CN116248334A - 流量安防方法、装置、计算机设备和计算机可读存储介质 - Google Patents
流量安防方法、装置、计算机设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN116248334A CN116248334A CN202211636961.2A CN202211636961A CN116248334A CN 116248334 A CN116248334 A CN 116248334A CN 202211636961 A CN202211636961 A CN 202211636961A CN 116248334 A CN116248334 A CN 116248334A
- Authority
- CN
- China
- Prior art keywords
- neural network
- network model
- historical
- flow
- current flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02T—CLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
- Y02T10/00—Road transport of goods or passengers
- Y02T10/10—Internal combustion engine [ICE] based vehicles
- Y02T10/40—Engine management systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文提供了一种流量安防方法、装置、计算机设备和计算机可读存储介质,其中方法包括:将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取当前流量的深层特征,所述深层特征用于表征当前流量的实质性特点;根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;根据所述安防策略对所述当前流量进行安防。本文能够较高精准度的识别出非法流量进而提高网络系统的安全性能。
Description
技术领域
本发明涉及网络安全领域,特别地,涉及一种流量安防方法、装置、计算机设备和计算机可读存储介质。
背景技术
流量攻击往往采取合法的数据请求技术,再加上傀儡机器,造成流量攻击成为最难防御的网络攻击之一。现有技术中的流量攻击分为两种:要么通过大数据、大流量来压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。
现有技术中防止流量攻击的方法面临的关键性难题是无法从大量的流量中精准识别出非法流量,因此现在亟需一种流量安防方法,能够较高精准度的识别出非法流量进而提高网络系统的安全性能。
发明内容
本文实施例的目的在于提供一种流量安防方法、装置、计算机设备和计算机可读存储介质,能够较高精准度的识别出非法流量进而提高网络系统的安全性能。
为达到上述目的,一方面,本文实施例提供了一种流量安防方法,包括:
将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
根据所述安防策略对所述当前流量进行安防。
优选的,所述方法还包括:
根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
优选的,所述根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化,包括:
将部分历史流量输入至神经网络模型中,得到部分历史流量的预测所属类型;
根据所述部分历史流量的预测所属类型以及真实所属类型之间的差值,构建损失函数;
根据所述损失函数对神经网络模型进行一次优化。
优选的,所述基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型,包括:
将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中的特征提取器进行特征提取,得到全部历史流量的初始特征;
将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征;
利用所述深层特征替换所述初始特征后,所述深层特征对神经网络模型中分类器进行调整,得到二次优化后的神经网络模型。
优选的,所述将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中特征提取器进行特征提取,得到全部历史流量的初始特征,包括:
将全部历史流量输入一次优化后的神经网络模型,神经网络模型中特征提取器根据流量的源地址、目的地址以及请求的服务类型进行特征提取,得到全部历史流量的初始特征。
优选的,所述将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征,包括:
将所述初始特征输入图神经网络模型;
所述图神经网络模型将所述全部历史流量的初始特征作为多个节点,将两个历史流量之间属性的相似度值作为两个节点的连接边,进一步提取初始特征得到全部历史流量的深层特征;其中所述属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者。
另一方面,本文实施例提供了一种流量安防装置,所述装置包括:
预测模块,用于将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
策略确定模块,用于根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
安防模块,用于根据所述安防策略对所述当前流量进行安防。
优选的,所述装置还包括:
一次优化模块,用于根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
二次优化模块,用于基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
优选的,所述一次优化模块包括:
部分预测子模块,用于将部分历史流量输入至神经网络模型中,得到部分历史流量的预测所属类型;
损失函数构建子模块,用于根据所述部分历史流量的预测所属类型以及真实所属类型之间的差值,构建损失函数;
一次优化子模块,用于根据所述损失函数对神经网络模型进行一次优化。
优选的,所述二次优化模块包括:
特征提取子模块,用于将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中的特征提取器进行特征提取,得到全部历史流量的初始特征;
深层特征确定子模块,用于将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征;
二次优化子模块,用于利用所述深层特征替换所述初始特征后,所述深层特征对神经网络模型中分类器进行调整,得到二次优化后的神经网络模型。
优选的,所述特征提取子模块具体用于将全部历史流量输入一次优化后的神经网络模型,神经网络模型中特征提取器根据流量的源地址、目的地址以及请求的服务类型进行特征提取,得到全部历史流量的初始特征。
优选的,所述深层特征确定子模块具体用于:将所述初始特征输入图神经网络模型;所述图神经网络模型将所述全部历史流量的初始特征作为多个节点,将两个历史流量之间属性的相似度值作为两个节点的连接边,进一步提取初始特征得到全部历史流量的深层特征;其中所述属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者。
又一方面,本文实施例还提供了一种计算机设备,包括存储器、处理器、以及存储在所述存储器上的计算机程序,所述计算机程序被所述处理器运行时,执行上述任意一项所述方法的指令。
又一方面,本文实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被计算机设备的处理器运行时,执行上述任意一项所述方法的指令。
由以上本文实施例提供的技术方案可见,本文实施例通过二次优化后的神经网络模型可以达到较高的预测精准度,进而更为准确的识别当前流量的所属类型,比起现有的神经网络模型来说,二次优化后的神经网络模型能够提取当前流量的深层特征,根据当前流量的实质性特点来确定所属类型。以此确定当前流量对应的安防策略,进行安防,以提高网络系统的安全性能。
为让本文的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本文实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本文实施例提供的一种流量安防方法的流程示意图;
图2示出了本文实施例提供的一种流量安防方法的另一流程示意图;
图3示出了本文实施例提供的根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化的流程示意图;
图4示出了本文实施例提供的基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型的流程示意图;
图5示出了本文实施例提供的将初始特征输入图神经网络模型,得到全部历史流量的深层特征的流程示意图;
图6示出了本文实施例提供的根据当前流量的所属类型,得到当前流量对应的安防策略的流程示意图;
图7示出了本文实施例提供的一种流量安防装置的模块结构示意图;
图8示出了本文实施例提供的计算机设备的结构示意图。
附图符号说明:
100、预测模块;
200、策略确定模块;
300、安防模块;
802、计算机设备;
804、处理器;
806、存储器;
808、驱动机构;
810、输入/输出模块;
812、输入设备;
814、输出设备;
816、呈现设备;
818、图形用户接口;
820、网络接口;
822、通信链路;
824、通信总线。
具体实施方式
下面将结合本文实施例中的附图,对本文实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文一部分实施例,而不是全部的实施例。基于本文中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本文保护的范围。
流量攻击往往采取合法的数据请求技术,再加上傀儡机器,造成流量攻击成为最难防御的网络攻击之一。现有技术中的流量攻击分为两种:要么大数据,大流量来压垮网络设备和服务器,要么有意制造大量无法完成的不完全请求来快速耗尽服务器资源。现有技术中防止流量攻击的方法中面临的关键性难题是无法由大量的流量中精准识别出非法流量。
为了解决上述问题,本文实施例提供了一种流量安防方法。图1是本文实施例提供的一种流量安防方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或装置产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行。
需要说明的是,本文的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本文的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
参照图1,本文提供了一种流量安防方法,包括:
S101:将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
S102:根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
S103:根据所述安防策略对所述当前流量进行安防。
本文实施例中的流量指的是报文流量,比起现有的神经网络模型,二次优化后的神经网络模型能够提取当前流量的深层特征,这些深层特征能够表征当前流量的实质性特点。现有的神经网络模型无法提取当前流量的深层特征,导致现有的神经网络模型在预测当前流量的所属类型时预测的结果不准确,而经过本文实施例的方法得到的二次优化后的神经网络模型能够提高预测的准确度,更为精准的对当前流量进行分类。
对于不同类型的流量有不同的安防策略,根据对应的安防策略可以对当前流量进行安防。
通过本文实施例的方法得到的二次优化后的神经网络模型可以达到较高的预测精准度,进而更为准确的识别当前流量的所属类型,比起现有的神经网络模型来说,二次优化后的神经网络模型能够提取当前流量的深层特征,根据当前流量的实质性特点来确定所属类型。以此确定当前流量对应的安防策略,进行安防,以提高网络系统的安全性能。
在本文实施例中,参照图2,所述方法还包括:
S201:根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
S202:基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
至于历史流量,可以是过去一年的流量,也可以是过去一季度的流量,一般来说历史流量的数量较多。由于神经网络模型的自身性质,海量的历史流量在进行一次优化时表现并不好,而如果只选用其中的一部分少量的历史流量来进行神经网络模型的优化,可以达到较好的优化效果,而具体可以从海量历史流量中随机选取少量部分历史流量。
在进行了一次优化之后,对于一次优化后的神经网络模型还可以进行二次优化。二次优化主要是基于图神经网络模型在一次优化的基础上进行的,一次优化与二次优化的叠加能够保证神经网络模型的预测准确度,在一次优化的基础上基于图神经网络模型进行二次优化后得到的特征即为深层特征。
在本文实施例中,参照图3,所述根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化,包括:
S301:将部分历史流量输入至神经网络模型中,得到部分历史流量的预测所属类型;
S302:根据所述部分历史流量的预测所属类型以及真实所属类型之间的差值,构建损失函数;
S303:根据所述损失函数对神经网络模型进行一次优化。
对于部分历史流量来说,已知其对应的真实所属类型,在进行一次优化时,将部分历史流量输入至神经网络模型中,得到对应的预测所属类型,根据预测所属类型与真实所属类型之间的差值,构建损失函数。可以利用梯度下降法对损失函数进行优化,得到损失函数的最小值,进一步确定最小损失函数对应的神经网络模型的偏置和权重,即可得到一次优化后的神经网络模型,其中神经网络模型可以为Alexnet、VGG、Resnet等类似的卷积神经网络模型。
在本文实施例中,所述将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中特征提取器进行特征提取,得到全部历史流量的初始特征进一步包括:
将全部历史流量输入一次优化后的神经网络模型,神经网络模型中特征提取器根据流量的源地址、目的地址以及请求的服务类型进行特征提取,得到全部历史流量的初始特征。
一般来说,一次优化后的神经网络模型中特征提取器进行特征提取时的依据只有流量的源地址、目的地址以及请求的服务类型,这些信息是报文流量在传输过程中携带的信息。
在本文实施例中,参照图4,所述基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型,包括:
S401:将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中的特征提取器进行特征提取,得到全部历史流量的初始特征;
S402:将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征;
S403:利用所述深层特征替换所述初始特征后,所述深层特征对神经网络模型中分类器进行调整,得到二次优化后的神经网络模型。一般来说,神经网络模型中包括特征提取器和分类器,全部历史流量先经过特征提取器进行特征提取后,即可得到全部历史流量的初始特征,在现有技术中会直接将全部历史流量的初始特征输入至分类器进行分类,即可得到全部历史流量对应的所属类型。
但本文与现有技术不同之处在于,本文中不将初始特征输入分类器而是输入图神经网络模型,图神经网络模型可以根据初始特征得到深层特征,此时将原本神经网络模型中特征提取器得到的初始特征替换为深层特征,深层特征对神经网络模型中分类器进行调整,依此进行二次优化,得到二次优化后的神经网络模型,分类器调整后得到的二次优化后的神经网络模型进行分类的准确度更高,其中图神经网络模型可以为GNN、GCN、GAT、GAE等类似的图神经网络模型。在本文实施例中,参照图5,所述将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征,包括:
S501:将所述初始特征输入图神经网络模型;
S502:所述图神经网络模型将所述全部历史流量的初始特征作为多个节点,将两个历史流量之间属性的相似度值作为两个节点的连接边,进一步提取初始特征得到全部历史流量的深层特征;其中所述属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者。
对于图神经网络模型来说,图神经网络模型只完成根据初始特征提取深层特征这一项工作,具体需要将两个历史流量的初始特征作为节点,将两个历史流量之间属性相似度值作为连接节点的连接边。而其中属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者,对于报文协议、加密标记以及数据包的量来说,这些是报文流量在传输过程中携带的信息,而对于流量的传输时长以及带宽来说,是通过监测得到的信息。
为了实现提取得到深层特征这一目的,图神经网络模型在初始特征的基础上又进一步添加流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者,将这些属性作为深层特征提取的依据,以表征流量的实质性特点。
图神经网络技术通过特定的策略对图中的顶点进行游走采样进而学习到图中的顶点的相似性。在训练过程中,相似度高的顶点距离拉近,而相似度低的顶点距离拉远。训练结束后,此时顶点的向量表示即为深层特征。因为该深层特征不仅包含神经网络模型中特征提取器对历史流量在数据层面的提取到的特征,还包含了历史流量在属性空间层面的距离信息。数据层面的特征结合属性空间层面的特征构成历史流量的实质性特点,其中属性空间层面的特征可以是通过历史流量之间的属性相似度值得到的历史流量的距离信息。
与一般神经网络模型提取的初始特征相比,深层特征中多包含了属性空间的信息。包含更多的信息意味着能更好体现当前流量的实质性特点,因此,在下游任务中可以获得更好的表现。
其中任意两个历史流量之间的属性相似度值可以通过如下方法确定:
步骤1:对两个历史流量的属性进行归一化处理;
步骤2:将归一化后的属性进行高维空间向量映射,得到两个历史流量分别对应的向量;
步骤3:计算两个向量之间的余弦相似度,得到两个历史流量之间的属性相似度值。
步骤2中进行高维空间向量映射的目的是综合历史流量的所有归一化后的属性,方便后续的计算,步骤3中计算得到的相似度值为0或1,代表两个历史流量之间的属性相似度为不相似或相似。
在本文实施例中,参照图6,所述根据所述当前流量的所属类型,得到所述当前流量对应的安防策略,包括:
S601:根据所述当前流量的所属类型,确定所述当前流量对应的安防服务器,其中不同类型的流量对应的安防服务器不同,所述安防服务器中部署有安防策略;
S602:将所述当前流量发送至对应的安防服务器。
例如设置四个安防服务器:安全检测分析服务器、可信业务访问服务器、加密流量解析服务器、未知威胁检测分析服务器,其中安全检测分析服务器处理的流量类型为攻击流量,可信业务访问服务器处理的流量类型为可信度较高的流量,加密流量解析服务器处理的流量类型为加密流量,未知威胁检测分析服务器处理的流量类型为存在威胁的流量。
具体的,攻击流量可以是大量消耗网络带宽或使用大量数据包淹没一个或多个路由器、服务器和防火墙,或者利用TCP和HTTP等协议定义的行为来不断占用计算资源以阻止它们处理正常事务和请求的流量;可信度较高的流量可以是流量的源地址和目的地址均在白名单中的流量;加密流量可以是通过ASE(对称加密算法)或者RSA(非对称加密算法)来进行加密传输的流量;存在威胁的流量可以是判定存在威胁,但是并未暴露出明显的攻击意图的流量。
对于攻击类流量来说,安防策略可以是沙箱方案,沙箱属于apt攻击检测中的一种手段方案,沙箱方案的原理是将实时流量先引进虚拟机或者沙箱,通过对沙箱的文件系统、进程、网络行为、注册表等进行监控,监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术,沙箱方案对未知的恶意程序攻击具有较好的检测能力,还能解决特征匹配对新型攻击的滞后性。
对于可信度较高的流量来说,安防策略可以是对该流量添加信任标签,使得在向下传递的过程中,接收设备不再需要多次验证步骤,节省带宽。
对于加密流量来说,安防策略可以是根据不同的加密方式自动选取合适的解析方式进行解密,并将解密后的信息继续向下传递。
对于存在威胁的流量来说,安防策略可以是将该流量与预设的威胁情报库的信息进行相似性比对,判定其威胁程度,对威胁程度较高的流量可以直接阻断该流量的传播。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。且本申请实施例描述的技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
基于上述所述的一种流量安防方法,本文实施例还提供一种流量安防装置。所述的装置可以包括使用了本文实施例所述方法的系统(包括分布式系统)、软件(应用)、模块、组件、服务器、客户端等并结合必要的实施硬件的装置。基于同一创新构思,本文实施例提供的一个或多个实施例中的装置如下面的实施例所述。由于装置解决问题的实现方案与方法相似,因此本文实施例具体的装置的实施可以参见前述方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
具体地,图7是本文实施例提供的一种流量安防装置一个实施例的模块结构示意图,参照图7所示,本文实施例提供的一种流量安防装置包括:预测模块100、策略确定模块200、安防模块300。
预测模块100,用于将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
策略确定模块200,用于根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
安防模块300,用于根据所述安防策略对所述当前流量进行安防。
在本文实施例中,所述装置还包括:
一次优化模块,用于根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
二次优化模块,用于基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
在本文实施例中,所述一次优化模块包括:
部分预测子模块,用于将部分历史流量输入至神经网络模型中,得到部分历史流量的预测所属类型;
损失函数构建子模块,用于根据所述部分历史流量的预测所属类型以及真实所属类型之间的差值,构建损失函数;
一次优化子模块,用于根据所述损失函数对神经网络模型进行一次优化。
在本文实施例中,所述二次优化模块包括:
特征提取子模块,用于将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中的特征提取器进行特征提取,得到全部历史流量的初始特征;
深层特征确定子模块,用于将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征;
二次优化子模块,用于利用所述深层特征替换所述初始特征后,所述深层特征对神经网络模型中分类器进行调整,得到二次优化后的神经网络模型。
在本文实施例中,所述特征提取子模块具体用于将全部历史流量输入一次优化后的神经网络模型,神经网络模型中特征提取器根据流量的源地址、目的地址以及请求的服务类型进行特征提取,得到全部历史流量的初始特征。
在本文实施例中,所述深层特征确定子模块具体用于:将所述初始特征输入图神经网络模型;所述图神经网络模型将所述全部历史流量的初始特征作为多个节点,将两个历史流量之间属性的相似度值作为两个节点的连接边,进一步提取初始特征得到全部历史流量的深层特征;其中所述属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者。
参照图8所示,基于上述所述的一种流量安防方法,本文一实施例中还提供一种计算机设备802,其中上述方法运行在计算机设备802上。计算机设备802可以包括一个或多个处理器804,诸如一个或多个中央处理单元(CPU)或图形处理器(GPU),每个处理单元可以实现一个或多个硬件线程。计算机设备802还可以包括任何存储器806,其用于存储诸如代码、设置、数据等之类的任何种类的信息,一具体实施方式中,存储器806上并可在处理器804上运行的计算机程序,所述计算机程序被所述处理器804运行时,可以执行根据上述方法的指令。非限制性的,比如,存储器806可以包括以下任一项或多种组合:任何类型的RAM,任何类型的ROM,闪存设备,硬盘,光盘等。更一般地,任何存储器都可以使用任何技术来存储信息。进一步地,任何存储器可以提供信息的易失性或非易失性保留。进一步地,任何存储器可以表示计算机设备802的固定或可移除部件。在一种情况下,当处理器804执行被存储在任何存储器或存储器的组合中的相关联的指令时,计算机设备802可以执行相关联指令的任一操作。计算机设备802还包括用于与任何存储器交互的一个或多个驱动机构808,诸如硬盘驱动机构、光盘驱动机构等。
计算机设备802还可以包括输入/输出模块810(I/O),其用于接收各种输入(经由输入设备812)和用于提供各种输出(经由输出设备814)。一个具体输出机构可以包括呈现设备816和相关联的图形用户接口818(GUI)。在其他实施例中,还可以不包括输入/输出模块810(I/O)、输入设备812以及输出设备814,仅作为网络中的一台计算机设备。计算机设备802还可以包括一个或多个网络接口820,其用于经由一个或多个通信链路822与其他设备交换数据。一个或多个通信总线824将上文所描述的部件耦合在一起。
通信链路822可以以任何方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任何组合。通信链路822可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
对应于图1-图6中的方法,本文实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法的步骤。
本文实施例还提供一种计算机可读指令,其中当处理器执行所述指令时,其中的程序使得处理器执行如图1至图6所示的方法。
应理解,在本文的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本文实施例的实施过程构成任何限定。
还应理解,在本文实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本文的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本文所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文实施例方案的目的。
另外,在本文各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本文的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本文各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本文中应用了具体实施例对本文的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本文的方法及其核心思想;同时,对于本领域的一般技术人员,依据本文的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本文的限制。
Claims (10)
1.一种流量安防方法,其特征在于,包括:
将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
根据所述安防策略对所述当前流量进行安防。
2.根据权利要求1所述的流量安防方法,其特征在于,所述方法还包括:
根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
3.根据权利要求2所述的流量安防方法,其特征在于,所述根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化,包括:
将部分历史流量输入至神经网络模型中,得到部分历史流量的预测所属类型;
根据所述部分历史流量的预测所属类型以及真实所属类型之间的差值,构建损失函数;
根据所述损失函数对神经网络模型进行一次优化。
4.根据权利要求2所述的流量安防方法,其特征在于,所述基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型,包括:
将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中的特征提取器进行特征提取,得到全部历史流量的初始特征;
将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征;
利用所述深层特征替换所述初始特征后,所述深层特征对神经网络模型中分类器进行调整,得到二次优化后的神经网络模型。
5.根据权利要求4所述的流量安防方法,其特征在于,所述将全部历史流量输入一次优化后的神经网络模型,利用神经网络模型中特征提取器进行特征提取,得到全部历史流量的初始特征,包括:
将全部历史流量输入一次优化后的神经网络模型,神经网络模型中特征提取器根据流量的源地址、目的地址以及请求的服务类型进行特征提取,得到全部历史流量的初始特征。
6.根据权利要求4所述的流量安防方法,其特征在于,所述将所述初始特征输入图神经网络模型,得到全部历史流量的深层特征,包括:
将所述初始特征输入图神经网络模型;
所述图神经网络模型将所述全部历史流量的初始特征作为多个节点,将两个历史流量之间属性的相似度值作为两个节点的连接边,进一步提取初始特征得到全部历史流量的深层特征;其中所述属性为流量中的报文协议、加密标记、数据包的量、流量传输的时长以及带宽中的任意一者或多者。
7.一种流量安防装置,其特征在于,所述装置包括:
预测模块,用于将当前流量输入至二次优化后的神经网络模型中,预测得到当前流量的所属类型,其中所述优化后的神经网络模型可提取所述当前流量的深层特征,所述深层特征用于表征所述当前流量的实质性特点;
策略确定模块,用于根据所述当前流量的所属类型,得到所述当前流量对应的安防策略;
安防模块,用于根据所述安防策略对所述当前流量进行安防。
8.根据权利要求7所述的流量安防装置,其特征在于,所述装置还包括:
一次优化模块,用于根据部分历史流量以及部分历史流量的真实所属类型对神经网络模型进行一次优化;
二次优化模块,用于基于图神经网络模型对一次优化后的神经网络模型进行二次优化,得到二次优化后的神经网络模型。
9.一种计算机设备,包括存储器、处理器、以及存储在所述存储器上的计算机程序,其特征在于,所述计算机程序被所述处理器运行时,执行根据权利要求1-6任意一项所述方法的指令。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被计算机设备的处理器运行时,执行根据权利要求1-6任意一项所述方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636961.2A CN116248334A (zh) | 2022-12-16 | 2022-12-16 | 流量安防方法、装置、计算机设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636961.2A CN116248334A (zh) | 2022-12-16 | 2022-12-16 | 流量安防方法、装置、计算机设备和计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116248334A true CN116248334A (zh) | 2023-06-09 |
Family
ID=86635512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211636961.2A Pending CN116248334A (zh) | 2022-12-16 | 2022-12-16 | 流量安防方法、装置、计算机设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116248334A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116647877A (zh) * | 2023-06-12 | 2023-08-25 | 广州爱浦路网络技术有限公司 | 一种基于图卷积模型的流量类别验证方法和系统 |
-
2022
- 2022-12-16 CN CN202211636961.2A patent/CN116248334A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116647877A (zh) * | 2023-06-12 | 2023-08-25 | 广州爱浦路网络技术有限公司 | 一种基于图卷积模型的流量类别验证方法和系统 |
| CN116647877B (zh) * | 2023-06-12 | 2024-03-15 | 广州爱浦路网络技术有限公司 | 一种基于图卷积模型的流量类别验证方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200412767A1 (en) | Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks | |
| Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| CN113574838B (zh) | 通过客户端指纹过滤互联网流量的系统和方法 | |
| EP2816773B1 (en) | Method for calculating and analysing risks and corresponding device | |
| US20160226893A1 (en) | Methods for optimizing an automated determination in real-time of a risk rating of cyber-attack and devices thereof | |
| CN111277598B (zh) | 一种基于流量的应用攻击识别方法及系统 | |
| US10282461B2 (en) | Structure-based entity analysis | |
| CN113542253A (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
| EP3970038B1 (en) | Siem system and methods for exfiltrating event data | |
| Gomes et al. | Cryingjackpot: Network flows and performance counters against cryptojacking | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN116248334A (zh) | 流量安防方法、装置、计算机设备和计算机可读存储介质 | |
| Aiello et al. | Unsupervised learning and rule extraction for Domain Name Server tunneling detection | |
| Papanikolaou et al. | An autoML network traffic analyzer for cyber threat detection | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| WO2023113750A1 (en) | Explainable deep learning based web application firewall method and system thereof | |
| CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
| CN114679307A (zh) | 一种tls加密威胁检测方法和系统 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| Sambangi et al. | Multiple Linear Regression Prediction Model for DDOS Attack Detection in Cloud ELB | |
| Sengupta | Designing encryption and IDS for cloud security | |
| Patel et al. | An approach to detect and prevent distributed denial of service attacks using blockchain technology in cloud environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |