CN116962089B - 一种针对信息安全的网络监测方法及系统 - Google Patents

一种针对信息安全的网络监测方法及系统 Download PDF

Info

Publication number
CN116962089B
CN116962089B CN202311219056.1A CN202311219056A CN116962089B CN 116962089 B CN116962089 B CN 116962089B CN 202311219056 A CN202311219056 A CN 202311219056A CN 116962089 B CN116962089 B CN 116962089B
Authority
CN
China
Prior art keywords
access data
malicious
security
weight
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202311219056.1A
Other languages
English (en)
Other versions
CN116962089A (zh
Inventor
沈义彦
林金斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Chenshengyu Technology Co ltd
Original Assignee
Xiamen Chenshengyu Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Chenshengyu Technology Co ltd filed Critical Xiamen Chenshengyu Technology Co ltd
Priority to CN202311219056.1A priority Critical patent/CN116962089B/zh
Publication of CN116962089A publication Critical patent/CN116962089A/zh
Application granted granted Critical
Publication of CN116962089B publication Critical patent/CN116962089B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种针对信息安全的网络监测方法及系统,涉及计算机技术领域。所述方法包括:在第i个监测周期中通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据以及第一安全访问数据;确定第二恶意访问数据及其第一权值;对第一恶意访问数据进行抽样,获得待选恶意访问数据;确定第二安全访问数据及其第二权值;判断网络安全监测模型是否需要训练;如果需要训练,根据第二恶意访问数据、第一权值、第二安全访问数据和第二权值训练网络安全监测模型;通过训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证。根据本发明,可使网络安全监测模型能够适应不断变化的恶意访问数据,提升信息安全性。

Description

一种针对信息安全的网络监测方法及系统
技术领域
本发明涉及计算机技术领域,尤其涉及一种针对信息安全的网络监测方法及系统。
背景技术
在相关技术中,CN110766165A公开了一种用于恶意URL检测的在线主动机器学习方法,包括以下步骤:步骤1)第t轮,t=1,2,...∞,当互联网用户要访问一个URL时,首先利用自动特征提取器,对该URL进行分析,提取出词汇特征、基于主机的特征和DNS特征,将所有的特征连接在一起,构成该URL的特征向量xt;步骤2)使用最新的分类器wt对xt进行在线预测:其中sgn是符号函数;如果则预测该URL是恶意的,向用户发出警告;否则,预测该URL是正常的;步骤3)在线预测结束后,进入标记决策阶段,判断是否对当前的URL进行标记;记Zt表示标记决策变量;如果Zt=1,则请网络安全专家进行标记,从而得到该URL的真实类标记yt∈{+1,-1};如果Zt=0,则决定不标记,不更新在线分类器,然后进入到步骤(5);步骤4)获得完整的URL数据信息(xt,yt)后,利用在线模型更新程序修正当前的分类器wt,得到最新的分类器wt+1;步骤5)回到步骤(1),等待用户浏览器发出第t+1轮的URL请求。
CN113592103A公开了一种基于集成学习和动态分析的软件恶意行为识别方法,包括采用沙箱方法对软件进行动态分析,同时运用monkey对其进行随机点击模拟用户使用,从而提取出系统调用、网络行为、污点追踪和字符串操作作为动态特征;采用基于stacking的集成学习方法,将随机森林、支持向量机、朴素贝叶斯和k近邻进行集成,对特征向量进行训练以此产生训练模型;将待识别的恶意软件的动态特征输入完成训练的分类器,分类器完成识别;本发明采用集成学习方法规避了传统机器学习中各个分类器的优劣点,同时利用动态行为作为特征更能反映恶意行为识别的有效性。
CN108960853A公开了一种基于多标签超网络的云用户行为认定方法,该方法将用户正常行为数据库训练成一个超网络,把当前的用户行为作为实例加入到超网络中进行分类。如果一次分类成功找到标签,则认定为正常用户。若没找到标签,则更新超网络权重,替换超边,再次进行标签寻找。若找到标签,则认定为风险型用户,反之则认定为恶意用户。仿真实验结果表明,该方案在分类精度上有明显提升。用于云用户行为的认定,实现了细粒度划分,提高了对用户行为的处理能力。
因此,在相关技术中,可使用神经网络模型来判断访问数据是否安全,进而确定是否允许访问数据对存储的信息进行访问。然而,网络攻击手段千变万化,且可不断更新迭代,相关技术中的神经网络模型难以识别所有恶意访问数据,且相关技术中的神经网络模型不会进行迭代更新,或者依赖网络安全专家等专业人员进行迭代更新,更新成本较高,更新难度较大,因此难以适应不断变化的恶意访问数据,可能造成信息安全隐患。
公开于本申请背景技术部分的信息仅仅旨在加深对本申请的一般背景技术的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
发明内容
本发明实施例提供一种针对信息安全的网络监测方法及系统,能够使网络安全监测模型能够适应不断变化的恶意访问数据,提升信息安全性。
根据本发明的实施例的第一方面,提供一种针对信息安全的网络监测方法,包括:
在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证。
根据本发明的一个实施例,根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值,包括:
根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;
将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;
根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;
根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;
根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;
根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
根据本发明的一个实施例,根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分,包括:
根据公式
确定第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分,其中,为第i个第二恶意访问数据中的所有指令的总数,为第i个第二恶意访问数据中的第一恶意指令的数量,为第i个第二恶意访问数据中的第j-1个第一恶意指令在所有指令中的序号,为第i个第二恶意访问数据中的第j个第一恶意指令在所有指令中的序号,i为正整数,j为小于或等于的正整数,且当j=1时,
根据本发明的一个实施例,根据所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值,包括:
根据公式
获得第i个第二恶意访问数据的第一权值,其中,为第i个第二恶意访问数据的第j个第一恶意指令的恶意访问后果评分。
根据本发明的一个实施例,根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练,包括:
通过所述网络安全检测模型,获得各个第一安全访问数据的第一安全概率、各个第二恶意访问数据的第二安全概率、各个待选恶意访问数据的第三安全概率以及各个第二安全访问数据的第四安全概率,其中,所述第一安全概率为所述第一安全访问数据的访问行为是安全行为的概率,所述第二安全概率为所述第二恶意访问数据的访问行为是安全行为的概率,所述第三安全概率为所述待选恶意访问数据的访问行为是安全行为的概率,所述第四安全概率为所述第二安全访问数据的访问行为是安全行为的概率;
根据公式
获得判断评分J,其中,为第一安全访问数据的数量,为第二恶意访问数据的数量,为待选恶意访问数据的数量,为第二安全访问数据的数量,为第一安全访问数据中除去第二恶意访问数据后,剩余的访问数据中的第k个访问数据的第一安全概率,为第i个第二恶意访问数据的第二安全概率,为待选恶意访问数据中除去第二安全访问数据后的访问数据中的第x个访问数据的第三安全概率,为第t个第二安全访问数据的第四安全概率,k≤,i≤,x≤,t≤且k,i,t,x,均为正整数,为预设权重,为第i个第二恶意访问数据的第一权值,为第t个第二安全访问数据的第二权值;
在所述判断评分小于或等于预设判断阈值的情况下,确定所述网络安全监测模型需要训练。
根据本发明的一个实施例,如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型,包括:
根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数;
根据所述网络安全监测模型的损失函数,训练所述网络安全监测模型,获得训练后的网络安全监测模型。
根据本发明的一个实施例,根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数,包括:
根据公式
获得网络安全监测模型的损失函数L,其中,为预设权值。
根据本发明的实施例的第二方面,提供一种针对信息安全的网络监测系统,所述系统包括:
分类模块,用于在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
访问结果模块,用于允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
第一权值模块,用于根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
抽样模块,用于对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
第二权值模块,用于对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
判断模块,用于根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
训练模块,用于如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
验证模块,用于通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证。
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;
将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;
根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;
根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;
根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;
根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据公式
确定第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分,其中,为第i个第二恶意访问数据中的所有指令的总数,为第i个第二恶意访问数据中的第一恶意指令的数量,为第i个第二恶意访问数据中的第j-1个第一恶意指令在所有指令中的序号,为第i个第二恶意访问数据中的第j个第一恶意指令在所有指令中的序号,i为正整数,j为小于或等于的正整数,且当j=1时,
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据公式
获得第i个第二恶意访问数据的第一权值,其中,为第i个第二恶意访问数据的第j个第一恶意指令的恶意访问后果评分。
根据本发明的一个实施例,所述判断模块进一步用于:
通过所述网络安全检测模型,获得各个第一安全访问数据的第一安全概率、各个第二恶意访问数据的第二安全概率、各个待选恶意访问数据的第三安全概率以及各个第二安全访问数据的第四安全概率,其中,所述第一安全概率为所述第一安全访问数据的访问行为是安全行为的概率,所述第二安全概率为所述第二恶意访问数据的访问行为是安全行为的概率,所述第三安全概率为所述待选恶意访问数据的访问行为是安全行为的概率,所述第四安全概率为所述第二安全访问数据的访问行为是安全行为的概率;
根据公式
获得判断评分J,其中,为第一安全访问数据的数量,为第二恶意访问数据的数量,为待选恶意访问数据的数量,为第二安全访问数据的数量,为第一安全访问数据中除去第二恶意访问数据后,剩余的访问数据中的第k个访问数据的第一安全概率,为第i个第二恶意访问数据的第二安全概率,为待选恶意访问数据中除去第二安全访问数据后的访问数据中的第x个访问数据的第三安全概率,为第t个第二安全访问数据的第四安全概率,k≤,i≤,x≤,t≤且k,i,t,x,均为正整数,为预设权重,为第i个第二恶意访问数据的第一权值,为第t个第二安全访问数据的第二权值;
在所述判断评分小于或等于预设判断阈值的情况下,确定所述网络安全监测模型需要训练。
根据本发明的一个实施例,所述训练模块进一步用于:
根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数;
根据所述网络安全监测模型的损失函数,训练所述网络安全监测模型,获得训练后的网络安全监测模型。
根据本发明的一个实施例,所述训练模块进一步用于:
根据公式
获得网络安全监测模型的损失函数L,其中,为预设权值。
根据本发明的实施例的第三方面,提供一种针对信息安全的网络监测设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行所述针对信息安全的网络监测方法。
根据本发明的实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现所述针对信息安全的网络监测方法。
根据本发明的实施例的针对信息安全的网络监测方法,可在一个监测周期完结后,自动确定网络安全监测模型识别出错的网络访问数据,并可确定识别出错的网络访问数据的权值,进而基于识别出错的网络访问数据及其权重,来提升判断网络安全监测模型是否需要训练的准确性,如果需要训练,则可使网络安全监测模型进行自主更新和训练,其判断和训练过程无需依赖人工,降低了更新训练的成本和难度,使网络安全监测模型能够适应不断变化的恶意访问数据,提升信息安全性。可在确定第一权值时,确定各个第一恶意指令相对于其他第一恶意指令是否分散,来判断第一恶意指令的隐蔽性,从而获得更准确和客观的隐蔽性评分,进而更准确可客观地确定第二恶意访问数据的第一权值。并可综合恶意指令隐蔽性评分和恶意访问后果评分两方面确定第一权值,提升了第一权值的客观性,且通过第一恶意指令的总数与指令总数之比,使第一恶意指令数量较多的第二恶意访问数据赋予较大的第一权值,从而有针对性地提升网络安全监测模型的性能,提升训练效率。在判断网络安全监测模型是否需要训练时,可确定网络安全监测模型能否准确区分恶意访问数据和安全访问数据,从而确定网络安全监测模型是否需要进行训练,提升对于网络安全监测模型是否需要训练的判断准确性。如果网络安全监测模型需要训练,则可通过交叉熵损失函数提升网络安全监测模型的对于访问数据的分类准确性,还可提升网络安全监测模型区分恶意访问数据和安全访问数据的能力,提升网络安全监测模型的性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本发明。根据下面参考附图对示例性实施例的详细说明,本发明的其它特征及方面将更清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例,
图1示例性地示出根据本发明实施例的针对信息安全的网络监测方法的流程示意图;
图2示例性地示出根据本发明实施例的针对信息安全的网络监测系统的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1示例性地示出根据本发明实施例的针对信息安全的网络监测方法的流程示意图,所述方法包括:
步骤S101,在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
步骤S102,允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
步骤S103,根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
步骤S104,对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
步骤S105,对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
步骤S106,根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
步骤S107,如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
步骤S108,通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证。
根据本发明的实施例的针对信息安全的网络监测方法,可在一个监测周期完结后,自动确定网络安全监测模型识别出错的网络访问数据,并可确定识别出错的网络访问数据的权值,进而基于识别出错的网络访问数据及其权重,来提升判断网络安全监测模型是否需要训练的准确性,如果需要训练,则可使网络安全监测模型进行自主更新和训练,其判断和训练过程无需依赖人工,降低了更新训练的成本和难度,使网络安全监测模型能够适应不断变化的恶意访问数据,提升信息安全性。
根据本发明的一个实施例,所述方法可用于云端或服务器中,从而提升云端或服务器的信息安全性。
根据本发明的一个实施例,在步骤S101中,每个监测周期的持续时长可基于需求来设置,例如,一小时、12小时、1天、1周等,本发明对监测周期的持续时长不做限制。在第i个监测周期中,云端或服务器可运行所述网络安全监测模型对访问数据进行分类,例如,网络安全监测模型可提取访问数据的特征,并基于特征进行分类,获得第一恶意访问数据,以及第一安全访问数据。进一步地,可允许第一安全访问数据对服务器或云端进行访问,并阻止第一恶意访问数据对服务器或云端进行访问。
根据本发明的一个实施例,在步骤S102中,在允许第一安全访问数据的访问的情况下,可确定第一安全访问数据的访问结果,例如,该访问结果可以是每个第一安全访问数据是否对云端或服务器的信息安全产生了不利影响。例如,是否篡改过云端或服务器的数据、是否删除过云端或服务器的数据,是否向云端或服务器中写入过恶意代码等。
根据本发明的一个实施例,在步骤S103中,如果第一安全访问数据中存在部分访问数据执行过以上影响云端或服务器的信息安全的处理,则可认为这部分第一安全访问数据并不安全,可将这部分访问数据确定为第二恶意访问数据,并且确定网络安全监测模型对于这部分访问数据的分类结果错误。
根据本发明的一个实施例,步骤S103可包括:根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
根据本发明的一个实施例,如上所述,如果某个第一安全访问数据的访问行为存在篡改数据、删除数据、写入恶意代码中的至少一种,则可确定该第一安全访问数据对于云端或服务器的信息安全产生了不利影响,因此,该第一安全访问数据并不安全,存在恶意行为,网络安全监测模型对于该第一安全访问数据的分类结果出现错误,可将该第一安全访问数据确定为第二恶意访问数据。进一步地,可对所有第一安全访问数据的访问结果进行如上分析,从而筛选出所有第二恶意访问数据。
根据本发明的一个实施例,每个访问数据可包括一个或多个指令,在第二恶意访问数据中,用于执行上述恶意行为的指令即为第一恶意指令。第一恶意指令可能隐藏于多个非恶意指令之中,具有较好的隐蔽性,导致网络安全监测模型对于第二恶意访问数据的分类结果错误,因此,可确定第一恶意指令的隐蔽性,从而可在判断网络安全监测模型是否需要训练时,提升含有隐蔽性较高的第一恶意指令的第二恶意访问数据的权值,并使得网络安全监测模型有针对性地更新和训练,有针对性地提升对于含有隐蔽性更高的第一恶意指令的第二恶意访问数据的识别和分类准确性。
根据本发明的一个实施例,根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,确定恶意指令隐蔽性评分,包括:根据公式(1),确定第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分
(1)
其中,为第i个第二恶意访问数据中的所有指令的总数,为第i个第二恶意访问数据中的第一恶意指令的数量,为第i个第二恶意访问数据中的第j-1个第一恶意指令在所有指令中的序号,为第i个第二恶意访问数据中的第j个第一恶意指令在所有指令中的序号,i为正整数,j为小于或等于的正整数,且当j=1时,
根据本发明的一个实施例,在公式(1)中,分子为,表示相邻两个第一恶意指令之间间隔的指令的数量,即,第j个第一恶意指令与前一个(第j-1个)第一恶意指令之间间隔的指令的数量,间隔的指令的数量越多,表示第一恶意指令的分散程度越高,第j个第一恶意指令的隐蔽性越好,反之,如果间隔的指令的数量越少,则表示第一恶意指令越可能连续出现,而连续出现的第一恶意指令被识别的概率更大,隐蔽性更差。
根据本发明的一个实施例,在公式(1)中,分母为,其中,为第i个第二恶意访问数据中的所有指令的总数与第i个第二恶意访问数据中的第一恶意指令的数量之差,即为所有非恶意指令的总数,因此,公式(1)的分母的含义为两个第二恶意访问数据之间的非恶意指令的平均数量,换言之,为两个第二恶意访问数据之间间隔的指令的平均数量。
根据本发明的一个实施例,公式(1)所获得的第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分则表示,第j个第一恶意指令与前一个第一恶意指令之间间隔的指令的数量,与所有恶意指令之间间隔的指令的平均数量之比,该比值越大,则表示第j个第一恶意指令相对于其他第一恶意指令越分散,隐蔽性越好,反之,则表示第j个第一恶意指令相对于其他第一恶意指令越集中,隐蔽性越差。
通过这种方式,可确定各个第一恶意指令相对于其他第一恶意指令是否分散,来判断第一恶意指令的隐蔽性,从而获得更准确和客观的隐蔽性评分,进而更准确可客观地确定第二恶意访问数据的第一权值。
根据本发明的一个实施例,以上可获得第二恶意访问数据中的各个第一恶意指令的隐蔽性评分,可作为计算第一权值的一个方面。还可确定各个第一恶意指令的恶意访问后果评分,作为计算第一权值的另一个方面。进而可将两个方面进行结合,来确定第二恶意访问数据的第一权值。
在示例中,如果第一恶意行为篡改或删除了云端或服务器中的数据,则可确定第一恶意行为所篡改或删除的数据量,与篡改或删除之前服务器或云端中的数据总量之间的比值,作为该第一恶意指令的恶意访问后果评分。如果第一恶意行为向云端或服务器中写入了恶意代码,基于写入的恶意代码,在恶意代码数据库中查找与写入的恶意代码对应的评分,作为该第一恶意指令的恶意访问后果评分,其中,恶意代码数据库中可保存有各种恶意代码的评分,且该评分与恶意代码的危害性成正比。如果某第一恶意行为同时存在篡改或删除数据、以及写入恶意代码的行为,则可将上述比值与恶意代码对应的评分进行加权求和,以获得该第一恶意指令的恶意访问后果评分。
根据本发明的一个实施例,以上可获得第二恶意访问数据中各个第一恶意指令的恶意指令隐蔽性评分和恶意访问后果评分,可基于此确定第二恶意访问数据的第一权值。根据所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值,包括:根据公式(2)获得第i个第二恶意访问数据的第一权值
(2)
其中,为第i个第二恶意访问数据的第j个第一恶意指令的恶意访问后果评分。
根据本发明的一个实施例,在公式(2)中,可获得每个第一恶意指令的恶意访问后果评分和隐蔽性评分的乘积,并将各个第一恶意指令对应的上述乘积进行求和。进一步地,还可为该求和结果乘以,该项即为第一恶意指令的总数与指令总数之比,在以上求和结果乘以该项后,可获得第二恶意访问数据的第一权值,其中,第二恶意访问数据中第一恶意指令的占比越大,则非恶意指令的总数与指令总数之比越大,则第一权值越大,该种情况可表示第一恶意指令数量较多,但网络安全监测模型对于该第二恶意访问数据的分类仍出现错误,因此可赋予较高的第一权值,以在判断网络安全监测模型是否需要训练时提高需要训练的概率,并在训练时进行有针对性的训练,以快速提升网络安全监测模型的性能。
通过这种方式,可综合恶意指令隐蔽性评分和恶意访问后果评分两方面确定第一权值,提升了第一权值的客观性,且通过第一恶意指令的总数与指令总数之比,使第一恶意指令数量较多的第二恶意访问数据赋予较大的第一权值,从而有针对性地提升网络安全监测模型的性能,提升训练效率。
根据本发明的一个实施例,以上可确定第一安全访问数据中被分类错误的第二恶意访问数据的第一权值。以下还可确定第一恶意访问数据中被分类错误的安全访问数据的第二权值。
根据本发明的一个实施例,在步骤S104中,通常被拦截的第一恶意访问数据的数量较多,甚至远多于第一安全访问数据,因此,可对第一恶意访问数据进行抽样,获得待选恶意访问数据,例如,抽样获得的待选恶意访问数据的数量与第一安全访问数据一致。本发明对待选恶意访问数据的数量不做限制。
根据本发明的一个实施例,在步骤S105中,可对待选恶意访问数据进行解析,从待选恶意访问数据中筛选出非恶意的第二安全访问数据。例如,可对待选恶意访问数据中的多条指令进行逐个解析,以确定这些指令是否为恶意指令,其中,恶意指令可以是执行篡改数据、删除数据、写入恶意代码中的至少一种的恶意行为的指令。如果待选恶意访问数据中不含有恶意指令,即,该待选恶意访问数据是安全的,则该待选访问数据可被确定为第二安全访问数据,且可确定网络安全监测模型出现分类错误。进一步地,还可为第二安全访问数据赋予第二权值。在示例中,可为所有第二安全访问数据赋予相等的权值,也可通过网络安全监测模型为第二安全访问数据进行分类时,确定其属于恶意访问数据的概率来确定该第二安全访问数据的权值,例如,上述概率越大,则网络安全监测模型在确定该第二安全访问数据的分类时的误差越大,则可使该第二安全访问数据的权值与上述概率成正比。本发明对第二安全访问数据的权值的设置方式不做限制。
根据本发明的一个实施例,在步骤S106中,可基于以上确定的待选恶意访问数据、第二恶意访问数据、第一安全访问数据、第二安全访问数据、第一权值和第二权值,判断网络安全监测模型是否需要训练。步骤S106包括:通过所述网络安全检测模型,获得各个第一安全访问数据的第一安全概率、各个第二恶意访问数据的第二安全概率、各个待选恶意访问数据的第三安全概率以及各个第二安全访问数据的第四安全概率,其中,所述第一安全概率为所述第一安全访问数据的访问行为是安全行为的概率,所述第二安全概率为所述第二恶意访问数据的访问行为是安全行为的概率,所述第三安全概率为所述待选恶意访问数据的访问行为是安全行为的概率,所述第四安全概率为所述第二安全访问数据的访问行为是安全行为的概率;根据公式(3),获得判断评分J,
(3)
其中,为第一安全访问数据的数量,为第二恶意访问数据的数量,为待选恶意访问数据的数量,为第二安全访问数据的数量,为第一安全访问数据中除去第二恶意访问数据后,剩余的访问数据中的第k个访问数据的第一安全概率,为第i个第二恶意访问数据的第二安全概率,为待选恶意访问数据中除去第二安全访问数据后的访问数据中的第x个访问数据的第三安全概率,为第t个第二安全访问数据的第四安全概率,k≤,i≤,x≤,t≤且k,i,t,x,均为正整数,为预设权重,为第i个第二恶意访问数据的第一权值,为第t个第二安全访问数据的第二权值;在所述判断评分小于或等于预设判断阈值的情况下,确定所述网络安全监测模型需要训练。
根据本发明的一个实施例,在网络安全检测模型对第i个监测周期中的访问数据进行分类时,可确定各个访问数据为安全访问数据的概率,即,确定各个访问数据的访问行为是安全行为的概率。并将概率大于或等于阈值(例如,0.5)的访问数据分类为第一安全访问数据,将概率小于阈值的访问数据分类为第一恶意访问数据。进一步地,第一安全访问数据中包括部分第二恶意访问数据,第一恶意访问数据中包括部分第二安全访问数据,因此,可在上述概率中,确定出第一安全访问数据的第一安全概率、第二恶意访问数据的第二安全概率、待选恶意访问数据的第三安全概率和第二安全访问数据的第四安全概率。
根据本发明的一个实施例,可基于公式(3)来确定判断评分,在公式(3)的第一项中,为第一安全访问数据中的非恶意访问数据的数量,表示这些非恶意访问数据的第一安全概率的平均值,表示第一安全概率的平均值与第i个第二恶意访问数据的第二安全概率之间的偏差,该偏差与第一安全概率的平均值之间的比值为偏差比例,表示第一安全概率的平均值与第二安全概率之间的区分度,可通过第二恶意访问数据的第一权值,对每个第二恶意访问数据对应的偏差比例进行加权求和,该加权求和值除以第二恶意访问数据的数量,可获得各个第二恶意访问数据对应的偏差比例的加权平均值,该加权平均值可表示非恶意访问数据的第一安全概率的平均值与每个第二恶意访问数据的第二安全概率之间的加权平均后的区分度,该加权平均后的区分度越大,则表示网络安全检测模型越能够将非恶意访问数据和第二恶意访问数据进行区分。反之,该加权平均后的区分度越小,则表示网络安全检测模型越难以将非恶意访问数据和第二恶意访问数据进行区分,即,网络安全检测模型难以区分恶意访问数据和安全访问数据,则需要对网络安全检测模型进行训练。
根据本发明的一个实施例,在公式(3)的第二项中,为待选恶意访问数据中的恶意访问数据的数量,表示这些恶意访问数据的第三安全概率的平均值,表示第三安全概率的平均值与第t个第二安全访问数据的第四安全概率之间的偏差,该偏差与第三安全概率的平均值之间的比值为偏差比例,表示第三安全概率的平均值与第四安全概率之间的区分度,可通过第二安全访问数据的第二权值,对每个第二安全访问数据对应的偏差比例进行加权求和,该加权求和值除以第二安全访问数据的数量,可获得各个第二安全访问数据对应的偏差比例的加权平均值,该加权平均值可表示恶意访问数据的第三安全概率的平均值与每个第二安全访问数据的第四安全概率之间的加权平均后的区分度,该加权平均后的区分度越大,则表示网络安全检测模型越能够将第二安全访问数据和恶意访问数据进行区分。反之,该加权平均后的区分度越小,则表示网络安全检测模型越难以将恶意访问数据和第二安全访问数据进行区分,即,网络安全检测模型难以区分恶意访问数据和安全访问数据,则需要对网络安全检测模型进行训练。
根据本发明的一个实施例,可对上述两项进行加权求和,获得判断评分,如果该判断评分小于或等于预设判断阈值,则网络安全监测模型难以区分恶意访问数据和安全访问数据,因此需要进行训练。
通过这种方式,可确定网络安全监测模型能否准确区分恶意访问数据和安全访问数据,从而确定网络安全监测模型是否需要进行训练,提升对于网络安全监测模型是否需要训练的判断准确性。
根据本发明的一个实施例,在步骤S107中,如果所述网络安全监测模型需要训练,则根据第二恶意访问数据、第一权值、第二安全访问数据和第二权值,对网络安全监测模型进行训练,获得训练后的网络安全监测模型,使得训练后的网络安全监测模型能够适应第i个监测周期及未来监测周期的访问数据,准确区分恶意访问数据和安全访问数据。
根据本发明的一个实施例,步骤S107可包括:根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数;根据所述网络安全监测模型的损失函数,训练所述网络安全监测模型,获得训练后的网络安全监测模型。
根据本发明的一个实施例,根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数,包括:根据公式(4),获得网络安全监测模型的损失函数L,
(4)
其中,为预设权值。
根据本发明的一个实施例,在公式(4)中,前四项分别为第一安全概率、第二安全概率、第三安全概率和第四安全概率的交叉熵损失函数,可利用交叉熵损失函数在训练过程中提升网络安全监测模型将第一安全访问数据中除去第二恶意访问数据后剩余的访问数据,以及第二安全访问数据确定为安全访问数据的概率,并降低网络安全监测模型将待选恶意访问数据中除去第二安全访问数据后的访问数据,以及第二恶意访问数据确定为安全访问数据的概率,提升网络安全监测模型的性能。
根据本发明的一个实施例,在公式(4)中,后两项分别为1与非恶意访问数据的第一安全概率的平均值与每个第二恶意访问数据的第二安全概率之间的加权平均后的区分度之间的差值,以及1与恶意访问数据的第三安全概率的平均值与每个第二安全访问数据的第四安全概率之间的加权平均后的区分度之间的差值,在训练过程中,上述两个差值缩小,使得上述两种区分度增大,从而提升网络安全监测模型能够准确区分恶意访问数据和安全访问数据,提升网络安全监测模型的性能。
根据本发明的一个实施例,可对上述六项加权求和,获得公式(4)表示的损失函数,并通过损失函数训练网络安全监测模型,例如,可通过梯度下降法调整网络安全监测模型的参数,使得损失函数最小化,从而获得训练后的网络安全监测模型。
通过这种方式,可通过交叉熵损失函数提升网络安全监测模型的对于访问数据的分类准确性,还可提升网络安全监测模型区分恶意访问数据和安全访问数据的能力,提升网络安全监测模型的性能。
根据本发明的一个实施例,在步骤S108中,在第i+1个监测周期中,可使用以上训练后的网络安全监测模型,对访问数据进行安全验证,即,区分安全访问数据和恶意访问数据。
根据本发明的实施例的针对信息安全的网络监测方法,可在一个监测周期完结后,自动确定网络安全监测模型识别出错的网络访问数据,并可确定识别出错的网络访问数据的权值,进而基于识别出错的网络访问数据及其权重,来提升判断网络安全监测模型是否需要训练的准确性,如果需要训练,则可使网络安全监测模型进行自主更新和训练,其判断和训练过程无需依赖人工,降低了更新训练的成本和难度,使网络安全监测模型能够适应不断变化的恶意访问数据,提升信息安全性。可在确定第一权值时,确定各个第一恶意指令相对于其他第一恶意指令是否分散,来判断第一恶意指令的隐蔽性,从而获得更准确和客观的隐蔽性评分,进而更准确可客观地确定第二恶意访问数据的第一权值。并可综合恶意指令隐蔽性评分和恶意访问后果评分两方面确定第一权值,提升了第一权值的客观性,且通过第一恶意指令的总数与指令总数之比,使第一恶意指令数量较多的第二恶意访问数据赋予较大的第一权值,从而有针对性地提升网络安全监测模型的性能,提升训练效率。在判断网络安全监测模型是否需要训练时,可确定网络安全监测模型能否准确区分恶意访问数据和安全访问数据,从而确定网络安全监测模型是否需要进行训练,提升对于网络安全监测模型是否需要训练的判断准确性。如果网络安全监测模型需要训练,则可通过交叉熵损失函数提升网络安全监测模型的对于访问数据的分类准确性,还可提升网络安全监测模型区分恶意访问数据和安全访问数据的能力,提升网络安全监测模型的性能。
图2示例性地示出根据本发明实施例的针对信息安全的网络监测系统的示意图,所述系统包括:
分类模块101,用于在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
访问结果模块102,用于允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
第一权值模块103,用于根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
抽样模块104,用于对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
第二权值模块105,用于对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
判断模块106,用于根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
训练模块107,用于如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
验证模块108,用于通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证。
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;
将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;
根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;
根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;
根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;
根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据公式
确定第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分,其中,为第i个第二恶意访问数据中的所有指令的总数,为第i个第二恶意访问数据中的第一恶意指令的数量,为第i个第二恶意访问数据中的第j-1个第一恶意指令在所有指令中的序号,为第i个第二恶意访问数据中的第j个第一恶意指令在所有指令中的序号,i为正整数,j为小于或等于的正整数,且当j=1时,
根据本发明的一个实施例,所述第一权值模块进一步用于:
根据公式
获得第i个第二恶意访问数据的第一权值,其中,为第i个第二恶意访问数据的第j个第一恶意指令的恶意访问后果评分。
根据本发明的一个实施例,所述判断模块进一步用于:
通过所述网络安全检测模型,获得各个第一安全访问数据的第一安全概率、各个第二恶意访问数据的第二安全概率、各个待选恶意访问数据的第三安全概率以及各个第二安全访问数据的第四安全概率,其中,所述第一安全概率为所述第一安全访问数据的访问行为是安全行为的概率,所述第二安全概率为所述第二恶意访问数据的访问行为是安全行为的概率,所述第三安全概率为所述待选恶意访问数据的访问行为是安全行为的概率,所述第四安全概率为所述第二安全访问数据的访问行为是安全行为的概率;
根据公式
获得判断评分J,其中,为第一安全访问数据的数量,为第二恶意访问数据的数量,为待选恶意访问数据的数量,为第二安全访问数据的数量,为第一安全访问数据中除去第二恶意访问数据后,剩余的访问数据中的第k个访问数据的第一安全概率,为第i个第二恶意访问数据的第二安全概率,为待选恶意访问数据中除去第二安全访问数据后的访问数据中的第x个访问数据的第三安全概率,为第t个第二安全访问数据的第四安全概率,k≤,i≤,x≤,t≤且k,i,t,x,均为正整数,为预设权重,为第i个第二恶意访问数据的第一权值,为第t个第二安全访问数据的第二权值;
在所述判断评分小于或等于预设判断阈值的情况下,确定所述网络安全监测模型需要训练。
根据本发明的一个实施例,所述训练模块进一步用于:
根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数;
根据所述网络安全监测模型的损失函数,训练所述网络安全监测模型,获得训练后的网络安全监测模型。
根据本发明的一个实施例,所述训练模块进一步用于:
根据公式
获得网络安全监测模型的损失函数L,其中,为预设权值。
根据本发明的一个实施例,提供一种针对信息安全的网络监测设备,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行所述针对信息安全的网络监测方法。
根据本发明的一个实施例,提供一种计算机可读存储介质,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现所述针对信息安全的网络监测方法。
本发明可以是方法、装置、系统和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,其上载有用于执行本发明的各个方面的计算机可读程序指令。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明。本发明的目的已经完整并有效地实现。本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (9)

1.一种针对信息安全的网络监测方法,其特征在于,包括:
在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证;
根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值,包括:
根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;
将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;
根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;
根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;
根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;
根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
2. 根据权利要求1所述的针对信息安全的网络监测方法,其特征在于,根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分,包括:
根据公式
确定第i个第二恶意访问数据的第j个第一恶意指令的隐蔽性评分,其中,为第i个第二恶意访问数据中的所有指令的总数,为第i个第二恶意访问数据中的第一恶意指令的数量,为第i个第二恶意访问数据中的第j-1个第一恶意指令在所有指令中的序号,为第i个第二恶意访问数据中的第j个第一恶意指令在所有指令中的序号,i为正整数,j为小于或等于的正整数,且当j=1时,
3. 根据权利要求2所述的针对信息安全的网络监测方法,其特征在于,根据所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值,包括:
根据公式
获得第i个第二恶意访问数据的第一权值,其中,为第i个第二恶意访问数据的第j个第一恶意指令的恶意访问后果评分。
4.根据权利要求1所述的针对信息安全的网络监测方法,其特征在于,根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练,包括:
通过所述网络安全监测模型,获得各个第一安全访问数据的第一安全概率、各个第二恶意访问数据的第二安全概率、各个待选恶意访问数据的第三安全概率以及各个第二安全访问数据的第四安全概率,其中,所述第一安全概率为所述第一安全访问数据的访问行为是安全行为的概率,所述第二安全概率为所述第二恶意访问数据的访问行为是安全行为的概率,所述第三安全概率为所述待选恶意访问数据的访问行为是安全行为的概率,所述第四安全概率为所述第二安全访问数据的访问行为是安全行为的概率;
根据公式
获得判断评分J,其中,为第一安全访问数据的数量,为第二恶意访问数据的数量,为待选恶意访问数据的数量,为第二安全访问数据的数量,为第一安全访问数据中除去第二恶意访问数据后,剩余的访问数据中的第k个访问数据的第一安全概率,为第i个第二恶意访问数据的第二安全概率,为待选恶意访问数据中除去第二安全访问数据后的访问数据中的第x个访问数据的第三安全概率,为第t个第二安全访问数据的第四安全概率,k≤,i≤,x≤,t≤且k,i,t,x,均为正整数,为预设权重,为第i个第二恶意访问数据的第一权值,为第t个第二安全访问数据的第二权值;
在所述判断评分小于或等于预设判断阈值的情况下,确定所述网络安全监测模型需要训练。
5.根据权利要求4所述的针对信息安全的网络监测方法,其特征在于,如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型,包括:
根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数;
根据所述网络安全监测模型的损失函数,训练所述网络安全监测模型,获得训练后的网络安全监测模型。
6. 根据权利要求5所述的针对信息安全的网络监测方法,其特征在于,根据所述第一安全概率、所述第二安全概率、所述第三安全概率、所述第四安全概率、所述第一权值以及所述第二权值,获得网络安全监测模型的损失函数,包括:
根据公式
获得网络安全监测模型的损失函数L,其中,为预设权值。
7.一种针对信息安全的网络监测系统,其特征在于,包括:
分类模块,用于在第i个监测周期中,通过网络安全监测模型,对访问数据进行分类,获得第一恶意访问数据,以及第一安全访问数据;
访问结果模块,用于允许所述第一安全访问数据的访问处理,并获取所述第一安全访问数据的访问结果;
第一权值模块,用于根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值;
抽样模块,用于对所述第一恶意访问数据进行抽样,获得待选恶意访问数据;
第二权值模块,用于对所述待选恶意访问数据进行解析,获得所述待选恶意访问数据中的第二安全访问数据,以及第二安全访问数据的第二权值;
判断模块,用于根据所述待选恶意访问数据、所述第二恶意访问数据、所述第一安全访问数据、所述第二安全访问数据、所述第一权值和所述第二权值,判断所述网络安全监测模型是否需要训练;
训练模块,用于如果所述网络安全监测模型需要训练,根据所述第二恶意访问数据、所述第一权值、所述第二安全访问数据和所述第二权值,对所述网络安全监测模型进行训练,获得训练后的网络安全监测模型;
验证模块,用于通过所述训练后的网络安全监测模型,对第i+1个监测周期中的访问数据进行安全验证;
根据所述第一安全访问数据的访问结果,确定出所述第一安全访问数据中的第二恶意访问数据,以及所述第二恶意访问数据的第一权值,包括:
根据所述第一安全访问数据的访问结果,确定各个第一安全访问数据的访问行为是否存在恶意行为,其中,所述恶意行为包括篡改数据、删除数据、写入恶意代码中的至少一种,所述恶意代码为预设的恶意代码数据库中的至少一种代码;
将存在恶意行为的第一安全访问数据确定为所述第二恶意访问数据;
根据所述恶意行为在所述第二恶意访问数据中对应的第一恶意指令;
根据所述第一恶意指令在第二恶意访问数据中的所有指令中的序号,确定各个第一恶意指令的隐蔽性评分;
根据所述第一恶意指令,确定各个第一恶意指令的恶意访问后果评分;
根据所述第一恶意指令和所述第二恶意访问数据中的所有指令,以及所述恶意指令隐蔽性评分和所述恶意访问后果评分,确定所述第二恶意访问数据的第一权值。
8.一种针对信息安全的网络监测设备,其特征在于,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为调用所述存储器存储的指令,以执行权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,特征在于,其上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现权利要求1-6中任一项所述的方法。
CN202311219056.1A 2023-09-21 2023-09-21 一种针对信息安全的网络监测方法及系统 Active CN116962089B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311219056.1A CN116962089B (zh) 2023-09-21 2023-09-21 一种针对信息安全的网络监测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311219056.1A CN116962089B (zh) 2023-09-21 2023-09-21 一种针对信息安全的网络监测方法及系统

Publications (2)

Publication Number Publication Date
CN116962089A CN116962089A (zh) 2023-10-27
CN116962089B true CN116962089B (zh) 2023-12-05

Family

ID=88449647

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311219056.1A Active CN116962089B (zh) 2023-09-21 2023-09-21 一种针对信息安全的网络监测方法及系统

Country Status (1)

Country Link
CN (1) CN116962089B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118118278B (zh) * 2024-04-29 2024-07-02 江苏天泽智联信息技术有限公司 物联网网关安全防护检测方法和系统

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563194A (zh) * 2017-09-04 2018-01-09 杭州安恒信息技术有限公司 潜伏性盗取用户数据行为检测方法及装置
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN110097066A (zh) * 2018-01-31 2019-08-06 阿里巴巴集团控股有限公司 一种用户分类方法、装置及电子设备
CN111371757A (zh) * 2020-02-25 2020-07-03 腾讯科技(深圳)有限公司 恶意通信检测方法、装置、计算机设备和存储介质
CN111563045A (zh) * 2020-05-11 2020-08-21 西安邮电大学 基于Adaboost模型的并发程序数据竞争语句级检测方法
CN112583845A (zh) * 2020-12-24 2021-03-30 深信服科技股份有限公司 一种访问检测方法、装置、电子设备和计算机存储介质
WO2021139641A1 (zh) * 2020-01-07 2021-07-15 深信服科技股份有限公司 一种web攻击检测方法、装置及电子设备和存储介质
CN113536308A (zh) * 2021-06-11 2021-10-22 中国人民解放军战略支援部队信息工程大学 软件基因视角下多粒度信息融合的二进制代码溯源方法
CN113592103A (zh) * 2021-07-26 2021-11-02 东方红卫星移动通信有限公司 一种基于集成学习和动态分析的软件恶意行为识别方法
CN116368355A (zh) * 2021-09-05 2023-06-30 汉熵通信有限公司 物联网系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11216855B2 (en) * 2015-11-04 2022-01-04 Walmart Apollo, Llc Server computer and networked computer system for evaluating, storing, and managing labels for classification model evaluation and training

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107563194A (zh) * 2017-09-04 2018-01-09 杭州安恒信息技术有限公司 潜伏性盗取用户数据行为检测方法及装置
CN107786575A (zh) * 2017-11-11 2018-03-09 北京信息科技大学 一种基于dns流量的自适应恶意域名检测方法
CN110097066A (zh) * 2018-01-31 2019-08-06 阿里巴巴集团控股有限公司 一种用户分类方法、装置及电子设备
WO2021139641A1 (zh) * 2020-01-07 2021-07-15 深信服科技股份有限公司 一种web攻击检测方法、装置及电子设备和存储介质
CN111371757A (zh) * 2020-02-25 2020-07-03 腾讯科技(深圳)有限公司 恶意通信检测方法、装置、计算机设备和存储介质
CN111563045A (zh) * 2020-05-11 2020-08-21 西安邮电大学 基于Adaboost模型的并发程序数据竞争语句级检测方法
CN112583845A (zh) * 2020-12-24 2021-03-30 深信服科技股份有限公司 一种访问检测方法、装置、电子设备和计算机存储介质
CN113536308A (zh) * 2021-06-11 2021-10-22 中国人民解放军战略支援部队信息工程大学 软件基因视角下多粒度信息融合的二进制代码溯源方法
CN113592103A (zh) * 2021-07-26 2021-11-02 东方红卫星移动通信有限公司 一种基于集成学习和动态分析的软件恶意行为识别方法
CN116368355A (zh) * 2021-09-05 2023-06-30 汉熵通信有限公司 物联网系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络安全事件管理关键技术研究;刘兰;《中国博士学位论文全文数据库·信息科技辑》;全文 *

Also Published As

Publication number Publication date
CN116962089A (zh) 2023-10-27

Similar Documents

Publication Publication Date Title
CN112069485B (zh) 基于用户行为的安全处理方法、装置及设备
US20230289665A1 (en) Failure feedback system for enhancing machine learning accuracy by synthetic data generation
CN111259219B (zh) 恶意网页识别模型建立方法、识别方法及系统
CN109753801A (zh) 基于系统调用的智能终端恶意软件动态检测方法
CN110727766A (zh) 敏感词的检测方法
CN110175851B (zh) 一种作弊行为检测方法及装置
US11562262B2 (en) Model variable candidate generation device and method
CN110162958B (zh) 用于计算设备的综合信用分的方法、装置和记录介质
CN116962089B (zh) 一种针对信息安全的网络监测方法及系统
Karanam et al. Intrusion detection mechanism for large scale networks using CNN-LSTM
CN115438102A (zh) 时空数据异常识别方法、装置和电子设备
CN113918936A (zh) Sql注入攻击检测的方法以及装置
CN114254691A (zh) 基于主动识别及智能监测的多渠道运营风控方法
Aljabri et al. Fake news detection using machine learning models
CN111797904A (zh) 网页页面特征的篡改检测方法及装置
CN114285587B (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
Alshahrani et al. Hunter Prey Optimization with Hybrid Deep Learning for Fake News Detection on Arabic Corpus.
CN110808947B (zh) 一种自动化的脆弱性量化评估方法及系统
CN118101245A (zh) 基于元启发式算法的重点威胁信息推断方法及装置
CN108875060B (zh) 一种网站识别方法及识别系统
CN113868649B (zh) 一种恶意外链检测方法、装置、电子设备及存储介质
CN116361488A (zh) 一种基于知识图谱挖掘风险对象的方法及装置
Prabhakar et al. Credit card fraud detection using boosted stacking
CN117422596B (zh) 基于大数据的非营业性质车辆从事营业行为的识别方法
Pierdomenico Applied Feature Extraction for Novel Malicious Software Identification Using Convolutional Neural Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant