CN116405299A - 一种基于网络安全的报警器 - Google Patents
一种基于网络安全的报警器 Download PDFInfo
- Publication number
- CN116405299A CN116405299A CN202310406245.3A CN202310406245A CN116405299A CN 116405299 A CN116405299 A CN 116405299A CN 202310406245 A CN202310406245 A CN 202310406245A CN 116405299 A CN116405299 A CN 116405299A
- Authority
- CN
- China
- Prior art keywords
- network
- feature
- training
- feature vector
- network security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000013598 vector Substances 0.000 claims description 245
- 230000006399 behavior Effects 0.000 claims description 79
- 238000012549 training Methods 0.000 claims description 76
- 239000011159 matrix material Substances 0.000 claims description 30
- 238000000605 extraction Methods 0.000 claims description 28
- 230000008859 change Effects 0.000 claims description 27
- 230000006870 function Effects 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 20
- 230000011218 segmentation Effects 0.000 claims description 15
- 230000004927 fusion Effects 0.000 claims description 14
- 230000000737 periodic effect Effects 0.000 claims description 13
- 238000010606 normalization Methods 0.000 claims description 9
- 238000005457 optimization Methods 0.000 claims description 8
- 238000011156 evaluation Methods 0.000 claims description 5
- 230000004913 activation Effects 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 abstract description 30
- 238000003062 neural network model Methods 0.000 abstract description 8
- 238000013135 deep learning Methods 0.000 abstract description 6
- 238000000034 method Methods 0.000 description 20
- 238000010586 diagram Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000005094 computer simulation Methods 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
- G06F16/353—Clustering; Classification into predefined classes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/048—Activation functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Health & Medical Sciences (AREA)
- Evolutionary Computation (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及智能报警技术领域,其具体地公开了一种基于网络安全的报警器,其首先通过获取预定时间段的网络安全日志以及网络流量值,然后,使用基于深度学习的深度神经网络模型作为特征提取器通过分析网络日志和网络流量值来够监测网络中的异常活动并及时报警。
Description
技术领域
本申请涉及智能报警技术领域,且更为具体地,涉及一种基于网络安全的报警器。
背景技术
随着互联网的普及和信息化程度的不断提高,网络安全问题变得越来越突出。网络攻击手段多样化,其行为向着分布化、规模化、复杂化等趋势发展,一旦遭受网络攻击,企业或个人可能会面临重大的财产损失和声誉受损。因此,需要采用有效的网络安全防护措施来保护计算机和网络系统。
目前常通过大数据技术进行安全检测。大数据技术特有的海量存储、并行计算、高效查询等特点,借助大数据分析,可以对成千上万的网络日志等信息进行自动分析处理与深度挖掘,对网络的安全进行分析评价。然而,在实际应用的过程中发现:大数据是离散的,并不能从整体上动态反应网络安全状况,并且虽然对于网络日志数据的分析能够对于网络的异常操作较为敏感,但是其对于网络中的异常数据流量敏感度较低,导致无法准确地进行网络安全报警。
因此,期望一种优化的基于网络安全的报警器,其能够监测网络中的异常活动并及时报警,从而降低网络安全风险,提高网络安全防护能力。
发明内容
为了解决上述技术问题,提出了本申请。本申请的实施例提供了一种基于网络安全的报警器,其首先通过获取预定时间段的网络安全日志以及网络流量值,然后,使用基于深度学习的深度神经网络模型作为特征提取器通过分析网络日志和网络流量值来够监测网络中的异常活动并及时报警,可以全面了解网络中的安全状况,有效发现潜在的网络安全威胁,从而降低网络安全风险,从而提高网络安全防护能力。
根据本申请的一个方面,提供了一种基于网络安全的报警器,其包括:
网络安全数据采集模块,用于获取预定时间段的网络安全日志;
网络流量获取模块,用于获取所述预定时间段内多个预定时间点的网络流量值;
安全日志语义理解模块,用于对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量;
流量时序变化特征提取模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量;
特征融合模块,用于融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;
预警评估模块,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示;以及
预警模块,用于基于所述分类结果,生成报警器的报警提示信号。
在上述的一种基于网络安全的报警器中,所述安全日志语义理解模块,包括:嵌入编码单元,用于对所述网络安全日志进行分词处理以得到词序列后通过使用所述包含词嵌入层的上下文编码器的词嵌入层将所述词序列中各个词映射到词向量以获得词向量的序列;上下文语义编码单元,用于使用所述包含词嵌入层的上下文编码器的转换器对所述词向量的序列进行基于全局的上下文语义编码以得到多个上下文词语义特征向量;以及,将所述多个上下文词语义特征向量进行级联以得到所述网络安全日志语义理解特征向量。
在上述的一种基于网络安全的报警器中,所述上下文语义编码单元,包括:自注意子单元,用于将所述词向量的序列排列为输入向量后通过可学习嵌入矩阵分别转化为查询向量和关键向量,并计算所述查询向量和所述关键向量的转置向量之间的乘积以得到自注意关联矩阵;标准化子单元,用于对所述自注意关联矩阵进行标准化处理以得到标准化自注意关联矩阵;关注度计算子单元,用于将所述标准化自注意关联矩阵输入Softmax激活函数进行激活以得到自注意力特征矩阵;以及,融合子单元,用于将所述自注意力特征矩阵与以所述词向量的序列中各个词向量作为值向量分别进行相乘以得到所述多个上下文词语义特征向量。
在上述的一种基于网络安全的报警器中,所述流量时序变化特征提取模块,包括:第一尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第一卷积层以得到第一尺度网络流量行为时序特征向量,其中,所述第一卷积层具有第一长度的第一一维卷积核;第二尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第二卷积层以得到第二尺度网络流量行为时序特征向量,其中,所述第二卷积层具有第二长度的第二一维卷积核,所述第一长度不同于所述第二长度;以及,多尺度提取单元,用于使用所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的级联层将所述第一尺度网络流量行为时序特征向量和所述第二尺度网络流量行为时序特征向量进行级联以得到所述多尺度网络流量行为时序特征向量。
与现有技术相比,本申请提供的一种基于网络安全的报警器,其首先通过获取预定时间段的网络安全日志以及网络流量值,然后,使用基于深度学习的深度神经网络模型作为特征提取器通过分析网络日志和网络流量值来够监测网络中的异常活动并及时报警。
附图说明
通过结合附图对本申请实施例进行更详细的描述,本申请的上述以及其他目的、特征和优势将变得更加明显。附图用来提供对本申请实施例的进一步理解,并且构成说明书的一部分,与本申请实施例一起用于解释本申请,并不构成对本申请的限制。在附图中,相同的参考标号通常代表相同部件或步骤。
图1为根据本申请实施例的基于网络安全的报警器的框图示意图。
图2为根据本申请实施例的基于网络安全的报警器中安全日志语义理解模块的框图。
图3为根据本申请实施例的基于网络安全的报警器中上下文语义编码单元的框图。
图4为根据本申请实施例的基于网络安全的报警器中流量时序变化特征提取模块的框图。
图5为根据本申请实施例的基于网络安全的报警器中训练模块的框图。
图6为根据本申请实施例的基于网络安全的报警器的运行方法的流程图。
图7为根据本申请实施例的基于网络安全的报警器架构的运行方法的架构示意图。
图8为根据本申请实施例的电子设备的框图。
具体实施方式
下面,将参考附图详细地描述根据本申请的示例实施例。显然,所描述的实施例仅仅是本申请的一部分实施例,而不是本申请的全部实施例,应理解,本申请不受这里描述的示例实施例的限制。
申请概述
如上所述,在通过大数据技术进行网络安全检测时发现:大数据是离散的,并不能从整体上动态反应网络安全状况,并且虽然对于网络日志数据的分析能够对于网络的异常操作较为敏感,但是其对于网络中的异常数据流量敏感度较低,导致无法准确地进行网络安全报警。因此,期望一种优化的基于网络安全的报警器,其能够监测网络中的异常活动并及时报警,从而降低网络安全风险,提高网络安全防护能力。
相应地,考虑到网络日志和网络流量值是识别网络安全威胁的重要数据来源,这是由于网络日志可以记录网络中所有操作的详细信息,如登录、访问、传输等,通过分析网络日志可以发现网络中的异常操作。而网络流量值则可以反映网络中的数据传输情况,通过分析网络流量值可以发现网络中的异常数据流量。因此,利用网络日志和网络流量值可以全面了解网络中的安全状况,有效发现潜在的网络安全威胁,从而提高网络安全防护能力。
基于此,在本申请的技术方案中,期望基于对于网络安全日志数据进行语义理解,并对于网络流量的时序动态变化情况进行分析,以此来综合进行网络中的异常活动监测预警。但是,由于网络安全日志数据中的信息量较多,难以进行准确地语义理解,并且网络流量值具有着动态变化特性,其在不同的时间周期下具有着不同的变化特征信息。因此,在此过程中,难点在于如何挖掘所述网络安全日志的语义理解特征和所述网络流量值的时序动态变化特征间的关联性特征分布信息,以此来综合进行网络中的异常活动检测,并在发现异常时及时报警,从而降低网络安全风险,提高网络安全防护能力。
近年来,深度学习以及神经网络已经广泛应用于计算机视觉、自然语言处理、文本信号处理等领域。深度学习以及神经网络的发展为挖掘所述网络安全日志的语义理解特征和所述网络流量值的时序动态变化特征间的关联性特征分布信息提供了新的解决思路和方案。
具体地,在本申请的技术方案中,首先,获取预定时间段的网络安全日志,以及所述预定时间段内多个预定时间点的网络流量值。接着,考虑到由于所述网络安全日志中记录了网络中所有操作的详细信息,其是由多个词组成的,并且各个词之间具有着上下文的语义关联关系。因此,为了能够对于网络中的异常操作进行精准监测识别,需要对于所述网络安全日志的语义理解特征进行精准表达。具体地,在本申请的技术方案中,进一步对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器中进行编码,以此来提取出所述网络安全日志中基于全局的关于网络安全异常操作的上下文语义关联特征,从而得到网络安全日志语义理解特征向量。
然后,对于所述多个预定时间点的网络流量值来说,考虑到所述网络流量值则可以反映网络中的数据传输情况,通过对于所述网络流量值的分析可以发现网络中的异常数据流量,而所述网络流量值在时间维度上具有着动态性的变化规律,并且其在不同时间周期跨度下所呈现的时序动态变化特征不同。也就是说,所述网络流量数据值在时间维度上具有着多尺度的动态变化特征信息,因此,为了能够进行所述网络流量值的时序动态特征的充分表达,以此来进行网络中异常数据流量的检测,在本申请的技术方案中,进一步将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量。特别地,这里,所述第一卷积层和所述第二卷积层使用不同尺度的一维卷积核来进行所述网络流量时序输入向量的特征挖掘,以提取出所述网络流量值在不同时间跨度下的多尺度时序动态变化特征信息。
接着,进一步再融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量,以此来融合所述网络安全日志中基于全局的关于网络安全异常操作的上下文语义关联特征信息和所述网络流量值在不同时间跨度下的多尺度时序动态变化特征信息,从而得到分类特征向量来进行分类处理,以利用网络日志和网络流量值可以全面了解网络中的安全状况,从而有效发现潜在的网络安全威胁,以进行是否产生网络安全预警提示的判断。
也就是,在本申请的技术方案中,所述分类器的标签包括产生网络安全预警(第一标签),以及,不产生网络安全预警(第二标签),其中,所述分类器通过软最大值函数来确定所述分类特征向量属于哪个分类标签。值得注意的是,这里的所述第一标签p1和所述第二标签p2并不包含人为设定的概念,实际上在训练过程当中,计算机模型并没有“是否产生网络安全预警”这种概念,其只是有两种分类标签且输出特征在这两个分类标签下的概率,即p1和p2之和为一。因此,是否产生网络安全预警的分类结果实际上是通过分类标签转化为符合自然规律的二分类的类概率分布,实质上用到的是标签的自然概率分布的物理意义,而不是“是否产生网络安全预警”的语言文本意义。应可以理解,在本申请的技术方案中,所述分类器的分类标签为是否产生网络安全预警的控制标签,因此,在得到所述分类结果后,可基于所述分类结果来生成报警器的报警提示信号,从而降低网络安全风险,提高网络安全防护能力。
特别地,在本申请的技术方案中,在融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量时,为了充分利用所述网络安全日志语义理解特征向量所表达的网络安全日志的语义信息和所述网络流量行为时序特征向量表达的网络流量的多尺度邻域时序关联特征,优选地通过直接级联所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量来得到所述分类特征向量。但是,这样就会在所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量的级联位置引入分布间隙(distribution gap)。另一方面,由于所述网络流量行为时序特征向量是通过对多个预定时间点的网络流量值进行多尺度一维卷积编码得到,而所述网络安全日志语义理解特征向量是通过对所述网络安全日志进行语义编码得到,因所述所述多个预定时间点的网络流量值为离散分布和所述网络安全日志为文本数据,即两者在数据源域存在明显异质性,且两者的特征编码方式也完全不同,因此,所述网络流量行为时序特征向量和所述网络安全日志语义理解特征向量的特征表达在高维数据特征空间中存在明显的特征分布不对齐。这两方面叠加就会导致所述分类特征向量的整体特征分布的连续性差,影响模型训练时的训练效果。
基于此,本申请的申请人对所述分类特征向量,例如记为V进行耿贝尔(Gumbel)正态周期性重参数化,以获得优化后的分类特征向量V′,具体表示为:
μ和σ分别是特征值集合vi∈V的均值和方差,且vi ′∈V′。
这里,所述耿贝尔正态周期性重参数化通过将分类特征向量V的各个位置的特征值vi转换为其概率分布的角特征表达,来基于耿贝尔(Gumbel)分布的随机性周期操作方式在特征值集合的正态分布中引入随机性的周期式分布,以获得原特征分布的具有随机性的周期式连续可微近似,从而通过特征的周期性重参数化来提高优化后的分类特征向量V′在训练时,损失函数的梯度在模型中反向传播的动态连续波动能力,以提高深度神经网络模型在训练过程中的动态应用性,从而补偿所述分类特征向量的特征分布的连续性差对训练效果,例如训练速度和收敛结果准确度的影响。这样,能够及时有效地进行网络中的异常活动检测,并在发现异常时及时报警,从而降低网络安全风险,提高网络安全防护能力。
基于此,本申请提供了一种基于网络安全的报警器,其包括:网络安全数据采集模块,用于获取预定时间段的网络安全日志;网络流量获取模块,用于获取所述预定时间段内多个预定时间点的网络流量值;安全日志语义理解模块,用于对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量;流量时序变化特征提取模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量;特征融合模块,用于融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;预警评估模块,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示;以及,预警模块,用于基于所述分类结果,生成报警器的报警提示信号。
在介绍了本申请的基本原理之后,下面将参考附图来具体介绍本申请的各种非限制性实施例。
示例性系统
图1为根据本申请实施例的基于网络安全的报警器的框图示意图。如图1所示,根据本申请实施例的所述基于网络安全的报警器100,包括:网络安全数据采集模块110,用于获取预定时间段的网络安全日志;网络流量获取模块120,用于获取所述预定时间段内多个预定时间点的网络流量值;安全日志语义理解模块130,用于对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量;流量时序变化特征提取模块140,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量;特征融合模块150,用于融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;预警评估模块160,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示;以及,预警模块170,用于基于所述分类结果,生成报警器的报警提示信号。
在本申请实施例中,所述网络安全数据采集模块110,用于获取预定时间段的网络安全日志。如上所述,在通过大数据技术进行网络安全检测时发现:大数据是离散的,并不能从整体上动态反应网络安全状况,并且虽然对于网络日志数据的分析能够对于网络的异常操作较为敏感,但是其对于网络中的异常数据流量敏感度较低,导致无法准确地进行网络安全报警。因此,期望一种优化的基于网络安全的报警器,其能够监测网络中的异常活动并及时报警,从而降低网络安全风险,提高网络安全防护能力。
相应地,考虑到网络日志是识别网络安全威胁的重要数据来源,这是由于网络日志可以记录网络中所有操作的详细信息,如登录、访问、传输等,通过分析网络日志可以发现网络中的异常操作。因此,利用网络日志可以全面了解网络中的安全状况,有效发现潜在的网络安全威胁,从而提高网络安全防护能力。
在本申请实施例中,所述网络流量获取模块120,用于获取所述预定时间段内多个预定时间点的网络流量值。相应地,考虑到网络流量值是识别网络安全威胁的重要数据来源,通过分析网络流量值可以发现网络中的异常数据流量。因此,利用网络流量值可以全面了解网络中的安全状况,有效发现潜在的网络安全威胁,从而提高网络安全防护能力。
在本申请实施例中,所述安全日志语义理解模块130,用于对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量。考虑到网络安全日志数据中的信息量较多,难以进行准确地语义理解,并且网络流量值具有着动态变化特性,其在不同的时间周期下具有着不同的变化特征信息。基于此,在本申请的技术方案中,期望基于对于网络安全日志数据进行语义理解,并对于网络流量的时序动态变化情况进行分析,以此来综合进行网络中的异常活动监测预警。因此,在此过程中,难点在于如何挖掘所述网络安全日志的语义理解特征和所述网络流量值的时序动态变化特征间的关联性特征分布信息,以此来综合进行网络中的异常活动检测,并在发现异常时及时报警,从而降低网络安全风险,提高网络安全防护能力。
具体地,考虑到由于所述网络安全日志中记录了网络中所有操作的详细信息,其是由多个词组成的,并且各个词之间具有着上下文的语义关联关系。因此,为了能够对于网络中的异常操作进行精准监测识别,需要对于所述网络安全日志的语义理解特征进行精准表达。具体地,在本申请的技术方案中,进一步对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器中进行编码,以此来提取出所述网络安全日志中基于全局的关于网络安全异常操作的上下文语义关联特征,从而得到网络安全日志语义理解特征向量。
在本申请一个具体的实施例中,所述安全日志语义理解模块,包括:嵌入编码单元,用于对所述网络安全日志进行分词处理以得到词序列后通过使用所述包含词嵌入层的上下文编码器的词嵌入层将所述词序列中各个词映射到词向量以获得词向量的序列;上下文语义编码单元,用于使用所述包含词嵌入层的上下文编码器的转换器对所述词向量的序列进行基于全局的上下文语义编码以得到多个上下文词语义特征向量;以及,将所述多个上下文词语义特征向量进行级联以得到所述网络安全日志语义理解特征向量。
在本申请一个具体的实施例中,所述上下文语义编码单元,包括:自注意子单元,用于将所述词向量的序列排列为输入向量后通过可学习嵌入矩阵分别转化为查询向量和关键向量,并计算所述查询向量和所述关键向量的转置向量之间的乘积以得到自注意关联矩阵;标准化子单元,用于对所述自注意关联矩阵进行标准化处理以得到标准化自注意关联矩阵;关注度计算子单元,用于将所述标准化自注意关联矩阵输入Softmax激活函数进行激活以得到自注意力特征矩阵;以及,融合子单元,用于将所述自注意力特征矩阵与以所述词向量的序列中各个词向量作为值向量分别进行相乘以得到所述多个上下文词语义特征向量。
图2为根据本申请实施例的基于网络安全的报警器中安全日志语义理解模块的框图。在本申请一个具体的实施例中,所述安全日志语义理解模块130,包括:嵌入编码单元131和上下文语义编码单元132。其中,嵌入编码单元,用于对所述网络安全日志进行分词处理以得到词序列后通过使用所述包含词嵌入层的上下文编码器的词嵌入层将所述词序列中各个词映射到词向量以获得词向量的序列;以及,上下文语义编码单元,用于使用所述包含词嵌入层的上下文编码器的转换器对所述词向量的序列进行基于全局的上下文语义编码以得到多个上下文词语义特征向量;以及,将所述多个上下文词语义特征向量进行级联以得到所述网络安全日志语义理解特征向量。
图3为根据本申请实施例的基于网络安全的报警器中上下文语义编码单元的框图。在本申请一个具体的实施例中,所述上下文语义编码单元132,包括:自注意子单元1321、标准化子单元1322、关注度计算子单元1323和融合子单元1324。其中,自注意子单元,用于将所述词向量的序列排列为输入向量后通过可学习嵌入矩阵分别转化为查询向量和关键向量,并计算所述查询向量和所述关键向量的转置向量之间的乘积以得到自注意关联矩阵;标准化子单元,用于对所述自注意关联矩阵进行标准化处理以得到标准化自注意关联矩阵;关注度计算子单元,用于将所述标准化自注意关联矩阵输入Softmax激活函数进行激活以得到自注意力特征矩阵;以及,融合子单元,用于将所述自注意力特征矩阵与以所述词向量的序列中各个词向量作为值向量分别进行相乘以得到所述多个上下文词语义特征向量。
在本申请实施例中,所述流量时序变化特征提取模块140,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量。考虑到所述网络流量值则可以反映网络中的数据传输情况,通过对于所述网络流量值的分析可以发现网络中的异常数据流量,而所述网络流量值在时间维度上具有着动态性的变化规律,并且其在不同时间周期跨度下所呈现的时序动态变化特征不同。
也就是说,所述网络流量数据值在时间维度上具有着多尺度的动态变化特征信息,因此,为了能够进行所述网络流量值的时序动态特征的充分表达,以此来进行网络中异常数据流量的检测,在本申请的技术方案中,进一步将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量。特别地,这里,所述第一卷积层和所述第二卷积层使用不同尺度的一维卷积核来进行所述网络流量时序输入向量的特征挖掘,以提取出所述网络流量值在不同时间跨度下的多尺度时序动态变化特征信息。
在本申请一个具体的实施例中,所述流量时序变化特征提取模块,包括:第一尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第一卷积层以得到第一尺度网络流量行为时序特征向量,其中,所述第一卷积层具有第一长度的第一一维卷积核;第二尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第二卷积层以得到第二尺度网络流量行为时序特征向量,其中,所述第二卷积层具有第二长度的第二一维卷积核,所述第一长度不同于所述第二长度;以及,多尺度提取单元,用于使用所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的级联层将所述第一尺度网络流量行为时序特征向量和所述第二尺度网络流量行为时序特征向量进行级联以得到所述多尺度网络流量行为时序特征向量。
图4为根据本申请实施例的基于网络安全的报警器中流量时序变化特征提取模块的框图。在本申请一个具体的实施例中,所述流量时序变化特征提取模块140,包括:第一尺度提取单元141、第二尺度提取单元142和多尺度提取单元143。其中,第一尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第一卷积层以得到第一尺度网络流量行为时序特征向量,其中,所述第一卷积层具有第一长度的第一一维卷积核;第二尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第二卷积层以得到第二尺度网络流量行为时序特征向量,其中,所述第二卷积层具有第二长度的第二一维卷积核,所述第一长度不同于所述第二长度;以及,多尺度提取单元,用于使用所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的级联层将所述第一尺度网络流量行为时序特征向量和所述第二尺度网络流量行为时序特征向量进行级联以得到所述多尺度网络流量行为时序特征向量。
在本申请实施例中,所述特征融合模块150,用于融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量。在本申请一个具体的实施例中,所述特征融合模块,包括:以如下公式来融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;其中,所述公式为:
Vc=Concat[V1,V2]
其中,V1表示所述网络安全日志语义理解特征向量,V2表示所述网络流量行为时序特征向量,Concat[·,·]表示级联函数,Vc表示所述分类特征向量。
在本申请实施例中,所述预警评估模块160,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示。也就是,在本申请的技术方案中,所述分类器的标签包括产生网络安全预警(第一标签),以及,不产生网络安全预警(第二标签),其中,所述分类器通过软最大值函数来确定所述分类特征向量属于哪个分类标签。值得注意的是,这里的所述第一标签p1和所述第二标签p2并不包含人为设定的概念,实际上在训练过程当中,计算机模型并没有“是否产生网络安全预警”这种概念,其只是有两种分类标签且输出特征在这两个分类标签下的概率,即p1和p2之和为一。因此,是否产生网络安全预警的分类结果实际上是通过分类标签转化为符合自然规律的二分类的类概率分布,实质上用到的是标签的自然概率分布的物理意义,而不是“是否产生网络安全预警”的语言文本意义。应可以理解,在本申请的技术方案中,所述分类器的分类标签为是否产生网络安全预警的控制标签,因此,在得到所述分类结果后,可基于所述分类结果来生成报警器的报警提示信号,从而降低网络安全风险,提高网络安全防护能力。
在本申请实施例中,所述预警模块170,用于基于所述分类结果,生成报警器的报警提示信号。
值得一提的是,本领域普通技术人员应知晓,在应用深度神经网络模型进行推断之前,需先对深度神经网络模型进行训练以使得所述深度神经网络能够实现特定的函数功能。
也就是,在本申请的技术方案中,所述基于网络安全的报警器,还包括用于所述包含词嵌入层的上下文编码器、所述包含第一卷积层和第二卷积层的网络流量行为特征提取器和所述分类器进行训练的训练模块200.
图5为根据本申请实施例的基于网络安全的报警器中训练模块的框图。如图5所示,根据本申请实施例的基于网络安全的报警器100,包括:所述训练模块200,包括:训练数据采集单元210,用于获取训练数据,所述训练数据包括预定时间段的训练网络安全日志,所述预定时间段内多个预定时间点的训练网络流量值,以及,所述是否产生网络安全预警提示的真实值;训练安全日志语义理解单元220,用于对所述训练网络安全日志进行分词处理后通过所述包含词嵌入层的上下文编码器以得到训练网络安全日志语义理解特征向量;训练流量时序变化特征提取单元230,用于将所述多个预定时间点的训练网络流量值按照时间维度排列为训练网络流量时序输入向量后通过所述包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到训练网络流量行为时序特征向量;训练特征融合单元240,用于融合所述训练网络安全日志语义理解特征向量和所述训练网络流量行为时序特征向量以得到训练分类特征向量;特征优化单元250,用于对所述训练分类特征向量进行特征分布优化以得到优化训练分类特征向量;分类损失单元260,用于将所述优化训练分类特征向量通过所述分类器以得到分类损失函数值;以及,训练单元270,用于基于所述分类损失函数值并通过梯度下降的反向传播来对所述包含词嵌入层的上下文编码器、所述包含第一卷积层和第二卷积层的网络流量行为特征提取器和所述分类器进行训练。
在本申请实施例中,所述分类损失单元260,包括:使用所述分类器以如下公式对所述优化训练分类特征向量进行处理以生成训练分类结果,其中,所述公式为:softmax{(Wn,Bn):…:(W1,B1)|X},其中,W1到Wn为权重矩阵,B1到Bn为偏置向量,X为分类特征向量;以及,计算所述训练分类结果与所述训练数据中所述是否产生网络安全预警提示的真实值之间的交叉熵值作为所述分类损失函数值。
特别地,在本申请的技术方案中,在融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量时,为了充分利用所述网络安全日志语义理解特征向量所表达的网络安全日志的语义信息和所述网络流量行为时序特征向量表达的网络流量的多尺度邻域时序关联特征,优选地通过直接级联所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量来得到所述分类特征向量。但是,这样就会在所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量的级联位置引入分布间隙(distribution gap)。另一方面,由于所述网络流量行为时序特征向量是通过对多个预定时间点的网络流量值进行多尺度一维卷积编码得到,而所述网络安全日志语义理解特征向量是通过对所述网络安全日志进行语义编码得到,因所述所述多个预定时间点的网络流量值为离散分布和所述网络安全日志为文本数据,即两者在数据源域存在明显异质性,且两者的特征编码方式也完全不同,因此,所述网络流量行为时序特征向量和所述网络安全日志语义理解特征向量的特征表达在高维数据特征空间中存在明显的特征分布不对齐。这两方面叠加就会导致所述分类特征向量的整体特征分布的连续性差,影响模型训练时的训练效果。
基于此,本申请的申请人对所述分类特征向量,例如记为V进行耿贝尔(Gumbel)正态周期性重参数化,以获得优化后的分类特征向量V′,具体表示为:
μ和σ分别是特征值集合vi∈V的均值和方差,且vi′∈V′。
这里,所述耿贝尔正态周期性重参数化通过将分类特征向量V的各个位置的特征值vi转换为其概率分布的角特征表达,来基于耿贝尔(Gumbel)分布的随机性周期操作方式在特征值集合的正态分布中引入随机性的周期式分布,以获得原特征分布的具有随机性的周期式连续可微近似,从而通过特征的周期性重参数化来提高优化后的分类特征向量V′在训练时,损失函数的梯度在模型中反向传播的动态连续波动能力,以提高深度神经网络模型在训练过程中的动态应用性,从而补偿所述分类特征向量的特征分布的连续性差对训练效果,例如训练速度和收敛结果准确度的影响。这样,能够及时有效地进行网络中的异常活动检测,并在发现异常时及时报警,从而降低网络安全风险,提高网络安全防护能力。
综上,基于本申请实施例的所述一种基于网络安全的报警器,其首先通过获取预定时间段的网络安全日志以及网络流量值,然后,使用基于深度学习的深度神经网络模型作为特征提取器通过分析网络日志和网络流量值来够监测网络中的异常活动并及时报警。
示例性方法
图6为根据本申请实施例的基于网络安全的报警器的运行方法的流程图。如图6所示,根据本申请实施例的所述基于网络安全的报警器的运行方法,包括:S110,获取预定时间段的网络安全日志;S120,获取所述预定时间段内多个预定时间点的网络流量值;S130,对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量;S140,将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量;S150,融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;S160,将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示;以及,S170,基于所述分类结果,生成报警器的报警提示信号。
图7为根据本申请实施例的基于网络安全的报警器的运行方法的架构示意图。如图7所示,在本申请实施例中,首先,获取预定时间段的网络安全日志。同时,获取所述预定时间段内多个预定时间点的网络流量值。然后,对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量。接着,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量。然后,融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量。接着,将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示。最后,基于所述分类结果,生成报警器的报警提示信号。
这里,本领域技术人员可以理解,上述基于网络安全的报警器中的各个步骤的具体操作已经在上面参考图1到图6的基于网络安全的报警器的描述中得到了详细介绍,并因此,将省略其重复描述。
示例性电子设备
下面,参考图8来描述根据本申请实施例的电子设备。图8为根据本申请实施例的电子设备的框图。如图8所示,电子设备10包括一个或多个处理器11和存储器12。
处理器11可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备10中的其他组件以执行期望的功能。
存储器12可以包括一个或多个计算机程序产品,所述计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器11可以运行所述程序指令,以实现上文所述的本申请的各个实施例的基于网络安全的报警器中的功能以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如网络安全日志和网络流量值各种内容。
在一个示例中,电子设备10还可以包括:输入装置13和输出装置14,这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。
该输入装置13可以包括例如键盘、鼠标等等。
该输出装置14可以向外部输出各种信息,包括分类结果等。该输出装置14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。
当然,为了简化,图8中仅示出了该电子设备10中与本申请有关的组件中的一些,省略了诸如总线、输入/输出接口等等的组件。除此之外,根据具体应用情况,电子设备10还可以包括任何其他适当的组件。
示例性计算机程序产品和计算机可读存储介质
除了上述方法和设备以外,本申请的实施例还可以是计算机程序产品,其包括计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性系统”部分中描述的根据本申请各种实施例的基于网络安全的报警器中的功能中的步骤。
所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、C++等,还包括常规的过程式程序设计语言,诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。
此外,本申请的实施例还可以是计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性系统”部分中描述的根据本申请各种实施例的基于网络安全的报警器中的功能中的步骤。
所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
以上结合具体实施例描述了本申请的基本原理,但是,需要指出的是,在本申请中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本申请为必须采用上述具体的细节来实现。
本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (9)
1.一种基于网络安全的报警器,其特征在于,包括:
网络安全数据采集模块,用于获取预定时间段的网络安全日志;
网络流量获取模块,用于获取所述预定时间段内多个预定时间点的网络流量值;
安全日志语义理解模块,用于对所述网络安全日志进行分词处理后通过包含词嵌入层的上下文编码器以得到网络安全日志语义理解特征向量;
流量时序变化特征提取模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量后通过包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到网络流量行为时序特征向量;
特征融合模块,用于融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;
预警评估模块,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示是否产生网络安全预警提示;以及
预警模块,用于基于所述分类结果,生成报警器的报警提示信号。
2.根据权利要求1所述的基于网络安全的报警器,其特征在于,所述安全日志语义理解模块,包括:
嵌入编码单元,用于对所述网络安全日志进行分词处理以得到词序列后通过使用所述包含词嵌入层的上下文编码器的词嵌入层将所述词序列中各个词映射到词向量以获得词向量的序列;
上下文语义编码单元,用于使用所述包含词嵌入层的上下文编码器的转换器对所述词向量的序列进行基于全局的上下文语义编码以得到多个上下文词语义特征向量;以及
将所述多个上下文词语义特征向量进行级联以得到所述网络安全日志语义理解特征向量。
3.根据权利要求2所述的基于网络安全的报警器,其特征在于,所述上下文语义编码单元,包括:
自注意子单元,用于将所述词向量的序列排列为输入向量后通过可学习嵌入矩阵分别转化为查询向量和关键向量,并计算所述查询向量和所述关键向量的转置向量之间的乘积以得到自注意关联矩阵;
标准化子单元,用于对所述自注意关联矩阵进行标准化处理以得到标准化自注意关联矩阵;
关注度计算子单元,用于将所述标准化自注意关联矩阵输入Softmax激活函数进行激活以得到自注意力特征矩阵;以及
融合子单元,用于将所述自注意力特征矩阵与以所述词向量的序列中各个词向量作为值向量分别进行相乘以得到所述多个上下文词语义特征向量。
4.根据权利要求3所述的基于网络安全的报警器,其特征在于,所述流量时序变化特征提取模块,包括:
第一尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第一卷积层以得到第一尺度网络流量行为时序特征向量,其中,所述第一卷积层具有第一长度的第一一维卷积核;
第二尺度提取单元,用于将所述网络流量时序输入向量输入所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的第二卷积层以得到第二尺度网络流量行为时序特征向量,其中,所述第二卷积层具有第二长度的第二一维卷积核,所述第一长度不同于所述第二长度;以及
多尺度提取单元,用于使用所述包含第一卷积层和第二卷积层的网络流量行为特征提取器的级联层将所述第一尺度网络流量行为时序特征向量和所述第二尺度网络流量行为时序特征向量进行级联以得到所述多尺度网络流量行为时序特征向量。
5.根据权利要求4所述的基于网络安全的报警器,其特征在于,所述特征融合模块,包括:以如下公式来融合所述网络安全日志语义理解特征向量和所述网络流量行为时序特征向量以得到分类特征向量;
其中,所述公式为:
Vc=Concat[V1,V2]
其中,V1表示所述网络安全日志语义理解特征向量,V2表示所述网络流量行为时序特征向量,Concat[·,·]表示级联函数,Vc表示所述分类特征向量。
6.根据权利要求5所述的基于网络安全的报警器,其特征在于,还包括用于对所述包含词嵌入层的上下文编码器、所述包含第一卷积层和第二卷积层的网络流量行为特征提取器和所述分类器进行训练的训练模块。
7.根据权利要求6所述的基于网络安全的报警器,其特征在于,所述训练模块,包括:
训练数据采集单元,用于获取训练数据,所述训练数据包括预定时间段的训练网络安全日志,所述预定时间段内多个预定时间点的训练网络流量值,以及,所述是否产生网络安全预警提示的真实值;
训练安全日志语义理解单元,用于对所述训练网络安全日志进行分词处理后通过所述包含词嵌入层的上下文编码器以得到训练网络安全日志语义理解特征向量;
训练流量时序变化特征提取单元,用于将所述多个预定时间点的训练网络流量值按照时间维度排列为训练网络流量时序输入向量后通过所述包含第一卷积层和第二卷积层的网络流量行为特征提取器以得到训练网络流量行为时序特征向量;
训练特征融合单元,用于融合所述训练网络安全日志语义理解特征向量和所述训练网络流量行为时序特征向量以得到训练分类特征向量;
特征优化单元,用于对所述训练分类特征向量进行特征分布优化以得到优化训练分类特征向量;
分类损失单元,用于将所述优化训练分类特征向量通过所述分类器以得到分类损失函数值;以及
训练单元,用于基于所述分类损失函数值并通过梯度下降的反向传播来对所述包含词嵌入层的上下文编码器、所述包含第一卷积层和第二卷积层的网络流量行为特征提取器和所述分类器进行训练。
9.根据权利要求8所述的基于网络安全的报警器,其特征在于,所述分类损失单元,包括:
使用所述分类器以如下公式对所述优化训练分类特征向量进行处理以生成训练分类结果,其中,所述公式为:softmax{(Wn,Bn):…:(W1,B1)|X},其中,W1到Wn为权重矩阵,B1到Bn为偏置向量,X为分类特征向量;以及
计算所述训练分类结果与所述训练数据中所述是否产生网络安全预警提示的真实值之间的交叉熵值作为所述分类损失函数值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310406245.3A CN116405299A (zh) | 2023-04-14 | 2023-04-14 | 一种基于网络安全的报警器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310406245.3A CN116405299A (zh) | 2023-04-14 | 2023-04-14 | 一种基于网络安全的报警器 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116405299A true CN116405299A (zh) | 2023-07-07 |
Family
ID=87013975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310406245.3A Pending CN116405299A (zh) | 2023-04-14 | 2023-04-14 | 一种基于网络安全的报警器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116405299A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116579618A (zh) * | 2023-07-13 | 2023-08-11 | 吉贝克信息技术(北京)有限公司 | 基于风险管理的数据处理方法、装置、设备及存储介质 |
CN116767204A (zh) * | 2023-07-12 | 2023-09-19 | 浙江加力仓储设备股份有限公司 | 基于车辆载荷的车速控制方法及其系统 |
CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
CN116866054A (zh) * | 2023-07-25 | 2023-10-10 | 安徽百方云科技有限公司 | 公共信息安全监测系统及其方法 |
CN117134958A (zh) * | 2023-08-23 | 2023-11-28 | 台州市云谷信息技术有限公司 | 用于网络技术服务的信息处理方法及系统 |
CN117382435A (zh) * | 2023-10-17 | 2024-01-12 | 浙江加力仓储设备股份有限公司 | 基于倾角监测的车速控制方法及其系统 |
CN118200057A (zh) * | 2024-05-16 | 2024-06-14 | 江苏国信瑞科系统工程有限公司 | 网络安全漏洞信息自动扫描预警系统及方法 |
-
2023
- 2023-04-14 CN CN202310406245.3A patent/CN116405299A/zh active Pending
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116767204A (zh) * | 2023-07-12 | 2023-09-19 | 浙江加力仓储设备股份有限公司 | 基于车辆载荷的车速控制方法及其系统 |
CN116767204B (zh) * | 2023-07-12 | 2024-03-26 | 浙江加力仓储设备股份有限公司 | 基于车辆载荷的车速控制方法及其系统 |
CN116579618A (zh) * | 2023-07-13 | 2023-08-11 | 吉贝克信息技术(北京)有限公司 | 基于风险管理的数据处理方法、装置、设备及存储介质 |
CN116579618B (zh) * | 2023-07-13 | 2023-09-22 | 吉贝克信息技术(北京)有限公司 | 基于风险管理的数据处理方法、装置、设备及存储介质 |
CN116866054A (zh) * | 2023-07-25 | 2023-10-10 | 安徽百方云科技有限公司 | 公共信息安全监测系统及其方法 |
CN117134958A (zh) * | 2023-08-23 | 2023-11-28 | 台州市云谷信息技术有限公司 | 用于网络技术服务的信息处理方法及系统 |
CN116781430A (zh) * | 2023-08-24 | 2023-09-19 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
CN116781430B (zh) * | 2023-08-24 | 2023-12-01 | 克拉玛依市燃气有限责任公司 | 用于燃气管网的网络信息安全系统及其方法 |
CN117382435A (zh) * | 2023-10-17 | 2024-01-12 | 浙江加力仓储设备股份有限公司 | 基于倾角监测的车速控制方法及其系统 |
CN117382435B (zh) * | 2023-10-17 | 2024-05-03 | 浙江加力仓储设备股份有限公司 | 基于倾角监测的车速控制方法及其系统 |
CN118200057A (zh) * | 2024-05-16 | 2024-06-14 | 江苏国信瑞科系统工程有限公司 | 网络安全漏洞信息自动扫描预警系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116405299A (zh) | 一种基于网络安全的报警器 | |
CN111897970B (zh) | 基于知识图谱的文本比对方法、装置、设备及存储介质 | |
US11190562B2 (en) | Generic event stream processing for machine learning | |
CN111881983B (zh) | 基于分类模型的数据处理方法、装置、电子设备及介质 | |
Tang et al. | Anomaly detection in electronic invoice systems based on machine learning | |
Giasemidis et al. | A semi-supervised approach to message stance classification | |
CN117251699B (zh) | 基于人工智能的医疗大数据分析方法及系统 | |
US11030228B2 (en) | Contextual interestingness ranking of documents for due diligence in the banking industry with topicality grouping | |
CN116759053A (zh) | 基于物联网系统的医疗体系防控方法及系统 | |
CN116866054A (zh) | 公共信息安全监测系统及其方法 | |
US11593385B2 (en) | Contextual interestingness ranking of documents for due diligence in the banking industry with entity grouping | |
Lee et al. | Detecting suicidality with a contextual graph neural network | |
CN113971284B (zh) | 基于JavaScript的恶意网页检测方法、设备及计算机可读存储介质 | |
Naidu et al. | Analysis of Hadoop log file in an environment for dynamic detection of threats using machine learning | |
US11568153B2 (en) | Narrative evaluator | |
CN115757837B (zh) | 知识图谱的置信度评估方法、装置、电子设备及介质 | |
CN116248412A (zh) | 共享数据资源异常检测方法、系统、设备、存储器及产品 | |
Tang et al. | Association Analysis of Abnormal Behavior of Electronic Invoice Based on K-Means and Skip-Gram | |
CN113052509B (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
CN115563296A (zh) | 基于内容语义的融合检测方法和系统 | |
Wang et al. | Detection of network intrusion threat based on the probabilistic neural network model | |
CN117494215A (zh) | 计算机网络数据库的安全管理系统及方法 | |
Airlangga | Comparative Analysis of Machine Learning Algorithms for Detecting Fake News: Efficacy and Accuracy in the Modern Information Ecosystem | |
CN116864086A (zh) | 基于物联网系统的医疗体系防控方法及系统 | |
CN117278322B (zh) | Web入侵检测方法、装置、终端设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |