CN115801366A - 攻击检测的方法、装置、电子设备及计算机可读存储介质 - Google Patents
攻击检测的方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115801366A CN115801366A CN202211393969.0A CN202211393969A CN115801366A CN 115801366 A CN115801366 A CN 115801366A CN 202211393969 A CN202211393969 A CN 202211393969A CN 115801366 A CN115801366 A CN 115801366A
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- model
- detection
- attack detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请属于检测技术领域,公开了攻击检测的方法、装置、电子设备及计算机可读存储介质,该方法包括,获取待检测数据;对待检测数据进行特征提取,获得数据特征集合;基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。这样,通过基于双向长短词记忆模型构建的攻击检测模型进行攻击检测,提高了攻击检测的准确率和有效性。
Description
技术领域
本申请涉及检测技术领域,具体而言,涉及攻击检测的方法、装置、电子设备及计算机可读存储介质。
背景技术
随着互联网的快速发展,各类网络应用呈现多种多样的变化,攻击者开始使用多目标以及多阶段的攻击方式来进行攻击,产生了如高级持续性威胁攻击(AdvancedPersistent Threat,APT)等更加复杂,更具破坏性和危险性的攻击。
现有技术下,通常采用恶意代码检测以及异常流量分析等方法进行攻击检测,但是,检测结果的准确性和有效性较差。
发明内容
本申请实施例的目的在于提供攻击检测的方法、装置、电子设备及计算机可读存储介质,用以在进行攻击检测时,提高攻击检测的准确度和有效性。
一方面,提供一种攻击检测的方法,包括:
获取待检测数据;
对待检测数据进行特征提取,获得数据特征集合;
基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。
一种实施方式中,获取待检测数据,包括:
获取网络流量数据以及漏洞扫描数据。
一种实施方式中,网络流量数据包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据;
漏洞扫描数据为基于漏洞扫描获得的资产信息;
数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵;
时序特征表示流量数据的时序特性;流量特征表示网络流量的传输特性;探测特征是基于针对软硬件的扫描信息获得的;攻击特征是基于指定攻击行为的攻击信息获得的;侵入特征是基于指定侵入行为的侵入信息获得的;漏洞特征是基于针对漏洞的扫描信息获得的;威胁性特征是针对攻击链的攻击综合分析获得的;信息熵表示网络流量数据的集中分散情况。
一种实施方式中,攻击检测模型是采用以下步骤训练获得的:
获取多个训练数据样本及其对应的数据检测样本;
基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得攻击检测模型,攻击检测初始模型是基于双向长短词记忆模型构建的。
一种实施方式中,基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得攻击检测模型,包括:
基于各训练样本数据以及攻击检测初始模型,获得攻击检测训练结果;
根据攻击检测训练结果以及数据检测样本,确定模型损失;
若确定模型损失不符合训练条件,则对攻击检测初始模型的模型参数进行调整,直至获得符合训练条件的攻击检测模型。
一种实施方式中,在对待检测数据进行特征提取,获得数据特征集合之前,方法还包括:
对待检测数据进行去重;
将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据;
将二进制数据进行归一化处理。
一方面,提供一种攻击检测的装置,包括:
获取单元,用于获取待检测数据;
提取单元,用于对待检测数据进行特征提取,获得数据特征集合;
检测单元,用于基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。
一种实施方式中,获取单元用于:
获取网络流量数据以及漏洞扫描数据。
一种实施方式中,网络流量数据包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据;
漏洞扫描数据为基于漏洞扫描获得的资产信息;
数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵;
时序特征表示流量数据的时序特性;流量特征表示网络流量的传输特性;探测特征是基于针对软硬件的扫描信息获得的;攻击特征是基于指定攻击行为的攻击信息获得的;侵入特征是基于指定侵入行为的侵入信息获得的;漏洞特征是基于针对漏洞的扫描信息获得的;威胁性特征是针对攻击链的攻击综合分析获得的;信息熵表示网络流量数据的集中分散情况。
一种实施方式中,检测单元还用于:
采用以下步骤训练,获得攻击检测模型:
获取多个训练数据样本及其对应的数据检测样本;
基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得攻击检测模型,攻击检测初始模型是基于双向长短词记忆模型构建的。
一种实施方式中,检测单元还用于:
基于各训练样本数据以及攻击检测初始模型,获得攻击检测训练结果;
根据攻击检测训练结果以及数据检测样本,确定模型损失;
若确定模型损失不符合训练条件,则对攻击检测初始模型的模型参数进行调整,直至获得符合训练条件的攻击检测模型。
一种实施方式中,获取单元还用于:
对待检测数据进行去重;
将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据;
将二进制数据进行归一化处理。
一方面,提供了一种电子设备,包括处理器以及存储器,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,运行如上述任一种攻击检测的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时运行如上述任一种攻击检测的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机程序产品,计算机程序产品在计算机上运行时,使得计算机执行如上述任一种攻击检测的各种可选实现方式中提供的方法的步骤。
本申请实施例提供的攻击检测的方法、装置、电子设备及计算机可读存储介质中,获取待检测数据;对待检测数据进行特征提取,获得数据特征集合;基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。这样,通过基于双向长短词记忆模型构建的攻击检测模型进行攻击检测,提高了攻击检测的准确率和有效性。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种攻击检测的方法的流程图;
图2为本申请实施例提供的一种BiLSTM模型的结构示例图;
图3为本申请实施例提供的一种攻击检测的装置的结构框图;
图4为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先对本申请实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
终端设备:可以是移动终端、固定终端或便携式终端,例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信系统设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合,包括这些设备的配件和外设或者其任意组合。还可预见到的是,终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。
服务器:可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。
为了进行攻击检测时,可以提高攻击检测的准确度,本申请实施例提供了攻击检测的方法、装置、电子设备及计算机可读存储介质。
参阅图1所示,为本申请实施例提供的一种攻击检测的方法的流程图,应用于电子设备,电子设备可以为服务器,也可以为终端设备。该方法的具体实施流程如下:
步骤100:获取待检测数据;步骤101:对待检测数据进行特征提取,获得数据特征集合;步骤102:基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。
一种实施方式中,执行步骤100时,可以采用步骤:可以周期性或实时获取网络流量数据以及漏洞扫描数据。
其中,网络流量数据为各种实体设备产生的网络相关的数据,可选的,网络流量数据可以包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据。
其中,漏洞扫描数据为基于漏洞扫描获得的资产信息,如,存在漏洞的设备信息(如,主机)以及存在漏洞的网络资产信息。
一种实施方式中,通过漏洞扫描工具,针对设备(如,主机)以及万维网(web)进行漏洞扫描,并根据扫描结果对资产进行评估,获得漏洞扫描数据。
进一步的,还可以对待检测数据进行预处理。
一种实施方式中,对待检测数据进行预处理,可以包括以下步骤:
S1001:对待检测数据进行去重。
一种实施方式中,删除待检测数据中重复以及空白的数据,从而去掉冗余信息。
S1002:将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据。
由于用于攻击检测的攻击检测模型无法直接处理文本信息,因此,需要将非数值数据转化为数值型数据,即将其映射为二进制向量。
S1003:将二进制数据进行归一化处理。
具体的,对二进制数据进行归一化处理,将其映射到[0,1]区间。
一种实施方式中,执行步骤101时,数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵。
其中,时序特征表示流量数据的时序特性;流量特征表示网络流量的传输特性;探测特征是基于针对软硬件的扫描信息获得的;攻击特征是基于指定攻击行为的攻击信息获得的;侵入特征是基于指定侵入行为的侵入信息获得的;漏洞特征是基于针对漏洞的扫描信息获得的;威胁性特征是针对攻击链的攻击综合分析获得的;信息熵表示网络流量数据的集中分散情况。
其中,时序特征是对数据流的持续时间、各数据包的平均包长以及不同数据包之间的时间间隔进行统计获得的。
这是由于攻击链是一个阶段连续的攻击,具有强烈的时序特性,因此,将时序特征作为模型输入数据。
其中,流量特征是包括但不限于以下参数中的至少一个:源地址、目的地址、源端口、目的端口、上下行字节数以及上下行包数。源地址以及目的地址反映了网络中数据的流向,可根据这两个参数,判断攻击者和受害者。上下行字节数以及上下行包数反映了源地址与目的地址的网络层之间传输的数据包个数。端口号反映了特定攻击的种类。
探测特征:用于作为评估攻击链的度量,是基于网络扫描、端口扫描以及系统扫描等行为生成的特征,是攻击者对攻击对象进行理解、研究的阶段。
攻击特征:用于评估攻陷概率,可以包括针对数据库注入、密码嗅探以及漏洞攻击等行为的攻击频率、攻击行为、攻击对象资产的价值以及攻击的严重等级。
需要说明的是,攻击行为频率越高,被攻击的资产价值越大,说明网络风险越大,被攻陷的概率更大。
侵入特征:包括安全外壳协议(Secure Shell,SSH)登录成功以及会话劫持等侵入性行为的特征。
这是由于在攻陷入侵阶段,攻击者可以通过控制链接,达到控制目标主机执行命令的目的,伴随SSH登录成功、以及会话劫持等侵入性行为的发生,表示攻击者已经成功进入到被攻击对象的内部。侵入行为频率越高,被侵入的资产价值越大,网络风险越大。
漏洞特征:是按照通用漏洞评分系统(Common Vulnerability Scoring System,CVSS)的漏洞评估标准评估漏洞获得的特征,可选的,可以采用攻击途径、攻击复杂度、认证、机密性、完整性、可用性、攻击方法、攻击前提、使用权限、利用代码、修正措施、入侵检测能力以及新攻击方法等因素作为标准计算。评估漏洞的威胁程度,以及其在攻击中的可利用性。
威胁性特征可以采用以下步骤获得:对各攻击分别进行评分,并将每条攻击链上每个攻击洞的分数累加,获得各攻击链的威胁性的评估分数,并筛选出威胁性最高的攻击链。
信息熵:能有效地反映该属性对应的流量数据的集中分散情况。在大规模的网络中,数据流量相当庞大,数据越集中,熵值越小,数据越分散,熵值越大。
一种实施方式中,执行步骤102时,可以采用以下步骤:
将数据特征集合输入到攻击检测模型中,获得攻击检测结果。
其中,攻击检测结果用于表示是否存在攻击链攻击,以及存在攻击链攻击的概率。攻击检测模型是基于双向长短词记忆模型(Bi-directional Long Short-Term Memory,BiLSTM)构建的。
针对多目标以及多阶段攻击,攻击链成为了分析构建这种多目标多阶段攻击的一种重要方法。所谓攻击链是根据攻击者对目标系统入侵的不同进展程度进行分阶段划分,并将各个阶段串联形成完整的攻击过程的模型。为此,本申请实施例中,基于Bi-LSTM构建攻击检测初始模型,并通过攻击检测模型对不同组网中的网络流量数据进行学习,在对网络流量数据进行处理的过程中,通过数学建模的方法来模拟神经元,并将传入的数据进行分层处理,这样,经过对样本流量和正常流量的学习过程,建立一个准确性高且普适性强的攻击检测模型,以及通过攻击检测模型进行攻击检测,解决了传统攻击链检测方法的不足。
其中,攻击检测模型可以采用以下步骤训练获得:
S1021:获取多个训练数据样本及其对应的数据检测样本。
S1022:基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得攻击检测模型。
具体的,基于各训练样本数据以及攻击检测初始模型,获得攻击检测训练结果;根据攻击检测训练结果以及数据检测样本,确定模型损失;若确定模型损失不符合训练条件,则对攻击检测初始模型的模型参数进行调整,直至获得符合训练条件的攻击检测模型。
实际应用中,训练条件可以根据实际应用场景进行设置,可以在模型训练的过程中,通过模型检测的准确率、检测率以及误报率评估模型检测性能,直至模型检测性能达到性能阈值,获得训练好的攻击检测模型。
其中,攻击检测初始模型是基于BiLSTM构建的。Bi-LSTM模型包含一个前向的长短期记忆网络(long short-term memory,LSTM)模型和一个后向的LSTM模型。LSTM是循环神经网络(Recurrent Neural Network,RNN)的变体,引入遗忘门、输入门、输出门结构来控制细胞状态信息。即BiLSTM是双向循环神经网络(Bi-directional RNNs,Bi-RNN)变体,在双向Bi-RNN的基础上,增加了一层按时间逆序进行输入学习的隐藏层来传递信息,从而增强网络的泛化能力。BiLSTM是深度学习中具有代表性的算法.BiLSTM可根据上下文历史信息的特性,实现时间维度上提取数据特征。BiLSTM可以获取足够的上下文信息,并且两个LSTM模型都被连接到相同的输出层。具体的,一条攻击链可以类比为一个序列,攻击链中每个原子攻击的特征向量相当于一个词向量,BiLSMT算法对攻击链进行编码,可以获取攻击链中隐含的时序信息,并最大程度的保留攻击链的因果关系且达到降低维度的目的。
在训练数据(即基于训练样本数据获得的数据特征集合)输入到攻击检测初始模型中,攻击检测初始模型会自动调整神经元之间的连接权重,即调整攻击检测初始模型内针对训练数据运算的数学表达式,并可以不断通过训练数据测试模型的检测效果并优化调整模型参数,可选的,模型参数可以为神经网络层数,神经元个数以及学习率等。
参阅图2所示,为一种BiLSTM模型的结构示例图。BiLSTM模型包括输入层、前向层、后向层以及输出层。输入层的输入包括:x0、x1、x2以及xt,输出层的输出包括:y0、y1、y2以及yt。t为时间。
Bi-LSTM模型包含一个前向的LSTM模型和一个后向的LSTM模型,即Bi-LSTM模型Ht=[h1,h2],确定输出层的输出时,可以采用以下公式:
h1=f(w1xt+w1xt-1+b1);
h2=f(w2xt+w2xt-2+b2);
yt=g(U[h1,h2]+c);
其中,h1表示前向的LSTM模型的输出,h2表示后向的LSTM模型的输出。w1和w2表示网络隐藏层的参数。xt表示输入数据,b1和b2表示偏置值。
本申请实施例中,选取了网络流量数据以及漏洞扫描数据作为待检测数据以及训练样本数据(如,攻击流量、安全事件数据以及不同组网环境中漏洞扫描获得资产数据),丰富了模型输入数据的广度和深度,提高了模型检测的性能,再者,对数据进行了预处理,即过滤冗余信息以及进行二进制转换,实现了数据清洗以及格式转换,提高了模型检测效率以及准确率,再者,针对攻击链,采用深度学习的Bi-LSTM算法针对数据特征集合进行特征学习,使得模型可以进行关键特征分类,并根据分类结果进行攻击检测,提升了模型检测的准确性。再者,在模型检测的过程中,可以结合具体的工作场景,提高了模型检测的适用范围,以及辅助解决系统异常问题的能力。例如,由于系统中各部分攻击的关系较为复杂,因此,攻击检测将各种攻击信息按照一定规则进行聚合分类以及深度挖掘,从而可以达到提前发现并溯源威胁的目的。与传统的攻击检测方法相比,本申请实施例中的攻击检测模型在构建攻击链分类器上存在着很大的优势,不需要针对数据进行特征选择的数据预处理过程,模型检测模型可以直接进行特征选择,简化了攻击检测的繁琐操作,提高了检测率和误报率比。
基于同一发明构思,本申请实施例中还提供了一种攻击检测的装置,由于上述装置及设备解决问题的原理与一种攻击检测的方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图3所示,其为本申请实施例提供的一种攻击检测的装置的结构示意图,包括:
获取单元301,用于获取待检测数据;
提取单元302,用于对待检测数据进行特征提取,获得数据特征集合;
检测单元303,用于基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。
一种实施方式中,获取单元301用于:
获取网络流量数据以及漏洞扫描数据。
一种实施方式中,网络流量数据包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据;
漏洞扫描数据为基于漏洞扫描获得的资产信息;
数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵;
时序特征表示流量数据的时序特性;流量特征表示网络流量的传输特性;探测特征是基于针对软硬件的扫描信息获得的;攻击特征是基于指定攻击行为的攻击信息获得的;侵入特征是基于指定侵入行为的侵入信息获得的;漏洞特征是基于针对漏洞的扫描信息获得的;威胁性特征是针对攻击链的攻击综合分析获得的;信息熵表示网络流量数据的集中分散情况。
一种实施方式中,检测单元303还用于:
采用以下步骤训练,获得攻击检测模型:
获取多个训练数据样本及其对应的数据检测样本;
基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得攻击检测模型,攻击检测初始模型是基于双向长短词记忆模型构建的。
一种实施方式中,检测单元303还用于:
基于各训练样本数据以及攻击检测初始模型,获得攻击检测训练结果;
根据攻击检测训练结果以及数据检测样本,确定模型损失;
若确定模型损失不符合训练条件,则对攻击检测初始模型的模型参数进行调整,直至获得符合训练条件的攻击检测模型。
一种实施方式中,获取单元301还用于:
对待检测数据进行去重;
将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据;
将二进制数据进行归一化处理。
本申请实施例提供的攻击检测的方法、装置、电子设备及计算机可读存储介质中,获取待检测数据;对待检测数据进行特征提取,获得数据特征集合;基于数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;攻击检测模型是基于双向长短词记忆模型构建的。这样,通过基于双向长短词记忆模型构建的攻击检测模型进行攻击检测,提高了攻击检测的准确率和有效性。
图4示出了一种电子设备4000的结构示意图。参阅图4所示,电子设备4000包括:处理器4010以及存储器4020,可选的,还可以包括电源4030、显示单元4040、输入单元4050。
处理器4010是电子设备4000的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器4020内的软件程序和/或数据,执行电子设备4000的各种功能,从而对电子设备4000进行整体监控。
本申请实施例中,处理器4010调用存储器4020中存储的计算机程序时执行上述实施例中的各个步骤。
可选的,处理器4010可包括一个或多个处理单元;优选的,处理器4010可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器4010中。在一些实施例中,处理器、存储器、可以在单一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
存储器4020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、各种应用等;存储数据区可存储根据电子设备4000的使用所创建的数据等。此外,存储器4020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
电子设备4000还包括给各个部件供电的电源4030(比如电池),电源可以通过电源管理系统与处理器4010逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
显示单元4040可用于显示由用户输入的信息或提供给用户的信息以及电子设备4000的各种菜单等,本发明实施例中主要用于显示电子设备4000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元4040可以包括显示面板4041。显示面板4041可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
输入单元4050可用于接收用户输入的数字或字符等信息。输入单元4050可包括触控面板4051以及其他输入设备4052。其中,触控面板4051,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板4051上或在触控面板4051附近的操作)。
具体的,触控面板4051可以检测用户的触摸操作,并检测触摸操作带来的信号,将这些信号转换成触点坐标,发送给处理器4010,并接收处理器4010发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板4051。其他输入设备4052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
当然,触控面板4051可覆盖显示面板4041,当触控面板4051检测到在其上或附近的触摸操作后,传送给处理器4010以确定触摸事件的类型,随后处理器4010根据触摸事件的类型在显示面板4041上提供相应的视觉输出。虽然在图4中,触控面板4051与显示面板4041是作为两个独立的部件来实现电子设备4000的输入和输出功能,但是在某些实施例中,可以将触控面板4051与显示面板4041集成而实现电子设备4000的输入和输出功能。
电子设备4000还可包括一个或多个传感器,例如压力传感器、重力加速度传感器、接近光传感器等。当然,根据具体应用中的需要,上述电子设备4000还可以包括摄像头等其它部件,由于这些部件不是本申请实施例中重点使用的部件,因此,在图4中没有示出,且不再详述。
本领域技术人员可以理解,图4仅仅是电子设备的举例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本申请实施例中,一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,使得通信设备可以执行上述实施例中的各个步骤。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (14)
1.一种攻击检测的方法,其特征在于,包括:
获取待检测数据;
对所述待检测数据进行特征提取,获得数据特征集合;
基于所述数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;所述攻击检测模型是基于双向长短词记忆模型构建的。
2.如权利要求1所述的方法,其特征在于,所述获取待检测数据,包括:
获取网络流量数据以及漏洞扫描数据。
3.如权利要求2所述的方法,其特征在于,所述网络流量数据包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据;
所述漏洞扫描数据为基于漏洞扫描获得的资产信息;
所述数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵;
所述时序特征表示流量数据的时序特性;所述流量特征表示网络流量的传输特性;所述探测特征是基于针对软硬件的扫描信息获得的;所述攻击特征是基于指定攻击行为的攻击信息获得的;所述侵入特征是基于指定侵入行为的侵入信息获得的;所述漏洞特征是基于针对漏洞的扫描信息获得的;所述威胁性特征是针对攻击链的攻击综合分析获得的;所述信息熵表示网络流量数据的集中分散情况。
4.如权利要求1-3任一项所述的方法,其特征在于,所述攻击检测模型是采用以下步骤训练获得的:
获取多个训练数据样本及其对应的数据检测样本;
基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得所述攻击检测模型,所述攻击检测初始模型是基于双向长短词记忆模型构建的。
5.如权利要求4所述的方法,其特征在于,所述基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得所述攻击检测模型,包括:
基于各训练样本数据以及所述攻击检测初始模型,获得攻击检测训练结果;
根据所述攻击检测训练结果以及所述数据检测样本,确定模型损失;
若确定所述模型损失不符合训练条件,则对所述攻击检测初始模型的模型参数进行调整,直至获得符合所述训练条件的所述攻击检测模型。
6.如权利要求1-3任一项所述的方法,其特征在于,在所述对所述待检测数据进行特征提取,获得数据特征集合之前,所述方法还包括:
对所述待检测数据进行去重;
将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据;
将所述二进制数据进行归一化处理。
7.一种攻击检测的装置,其特征在于,包括:
获取单元,用于获取待检测数据;
提取单元,用于对所述待检测数据进行特征提取,获得数据特征集合;
检测单元,用于基于所述数据特征集合,以及预先训练好的攻击检测模型,获得攻击检测结果;所述攻击检测模型是基于双向长短词记忆模型构建的。
8.如权利要求7所述的装置,其特征在于,所述获取单元用于:
获取网络流量数据以及漏洞扫描数据。
9.如权利要求8所述的装置,其特征在于,所述网络流量数据包括以下数据中的至少一种:审计数据、日志数据、流量数据、攻击数据以及告警数据;
所述漏洞扫描数据为基于漏洞扫描获得的资产信息;
所述数据特征集合中包含以下数据特征中的至少一个:
时序特征、流量特征、探测特征、攻击特征、侵入特征、漏洞特征、威胁性特征以及信息熵;
所述时序特征表示流量数据的时序特性;所述流量特征表示网络流量的传输特性;所述探测特征是基于针对软硬件的扫描信息获得的;所述攻击特征是基于指定攻击行为的攻击信息获得的;所述侵入特征是基于指定侵入行为的侵入信息获得的;所述漏洞特征是基于针对漏洞的扫描信息获得的;所述威胁性特征是针对攻击链的攻击综合分析获得的;所述信息熵表示网络流量数据的集中分散情况。
10.如权利要求7-9任一项所述的装置,其特征在于,所述检测单元还用于:
采用以下步骤训练,获得所述攻击检测模型:
获取多个训练数据样本及其对应的数据检测样本;
基于各训练数据样本及其对应的数据检测样本,对攻击检测初始模型进行训练,获得所述攻击检测模型,所述攻击检测初始模型是基于双向长短词记忆模型构建的。
11.如权利要求10所述的装置,其特征在于,所述检测单元还用于:
基于各训练样本数据以及所述攻击检测初始模型,获得攻击检测训练结果;
根据所述攻击检测训练结果以及所述数据检测样本,确定模型损失;
若确定所述模型损失不符合训练条件,则对所述攻击检测初始模型的模型参数进行调整,直至获得符合所述训练条件的所述攻击检测模型。
12.如权利要求7-9任一项所述的装置,其特征在于,所述获取单元还用于:
对所述待检测数据进行去重;
将去重后的待检测数据中的非数值数据进行二进制转换,获得二进制数据;
将所述二进制数据进行归一化处理。
13.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-6任一所述方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-6任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211393969.0A CN115801366A (zh) | 2022-11-08 | 2022-11-08 | 攻击检测的方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211393969.0A CN115801366A (zh) | 2022-11-08 | 2022-11-08 | 攻击检测的方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115801366A true CN115801366A (zh) | 2023-03-14 |
Family
ID=85436174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211393969.0A Pending CN115801366A (zh) | 2022-11-08 | 2022-11-08 | 攻击检测的方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115801366A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116204890A (zh) * | 2023-04-28 | 2023-06-02 | 浙江鹏信信息科技股份有限公司 | 一种自适应增强人工智能算法安全的算法组件库 |
-
2022
- 2022-11-08 CN CN202211393969.0A patent/CN115801366A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116204890A (zh) * | 2023-04-28 | 2023-06-02 | 浙江鹏信信息科技股份有限公司 | 一种自适应增强人工智能算法安全的算法组件库 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
| US11973774B2 (en) | Multi-stage anomaly detection for process chains in multi-host environments | |
| CN110958220B (zh) | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 | |
| US8356001B2 (en) | Systems and methods for application-level security | |
| CN108833186B (zh) | 一种网络攻击预测方法及装置 | |
| CN110213226B (zh) | 基于风险全要素辨识关联的网络攻击场景重建方法及系统 | |
| Bagui et al. | Machine learning based intrusion detection for IoT botnet | |
| CN117879970B (zh) | 一种网络安全防护方法及系统 | |
| Hu | Host-based anomaly intrusion detection | |
| CN110855649A (zh) | 一种检测服务器中异常进程的方法与装置 | |
| Radoglou-Grammatikis et al. | Flow anomaly based intrusion detection system for Android mobile devices | |
| Ranjan et al. | User behaviour analysis using data analytics and machine learning to predict malicious user versus legitimate user | |
| Tekiner et al. | A Lightweight IoT Cryptojacking Detection Mechanism in Heterogeneous Smart Home Networks. | |
| Dong et al. | BotDetector: An extreme learning machine‐based Internet of Things botnet detection model | |
| Kajal et al. | A hybrid approach for cyber security: improved intrusion detection system using Ann-Svm | |
| CN115801366A (zh) | 攻击检测的方法、装置、电子设备及计算机可读存储介质 | |
| Javed et al. | APT adversarial defence mechanism for industrial IoT enabled cyber-physical system | |
| CN116668054A (zh) | 一种安全事件协同监测预警方法、系统、设备及介质 | |
| Nocera et al. | A user behavior analytics (uba)-based solution using lstm neural network to mitigate ddos attack in fog and cloud environment | |
| US11997125B2 (en) | Automated actions in a security platform | |
| Huang | Application of computer data mining technology based on AKN algorithm in denial of service attack defense detection | |
| Azeroual et al. | A framework for implementing an ml or dl model to improve intrusion detection systems (ids) in the ntma context, with an example on the dataset (cse-cic-ids2018) | |
| Wen et al. | The application of rnn-based api data security detection in government cloud service | |
| CN112836214A (zh) | 一种通讯协议隐蔽通道检测方法 | |
| CN115118491B (zh) | 僵尸网络检测的方法、装置、电子设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |