【技术实现步骤摘要】
本专利技术实施例涉及人工智能,尤其涉及一种识别端口扫描行为的检测方法及装置。
技术介绍
1、端口扫描是网络攻击中常用的一种手段,用于探测目标系统的开放端口和运行的服务,以便于攻击者进行进一步的攻击。攻击者还可以通过设置扫描速度、使用代理或者伪装成其他合法的流量等方式来规避被检测或者防御。对于网络安全而言,识别和防御端口扫描是非常重要的。目前常见的防御措施包括通过入侵检测系统(intrusion detectionsystem,ids)中的端口扫描模型来对主机行为进行识别。
2、但在端口扫描模型训练时,主机的端口扫描行为样本相较于主机正常行为样本数量来说是极少的,在部分环境中两者的训练样本数量相差四个数量级以上,这样在端口扫描模型的训练过程容易产生过拟合。另外,现有端口扫描模型面对不同的网络环境中无法根据样本的变化进行自我迭代,需要大量人工进行不断的训练模型,进行迭代优化和调整。
技术实现思路
1、本申请实施例提供了一种识别端口扫描行为的检测方法及装置,用于对主机进程中发生的端口扫描行为进行识别。
2、第一方面,本申请实施例提供了一种识别端口扫描行为的检测方法,包括:
3、采集网络环境中各主机进程的行为数据,并确定各行为数据对应的行为特征;
4、将各行为特征分别输入至第一模型,确定所述各行为数据中的疑似端口扫描行为;所述第一模型为无监督学习模型;
5、将任一疑似端口扫描行为对应的行为特征输入至第二模型,确定所述疑似端口扫描行
6、在满足模型调整条件下,通过q神经网络模型对所述第一模型和所述第二模型进行模型更新;其中,所述q神经网络模型通过将训练模型的动作组成动作链,将模型参数阈值作为状态空间,将调整参数的动作作为动作空间进行训练得到的。
7、本申请通过已有的少量端口扫描行为样本,和大量的正常行为样本作为训练集,基于无监督学习的第一模型首先从主机进程的行为数据中筛选出相对异常的行为样本,即离群点。再基于有监督学习的第二模型对第一模型的分类结果进行多分类相结合的方式,可以实现对不同类型的端口扫描行为进行告警。解决了现有技术中由于各类样本数量严重不均,训练模型产生过拟合的问题。并且通过训练出q神经网络模型,可以让第一模型和第二模型直接部署在各种网络环境中,且第一模型和第二模型可以根据网络变化和端口扫描检测情况迭代模型,也节省了人工训练模型迭代模型所消耗的人力,提高了第一模型和第二模型的训练效率。
8、可选地,所述q神经网络模型中包括选项输出层、策略网络层和终止条件网络层;
9、将对所述第一模型和所述第二模型的训练作为按时序进行的选项;每个选项中包括选取参数、调整参数及训练结束的子动作链;
10、所述选项输出层用于通过样本行为在各选项下的状态确定各选项q值;
11、所述策略网络层用于确定各选项下在设定状态时各动作的概率分布;
12、所述终止条件网络层用于确定在设定状态下各选项的终止概率;
13、通过各样本行为,按时序对各选项进行训练,得到用于调整所述第一模型和所述第二模型的q神经网络模型。
14、可选地,所述通过各样本行为,按时序对各选项进行训练,包括:
15、通过各样本行为,在所述终止条件网络层确定所述第一模型的预测结果满足对应选项的终止概率时,通过所述选项输出层确定进行所述第二模型对应的选项;
16、通过各样本行为,在所述终止条件网络层确定所述第二模型的预测结果无法满足对应选项的终止概率时,通过所述选项输出层确定回退至所述第一模型对应的选项。
17、可选地,所述q神经网络模型是通过如下方式训练得到的,包括:
18、根据所述选项输出层输出的各选项q值和各目标q值,更新所述选项输出层;
19、根据所述选项输出层输出的动作对应的奖励,更新所述策略网络层;
20、根据所述终止条件网络层输出的预测终止概率和目标终止概率,更新所述终止条件网络层。
21、可选地,所述根据所述选项输出层输出的动作对应的奖励,包括:
22、根据所述选项的当前状态,获取每个动作的概率分布;
23、选取所述概率分布中符合概率要求的动作,并执行所述动作,获得每个动作对应的奖励。
24、可选地,所述动作链包括选取第一模型的参数、调整第一模型的参数、第一模型训练结束,选取第二模型的参数、调整第二模型的参数、第二模型训练结束。
25、可选地,所述确定各行为数据对应的行为特征,包括:
26、对所述行为数据进行预处理,得到所述行为数据对应的特征集合,按比例对所述特征集合进行划分,得到训练行为特征集合和测试行为特征集合;
27、采用迭代算法对所述训练行为特征集合进行训练,得到训练结果,根据所述训练结果对所述训练行为特征集合进行排序,得到位于前n位的行为特征集合。
28、第二方面,本申请实施例提供了一种复杂事件处理装置,包括:
29、采集单元,用于采集网络环境中各主机进程的行为数据,并确定各行为数据对应的行为特征;
30、处理单元,用于将各行为特征分别输入至第一模型,确定所述各行为数据中的疑似端口扫描行为;所述第一模型为无监督学习模型;
31、所述处理单元,还用于将任一疑似端口扫描行为对应的行为特征输入至第二模型,确定所述疑似端口扫描行为是否为端口扫描行为以及对应的端口扫描类型;所述第二模型为有监督学习模型。
32、所述处理单元,还用于在满足模型调整条件下,通过q神经网络模型对所述第一模型和所述第二模型进行模型更新;其中,所述q神经网络模型通过将训练模型的动作组成动作链,将模型参数阈值作为状态空间,将调整参数的动作作为动作空间进行训练得到的。
33、本申请通过已有的少量端口扫描行为样本,和大量的正常行为样本作为训练集,基于无监督学习的第一模型首先从主机进程的行为数据中筛选出相对异常的行为样本,即离群点。再基于有监督学习的第二模型对第一模型的分类结果进行多分类相结合的方式,可以实现对不同类型的端口扫描行为进行告警。解决了现有技术中由于各类样本数量严重不均,训练模型产生过拟合的问题,另外通过q神经网络模型对第一模型和第二模型进行模型更新,可以让第一模型和第二模型根据网络变化和端口扫描的实时检测情况,进行自适应性的迭代更新,节省了人工训练模型消耗的人力成本,提高了模型自适应性训练的效率。
34、可选地,所述处理模块具体用于:
35、所述q神经网络模型中包括选项输出层、策略网络层和终止条件网络层;
36、将对所述第一模型和所述第二模型的训练作为按时序进行的选项;每个选项中包括选取参数、调整参数及训练结束的子动作链;
37、所述选项输出层用于通过样本行为在各选项下的状态确定本文档来自技高网...
【技术保护点】
1.一种识别端口扫描行为的检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述Q神经网络模型中包括选项输出层、策略网络层和终止条件网络层;
3.如权利要求2所述的方法,其特征在于,所述通过各样本行为,按时序对各选项进行训练,包括:
4.如权利要求2所述的方法,其特征在于,所述Q神经网络模型是通过如下方式训练得到的,包括:
5.如权利要求4所述的方法,其特征在于,所述根据所述选项输出层输出的动作对应的奖励,包括:
6.如权利要求2所述的方法,其特征在于,所述动作链包括选取第一模型的参数、调整第一模型的参数、第一模型训练结束,选取第二模型的参数、调整第二模型的参数、第二模型训练结束。
7.如权利要求1至6任一所述的方法,其特征在于,所述确定各行为数据对应的行为特征,包括:
8.一种识别端口扫描行为的检测装置,其特征在于,包括:
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求
10.一种计算机可读存储介质,其特征在于,其存储有可由计算机设备执行的计算机程序,当所述程序在计算机设备上运行时,使得所述计算机设备执行权利要求1~6任一所述方法的步骤。
...【技术特征摘要】
1.一种识别端口扫描行为的检测方法,其特征在于,所述方法包括:
2.如权利要求1所述的方法,其特征在于,所述q神经网络模型中包括选项输出层、策略网络层和终止条件网络层;
3.如权利要求2所述的方法,其特征在于,所述通过各样本行为,按时序对各选项进行训练,包括:
4.如权利要求2所述的方法,其特征在于,所述q神经网络模型是通过如下方式训练得到的,包括:
5.如权利要求4所述的方法,其特征在于,所述根据所述选项输出层输出的动作对应的奖励,包括:
6.如权利要求2所述的方法,其特征在于,所述动作链包括选取第一模型的参数、调整第一模型的参数、第...
【专利技术属性】
技术研发人员:陈清宇,张强,李杰,彭晶,陈顺意,
申请(专利权)人:深圳前海微众银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。