攻击样本管理的方法以及设备技术

本申请提供了一种攻击样本管理的方法，该方法包括：第一网络设备向第二网络设备发送第一攻击样本；所述第一网络设备接收所述第二网络设备发送的第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第一网络设备根据所述第一反馈消息将所述第一攻击样本发送到管理设备，所述管理设备用于根据所述第一攻击样本训练得到攻击检测模型，所述攻击检测模型被所述第二网络设备用于识别攻击报文。该方法能够提高攻击检测模型对攻击行为的检测能力，为提高网络环境的安全性奠定了基础。为提高网络环境的安全性奠定了基础。为提高网络环境的安全性奠定了基础。

【技术实现步骤摘要】
攻击样本管理的方法以及设备


[0001]本申请涉及人工智能领域，并且更具体地，涉及攻击样本管理的方法以及设备。

技术介绍

[0002]随着网络规模的日益扩大，网络攻击数量也随之增多，攻防对抗也愈发严峻。从国家组织“护网行动”以来，一些常见的攻击方法和模式已经被大多数安全公司所覆盖。具体的，可以是通过人工智能(artificial intelligence，AI)检测模型对网络攻击进行识别。
[0003]相关的技术方案中，在训练AI检测模型时提供的训练样本(也可以称为攻击样本)仅包含了一些常规的网络攻击行为，没有覆盖一些绕过检测类的攻击行为。因此，该相关技术方案中训练出的AI检测模型对一些高级绕过类攻击的检测能力还很有限，尤其是针对公司网站的注入类攻击，黑客很容易绕过传统的防攻击检测。因此，如何更好的检测和响应这些攻击已经成为安全产品或者安全解决方案的竞争力制高点。

技术实现思路

[0004]本申请提供一种攻击样本管理的方法以及设备，该方法能够提高攻击检测模型对攻击行为的检测能力，为提高网络环境的安全性奠定了基础。
[0005]第一方面，提供了一种攻击样本管理的方法，包括：第一网络设备向第二网络设备发送第一攻击样本；所述第一网络设备接收所述第二网络设备发送的第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第一网络设备根据所述第一反馈消息将所述第一攻击样本发送到管理设备，所述管理设备用于根据所述第一攻击样本训练得到攻击检测模型，所述攻击检测模型被所述第二网络设备用于识别攻击报文。
[0006]上述技术方案中，由于攻击检测模型的训练样本是被第二网络设备识别为正常样本的第一攻击样本，因此，通过第一攻击样本训练得到的被第二网络设备用于识别攻击报文的攻击检测模型可以识别一些绕过攻击检测的攻击样本，从而提高了攻击检测模型对攻击报文的检测或识别能力，为提高网络环境的安全性奠定了基础。
[0007]结合第一方面，在第一方面的某些实现方式中，在所述第一网络设备向第二网络设备发送第一攻击样本之前，所述方法还包括：所述第一网络设备向所述第二网络设备发送第二攻击样本；所述第一网络设备接收所述第二网络设备发送的第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本。
[0008]结合第一方面，在第一方面的某些实现方式中，所述第一网络设备中包括强化学习智能体RL Agent和强化学习环境RL Evn，所述RL Evn根据所述第二攻击样本的检测结果以及奖惩函数向所述RL Agent发送惩戒信号；所述RL Agent根据所述惩戒信号对所述第二攻击样本进行调整，得到所述第一攻击样本。
[0009]结合第一方面，在第一方面的某些实现方式中，所述方法还包括：所述第一网络设备通过以下中的任一种或多种攻击方式的组合得到所述第二攻击样本：Unicode编码、Base64编码、插入注释、垃圾数据填充、Offset替换。
[0010]第二方面，提供了一种攻击样本管理的方法，包括：第二网络设备接收第一网络设备发送的第一攻击样本；所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第二网络设备向所述第一网络设备发送第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果。
[0011]结合第二方面，在第二方面的某些实现方式中，所述第二网络设备对所述第一攻击样本进行特征提取，获得所述第一攻击样本的特征向量；
[0012]所述第二网络设备对所述第一攻击样本的特征向量进行检测，获得所述第一攻击样本的检测结果。
[0013]结合第二方面，在第二方面的某些实现方式中，在所述第二网络设备接收第一网络设备发送的第一攻击样本之前，所述方法还包括：所述第二网络设备接收所述第一网络设备发送的第二攻击样本；所述第二网络设备对所述第二攻击样本进行检测，得到第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第二网络设备向所述第一网络设备发送第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果。
[0014]第三方面，提供了一种攻击样本管理的方法，包括：第一网络设备向第二网络设备发送第一攻击样本；所述第一网络设备接收所述第二网络设备发送的第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第一网络设备根据所述第一反馈消息将所述第一攻击样本发送到管理设备；所述管理设备根据所述第一攻击样本训练得到攻击检测模型，所述攻击检测模型被所述第二网络设备用于识别攻击报文；所述管理设备将所述攻击检测模型部署到所述第二网络设备中。
[0015]结合第三方面，在第三方面的某些实现方式中，在所述第一网络设备向第二网络设备发送第一攻击样本之前，所述方法还包括：所述第一网络设备向所述第二网络设备发送第二攻击样本；所述第一网络设备接收所述第二网络设备发送的第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本。
[0016]结合第三方面，在第三方面的某些实现方式中，所述第一网络设备中包括强化学习智能体RL Agent和强化学习环境RL Evn，所述RL Evn根据所述第二攻击样本的检测结果以及奖惩函数向所述RL Agent发送惩戒信号；所述RL Agent根据所述惩戒信号对所述第二攻击样本进行调整，得到所述第一攻击样本。
[0017]结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述第一网络设备通过以下中的任一种或多种攻击方式的组合得到所述第二攻击样本：Unicode编码、Base64编码、插入注释、垃圾数据填充、Offset替换。
[0018]结合第三方面，在第三方面的某些实现方式中，所述方法还包括：所述第二网络设
备接收所述第一网络设备发送的所述第一攻击样本；所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果；所述第二网络设备向所述第一网络设备发送第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果。
[0019]结合第三方面，在第三方面的某些实现方式中，所述第二网络设备对所述第一攻击样本进行特征提取，获得所述第一攻击样本的特征向量；所述第二网络设备对所述第一攻击样本的特征向量进行检测，获得所述第一攻击样本的检测结果。
[0020]结合第三方面，在第三方面的某些实现本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种攻击样本管理的方法，其特征在于，包括：第一网络设备向第二网络设备发送第一攻击样本；所述第一网络设备接收所述第二网络设备发送的第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第一网络设备根据所述第一反馈消息将所述第一攻击样本发送到管理设备，所述管理设备用于根据所述第一攻击样本训练得到攻击检测模型，所述攻击检测模型被所述第二网络设备用于识别攻击报文。2.根据权利要求1所述的方法，其特征在于，在所述第一网络设备向第二网络设备发送第一攻击样本之前，所述方法还包括：所述第一网络设备向所述第二网络设备发送第二攻击样本；所述第一网络设备接收所述第二网络设备发送的第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本。3.根据权利要求2所述的方法，其特征在于，所述第一网络设备中包括强化学习智能体RL Agent和强化学习环境RL Evn，所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本，包括：所述RL Evn根据所述第二攻击样本的检测结果以及奖惩函数向所述RL Agent发送惩戒信号；所述RL Agent根据所述惩戒信号对所述第二攻击样本进行调整，得到所述第一攻击样本。4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：所述第一网络设备通过以下中的任一种或多种攻击方式的组合得到所述第二攻击样本：Unicode编码、Base64编码、插入注释、垃圾数据填充、Offset替换。5.一种攻击样本管理的方法，其特征在于，包括：第二网络设备接收第一网络设备发送的第一攻击样本；所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第二网络设备向所述第一网络设备发送第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果。6.根据权利要求5所述的方法，其特征在于，所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果，包括：所述第二网络设备对所述第一攻击样本进行特征提取，获得所述第一攻击样本的特征向量；所述第二网络设备对所述第一攻击样本的特征向量进行检测，获得所述第一攻击样本的检测结果。
7.根据权利要求5或6所述的方法，其特征在于，在所述第二网络设备接收第一网络设备发送的第一攻击样本之前，所述方法还包括：所述第二网络设备接收所述第一网络设备发送的第二攻击样本；所述第二网络设备对所述第二攻击样本进行检测，得到第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第二网络设备向所述第一网络设备发送第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果。8.一种攻击样本管理的方法，其特征在于，包括：第一网络设备向第二网络设备发送第一攻击样本；所述第一网络设备接收所述第二网络设备发送的第一反馈消息，所述第一反馈消息包括所述第二网络设备对所述第一攻击样本的检测结果，所述第一攻击样本的检测结果指示所述第一攻击样本为正常样本；所述第一网络设备根据所述第一反馈消息将所述第一攻击样本发送到管理设备；所述管理设备根据所述第一攻击样本训练得到攻击检测模型，所述攻击检测模型被所述第二网络设备用于识别攻击报文；所述管理设备将所述攻击检测模型部署到所述第二网络设备中。9.根据权利要求8所述的方法，其特征在于，在所述第一网络设备向第二网络设备发送第一攻击样本之前，所述方法还包括：所述第一网络设备向所述第二网络设备发送第二攻击样本；所述第一网络设备接收所述第二网络设备发送的第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本。10.根据权利要求9所述的方法，其特征在于，所述第一网络设备中包括强化学习智能体RL Agent和强化学习环境RL Evn，所述第一网络设备根据所述第二反馈消息对所述第二攻击样本进行调整，得到所述第一攻击样本，包括：所述RL Evn根据所述第二攻击样本的检测结果以及奖惩函数向所述RL Agent发送惩戒信号；所述RL Agent根据所述惩戒信号对所述第二攻击样本进行调整，得到所述第一攻击样本。11.根据权利要求9或10所述的方法，其特征在于，所述方法还包括：所述第一网络设备通过以下中的任一种或多种攻击方式的组合得到所述第二攻击样本：Unicode编码、Base64编码、插入注释、垃圾数据填充、Offset替换。12.根据权利要求8至11中任一项所述的方法，其特征在于，所述方法还包括：所述第二网络设备接收所述第一网络设备发送的所述第一攻击样本；所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果；所述第二网络设备向所述第一网络设备发送第一反馈消息，所述第一反馈消息包括所
述第二网络设备对所述第一攻击样本的检测结果。13.根据权利要求12所述的方法，其特征在于，所述第二网络设备对所述第一攻击样本进行检测，得到第一攻击样本的检测结果，包括：所述第二网络设备对所述第一攻击样本进行特征提取，获得所述第一攻击样本的特征向量；所述第二网络设备对所述第一攻击样本的特征向量进行检测，获得所述第一攻击样本的检测结果。14.根据权利要求12或13所述的方法，其特征在于，在所述第二网络设备接收所述第一网络设备发送的所述第一攻击样本之前，所述方法还包括：所述第二网络设备接收所述第一网络设备发送的第二攻击样本；所述第二网络设备对所述第二攻击样本进行检测，得到第二攻击样本的检测结果，所述第二攻击样本的检测结果指示所述第二攻击样本为攻击样本；所述第二网络设备向所述第一网络设备发送第二反馈消息，所述第二反馈消息包括所述第二网络设备对所述第二攻击样本的检测结果。15.一种第一网络设备，其特征在于，包括：发送模块，用于向第二网络设备发送第一攻击样本；接收模块，用于接收所述第二网络设备发送的第一反馈消...

【专利技术属性】
技术研发人员：焦丽娟，叶浩楠，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：