【技术实现步骤摘要】
一种报文检测方法、设备及可读存储介质
[0001]本专利技术涉及网络安全
,特别是涉及一种报文检测方法、设备及可读存储介质。
技术介绍
[0002]随着互联网的高速发展,网络安全攻防不断升级,对报文检测的准确性要求也越来越高。
[0003]相关技术中,采用自学习机制来提高报文检测的准确率。此种方案首先学习报文中每个参数的格式。在检测阶段,如果发现参数的实际值与学习到的模式不一致,则认为该异常参数存在攻击。这种方法极大地提高了攻击的检出率,但是需要对报文中的每个参数进行学习,显然目前的自学习机制的学习成本较高。
技术实现思路
[0004]本专利技术的目的是提供一种报文检测方法、设备及可读存储介质,可以在一定程度上降低目前自学习机制的学习成本。
[0005]为解决上述技术问题,本专利技术提供如下技术方案:
[0006]一种报文检测方法,包括:
[0007]获取目标报文,并解析所述目标报文,得到所述目标报文包含的目标键值对;
[0008]检测所述目标键值对中的目标参数是
【技术保护点】
【技术特征摘要】
1.一种报文检测方法,其特征在于,包括:获取目标报文,并解析所述目标报文,得到所述目标报文包含的目标键值对;检测所述目标键值对中的目标参数是否被存储命中;如果未被存储命中,则将所述目标键值对发送至可疑检测模块,得到所述可疑检测模块的检测结果,所述检测结果用于指示所述目标键值对是否可疑;若所述检测结果指示所述目标键值对可疑,则获取包含所述目标参数的各个样本报文以训练学习模型,并将训练后的所述学习模型以及该学习模型对应的目标参数进行预先存储,以便基于训练后的所述学习模型对后续获取的报文中的目标键值对进行异常检测。2.如权利要求1所述的报文检测方法,其特征在于,若所述检测结果指示所述目标键值对可疑,所述报文检测方法还包括:利用当前的未训练完成的所述学习模型对所述目标报文中的目标键值对进行异常检测,得到异常检测结果。3.如权利要求1所述的报文检测方法,其特征在于,在所述将所述目标键值对发送至可疑检测模块,得到所述可疑检测模块的检测结果的步骤之后,还包括:若所述检测结果指示所述目标键值对不可疑,则将所述目标键值对中的目标键值对应的数据进行泛化,得到所述目标键值对的泛化表示,并将该泛化表示以及对应的目标参数进行预先存储,以便基于预先存储的该泛化表示对后续获取的报文中的目标键值对进行异常检测。4.如权利要求3所述的报文检测方法,其特征在于,若所述检测结果指示所述目标键值对可疑,所述报文检测方法还包括:在得到用于识别所述目标参数的训练后的学习模型后,设置并存储所述目标参数的状态为第一状态;若所述检测结果指示所述目标键值对不可疑,所述报文检测方法还包括:设置并存储所述目标参数的状态为第二状态;相应地,在所述检测所述目标键值对中的目标参数是否被存储命中的步骤之后,还包括:如果被存储命中,则确定所述目标键值对中目标参数的状态是所述第一状态还是所述第二状态;若为所述第一状态,则基于所述目标键值对中目标参数对应的训练后的学习模型识别所述目标键值对是否异常;若为所述第二状态,则将所述目标键值对与事先存储的泛化表...
【专利技术属性】
技术研发人员:杨荣海,徐铭桂,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。