一种网络攻击行为的检测方法及检测系统技术方案

本发明专利技术中的一种网络攻击行为的检测方法，包括：构建攻击场景，获取训练集及预测集。训练集编码，预测集编码，生成攻击预测神经网络模型。获取当前的攻击事件信息。生成网络攻击提示信息的步骤。本发明专利技术中的网络攻击行为的检测方法通过攻击数据的动态采集，训练识别模型，使识别模型可在使用中更新，提高网络攻击的识别率，增加网络使用环境的可靠性及稳定性。同时，本发明专利技术还提供了一种网络攻击行为的检测系统。

【技术实现步骤摘要】
一种网络攻击行为的检测方法及检测系统
本专利技术涉及网络安全应用领域。本专利技术尤其涉及网络攻击行为的检测方法及系统。
技术介绍
现有的防网络攻击方式中，多采用攻击IP地址筛选或攻击事件的筛选的方式。上述方式依赖于对攻击IP信息及攻击事件信息的积累。对于新出现的攻击方式，则无法对攻击有效防御。
技术实现思路
本专利技术的目的是提供网络攻击行为的检测方法，可动态调节训练集，及时更新，保证防网络攻击的有效性及可靠性。本专利技术的另一目的是提供网络攻击行为的检测系统，可动态调节训练集数据，及时更新，保证防网络攻击的有效性及可靠性。本专利技术提供一种网络攻击行为的检测方法，其包括：步骤S101，构建攻击场景生成入侵监测日志样本数据。所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件。所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件。所述入侵监测日志样本数据中，包括多个攻击样本系列。所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符。步骤S102，从所述入侵监测日志样本数据中的多个攻击样本系列中，提取具有攻击事件结束符的攻击样本系列作为训练集。从所述多个攻击样本系列中排除所述训练集，获取预测集。步骤S103，根据设定编码格式及所述训练集的时间顺序对所述训练集编码。所述设定编码格式包括：源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码。步骤S104，根据设定编码格式及所述预测集的时间顺序对所述预测集编码。所述设定编码格式包括：源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码。步骤S105，通过神经网络模型训练所述训练集编码及所述预测集编码，生成攻击预测神经网络模型。步骤S106，将当前入侵监测日志数据输入到所述攻击预测神经网络模型中获取当前的攻击事件信息。步骤S107，判断所述当前的攻击事件信息是否为设定的报警事件，若是，则生成网络攻击提示信息。在本专利技术的一种实施方式中，所述步骤S101中还包括：根据所述入侵监测日志样本数据获取多个告警事件分组。根据所述告警事件分组获取攻击分组。根据所述攻击分组中的设定威胁值分为多个依次递增攻击样本序列。在本专利技术的一种实施方式中，所述神经网络模型分别配置为三个输入变量和三个输出变量。所述三个输入变量为源IP集合编码序列、目标IP集合编码序列及攻击事件名称序列。所述三个输出变量为预测源IP集合编码序列、预测目标IP集合编码序列及预测攻击事件名称序列。所述神经网络模型，配置输入层，嵌入层、LSTM层及全连接层。所述输入层接收所述攻击样本序列数据编码。所述嵌入层将所述攻击样本序列数据编码转换为N维向量。在本专利技术的一种实施方式中，所述步骤S107后还包括：步骤S108，判断所述当前的攻击事件信息是否为设定的报警事件，若否，则根据所述当前攻击事件信息作为攻击事件返回S103中重新训练生成攻击预测神经网络模型。同时，本专利技术还提供了一种网络攻击行为的检测系统，其包括构建单元、分类单元、编码单元、模型训练单元、采集单元及判断单元：所述构建单元，其配置为构建攻击场景生成入侵监测日志样本数据。所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件。所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件。所述入侵监测日志样本数据中，包括多个攻击样本系列。所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符。所述分类单元，其配置为从所述入侵监测日志样本数据中的多个攻击样本系列中，提取具有攻击事件结束符的攻击样本系列作为训练集。从所述多个攻击样本系列中排除所述训练集，获取预测集。所述编码单元，其配置为根据设定编码格式及所述训练集的时间顺序对所述训练集编码。所述设定编码格式包括：源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码。根据设定编码格式及所述预测集的时间顺序对所述预测集编码。所述设定编码格式包括：源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码。所述模型训练单元，其配置为通过神经网络模型训练所述训练集编码及所述预测集编码，生成攻击预测神经网络模型。所述采集单元，其配置为将当前入侵监测日志数据输入到所述攻击预测神经网络模型中获取当前的攻击事件信息。所述判断单元，其配置为判断所述当前的攻击事件信息是否为设定的报警事件，若是，则生成网络攻击提示信息。在本专利技术的一种实施方式中，所述构建单元还配置为：根据所述入侵监测日志样本数据获取多个告警事件分组。根据所述告警事件分组获取攻击分组。根据所述攻击分组中的设定威胁值分为多个依次递增攻击样本序列。在本专利技术的一种实施方式中，所述神经网络模型分别配置为三个输入变量和三个输出变量。所述三个输入变量为源IP集合编码序列、目标IP集合编码序列及攻击事件名称序列。所述三个输出变量为预测源IP集合编码序列、预测目标IP集合编码序列及预测攻击事件名称序列。所述神经网络模型，配置输入层，嵌入层、LSTM层及全连接层。所述输入层接收所述攻击样本序列数据编码。所述嵌入层将所述攻击样本序列数据编码转换为N维向量。在本专利技术的一种实施方式中，还包括，模型更新单元。所述模型更新单元，其配置为判断所述当前的攻击事件信息是否为设定的报警事件，若否，则根据所述当前攻击事件信息作为攻击事件返回所述模型训练单元中重新训练生成攻击预测神经网络模型。由此可知，本专利技术中的网络攻击行为的检测方法通过攻击数据的动态采集，训练识别模型，使识别模型可在使用中更新，提高网络攻击的识别率，增加网络使用环境的可靠性及稳定性。下文将以明确易懂的方式，结合附图对上述特性、技术特征、优点及其实现方式予以进一步说明。附图说明图1是用于说明网络攻击行为的检测方法的流程示意图。图2是用于说明在一种实施方式中，网络攻击行为的检测方法的流程示意图。图3是用于说明网络攻击行为的检测系统的流程示意图。图4是用于说明在一种实施方式中，网络攻击行为的检测系统的流程示意图。图5是用于说明攻击行为预测模型的处理流程示意图。图6是用于说明本专利技术中基于深度学习的网络攻击预测模型。具体实施方式为了对专利技术的技术特征、目的和效果有更加清楚的理解，现对照附图说明本专利技术的具体实施方式，在各图中相同的标号表示结构相同或结构相似但功能相同的部件。在本文中，“示意性”表示“充当实例、例子或说明”，不应将在本文中被描述为“示意性”的任何图示、实施方式解释为一种更优选的或更具优点的技术方案。为使图面简洁，各图中只示意性地表示出了与本示例性实施例相关的部分，它们并不代表其作为产品的实际结构及真实比例。本专利技术提供一种本文档来自技高网...

【技术保护点】
1.一种网络攻击行为的检测方法，其特征在于，其包括：/n步骤S101，构建攻击场景生成入侵监测日志样本数据；所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件；所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件；/n所述入侵监测日志样本数据中，包括多个攻击样本系列；所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符；/n步骤S102，从所述入侵监测日志样本数据中的多个攻击样本系列中，提取具有攻击事件结束符的攻击样本系列作为训练集；从所述多个攻击样本系列中排除所述训练集，获取预测集；/n步骤S103，根据设定编码格式及所述训练集的时间顺序对所述训练集编码；所述设定编码格式包括：源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码；/n步骤S104，根据设定编码格式及所述预测集的时间顺序对所述预测集编码；所述设定编码格式包括：源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码；/n步骤S105，通过神经网络模型训练所述训练集编码及所述预测集编码，生成攻击预测神经网络模型；/n步骤S106，将当前入侵监测日志数据输入到所述攻击预测神经网络模型中获取当前的攻击事件信息；/n步骤S107，判断所述当前的攻击事件信息是否为设定的报警事件，若是，则生成网络攻击提示信息。/n...

【技术特征摘要】
1.一种网络攻击行为的检测方法，其特征在于，其包括：
步骤S101，构建攻击场景生成入侵监测日志样本数据；所述攻击场景中包括一个源IP地址集合、一个目标IP地址集合以及多个攻击事件；所述源IP地址集合中的源IP地址通过所述攻击事件向所述目标IP地址集合中的任意目标IP地址发起任意个所述攻击事件；
所述入侵监测日志样本数据中，包括多个攻击样本系列；所述每个攻击样本系列具有同一个源IP地址集合、一个目标IP地址集合及攻击事件结束符；
步骤S102，从所述入侵监测日志样本数据中的多个攻击样本系列中，提取具有攻击事件结束符的攻击样本系列作为训练集；从所述多个攻击样本系列中排除所述训练集，获取预测集；
步骤S103，根据设定编码格式及所述训练集的时间顺序对所述训练集编码；所述设定编码格式包括：源IP地址编码、目标IP地址编码及训练集的攻击事件名称编码；
步骤S104，根据设定编码格式及所述预测集的时间顺序对所述预测集编码；所述设定编码格式包括：源IP地址编码、目标IP地址编码及预测集的攻击事件设定名称编码；
步骤S105，通过神经网络模型训练所述训练集编码及所述预测集编码，生成攻击预测神经网络模型；
步骤S106，将当前入侵监测日志数据输入到所述攻击预测神经网络模型中获取当前的攻击事件信息；
步骤S107，判断所述当前的攻击事件信息是否为设定的报警事件，若是，则生成网络攻击提示信息。


2.根据权利要求1所述的检测方法，其特征在于，所述步骤S101中还包括：
根据所述入侵监测日志样本数据获取多个告警事件分组；根据所述告警事件分组获取攻击分组；根据所述攻击分组中的设定威胁值分为多个依次递增攻击样本序列。


3.根据权利要求1所述的检测方法，其特征在于，所述神经网络模型分别配置为三个输入变量和三个输出变量；所述三个输入变量为源IP集合编码序列、目标IP集合编码序列及攻击事件名称序列；所述三个输出变量为预测源IP集合编码序列、预测目标IP集合编码序列及预测攻击事件名称序列；
所述神经网络模型，配置输入层，嵌入层、LSTM层及全连接层；所述输入层接收所述攻击样本序列数据编码；所述嵌入层将所述攻击样本序列数据编码转换为N维向量。


4.根据权利要求1所述的检测方法，其特征在于，所述步骤S107后还包括：
步骤S108，判断所述当前的攻击事件信息是否为设定的报警事件，若否，则根据所述当前攻击事件信息作为攻击事件返回S105中重新训练生成攻击预测神经网络模型。


5.一种网络攻击行为的检测系统，其特征在...

【专利技术属性】
技术研发人员：催文科，唐忞旻，石庆辉，
申请(专利权)人：深圳市金城保密技术有限公司，
类型：发明
国别省市：广东;44