本申请适用于网络安全技术领域,提供了一种攻击检测方法
【技术实现步骤摘要】
攻击检测方法、装置、终端设备及存储介质
[0001]本申请属于网络安全
,尤其涉及一种攻击检测方法
、
装置
、
终端设备及存储介质
。
技术介绍
[0002]网络攻击是一种利用网络存在的漏洞和安全缺陷对网络系统的硬件
、
软件及其系统中的数据进行的攻击行为,会对计算机信息系统造成破坏,使软件或服务器失去功能
。
随着计算机以及网络技术的广泛应用,网络安全意识的提高,网络攻击的检测也变得更加重要
。
[0003]目前,对于网络攻击的检测技术是针对于不同的攻击方式,采取对应的检测方法,但是由于网络系统可能会遭受多个种类的攻击,单个检测方法无法对所有攻击方法进行全面检测
。
[0004]因此,如何提高攻击检测的准确性并实现对于多种攻击方式的全面检测,成了业内亟需解决的问题
。
技术实现思路
[0005]本申请实施例提供了一种攻击检测方法
、
装置
、
终端设备及存储介质,可以解决单个检测方法无法对所有攻击方法进行全面检测问题
。
[0006]第一方面,本申请实施例提供了一种攻击检测方法,包括:获取告警信息;将所述告警信息对应的流量导入预设的虚拟信息系统,并通过所述虚拟信息系统获取所述告警信息对应的威胁流量数据;基于所述告警信息和所述威胁流量数据运行攻击检测模型,得到攻击检测结果;所述攻击检测模型是基于样本和标签训练得到的机器学习模型
。
[0007]上述方法在获取告警信息后,通过告警信息获取对应的威胁流量数据,对告警信息和威胁流量数据进行联合分析,告警信息可以用于判断系统中可能存在的攻击行为,所获取的威胁流量数据用于对告警信息进行补充,在对攻击行为进行检测的基础上进一步判断是否所得到攻击行为是否正确,进一步提高攻击检测结果的准确性,减少误判的情况发生
。
同时,通过将所述告警信息对应的流量导入预设的虚拟信息系统,在不影响原系统正常运行的同时获取完整的威胁流量数据,提高攻击检测的准确性
。
[0008]在第一方面的一种可能的实现方式中,所述基于所述告警信息和所述威胁流量数据运行攻击检测模型,得到攻击检测结果的步骤包括:对所述告警信息和所述告警信息对应的事件进行聚类,得到告警聚类信息;预处理所述威胁流量数据,得到威胁特征数据;将所述告警聚类信息和所述威胁特征数据输入所述攻击检测模型,得到所述攻击检测结果
。
[0009]上述方法通过对告警信息和告警信息所得到的事件进行聚类处理,排除异常数据,归类相似数据,使聚类后得到的聚类告警信息不同类别的数据彼此区分,减少告警信息中可能存在的无关信息的干扰,通过对所述威胁流量数据进行预处理,降低所述攻击检测模型在对告警信息和所述威胁流量特征数据进行分析时的数据处理难度
。
[0010]在第一方面的一种可能的实现方式中,所述预处理所述威胁流量数据,得到威胁特征数据的步骤包括:根据预设规则对所述威胁流量数据进行编码,得到所述威胁特征数据
。
[0011]上述方法通过根据预设规则对所述威胁流量数据进行编码,将所获取的威胁流量数据进行特征提取,获取威胁流量数据中与攻击行为相关的特征数据,使得所述攻击检测模型在对威胁特征数据进行分析时能够根据编码后的文件直接解析获取所需要的信息,减少信息的冗余,提高信息传输和攻击检测的效率
。
[0012]在第一方面的一种可能的实现方式中,所述攻击检测模型是初始模型经过训练得到的,所述训练包括:获取告警信息样本和所述告警信息样本对应的威胁流量数据样本;标注训练样本,得到所述训练样本的标签;所述训练样本包括对应的所述告警信息样本和所述威胁流量数据样本;根据所述训练样本和所述训练样本的标签对所述初始模型进行训练,得到所述攻击检测模型
。
[0013]上述方法通过告警信息样本和所述威胁流量数据样本以及对应的标签对初始模型进行训练,利用深度学习能够对数据的特征进行提取,建立相应的模型的这一特性,训练得到告警信息以及威胁流量数据与不同的攻击检测结果之间的映射关系,使得训练后得到的攻击检测模型能够对告警事件和威胁流量数据进行分析,提高攻击检测准确性
。
[0014]在第一方面的一种可能的实现方式中,所述获取告警信息样本和所述告警信息样本对应的威胁流量数据样本的步骤包括:对源数据进行镜像处理,得到所述源数据的镜像数据;解析所述镜像数据,得到镜像告警数据;聚类所述镜像告警数据得到所述告警信息样本;根据所述镜像告警数据或所述告警信息样本在所述镜像数据中获取镜像威胁流量数据,所述镜像威胁流量数据是与所述镜像告警数据对应的威胁流量数据;编码所述镜像威胁流量数据,得到与所述告警信息样本对应的威胁流量数据样本
。
[0015]上述方法本实施例通过对所述源数据进行镜像处理,将源数据镜像倒流至执行主体的网络端口上,获取源数据的镜像数据,对源数据实时生成的动态的特性予以保留
。
[0016]在第一方面的一种可能的实现方式中,所述告警数据样本和所述威胁流量数据样本是原始告警数据和原始威胁流量数据经标准化映射至预设范围得到的
。
[0017]上述方法通过对原始告警数据和原始威胁流量数据进行标准化处理,将两组数据缩放到一致的维度,使神经网络能够上述两组不同的数据进行处理,降低数据处理的难度
。
[0018]在第一方面的一种可能的实现方式中,所述告警信息或者所述告警信息样本是响应于触发数据的信息;所述触发数据是符合预设的安全告警规则的流量数据的至少一部
分
。
[0019]上述方法通过响应于触发数据获取所述告警信息或者所述告警信息样本,实现对于可疑数据的检测,使得当有攻击行为产生时即可获取相应的数据或者样本,提高了攻击检测的全面性
。
[0020]第二方面,本申请实施例提供了一种攻击检测装置,包括:告警信息获取模块,用于获取告警信息;威胁流量获取模块,用于将所述告警信息对应的流量导入预设的虚拟信息系统,并通过所述虚拟信息系统获取所述告警信息对应的威胁流量数据;结果检测模块,用于基于所述告警信息和所述威胁流量数据运行攻击检测模型,得到攻击检测结果;所述攻击检测模型是基于样本和标签训练得到的机器学习模型
。
[0021]第三方面,本申请实施例提供了一种终端设备,包括存储器
、
处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项所述的攻击检测方法
。
[0022]第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项所述的攻击检测方法
。
[0023]第五方面,本申请实施例提供了一种计算机程序产品,当计本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.
一种攻击检测方法,其特征在于,包括:获取告警信息;将所述告警信息对应的流量导入预设的虚拟信息系统,并通过所述虚拟信息系统获取所述告警信息对应的威胁流量数据;基于所述告警信息和所述威胁流量数据运行攻击检测模型,得到攻击检测结果;所述攻击检测模型是基于样本和标签训练得到的机器学习模型
。2.
如权利要求1所述的攻击检测方法,其特征在于,所述基于所述告警信息和所述威胁流量数据运行攻击检测模型,得到攻击检测结果的步骤包括:对所述告警信息和所述告警信息对应的事件进行聚类,得到告警聚类信息;预处理所述威胁流量数据,得到威胁特征数据;将所述告警聚类信息和所述威胁特征数据输入所述攻击检测模型,得到所述攻击检测结果
。3.
根据权利要求2所述的攻击检测方法,其特征在于,所述预处理所述威胁流量数据,得到威胁特征数据的步骤包括:根据预设规则对所述威胁流量数据进行编码,得到所述威胁特征数据
。4.
根据权利要求1所述的攻击检测方法,其特征在于,所述攻击检测模型是初始模型经过训练得到的,所述训练包括:获取告警信息样本和所述告警信息样本对应的威胁流量数据样本;标注训练样本,得到所述训练样本的标签;所述训练样本包括对应的所述告警信息样本和所述威胁流量数据样本;根据所述训练样本和所述训练样本的标签对所述初始模型进行训练,得到所述攻击检测模型
。5.
根据权利要求4所述的攻击检测方法,其特征在于,所述获取告警信息样本和所述告警信息样本对应的威胁流量数据样本的步骤包括:对源数据进行镜像处理,得到所述源数据的镜像数据;解析所述镜像数据,得到镜像告警数据;聚...
【专利技术属性】
技术研发人员:孙军,王尊,赵冉,才镓赫,胡彬,刘阳,万睿,杨阳,张哲宇,
申请(专利权)人:国家工业信息安全发展研究中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。