一种网络攻击检测方法及装置制造方法及图纸

本公开是关于一种网络攻击检测方法及装置。包括：获取网站请求；利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。利用本公开通过的实施例方法，通过所述第二网站请求样本集计算得到的部分参数可以对所述第一网站请求样本集具有修正作用，以提升机器学习模型组件的准确性。

A Network Attack Detection Method and Device

The present disclosure relates to a network attack detection method and device. Including: acquiring web site requests; determining whether the web site requests belong to the first attack type by using machine learning model components; the machine learning model components transfer learning from the second number of second web site request sample sets belonging to the second attack type by using the first number of first web site request sample sets belonging to the first attack type. Using the embodiments method adopted in the present disclosure, some parameters calculated by the second website request sample set can modify the first website request sample set to improve the accuracy of the machine learning model component.

【技术实现步骤摘要】
一种网络攻击检测方法及装置
本公开涉及信息安全
，尤其涉及一种网络攻击检测方法及装置。
技术介绍
随着互联网与大数据的不断发展，网络深入到人们生活的各个领域中，渐渐成为一个无法取代的角色。海量、多变、井喷式增长的数据可以持续通过网络融入至人们的日常生活，给人们的生活带来了巨大的便利。但与此同时，在利益驱使下，一些网络攻击者往往利用网络谋取私利，给网络用户造成经济损失，影响公司的正常运作，甚至造成社会管理混乱。因此，在用户提交请求时检测并阻止攻击者的恶意请求已成为保护网站安全的重要措施。相关技术中的网络攻击检测方法主要包括漏洞检测和Web防御。漏洞检测是先于攻击者找到网站的漏洞并进行修复的方式，一般是通过渗透测试对网站进行漏洞检测。渗透测试结合了多方面的技术，一般分为信息收集、漏洞扫描、漏洞利用、获取权限、日志审计与渗透报告等步骤。渗透测试具有不完整性，不能够保证测试到网站的每一个网页，并且很难检测到新出现的攻击方式。Web防御是在URL传输阶段对URL的合法性进行一系列的检测方法，以防范不良输入。Web防御手段一般包括过滤、数据转义加密、屏蔽信息、检测防范模型等。检测防范模型是指在用户和服务器之间建立的检测机制，对用户提交的URL进行检测，防范入侵攻击。传统的检测防范模型主要是基于正则表达式的模式匹配，但仅仅依靠敏感词匹配已经难以抵御不断更新的入侵攻击，不断更换新的检测防范方式对于网站开发人员来说工作量较大，并且在时间上很难及时根据新出现的攻击方法做出应对的检测防护策略。因此，相关技术中亟需一种基于较少的样本数据也可以实现较高识别准确性的网站检测方法。
技术实现思路
为克服相关技术中存在的问题，本公开提供一种网络攻击检测方法及装置。根据本公开实施例的第一方面，提供一种网络攻击检测方法，包括：获取网站请求；利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。根据本公开实施例的第二方面，提供一种网络攻击检测方法，包括：获取网站请求；将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用上述实施例所述的网络攻击检测方法检测所述网站请求。根据本公开实施例的第三方面，提供一种网络攻击检测装置，包括：获取模块，用于获取网站请求；检测模块，用于利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。根据本公开实施例的第四方面，提供一种网络攻击检测装置，包括：获取模块，用于获取网站请求；检测模块，用于将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用权利要求1-11中任意一项所述的网络攻击检测方法检测所述网站请求。根据本公开实施例的第五方面，提供一种网络攻击检测装置，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为：获取网站请求；利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。根据本公开实施例的第六方面，提供一种非临时性计算机可读存储介质，当所述存储介质中的指令由处理器执行时，使得处理器能够执行上述方法。本公开各个实施例提供的网络攻击检测方法及装置，可以利用机器学习模型组件确定网站请求是否属于第一攻击类型，其中，所述机器学习模型组件可以利用属于所述第一攻击类型的第一网站请求样本集从属于第二攻击类型的第二网站请求样本集迁移学习得到。在第一网站请求样本集中样本数量不够充分的情况下，难以利用第一网站请求样本训练得到比较准确的机器学习模型组件。因此，在本公开的各个实施例中，可以从所述第二攻击类型的第二网站请求样本集中迁移学习，由于第二网站请求样本集中样本数量充足，计算得到各类参数的准确性较高，因此，通过所述第二网站请求样本集计算得到的部分参数可以对所述第一网站请求样本集具有修正作用，以提升机器学习模型组件的准确性。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。图1是根据一示例性实施例示出的一种网络攻击检测的方法流程图。图2是根据一示例性实施例示出的一种网络攻击检测的方法流程图。图3是根据一示例性实施例示出的一种网络攻击检测的方法流程图。图4是根据一示例性实施例示出的一种网络攻击检测的方法流程图。图5是根据一示例性实施例示出的一种网络攻击检测装置的框图。图6是根据一示例性实施例示出的一种装置的框图。图7是根据一示例性实施例示出的一种装置的框图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。为了方便本领域技术人员理解本申请实施例提供的技术方案，下面先对技术方案实现的技术环境进行说明。在实际的网络环境中，攻击者也在通过不断变化攻击方式以攻破已有的防御措施。根据近几年关于主要网络攻击类型的统计数据发现，几乎每年的攻击类型都会发生变化。因此，当网络上出现新的攻击方式时，能够及时地建立能够准确识别这种新的攻击方式的机器学习模型是一种比较强烈的技术需求。但是，机器学习模型的准确性往往基于训练样本的数量，训练样本的数量越多，训练得到的机器学习模型往往越准确。但是，对于网络环境中刚刚出现的新攻击方式，往往难以获取充足的训练样本，因此难以训练得到比较准确的用于检测这种新攻击方式的机器学习模型。基于类似于上文所述的实际技术需求，本公开提供的网络攻击检测方法将大量的其他攻击类型的训练样本中的信息迁移至少量的新的攻击方式的训练样本中，对所述新的攻击方式的训练样本进行修正，以提高新攻击方式对应的训练样本的准确性，从而获取更加准确的用于检测该新的网络攻击方式的机器学习模型。下面结合附图对本公开所述的网络攻击检测方法进行详细的说明。图1是本公开提供的网络攻击检测方法的一种实施例的方法流程图。虽然本公开提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑性上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本公开实施例提供的执行顺序。具体的本公开提供的网络攻击检测方法的一种实施例如图1所示，所述方法可以包括：S101：获取网站请求；S103：利用机器学习模型组件确定所述网站请求是否属于第本文档来自技高网...

【技术保护点】
1.一种网络攻击检测方法，其特征在于，包括：获取网站请求；利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。

【技术特征摘要】
1.一种网络攻击检测方法，其特征在于，包括：获取网站请求；利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。2.根据权利要求1所述的网络攻击检测方法，其特征在于，所述第二数量与所述第一数量的比值大于等于1000。3.根据权利要求1所述的网络攻击检测方法，其特征在于，所述机器学习模型组件被设置为按照下述方式训练得到：获取所述第一网站请求样本集和所述第二网站请求样本集；确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词；将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集中迁移至所述第一网站请求样本集中；根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件。4.根据权利要求3所述的网络攻击检测方法，其特征在于，所述确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括：分别提取所述第一网站请求样本集和所述第二网站请求样本集中样本数据的分词；分别计算所述分词在所在样本集中的词权重值；根据所述词权重值，确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词。5.根据权利要求4所述的网络攻击检测方法，其特征在于，所述根据所述词权重值，确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括：在确定所述第一网站请求样本集和所述第二网站请求样本集中两个分词的词权重值的差值在预设范围之内的情况下，确定所述两个分词具有相同重要程度。6.根据权利要求4或5所述的网络攻击检测方法，其特征在于，所述词权重值包括词频-逆文本频率指数。7.根据权利要求3所述的网络攻击检测方法，其特征在于，所述将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集迁移至所述第一网站请求样本集中包括：获取所述第二网站请求样本集中各个分词在所述第二网站请求样本集中的出现概率；将所述第二网站请求样本集中分词的出现概率赋值给所述第一网站请求样本集中具有相同重要程度的分词。8.根据权利要求3所示的网络攻击检测方法，其特征在于，所述机器学习模型组件包括利用朴素贝叶斯算法训练得到的分类器。9.根据权利要求8所示的网络攻击检测方法，其特征在于，所述根据所述第一网站请求样本集中的分词在样本集中的出现概率，训练得到用于检测所述第一攻击类型的机器学习模型组件包括：构建分类器，将所述第一网站请求样本集中的样本数据、所述样本数据中分词的出现概率作为所述分类器的输入，将所述样本数据的分类结果作为所述分类器的输出；将所述第一攻击类型的出现概率以及在已知是所述第一攻击类型的情况下出现所述分词的条件概率作为所述分类器的训练参数，利用朴素贝叶斯算法对所述分类器进行训练，调整所述训练参数，直至所述分类器达到预设要求。10.根据权利要求1所述的网络攻击检测方法，其特征在于，在所述利用机器学习模型组件确定所述网站请求是否属于第一攻击类型之后，还包括：在确定所述网站请求属于所述第一攻击类型的情况下，拦截所述网站请求。11.一种网络攻击检测方法，其特征在于，包括：获取网站请求；将所述网站请求分别输入至多个机器学习模型组件中，确定所述网站请求的攻击类型，所述多个机器学习模型组件分别用于识别不同的网站攻击类型，所述多个机器学习模型组件中的至少一个利用权利要求1-10中任意一项所述的网络攻击检测方法检测所述网站请求。12.一种网络攻击检测装置，其特征在于，包括：获取模块，用于获取网站请求；检测模块，用于利用机器学习模型组件确定所述网站请求是否属于第一攻击类型；所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类...

【专利技术属性】
技术研发人员：甘蕊灵，王忠儒，姜海，余伟强，
申请(专利权)人：北京丁牛科技有限公司，北京丁牛合天科技有限公司，
类型：发明
国别省市：北京,11