CN117579332A - 网络威胁检测方法和装置 - Google Patents

网络威胁检测方法和装置 Download PDF

Info

Publication number
CN117579332A
CN117579332A CN202311523845.4A CN202311523845A CN117579332A CN 117579332 A CN117579332 A CN 117579332A CN 202311523845 A CN202311523845 A CN 202311523845A CN 117579332 A CN117579332 A CN 117579332A
Authority
CN
China
Prior art keywords
preset
threat detection
model
security data
detection model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311523845.4A
Other languages
English (en)
Inventor
雷小辉
马坤
苟宝谊
童小敏
黄亚亚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Clover Cyber Technology Co ltd
Original Assignee
Xi'an Clover Cyber Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Clover Cyber Technology Co ltd filed Critical Xi'an Clover Cyber Technology Co ltd
Priority to CN202311523845.4A priority Critical patent/CN117579332A/zh
Publication of CN117579332A publication Critical patent/CN117579332A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/0464Convolutional networks [CNN, ConvNet]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种网络威胁检测方法和装置,该方法包括:获取当前网络安全数据,将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果。本方案可以直接通过预先训练得到的预设威胁检测模型对当前网络安全数据进行分析,就能够得到与当前网络安全数据对应的目标威胁检测结果,提高了进行网络威胁检测的准确性及效率;另外,由于预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的,融合了处理网络流量数据中的空间特征和时间序列特征,使得模型能够更全面地考虑数据的时间信息,提升了对网络威胁的识别能力。

Description

网络威胁检测方法和装置
技术领域
本申请涉及网络安全技术领域,尤其涉及网络威胁检测方法和装置。
背景技术
随着计算机网络技术的不断发展,计算机网络系统的安全问题变得越来越严重,其中,网络威胁检测在网络安全中扮演着极其关键和重要的角色,其是网络处置的基础和前提,对于保障网络安全、实时监控和预警具有重要的现实意义。
传统地,在进行网络威胁检测时,通常是采用规则引擎实现,即可以基于特定规则来检测异常行为,从而得到网络威胁检测结果。然而,随着不断出现的新型网络威胁,以及网络环境的复杂化,从而很难对新型网络威胁进行准确检测。
因此,采用上述方式进行网络威胁检测的准确性较低。
发明内容
本申请旨在至少解决现有技术中存在的技术问题,为此,本申请第一方面提出一种网络威胁检测方法,该方法包括:
获取当前网络安全数据;其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果;其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
在一种可能的实施方式中,将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果,包括:
将当前网络安全数据输入至预设威胁检测模型中,采用预设威胁检测模型中的预设卷积神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第一输出结果;
采用预设威胁检测模型中的预设循环神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第二输出结果;
基于第一输出结果及第二输出结果,计算目标威胁检测结果。
在一种可能的实施方式中,预设循环神经网络模型包括第一注意力机制模块,预设循环神经网络模型包括第二注意力机制模块,基于第一输出结果及第二输出结果,计算目标威胁检测结果,包括:
计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重;其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分;
基于第一权重及第二权重对第一输出结果及第二输出结果进行融合,生成融合输出结果;
对融合输出结果进行封装处理,生成目标威胁检测结果。
在一种可能的实施方式中,预设威胁检测模型的构建过程,包括:
采用第一权重及第二权重对预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型;其中,预设卷积神经网络模型及预设循环神经网络模型是通过预设网络安全数据样本集训练得到的,预设网络安全数据样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集;
采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
在一种可能的实施方式中,采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型,包括:
获取预设网络安全数据样本集对应的各特征项的当前状态;其中,当前状态用于表征各特征项的频率、重要性及变化状态;
针对各特征项,基于预设调整规则确定与当前状态对应的目标调整策略;
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型;其中,模型架构包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型。
在一种可能的实施方式中,基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型,包括:
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型;
对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型;其中,第一次优化处理是基于预设网络安全数据样本集中的测试集进行处理的,第二次优化处理是基于预设网络安全数据样本集中的测试集及验证集进行处理的。
在一种可能的实施方式中,对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型,包括:
通过预设网络安全数据样本集中的测试集对中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型;
通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,生成第二威胁检测模型;
通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
本申请第二方面提出一种网络威胁检测装置,该装置包括:
获取模块,用于获取当前网络安全数据;其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
生成模块,用于将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果;其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
在一种可能的实施方式中,上述生成模块具体用于:
将当前网络安全数据输入至预设威胁检测模型中,采用预设威胁检测模型中的预设卷积神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第一输出结果;
采用预设威胁检测模型中的预设循环神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第二输出结果;
基于第一输出结果及第二输出结果,计算目标威胁检测结果。
在一种可能的实施方式中,预设循环神经网络模型包括第一注意力机制模块,预设循环神经网络模型包括第二注意力机制模块,上述生成模块还用于:
计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重;其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分;
基于第一权重及第二权重对第一输出结果及第二输出结果进行融合,生成融合输出结果;
对融合输出结果进行封装处理,生成目标威胁检测结果。
在一种可能的实施方式中,上述网络威胁检测装置还用于:
采用第一权重及第二权重对预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型;其中,预设卷积神经网络模型及预设循环神经网络模型是通过预设网络安全数据样本集训练得到的,预设网络安全数据样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集;
采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
在一种可能的实施方式中,上述网络威胁检测装置还用于:
获取预设网络安全数据样本集对应的各特征项的当前状态;其中,当前状态用于表征各特征项的频率、重要性及变化状态;
针对各特征项,基于预设调整规则确定与当前状态对应的目标调整策略;
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型;其中,模型架构包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型。
在一种可能的实施方式中,上述网络威胁检测装置还用于:
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型;
对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型;其中,第一次优化处理是基于预设网络安全数据样本集中的测试集进行处理的,第二次优化处理是基于预设网络安全数据样本集中的测试集及验证集进行处理的。
在一种可能的实施方式中,上述网络威胁检测装置还用于:
通过预设网络安全数据样本集中的测试集对中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型;
通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,生成第二威胁检测模型;
通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
本申请第三方面提出一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的网络威胁检测方法。
本申请第四方面提出一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的网络威胁检测方法。
本申请实施例具有以下有益效果:
本申请实施例提供的网络威胁检测方法,该方法包括:获取当前网络安全数据,其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种,将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果。本方案可以直接通过预先训练得到的预设威胁检测模型对当前网络安全数据进行分析,就能够得到与当前网络安全数据对应的目标威胁检测结果,提高了进行网络威胁检测的准确性及效率;另外,由于预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的,融合了处理网络流量数据中的空间特征和时间序列特征,使得模型能够更全面地考虑数据的时间信息,提升了对网络威胁的识别能力。
附图说明
图1为本申请实施例提供的一种计算机设备的框图;
图2为本申请实施例提供的网络威胁检测方法的步骤流程图;
图3为本申请实施例提供的一种构建预设威胁检测模型的步骤流程图;
图4为本申请实施例提供的一种动态调整模型架构的步骤流程图;
图5为本申请实施例提供的另一种构建预设威胁检测模型的步骤流程图;
图6为本申请实施例提供的又一种构建预设威胁检测模型的步骤流程图;
图7为本申请实施例提供的一种计算目标威胁检测结果的步骤流程图;
图8为本申请实施例提供的另一种计算目标威胁检测结果的步骤流程图;
图9为本申请实施例提供的网络威胁检测装置的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开实施例的描述中,除非另有说明,“多个”的含义是两个或两个以上。另外,“基于”或“根据”的使用意味着开放和包容性,因为“基于”或“根据”一个或多个所述条件或值的过程、步骤、计算或其他动作在实践中可以基于额外条件或超出所述的值。
本申请提供的网络威胁检测方法可以应用于计算机设备(电子设备)中,计算机设备可以是服务器,也可以是终端,其中,服务器可以为一台服务器也可以为由多台服务器组成的服务器集群,本申请实施例对此不作具体限定,终端可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。
以计算机设备是服务器为例,图1示出了一种服务器的框图,如图1所示,服务器可以包括通过系统总线连接的处理器和存储器。其中,该服务器的处理器用于提供计算和控制能力。该服务器的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序以及数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机程序被处理器执行时以实现一种网络威胁检测方法。
本领域技术人员可以理解,图1中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的服务器的限定,可选地服务器可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
需要说明的是,本申请实施例的执行主体可以是计算机设备,也可以是网络威胁检测装置,下述方法实施例中就以计算机设备为执行主体进行说明。
图2为本申请实施例提供的网络威胁检测方法的步骤流程图。如图2所示,该方法包括以下步骤:
步骤202、获取当前网络安全数据。
其中,随着计算机网络技术的不断发展,计算机网络系统的安全问题变得越来越严重,其中,网络威胁检测在网络安全中扮演着极其关键和重要的角色,其是网络处置的基础和前提,对于保障网络安全、实时监控和预警具有重要的现实意义。
在进行网络威胁检测时,需要先获取当前网络安全数据,当前网络安全数据可以包括当前网络流量数据及当前网络日志数据中的至少一种。
步骤204、将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果。
其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。在获取到当前网络安全数据后,可以将当前网络安全数据输入至预设威胁检测模型中进行计算,从而生成与当前网络安全数据对应的目标威胁检测结果。
目标威胁检测结果可以包括各种威胁类型、威胁源、危害程度、传播能力、可信度等信息,其中,可信度表示可信的程度,对应的值越大表示越可信。当然也可以包括其他类型的检测结果,本申请实施例对此不作具体限定。
预设威胁检测模型是用于生成与当前网络安全数据对应的目标威胁检测结果的模型,该模型的构建过程如图3所示,图3为本申请实施例提供的一种构建预设威胁检测模型的步骤流程图,包括:
步骤302、采用第一权重及第二权重对预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型。
步骤304、采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
其中,预设卷积神经网络模型(Convolutional Neural Network,简称CNN)及预设循环神经网络模型(Recurrent Neural Network,简称RNN)是通过预设网络安全数据样本集训练得到的。因此,在构建预设威胁检测模型时,需要先构建预设卷积神经网络模型及预设循环神经网络模型。
可选地,可以先获取预设网络安全数据样本集,该样本集中包括正常样本和恶意样本,用于后续的监督学习。另外,该样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集。该第二网络流量数据样本集通常为已标注的公开网络流量数据集。
接着,可以对该预设网络安全数据样本集中的数据进行数据预处理,可以包括但不限于数据清洗、归一化、编码等预处理过程。另外,对于第一网络流量数据样本集及第二网络流量数据样本集,进行数据预处理时,还可以将数据转换为与CNN模型及RNN模型对应的输入格式,从而得到预处理后的预设网络安全数据样本集,示例性地,可以将数据切为时间序列片段或者对数据进行时序上的处理。
再对预处理后的预设网络安全数据样本集通过安全专家进行数据标注,对于第一网络流量数据样本集及网络日志数据样本集,可以标注是否是威胁、威胁类型、等级、危害程度、传播能力等内容,对于标注后的第二网络流量数据样本集无需再次标注。
针对标注后的预设网络安全数据样本集,还可以提取样本集中的流量特征数据,可以包括包大小、协议类型、源目的IP域名、端口、payload等信息,接着,还可以对提取到的流量特征数据进行向量化处理,以便后续在模型中使用。可选地,在进行向量化处理时,可以采用用于信息检索与数据挖掘的常用加权技术(Term Frequency_Inverse DocumentFrequency,简称TF-IDF),当然也可以采用其他类型的向量化处理算法,本申请实施例对此不作具体限定。
对于进行特征提取后的预设网络安全数据样本集中的每一种类型的样本集,均可以按照预设比例划分为训练集、测试集和验证集,训练集用于训练模型,测试集用于测试模型,验证集用于验证模型。通过采用不同类型的样本集进行训练、测试和验证等过程,使得模型具有更高的泛化能力和表达能力,另外,采用已标注的公开的第二网络流量数据样本集作为模型训练、测试、验证的数据源之一,使得模型具有更强的鲁棒性。
接着,可以先构建一个预设卷积神经网络模型,可以用来处理第一网络流量数据样本集及第二网络流量数据样本集,同时,需要构建一个预设循环神经网络模型,可以用来处理网络日志数据样本集。这两个模型的构建过程可以参考对应的标准模型的构建过程,在此不再赘述。
从而,可以将预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型。可选地,可以采用注意力机制实现融合两个模型的过程,其中,可以分别针对预设卷积神经网络模型及预设循环神经网络模型,在模型的最后几个隐藏层之间建立注意力机制,用于动态调节这两个模型的融合。即预设循环神经网络模型可以包括第一注意力机制模块,预设循环神经网络模型可以包括第二注意力机制模块。
对于每个时间步或空间维度,使用一个小型的网络,例如,可以是一个全连接网络来计算与预设卷积神经网络模型对应的第一权重和与预设循环神经网络模型对应的第二权重,第一权重和第二权重表示该事件步或空间维度在特征融合中的重要性。这两个权重可以基于输入数据的特征、两种模型的输出等多个因素来计算。其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分。
可选地,针对两个不同的模型,可以先将模型的输入数据进行线性变换、投射到更高维空间,其次,可以采用点积注意力机制计算查询向量与键向量的点积,再经过SoftMax归一化后得到第一权重和第二权重。第一权重和第二权重均为一个向量,第一权重可以表示为[c1,c2,c3…,cn],第二权重可以表示为[d1,d2,d3…,dn],向量中的每一个值表示一个特征项对应的重要性得分。
基于第一权重和第二权重,可以将预设卷积神经网络模型的第一输出结果及预设循环神经网络模型的第二输出结果进行加权融合,第一权重和第二权重可以作为线性加权系数,然后分别乘以对应的第一输出结果及第二输出结果,最终将两部分相乘结果相加之后得到融合输出结果。示例性地,第一输出结果可以表示为[k1,k2,k3…,kn],第二输出结果可以表示为[y1,y2,y3…,yn],从而融合输出结果可以表示为[c1*k1+d1*y1,c2*k2+d2*y2,…,cn*kn+dn*yn]。上述式子中的n均表示特征项的数量。
采用上述方式融合后的初始威胁检测模型中的相关参数可以进行初始化,相关参数可以包括模型参数、综合评价指标、不同类型的样本集对应的准确性阈值k1、k2、k3。其中,示例性地,若有三种不同类型的样本集,那么综合评价指标的计算过程可以为r=a1*k1+a2*k2+a3*k3,其中,a1、a2、a3分别为三种不同类型的样本集对应的权重,一般由数据量大小、数据质量优劣、数据重要程度等方面综合评定,为预先自定义设置的数值。
得到初始威胁检测模型后,还可以采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。可选地,如图4所示,图4为本申请实施例提供的一种动态调整模型架构的步骤流程图,包括:
步骤402、获取预设网络安全数据样本集对应的各特征项的当前状态。
步骤404、针对各特征项,基于预设调整规则确定与当前状态对应的目标调整策略。
步骤406、基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
其中,在采用训练集进行模型训练期间,可以将训练集数据分批输入至模型中进行训练,并监控输入数据的各特征项的当前状态,可以包括各特征项的频率、重要性及变化状态。另外,可以定期对模型在不同特征项上的表现进行评估,根据评估结果识别哪些特征项对模型的性能有显著影响。在进行模型架构的动态调整时,可以设置一个条件判断机制,该条件判断机制即为当某个特征项的当前状态达到一定程度时,即触发模型架构的预设调整规则。例如,当某个特征项的频率达到一个预设阈值的时候,即需要进行触发模型架构的动态调整规则。
从而可以基于目标调整策略对初始威胁检测模型的模型架构进行调整,其中,模型架构可以包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型,即目标调整策略可以为增加或减少隐藏层的层数、隐藏层单元的数量,改变模型的层次结构,应用不同的激活函数等中的至少一种,也可以为其他类型的目标调整策略,本申请实施例对此不作具体限定。
进行调整后的模型还可以采用上述同一批输入数据,再次进行验证和监控输入数据的各特征项的当前状态的过程,从而实现模型架构的动态调整,以确保调整后的模型架构对特定特征项的性能有所改善。
还可以将上述动态调整过程自动化,从而,针对其他批的输入数据,均可以采用上述过程进行模型架构的自动化调整,最终提高了生成预设威胁检测模型的效率,并且保证了预设威胁检测模型的性能。
在一些可选地实施例中,如图5所示,图5为本申请实施例提供的另一种构建预设威胁检测模型的步骤流程图,包括:
步骤502、基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型。
步骤504、对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型。
其中,第一次优化处理是基于预设网络安全数据样本集中的测试集进行处理的,第二次优化处理是基于预设网络安全数据样本集中的测试集及验证集进行处理的。可选地,如图6所示,图6为本申请实施例提供的又一种构建预设威胁检测模型的步骤流程图,包括:
步骤602、通过预设网络安全数据样本集中的测试集对中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型。
步骤604、通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,生成第二威胁检测模型。
步骤606、通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
其中,可以使用不同类型的测试集对中间威胁检测模型进行评估,比较模型在测试集上的总体效果是否满足了预设准确度阈值r,该预设准确度阈值r可以通过上述综合评价指标计算得到,为预先设定的参考值。模型在测试集上的总体效果即为实际的准确度,具体计算过程也可以采用上述综合评价指标的计算过程计算得到,只是其中的不同类型的样本集对应的准确性阈值k1、k2、k3为经过测试集测试后实际得到的值。若评估结果不满足预设准确度阈值,则需要对中间威胁检测模型的模型参数进行调整并重新进行训练,若评估结果满足预设准确度阈值,则训练终止,得到第一威胁检测模型,即为第一次优化处理的过程。
虽然第一威胁检测模型已经具有较好的检测能力,但是依然还可以对第一威胁检测模型进行进一步优化,即进行第二次优化的过程,以进一步提升模型的鲁棒性。
可选地,可以通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,从而生成第二威胁检测模型。这里在对第一权重及第二权重进行调整时,可以通过专家经验进行微调。
从而微调后的第二威胁检测模型还可以通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
其中,若测试结果不及以前,则可以回退到之前的第一权重和第二权重,并可以重新进行微调后,重复通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试的过程。若测试结果相比之前有所提升,则可以重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。该预设条件即为对第一权重和第二权重进行微调后,模型效果提升不明显,即认为此时模型参数达到最优。并可以对模型进行封装后,从而生成预设威胁检测模型。可以包括固定模型参数、封装处理、参数化处理等过程。
本实施例中,通过在训练过程中动态调整架构,增加了模型自身的动态优化能力的同时,降低了因模型本身参数未最优而导致多余的训练和测试成本;另外,通过对模型进行多次优化,使得模型的能力和效果得到进一步提升;同时,通过反复使用验证集和测试集检验模型,使得模型的泛化能力得到进一步增强。
在构建好预设威胁检测模型后,可选地,在将当前网络安全数据输入至预设威胁检测模型中进行计算时,如图7所示,图7为本申请实施例提供的一种计算目标威胁检测结果的步骤流程图,该方法包括:
步骤702、将当前网络安全数据输入至预设威胁检测模型中,采用预设威胁检测模型中的预设卷积神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第一输出结果。
步骤704、采用预设威胁检测模型中的预设循环神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第二输出结果。
步骤706、基于第一输出结果及第二输出结果,计算目标威胁检测结果。
其中,预设循环神经网络模型可以包括第一注意力机制模块,预设循环神经网络模型可以包括第二注意力机制模块,在将当前网络安全数据输入至预设威胁检测模型中,生成第一输出结果及第二输出结果的具体过程可以参考上述构建模型的过程,在此不再赘述。
在一些可选地实施例中,如图8所示,图8为本申请实施例提供的另一种计算目标威胁检测结果的步骤流程图,该方法包括:
步骤802、计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重。
步骤804、基于第一权重及第二权重对第一输出结果及第二输出结果进行融合,生成融合输出结果。
步骤806、对融合输出结果进行封装处理,生成目标威胁检测结果。
其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分。计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重的具体过程可以参考上述构建模型的过程,在此不再赘述。
基于第一权重和第二权重,可以将预设卷积神经网络模型的第一输出结果及预设循环神经网络模型的第二输出结果进行加权融合,第一权重和第二权重可以作为线性加权系数,然后分别乘以对应的第一输出结果及第二输出结果,最终将两部分相乘结果相加之后得到融合输出结果。示例性地,将第一输出结果可以表示为[k1,k2,k3…,kn],第二输出结果可以表示为[y1,y2,y3…,yn],从而融合输出结果可以表示为[c1*k1+d1*y1,c2*k2+d2*y2,…,cn*kn+dn*yn]。上述式子中的n均表示特征项的数量。
最终,可以对融合输出结果进行封装处理,从而生成目标威胁检测结果,即该目标威胁检测结果可以包括各种威胁类型、威胁源、危害程度、传播能力、可信度等信息。
本实施例中,通过采用预设卷积神经网络模型及预设循环神经网络模型,融合了处理网络流量数据中的空间特征和时间序列特征,使得模型能够更全面地考虑数据的时间信息,提升了对网络威胁的识别能力。
本申请实施例提供的网络威胁检测方法及装置,该方法包括:获取当前网络安全数据,其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种,将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果。本方案可以直接通过预先训练得到的预设威胁检测模型对当前网络安全数据进行分析,就能够得到与当前网络安全数据对应的目标威胁检测结果,提高了进行网络威胁检测的准确性及效率;另外,由于预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的,融合了处理网络流量数据中的空间特征和时间序列特征,使得模型能够更全面地考虑数据的时间信息,提升了对网络威胁的识别能力。
图9为本申请实施例提供的一种网络威胁检测装置的结构框图。
如图9所示,该网络威胁检测装置900包括:
获取模块902,用于获取当前网络安全数据;其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种。
生成模块904,用于将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果;其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。上述网络威胁检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块的操作。
在本申请的一个实施例中,提供了一种计算机设备,该计算机设备包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
获取当前网络安全数据;其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果;其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
将当前网络安全数据输入至预设威胁检测模型中,采用预设威胁检测模型中的预设卷积神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第一输出结果;
采用预设威胁检测模型中的预设循环神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第二输出结果;
基于第一输出结果及第二输出结果,计算目标威胁检测结果。
在本申请的一个实施例中,预设循环神经网络模型包括第一注意力机制模块,预设循环神经网络模型包括第二注意力机制模块,处理器执行计算机程序时还实现以下步骤:
计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重;其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分;
基于第一权重及第二权重对第一输出结果及第二输出结果进行融合,生成融合输出结果;
对融合输出结果进行封装处理,生成目标威胁检测结果。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
采用第一权重及第二权重对预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型;其中,预设卷积神经网络模型及预设循环神经网络模型是通过预设网络安全数据样本集训练得到的,预设网络安全数据样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集;
采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取预设网络安全数据样本集对应的各特征项的当前状态;其中,当前状态用于表征各特征项的频率、重要性及变化状态;
针对各特征项,基于预设调整规则确定与当前状态对应的目标调整策略;
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型;其中,模型架构包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型;
对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型;其中,第一次优化处理是基于预设网络安全数据样本集中的测试集进行处理的,第二次优化处理是基于预设网络安全数据样本集中的测试集及验证集进行处理的。
在本申请的一个实施例中,处理器执行计算机程序时还实现以下步骤:
通过预设网络安全数据样本集中的测试集对中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型;
通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,生成第二威胁检测模型;
通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
本申请实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取当前网络安全数据;其中,当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
将当前网络安全数据输入至预设威胁检测模型中进行计算,生成与当前网络安全数据对应的目标威胁检测结果;其中,预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将当前网络安全数据输入至预设威胁检测模型中,采用预设威胁检测模型中的预设卷积神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第一输出结果;
采用预设威胁检测模型中的预设循环神经网络模型对当前网络安全数据进行计算,生成与当前网络安全数据对应的第二输出结果;
基于第一输出结果及第二输出结果,计算目标威胁检测结果。
在本申请的一个实施例中,预设循环神经网络模型包括第一注意力机制模块,预设循环神经网络模型包括第二注意力机制模块,计算机程序被处理器执行时还实现以下步骤:
计算预设卷积神经网络模型对应的第一权重及预设循环神经网络模型对应的第二权重;其中,第一权重用于表征通过第一注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分,第二权重用于表征通过第二注意力机制模块计算得到的与当前网络安全数据对应的各特征项之间的重要性得分;
基于第一权重及第二权重对第一输出结果及第二输出结果进行融合,生成融合输出结果;
对融合输出结果进行封装处理,生成目标威胁检测结果。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
采用第一权重及第二权重对预设卷积神经网络模型及预设循环神经网络模型进行融合处理,生成初始威胁检测模型;其中,预设卷积神经网络模型及预设循环神经网络模型是通过预设网络安全数据样本集训练得到的,预设网络安全数据样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集;
采用预设调整规则对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取预设网络安全数据样本集对应的各特征项的当前状态;其中,当前状态用于表征各特征项的频率、重要性及变化状态;
针对各特征项,基于预设调整规则确定与当前状态对应的目标调整策略;
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成预设威胁检测模型;其中,模型架构包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于目标调整策略对初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型;
对中间威胁检测模型进行第一次优化处理及第二次优化处理,生成预设威胁检测模型;其中,第一次优化处理是基于预设网络安全数据样本集中的测试集进行处理的,第二次优化处理是基于预设网络安全数据样本集中的测试集及验证集进行处理的。
在本申请的一个实施例中,计算机程序被处理器执行时还实现以下步骤:
通过预设网络安全数据样本集中的测试集对中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型;
通过预设网络安全数据样本集中的验证集对第一威胁检测模型进行验证,根据验证结果及预设准确度阈值对第一权重及第二权重进行调整,生成第二威胁检测模型;
通过预设网络安全数据样本集中的测试集对第二威胁检测模型进行测试,根据测试结果及预设准确度阈值确定重复执行通过验证集进行验证的过程,直至验证结果满足预设条件为止,生成预设威胁检测模型。
本实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

Claims (10)

1.一种网络威胁检测方法,其特征在于,所述方法包括:
获取当前网络安全数据;其中,所述当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
将所述当前网络安全数据输入至预设威胁检测模型中进行计算,生成与所述当前网络安全数据对应的目标威胁检测结果;其中,所述预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
2.根据权利要求1所述的方法,其特征在于,所述将所述当前网络安全数据输入至预设威胁检测模型中进行计算,生成与所述当前网络安全数据对应的目标威胁检测结果,包括:
将所述当前网络安全数据输入至预设威胁检测模型中,采用所述预设威胁检测模型中的所述预设卷积神经网络模型对所述当前网络安全数据进行计算,生成与所述当前网络安全数据对应的第一输出结果;
采用所述预设威胁检测模型中的所述预设循环神经网络模型对所述当前网络安全数据进行计算,生成与所述当前网络安全数据对应的第二输出结果;
基于所述第一输出结果及所述第二输出结果,计算所述目标威胁检测结果。
3.根据权利要求2所述的方法,其特征在于,所述预设循环神经网络模型包括第一注意力机制模块,所述预设循环神经网络模型包括第二注意力机制模块,所述基于所述第一输出结果及所述第二输出结果,计算所述目标威胁检测结果,包括:
计算所述预设卷积神经网络模型对应的第一权重及所述预设循环神经网络模型对应的第二权重;其中,所述第一权重用于表征通过所述第一注意力机制模块计算得到的与所述当前网络安全数据对应的各特征项之间的重要性得分,所述第二权重用于表征通过所述第二注意力机制模块计算得到的与所述当前网络安全数据对应的各特征项之间的重要性得分;
基于所述第一权重及所述第二权重对所述第一输出结果及所述第二输出结果进行融合,生成融合输出结果;
对所述融合输出结果进行封装处理,生成所述目标威胁检测结果。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述预设威胁检测模型的构建过程,包括:
采用第一权重及第二权重对所述预设卷积神经网络模型及所述预设循环神经网络模型进行融合处理,生成初始威胁检测模型;其中,所述预设卷积神经网络模型及所述预设循环神经网络模型是通过预设网络安全数据样本集训练得到的;其中,所述预设网络安全数据样本集至少包括未标注的第一网络流量数据样本集、网络日志数据样本集及标注后的第二网络流量数据样本集;
采用预设调整规则对所述初始威胁检测模型的模型架构进行调整,生成所述预设威胁检测模型。
5.根据权利要求4所述的方法,其特征在于,所述采用预设调整规则对所述初始威胁检测模型的模型架构进行调整,生成所述预设威胁检测模型,包括:
获取所述预设网络安全数据样本集对应的各特征项的当前状态;其中,所述当前状态用于表征所述各特征项的频率、重要性及变化状态;
针对各所述特征项,基于所述预设调整规则确定与所述当前状态对应的目标调整策略;
基于所述目标调整策略对所述初始威胁检测模型的模型架构进行调整,生成所述预设威胁检测模型;其中,所述模型架构包括隐藏层的层数、隐藏层单元的数量、层次结构及激活函数的类型。
6.根据权利要求5所述的方法,其特征在于,所述基于所述目标调整策略对所述初始威胁检测模型的模型架构进行调整,生成所述预设威胁检测模型,包括:
基于所述目标调整策略对所述初始威胁检测模型的模型架构进行调整,生成中间威胁检测模型;
对所述中间威胁检测模型进行第一次优化处理及第二次优化处理,生成所述预设威胁检测模型;其中,所述第一次优化处理是基于所述预设网络安全数据样本集中的测试集进行处理的,所述第二次优化处理是基于所述预设网络安全数据样本集中的测试集及验证集进行处理的。
7.根据权利要求6所述的方法,其特征在于,所述对所述中间威胁检测模型进行第一次优化处理及第二次优化处理,生成所述预设威胁检测模型,包括:
通过所述预设网络安全数据样本集中的测试集对所述中间威胁检测模型进行评估,根据评估结果及预设准确度阈值对所述中间威胁检测模型的模型参数进行调整,生成第一威胁检测模型;
通过所述预设网络安全数据样本集中的验证集对所述第一威胁检测模型进行验证,根据验证结果及所述预设准确度阈值对所述第一权重及所述第二权重进行调整,生成第二威胁检测模型;
通过所述预设网络安全数据样本集中的测试集对所述第二威胁检测模型进行测试,根据测试结果及所述预设准确度阈值确定重复执行通过所述验证集进行验证的过程,直至所述验证结果满足预设条件为止,生成所述预设威胁检测模型。
8.一种网络威胁检测装置,其特征在于,所述装置包括:
获取模块,用于获取当前网络安全数据;其中,所述当前网络安全数据包括当前网络流量数据及当前网络日志数据中的至少一种;
生成模块,用于将所述当前网络安全数据输入至预设威胁检测模型中进行计算,生成与所述当前网络安全数据对应的目标威胁检测结果;其中,所述预设威胁检测模型是对预设卷积神经网络模型及预设循环神经网络模型进行融合后得到的。
9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-7任一项所述的网络威胁检测方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-7任一项所述的网络威胁检测方法。
CN202311523845.4A 2023-11-15 2023-11-15 网络威胁检测方法和装置 Pending CN117579332A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311523845.4A CN117579332A (zh) 2023-11-15 2023-11-15 网络威胁检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311523845.4A CN117579332A (zh) 2023-11-15 2023-11-15 网络威胁检测方法和装置

Publications (1)

Publication Number Publication Date
CN117579332A true CN117579332A (zh) 2024-02-20

Family

ID=89885508

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311523845.4A Pending CN117579332A (zh) 2023-11-15 2023-11-15 网络威胁检测方法和装置

Country Status (1)

Country Link
CN (1) CN117579332A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117811841A (zh) * 2024-02-29 2024-04-02 深圳市常行科技有限公司 一种针对内部网络的威胁监测防御系统、方法及设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117811841A (zh) * 2024-02-29 2024-04-02 深圳市常行科技有限公司 一种针对内部网络的威胁监测防御系统、方法及设备

Similar Documents

Publication Publication Date Title
CN113822421B (zh) 基于神经网络的异常定位方法、系统、设备及存储介质
CN117579332A (zh) 网络威胁检测方法和装置
CN111506710B (zh) 基于谣言预测模型的信息发送方法、装置和计算机设备
KR20210015531A (ko) 뉴럴 네트워크 모델을 업데이트하는 방법 및 시스템
CN114881349A (zh) 基于大数据分析的预警方法及存储介质
CN113918936A (zh) Sql注入攻击检测的方法以及装置
Rumez et al. Anomaly detection for automotive diagnostic applications based on N-grams
Ali et al. ICS-IDS: application of big data analysis in AI-based intrusion detection systems to identify cyberattacks in ICS networks
CN114679341A (zh) 结合erp系统的网络入侵攻击分析方法、设备及介质
CN117675273A (zh) 网络扫描行为检测方法及装置
CN114285587A (zh) 域名鉴别方法和装置、域名分类模型的获取方法和装置
CN111598568A (zh) 一种基于多交易客体多维信誉管理的异常交易识别方法
CN116611064A (zh) 一种基于门控循环单元的混合模型恶意软件检测方法
CN115314239A (zh) 基于多模型融合的隐匿恶意行为的分析方法和相关设备
CN110865939B (zh) 应用程序质量监测方法、装置、计算机设备和存储介质
Sufang An adaptive ensemble classification framework for real-time data streams by distributed control systems
CN115913769B (zh) 基于人工智能的数据安全存储方法及系统
CN117318991A (zh) 告警可信度评估方法和装置
CN112686656B (zh) 基于大数据和区块链支付的信息防护方法及大数据服务器
Sivakumar et al. Intrusion Detection System for Securing the SCADA Industrial Control System
CN114528550B (zh) 一种应用于电商大数据威胁识别的信息处理方法及系统
EP3896617A1 (en) Determining trustworthiness of trained neural network
US20220101625A1 (en) In-situ detection of anomalies in integrated circuits using machine learning models
CN116886388A (zh) 网络安全防护方法和装置
CN117792715A (zh) 威胁狩猎方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination