CN116055165A - 一种恶意流量数据检测方法及系统 - Google Patents

一种恶意流量数据检测方法及系统 Download PDF

Info

Publication number
CN116055165A
CN116055165A CN202310032888.6A CN202310032888A CN116055165A CN 116055165 A CN116055165 A CN 116055165A CN 202310032888 A CN202310032888 A CN 202310032888A CN 116055165 A CN116055165 A CN 116055165A
Authority
CN
China
Prior art keywords
malicious
encoder
data
attack
malicious traffic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310032888.6A
Other languages
English (en)
Inventor
闫龙川
郭永和
何永远
陈智雨
牛佳宁
彭元龙
袁孝宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Information and Telecommunication Co Ltd
Original Assignee
State Grid Information and Telecommunication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Information and Telecommunication Co Ltd filed Critical State Grid Information and Telecommunication Co Ltd
Priority to CN202310032888.6A priority Critical patent/CN116055165A/zh
Publication of CN116055165A publication Critical patent/CN116055165A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种恶意流量数据检测方法,涉及恶意流量入侵检测技术领域。在执行所述方法时,先获取目标漏洞,根据目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器,然后在渗透攻击工具、攻击载荷以及编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据,再对恶意流量数据中的字段信息进行处理,得到恶意流量数据集,最后将恶意流量数据集中的数据输入训练好的并联神经网络模型,得到恶意流量数据的种类。使得在判别恶意流量的种类时,不限于利用对已知的恶意流量特征或模式来判别入侵,达到了能够对多种恶意流量检测的效果。

Description

一种恶意流量数据检测方法及系统
技术领域
本申请涉及恶意流量入侵检测技术领域,尤其涉及一种恶意流量数据检测方法及系统。
背景技术
恶意爬虫、自动机、模拟器等伪造真实用户发起的请求,都属于恶意流量。恶意流量的存在严重危害了互联网的健康发展。利用恶意流量数据检测可以在网络数据传输的过程中检测到恶意载荷。通过对网络流量数据的分析,可以提前对网络攻击进行检测,识别出哪些是非法的数据,进而可以主动检测出网络攻击的行为。
现有的恶意流量数据检测采用的方法有两种,基于签名的入侵检测,通过已知的特征或模式判别入侵;基于异常的入侵检测,通过分析网络中正常流量的行为数据等信息,将与正常行为数据有一定程度差异数据标记为异常,从而进行检测。
上述第一种方法是利用模式匹配或正则表达式的方法来进行检测的,将流量特征与知识库中的特征进行匹配来达到检测的目的,但这种技术不能检测出未知的网络恶意流量攻击,第二种方法在基于机器学习实现入侵检测需要人为提取特征,容易产生人为误差。
发明内容
有鉴于此,本申请提供了一种恶意流量数据检测方法及系统,旨在解决现有的恶意流量数据检测方法中不能检测出未知的网络恶意流量攻击以及需要人为提取恶意流量特征的问题。
第一方面,本申请提供了一种恶意流量数据检测方法,所述方法包括:
获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器;
在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据;
对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集;
将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
可选的,所述根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器之前还包括:
设定所述目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件。
可选的,所述根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器包括:
将所述渗透攻击工具选择条件、所述攻击载荷选择条件以及所述编码器选择条件,输入符号求解器进行运算求解,得到针对所述目标漏洞的渗透攻击工具、攻击载荷以及编码器。
可选的,所述对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集包括:
对所述恶意流量数据的内部字段进行标记,对所述标记后的字段进行解码,得到所述恶意流量数据的原始数据;
将所述恶意流量数据的原始数据转换为图像数据,得到所述恶意流量数据集。
可选的,所述并联神经网络模型包括:卷积神经网络模型和残差网络模型。
可选的,所述将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理之后,所述方法还包括:
利用特征融合将所述并联神经网络模型中的输出结果进行并联操作。
第二方面,本申请提供了一种恶意流量数据检测系统,所述系统包括:
漏洞获取模块,用于获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器;
探针插入模块,用于在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码;
数据生成模块,用于利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据;
数据处理模块,用于对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集;
检测模块,用于将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
可选的,所述系统还包括:条件设定模块,用于设定所述目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件。
可选的,所述系统还包括:运算模块,用于根据所述渗透攻击工具选择条件、所述攻击载荷选择条件以及所述编码器选择条件,进行运算求解,得到针对所述目标漏洞的渗透攻击工具、攻击载荷以及编码器。
可选的,所述系统还包括:标记模块,用于对所述恶意流量数据的内部字段进行标记,对所述标记后的字段进行解码,得到所述恶意流量数据的原始数据;
转换模块,用于将所述恶意流量数据的原始数据转换为图像数据,得到所述恶意流量数据集。
可选的,所述并联神经网络模型包括:卷积神经网络模型和残差网络模型。
可选的,所述系统还包括:特征融合模块,用于将所述并联神经网络模型中的输出结果进行并联操作。
第三方面,本申请提供了一种设备,所述设备包括存储器和处理器,所述存储器用于存储指令或代码,所述处理器用于执行所述指令或代码,以使所述设备执行前述第一方面任一项所述的方法。
第四方面,本申请提供了一种计算机存储介质,所述计算机存储介质中存储有代码,当所述代码被运行时,运行所述代码的设备实现前述第一方面任一项所述的方法。
本申请提供了一种恶意流量数据检测方法。在执行所述方法时,先获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器,然后在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据,再对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集,最后将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。这样,通过获取目标漏洞所在系统的类别,确定对应的渗透攻击工具、攻击载荷以及编码器,利用探针工具定向且自动生成恶意流量数据,然后利用并联神经网络模型进行识别检测,从而判别恶意流量的种类。使得在判别恶意流量的种类时,不限于利用对已知的恶意流量特征或模式来判别入侵,达到了能够检测多种恶意流量的效果,且无需人为提取特征。
附图说明
为更清楚地说明本实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种恶意流量数据检测方法流程图;
图2为本申请实施例提供的一种符号执行流程图;
图3为本申请实施例提供的一种渗透攻击工具选择流程图;
图4为本申请实施例提供的一种流量预处理流程图;
图5为本申请实施例提供的一种并联网络模型检测流程图;
图6为本申请实施例提供的一种恶意流量数据检测结构示意图。
具体实施方式
参见图1,图1为本申请实施例提供的一种恶意流量数据检测方法流程图,包括:
S101:获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器。
利用安全漏洞检测工具Metasploit中的符号执行模块获取目标漏洞的系统版本,漏洞利用的优先级,从而得到针对此漏洞所需要用到的渗透攻击(exploit)模块,攻击载荷(payload)模块,参见图2中所示的符号执行流程图,预先设定目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件,根据是否设置payload的判断条件选择可用的payload;根据Metasploit中有关encoder的判断条件选择可用的encoder;将调用exploit,payload,encoder的选择条件送入符号求解器进行运算求解,从而得出针对特定漏洞的exploit,payload,encoder。
具体的exploit的判断过程参见图3,图3为本申请实施例提供的一种渗透攻击工具选择流程图,根据exploit的判断条件选择可用的exploit,例如根据目标靶机的系统target的不同,来选择不同的exploit,具体为输入“rank=excellent”,当输出为“TRUE”,判断“target==Windows server”,若是,则选择第一exploit,否则利用“target==Linux”进行判断,若输出为“TRUE”,则选择第二exploit,若输出为“FALSE”,则选择第三exploit。若“rank=excellent”的输出为“FALSE”,则利用“rank==great”进行判断。当输出结果为“TRUE”时,利用“target==Windows xp”进行判断,若输出结果为“TRUE”,则选择第四exploit,若输出结果为“FALSE”,则选择第五exploit;当“rank=excellent”的输出为“FALSE”时,选择第六exploit。
需要说明的是,针对同一漏洞可能会得出多个漏洞利用exploit模块。
S102:在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据。
在选择特定的exploit,payload,encoder之后,在Metasploit中的exploit,payload,encoder中添加探针,在不需要搭建漏洞靶机的情况下,自动化产生大量的恶意流量数据,同时对恶意流量数据的内部字段进行标记,将得到的恶意流量存储在文件中等待处理。
S103:对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集。
Metasploit中的流量预处理模块对所述恶意流量数据进行处理,首先对恶意流量数据的内部字段进行标记,对所述标记后的字段进行解码,从而还原出原始的恶意流量信息,跟据解码中流量内容的桩代码stub(解码的key值位于stub中)信息,通过固定字符确定key值及位置,对不同恶意流量进行处理,得到所述恶意流量数据的原始有效负载payload值,将原始恶意流量数据进行数据扩充和数据转换处理,转换为神经网络模型输入的图像格式,将样本转化为灰度图像,每八位数据信息代表一个像素值,将产生的数据图像进行整合处理,使之能够满足模型的输入。
S104:将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
所述并联神经网络模型包括卷积神经网络模型和残差网络模型,对该并联神经网络模型进行训练的过程包括,先将大量预处理后的图像信息送入并联神经网络模型进行训练,利用并联网络模型中卷积层的特性提取恶意流量的特征,分别将图像送入卷积神经网络以及残差网络中进行特征提取,在卷积神经网络模块中,使用卷积层和池化层对样本数据进行处理,提取样本数据的空间特征,并生成一个特征图作为下一层的输入,在残差网络模块中,使用残差网络块更有利于训练过程神经网络的收敛,同时使用最大池化操作,生成一个特征图送入下一层网络。经过两个神经网络模块池化后会产生两个特征图,在特征融合中将卷积神经网络与残差网络的输出进行并联操作,例如采用Concat进行并联操作。在进行并联操作的过程中,分别对两个单独的网络模块赋予两个权重值α与β,在模型训练的过程中α与β两个参数是进行动态调整的,同时α与β的和恒定为1。将模型进行多次迭代训练达到最优结果,最后在模型中使用全连接层,使模型的维度降为与类别相同。使用softmax交叉熵损失函数对输入的特征图进行处理,使用one-hot编码输出样本对应的类别。
具体参见图5,图5为图5为本申请实施例提供的一种并联网络模型检测流程图,将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理后,并联网络模型检测模块通过输入层读取处理后的恶意流量,结合两个网络模型的特征,利用卷积层对恶意流量内容信息进行特征提取。将卷积神经网络模块和残差网络模块进行并联,使两个网络模块经过提取特征后的张量在特征图上进行合并操作,同时赋予两个并联模块动态调节权重参数α与β,两个权重参数可以根据模型的训练进行动态调整,最大程度地提取恶意载荷内容特征,从而更好的达到检测恶意流量入侵的目的,同时可以实现检测是哪种恶意流量的目标。
本申请提供了一种恶意流量数据检测方法。在执行所述方法时,先获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器,然后在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据,再对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集,最后将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。这样,通过获取目标漏洞所在系统的类别,确定对应的渗透攻击工具、攻击载荷以及编码器,利用探针工具定向且自动生成恶意流量数据,然后利用并联神经网络模型进行识别检测,从而判别恶意流量的种类。使得在判别恶意流量的种类时,不限于利用对已知的恶意流量特征或模式来判别入侵,达到了能够检测多种恶意流量的效果。
以上为本申请实施例提供的恶意流量数据检测方法的一些具体实现方式,基于此,本申请还提供了对应的系统。下面将从功能模块化的角度对本申请实施例提供的系统进行介绍。
参见图6,图6为本申请实施例提供的一种恶意流量数据检测结构示意图,该系统包括:
漏洞获取模块610,用于获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器;
探针插入模块620,用于在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码;
数据生成模块630,用于利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据;
数据处理模块640,用于对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集;
检测模块650,用于将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
在本申请实施例的一种实现方式中,所述系统还包括:条件设定模块,用于设定所述目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件。
在本申请实施例的一种实现方式中,所述系统还包括:运算模块,用于根据所述渗透攻击工具选择条件、所述攻击载荷选择条件以及所述编码器选择条件,进行运算求解,得到针对所述目标漏洞的渗透攻击工具、攻击载荷以及编码器。
在本申请实施例的一种实现方式中,所述系统还包括:标记模块,用于对所述恶意流量数据的内部字段进行标记,对所述标记后的字段进行解码,得到所述恶意流量数据的原始数据;
转换模块,用于将所述恶意流量数据的原始数据转换为图像数据,得到所述恶意流量数据集。
在本申请实施例的一种实现方式中,所述并联神经网络模型包括:卷积神经网络模型和残差网络模型。
在本申请实施例的一种实现方式中,所述系统还包括:特征融合模块,用于将所述并联神经网络模型中的输出结果进行并联操作。
本申请公开了一种恶意流量数据检测系统,该系统能够充分利用原始恶意流量的有效信息,将信息数据转换为灰度图像后,基于并联神经网络模型分类不同的恶意载荷流量和正常流量,从而完成恶意流量检测任务。
本申请实施例还提供了对应的设备以及计算机存储介质,用于实现本申请实施例提供的方案。
其中,所述设备包括存储器和处理器,所述存储器用于存储指令或代码,所述处理器用于执行所述指令或代码,以使所述设备执行本申请任一实施例所述的方法。
所述计算机存储介质中存储有代码,当所述代码被运行时,运行所述代码的设备实现本申请任一实施例所述的方法。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如只读存储器(英文:read-only memory,ROM)/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
还需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元提示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种恶意流量数据检测方法,其特征在于,所述方法包括:
获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器;
在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码,利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据;
对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集;
将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器之前还包括:
设定所述目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件。
3.根据权利要求2所述的方法,其特征在于,所述根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器包括:
将所述渗透攻击工具选择条件、所述攻击载荷选择条件以及所述编码器选择条件,输入符号求解器进行运算求解,得到针对所述目标漏洞的渗透攻击工具、攻击载荷以及编码器。
4.根据权利要求1所述的方法,其特征在于,所述对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集包括:
对所述恶意流量数据的内部字段进行标记,对所述标记后的字段进行解码,得到所述恶意流量数据的原始数据;
将所述恶意流量数据的原始数据转换为图像数据,得到所述恶意流量数据集。
5.根据权利要求1所述的方法,其特征在于,所述并联神经网络模型包括:
卷积神经网络模型和残差网络模型。
6.根据权利要求1所述的方法,其特征在于,所述将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理之后,所述方法还包括:
利用特征融合将所述并联神经网络模型中的输出结果进行并联操作。
7.一种恶意流量数据检测系统,其特征在于,所述系统包括:
漏洞获取模块,用于获取目标漏洞,根据所述目标漏洞获取对应的渗透攻击工具、攻击载荷以及编码器;
探针插入模块,用于在所述渗透攻击工具、所述攻击载荷以及所述编码器中分别插入探针代码;
数据生成模块,用于利用插入探针代码后的渗透攻击工具、插入探针代码后的攻击载荷以及插入探针代码后的编码器自动生成恶意流量数据;
数据处理模块,用于对所述恶意流量数据中的字段信息进行处理,得到恶意流量数据集;
检测模块,用于将所述恶意流量数据集中的数据输入训练好的并联神经网络模型进行处理,得到所述恶意流量数据的种类。
8.根据权利要求7所述的系统,其特征在于,所述系统还包括:
条件设定模块,用于设定所述目标漏洞对应的渗透攻击工具选择条件、攻击载荷选择条件以及编码器选择条件。
9.一种计算设备,其特征在于,所述设备包括:存储器、处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序时实现如权利要求1至6任一项方法所述的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项方法所述的步骤。
CN202310032888.6A 2023-01-10 2023-01-10 一种恶意流量数据检测方法及系统 Pending CN116055165A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310032888.6A CN116055165A (zh) 2023-01-10 2023-01-10 一种恶意流量数据检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310032888.6A CN116055165A (zh) 2023-01-10 2023-01-10 一种恶意流量数据检测方法及系统

Publications (1)

Publication Number Publication Date
CN116055165A true CN116055165A (zh) 2023-05-02

Family

ID=86116783

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310032888.6A Pending CN116055165A (zh) 2023-01-10 2023-01-10 一种恶意流量数据检测方法及系统

Country Status (1)

Country Link
CN (1) CN116055165A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116455679A (zh) * 2023-06-16 2023-07-18 杭州美创科技股份有限公司 异常数据库运维流量监控方法、装置及计算机设备
CN116775147A (zh) * 2023-06-08 2023-09-19 北京天融信网络安全技术有限公司 一种可执行文件处理方法、装置、设备及存储介质

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116775147A (zh) * 2023-06-08 2023-09-19 北京天融信网络安全技术有限公司 一种可执行文件处理方法、装置、设备及存储介质
CN116775147B (zh) * 2023-06-08 2024-03-15 北京天融信网络安全技术有限公司 一种可执行文件处理方法、装置、设备及存储介质
CN116455679A (zh) * 2023-06-16 2023-07-18 杭州美创科技股份有限公司 异常数据库运维流量监控方法、装置及计算机设备
CN116455679B (zh) * 2023-06-16 2023-09-08 杭州美创科技股份有限公司 异常数据库运维流量监控方法、装置及计算机设备

Similar Documents

Publication Publication Date Title
CN116055165A (zh) 一种恶意流量数据检测方法及系统
CN112685739B (zh) 恶意代码检测方法、数据交互方法及相关设备
CN112866023B (zh) 网络检测、模型训练方法、装置、设备及存储介质
CN107204956B (zh) 网站识别方法及装置
CN112989348B (zh) 攻击检测方法、模型训练方法、装置、服务器及存储介质
CN108229170B (zh) 利用大数据和神经网络的软件分析方法和装置
CN113935033A (zh) 特征融合的恶意代码家族分类方法、装置和存储介质
CN111556065A (zh) 钓鱼网站检测方法、装置及计算机可读存储介质
KR102022058B1 (ko) 웹 페이지 위변조 탐지 방법 및 시스템
CN113127864B (zh) 特征码提取方法、装置、计算机设备和可读存储介质
CN110830489A (zh) 基于内容抽象表示的对抗式欺诈网站检测方法及系统
Pérez et al. Universal steganography detector based on an artificial immune system for JPEG images
CN113420295A (zh) 恶意软件的检测方法及装置
CN113949525A (zh) 异常访问行为的检测方法、装置、存储介质及电子设备
CN116232694A (zh) 轻量级网络入侵检测方法、装置、电子设备及存储介质
CN114124448B (zh) 一种基于机器学习的跨站脚本攻击识别方法
CN111581487B (zh) 一种信息处理方法及装置
CN114297735A (zh) 数据处理方法及相关装置
CN115622793A (zh) 一种攻击类型识别方法、装置、电子设备及存储介质
CN111126420A (zh) 一种建立识别模型的方法及装置
CN111901324B (zh) 一种基于序列熵流量识别的方法、装置和存储介质
CN113992390A (zh) 一种钓鱼网站的检测方法及装置、存储介质
CN112257053A (zh) 一种基于通用对抗扰动的图像验证码生成方法及系统
CN111159588A (zh) 一种基于url成像技术的恶意url检测方法
CN116545767B (zh) 一种基于生成对抗网络的xss攻击载荷自动生成方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination