网络攻击防御模型建立方法、装置、电子设备及存储介质制造方法及图纸

本申请提供了网络攻击防御模型建立方法、装置、电子设备及存储介质，尽可能地使用低成本特征判别网络攻击行为的类型，当低成本特征无法精确地判别网络攻击行为的类型时再使用高成本特征判别网络攻击行为的类型。降低判别网络攻击行为的成本，并较快地判别网络攻击行为，从而尽可能早地对网络攻击行为采取防御措施。施。施。

【技术实现步骤摘要】
网络攻击防御模型建立方法、装置、电子设备及存储介质


[0001]本申请涉及信息安全
，尤其涉及网络攻击防御模型建立方法、装置、电子设备及存储介质。

技术介绍

[0002]相关技术中，网络攻击防御模型根据大量的网络攻击行为特征建立，虽然能够较好地判别网络攻击行为的类型，但判别网络攻击行为的成本较高，且判别网络攻击行为的时间较长。

技术实现思路

[0003]有鉴于此，本申请的目的在于提出网络攻击防御模型建立方法、装置、电子设备及存储介质。
[0004]基于上述目的，本申请提供了一种网络攻击防御模型建立方法，包括：
[0005]获取网络攻击行为信息；
[0006]根据网络攻击行为信息获取网络攻击行为的至少两级特征；
[0007]根据至少两级特征，得到至少两个训练集；
[0008]根据至少两个训练集，得到至少两个规则集；
[0009]筛选至少两个规则集中的规则进行组合，得到网络攻击防御模型。
[0010]本申请还提供了一种网络攻击防御模型建立装置，包括：
[0011]网络攻击行为信息获取模块，用于获取网络攻击行为信息；
[0012]特征获取模块，用于根据网络攻击行为信息获取网络攻击行为的至少两级特征；
[0013]训练集获取模块，用于根据至少两级特征，得到至少两个训练集；
[0014]规则集获取模块，用于根据至少两个训练集，得到至少两个规则集；
[0015]网络攻击防御模型建立模块，用于筛选至少两个规则集中的规则进行组合，得到网络攻击防御模型。
[0016]本申请还提供了一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现上述的方法。
[0017]本申请还提供了一种非暂态计算机可读存储介质，非暂态计算机可读存储介质存储计算机指令，计算机指令用于使计算机执行上述方法。
[0018]从上面所述可以看出，本申请提供的网络攻击防御模型建立方法、装置、电子设备及存储介质，尽可能地使用低成本特征判别网络攻击行为的类型，当低成本特征无法精确地判别网络攻击行为的类型时再使用高成本特征判别网络攻击行为的类型。降低判别网络攻击行为的成本，并较快地判别网络攻击行为，从而尽可能早地对网络攻击行为采取防御措施。
附图说明
[0019]为了更清楚地说明本申请中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0020]图1为本申请实施例的网络攻击防御模型建立方法的流程示意图。
[0021]图2为本申请实施例的网络攻击防御模型建立装置的结构示意图。
[0022]图3为本申请实施例的服务器的硬件结构示意图。
具体实施方式
[0023]为使本申请的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本申请进一步详细说明。
[0024]需要说明的是，除非另外定义，本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。
[0025]相关技术中，网络攻击防御模型根据大量的网络攻击行为特征建立，这种网络攻击防御模型的运行成本是从监测的原始数据流中提取、测试特征所需要的时间与计算机资源的总和。因此，由于判别过程中使用了大量的特征，所以相关技术的网络攻击防御模型虽然能够较好地判别网络攻击行为的类型，但判别网络攻击行为的成本较高，且判别网络攻击行为的时间较长。
[0026]基于相关技术上述的缺陷，本申请实施例提供了网络攻击防御模型建立方法、装置、电子设备及存储介质。
[0027]本申请提供的网络攻击防御模型建立方法、装置、电子设备及存储介质，尽可能地使用低成本特征判别网络攻击行为的类型，当低成本特征无法精确地判别网络攻击行为的类型时再使用高成本特征判别网络攻击行为的类型。降低判别网络攻击行为的成本，并较快地判别网络攻击行为，从而尽可能早地对网络攻击行为采取防御措施。
[0028]图1示出了本申请实施例所提供的网络攻击防御模型建立方法的流程示意图。
[0029]如图1所示，本申请实施例提供了一种网络攻击防御模型建立方法，包括：
[0030]步骤S101、获取网络攻击行为信息。
[0031]在本实施例中，网络攻击行为信息可以包括网络攻击行为的攻击类型、网络攻击行为的描述和网络攻击行为的判别特征。例如，网络攻击行为的攻击类型可以包括拒绝服务、非授权访问、窃听、业务流分析、旁路控制、病毒和授权侵犯。例如，网络攻击行为的描述可以包括“拒绝服务：信息使用者对信息或其它资源的合法访问被无条件地阻止”、“非授权访问：系统资源被某个非授权的实体使用导致系统数据遭到破坏”。例如，拒绝服务的判别特征可以包括超出系统正常工作时的极限通讯流量，出现大量的DNS、PTR查询请求，出现不属于正常连接通讯的TCP和UDP数据包和数据段内容只包含文字和数字字符(如：没有空格、标点和控制字符)；非授权访问的判别特征可以包括用户有意避开系统访问控制机制对网络设备及资源进行非正常使用，用户擅自扩大权限越权访问信息，用户登录系统后清除日
志、删除拷贝的文件并更改某些系统设置和用户进入系统后自动执行脚本指令并下载未知程序。
[0032]步骤S102、根据网络攻击行为信息获取网络攻击行为的至少两级特征。
[0033]作为一个可选的实施例，至少两级特征包括判断成本从低到高排列的N级特征，其中，N为大于1的正整数。N级特征可以包括判断成本从低到高排列的第一级特征、第二级特征
……
第N级特征。
[0034]在本实施例中，判断成本可以为判断网络攻击行为是否包括该特征而消耗的从监测的原始数据流中提取、测试特征所需要的时间与计算机资源的总和。对提取特征需要的时间、测试特征需要的时间、提取特征需要的计算机资源、测试特征需要的计算机特征分别赋予权重，将特征的对应数值进行加权运算即得到特征的判断成本。
[0035]具体实施时，按照判断成本对特征进行分级，将判断成本相近的特征划分为同一级特征。这样，就可以得到具有不同级别判断成本的多个训练集，进而得到包括不同级别判断成本的规则的多个规则集。
[0036]在本实施例中，特征可以分为四级特征。例如，拒绝服务的第一级特征可以为超出系统正常工作时的极限通讯流量，第二级特征可以为出现大量的DNS、PTR查询请求，第三级特征可以为出现不属于正常连接通讯的TCP和UDP数据包，第四级特征可以为数据本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络攻击防御模型建立方法，其特征在于，包括：获取网络攻击行为信息；根据所述网络攻击行为信息获取网络攻击行为的至少两级特征；根据所述至少两级特征，得到至少两个训练集；根据所述至少两个训练集，得到至少两个规则集；筛选所述至少两个规则集中的规则进行组合，得到网络攻击防御模型。2.根据权利要求1所述的模型建立方法，其特征在于，所述至少两级特征包括判断成本从低到高排列的N级特征，其中，N为大于1的正整数；所述至少两个训练集包括特征数量从少到多排列的N个训练集；所述根据所述至少两个训练集，得到至少两个规则集，包括：将所述N个训练集分别输入规则提取算法，得到对应所述N个训练集的顺序排列的N个规则集。3.根据权利要求2所述的模型建立方法，其特征在于，所述方法还包括通过以下方法得到所述N个训练集：对于所述特征数量从少到多排列的N个训练集，其中的任意一个训练集均根据级数小于等于训练集序号的所有特征得到。4.根据权利要求2所述的模型建立方法，其特征在于，所述方法还包括通过以下方法筛选所述N个规则集中的规则进行组合，得到网络攻击防御模型：测试所述N个规则集中的第一规则集包括的规则判别所述网络攻击行为的准确度；响应于确定所述第一规则集包括的规则判别所述网络攻击行为的准确度大于等于准确度阈值，将所述规则添加至所述网络攻击防御模型；对于所述N个规则集中的第二规则集至第N
‑
1规则集，顺序测试每个规则集包括的规则，对前一个规则集判别准确度小于所述准确度阈值的所述网络攻击行为进行判别的准确度；响应于确定所述第二规则集至所述第N
‑
1规则集中任意一个包...

【专利技术属性】
技术研发人员：王晨宇，徐国胜，徐国爱，高原，曾维恺，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：