【技术实现步骤摘要】
本专利技术涉及人工智能,尤其涉及一种基于深度学习的防火墙威胁检测方法及系统。
技术介绍
1、随着计算机和网络技术的飞速发展,现代信息技术已经在人类社会中扮演了至关重要的角色,推动了社会的科技进步和文明的发展。然而,与此同时,信息网络的开放性和普及也带来了一系列安全挑战,其中包括黑客攻击、蠕虫病毒、恶意代码等威胁。为了应对这些风险,网络安全领域采用了各种防御手段,其中防火墙是一项关键的技术。防火墙作为网络安全的第一道防线,旨在监控、过滤和控制进出网络的流量,以保护网络免受潜在的威胁。
2、引用现有技术中国专利技术专利申请cn111669354a公开的一种基于机器学习的威胁情报工业防火墙,该方法过modbus协议进行身份识别、使用opc协议进行数采与传输、采用线性判别分析(lda)技术进行特征抽取和筛选、通过支持向量机(svm)算法进行训练,以及在独立同分布的测试集上使用leave one out检测法进行检验。该防火墙结合了协议识别、降维处理和机器学习算法,但是这些算法是对建模数据等进行特征统计分析,然后再建立模型进行异常检测,属于浅层的特征表示方法,无法准确的描述特征之间的关系。因此为了解决上述问题,本专利技术实施例公开了一种基于深度学习的防火墙威胁检测方法及系统。
技术实现思路
1、针对上述所显示出来的问题,本专利技术提供了一种基于深度学习的防火墙威胁检测方法及系统用以解决
技术介绍
提到的对建模数据等进行特征统计分析,然后再建立模型进行异常检测,属于浅层的特征表示方法,
2、一种基于深度学习的防火墙威胁检测方法,包括以下步骤:
3、爬取http请求信息,得到原始http请求信息;
4、对所述原始http请求信息进行预处理,得到预处理后的http请求信息;
5、获取注入自注意力机制的双向lstm模型;
6、基于所述预处理后的http请求信息对所述注入自注意力机制的双向lstm模型进行训练,得到防火墙威胁检测模型。
7、优选的,爬取http请求信息,得到原始http请求信息,包括:
8、确定防火墙威胁检测的应用目标及场景;
9、确定数据捕获工具并对捕获工具进行配置,得到目标捕获工具;
10、基于所述应用目标及场景通过所述目标捕获工具在真实网络环境和/或模拟环境中捕获正常的http请求信息;
11、基于所述应用目标及场景通过所述目标捕获工具,在实验环境模仿的若干个攻击场景中捕获异常的http请求信息;
12、确定所述正常的http请求信息和所述异常的http请求信息为所述原始http请求信息。
13、优选的,对所述原始http请求信息进行预处理,得到预处理后的http请求信息,包括:
14、获取http解析工具,并通过所述http解析工具对所述原始http请求信息进行解析,得到http解析结果;
15、对所述http解析结果进行关键信息提取,得到原始关键信息;
16、对所述原始关键信息进行url处理和文本处理,得到url处理和文本处理后的关键信息;
17、对所述url处理和文本处理后的关键信息进行数值转换,得到数值转换后的关键信息;
18、对所述数值转换后的关键信息进行缺失值处理,得到缺失值处理后的关键信息;
19、对所述缺失值处理后的关键信息进行标准化,得到标准化后的关键信息并确定为预处理后的http请求信息。
20、优选的,获取注入自注意力机制的双向lstm模型,包括:
21、选择目标模型构建工具,并在所述目标模型构建工具上引入模型构建的库和模块;
22、确定输入序列信息,并基于所述库和模块,通过对输入序列信息设置不同的权重构建自注意力机制层;
23、基于所述库和模块,根据所述输入序列信息的的正向信息和反向信息构建原始双向lstm模型;
24、将所述自注意力机制层整合至所述原始双向lstm模型中,得到所述注入自注意力机制的双向lstm模型。
25、优选的,基于所述预处理后的http请求信息对所述注入自注意力机制的双向lstm模型进行训练,得到防火墙威胁检测模型,包括:
26、确定所述预处理后的http请求信息对应的标签,其中所述标签包括正常和异常;
27、依据所述标签按照预设比例将所述预处理后的http请求信息划分为训练集测试集;
28、定义损失函数和优化器;
29、基于所述损失函数和优化器通过所述训练集对所述注入自注意力机制的双向lstm模型进行训练,得到训练后的双向lstm模型;
30、通过所述测试集对所述训练后的双向lstm模型进行测试,得到模型评价指标;
31、判断所述模型评价指标是否达到目标需求,若达到,则确定所述训练后的双向lstm模型为所述防火墙威胁检测模型,若未达到,则对所述训练后的双向lstm模型进行调参,调参完成后确定为所述防火墙威胁检测模型。
32、优选的,对所述http解析结果进行关键信息提取,得到原始关键信息,包括:
33、确定关键信息提取任务,并根据所述提取任务定义关键信息含义;
34、根据所述关键信息含义编写提取逻辑;
35、从所述http解析结果中提取若干条解析结果,并通过所述若干条结果对所述提取逻辑进行测试,得到测试结果;
36、当所述测试结果的准确率达到预设标准时,通过所述提取逻辑对所述http解析结果进行关键信息提取,得到所述原始关键信息;
37、获取所述原始关键信息的提取时间,并依据提取时间对所述原始关键信息进行存储。
38、优选的,基于所述应用目标及场景通过所述目标捕获工具,在实验环境模仿的若干个攻击场景中捕获异常的http请求信息,包括:
39、根据所述应用目标及场景选择若干个攻击场景,并在所述实验环境中对所述若干个攻击场景进行模拟配置;
40、选择目标攻击工具,并基于所述若干个攻击场景通过所述目标攻击工具进行攻击;
41、启动目标捕获工具,以通过所述目标捕获工具捕获所述目标攻击工具工作中的数据,得到攻击数据;
42、当达到预设停止捕获标准后,对所述攻击数据进行整理和标记,得到所述异常的http请求信息。
43、一种基于深度学习的防火墙威胁检测系统,该系统包括:
44、爬取模块,用于爬取http请求信息,得到原始http请求信息;
45、预处理模块,用于对所述原始http请求信息进行预处理,得到预处理后的http请求信息;
46、获取模块,用于获取注入自注意力机制的双向lstm模型;
47、训练模块,用于基于所述预处理后的http请求信息对所述注入自注意力机制的双向lstm模型进行训练,得到防火本文档来自技高网...
【技术保护点】
1.一种基于深度学习的防火墙威胁检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,爬取http请求信息,得到原始http请求信息,包括:
3.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,对所述原始http请求信息进行预处理,得到预处理后的http请求信息,包括:
4.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,获取注入自注意力机制的双向LSTM模型,包括:
5.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,基于所述预处理后的http请求信息对所述注入自注意力机制的双向LSTM模型进行训练,得到防火墙威胁检测模型,包括:
6.根据权利要求3所述基于深度学习的防火墙威胁检测方法,其特征在于,对所述http解析结果进行关键信息提取,得到原始关键信息,包括:
7.根据权利要求2所述基于深度学习的防火墙威胁检测方法,其特征在于,基于所述应用目标及场景通过所述目标捕获工具,在实验环境模仿的若干个攻击场景中捕获
8.一种基于深度学习的防火墙威胁检测系统,其特征在于,该系统包括:
9.根据权利要求8所述的防火墙威胁检测系统,其特征在于,
10.根据权利要求8所述的防火墙威胁检测系统,其特征在于,所述预处理模块,还用于获取http解析工具,并通过所述http解析工具对所述原始http请求信息进行解析,得到http解析结果;对所述http解析结果进行关键信息提取,得到原始关键信息;对所述原始关键信息进行URL处理和文本处理,得到URL处理和文本处理后的关键信息;对所述URL处理和文本处理后的关键信息进行数值转换,得到数值转换后的关键信息;对所述数值转换后的关键信息进行缺失值处理,得到缺失值处理后的关键信息;对所述缺失值处理后的关键信息进行标准化,得到标准化后的关键信息并确定为预处理后的http请求信息。
...【技术特征摘要】
1.一种基于深度学习的防火墙威胁检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,爬取http请求信息,得到原始http请求信息,包括:
3.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,对所述原始http请求信息进行预处理,得到预处理后的http请求信息,包括:
4.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,获取注入自注意力机制的双向lstm模型,包括:
5.根据权利要求1所述基于深度学习的防火墙威胁检测方法,其特征在于,基于所述预处理后的http请求信息对所述注入自注意力机制的双向lstm模型进行训练,得到防火墙威胁检测模型,包括:
6.根据权利要求3所述基于深度学习的防火墙威胁检测方法,其特征在于,对所述http解析结果进行关键信息提取,得到原始关键信息,包括:
7.根据权利要求2所述基于深度学习...
【专利技术属性】
技术研发人员:兰雨晴,余丹,乔孟阳,邢智涣,于艺春,
申请(专利权)人:慧之安信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。