训练网络攻击分类模型的方法及识别网络攻击类型方法技术

本申请实施例提供一种训练网络攻击分类模型的方法及识别网络攻击类型的方法，训练网络攻击分类模型的方法包括：采集网络流量得到网络流量数据，并对所述网络流量数据进行处理得到网络属性特征，其中，所述网络属性特征至少包括网络流量特征；从所述网络流量数据中获取部分网络流量数据的有效载荷，并根据所述有效载荷得到与所述部分网络流量数据对应的攻击类型，其中，与所述部分网络流量数据对应的网络属性特征为参考网络属性特征；基于所述攻击类型对所述参考网络属性特征进行打标签，得到参考样本数据；根据所述参考样本数据和第一网络属性特征得到网络攻击分类模型。通过该方法提高了基于流特征的攻击威胁检出率。法提高了基于流特征的攻击威胁检出率。法提高了基于流特征的攻击威胁检出率。

【技术实现步骤摘要】
训练网络攻击分类模型的方法及识别网络攻击类型方法


[0001]本申请涉及网络安全领域，具体而言本申请实施例涉及训练网络攻击分类模型的方法及识别网络攻击类型的方法。

技术介绍

[0002]随着网络攻击种类的增多，现有的基于明文协议的有效载荷payload内容的正则表达式来研判对应的攻击类型的方法越来越局限，例如，采用这种技术方案至少存在如下三个缺陷。
[0003]缺陷一：如果不是明文协议，那么传统的网络攻击分类就不能提取出payload通过现有的分析规则进行分析了。
[0004]缺陷二：攻击的多样化，随着各种混淆技术、各种应用系统背景的差异等造成有效载荷payload的特征极其复杂，不利于快速研判(即判决)，会导致误报和漏报较大。
[0005]缺陷三：在大流量环境下，每次进行通信的流量都是非常大的，例如10T/s的报文，通过传统的流量探针进行分析，其分析的成本极大，同时事件检出的效率低并且滞后。
[0006]因此如何提升网络攻击类型的识别成为了亟待解决的技术问题。

技术实现思路

[0007]本申请实本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种训练网络攻击分类模型的方法，其特征在于，所述方法包括：采集网络流量得到网络流量数据，并对所述网络流量数据进行处理得到网络属性特征，其中，所述网络属性特征至少包括网络流量特征；从所述网络流量数据中获取部分网络流量数据的有效载荷，并根据所述有效载荷得到与所述部分网络流量数据对应的攻击类型，其中，与所述部分网络流量数据对应的网络属性特征为参考网络属性特征；基于所述攻击类型对所述参考网络属性特征进行打标签，得到参考样本数据；根据所述参考样本数据和第一网络属性特征得到网络攻击分类模型，其中，所述第一网络属性特征为所述网络流量特征包括的除所述参考网络流量属性特征外的剩余网络流量特征。2.如权利要求1所述的方法，其特征在于，所述根据所述参考样本数据和第一网络属性特征得到网络攻击分类模型，包括：根据所述参考样本数据和所述第一网络属性特征对待训练的聚类模型进行训练得到所述网络攻击分类模型。3.如权利要求2所述的方法，其特征在于，所述根据所述参考样本数据和所述第一网络属性特征对待训练的聚类模型进行训练得到所述网络攻击分类模型，包括：通过对聚类边界上的聚类结果进行反人工筛选，调整聚类的层数和参数，直至所述第一网络属性特征均被打上了攻击分类标记为止，得到所述网络攻击分类模型。4.如权利要求2所述的方法，其特征在于，所述根据所述参考样本数据和所述第一网络属性特征对待训练的聚类模型进行训练得到所述网络攻击分类模型，包括：根据所述参考样本数据监测对所述待训练的聚类模型的训练过程是否可以结束。5.如权利要求4所述的方法，其特征在于，所述根据所述参考样本数据监测对所述待训练的聚类模型的训练过程是否可以结束，包括：人工对聚类分簇结果进行评估并调整错误的分簇结果，得到调整后分簇结果；根据所述调整后分簇结果继续对所述聚类模型进行训练直至得到所述网络攻击分类模型。6.如权利要求1所述的方法，其特征在于，所述根据所述参考样本数据和第一网络属性特征得到网络攻击分类模型，包括：将所述参考样本数据和所述第一网络属性特征进行聚类，得到聚类结果；根据所述聚类结果对待训练网络攻击分类模型进行训练，得到所述网络攻击分类模型。7.如权利要求6所述的方法，其特征在于，所述将所述参考样本数据和所述第一网络属性特征进行聚类，得到聚类结果，包括：若对所述参考样本数据的聚类结果满足设定要求，则确认得到所述聚类结果。8.如权利要求1
‑
7中任一项所述的方法，其特征...

【专利技术属性】
技术研发人员：章晓祥，
申请(专利权)人：北京天融信网络安全技术有限公司北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：