网络安全检测方法、装置以及计算机可读存储介质制造方法及图纸

本公开涉及一种网络安全检测方法、装置以及计算机可读存储介质，涉及互联网技术领域。本公开的方法包括：获取网络中当前采样时刻的流量值；利用与前采样时刻的流量值对应的局部加权回归模型预测当前采样时刻的流量值；将获取的流量值与预测的流量值进行比对，在获取的流量值与预测的流量值的差值超过阈值的情况下，确定网络中存在风险。本公开的方法每次预测当前采样时刻的流量值都会利用临近的历史采样时刻的流量值重新训练模型，能够实时动态修正局部加权回归模型，发现网络中的潜在风险，提高检测的精确性和时效性。

Network security detection methods, devices and computer-readable storage media

The present disclosure relates to a network security detection method, device and computer readable storage medium, and relates to the technical field of the Internet. The methods of the present disclosure include: obtaining the flow value at the current sampling time in the network; predicting the flow value at the current sampling time by using the local weighted regression model corresponding to the flow value at the previous sampling time; comparing the obtained flow value with the predicted flow value, and determining the risk in the network when the difference between the obtained flow value and the predicted flow value exceeds the threshold value. The method disclosed in this paper can dynamically modify the local weighted regression model in real time, discover potential risks in the network and improve the accuracy and timeliness of detection by using the traffic value of the adjacent historical sampling time to retrain the model every time the current sampling time is predicted.

【技术实现步骤摘要】
网络安全检测方法、装置以及计算机可读存储介质
本公开涉及互联网
，特别涉及一种网络安全检测方法、装置以及计算机可读存储介质。
技术介绍
随着互联网技术的发展，为了防止恶意网络访问给网络系统中的数据带来的破坏、更改和泄露，保证网络系统安全可靠的运行，需要对网络访问进行安全检测。目前常用的入侵检测技术，主要收集非正常网络访问的行为特征，建立行为特征库，当监测到与行为特征库中匹配的网络访问时，就将此次网络访问定义为入侵访问。
技术实现思路
专利技术人发现：现有网络安全检测技术，存在着新型网络攻击预警能力不足，不能实时修正检测规则模型等问题，无法满足高精确性和高时效性的安全需求。本公开所要解决的一个技术问题是：提出一种新的网络安全检测方法，提高检测的精确性和时效性。根据本公开的一些实施例，提供的一种网络安全检测方法，包括：获取网络中当前采样时刻的流量值；利用与前采样时刻的流量值对应的局部加权回归模型预测当前采样时刻的流量值；将获取的流量值与预测的流量值进行比对，在获取的流量值与预测的流量值的差值超过阈值的情况下，确定网络中存在风险。在一些实施例中，采用以下方法确定与前采样时刻的流量值对应的局部加权回归模型：对当前采样时刻的流量进行解析，获得流量的特征信息，特征信息包括：IP五元组信息、用户信息和用户操作信息中至少一种；根据流量的特征信息确定与当前采样时刻的流量值对应的局部加权回归模型。在一些实施例中，根据流量的特征信息确定对应的局部加权回归模型包括：将流量的特征信息与应用场景进行匹配，确定流量对应的应用场景；将应用场景下的局部加权回归模型确定为对应的局部加权回归模型。在一些实施例中，利用与前采样时刻的流量值对应的局部加权回归模型预测的当前采样时刻的流量值包括：获取网络中与当前采样时刻的流量值对应的各个历史采样时刻的流量值；根据各个历史采样时刻的流量值对局部加权回归模型进行训练；利用训练好的局部加权回归模型预测的当前采样时刻的流量值。在一些实施例中，获取网络中与当前采样时刻的流量值对应的各个历史采样时刻的流量值包括：对各个历史采样时刻的流量进行解析，获得各个历史采样时刻的流量的特征信息；根据各个历史采样时刻的流量的特征信息将各个历史采样时刻的流量值划分到不同的应用场景下，并与该应用场景下的局部加权回归模型相对应；根据与当前采样时刻的流量值对应的局部加权回归模型确定与当前采样时刻的流量值对应的各个历史采样时刻的流量值。在一些实施例中，根据各个历史采样时刻和对应的流量值生成训练数据，采用以下方法对局部加权回归模型进行训练：局部加权回归模型的损失函数表示为：J(θ)＝∑iω(i)(y(i)-θTx(i))2其中，x(i)为第i个训练数据的时间矢量，y(i)为第i个训练数据的流量值，ω(i)为第i个训练数据对应的权重，k为波长函数，x为当前时刻值，θ为局部加权回归模型的参数，i为正整数，不同采样时刻对应不同训练数据；通过调整θ使损失函数J(θ)最小，得到训练好的局部加权回归模型。在一些实施例中，流量值包括：用户访问流量值、系统间流量值和公网访问流量值中的至少一种。根据本公开的另一些实施例，提供的一种网络安全检测装置，包括：采样模块，用于获取网络中当前采样时刻的流量值；预测模块，用于利用与前采样时刻的流量值对应的局部加权回归模型预测当前采样时刻的流量值；风险确定模块，用于将获取的流量值与预测的流量值进行比对，在获取的流量值与预测的流量值的差值超过阈值的情况下，确定网络中存在风险。在一些实施例中，预测模块用于对当前采样时刻的流量进行解析，获得流量的特征信息，特征信息包括：IP五元组信息、用户信息和用户操作信息中至少一种，根据流量的特征信息确定与当前采样时刻的流量值对应的局部加权回归模型。在一些实施例中，预测模块用于将流量的特征信息与应用场景进行匹配，确定流量对应的应用场景，将应用场景下的局部加权回归模型确定为对应的局部加权回归模型。在一些实施例中，预测模块用于获取网络中与当前采样时刻的流量值对应的各个历史采样时刻的流量值，根据各个历史采样时刻的流量值对局部加权回归模型进行训练，利用训练好的局部加权回归模型预测的当前采样时刻的流量值。在一些实施例中，预测模块用于对各个历史采样时刻的流量进行解析，获得各个历史采样时刻的流量的特征信息，根据各个历史采样时刻的流量的特征信息将各个历史采样时刻的流量值划分到不同的应用场景下，并与该应用场景下的局部加权回归模型相对应，根据与当前采样时刻的流量值对应的局部加权回归模型确定与当前采样时刻的流量值对应的各个历史采样时刻的流量值。在一些实施例中，预测模块用于根据各个历史采样时刻和对应的流量值生成训练数据，采用以下方法对局部加权回归模型进行训练：局部加权回归模型的损失函数表示为：J(θ)＝∑iω(i)(y(i)-θTx(i))2其中，x(i)为第i个训练数据的时间矢量，y(i)为第i个训练数据的流量值，ω(i)为第i个训练数据对应的权重，k为波长函数，x为当前时刻值，θ为局部加权回归模型的参数，i为正整数，不同采样时刻对应不同训练数据；通过调整θ使损失函数J(θ)最小，得到训练好的局部加权回归模型。在一些实施例中，流量值包括：用户访问流量值、系统间流量值和公网访问流量值中的至少一种。根据本公开的又一些实施例，提供的一种网络安全检测装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器设备中的指令，执行如前述任一个实施例的网络安全检测方法。根据本公开的又一些实施例，提供的一种计算机可读存储介质，其上存储有计算机程序，其中，该程序被处理器执行时实现前述任一个实施例的网络安全检测方法的步骤。本公开利用局部加权回归模型对当前采样时刻的流量值进行预测，将当前真实的流量值与预测的流量值进行比对，从而判断网络中是否存在风险。局部加权回归模型在每次预测新样本时会重新训练临近的数据得到新参数值，也就是每次预测当前采样时刻的流量值都会利用临近的历史采样时刻的流量值重新训练模型，能够实时动态修正局部加权回归模型，发现网络中的潜在风险，提高检测的精确性和时效性。通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。附图说明为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出本公开的一些实施例的网络安全检测方法的流程示意图。图2示出本公开的另一些实施例的网络安全检测方法的流程示意图。图3示出本公开的一些实施例的网络安全检测装置的结构示意图。图4示出本公开的另一些实施例的网络安全检测装置的结构示意图。图5示出本公开的又一些实施例的网络安全检测装置的结构示意图。具体实施方式下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员本文档来自技高网...

【技术保护点】
1.一种网络安全检测方法，包括：获取网络中当前采样时刻的流量值；利用与所述前采样时刻的流量值对应的局部加权回归模型预测当前采样时刻的流量值；将获取的流量值与预测的流量值进行比对，在所述获取的流量值与所述预测的流量值的差值超过阈值的情况下，确定网络中存在风险。

【技术特征摘要】
1.一种网络安全检测方法，包括：获取网络中当前采样时刻的流量值；利用与所述前采样时刻的流量值对应的局部加权回归模型预测当前采样时刻的流量值；将获取的流量值与预测的流量值进行比对，在所述获取的流量值与所述预测的流量值的差值超过阈值的情况下，确定网络中存在风险。2.根据权利要求1所述的网络安全检测方法，其中，采用以下方法确定与所述前采样时刻的流量值对应的局部加权回归模型：对当前采样时刻的流量进行解析，获得流量的特征信息，所述特征信息包括：IP五元组信息、用户信息和用户操作信息中至少一种；根据所述流量的特征信息确定与当前采样时刻的流量值对应的局部加权回归模型。3.根据权利要求2所述的网络安全检测方法，其中，所述根据所述流量的特征信息确定对应的局部加权回归模型包括：将所述流量的特征信息与应用场景进行匹配，确定所述流量对应的应用场景；将所述应用场景下的局部加权回归模型确定为对应的局部加权回归模型。4.根据权利要求1所述的网络安全检测方法，所述利用与所述前采样时刻的流量值对应的局部加权回归模型预测的当前采样时刻的流量值包括：获取网络中与当前采样时刻的流量值对应的各个历史采样时刻的流量值；根据所述各个历史采样时刻的流量值对所述局部加权回归模型进行训练；利用训练好的所述局部加权回归模型预测的当前采样时刻的流量值。5.根据权利要求4所述的网络安全检测方法，其中，所述获取网络中与当前采样时刻的流量值对应的各个历史采样时刻的流量值包括：对各个历史采样时刻的流量进行解析，获得各个历史采样时刻的流量的特征信息；根据所述各个历史采样时刻的流量的特征信息将各个历史采样时刻的流量值划分到不同的应用场景下，并与该应用场景下的局部加权回归模型相对应；根据与所述当前采样时刻的流量值对应的局部加权回归模型确定与当前采样时刻的流量值对应的各个历史采样时刻的流量值。6.根据权利要求4所述的网络安全检测方法，其中，根据各个历史采样时刻和对应的流量值生成训练数据，采用以下方法对局部加权回归模型进行训练：局部加权回归模型的损失函数表示为：其中，x(i)为第i个训练数据的时间矢量，y(i)为第i个训练数据的流量值，ω(i)为第i个训练数据对应的权重，k为波长函数，x为当前时刻值，θ为局部加权回归模型的参数，i为正整数，不同采样时刻对应不同训练数据；通过调整θ使损失函数J(θ)最小，得到训练好的局部加权回归模型。7.根据权利要求1-6任一项所述的网络安全检测方法，其中，所述流量值包括：用户访问流量值、系统间流量值和公网访问流量值中的至少一种。8.一种网络安全检测装置，包括：采样模块，用于获取网络中当前采样时刻的流量值；预测模块...

【专利技术属性】
技术研发人员：高儒振，金潇，王井龙，陈存杨，黄东豫，姚文胜，陈春华，常琳，隋翔，任红伟，郝晓宇，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京,11