The present disclosure relates to a network attack detection method and device. Including: acquiring web site requests; determining whether the web site requests belong to the first attack type by using machine learning model components; the machine learning model components transfer learning from the second number of second web site request sample sets belonging to the second attack type by using the first number of first web site request sample sets belonging to the first attack type. Using the embodiments method adopted in the present disclosure, some parameters calculated by the second website request sample set can modify the first website request sample set to improve the accuracy of the machine learning model component.
【技术实现步骤摘要】
一种网络攻击检测方法及装置
本公开涉及信息安全
,尤其涉及一种网络攻击检测方法及装置。
技术介绍
随着互联网与大数据的不断发展,网络深入到人们生活的各个领域中,渐渐成为一个无法取代的角色。海量、多变、井喷式增长的数据可以持续通过网络融入至人们的日常生活,给人们的生活带来了巨大的便利。但与此同时,在利益驱使下,一些网络攻击者往往利用网络谋取私利,给网络用户造成经济损失,影响公司的正常运作,甚至造成社会管理混乱。因此,在用户提交请求时检测并阻止攻击者的恶意请求已成为保护网站安全的重要措施。相关技术中的网络攻击检测方法主要包括漏洞检测和Web防御。漏洞检测是先于攻击者找到网站的漏洞并进行修复的方式,一般是通过渗透测试对网站进行漏洞检测。渗透测试结合了多方面的技术,一般分为信息收集、漏洞扫描、漏洞利用、获取权限、日志审计与渗透报告等步骤。渗透测试具有不完整性,不能够保证测试到网站的每一个网页,并且很难检测到新出现的攻击方式。Web防御是在URL传输阶段对URL的合法性进行一系列的检测方法,以防范不良输入。Web防御手段一般包括过滤、数据转义加密、屏蔽信息、检测防范模型等。检测防范模型是指在用户和服务器之间建立的检测机制,对用户提交的URL进行检测,防范入侵攻击。传统的检测防范模型主要是基于正则表达式的模式匹配,但仅仅依靠敏感词匹配已经难以抵御不断更新的入侵攻击,不断更换新的检测防范方式对于网站开发人员来说工作量较大,并且在时间上很难及时根据新出现的攻击方法做出应对的检测防护策略。因此,相关技术中亟需一种基于较少的样本数据也可以实现较高识别准确性的网站检测方法 ...
【技术保护点】
1.一种网络攻击检测方法,其特征在于,包括:获取网站请求;利用机器学习模型组件确定所述网站请求是否属于第一攻击类型;所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。
【技术特征摘要】
1.一种网络攻击检测方法,其特征在于,包括:获取网站请求;利用机器学习模型组件确定所述网站请求是否属于第一攻击类型;所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类型的第二网站请求样本集迁移学习得到。2.根据权利要求1所述的网络攻击检测方法,其特征在于,所述第二数量与所述第一数量的比值大于等于1000。3.根据权利要求1所述的网络攻击检测方法,其特征在于,所述机器学习模型组件被设置为按照下述方式训练得到:获取所述第一网站请求样本集和所述第二网站请求样本集;确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词;将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集中迁移至所述第一网站请求样本集中;根据所述第一网站请求样本集中的分词在样本集中的出现概率,训练得到用于检测所述第一攻击类型的机器学习模型组件。4.根据权利要求3所述的网络攻击检测方法,其特征在于,所述确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括:分别提取所述第一网站请求样本集和所述第二网站请求样本集中样本数据的分词;分别计算所述分词在所在样本集中的词权重值;根据所述词权重值,确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词。5.根据权利要求4所述的网络攻击检测方法,其特征在于,所述根据所述词权重值,确定所述第一网站请求样本集和所述第二网站请求样本集中具有相同重要程度的分词包括:在确定所述第一网站请求样本集和所述第二网站请求样本集中两个分词的词权重值的差值在预设范围之内的情况下,确定所述两个分词具有相同重要程度。6.根据权利要求4或5所述的网络攻击检测方法,其特征在于,所述词权重值包括词频-逆文本频率指数。7.根据权利要求3所述的网络攻击检测方法,其特征在于,所述将具有相同重要程度的分词在样本集中的出现概率从所述第二网站请求样本集迁移至所述第一网站请求样本集中包括:获取所述第二网站请求样本集中各个分词在所述第二网站请求样本集中的出现概率;将所述第二网站请求样本集中分词的出现概率赋值给所述第一网站请求样本集中具有相同重要程度的分词。8.根据权利要求3所示的网络攻击检测方法,其特征在于,所述机器学习模型组件包括利用朴素贝叶斯算法训练得到的分类器。9.根据权利要求8所示的网络攻击检测方法,其特征在于,所述根据所述第一网站请求样本集中的分词在样本集中的出现概率,训练得到用于检测所述第一攻击类型的机器学习模型组件包括:构建分类器,将所述第一网站请求样本集中的样本数据、所述样本数据中分词的出现概率作为所述分类器的输入,将所述样本数据的分类结果作为所述分类器的输出;将所述第一攻击类型的出现概率以及在已知是所述第一攻击类型的情况下出现所述分词的条件概率作为所述分类器的训练参数,利用朴素贝叶斯算法对所述分类器进行训练,调整所述训练参数,直至所述分类器达到预设要求。10.根据权利要求1所述的网络攻击检测方法,其特征在于,在所述利用机器学习模型组件确定所述网站请求是否属于第一攻击类型之后,还包括:在确定所述网站请求属于所述第一攻击类型的情况下,拦截所述网站请求。11.一种网络攻击检测方法,其特征在于,包括:获取网站请求;将所述网站请求分别输入至多个机器学习模型组件中,确定所述网站请求的攻击类型,所述多个机器学习模型组件分别用于识别不同的网站攻击类型,所述多个机器学习模型组件中的至少一个利用权利要求1-10中任意一项所述的网络攻击检测方法检测所述网站请求。12.一种网络攻击检测装置,其特征在于,包括:获取模块,用于获取网站请求;检测模块,用于利用机器学习模型组件确定所述网站请求是否属于第一攻击类型;所述机器学习模型组件利用第一数量的属于所述第一攻击类型的第一网站请求样本集从第二数量的属于第二攻击类...
【专利技术属性】
技术研发人员:甘蕊灵,王忠儒,姜海,余伟强,
申请(专利权)人:北京丁牛科技有限公司,北京丁牛合天科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。