【技术实现步骤摘要】
一种网络攻击行为的检测方法及检测系统
本专利技术涉及网络安全应用领域。本专利技术尤其涉及网络攻击行为的检测方法及系统。
技术介绍
现有的防网络攻击方式中,多采用攻击IP地址筛选或攻击事件的筛选的方式。上述方式依赖于对攻击IP信息及攻击事件信息的积累。对于新出现的攻击方式,则无法对攻击有效防御。
技术实现思路
本专利技术的目的是提供网络攻击行为的检测方法,可动态调节训练集,及时更新,保证防网络攻击的有效性及可靠性。本专利技术的另一目的是提供网络攻击行为的检测系统,可动态调节训练集数据,及时更新,保证防网络攻击的有效性及可靠性。本专利技术提供一种网络攻击行为的检测方法,其包括:步骤S101,构建攻击场景生成入侵监测日志样本数据。所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件。所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件。所述入侵监测日志样本数据中,包括多个攻击样本系列。所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符。步骤S102,从所述入侵监测日志样本数据中的多个攻击样本系列中,提取具有攻击事件结束符的攻击样本系列作为训练集。从所述多个攻击样本系列中排除所述训练集,获取预测集。步骤S103,根据设定编码格式及所述训练集的时间顺序对所述训练集编码。所述设定编码格式包括:源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码 ...
【技术保护点】
1.一种网络攻击行为的检测方法,其特征在于,其包括:/n步骤S101,构建攻击场景生成入侵监测日志样本数据;所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件;所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件;/n所述入侵监测日志样本数据中,包括多个攻击样本系列;所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符;/n步骤S102,从所述入侵监测日志样本数据中的多个攻击样本系列中,提取具有攻击事件结束符的攻击样本系列作为训练集;从所述多个攻击样本系列中排除所述训练集,获取预测集;/n步骤S103,根据设定编码格式及所述训练集的时间顺序对所述训练集编码;所述设定编码格式包括:源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码;/n步骤S104,根据设定编码格式及所述预测集的时间顺序对所述预测集编码;所述设定编码格式包括:源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码;/n步骤S105,通过神经网络模型训练所述训练集编码及所述预测集编码,生成攻击预 ...
【技术特征摘要】
1.一种网络攻击行为的检测方法,其特征在于,其包括:
步骤S101,构建攻击场景生成入侵监测日志样本数据;所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件;所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件;
所述入侵监测日志样本数据中,包括多个攻击样本系列;所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符;
步骤S102,从所述入侵监测日志样本数据中的多个攻击样本系列中,提取具有攻击事件结束符的攻击样本系列作为训练集;从所述多个攻击样本系列中排除所述训练集,获取预测集;
步骤S103,根据设定编码格式及所述训练集的时间顺序对所述训练集编码;所述设定编码格式包括:源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码;
步骤S104,根据设定编码格式及所述预测集的时间顺序对所述预测集编码;所述设定编码格式包括:源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码;
步骤S105,通过神经网络模型训练所述训练集编码及所述预测集编码,生成攻击预测神经网络模型;
步骤S106,将当前入侵监测日志数据输入到所述攻击预测神经网络模型中获取当前的攻击事件信息;
步骤S107,判断所述当前的攻击事件信息是否为设定的报警事件,若是,则生成网络攻击提示信息。
2.根据权利要求1所述的检测方法,其特征在于,所述步骤S101中还包括:
根据所述入侵监测日志样本数据获取多个告警事件分组;根据所述告警事件分组获取攻击分组;根据所述攻击分组中的设定威胁值分为多个依次递增攻击样本序列。
3.根据权利要求1所述的检测方法,其特征在于,所述神经网络模型分别配置为三个输入变量和三个输出变量;所述三个输入变量为源IP集合编码序列、目标IP集合编码序列及攻击事件名称序列;所述三个输出变量为预测源IP集合编码序列、预测目标IP集合编码序列及预测攻击事件名称序列;
所述神经网络模型,配置输入层,嵌入层、LSTM层及全连接层;所述输入层接收所述攻击样本序列数据编码;所述嵌入层将所述攻击样本序列数据编码转换为N维向量。
4.根据权利要求1所述的检测方法,其特征在于,所述步骤S107后还包括:
步骤S108,判断所述当前的攻击事件信息是否为设定的报警事件,若否,则根据所述当前攻击事件信息作为攻击事件返回S105中重新训练生成攻击预测神经网络模型。
5.一种网络攻击行为的检测系统,其特征在...
【专利技术属性】
技术研发人员:催文科,唐忞旻,石庆辉,
申请(专利权)人:深圳市金城保密技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。