在本发明专利技术中,提供一种网络行为检测方法、装置、计算机设备和存储介质,该方法通过生成的CMAC模型对待检网络行为进行特征提取,生成待检业务的网络行为特征向量,并与小脑记忆库中合法业务的网络数据行为特征向量进行比对,若向量间距离小于设定阈值,则为可信业务,否则为非可信业务,通过策略执行模块予以阻断并进行对应处理。本发明专利技术利用小脑指挥运动时具有不假思索地做出条件反射式迅速响应的特点,采用基于记忆库的迅速联想方式,将网络中合法业务的数据包中能够体现业务行为特征的属性进行提取,作为合法业务的特征记忆库。将复杂网络业务行为的模式匹配过程转化为简单的表格查询比对运算,实现对网络系统中业务行为的快速判别与管控。速判别与管控。速判别与管控。
【技术实现步骤摘要】
网络行为检测方法、装置、设备及存储介质
[0001]本申请涉及电子信息
,尤其涉及信息安全
,提供一种网络行为检测方法、装置、设备及计算机存储介质。
技术介绍
[0002]以防火墙、入侵检测和防病毒系统为代表的传统安全防护系统,通过查找漏洞、打补丁来进行封堵查杀,是被动安全防御策略。对于未知网络攻击无法及时响应,其滞后性的问题已经严重制约了安全防护系统在当前网络空间的应用,而基于“黑名单”的针对性的防御系统难以做到全面覆盖所有攻击点,攻击者只要攻破一点,就可以达到自己的攻击目的。现有网络防御体系难以应对不断涌现的攻击、病毒、木马和后门程序,且对新的攻击类型反应滞后。
技术实现思路
[0003]为了解决上述问题,本专利技术的目的是提供一种网络行为检测方法、装置、计算机设备及计算机可读存储介质,该方法突破了现有网络检测和防护系统通过不断打补丁、更新漏洞库和堆积防护组件进行网络安全防御理念的桎梏,可以直接对网络行为的合法性进行判别。
[0004]基于此,本专利技术提供了一种网络行为检测方法,所述方法包括:
[0005]利用CMAC神经网络模型提取待检测网络行为的特征并生成待测特征向量;
[0006]获取对比数据,从所述对比数据中获取与所述待检测网络行为相似的合法业务行为的标准特征向量;
[0007]计算所述标准特征向量和所述待测特征向量的间距,若所述间距小于第一预设阈值,则所述待检测网络行为是可信业务,否则为非可信业务。
[0008]进一步地,所述利用CMAC神经网络模型提取待检测网络行为的特征并生成待测特征向量的步骤包括:
[0009]获取所述待检测网络行为的行为数据包;
[0010]从所述行为数据包中提取目标属性特征生成CMAC神经网络模型的输入向量;
[0011]通过所述CMAC神经网络模型计算输出所述待检测网络行为的待测特征向量。
[0012]进一步地,所述CMAC神经网络模型是经过训练的神经网络模型,其训练过程包括以下步骤:
[0013]获取训练样本,所述训练样本包括网络业务行为的特征属性;
[0014]基所述特征属性生成所述网络业务行为的属性向量;
[0015]将所述属性向量输入所述CMAC神经网络中生成所述网络业务行为的输出向量,
[0016]计算所述输出向量和所述属性向量的误差并判断所述误差是否在第二预设阈值,若不在,修改权值继续学习训练过程直到所述误差在第二预设阈值内,生成满足的CMAC神经网络模型。
[0017]进一步地,所述训练样本设置正常和异常类型标识。
[0018]进一步地,所述标准特征向量是基于合法行为的行为特征数据信息生成的,生成过程包括:
[0019]获取合法业务行为的网络数据包;
[0020]从所述网络数据包中提取所述合法业务行为的行为特征属性;
[0021]将所述行为特征属性合成所述合法业务行为的标准特征向量;
[0022]存储所述标准向量,形成记忆库。
[0023]进一步地,所述方法还包括:
[0024]当所述合法业务行为变更或者产生新的合法业务行为时,实时更新所述记忆库中的标准向量。
[0025]进一步地,采用离线训练的方式实时扩充所述合法业务行为的记忆库。
[0026]本专利技术还提供了一种网络行为检测装置,包括:
[0027]向量生成模块,用于利用CMAC神经网络模型提取待检测网络行为的特征并生成待测特征向量;
[0028]获取模块,用于获取对比数据,从所述对比数据中获取与所述待检测网络行为相似的合法业务行为的标准特征向量;
[0029]分析模块,用于计算所述标准特征向量和所述待测特征向量的间距,若所述间距小于第一预设阈值,则所述待检测网络行为是可信业务,否则为非可信业务。
[0030]本专利技术还提供了一种计算机设备,包括存储器、处理器和网络接口,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现网络行为检测方法的步骤。
[0031]本专利技术还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现网络行为检测方法的步骤。
[0032]在本专利技术中,提供一种网络行为检测方法,通过生成的CMAC模型进行待检网络行为的特征提取,生成待检业务的网络行为特征向量,并与小脑记忆库中合法业务的网络数据行为特征向量进行比对,若向量间距离小于设定阈值,则为可信业务,否则为非可信业务,通过策略执行模块予以阻断并进行对应处理。本专利技术利用小脑指挥运动时具有不假思索地做出条件反射式迅速响应的特点,采用基于记忆库的迅速联想方式,将网络中合法业务的数据包中能够体现业务行为特征的属性进行提取,作为合法业务的特征记忆库。将复杂网络业务行为的模式匹配过程转化为简单的表格查询比对运算,实现对网络系统中业务行为的快速判别与管控。
附图说明
[0033]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034]图1是本专利技术实施例可以应用于其中的示例性系统架构图;
[0035]图2是本专利技术实施例提供的网络行为检测方法的流程示意图;
[0036]图3本专利技术实施例提供的一种CMAC神经网络模型的模型结构图;
[0037]图4是本专利技术实施例提供的一种CMAC网络神经网络训练流程图;
[0038]图5是本专利技术实施例提供的一种网络行为检测方法的流程图;
[0039]图6是本专利技术实施例提供的网络行为检测装置的结构示意图;
[0040]图7是是本专利技术实施例提供的网络行为检测装置的结构的另一种示意图;
[0041]图8是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
[0042]为使本申请的目的、技术方案和优点更加清楚明白,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
[0043]本申请实施例提供的方案可以适用于大多数网络业务行为的识别场景中,如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络行为检测方法,其特征在于,所述方法包括:利用CMAC神经网络模型提取待检测网络行为的特征并生成待测特征向量;获取对比数据,从所述对比数据中获取与所述待检测网络行为相似的合法业务行为的标准特征向量;计算所述标准特征向量和所述待测特征向量的间距,若所述间距小于第一预设阈值,则所述待检测网络行为是可信业务,否则为非可信业务。2.如权利要求1所述的网络行为检测方法,其特征在于,所述利用CMAC神经网络模型提取待检测网络行为的特征并生成待测特征向量的步骤包括:获取所述待检测网络行为的行为数据包;从所述行为数据包中提取目标属性特征生成CMAC神经网络模型的输入向量;通过所述CMAC神经网络模型计算输出所述待检测网络行为的待测特征向量。3.如权利要求2所述的网络行为检测方法,其特征在于,所述CMAC神经网络模型是经过训练的神经网络模型,其训练过程包括以下步骤:获取训练样本,所述训练样本包括网络业务行为的特征属性;基所述特征属性生成所述网络业务行为的属性向量;将所述属性向量输入所述CMAC神经网络中生成所述网络业务行为的输出向量,计算所述输出向量和所述属性向量的误差并判断所述误差是否在第二预设阈值,若不在,修改权值继续学习训练过程直到所述误差在第二预设阈值内,生成满足的CMAC神经网络模型。4.如权利要求1所述的网络行为检测方法,其特征在于,所述训练样本设置正常和异常类型标识。5.如权利要求1所述的网络...
【专利技术属性】
技术研发人员:戚建淮,成飏,何润民,郑伟范,孙丁,
申请(专利权)人:深圳市永达电子信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。