯协议运算耗时的特性,大量消耗通讯设备的运算资源,进而达到瘫痪通讯设备的目的。
又另外有以过滤恶意流量入侵的方法,其主要是将封包导入侦测过滤的设备,而该侦测过滤的设备需要将封包转换成流量图片,而后再利用已知恶意流量封包的模型图片与流量图片进行比对分析,判断流量图片是否符合模型图片,但此现有的方法除了需要先得知恶意流量封包的模型图片而造成过滤流程的增加外,其封包转换成流量图片的转换的过程中相对耗费其运作效率,且图片比对上也需要提高比对效率才能作精准的比对,相对也需要增设设备来提高运作效率,而其侦测过滤的设备也需要不断的依照恶意封包的变化来更改流量图片与恶意流量封包的模型图片,相对造成比对分析上的困扰。
所以,要如何解决上述现有技术的问题与缺失,即为本发明的发明人与从事此行业的相关厂商所急需研究改善的方向所在。
发明内容
本发明的主要目的在于提供一种利用人工智能模型快速辨识并过滤具攻击行为的网络封包,且可避免单独使用身份认证所造成的大量运算资源耗损的人工智能抵御网络攻击的系统及其方法。
本发明的另一目的,在于提供一种可大幅降低成本的人工智能抵御网络攻击的系统及其方法。
为实现上述目的,本发明的具体技术方案如下:
一种人工智能抵御网络攻击的系统,包括:
至少一使用者设备,该使用者设备具有一用户设备数据且产生有至少一网络封包;
及一网络设备,该网络设备连接所述用户设备,且该网络设备具有一封包过滤单元,该封包过滤单元具有至少一过滤用户数据库,且该封包过滤单元接收该网络封包并根据其过滤用户数据库将所述网络封包传递至一身份认证设备或过滤其网络封包,该身份认证设备接收所述网络封包,且对产生该网络封包之用户设备进行身份认证,并该身份认证设备依据身份认证结果将该网络封包传递至一伺服设备。
进一步,所述网络设备还包括有:
一封包撷取单元,而该封包撷取单元连接该封包过滤单元且撷取传递至身份认证设备的网络封包;
一封包储存单元,该封包储存单元连接该封包撷取单元且储存该网络封包;
一特征撷取单元,该特征撷取单元连接该封包储存单元且撷取该网络封包并利用至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息;
一特征储存单元,该特征储存单元连接特征特征撷取单元,并储存该行为特征信息及该封包信息;及
一处理单元,该处理单元连接该特征撷取单元并接收其行为特征信息,且该处理单元的一人工智能模型判断该网络封包的行为特征信息为正常或恶意并产生有一特征信息结果,并该处理单元将恶意网络封包的特征信息结果传递至封包过滤单元,该封包过滤单元另接收该特征储存单元的封包信息,且该封包过滤单元经由该特征信息结果及封包信息将产生恶意网络封包的用户设备数据储存至过滤用户数据库。
进一步,所述网络设备还包括有一自动特征标注单元及一特征自动标注储存单元,该自动特征标注单元连接该特征储存单元,且该自动特征标注单元撷取特征储存单元内的行为特征信息并进行标注,使该行为特征信息具有一特征自动分类标注,而该特征自动标注储存单元连接该自动特征标注单元并储存该行为特征信息及所属的特征自动分类标注,并该特征自动标注储存单元连接至一训练单元,该训练单元的一待训练模型撷取所述行为特征信息及所属的特征自动分类标注并产生一已训练模型。
进一步,所述网络设备还包括有一比对单元,该比对单元连接所述训练单元与一正确特征标注储存单元,该正确特征标注储存单元内储存有至少一训练特征信息及该训练特征信息的一特征正确分类标注,而该比对单元撷取该正确特征标注储存单元的训练特征信息及特征正确分类标注,另该训练单元将该已训练模型输出至该比对单元,而该已训练模型撷取所述训练特征信息并输出一训练信息结果,且该比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型或将该已训练模型输出至所述处理单元。
进一步,所述网络设备还包括有一优化单元,该优化单元连接所述比对单元,以当该比对单元决定优化该已训练模型时执行优化。
进一步,所述优化单元另连接所述自动特征标注单元,以当该比对单元决定优化该已训练模型时,该优化单元优化该自动特征标注单元,而该自动特征标注单元产生有另一组特征自动分类标注。
进一步,所述优化单元另连接至所述特征撷取单元,以当该比对单元决定优化该已训练模型时,该优化单元使该特征撷取单元使用另一特征模板,而该特征撷取单元依据另一特征模板产生另一行为特征信息。
一种人工智能抵御网络攻击方法,包括:
至少一用户设备产生有至少一网络封包至一网络设备;
该网络设备的一封包过滤单元接收该网络封包并根据一过滤用户数据库将所述网络封包传递至一身份认证设备或过滤其网络封包;
该身份认证设备接收所述网络封包,且对产生该网络封包的用户设备进行身份认证,并依据身份认证结果将该网络封包传递至一伺服设备。
进一步,所述该身份认证设备接收所述网络封包,且对产生该网络封包的用户设备进行身份认证,并依据身份认证结果将该网络封包传递至一伺服设备的步骤包括:
一封包撷取单元由该封包过滤单元撷取传递至身份认证设备之网络封包;
一封包储存单元储存该封包撷取单元所撷取的网络封包,且由一特征撷取单元撷取封包储存单元的网络封包并以至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息并储存于一特征储存单元;
该处理单元的一人工智能模型判断该网络封包的行为特征信息为正常或恶意并产生有一特征信息结果;
又该处理单元将恶意网络封包的特征信息结果传递至封包过滤单元,该封包过滤单元另接收该特征储存单元的封包信息,且该封包过滤单元经由该特征信息结果及封包信息将产生恶意网络封包的用户设备数据储存至过滤用户数据库。
进一步,所述由一特征撷取单元撷取封包储存单元的网络封包并以至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息的步骤包括:
由一特征储存单元储存该特征撷取单元的行为特征信息,再由一自动特征标注单元撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有一特征自动分类标注;
另由一特征自动标注储存单元储存该行为特征信息及所属的特征自动分类标注,另由一训练单元的一待训练模型撷取所述行为特征信息及所属的特征自动分类标注并产生一已训练模型;
该已训练模型输出至一比对单元,该比对单元另撷取正确特征标注储存单元的训练特征信息及一特征正确分类标注;
该已训练模型撷取所述训练特征信息并输出一训练信息结果;
比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型或将该已训练模型输出至所述处理单元。
进一步,所述比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型的步骤包括:
由一优化单元优化该自动特征标注单元,该自动特征标注单元再撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;
该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;
该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;
该另一已训练模型输出至该比对单元,该比对单元撷取训练特征信息及特征正确分类标注;
该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;
比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另已训练模型输出至所述处理单元。
进一步,所述比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型的步骤包括:
由一优化单元连接至所述特征撷取单元;
优化单元使该特征撷取单元使用另一特征模板,而该特征撷取单元依据另一特征模板产生另一行为特征信息;
该自动特征标注单元再撷取特征储存单元内的另一行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;
该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;
该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;
该另一已训练模型输出至该比对单元,该比对单元撷取训练特征信息及特征正确分类标注;
该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;
比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另一已训练模型输出至所述处理单元。
通过上述设计方案,本发明可以带来如下有益效果:
1、能够快速辨识并过滤具攻击行为的网络封包;
2、能够大幅降低成本。
附图说明
以下结合附图和具体实施方式对本发明作进一步的说明:
图1为本发明人工智能抵御网络攻击的系统的系统架构示意图。
图2为本发明人工智能抵御网络攻击的系统的系统架构实施示意图。
图3为本发明人工智能抵御网络攻击的系统的另一系统架构实施示意图。
图4为本发明行为特征信息的内容示意图。
图5为本发明人工智能抵御网络攻击的系统的另一系统架构优化方式实施示意图。
图6为本发明人工智能抵御网络攻击方法的流程图。
图7为本发明人工智能抵御网络攻击方法的进一步流程图。
图8为本发明人工智能抵御网络攻击方法进行比对的流程图。
图9为本发明人工智能抵御网络攻击方法进行优化的流程图。
图10为本发明人工智能抵御网络攻击方法进行另一优化的流程图。
图中标记说明:1-人工智能抵御网络攻击的系统;2-使用者设备;3-身份认证设备;4-伺服设备;5-网络设备;51-封包过滤单元;511-过滤用户数据库; 52-封包撷取单元;521-封包储存单元;53-特征撷取单元;531-特征模板;532- 特征储存单元;54-处理单元;541-人工智能模型;55-自动特征标注单元;551- 特征自动标注储存单元;56-训练单元;561-待训练模型;562-已训练模型;57-比对单元;58-正确特征标注储存单元;59-优化单元;P1-网络封包;I1-行为特征信息;I2-封包信息;R1-特征信息结果;C1-特征自动分类标注;I3-训练特征信息;C2-特征正确分类标注;S1~S7-步骤;S41~S45-步骤;S4511~S4516-步骤; S4521~S4528-步骤。
具体实施方式
请参考图1及图2所示,为本发明人工智能抵御网络攻击的系统的系统架构示意图及系统架构实施示意图,由图中可清楚看出,其中所述人工智能抵御网络攻击的系统1包括有至少一使用者设备2及一身份认证设备3及一伺服设备4及一网络设备5,其中所述身份认证设备3及伺服设备4及网络设备5可分别为独立的设备或统整于单一装置内的装置设备,而该网络设备5网络连接于所述用户设备2与身份认证设备3之间,该使用者设备2具有一用户设备数据且产生有至少一网络封包P1,而该身份认证设备3又连接所述伺服设备4,且该身份认证设备3可以是但不限定为路由器(router)、网关(gateway)、中继器 (repeater)或网桥(bridge)。
而该网络设备5具有一封包过滤单元51,而该封包过滤单元51内具有至少一过滤用户数据库511,该过滤用户数据库511内记录有至少一笔会传递恶意封包数据的用户设备数据,且该封包过滤单元51撷取从用户设备2流经身份认证设备3的网络封包P1,而该封包过滤单元51撷取所述网络封包P1后,会先根据其过滤用户数据库511内的用户设备2数据进行过滤,若传递网络封包P1的用户设备2记录为恶意封包数据的用户设备2数据,该封包过滤单元51则将其网络封包P1进行过滤,反之,若传递网络封包P1的用户设备2并非记录为恶意封包数据的用户设备2数据时,该封包过滤单元51则将撷取的网络封包P1 传递至所述身份认证设备3,该身份认证设备3接收所述网络封包P1,且对产生该网络封包P1的使用者设备2进行身份认证,并依据身份认证结果将该网络封包P1传递至一伺服设备4,而该身份认证设备3主要是以传输层安全性协议 (Transport Layer Security,TLS)或安全套接字层(Secure Sockets Layer, SSL)的安全性协议联机或其他身份认证方式进行认证,故其身份认证设备3对其传递网路封包P1的使用者设备2进行身分验证,若该身份认证设备3验证成功时,该身份认证设备3则将网络封包P1传递至伺服设备4,若该身份认证设备3验证失败,该网络封包P1则不会传递至所述伺服设备4。
借此,该人工智能抵御网络攻击的系统1达到可快速辨识并过滤具攻击行为的网络封包P1,如此便可不用增设设备及建置较复杂的设备,以减少设置成本外,亦可达到避免身份认证设备3被产生恶意网络封包P1的使用者设备2恶意攻击而消耗大量运算资源的问题发生,并利用身份认证设备3进行进一步的过滤,使到达伺服设备4的封包为正常封包,进而阻挡网络攻击。
再请参考图3所示,为本发明人工智能抵御网络攻击的系统的另一系统架构实施示意图,其中所述网络设备5还包括有依序连接的一封包撷取单元52及一封包储存单元521及一特征撷取单元53及一处理单元54,该处理单元54又连接至所述封包过滤单元51。
而该身份认证设备3将网络封包P1传递至伺服设备4的同时,该封包撷取单元52且撷取传递至身份认证设备3的网络封包P1,且该封包撷取单元52将撷取到的网络封包P1储存于所述封包储存单元521内,而该特征撷取单元53 则撷取该封包储存单元521内的网络封包P1,并该特征撷取单元53利用至少一特征模板531解析该网络封包P1并产生有该网络封包P1的一行为特征信息I1 及一封包信息I2,其中该特征模板531可以根据每一网络封包P1、一固定数量的网络封包P1或一固定时段中所获取的网络封包P1进行分析,以获取行为特征信息I1。而该特征模板531包括用户设备2或伺服设备4的网络封包P1的传输协议、撷取数量、标头信息、传输端口号(port)、传输时间、封包内容、传输速度、传输方向、TCP旗目标次数、接收端、封包数量、封包大小、到达间隔时间(inter arrival time)、数据流活动时间、数据流空闲时间等等,如图4 所示,又其中该特征撷取单元53通过特征模板531进而获取该网络封包P1的行为特征信息I1,另如图4所示,为行为特征信息I1及特征模板531的内容,所示行为特征信息I1为一组量化数据、矩阵或图像。特征模板531并不限定图 4实施例中的4组。
又其中该特征撷取单元53产生有所述行为特征信息I1及封包信息I2后,该特征撷取单元53将其行为特征信息I1传递至所述处理单元54,及将该其行为特征信息I1及封包信息I2传递至一特征储存单元532储存,而该封包信息 I2的内容为网络封包P1的网际协议位置(Internet Protocol Address,IP Address)及相对应的行为特征信息I1,该特征储存单元532另连接至所述封包过滤单元51,该处理单元54的一人工智能模型541判断该网络封包P1的行为特征信息I1为正常或恶意并产生有一特征信息结果R1,其中该人工智能模型 541由人工智能算法(Artificial Intelligence)所构成,人工智能算法可以是但不仅包括人工神经网络、判定树、感知器、支持向量机、整合学习、降维与度量学习、聚类、贝氏分类器或前馈神经网络模型(Feed Forward Neural Network)等,而其处理单元54将恶意网络封包P1的特征信息结果R1传递至封包过滤单元51,该封包过滤单元51接收所述特征信息结果R1,且该封包过滤单元51另接收该特征储存单元532的封包信息I2,且该封包过滤单元51经由所述特征信息结果R1及封包信息I2得知产生恶意网络封包的用户设备数据,且该封包过滤单元51将恶意网络封包的用户设备数据储存至过滤用户数据库 511,以使该产生恶意网络封包P1的使用者设备2于再次传递网络封包P1至所述伺服设备4时,该封包过滤单元51撷取所述网络封包P1,并会先根据其过滤用户数据库511内的用户设备2数据进行过滤,反之,若该处理单元54的人工智能模型541判断该网络封包P1的行为特征信息I1为正常并产生所述特征信息结果R1,该封包过滤单元51将产生正常网络封包P1的使用者设备2所产生的网络封包P1传递至所述身份认证设备3,若该身份认证设备3验证成功时,该身份认证设备3则将网络封包P1传递至伺服设备4,举例来说:人工智能模型541判断行为特征信息I1为攻击特征或正常特征,而后将特征信息结果R1 (该特征信息I1是攻击或正常)传送给封包过滤单元51,封包过滤单元51依据特征信息结果R1与封包信息I2取得该封包的网际协议位置(Internet Protocol Address,IP Address)及是否为攻击特征,若该特征信息结果R1 为攻击,即将该封包的网际协议位置(Internet Protocol Address,IP Address) 即恶意网络封包的用户设备数据储存至过滤用户数据库511列为黑名单,未来同一网际协议位置(Internet Protocol Address,IP Address)的封包将会被封包过滤单元51过滤,借此,该人工智能抵御网络攻击的系统1达到可利用人工智能模型541快速辨识并过滤具攻击行为的网络封包P1,如此便可不用增设设备及建置较复杂的设备,以减少设置成本外,且该身份认证设备3在身份认证阶段前,也可通过所述人工智能模型541由特征模板531解析的行为特征信息I1来判断为正常网络封包P1或恶意网络封包P1,并进一步达到避免被产生恶意网络封包P1的使用者设备2恶意攻击而消耗大量运算资源的问题发生。
另外,其中所述网络设备5还包括有一自动特征标注单元55、一特征自动标注储存单元551、一训练单元56、一比对单元57、一正确特征标注储存单元 58及一优化单元59。
该自动特征标注单元55连接该特征储存单元532,且该自动特征标注单元 55撷取特征储存单元532内的行为特征信息I1,并该自动特征标注单元55对其行为特征信息I1进行标注,而使该行为特征信息I1具有一特征自动分类标注C1,进一步来说,即通过自动特征标注单元55将行为特征信息I1分类为正常特征或恶意特征,,其中自动特征标注单元55可为具有分类算法的分类器,分类算法可以是但不仅包括逻辑回归、判定树、支持向量机(SVM)、朴素贝叶斯、近邻算法(KNN)等,且该自动特征标注单元55将所述行为特征信息I1及所属的特征自动分类标注C1传递至所述自动标注储存单元,该自动标注储存单元内则储存有所述行为特征信息I1及所属的特征自动分类标注C1,而该训练单元56连接所述特征自动标注储存单元,且该训练单元56撷取所述自动标注储存单元内的行为特征信息I1及所属的特征自动分类标注C1,又该训练单元56 具有一待训练模型561,其中该待训练模型561由人工智能算法(Artificial Intelligence)所构成,并该训练单元56由所述待训练模型561撷取所述行为特征信息I1及所属的特征自动分类标注C1,而该待训练模型561则通过所述行为特征信息I1及所属的特征自动分类标注C1产生一已训练模型562。
该比对单元57则连接所述训练单元56及正确特征标注储存单元58及所述优化单元59,该正确特征标注储存单元58内储存有至少一训练特征信息I3及该训练特征信息I3的一特征正确分类标注C2,此处的训练特征信息I3及特征正确分类标注C2皆为系统外产生,并预先储存于正确特征标注储存单元58的数据,其中,该训练特征信息I2相当于行为特征信息,而该特征正确分类标注C2则表示该训练特征信息I2为正常特征或攻击特征,训练特征信息I3及特征正确分类标注C2可为人工或装置产生及标注,进一步来说,此处特征正确分类标注C2的分类是正确的,为标准答案,而该训练单元56的已训练模型562则输出至所述比对单元57,该比对单元57另撷取该正确特征标注储存单元58的训练特征信息I3及特征正确分类标注C2,而该已训练模型562于比对单元57 中撷取所述训练特征信息I3并输出一训练信息结果,该比对单元57比对该些训练信息结果与训练特征信息I3及特征正确分类标注C2,若该比对单元57比对出该训练信息结果R2与训练特征信息I3及特征正确分类标注C2间的分类标注是否相符,若该训练信息结果R2与训练特征信息I3及特征正确分类标注C2 的相符率高于设定值时,该比对单元57将该已训练模型562输出至所述处理单元54,而由该已训练模型562更新所述人工智能模型541,反之若该训练信息结果R2与训练特征信息I3及特征正确分类标注C2的相符率低于设定值时,该比对单元决定优化该已训练模型C1,举例来说,默认两个训练特征信息(A)及 (B),(A)对应的特征正确分类标注为正常(○),(B)对应的特征正确分类标注为攻击(X),当(A)、(B)输入至已训练模型562后,已训练模型562输出训练特征信息(A)的训练信息结果为正常(○),训练特征信息(B)的训练信息结果为正常(○),此时,比对单元57比对训练信息结果及特征正确分类标注,本例中(A)的训练信息结果为正常(○)且特征正确分类标注为正常(○),符合预设,(B)的训练信息结果为正常(○)但特征正确分类标注为攻击(X),不符合默认,其已训练模型562判断的正确率为50%,若,设定值为需大于90%时,则,比对单元决定调整该自动特征标注单元55,设定值不限定于大于90%,,可依实际状况调整。该优化单元59优化该自动特征标注单元55,而该优化单元 59则是利用分类算法执行优化,使该自动特征标注单元55由另一算法或替换标注参数来对所述行为特征信息I1产生另一组特征自动分类标注C1,而该特征自动标注储存单元551储存该行为特征信息I1及所属的另一组特征自动分类标注 C1,另该训练单元56的待训练模型561撷取所述行为特征信息I1及所属的特征自动分类标注C1并输出另一已训练模型562至所述比对单元57。
该比对单元57另撷取该正确特征标注储存单元58的训练特征信息I3及特征正确分类标注C2,而该已训练模型562于比对单元57中撷取所述训练特征信息I3并输出另一训练信息结果,且该比对单元57比对该些另一训练信息结果与训练特征信息I3及特征正确分类标注C2,若该比对单元57比对出该另一训练信息结果与训练特征信息I3及特征正确分类标注C2间的分类标注是否相符,若该训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值时,该比对单元57将该另一已训练模型562输出至所述处理单元54,而由该已训练模型562更新所述人工智能模型541,反之,若该另一训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率低于设定值时,该比对单元再次调整该特征自动分类标注C1,直至训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值。
又请另外参考图5所示,为本发明人工智能抵御网络攻击的系统的另一系统架构优化方式实施示意图,其中所述优化单元59有另一优化方式,其中所述优化单元59连接至所述特征撷取单元53,以当该比对单元57决定优化该已训练模型C1时,该优化单元59使该特征撷取单元53使用另一特征模板531,而该特征撷取单元53依据另一特征模板531产生另一行为特征信息I1为该优化单元59改变该特征模板531的数量或项目,使该特征撷取单元53通过特征模板531进而获取该网络封包P1的另一行为特征信息I1,使该自动特征标注单元 55由另一行为特征信息I1产生另一组特征自动分类标注C1。
为清楚说明此实施例的运作过程,还请参考图6为本发明人工智能抵御网络攻击方法的流程图。人工智能抵御网络攻击方法包括以下步骤:
步骤S1:用户设备产生有网络封包至网络设备;
步骤S2:该网络设备的封包过滤单元接收该网络封包并根据过滤用户数据库将所述网络封包传递至身份认证设备或过滤其网络封包;该封包过滤单元51 内具有所述过滤用户数据库511,该过滤用户数据库511内记录有至少一笔会传递恶意封包数据的用户设备2数据,且该封包过滤单元51撷取从用户设备2流经身份认证设备3的网络封包P1,而该封包过滤单元51撷取所述网络封包P1 后,会先根据其过滤用户数据库511内的用户设备2数据进行过滤,若传递网络封包P1的用户设备2并非记录为恶意封包数据的用户设备2数据时,该封包过滤单元51则将撷取的网络封包P1传递至所述身份认证设备3,反之,则进入到步骤S21:封包过滤单元将网络封包进行过滤且终止联机;若传递网络封包 P1的用户设备2记录为恶意封包数据的用户设备2数据,该封包过滤单元51则将其网络封包P1进行过滤并终止该使用者设备2的联机。
步骤S3:该身份认证设备接收所述网络封包,且对产生该网络封包的用户设备进行身份认证,并依据身份认证结果将该网络封包传递至伺服设备;其中该身份认证设备3可对其传递网络封包P1的使用者设备2进行验证,若该身份认证设备3验证成功时,该身份认证设备3则将网络封包P1传递至伺服设备4,反之,则进入到步骤S31:身份认证设备停止传输网络封包且终止联机,若该身份认证设备3验证失败,该网络封包P1则不会传递至所述伺服设备4。
借此,该人工智能抵御网络攻击的系统1达到可快速辨识并过滤具攻击行为的网络封包P1,如此便可不用增设设备及建置较复杂的设备,以减少设置成本外,并另外利用身份认证设备3进行进一步的身份认证,达到避免被产生恶意网络封包P1的使用者设备2恶意攻击而消耗大量运算资源的问题发生。
还请参考图7为本发明人工智能抵御网络攻击方法的进一步流程图。其中所述步骤S3后包括以下步骤:
步骤S4:封包撷取单元由该封包过滤单元撷取传递至身份认证设备的网络封包;该身份认证设备3则将网络封包P1传递至伺服设备4的同时,该封包撷取单元52且撷取传递至身份认证设备3的网络封包P1。
步骤S5:封包储存单元储存该封包撷取单元所撷取的网络封包,且由特征撷取单元撷取封包储存单元的网络封包并以特征模板解析该网络封包,以产生有该网络封包的行为特征信息及封包信息并储存于特征储存单元;该封包撷取单元52将撷取到的网络封包P1储存于所述封包储存单元521内,而该特征撷取单元53则撷取该封包储存单元521内的网络封包P1,并该特征撷取单元53 利用特征模板531解析该网络封包P1并产生有该网络封包P1的行为特征信息 I1及封包信息I2,且该特征撷取单元53产生的行为特征信息I1及封包信息I2 系储存于特征储存单元532。
步骤S6:该处理单元的人工智能模型判断该网络封包的行为特征信息为正常或恶意并产生有特征信息结果;其中该特征撷取单元53产生有所述行为特征信息I1后,该特征撷取单元53将其行为特征信息I1传递至所述处理单元54,该处理单元54的人工智能模型541判断该网络封包P1的行为特征信息I1为正常网络封包P1或恶意网络封包P1并产生有特征信息结果R1。
步骤S7:又该处理单元将恶意网络封包的特征信息结果传递至封包过滤单元,该封包过滤单元另接收所述封包信息,且该封包过滤单元经由该特征信息结果及该封包信息将产生恶意网络封包的用户设备数据并储存至过滤用户数据库;该封包过滤单元51接收所述特征信息结果R1,且封包过滤单元51另接收该特征储存单元的封包信息I2,且该封包过滤单元51经由所述特征信息结果 R1(该特征信息I1是攻击或正常)及封包信息I2(该特征信息I1及该特征信息I1对应的网际协议位置,IP)产生恶意网络封包的用户设备数据(即特征信息I1对应的网际协议位置,IP),且该封包过滤单元51将产恶意网络封包P1 的使用者设备2的封包信息数据储存至过滤用户数据库511,以使该产生恶意网络封包P1的使用者设备2于再次传递网络封包P1至所述伺服设备4时,该封包过滤单元51撷取所述网络封包P1,并会先根据其过滤用户数据库511内的用户设备数据进行过滤,反之,若该处理单元54的人工智能模型541判断该网络封包P1的行为特征信息I1为正常并产生所述特征信息结果R1,该封包过滤单元51将产生正常网络封包P1的使用者设备2所产生的网络封包P1传递至所述身份认证设备3。
借此,该人工智能抵御网络攻击的系统1达到可利用人工智能模型541快速辨识并过滤具攻击行为的网络封包P1,如此便可不用增设设备及建置较复杂的设备,以减少设置成本外,该身份认证设备3在身份认证阶段,也可通过所述人工智能模型541由特征模板531解析的行为特征信息I1来判断为正常网络封包P1或恶意网络封包P1,并进一步由该特征信息结果R1将产生恶意网络封包P1的使用者设备2储存至过滤用户数据库511,而达到避免被产生恶意网络封包P1的使用者设备2恶意攻击而消耗大量运算资源的问题发生。
还请参考图8为本发明人工智能抵御网络攻击方法进行比对的流程图。其中所述由特征撷取单元53撷取封包储存单元521的网络封包P1并以特征模板531解析该网络封包P1,以产生有该网络封包P1的行为特征信息I1及封包信息I2的步骤包括以下步骤:
步骤S41:由特征储存单元储存该特征撷取单元的行为特征信息,再由自动特征标注单元撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有特征自动分类标注;该特征储存单元532储存所述特征撷取单元53所产生的行为特征信息I1,且该自动特征标注单元55撷取特征储存单元532内的行为特征信息I1,并该自动特征标注单元55对其行为特征信息I1进行标注,而使该行为特征信息I1具有特征自动分类标注C1。
步骤S42:另由特征自动标注储存单元储存该行为特征信息及所属的特征自动分类标注,另由训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并产生已训练模型;该自动特征标注单元55将所述行为特征信息 I1及所属的特征自动分类标注C1传递至所述自动标注储存单元,该自动标注储存单元内则储存有所述行为特征信息I1及所属的特征自动分类标注C1,而该训练单元56撷取所述自动标注储存单元内的行为特征信息I1及所属的特征自动分类标注C1,并该训练单元56由所述待训练模型561撷取所述行为特征信息 I1及所属的特征自动分类标注C1,而该待训练模型561则通过所述行为特征信息I1及所属的特征自动分类标注C1产生已训练模型562。
步骤S43:该已训练模型输出至比对单元,该比对单元另撷取该正确特征标注储存单元的训练特征信息及特征正确分类标注;其中该已训练模型561输出至所述比对单元57,该比对单元57另撷取该正确特征标注储存单元58的训练特征信息I2及特征正确分类标注C2。
步骤S44:该已训练模型撷取所述训练特征信息并输出训练信息结果;该已训练模型562于比对单元57中撷取所述训练特征信息I3并输出训练信息结果。
步骤S45:比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型或将该已训练模型输出至所述处理单元;且该比对单元57比对该些训练信息结果与训练特征信息I3及特征正确分类标注C2,若该比对单元57比对出该训练信息结果与训练特征信息I3及特征正确分类标注 C2间的分类标注是否相符,若该训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值时,该比对单元57将该已训练模型562输出至所述处理单元54。
还请参考图9所示,为本发明人工智能抵御网络攻击方法进行优化的流程图。其中所述比对单元57比对该些训练信息结果R2与训练特征信息I2及特征正确分类标注C2决定优化该已训练模型C1的步骤包括以下步骤:
步骤S4511:由优化单元优化该自动特征标注单元,该自动特征标注单元再撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;若该训练信息结果与训练特征信息I3及特征正确分类标注 C2的相符率低于设定值时,该比对单元57决定优化该已训练模型C1,该优化单元59优化该自动特征标注单元55,而该优化单元59则是利用分类算法执行优化,使该自动特征标注单元55由另一算法或替换标注参数来对所述行为特征信息I1产生另一组特征自动分类标注C1。
步骤S4512:该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;而该特征自动标注储存单元551储存该行为特征信息I1及所属的另一组特征自动分类标注C1。
步骤S4513:该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;该训练单元56的待训练模型561撷取所述行为特征信息I1及所属的特征自动分类标注C1并输出另一已训练模型562。
步骤S4514:该另一已训练模型输出至比对单元,该比对单元另撷取正确特征标注储存单元的训练特征信息及特征正确分类标注;该训练单元56的另一已训练模型562则输出至所述比对单元57,该比对单元57另撷取该正确特征标注储存单元58的训练特征信息I3及特征正确分类标注C2。
步骤S4515:该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;而该另一已训练模型562于比对单元57中撷取所述训练特征信息I3并输出另一训练信息结果,。
步骤S4516:比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另已训练模型输出至所述处理单元;该比对单元57比对该些另一训练信息结果与训练特征信息I3及特征正确分类标注C2,若该比对单元57比对出该另一训练信息结果与训练特征信息I3及特征正确分类标注C2间的分类标注是否相符,若该训练信息结果与训练特征信息I3及特征正确分类标注 C2的相符率高于设定值时,该比对单元57将该另一已训练模型562输出至所述处理单元54,而由该已训练模型562更新所述人工智能模型541,反之,若该另一训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率低于设定值时,该比对单元57再次调整该特征自动分类标注C1,直至训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值。
还请参考图10所示,为本发明人工智能抵御网络攻击方法进行另一优化的流程图。其中所述比对单元57比对该些训练信息结果R2与训练特征信息I2及特征正确分类标注C2决定优化该已训练模型C1的步骤包括以下步骤:
步骤S4521:优化单元连接至所述特征撷取单元;其中所述优化单元59连接至所述特征撷取单元53。
步骤S4522:优化单元使该特征撷取单元使用另一特征模板,而该特征撷取单元依据另一特征模板产生另一行为特征信息;以当该比对单元57决定优化该已训练模型C1时,该优化单元59使该特征撷取单元53使用另一特征模板531,而该特征撷取单元53依据另一特征模板531产生另一行为特征信息I1为该优化单元59改变该特征模板531的数量或项目,使该特征撷取单元53通过特征模板531进而获取该网络封包P1的另一行为特征信息I1。
步骤S4523:该自动特征标注单元再撷取特征储存单元内的另一行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;使该自动特征标注单元55由另一行为特征信息I1产生另一组特征自动分类标注C1。
步骤S4524:该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;该特征自动标注储存单元551储存该行为特征信息I1及所属的另一组特征自动分类标注C1。
步骤S4525:该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;该训练单元56的待训练模型561撷取所述行为特征信息I1及所属的特征自动分类标注C1并输出另一已训练模型562。
步骤S4526:该另一已训练模型输出至该比对单元,该比对单元撷取训练特征信息及特征正确分类标注;该训练单元56的另一已训练模型562则输出至所述比对单元57,该比对单元57另撷取该正确特征标注储存单元58的训练特征信息I3及特征正确分类标注C2。
步骤S4527:该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;而该另一已训练模型562于比对单元57中撷取所述训练特征信息I3并输出另一训练信息结果。
步骤S4528:比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另一已训练模型输出至所述处理单元;该比对单元57比对该些另一训练信息结果与训练特征信息I3及特征正确分类标注C2,若该比对单元57比对出该另一训练信息结果与训练特征信息I3及特征正确分类标注C2间的分类标注是否相符,若该训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值时,该比对单元57将该另一已训练模型562输出至所述处理单元54,而由该已训练模型562更新所述人工智能模型541,反之,若该另一训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率低于设定值时,该比对单元57再次调整该特征自动分类标注C1,直至训练信息结果与训练特征信息I3及特征正确分类标注C2的相符率高于设定值。
借此,该人工智能抵御网络攻击的系统1达到可利用人工智能模型541快速辨识并过滤具攻击行为的网络封包P1,如此便可不用增设设备及建置较复杂的设备,以减少设置成本外,该身份认证设备3在身份认证阶段,也可通过所述人工智能模型541由特征模板531解析的行为特征信息I1来判断为正常网络封包P1或恶意网络封包P1,并进一步由该特征信息结果R1将产生恶意网络封包P1的使用者设备2储存至过滤用户数据库511,而达到避免被产生恶意网络封包P1的使用者设备2恶意攻击而消耗大量运算资源的问题发生。

Claims (12)

1.一种人工智能抵御网络攻击的系统,其特征在于:包括至少一使用者设备,该使用者设备具有一用户设备数据且产生有至少一网络封包;
及一网络设备,该网络设备连接所述用户设备,且该网络设备具有一封包过滤单元,该封包过滤单元具有至少一过滤用户数据库,且该封包过滤单元接收该网络封包并根据其过滤用户数据库将所述网络封包传递至一身份认证设备或过滤其网络封包,该身份认证设备接收所述网络封包,且对产生该网络封包之用户设备进行身份认证,并该身份认证设备依据身份认证结果将该网络封包传递至一伺服设备。
2.根据权利要求1所述的人工智能抵御网络攻击的系统,其特征在于所述网络设备还包括有:
一封包撷取单元,而该封包撷取单元连接该封包过滤单元且撷取传递至身份认证设备的网络封包;
一封包储存单元,该封包储存单元连接该封包撷取单元且储存该网络封包;
一特征撷取单元,该特征撷取单元连接该封包储存单元且撷取该网络封包并利用至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息;
一特征储存单元,该特征储存单元连接特征特征撷取单元,并储存该行为特征信息及该封包信息;及
一处理单元,该处理单元连接该特征撷取单元并接收其行为特征信息,且该处理单元的一人工智能模型判断该网络封包的行为特征信息为正常或恶意并产生有一特征信息结果,并该处理单元将恶意网络封包的特征信息结果传递至封包过滤单元,该封包过滤单元另接收该特征储存单元的封包信息,且该封包过滤单元经由该特征信息结果及封包信息将产生恶意网络封包的用户设备数据储存至过滤用户数据库。
3.根据权利要求2所述的人工智能抵御网络攻击的系统,其特征在于:所述网络设备还包括有一自动特征标注单元及一特征自动标注储存单元,该自动特征标注单元连接该特征储存单元,且该自动特征标注单元撷取特征储存单元内的行为特征信息并进行标注,使该行为特征信息具有一特征自动分类标注,而该特征自动标注储存单元连接该自动特征标注单元并储存该行为特征信息及所属的特征自动分类标注,并该特征自动标注储存单元连接至一训练单元,该训练单元的一待训练模型撷取所述行为特征信息及所属的特征自动分类标注并产生一已训练模型。
4.根据权利要求3所述的人工智能抵御网络攻击的系统,其特征在于:所述网络设备还包括有一比对单元,该比对单元连接所述训练单元与一正确特征标注储存单元,该正确特征标注储存单元内储存有至少一训练特征信息及该训练特征信息的一特征正确分类标注,而该比对单元撷取该正确特征标注储存单元的训练特征信息及特征正确分类标注,另该训练单元将该已训练模型输出至该比对单元,而该已训练模型撷取所述训练特征信息并输出一训练信息结果,且该比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型或将该已训练模型输出至所述处理单元。
5.根据权利要求4所述的人工智能抵御网络攻击的系统,其特征在于:所述网络设备还包括有一优化单元,该优化单元连接所述比对单元,以当该比对单元决定优化该已训练模型时执行优化。
6.根据权利要求5所述的人工智能抵御网络攻击的系统,其特征在于:所述优化单元另连接所述自动特征标注单元,以当该比对单元决定优化该已训练模型时,该优化单元优化该自动特征标注单元,而该自动特征标注单元产生有另一组特征自动分类标注。
7.根据权利要求5所述的人工智能抵御网络攻击的系统,其特征在于:所述优化单元另连接至所述特征撷取单元,以当该比对单元决定优化该已训练模型时,该优化单元使该特征撷取单元使用另一特征模板,而该特征撷取单元依据另一特征模板产生另一行为特征信息。
8.一种人工智能抵御网络攻击方法,其特征在于:包括至少一用户设备产生有至少一网络封包至一网络设备;
该网络设备的一封包过滤单元接收该网络封包并根据一过滤用户数据库将所述网络封包传递至一身份认证设备或过滤其网络封包;
该身份认证设备接收所述网络封包,且对产生该网络封包的用户设备进行身份认证,并依据身份认证结果将该网络封包传递至一伺服设备。
9.根据权利要求8所述的人工智能抵御网络攻击方法,其特征在于:所述该身份认证设备接收所述网络封包,且对产生该网络封包的用户设备进行身份认证,并依据身份认证结果将该网络封包传递至一伺服设备的步骤包括:
一封包撷取单元由该封包过滤单元撷取传递至身份认证设备之网络封包;
一封包储存单元储存该封包撷取单元所撷取的网络封包,且由一特征撷取单元撷取封包储存单元的网络封包并以至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息并储存于一特征储存单元;
该处理单元的一人工智能模型判断该网络封包的行为特征信息为正常或恶意并产生有一特征信息结果;
又该处理单元将恶意网络封包的特征信息结果传递至封包过滤单元,该封包过滤单元另接收该特征储存单元的封包信息,且该封包过滤单元经由该特征信息结果及封包信息将产生恶意网络封包的用户设备数据储存至过滤用户数据库。
10.根据权利要求8所述的人工智能抵御网络攻击方法,其特征在于:所述由一特征撷取单元撷取封包储存单元的网络封包并以至少一特征模板解析该网络封包,以产生有该网络封包的一行为特征信息及一封包信息的步骤包括:
由一特征储存单元储存该特征撷取单元的行为特征信息,再由一自动特征标注单元撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有一特征自动分类标注;
另由一特征自动标注储存单元储存该行为特征信息及所属的特征自动分类标注,另由一训练单元的一待训练模型撷取所述行为特征信息及所属的特征自动分类标注并产生一已训练模型;
该已训练模型输出至一比对单元,该比对单元另撷取正确特征标注储存单元的训练特征信息及一特征正确分类标注;
该已训练模型撷取所述训练特征信息并输出一训练信息结果;
比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型或将该已训练模型输出至所述处理单元。
11.根据权利要求10所述的人工智能抵御网络攻击方法,其特征在于:所述比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型的步骤包括:
由一优化单元优化该自动特征标注单元,该自动特征标注单元再撷取特征储存单元内的行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;
该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;
该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;
该另一已训练模型输出至该比对单元,该比对单元撷取训练特征信息及特征正确分类标注;
该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;
比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另已训练模型输出至所述处理单元。
12.根据权利要求10所述的人工智能抵御网络攻击方法,其特征在于:所述比对单元比对该些训练信息结果与训练特征信息及特征正确分类标注决定优化该已训练模型的步骤包括:
由一优化单元连接至所述特征撷取单元;
优化单元使该特征撷取单元使用另一特征模板,而该特征撷取单元依据另一特征模板产生另一行为特征信息;
该自动特征标注单元再撷取特征储存单元内的另一行为特征信息并进行标注使该行为特征信息具有另一组特征自动分类标注;
该特征自动标注储存单元储存该行为特征信息及所属的另一组特征自动分类标注;
该训练单元的待训练模型撷取所述行为特征信息及所属的特征自动分类标注并输出另一已训练模型;
该另一已训练模型输出至该比对单元,该比对单元撷取训练特征信息及特征正确分类标注;
该另一已训练模型撷取所述训练特征信息并输出另一训练信息结果;
比对单元比对该些另一训练信息结果与训练特征信息及特征正确分类标注,并将该另一已训练模型输出至所述处理单元。
CN202210322318.6A 2021-12-28 2022-03-30 人工智能抵御网络攻击的系统及其方法 Pending CN114884691A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW110149076A TWI805156B (zh) 2021-12-28 2021-12-28 學習網路行為特徵的網路設備、處理系統與方法
TW110149076 2021-12-28

Publications (1)

Publication Number Publication Date
CN114884691A true CN114884691A (zh) 2022-08-09

Family

ID=80999107

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210322318.6A Pending CN114884691A (zh) 2021-12-28 2022-03-30 人工智能抵御网络攻击的系统及其方法

Country Status (3)

Country Link
EP (1) EP4207681A1 (zh)
CN (1) CN114884691A (zh)
TW (1) TWI805156B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163242A1 (en) * 2013-12-06 2015-06-11 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20170214718A1 (en) * 2016-01-25 2017-07-27 International Business Machines Corporation Intelligent security context aware elastic storage
CN109086603A (zh) * 2018-07-10 2018-12-25 阜阳职业技术学院 一种基于机器学习的入侵检测系统及方法
CN109347830A (zh) * 2018-10-23 2019-02-15 中国人民解放军战略支援部队信息工程大学 一种网络动态防御系统及方法
CN110177114A (zh) * 2019-06-06 2019-08-27 腾讯科技(深圳)有限公司 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN110995721A (zh) * 2019-12-10 2020-04-10 深圳供电局有限公司 基于自动标注与学习的恶意节点物理层检测方法及系统
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
CN112134898A (zh) * 2020-09-28 2020-12-25 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统
US20210273960A1 (en) * 2020-02-28 2021-09-02 Darktrace Limited Cyber threat defense system and method

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10372910B2 (en) * 2016-06-20 2019-08-06 Jask Labs Inc. Method for predicting and characterizing cyber attacks
US10887341B2 (en) * 2017-03-06 2021-01-05 Radware, Ltd. Detection and mitigation of slow application layer DDoS attacks
TWI674777B (zh) * 2018-11-09 2019-10-11 財團法人資訊工業策進會 異常流量偵測裝置及其異常流量偵測方法
TWI715457B (zh) * 2020-03-04 2021-01-01 國立中正大學 非監督式惡意流量偵測系統及方法
CN112235314A (zh) * 2020-10-29 2021-01-15 东巽科技(北京)有限公司 网络流量检测方法和装置及设备

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150163242A1 (en) * 2013-12-06 2015-06-11 Cyberlytic Limited Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment
US20170214718A1 (en) * 2016-01-25 2017-07-27 International Business Machines Corporation Intelligent security context aware elastic storage
US10764313B1 (en) * 2017-01-24 2020-09-01 SlashNext, Inc. Method and system for protection against network-based cyber threats
CN109086603A (zh) * 2018-07-10 2018-12-25 阜阳职业技术学院 一种基于机器学习的入侵检测系统及方法
CN109347830A (zh) * 2018-10-23 2019-02-15 中国人民解放军战略支援部队信息工程大学 一种网络动态防御系统及方法
CN110177114A (zh) * 2019-06-06 2019-08-27 腾讯科技(深圳)有限公司 网络安全威胁指标识别方法、设备、装置以及计算机可读存储介质
CN110995721A (zh) * 2019-12-10 2020-04-10 深圳供电局有限公司 基于自动标注与学习的恶意节点物理层检测方法及系统
US20210273960A1 (en) * 2020-02-28 2021-09-02 Darktrace Limited Cyber threat defense system and method
CN112134898A (zh) * 2020-09-28 2020-12-25 北京嘀嘀无限科技发展有限公司 一种网络流量判定方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
X. HUANG等: ""Study on Intelligent Firewall System Combining Intrusion Detection and Egress Access Control"", 《2010 INTERNATIONAL CONFERENCE ON INTELLIGENT SYSTEM DESIGN AND ENGINEERING APPLICATION》, 11 April 2011 (2011-04-11), pages 16 - 22 *

Also Published As

Publication number Publication date
TWI805156B (zh) 2023-06-11
TW202326481A (zh) 2023-07-01
EP4207681A1 (en) 2023-07-05

Similar Documents

Publication Publication Date Title
US11303652B2 (en) System and method for generating data sets for learning to identify user actions
CN111181901B (zh) 异常流量检测装置及其异常流量检测方法
CN105871832A (zh) 一种基于协议属性的网络应用加密流量识别方法及其装置
CN111865815A (zh) 一种基于联邦学习的流量分类方法及系统
CN111464485A (zh) 一种加密代理流量检测方法和装置
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN107360145A (zh) 一种多节点蜜罐系统及其数据分析方法
CN111147394A (zh) 一种远程桌面协议流量行为的多级分类检测方法
CN112769623A (zh) 边缘环境下的物联网设备识别方法
CN114866485B (zh) 一种基于聚合熵的网络流量分类方法及分类系统
CN112491917A (zh) 一种物联网设备未知漏洞识别方法及装置
CN116346418A (zh) 基于联邦学习的DDoS检测方法及装置
CN113408707A (zh) 一种基于深度学习的网络加密流量识别方法
CN118233199A (zh) 一种数据包识别方法、装置、设备及存储介质
Han et al. An effective encrypted traffic classification method based on pruning convolutional neural networks for cloud platform
CN114884691A (zh) 人工智能抵御网络攻击的系统及其方法
TWI813233B (zh) 人工智慧抵禦網路攻擊的系統及其方法
CN113949653B (zh) 一种基于深度学习的加密协议识别方法及系统
JP7494240B2 (ja) Aiによるネットワーク攻撃防御システムおよびその方法
US20230319101A1 (en) Artificial intelligence system and method thereof for defending against cyber attacks
Sija et al. Automatic payload signature generation for accurate identification of internet applications and application services
Mazel et al. ML-based tunnel detection and tunneled application classification
Zhang et al. IoTminer: Semantic Information Extraction in the Packet Payloads
CN115442309B (zh) 一种基于图神经网络的包粒度网络流量分类方法
CN117527446B (zh) 一种网络异常流量精细化检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination