CN115102773A - 一种走私攻击检测方法、系统、设备及可读存储介质 - Google Patents
一种走私攻击检测方法、系统、设备及可读存储介质 Download PDFInfo
- Publication number
- CN115102773A CN115102773A CN202210747688.4A CN202210747688A CN115102773A CN 115102773 A CN115102773 A CN 115102773A CN 202210747688 A CN202210747688 A CN 202210747688A CN 115102773 A CN115102773 A CN 115102773A
- Authority
- CN
- China
- Prior art keywords
- network data
- smuggling
- attack
- target port
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 36
- 238000003062 neural network model Methods 0.000 claims abstract description 77
- 238000012549 training Methods 0.000 claims abstract description 37
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims description 49
- 238000012423 maintenance Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 13
- 238000002372 labelling Methods 0.000 claims description 11
- 230000003094 perturbing effect Effects 0.000 claims description 10
- 238000004140 cleaning Methods 0.000 claims description 6
- 238000012937 correction Methods 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 7
- 238000013528 artificial neural network Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 230000000306 recurrent effect Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种走私攻击检测方法,包括:收集网络数据,并通过网络数据训练神经网络网络模型;通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。通过本发明提出的一种走私攻击检测方法,根据目标端口的网络数据按照预订方式生成对应的神经网络模型,基于神经网络模型对目标端口的网络数据进行分类检测,可快速查出是否存在走私攻击的漏洞。准确可靠的解决走私攻击的检测问题。
Description
技术领域
本发明属于计算机领域,具体涉及一种走私攻击检测方法、系统、设备及可读存储介质。
背景技术
没有网络安全就没有国家安全,没有信息化就没有现代化,整个社会都已身处互联网的变革之中,网络和互联网等信息技术的日益广泛应用使得每个人都在使用各种网站提供的互联网服务,现有的网站为了降低数据服务器后端压力,广泛采用内容分发网络CDN(Content Delivery Network)来提供数据的就近访问体验。为了使CDN与后端服务器同步接收数据,需要对客户端传入的数据进行请求结束定位,而HTTP规范提供了两种不同的方法来指定请求的结束位置:Content-Length标头和Transfer-Encoding标头。同时,HTTP协议RFC2616中规定,如果接收的消息同时包含传输编码头字段(Transfer-Encoding)和内容长度头(Content-Length)字段,则必须忽略后者。所以HTTP请求中同时包含这两个请求头,不会被识别为违反规范,不需要返回错误。由于内容分发网络服务器与后端数据服务器配置不同,对于指定请求结束位置的识别存在差异,导致HTTP走私攻击。
目前HTTP走私攻击检测主要有两种方式,一是人工手动检测,该方式速度慢、效率低,另一种是自动化检测,已公开的自动化检测工具依赖于发送固定格式的请求包并根据响应判断是否存在HTTP走私攻击,漏报率、误报率较高。
因此,亟需一种快速、智能、高效的走私攻击检测方法。
发明内容
为解决以上问题,本发明提出一种走私攻击检测方法,包括:
收集网络数据,并通过网络数据训练神经网络网络模型;
通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
在本发明的一些实施方式中,收集网络数据包括:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗。
在本发明的一些实施方式中,所述收集网络数据还包括:对清洗后的网络数据进行分类与标注。
在本发明的一些实施方式中,对清洗后的网络数据进行分类与标注包括:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
在本发明的一些实施方式中,通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率包括:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
在本发明的一些实施方式中,方法还包括:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据。
在本发明的一些实施例中,方法还包括:
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
在本发明的一些实施方式中,方法还包括:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
在本发明的一些实施方式中,方法还包括:
通过修正后的神经网络模型,对所述目标端口的实时数据网络数据进行检测,并将检测结果反馈到所述目标端口运维系统。
在本发明的一些实施方式中,方法还包括:
根据所述检测结果将所述目标端口能屏蔽的走私攻击统计到走私攻击日志,并按照预订时间向所述目标端口运维系统发出走私攻击报告。
在本发明的一些实施方式中,方法还包括:
响应于存在所述目标端口无法屏蔽的走私攻击,则将所述走私攻击报告发送到所述目标端口的运维系统。
在本发明的一些实施方式中,将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
本发明的另一方面还提出一种走私攻击检测系统,包括:
模型训练模块,所述模型训练模块配置用于收集网络数据,并通过网络数据训练神经网络网络模型;
分类预测模块,所述分类预测模块配置用于通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
攻击决策模块,所述攻击决策模块配置用于将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
本发明的又一方面还提出一种计算机设备,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现上述实施方式中任意一项所述方法的步骤。
本发明的再一方面还提出一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述实施方式中任意一项所述方法的步骤。
通过本发明提出的一种走私攻击检测方法,根据目标端口的网络数据按照预订方式生成对应的神经网络模型,基于神经网络模型对目标端口的网络数据进行分类检测,可快速查出是否存在走私攻击的漏洞。准确可靠的解决走私攻击的检测问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种走私攻击检测方法的方法流程图;
图2为本发明实施例提供的一种走私攻击检测系统的结构图;
图3为本发明实施例提供的一种计算机设备的结构示意图;
图4为本发明实施例提供的一种计算机可读存储介质的结构示意图;
图5为本发明实施例提供的走私攻击的报文结构示意图;
图6为本发明实施例提供的走私攻击的报文结构示意图;
图7为本发明实施例提供的走私攻击的报文结构示意图;
图8为本发明实施例提供的走私攻击的报文结构示意图;
图9为本发明实施例提供的走私攻击的报文结构示意图;
图10为本发明实施例提供的走私攻击的报文结构示意图;
图11为本发明实施例提供的走私攻击的报文结构示意图;
图12为本发明实施例提供的走私攻击的报文结构示意图;
图13为本发明实施例提供的走私攻击的报文结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
在本发明中,本发明所要解决的是在CDN网络机制下存在的走私攻击漏洞存在的潜在危险问题,CND全称为Content Delivery Network,内容分发网络。是一种构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的使用依赖HTTP协议的支持,即在HTTP报文头部上给出对应的标记使得CDN可以在某些情况下代替后端服务器实现高效低延迟极速负载,具体是通过Content-Length和Transfer-Encoding两个字段的对应设置。
所谓Content-Length:是指内容长度,是HTTP请求的Headers中常见的一个字段,用十进制数字表示八位字节的数目.Content-Length应当指定一个确定的值,否则会导致异常。Transfer-Encoding:是指传输编码,是HTTP请求的Headers中常见的一个字段,HTTP规范里,只定义了一种传输编码:分块编码(chunked)。在Headers中加入Transfer-Encoding:chunked后,就代表这个报文采用了分块编码。此时,报文中的实体需要改为用一系列分块来传输。最后一个分块长度值必须为0,对应的分块数据没有内容,表示实体结束。
由于CDN和后端服务器对上述两个字段的解析不同则在某些情况下,别有用心的攻击者便设法通过封装一些数据包试出CDN和后端服务器对上述两个字段的解析漏洞,进而借助漏洞实现“走私攻击”非法穿透CDN后端服务器内获取相应的数据内容。
如图1所示,为解决上述问题,本发明提出一种走私攻击检测方法,包括:
步骤S1、收集网络数据,并通过网络数据训练神经网络网络模型;
步骤S2、通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
步骤S3、将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
在本发明的实施例中,在步骤S1中,网络数据是指以HTTP形式的数据,即网络浏览器发送的数据,包括HTTP报文头部的多个字段内容以及内容部分的相关内容。并以Content-Length和Transfer-Encoding字段的内容作为主要特征数据训练神经网络模型。神经网络模型可以是分类模型。
在步骤S2中,通过训练好的神经网络模型对要检测的目标端口的数据进行分析判断,给出对应分类概率。即将目标端口收到的网络数据通过神经网络模型进行判断,由神经网络模型输出对应的检测结果(概率值)。一个网络数据请求对应一个由神经网络模型输出的概率结果。
在步骤S3中,对步骤S2中对由神经网络模型分析过的网络数据的概率值与预设的阈值进行对比,如果某个网络数据的概率值超过设定的阈值则认为该网络数据属于走私攻击的数据。
在本发明的一些实施方式中,收集网络数据包括:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗。
在本实施例中,通过常见的网络流量抓取工具获取对应的目标端口的网络数据,如Wireshark、BurpSuite、Charles、Fiddler、QPA等抓包工具均可以作为网络流量抓取工具以获得目标端口的数据。
进一步对抓包工具抓取的数据通过正则表达式过滤掉其对目标端口无用的数据,即只保留HTTP协议的网络数据。
在本发明的一些实施方式中,收集网络数据还包括:对清洗后的网络数据进行分类与标注。
在本发明的一些实施例中,按照Transfer-Encoding和Content-Length的类型对HTTP网络数据进行分类,并根据分类对对应的网络数据的类型进行标注。
在本发明的一些实施方式中,对清洗后的网络数据进行分类与标注包括:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
在本实施例中,根据Transfer-Encoding和Content-Length的值的不同将HTTP走私攻击主要包括五种类型:(1)CL不为0,GET请求web服务器不处理请求数据的body内容,CDN处理请求数据的body内容(2)CL-CL,设置2个Content-Length,CDN解析第一个,后端数据服务器解析第二个(3)CL-TE,CDN使用Content-Length,后端数据服务器使用Transfer-Encoding(4)TE-CL,CDN使用Transfer-Encoding,后端数据服务器使用Content-Length(5)TE-TE,对发送数据包中的Transfer-Encoding字段进行混淆处理,使CDN或后端数据服务器不处理Transfer-Encoding请求头。
从清洗后的数据中提取HTTP请求头、HTTP请求body。攻击者在进行HTTP走私攻击时,body中一般将嵌入为了实现攻击而构造的走私HTTP请求,根据攻击类型包含有不同的请求头字段,可作为可检测项,对body中其他数据进行泛化处理。数据又可以分为正常的HTTP网络流量样本数据与存在HTTP请求走私攻击的网络流量样本数据,分别进行数据提取并标记类型为:正常、CL不为0、CL-CL、CL-TE、TE-CL、TE-TE。
在本发明的一些实施方式中,通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率包括:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
在本实施例中,对上述分类并标记后的网络数据进行向量化,即由于神经网络不能直接处理字符型或字符串类型数据,需要将提取的数据转换为计算机可处理的向量化数据,将提取及泛化处理后的参数构成词汇表,通过遍历词汇表得到词集向量,通过词法分割将HTTP走私攻击序列转化为向量化数据。
进一步,将向量化后的用于神经网络模型的训练,在本实施例中,采用RNN神经网络模型进行训练,RNN神经网络模型全称为Recurrent Neural Network,循环神经网络。是一类以序列数据为输入,在序列的演进方向进行递归且所有节点按链式连接的递归神经网络,常用于自然语言处理、计算机视觉等领域。
在本发明中,通过训练好的RNN神经网络对目标端口的网络数据进行分类预测,按照上述Transfer-Encoding和Content-Length的值的不同将其分为对应的分类,并给出对应分类的概率。
在本发明的一些实施方式中,方法还包括:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据。
在发明的一些实施例中,方法还包括:
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
在本实施例中,当所采用的神经网络模型为RNN时,可借助RNN神经网络模型的文本生成特点,按照目标端口的网络数据的特点(通过获取目标端口的网络数据中的请求路径和请求内容),生成相应的具有“走私攻击”特点的网络数据,然后将新生成的网络数据发送到目标端口,模拟走私攻击对目标端口进行检测。接收目标端口的反馈结果,以判断对应的“走私攻击”的网络数据包是否成功执行“走私攻击”以检测出目标端口是否具有防止走私攻击的漏洞的安全机制,例如根据目标端口的路径规则和返回的数据生成对应的请求,假如某目标端口的地址为/book/128,128代表该路径下第128条数据,假设是一本书的内容,则RNN神经网络模型在生成对应的走私攻击时,将走私攻击的内容设定为/book/128或/book/129等发送到目标端口,如果走私攻击成功则通过返回的内容与走私攻击请求的内容进行对比以判断走私攻击是否成功以及走私的内容是否能准确获取,即如果走私攻击想要获取的编号是128的书的内容,但却返回的是编号129的内容,则说明目标端口存在走私攻击漏洞,此外该目标端口对走私攻击请求的解析存在异常或者是该目标端口存在相应的屏蔽手段但效果不佳。
在本发明的一些实施方式中,方法还包括:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
在本实施例中,根据由RNN模型生成的具有相应扰动的网络数据模拟走私攻击及对应的反馈结果组成新的训练数据,重新训练并更新RNN神经网络模型。对对应的目标端口进行适应,以提高在用RNN神经网络模型对网络数据进行分类预测时的准确度。
在本发明的一些实施方式中,方法还包括:
通过修正后的神经网络模型,对所述目标端口的实时数据网络数据进行检测,并将检测结果反馈到所述目标端口运维系统。
在本实施例中,所谓修正后的神经网络模型是指,RNN神经网络模型对当前目标端口的屏蔽策略有一定的适应能力,具体是指某些走私攻击在其他目标端口可以实现走私攻击,但在该目标端口则无法实现走私攻击,因此修正后的RNN神经网络模型在本实施例中则不将该目标端口可以识屏蔽的走私攻击认定为走私攻击,以此来降低模RNN神经网络模型对网络数据的敏感性,减少误报。
在本发明的一些实施方式中,方法还包括:
根据所述检测结果将所述目标端口能屏蔽的走私攻击统计到走私攻击日志,并按照预订时间向所述目标端口运维系统发出走私攻击报告。
在本实施例中,当目标端口能屏蔽对应的走私攻击时,则只将对应的走私攻击统计到走私攻击日志,并在适当的时候发送到目标端口的运维系统,需要说明的是,运维系统可以是对应的运维人员的联系方式、邮箱或软件系统的接口。
在本发明的一些实施方式中,方法还包括:
响应于存在所述目标端口无法屏蔽的走私攻击,则将所述走私攻击报告发送到所述目标端口的运维系统。
在本实施例中,对于目标端口无法屏蔽的走私攻击,则直接将对应的走私攻击信息报告给目标端口的运维系统。并告知对应的运维人员进行及时处理。
在本发明的一些实施方式中,将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
在本实施例中,采用简化HTTP数据头部的方式对网络数据进行标记。具体地,对于HTTP请求头的数据,将请求url的值替换为X,将除Content-Length与Transfer-Encoding外的每个请求头的具体值替换为K;对于HTTP请求body内的数据,将请求url替换为Y。
实施例1:
进一步,如图5-7所示,以CL-TE类型为例,攻击者直接访问/admin页面被阻挡,图中GET表示HTTP请求类型为GET,而途中右侧所示的结果:“Path/admin is blocked”。图6展示了报文的格式内容,图7为后端解析的内容。图7下部框中内容为走私的内容。
结合图5-7,攻击者尝试使用CL-TE类型http走私攻击,发送两次该请求,第二次请求的返回内容中,包含了无权访问的/admin页面内容,说明body内容中的内容被走私,拼接到了第二次的请求中,因此次攻击为CL-TE类型,故将CL与TE头作为特征项,除CL与TE头外的其他数据因实际情况会发生变化,比如攻击者使用的浏览器或构造请求的工具类型等,并且这些数据不具备识别特征,故做泛化处理。body内容中将可作为识别特征的数据保留,可作为识别特征的数据指的是攻击者为了达成攻击目的,将新的http请求嵌入到body部分,根据http请求规范,保留请求方式(GET/POST等)、请求url(因攻击者实际攻击的环境情况会发生变化,做泛化处理为Y)、HTTP/1.1字段部分作为识别特征值。图8为本发明实施例中通过RNN神经网络模型扰动后的结果,用于简化对目标端口的数据,当然也可根据需要将K代替的内容以常见的HTTP头部内容替代,以K的方式可以降低特征数据的复杂的,将无关的内容以简化的方式,在使用RNN神经网络模型生成个对应的payload或网络请求时则再按照网络协议填充上对应的内容,以防止不满足网络请求协议导致不会被认为是HTTP请求。
实施例2:
以CL不为0类型为例,如图9下部框所示,框线内为走私的请求,因此次攻击为CL不为0的类型,故将CL头作为保留的数据项,将其他会因实际情况发生变化且不具备特征的值泛化处理,如图10所示,同时将body内容做上文所述的处理,保留可作为识别特征的数据。即将与模型训练不想关的数据以K代替。
实施例3
以TE-TE类型为例,如图11所示,图11下部框线内为走私的请求:
前端服务器(CDN)和后端服务器都支持Transfer-Encoding标头,但是可以通过对标头进行某种方式的混淆,构造Transfer-Encoding标头的一些变体,来诱导其中一台服务器不对其进行处理。如图12所示,第二次请求的响应表明此次攻击成功。因此攻击类型为TE-TE,可以作为特征训练的值为混淆处理的TE头,将数据处理为图13所示的样子。
通过本发明提出的一种走私攻击检测方法,根据目标端口的网络数据按照预订方式生成对应的神经网络模型,基于神经网络模型对目标端口的网络数据进行分类检测,可快速查出是否存在走私攻击的漏洞。准确可靠的解决走私攻击的检测问题。
如图2所示,本发明的另一方面还提出一种走私攻击检测系统,包括:
模型训练模块1,所述模型训练模块1配置用于收集网络数据,并通过网络数据训练神经网络网络模型;
分类预测模块2,所述分类预测模块2配置用于通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
攻击决策模块3,所述攻击决策模块3配置用于将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
在本发明的一些实施方式中,模型训练模块1进一步配置用于:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗;
对清洗后的网络数据进行分类与标注。
在本发明的一些实施方式中,模型训练模块1进一步配置用于:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
在本发明的一些实施方式中,分类预测模块2进一步配置用于:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
在本发明的一些实施方式中,分类预测模块2进一步配置用于:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据;
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
在本发明的一些实施方式中,模型训练模块1进一步配置用于:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
在本发明的一些实施方式中,模型训练模块1进一步配置用于将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
如图3所示,本发明的再一方面还提出一种计算机设备,包括:
至少一个处理器21;以及
存储器22,所述存储器22存储有可在所述处理器21上运行的计算机指令23,所述指令23由所述处理器21执行时实现一种走私攻击检测方法,包括:
收集网络数据,并通过网络数据训练神经网络网络模型;
通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
在本发明的一些实施方式中,收集网络数据包括:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗;
对清洗后的网络数据进行分类与标注。
在本发明的一些实施方式中,对清洗后的网络数据进行分类与标注包括:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
在本发明的一些实施方式中,通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率包括:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
在本发明的一些实施方式中,方法还包括:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据;
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
在本发明的一些实施方式中,方法还包括:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
在本发明的一些实施方式中,将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
如图4所示,本发明的又一方面还提出一种计算机可读存储介质401,所述计算机可读存储介质401存储有计算机程序402,所述计算机程序被处理器执行时实现一种走私攻击检测方法,包括:
收集网络数据,并通过网络数据训练神经网络网络模型;
通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
在本发明的一些实施方式中,收集网络数据包括:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗;
对清洗后的网络数据进行分类与标注。
在本发明的一些实施方式中,对清洗后的网络数据进行分类与标注包括:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
在本发明的一些实施方式中,通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率包括:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
在本发明的一些实施方式中,方法还包括:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据;
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
在本发明的一些实施方式中,方法还包括:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
在本发明的一些实施方式中,将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开所述的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文所述的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
Claims (15)
1.一种走私攻击检测方法,其特征在于,包括:
收集网络数据,并通过网络数据训练神经网络网络模型;
通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
2.根据权利要求1所述的方法,其特征在于,所述收集网络数据包括:
通过网络流量抓取工具获取目标端口的网络数据;
通过正则表达式对收集的网络数据进行数据清洗。
3.根据权利要求2所述的方法,其特征在于,所述收集网络数据还包括:对清洗后的网络数据进行分类与标注。
4.根据权利要求3所述的方法,其特征在于,所述对清洗后的网络数据进行分类与标注包括:
根据网络协议中的多个字段的属性值的组合将所示网络数据分成多个类别。
5.根据权利要求1所述的方法,其特征在于,所述通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率包括:
通过所述网络数据训练RNN神经网络模型,并通过所述RNN模型对目标端口的网络数据根据按照预设分类输出匹配对应分类的概率。
6.根据权利要求1所述的方法,其特征在于,还包括:
将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据。
7.根据权利要求6所述的方法,其特征在于,还包括:
将所述新的网络数据发送到目标端口,并根据目标端口的响应结果判断所述新的网络数据的走私攻击的有效性。
8.根据权利要求6所述的方法,其特征在于,还包括:
将所述新的网络数据与其对应的走私攻击的有效性作为训练数据对所述神经网络模型再次修正性训练。
9.根据权利要求8所述的方法,其特征在于,还包括:
通过修正后的神经网络模型,对所述目标端口的实时数据网络数据进行检测,并将检测结果反馈到所述目标端口运维系统。
10.根据权利要求9所述的方法,其特征在于,还包括:
根据所述检测结果将所述目标端口能屏蔽的走私攻击统计到走私攻击日志,并按照预订时间向所述目标端口运维系统发出走私攻击报告。
11.根据权利要求10所述的方法,其特征在于,还包括:
响应于存在所述目标端口无法屏蔽的走私攻击,则将所述走私攻击报告发送到所述目标端口的运维系统。
12.根据权利要求6所述的方法,其特征在于,所述将网络数据基于所述神经网络模型按照预订方式进行扰动以生成具有走私攻击的新的网络数据包括:
将所述网络数据中的预设部分以预设标记值进行标记。
13.一种走私攻击检测系统,其特征在于,包括:
模型训练模块,所述模型训练模块配置用于收集网络数据,并通过网络数据训练神经网络网络模型;
分类预测模块,所述分类预测模块配置用于通过所述神经网络模型对目标端口的网络数据进行评估以获取对应的概率;
攻击决策模块,所述攻击决策模块配置用于将所述概率与预设的阈值进行比较,响应于所述概率超过所述阈值则将所述网络数据分类为走私攻击。
14.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机指令,所述指令由所述处理器执行时实现权利要求1-12任意一项所述方法的步骤。
15.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-12任意一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210747688.4A CN115102773A (zh) | 2022-06-29 | 2022-06-29 | 一种走私攻击检测方法、系统、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210747688.4A CN115102773A (zh) | 2022-06-29 | 2022-06-29 | 一种走私攻击检测方法、系统、设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115102773A true CN115102773A (zh) | 2022-09-23 |
Family
ID=83295260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210747688.4A Pending CN115102773A (zh) | 2022-06-29 | 2022-06-29 | 一种走私攻击检测方法、系统、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115102773A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106959946A (zh) * | 2017-04-07 | 2017-07-18 | 闽江学院 | 一种基于深度学习的文本语义特征生成优化方法 |
CN110808968A (zh) * | 2019-10-25 | 2020-02-18 | 新华三信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备和可读存储介质 |
CN112398843A (zh) * | 2020-11-09 | 2021-02-23 | 广州锦行网络科技有限公司 | 一种基于http走私攻击的检测方法及装置 |
CN112839034A (zh) * | 2020-12-29 | 2021-05-25 | 湖北大学 | 一种基于cnn-gru分层神经网络的网络入侵检测方法 |
US20210377288A1 (en) * | 2020-05-26 | 2021-12-02 | Paypal, Inc. | Identifying patterns in computing attacks through an automated traffic variance finder |
CN114285641A (zh) * | 2021-12-24 | 2022-04-05 | 中国电信股份有限公司 | 网络攻击检测方法及装置、电子设备、存储介质 |
-
2022
- 2022-06-29 CN CN202210747688.4A patent/CN115102773A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106959946A (zh) * | 2017-04-07 | 2017-07-18 | 闽江学院 | 一种基于深度学习的文本语义特征生成优化方法 |
CN110808968A (zh) * | 2019-10-25 | 2020-02-18 | 新华三信息安全技术有限公司 | 网络攻击检测方法、装置、电子设备和可读存储介质 |
US20210377288A1 (en) * | 2020-05-26 | 2021-12-02 | Paypal, Inc. | Identifying patterns in computing attacks through an automated traffic variance finder |
CN112398843A (zh) * | 2020-11-09 | 2021-02-23 | 广州锦行网络科技有限公司 | 一种基于http走私攻击的检测方法及装置 |
CN112839034A (zh) * | 2020-12-29 | 2021-05-25 | 湖北大学 | 一种基于cnn-gru分层神经网络的网络入侵检测方法 |
CN114285641A (zh) * | 2021-12-24 | 2022-04-05 | 中国电信股份有限公司 | 网络攻击检测方法及装置、电子设备、存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109960729B (zh) | Http恶意流量的检测方法及系统 | |
US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
US10033757B2 (en) | Identifying malicious identifiers | |
CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
CN109274632B (zh) | 一种网站的识别方法及装置 | |
CN103179132B (zh) | 一种检测和防御cc攻击的方法及装置 | |
CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
CN104348803B (zh) | 链路劫持检测方法、装置、用户设备、分析服务器及系统 | |
US10187412B2 (en) | Robust representation of network traffic for detecting malware variations | |
CN111052704A (zh) | 网络分析工作流程加速 | |
CN106961419A (zh) | WebShell检测方法、装置及系统 | |
CN101714952A (zh) | 一种接入网的流量识别方法和装置 | |
WO2022143511A1 (zh) | 一种恶意流量识别方法及相关装置 | |
CN107135212A (zh) | 一种基于行为差异的Web环境下的人机识别装置及方法 | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN110022308A (zh) | 一种物联网设备识别方法及系统 | |
CN110602109A (zh) | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 | |
CN110602030A (zh) | 网络入侵阻断方法、服务器及计算机可读介质 | |
CN111049783A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
CN117336055A (zh) | 一种网络异常行为检测方法、装置、电子设备及存储介质 | |
Zhu et al. | An effective neural network phishing detection model based on optimal feature selection | |
US11627156B2 (en) | System and method for detecting bots using semi-supervised deep learning techniques | |
CN111464510A (zh) | 一种基于快速梯度提升树模型的网络实时入侵检测方法 | |
CN102984162B (zh) | 可信网站的识别方法和收集系统 | |
CN111447169B (zh) | 一种在网关上的实时恶意网页识别方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |