【技术实现步骤摘要】
本说明书涉及计算机,尤其涉及一种入侵检测方法、装置、电子设备以及存储介质。
技术介绍
1、目前,随着计算机技术的发展,计算机网络在人们生活中的应用愈发广泛。因此,如何保证计算机网络的安全,已经成为目前需要解决的技术问题之一。
2、一种常见的保护计算机网络安全的方法是基于流量数据实现的。具体的,在接收到流量数据时,确定流量数据对应的属性数据。之后,将流量数据及其对应的属性数据输入预先训练完成的检测模型中,得到该检测模型输出的检测结果,以根据检测结果来判断该流量数据是否异常。其中,该检测结果可以是流量数据是否存在异常,也可以是流量数据存在异常的概率。
3、但是,目前的检测模型仅能基于流量数据和训练该检测模型时使用的样本流量对应的异常类型的特征之间的相似度,判断该流量数据是否异常。而在流量数据对应于新型网络攻击行为时,该检测模型往往无法得到准确的检测结果。
4、基于此,本说明书提供一种基于被动防御的入侵检测方法。
技术实现思路
1、本说明书提供一种入侵检测方法、装置、电子设备以及存储介质,以部分的解决现有技术存在的上述问题。
2、本说明书采用下述技术方案:
3、本说明书提供了一种入侵检测方法,包括:
4、响应于检测请求,确定目标流量数据,并确定所述目标流量数据的目标特征;
5、将所述目标特征输入预先训练完成的检测模型的编码层,得到所述编码层输出的所述目标特征对应的编码结果,并从预设的各已知异常类型中,确定
6、将所述编码结果输入所述检测模型的解码层,得到所述解码层输出的所述目标特征对应的解码结果;其中,所述检测模型基于各已知异常类型分别对应的样本流量数据的样本特征预先训练得到;
7、确定所述解码结果和所述目标特征之间的差距,并根据所述差距,确定所述目标流量数据的异常检测结果;其中,所述异常检测结果包括所述目标类型和未知异常类型中的至少一种。
8、可选地,所述检测模型采用下述方式训练得到:
9、确定样本流量数据,并确定所述样本流量数据对应的异常类型,作为所述样本流量数据的第一标注,以及确定所述样本流量数据的样本特征,作为所述样本流量数据的第二标注;
10、将所述样本特征输入待训练的检测模型的编码层,得到所述编码层输出的所述样本特征对应的样本编码结果,以及确定所述样本特征对应的样本异常类型;
11、将所述样本编码结果作为输入,输入所述检测模型的解码层,得到所述解码层输出的所述样本特征对应的样本解码结果;
12、根据所述第一标注和所述样本异常类型之间的差距,以及所述第二标注和所述样本解码结果之间的差距,对所述检测模型进行训练。
13、可选地,所述检测模型采用下述方式训练得到:
14、确定样本流量数据,并确定根据所述样本流量数据及其对应的异常类型预先训练完成的编码层,以及确定所述样本流量数据的样本特征;
15、将所述样本特征输入所述编码层中,得到所述编码层输出的所述样本特征对应的样本编码结果;
16、将所述样本编码结果输入待训练的解码层中,得到所述解码层输出的样本解码结果;
17、根据所述样本特征和所述样本解码结果之间的差距,对所述解码层进行训练;
18、将训练完成的编码层和解码层进行组合,得到检测模型。
19、可选地,确定所述目标流量数据的目标特征,具体包括:
20、确定所述目标流量数据对应的数据包的长度特征、所述数据包的传输速率特征以及所述目标流量数据对应的传输时间特征中的至少一种,作为所述目标流量数据的属性数据;
21、根据所述属性数据,确定目标特征。
22、可选地,所述属性数据中包含有离散型属性和连续型属性;
23、根据所述属性数据,确定目标特征,具体包括:
24、针对所述流量数据的每个属性数据,若该属性数据属于离散型属性,对该属性数据进行独热编码,得到编码结果,作为该属性数据对应的目标特征;若该属性数据属于连续性属性,对该属性数据进行归一化,得到归一化结果,作为该属性数据对应的目标特征;
25、根据各属性数据分别对应的目标特征,确定所述流量数据的目标特征。
26、可选地,所述编码层包含多个自注意力编码单元;
27、将所述目标特征输入预先训练完成的检测模型的编码层,得到所述编码层输出的所述目标特征对应的编码结果,具体包括:
28、将所述目标特征作为输入,分别输入所述编码层中的各自注意力编码单元,得到所述各自注意力编码单元分别输出的各初始编码结果;
29、根据所述各初始编码结果,得到所述目标特征对应的编码结果。
30、可选地,根据所述差距,确定所述目标流量数据的异常检测结果,具体包括:
31、当所述差距大于预设的差距阈值时,确定所述目标流量数据的异常检测结果为未知异常类型;
32、当所述差距不大于预设的差距阈值时,确定所述目标流量数据的异常检测结果为所述目标类型。
33、本说明书提供一种入侵检测装置,所述装置包括:
34、确定模块,用于响应于检测请求,确定目标流量数据,并确定所述目标流量数据的目标特征;
35、编码模块,用于将所述目标特征输入预先训练完成的检测模型的编码层,得到所述编码层输出的所述目标特征对应的编码结果,并从预设的各已知异常类型中,确定所述目标特征对应的目标类型;
36、解码模块,用于将所述编码结果输入所述检测模型的解码层,得到所述解码层输出的所述目标特征对应的解码结果;其中,所述检测模型基于各已知异常类型分别对应的样本流量数据的样本特征预先训练得到;
37、攻击检测模块,用于确定所述解码结果和所述目标特征之间的差距,并根据所述差距,确定所述目标流量数据的异常检测结果;其中,所述异常检测结果包括所述目标类型和未知异常类型中的至少一种。本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述入侵检测方法。
38、本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述入侵检测方法。
39、本说明书采用的上述至少一个技术方案能够达到以下有益效果:
40、在本说明书提供的入侵检测方法,在获取目标流量数据的情况下,确定目标流量数据对应的目标特征,并通过预先基于各已知异常类型分别对应的样本流量数据的样本特征训练得到的检测模型的编码层,确定该目标特征的编码结果,以及从预设的各已知异常类型中,确定该目标特征对应的目标类型。再通过该检测模型的解码层,确定该目标特征的解码结果。最后根据该解码结果和该目标特征之间的差距,来确定该目标流量数据的异常检测结果。
41、本说明书本文档来自技高网...
【技术保护点】
1.一种入侵检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述检测模型采用下述方式训练得到:
3.如权利要求1所述的方法,其特征在于,所述检测模型采用下述方式训练得到:
4.如权利要求1所述的方法,其特征在于,确定所述目标流量数据的目标特征,具体包括:
5.如权利要求4所述的方法,其特征在于,所述属性数据中包含有离散型属性和连续型属性;
6.如权利要求1所述的方法,其特征在于,所述编码层包含多个自注意力编码单元;
7.如权利要求1所述的方法,其特征在于,根据所述差距,确定所述目标流量数据的异常检测结果,具体包括:
8.一种入侵检测装置,其特征在于,所述装置包括:
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1~7任一项所述的方法。
10.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现上述权利要求1~7
...【技术特征摘要】
1.一种入侵检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述检测模型采用下述方式训练得到:
3.如权利要求1所述的方法,其特征在于,所述检测模型采用下述方式训练得到:
4.如权利要求1所述的方法,其特征在于,确定所述目标流量数据的目标特征,具体包括:
5.如权利要求4所述的方法,其特征在于,所述属性数据中包含有离散型属性和连续型属性;
6.如权利要求1所述的方法,其特征在于,所述编码层包含多个自注意力编码单元...
【专利技术属性】
技术研发人员:查超,张汝云,王之宇,范逸飞,张音捷,白冰,韩孟玲,梁思远,
申请(专利权)人:之江实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。