System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 网络攻击的检测方法、系统、设备及介质技术方案_技高网
当前位置: 首页 > 专利查询>鹏城实验室专利>正文

网络攻击的检测方法、系统、设备及介质技术方案

技术编号:41314438 阅读:3 留言:0更新日期:2024-05-13 14:56
本申请提供了一种网络攻击的检测方法、系统、设备及介质,包括:获取待检测网络中多个连续的网络流量数据,并提取每个网络流量数据中的多个流量特征;对所有的流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;依次将每个网络流量数据下的各个特征值,分别作为多通道的像素点中各个通道的数值,得到多个像素点,并依次将连续的多个网络流量数据对应的各个像素点进行拼接,得到待检测网络的流量特征图像;将流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据攻击阶段分类结果确定待检测网络中网络攻击行为所处的目标攻击阶段。本申请能够提高对不同攻击阶段识别的效率和准确率。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及网络安全,尤其涉及一种网络攻击的检测方法、系统、设备及介质


技术介绍

1、随着计算机及互联网的飞速发展,网络安全成为人们重点关注的问题。现如今网络中存在高级持续性威胁(advanced persistent threat,apt)攻击,这是一种复杂而有组织的网络攻击行为,旨在长期潜伏并持续地对特定目标进行攻击和渗透。apt攻击行为可以划分为多个攻击阶段,每个阶段的攻击存在多样化,因此识别不同的攻击阶段对提高网络安全至关重要。

2、相关技术中,在进行网络安全检测时,往往侧重于对单个apt攻击阶段的检测,这种方式只能针对特定阶段检测是否存在攻击行为,而另一种检测apt多个攻击阶段的检测方案中,又依赖于从网络流量中获取所需要的特征,经常需要提取高维度特征,因此经常遇到特征提取不完整的问题,最终降低了apt攻击阶段的识别效率和准确率。


技术实现思路

1、本申请实施例的主要目的在于提出一种网络攻击的检测方法、系统、设备及介质,能够提高对不同攻击阶段识别的效率和准确率。

2、为实现上述目的,本申请实施例的第一方面提出了一种网络攻击的检测方法,包括:获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值;依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,并依次将连续的多个所述网络流量数据对应的各个所述像素点进行拼接,得到所述待检测网络的流量特征图像;将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段。

3、在一些实施例中,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:按照对应的每个所述流量特征在连续的多个所述网络流量数据中提取时间的先后顺序,对各个所述特征值进行排序,得到特征值队列;根据多通道的像素点中的通道数量,依次从所述特征值队列中选择对应数量下的多个所述特征值,并作为多通道的像素点中各个通道的数值,得到多个所述像素点。

4、在一些实施例中,每个所述流量数据下的多个所述特征值之间的类型不同,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:计算多个所述网络流量数据下,每个所述类型的所述特征值与对应的所述网络流量数据的标签特征之间的相似度;根据所有所述类型的所述特征值对应的多个所述相似度确定相似度阈值,并根据所述相似度阈值和各个所述相似度从多个所述类型中确定目标类型;依次将每个所述网络流量数据下的各个所述目标类型的所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点。

5、在一些实施例中,所述对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值,包括:对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,其中,多个所述特征分数值之间满足正态分布;基于所述像素点中各个通道数值的预设阈值,与各个所述特征分数值进行乘积,得到转换后在同一数值范围内的多个特征值。

6、在一些实施例中,所述对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,包括:获取预设的第一数值和第二数值,其中,所述第一数值小于各个所述流量特征,所述第二数值大于各个所述流量特征;依次基于各个所述流量特征与所述第一数值的差值,以及所述第二数值与各个所述流量特征的差值,对各个所述流量特征进行分数位变换,得到多个特征分数值。

7、在一些实施例中,所述得到攻击阶段分类结果,包括:对所述流量特征图像进行特征转换,得到输入特征;对所述输入特征进行多次卷积操作,并在每次卷积操作之后进行激活和池化处理,得到卷积特征;对所述卷积特征进行全局平均池化操作,得到全局平均池化特征;对所述全局平均池化特征进行归一化处理,得到攻击阶段分类结果。

8、在一些实施例中,所述攻击阶段分类模型通过以下步骤训练得到,包括:获取样本网络中多个连续的样本流量数据,并提取每个所述样本流量数据中的多个样本流量特征;对所有的所述样本流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个样本特征值;依次将每个所述样本流量数据下的各个所述样本特征值,分别作为多通道的样本像素点中各个通道的数值,得到多个所述样本像素点,并依次将连续的多个所述样本流量数据对应的各个所述样本像素点进行拼接,得到所述样本网络的样本流量特征图像;将所述样本流量特征图像输入到初始攻击阶段分类模型中,得到样本攻击阶段分类结果;根据多个连续的所述样本流量数据的数据标签,确定所述样本流量特征图像的图像标签,并基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型。

9、在一些实施例中,所述基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型,包括:提取预训练得到的学习模型中的目标参数,将所述目标参数作为所述初始攻击阶段分类模型的初始参数,其中,所述学习模型与所述初始攻击阶段分类模型的类型相同;基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的所述初始参数,得到训练好的所述攻击阶段分类模型。

10、在一些实施例中,所述网络攻击的检测方法还包括:确定所述初始攻击阶段分类模型的多个超参数,并基于每个所述超参数确定对应的粒子,其中,每个所述粒子具有对应的位置和速度;针对每个所述粒子,根据对应位置的所述超参数,训练所述初始攻击阶段分类模型,并确定训练过程模型的适应度;根据当前训练过程的所述适应度和历史时刻上的最佳适应度,更新每个所述粒子的位置和速度,直至所述初始攻击阶段分类模型的训练达到最大迭代次数或所述适应度收敛,得到训练好的所述攻击阶段分类模型。

11、在一些实施例中,所述将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段,包括:将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到多个分类概率值;当多个所述分类概率值均大于预设的攻击阈值,得到多攻击阶段分类结果,并根据所述多攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的多个连续的目标攻击阶段;根据多个所述分类概率值的大小关系,从多个连续的所述目标攻击阶段确定网络攻击行为所处的主攻击阶段。

12、为实现上述目的,本申请实施例的第二方面提出了一种网络攻击的检测系统,包括:流量数据获取模块,用于获取待检测网络中多个连续的网络流量数据,并提取每个所述网络流量数据中的多个流量特征;数据预处理模块,用于对所有的所述流量特征分别进行数据本文档来自技高网...

【技术保护点】

1.一种网络攻击的检测方法,其特征在于,包括:

2.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:

3.根据权利要求1所述的网络攻击的检测方法,其特征在于,每个所述流量数据下的多个所述特征值之间的类型不同,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:

4.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值,包括:

5.根据权利要求4所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,包括:

6.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述得到攻击阶段分类结果,包括:

7.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述攻击阶段分类模型通过以下步骤训练得到,包括

8.根据权利要求7所述的网络攻击的检测方法,其特征在于,所述基于所述样本攻击阶段分类结果和所述图像标签调整所述初始攻击阶段分类模型的参数,得到训练好的所述攻击阶段分类模型,包括:

9.根据权利要求7所述的网络攻击的检测方法,其特征在于,所述网络攻击的检测方法还包括:

10.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述将所述流量特征图像输入到预先训练好的攻击阶段分类模型中,得到攻击阶段分类结果,并根据所述攻击阶段分类结果确定所述待检测网络中网络攻击行为所处的目标攻击阶段,包括:

11.一种网络攻击的检测系统,其特征在于,包括:

12.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1至10任一项所述的网络攻击的检测方法。

13.一种计算机可读存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至10任一项所述的网络攻击的检测方法。

...

【技术特征摘要】

1.一种网络攻击的检测方法,其特征在于,包括:

2.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:

3.根据权利要求1所述的网络攻击的检测方法,其特征在于,每个所述流量数据下的多个所述特征值之间的类型不同,所述依次将每个所述网络流量数据下的各个所述特征值,分别作为多通道的像素点中各个通道的数值,得到多个所述像素点,包括:

4.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到转换后在同一数值范围内的多个特征值,包括:

5.根据权利要求4所述的网络攻击的检测方法,其特征在于,所述对所有的所述流量特征分别进行数据标准化转换,得到多个特征分数值,包括:

6.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述得到攻击阶段分类结果,包括:

7.根据权利要求1所述的网络攻击的检测方法,其特征在于,所述攻击阶段分类模型通过...

【专利技术属性】
技术研发人员:梅阳阳韩伟红贾焰李树栋顾钊铨林凯瀚
申请(专利权)人:鹏城实验室
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有