CN115150160A - 一种网络攻击特征的检测方法及系统 - Google Patents
一种网络攻击特征的检测方法及系统 Download PDFInfo
- Publication number
- CN115150160A CN115150160A CN202210764106.3A CN202210764106A CN115150160A CN 115150160 A CN115150160 A CN 115150160A CN 202210764106 A CN202210764106 A CN 202210764106A CN 115150160 A CN115150160 A CN 115150160A
- Authority
- CN
- China
- Prior art keywords
- attack
- network
- data
- detecting
- generate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/004—Artificial life, i.e. computing arrangements simulating life
- G06N3/006—Artificial life, i.e. computing arrangements simulating life based on simulated virtual individual or collective life forms, e.g. social simulations or particle swarm optimisation [PSO]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种网络攻击特征的检测方法及系统,数据检测技术领域。该网络攻击特征的检测方法包括:获取待测网络数据;根据预设TF‑IDF模型对所述待测网络数据进行特征提取,生成特征结果数据;根据预设孤立森林算法对所述特征结果数据进行网络攻击检测,生成网络攻击数据,所述网络攻击数据包括具有攻击行为的待测网络数据;根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成所述攻击特征数据。该网络攻击特征的检测方法可以实现提高网络攻击的检测效率和检测成本的技术效果。
Description
技术领域
本申请涉及数据检测技术领域,具体而言,涉及一种网络攻击特征的检测方法、系统、电子设备及计算机可读存储介质。
背景技术
目前,随着网络攻击日益增多,如何确保网络正常、安全、平稳地运行,已经成为信息时代所需面临的重大挑战。基于攻击特征库的入侵检测系统效率很高,但特征库的建立依靠安全专家事后分析提取的方法难以应对现有复杂高速网络环境,攻击特征自动提取无需人工干预,从而能快速准确地为入侵检测系统提取出特征。
现有技术中,常见的万维网(web,World Wide Web)攻击以注入攻击为主,比如结构化查询语言(SQL,Structured Query Language)注入、跨站脚本攻击(XSS,Cross SiteScripting)、命令注入等。常见的攻击检测方法,利用深度学习方法对攻击行为数据库中的恶意代码进行训练,以构建恶意代码的攻击数据模型,确定待测代码是否为恶意代码。但是,该方法属于有监督的方法,需要花费人力进行恶意样本标注;深度学习模型目前属于黑盒模型,特征提取结果的可解释性较差;而且,深度学习模型的计算复杂度较高,训练与测试时花费的时间较长,物力成本高。
发明内容
本申请实施例的目的在于提供一种网络攻击特征的检测方法、系统、电子设备及计算机可读存储介质,可以实现提高网络攻击的检测效率和检测成本的技术效果。
第一方面,本申请实施例提供了一种网络攻击特征的检测方法,包括:
获取待测网络数据;
根据预设TF-IDF模型对所述待测网络数据进行特征提取,生成特征结果数据;
根据预设孤立森林算法对所述特征结果数据进行网络攻击检测,生成网络攻击数据,所述网络攻击数据包括具有攻击行为的待测网络数据;
根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成所述攻击特征数据。
在上述实现过程中,该网络攻击特征的检测方法通过运用无监督的孤立森林方法,可以从海量样本中自动化进行异常检测,识别出网络攻击数据;进而,通过极大频繁项集挖掘的方法,例如通过FP树搜索快速识别出攻击特征,在普通硬件上就可以部署,预测速度快,可以提取出攻击特征的代码片段,可解释强,并可以将结果应用到入侵检测系统中;从而,该网络攻击特征的检测方法增强了检测模型的适用性和预测速度,可以在普通硬件条件下进行快速预测,增强了模型输出特征的可解释性,通过提取的频繁模式子串对特征进行业务场景解释,同时通过无监督的孤立森林方法进行web攻击样本自动提取,节省了人工标注的时间,可以实现提高网络攻击的检测效率和检测成本的技术效果。
进一步地,在根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成所述攻击特征数据的步骤之后,所述方法还包括:
根据所述攻击特征数据建立攻击特征库;
根据所述攻击特征库生成网络入侵检测模型,所述网络入侵检测模型用于网络入侵检测。
在上述实现过程中,基于收集到的攻击特征数据建立攻击特征库,以该攻击特征库为基础建立网络入侵检测模型,从而进行网络入侵检测。
进一步地,所述根据所述攻击特征库生成网络入侵检测模型的步骤之后,所述方法还包括:
将待测样本数据输入至所述网络入侵检测模型,并通过预设规则库进行特征规则匹配,生成特征匹配结果。
进一步地,在所述生成特征匹配结果的步骤之后,所述方法还包括:
在所述匹配结果为匹配成功时生成告警信息,并根据所述匹配结果输出在所述预设规则库中匹配成功的规则信息。
在上述实现过程中,将待测样本数据输入到网络入侵检测模型,并通过预设规则库进行特征规则匹配,如果匹配成功则输出告警,并输出匹配到的规则,从而增强模型的可解释性。
进一步地,在所述获取待测网络数据的步骤之前,所述方法还包括:
获取网络原始数据包;
对所述络原始数据包进行采集,生成所述待测网络数据。
进一步地,所述网络原始数据包为HTTP审计日志数据,在所述对所述络原始数据包进行采集,生成所述待测网络数据的步骤之前,所述方法还包括:
对所述HTTP审计日志数据进行解析,获取应用层HTTP信息。
进一步地,所述应用层HTTP信息包括源IP、源端口、目的IP、目的端口、通信开始时间、结束时间、请求方法、请求路径、请求参数、请求内容中的一种或多种。
第二方面,本申请实施例提供了一种网络攻击特征的检测系统,包括:
获取模块,用于获取待测网络数据;
特征提取模块,用于根据预设TF-IDF模型对所述待测网络数据进行特征提取,生成特征结果数据;
攻击检测模块,用于根据预设孤立森林算法对所述特征结果数据进行网络攻击检测,生成网络攻击数据,所述网络攻击数据包括具有攻击行为的待测网络数据;
攻击特征提取模块,用于根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成所述攻击特征数据。
进一步地,所述网络攻击特征的检测还包括:入侵检测模型模块,用于根据所述攻击特征数据建立攻击特征库;根据所述攻击特征库生成网络入侵检测模型,所述网络入侵检测模型用于网络入侵检测。
进一步地,所述网络攻击特征的检测还包括:匹配模块,用于将待测样本数据输入至所述网络入侵检测模型,并通过预设规则库进行特征规则匹配,生成特征匹配结果。
进一步地,所述网络攻击特征的检测还包括:告警模块,用于在所述匹配结果为匹配成功时生成告警信息,并根据所述匹配结果输出在所述预设规则库中匹配成功的规则信息。
进一步地,所述网络攻击特征的检测还包括:采集模块,用于获取网络原始数据包;对所述络原始数据包进行采集,生成所述待测网络数据。
进一步地,所述网络攻击特征的检测还包括:解析模块,用于对所述HTTP审计日志数据进行解析,获取应用层HTTP信息。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本申请公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本申请公开的上述技术即可得知。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种网络攻击特征的检测方法的流程示意图;
图2为本申请实施例提供的另一种网络攻击特征的检测方法的流程示意图;
图3为本申请实施例提供的网络攻击特征的检测系统的结构框图;
图4为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
本申请实施例提供了一种网络攻击特征的检测方法、系统、电子设备及计算机可读存储介质,可以应用于网络攻击的检测中;该网络攻击特征的检测方法通过运用无监督的孤立森林方法,可以从海量样本中自动化进行异常检测,识别出网络攻击数据;进而,通过极大频繁项集挖掘的方法,例如通过FP树搜索快速识别出攻击特征,在普通硬件上就可以部署,预测速度快,可以提取出攻击特征的代码片段,可解释强,并可以将结果应用到入侵检测系统中;从而,该网络攻击特征的检测方法增强了检测模型的适用性和预测速度,可以在普通硬件条件下进行快速预测,增强了模型输出特征的可解释性,通过提取的频繁模式子串对特征进行业务场景解释,同时通过无监督的孤立森林方法进行web攻击样本自动提取,节省了人工标注的时间,可以实现提高网络攻击的检测效率和检测成本的技术效果。
请参见图1,图1为本申请实施例提供的一种网络攻击特征的检测方法的流程示意图,该网络攻击特征的检测方法包括如下步骤:
S100:获取待测网络数据。
示例性地,待测网络数据可以是超文本传输协议(HTTP,Hyper Text TransferProtocol)数据,如HTTP审计日志数据等;需要注意的是,此处仅作为实力而非限定,待测网络数据也可以是其他类型的网络数据。
S200:根据预设TF-IDF模型对待测网络数据进行特征提取,生成特征结果数据。
示例性地,词频-逆文本频率指数(TF-IDF,term frequency–inverse documentfrequency)是一种文本特征提取方法,能够表示一个单词在文本库中的重要程度;字词的重要性随着它在文本中出现的次数成正比增加,但同时会随着它在语料库中出现的频率成反比下降。
S300:根据预设孤立森林算法对特征结果数据进行网络攻击检测,生成网络攻击数据,网络攻击数据包括具有攻击行为的待测网络数据。
示例性地,S300基于S200提取到的特征结果数据,通过孤立森林算法进行网络攻击检测,识别出具有攻击行为的待测网络数据;其中孤立森林是一种高效的异常检测算法,又名隔离森林,是一种从异常点出发,通过指定规则进行划分,根据划分次数进行判断的异常检测方法。在隔离森林中,异常点被定义为容易被孤立的离群点,隔离森林是一种适用于连续数据的无监督异常检测方法,即不需要有标记的样本来训练,但特征需要是连续的,它利用异常点数量少、异常数据特征值和正常数据差别大这两个特点来孤立异常点。
S400:根据预设极大频繁项集挖掘算法对网络攻击数据进行攻击特征提取,生成攻击特征数据。
示例性地,S400使用S300提取到的网络攻击数据,使用极大频繁项集挖掘算法进行攻击特征提取,提取到频繁出现在攻击样本中的字符项集,作为攻击特征并生成攻击特征数据。
示例性地,项集为最基本的模式,指若干个项的集合;频繁模式是指数据集中频繁出现的项集、序列或子结构;频繁项集是指支持度大于等于最小支持度的集合,其中支持度是指某个集合在所有事务中出现的频率。例如,在多个集合中,频繁出现的元素/项,就是频繁项;有一系列集合,这些集合有些相同的元素,集合中同时出现频率高的元素形成一个子集,满足一定阈值条件,就是频繁项集;元素个数最多的频繁项集合,即其任何超集都是非频繁项集。
示例性地,本申请提供了一种基于极大频繁项集挖掘的网络攻击特征自动化提取模型,通过该模型可以自动化的提取web攻击特征,进而通过提取到的特征建立入侵检测系统,以解决网络攻击检测问题,并对检测结果进行解释。
在一些实施方式中,该网络攻击特征的检测方法通过运用无监督的孤立森林方法,可以从海量样本中自动化进行异常检测,识别出网络攻击数据;进而,通过极大频繁项集挖掘的方法,例如通过FP树搜索快速识别出攻击特征,在普通硬件上就可以部署,预测速度快,可以提取出攻击特征的代码片段,可解释强,并可以将结果应用到入侵检测系统中;从而,该网络攻击特征的检测方法增强了检测模型的适用性和预测速度,可以在普通硬件条件下进行快速预测,增强了模型输出特征的可解释性,通过提取的频繁模式子串对特征进行业务场景解释,同时通过无监督的孤立森林方法进行web攻击样本自动提取,节省了人工标注的时间,可以实现提高网络攻击的检测效率和检测成本的技术效果。
请参见图2,图2为本申请实施例提供的另一种网络攻击特征的检测方法的流程示意图。
示例性地,在S400:根据预设极大频繁项集挖掘算法对网络攻击数据进行攻击特征提取,生成攻击特征数据的步骤之后,方法还包括:
S510:根据攻击特征数据建立攻击特征库;
S520:根据攻击特征库生成网络入侵检测模型,网络入侵检测模型用于网络入侵检测。
示例性地,基于收集到的攻击特征数据建立攻击特征库,以该攻击特征库为基础建立网络入侵检测模型,从而进行网络入侵检测。
示例性地,S520:根据攻击特征库生成网络入侵检测模型的步骤之后,方法还包括:
S600:将待测样本数据输入至网络入侵检测模型,并通过预设规则库进行特征规则匹配,生成特征匹配结果。
示例性地,在生成特征匹配结果的步骤之后,方法还包括:
S700:在匹配结果为匹配成功时生成告警信息,并根据匹配结果输出在预设规则库中匹配成功的规则信息。
示例性地,将待测样本数据输入到网络入侵检测模型,并通过预设规则库进行特征规则匹配,如果匹配成功则输出告警,并输出匹配到的规则,从而增强模型的可解释性。
示例性地,在S100:获取待测网络数据的步骤之前,方法还包括:
S101:获取网络原始数据包;
S103:对络原始数据包进行采集,生成待测网络数据。
示例性地,对网络原始数据包进行采集;在一些实施方式中,本申请中可以使用Wireshark软件对网络数据包进行采集,Wireshark是一个网路抓包工具,其功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。
示例性地,网络原始数据包为HTTP审计日志数据,在对络原始数据包进行采集,生成待测网络数据的步骤之前,方法还包括:
S102:对HTTP审计日志数据进行解析,获取应用层HTTP信息。
示例性地,应用层HTTP信息包括源IP、源端口、目的IP、目的端口、通信开始时间、结束时间、请求方法、请求路径、请求参数、请求内容中的一种或多种。
在一些实施方式中,本申请实施例使用的是HTTP审计日志数据,所以需要对抓取的原始数据包进行解析数据提取,首先对数据包进行解析,解析出应用层HTTP信息,定义4元组即源IP、源端口、目的IP、目的端口,将4元组相同的数据作为同一条数据流,最终解析出的数据字段包括通信开始时间、结束时间、源IP、源端口、目的IP、目的端口、请求方法、请求路径、请求参数、请求内容。
在一些实施场景中,本申请可应用于入侵检测系统,进而对web攻击进行检测;示例性地,本申请实施例基于HTTP审计日志数据,以极大频繁项集挖掘为基础,对web攻击进行自动化特征提取,进而对web攻击进行检测,具体的流程示例如下:
1)网络原始数据包采集:对网络原始数据包进行采集,本实例使用Wireshark软件对网络数据包进行采集。Wireshark是一个网路抓包工具,其功能是截取网络封包,并尽可能显示出最为详细的网络封包资料;
2)HTTP审计日志数据提取:本申请实施例使用的是HTTP审计日志数据,所以需要对抓取的原始数据包进行解析数据提取,首先对数据包进行解析,解析出应用层HTTP信息,定义4元组即源IP、源端口、目的IP、目的端口,将4元组相同的数据作为同一条数据流,最终解析出的数据字段包括通信开始时间、结束时间、源IP、源端口、目的IP、目的端口、请求方法、请求路径、请求参数、请求内容;
3)使用TF-IDF进行特征提取:常见的web攻击以注入攻击为主,比如SQL注入、XSS、命令注入等,这些注入攻击通过利用网站的漏洞,在请求参数中注入恶意代码实施网络攻击;请求参数是字典类型,即请求的key和value,正常请求参数中的value与恶意参数的value有明显不同,而且恶意参数数量较少,我们以此为基础进行了特征的提取;
TF-IDF是一种文本特征提取方法,能够表示一个单词在文本库中的重要程度。字词的重要性随着它在文本中出现的次数成正比增加,但同时会随着它在语料库中出现的频率成反比下降。本模型使用该方法对HTTP的请求参数进行特征提取。
4)基于孤立森林的web攻击检测:首先以请求路径为基础,对HTTP的请求数据进行分类,将拥有相同请求路径的分为一组,之后将请求参数中相同key的value分组到相同的组中,例如key1=[value1,value2,…,valueN],对各value进行特征提取,包含value中的数据的长度、计数、最小长度、最大长度、平均长度、长度标准差,以及步骤3中的TF-IDF向量,得到value_f,即key1=[value_f1,value_f2,…,value_fN];
孤立森林是一种高效的异常检测算法,它利用异常点数量少、异常数据特征值和正常数据差别大这两个特点来孤立异常点。将不同请求参数中key的value_f值传入到模型中进行异常检测,找到异常的value_f值,将包含异常value_f值的HTTP请求数据判定为攻击样本数据;
5)基于极大频繁项集的攻击特征提取:频繁模式是频繁地出现在数据集中的模式(如项集、子序列或子结构),如果一个项集在攻击样本中频繁的出现,我们就可以认为该频繁模式是该类攻击的攻击特征;从大型数据集中挖掘频繁项集的主要挑战是这种挖掘常常产生大量满足最小支持度阈值的项集,因为如果一个项集是频繁的,则它的每个子集也是频繁的。一个长项集将包含组合个数较短的频繁子项集;
例如,FPmax是一种极大频繁项集挖掘算法,FPmax是FP-tree的深度优先算法,通过递归的构造条件FP-tree直接在树上得到频繁项,避免了候选项集的产生,极大的优化了运算时间开销。将步骤4检测出的攻击样本输入到FPmax模型中,发现攻击样本的极大频繁项集作为攻击特征;
6)基于特征建立Web攻击检测模型:基于步骤5收集到的攻击特征建立攻击特征库,以该库为基础建立入侵检测系统,从而进行网络入侵检测。
7)对Web攻击进行预测,输出预测结果:将待测样本输入到网络入侵检测模型,并通过规则库进行特征规则匹配,如果匹配成功则输出告警,并输出匹配到的规则,增强模型的可解释性。
示例性地,本申请侧重在网络入侵检测中的web攻击特征的自动化提取,本申请提供的检测方法通过TF-IDF方法进行HTTP数据特征提取,通过孤立森林方法对提取到的特征进行预测web攻击样本,最终通过无监督的方法实现了web攻击样本的标注工作;此外,本申请提供的检测方法通过极大频繁项集挖掘算法对web攻击样本实现特征提取,实现了在不同硬件条件下的快速预测,并使得提取的特征具有可解释性。
请参见图3,图3为本申请实施例提供的网络攻击特征的检测系统的结构框图,该网络攻击特征的检测系统包括:
获取模块100,用于获取待测网络数据;
特征提取模块200,用于根据预设TF-IDF模型对待测网络数据进行特征提取,生成特征结果数据;
攻击检测模块300,用于根据预设孤立森林算法对特征结果数据进行网络攻击检测,生成网络攻击数据,网络攻击数据包括具有攻击行为的待测网络数据;
攻击特征提取模块400,用于根据预设极大频繁项集挖掘算法对网络攻击数据进行攻击特征提取,生成攻击特征数据。
示例性地,网络攻击特征的检测还包括:入侵检测模型模块,用于根据攻击特征数据建立攻击特征库;根据攻击特征库生成网络入侵检测模型,网络入侵检测模型用于网络入侵检测。
示例性地,网络攻击特征的检测还包括:匹配模块,用于将待测样本数据输入至网络入侵检测模型,并通过预设规则库进行特征规则匹配,生成特征匹配结果。
示例性地,网络攻击特征的检测还包括:告警模块,用于在匹配结果为匹配成功时生成告警信息,并根据匹配结果输出在预设规则库中匹配成功的规则信息。
示例性地,网络攻击特征的检测还包括:采集模块,用于获取网络原始数据包;对络原始数据包进行采集,生成待测网络数据。
示例性地,网络攻击特征的检测还包括:解析模块,用于对HTTP审计日志数据进行解析,获取应用层HTTP信息。
需要注意的是,本申请实施例提供的网络攻击特征的检测系统与图1、图2所示的方法实施例相对应,为避免重复,此处不再赘述。
本申请还提供一种电子设备,请参见图4,图4为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中,通信总线540用于实现这些组件直接的连接通信。其中,本申请实施例中电子设备的通信接口520用于与其他节点设备进行信令或数据的通信。处理器510可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器510可以是通用处理器,包括中央处理器(CPU,Central ProcessingUnit)、网络处理器(NP,Network Processor)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。
存储器530可以是,但不限于,随机存取存储器(RAM,Random Access Memory),只读存储器(ROM,Read Only Memory),可编程只读存储器(PROM,Programmable Read-OnlyMemory),可擦除只读存储器(EPROM,Erasable Programmable Read-Only Memory),电可擦除只读存储器(EEPROM,Electric Erasable Programmable Read-Only Memory)等。存储器530中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器510执行时,电子设备可以执行上述图1至图2方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。
所述存储器530、存储控制器、处理器510、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线540实现电性连接。所述处理器510用于执行存储器530中存储的可执行模块,例如电子设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。所述输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图4所示的结构仅为示意,所述电子设备还可包括比图4中所示更多或者更少的组件,或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,所述计算机程序被处理器执行时实现方法实施例所述的方法,为避免重复,此处不再赘述。
本申请还提供一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种网络攻击特征的检测方法,其特征在于,包括:
获取待测网络数据;
根据预设TF-IDF模型对所述待测网络数据进行特征提取,生成特征结果数据;
根据预设孤立森林算法对所述特征结果数据进行网络攻击检测,生成网络攻击数据,所述网络攻击数据包括具有攻击行为的待测网络数据;
根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成攻击特征数据。
2.根据权利要求1所述的网络攻击特征的检测方法,其特征在于,在根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成所述攻击特征数据的步骤之后,所述方法还包括:
根据所述攻击特征数据建立攻击特征库;
根据所述攻击特征库生成网络入侵检测模型,所述网络入侵检测模型用于网络入侵检测。
3.根据权利要求2所述的网络攻击特征的检测方法,其特征在于,所述根据所述攻击特征库生成网络入侵检测模型的步骤之后,所述方法还包括:
将待测样本数据输入至所述网络入侵检测模型,并通过预设规则库进行特征规则匹配,生成特征匹配结果。
4.根据权利要求3所述的网络攻击特征的检测方法,其特征在于,在所述生成特征匹配结果的步骤之后,所述方法还包括:
在所述匹配结果为匹配成功时生成告警信息,并根据所述匹配结果输出在所述预设规则库中匹配成功的规则信息。
5.根据权利要求1所述的网络攻击特征的检测方法,其特征在于,在所述获取待测网络数据的步骤之前,所述方法还包括:
获取网络原始数据包;
对所述络原始数据包进行采集,生成所述待测网络数据。
6.根据权利要求5所述的网络攻击特征的检测方法,其特征在于,所述网络原始数据包为HTTP审计日志数据,在所述对所述络原始数据包进行采集,生成所述待测网络数据的步骤之前,所述方法还包括:
对所述HTTP审计日志数据进行解析,获取应用层HTTP信息。
7.根据权利要求6所述的网络攻击特征的检测方法,其特征在于,所述应用层HTTP信息包括源IP、源端口、目的IP、目的端口、通信开始时间、结束时间、请求方法、请求路径、请求参数、请求内容中的一种或多种。
8.一种网络攻击特征的检测系统,其特征在于,包括:
获取模块,用于获取待测网络数据;
特征提取模块,用于根据预设TF-IDF模型对所述待测网络数据进行特征提取,生成特征结果数据;
攻击检测模块,用于根据预设孤立森林算法对所述特征结果数据进行网络攻击检测,生成网络攻击数据,所述网络攻击数据包括具有攻击行为的待测网络数据;
攻击特征提取模块,用于根据预设极大频繁项集挖掘算法对所述网络攻击数据进行攻击特征提取,生成攻击特征数据。
9.一种电子设备,其特征在于,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的网络攻击特征的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如权利要求1至7任一项所述的网络攻击特征的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210764106.3A CN115150160A (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击特征的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210764106.3A CN115150160A (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击特征的检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115150160A true CN115150160A (zh) | 2022-10-04 |
Family
ID=83409309
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210764106.3A Pending CN115150160A (zh) | 2022-06-29 | 2022-06-29 | 一种网络攻击特征的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115150160A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180167407A1 (en) * | 2015-06-26 | 2018-06-14 | Nec Corporation | Information processing device, information processing system, information processing method, and storage medium |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
CN113721569A (zh) * | 2021-08-25 | 2021-11-30 | 上海电力大学 | 一种分散控制系统攻击入侵检测装置及其方法 |
CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
CN114024761A (zh) * | 2021-11-10 | 2022-02-08 | 中国工商银行股份有限公司 | 网络威胁数据的检测方法、装置、存储介质及电子设备 |
-
2022
- 2022-06-29 CN CN202210764106.3A patent/CN115150160A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180167407A1 (en) * | 2015-06-26 | 2018-06-14 | Nec Corporation | Information processing device, information processing system, information processing method, and storage medium |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
CN112953933A (zh) * | 2021-02-09 | 2021-06-11 | 恒安嘉新(北京)科技股份公司 | 异常攻击行为检测方法、装置、设备及存储介质 |
CN113721569A (zh) * | 2021-08-25 | 2021-11-30 | 上海电力大学 | 一种分散控制系统攻击入侵检测装置及其方法 |
CN113904834A (zh) * | 2021-09-30 | 2022-01-07 | 北京华清信安科技有限公司 | 基于机器学习的xss攻击检测方法 |
CN114024761A (zh) * | 2021-11-10 | 2022-02-08 | 中国工商银行股份有限公司 | 网络威胁数据的检测方法、装置、存储介质及电子设备 |
Non-Patent Citations (1)
Title |
---|
石芹芹;: "基于FP树的极大频繁项集的挖掘方法", 现代计算机(专业版), no. 36, pages 1 - 4 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Uwagbole et al. | Applied machine learning predictive analytics to SQL injection attack detection and prevention | |
Jerlin et al. | A new malware detection system using machine learning techniques for API call sequences | |
CN107241352B (zh) | 一种网络安全事件分类与预测方法及系统 | |
EP3136249B1 (en) | Log analysis device, attack detection device, attack detection method and program | |
CN111585955B (zh) | 一种http请求异常检测方法及系统 | |
CN111400719A (zh) | 基于开源组件版本识别的固件脆弱性判别方法及系统 | |
CN111813960B (zh) | 基于知识图谱的数据安全审计模型装置、方法及终端设备 | |
CN106572117A (zh) | 一种WebShell文件的检测方法和装置 | |
Suh-Lee et al. | Text mining for security threat detection discovering hidden information in unstructured log messages | |
US11533373B2 (en) | Global iterative clustering algorithm to model entities' behaviors and detect anomalies | |
CN110830483B (zh) | 网页日志攻击信息检测方法、系统、设备及可读存储介质 | |
CN112131249A (zh) | 一种攻击意图识别方法及装置 | |
Lin et al. | Machine learning in vulnerability databases | |
Bernardi et al. | A fuzzy-based process mining approach for dynamic malware detection | |
CN113468524B (zh) | 基于rasp的机器学习模型安全检测方法 | |
CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
CN108959922B (zh) | 一种基于贝叶斯网的恶意文档检测方法及装置 | |
CN111200576A (zh) | 一种基于机器学习实现恶意域名识别的方法 | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
CN112052453A (zh) | 基于Relief算法的webshell检测方法及装置 | |
CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
CN115150160A (zh) | 一种网络攻击特征的检测方法及系统 | |
Uwagbole et al. | Applied web traffic analysis for numerical encoding of SQL injection attack features | |
Patil et al. | Impact of PCA Feature Extraction Method used in Malware Detection for Security Enhancement | |
Zhang et al. | Hybrid intrusion detection based on data mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |