本发明专利技术实施例提供了一种智能网络攻击检测方法及装置,该方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;通过稀疏算法获得特征集的基并得到网络防护特征集;构建循环神经网络,对网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;构建卷积神经网络,以判定待检测数据包是否为有害数据;根据预设系统对待检测数据包的判断结果和学习系统对待检测数据包的判断结果对基函数的组合和数量进行调整以进化学习系统的数学模型。该网络攻击检测方式通过自学习及自适应能力能够预警变种的新的网络攻击数据包,具备自动化扩展和智能性。
【技术实现步骤摘要】
本专利技术涉及信息安全
,具体而言,涉及一种智能网络攻击检测方法及装置。
技术介绍
随着计算机网络技术的不断发展,计算机网络系统的安全问题变得越来越严重,不断出现的新的攻击方式使得网络安全问题变得更加严重。在计算机安全
,传统的网络防护设备IPS(IntrusionPreventionSystem,入侵预防系统)是基于正则表达式来描述恶意连接的数据特征,这种方法虽然较为精确、高效,但是人工维护量大、反应滞后,并且不具备自学习能力,无法预警并检测一些变种的未知的网络攻击。因此,如何实现一种智能地、自动化式的网络攻击检测方法亟待解决。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种智能网络攻击检测方法及装置,以解决上述问题。本专利技术较佳实施例提供一种智能网络攻击检测方法,所述方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;构建卷积神经网络,以判定待检测数据包是否为有害数据;根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。本专利技术另一较佳实施例提供一种智能网络攻击检测装置,所述装置包括转化模块、获取模块、扩展模块、判断模块以及调整模块;所述转化模块用于将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;所述获取模块用于通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;所述扩展模块用于构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;所述判断模块用于构建卷积神经网络,以判定待检测数据包是否为有害数据;所述调整模块用于根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。本专利技术较佳实施例提供的智能网络攻击检测方法及装置,一方面通过对预设系统的学习和模仿以实现对现有的网络攻击规则的掌握,并通过循环神经网络的自学习、自适应能力,以预警变种的新的网络攻击数据包。另一方面,通过卷积神经网络,来实现对网络有害数据的有效检测。该网络攻击检测方式,具备自动化扩展性和智能性。为使本专利技术的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本专利技术的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。图1为本专利技术较佳实施例提供的一种数据处理设备的示意性结构框图。图2为本专利技术较佳实施例提供的一种智能网络攻击检测方法的流程图。图3为图2中步骤S105的子步骤的流程图。图4为图2中步骤S107的子步骤的流程图。图5为图2中步骤S109的子步骤的流程图。图6为本专利技术较佳实施例提供的智能网络攻击检测装置的功能模块图。图7为本专利技术较佳实施例提供的扩展模块的功能模块图。图8为本专利技术较佳实施例提供的判断模块的功能模块图。图9为本专利技术较佳实施例提供的调整模块的功能模块图。图标:100-数据处理设备;110-智能网络攻击检测装置;111-转化模型;112-获取模块;113-扩展模块;1131-获取子模块;1132-导入子模块;1133-规则生成子模块;1134-加固子模块;114-判断模块;1141-分类子模块;1142-处理子模块;1143-标记子模块;115-调整模块;1151-建立子模块;1152-对比子模块;1153-调整子模块;116-报警模块;120-处理器;130-存储器。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本专利技术实施例的组件可以以各种不同的配置来布置和设计。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。因此,以下对在附图中提供的本专利技术的实施例的详细描述并非旨在限制要求保护的本专利技术的范围,而是仅仅表示本专利技术的选定实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,为本专利技术较佳实施例提供的一种数据处理设备100的示意性结构框图。该数据处理设备100包括智能网络攻击检测装置110、处理器120以及存储器130。所述数据处理设备100可以是计算机或其他任意具有数据处理能力的计算设备。所述存储器130与处理器120之间直接或间接地电性连接,以实现数据的传输或交互。例如,可通过一条或多条通讯总线或信号线实现电性连接。所述智能网络攻击检测装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器130中或固化在所述数据处理设备100的操作系统(operatingsystem,OS)中的软件功能模块。所述处理器120用于执行存储器130中存储的可执行模块,例如所述智能网络攻击检测装置110包括的软件功能模块或计算机程序。所述处理器120在接收到执行指令后,执行所述功能模块或程序,下述本专利技术任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器120中,或者由处理器120实现。请参阅图2,是本专利技术较佳实施例提供的智能网络攻击检测方法的流程图。所应说明的是,本专利技术所述的方法不以图2及以下所示的具体顺序为限制。下面将对图2所示的具体流程及步骤进行详细阐述。步骤S101,将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中。可选地,网络中的数据包均包含某些特征,这些特征是可以进行拆分的,其中,拆分成的最小单元,即称之为基。在本实施例中,所述预设系统为现有的传统网络防护设备包含的传统系统。传统网络防护设备在进行网络攻击检测时,仅能对网络攻击数据包进行拆分及识别,难以对变种的规则的数据包进行提前预警与检测。因而,本实施例中,需要在模仿学习传统系统的基础上建立具有自学习、自适应能力的学习系统。传统系统与学习系统之间具有近似的关系,学习系统的功能近似于传统系统。为了便于描述,在正式阐述学习系统数学模型之前,将传统的正则表达式所描述的恶意连接的数据特征进行数学建模。例如:正则表达式'^abc.*$',这个正则表达式将匹配以abc开头的任意字符串。为了便于描述数学模型,假定该正则表达式只能处理26个小写字母。也就是说该正则表达式中的'.'只是小写字母集合(不含空元素)的一个元素。那么以字符串中元素的序号为x轴,以'.'所表示的集合元素为y轴。上述正则表达式匹配的模式可以用一个分段函数来表达,其中,每个分段函数都是该模式中的一个组成部分。可选地,传统系统在采集网络数据包后,可以对其本文档来自技高网...
【技术保护点】
一种智能网络攻击检测方法,其特征在于,所述方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;构建卷积神经网络,以判定待检测数据包是否为有害数据;根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。
【技术特征摘要】
1.一种智能网络攻击检测方法,其特征在于,所述方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;构建卷积神经网络,以判定待检测数据包是否为有害数据;根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。2.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述方法还包括:利用所述学习系统检测真实网络环境中的未知数据包,在存在判定为有害数据的待检测数据包时,进行报警提示。3.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包的步骤,包括:构建循环神经网络,从所述网络防护特征集中获取规则集中的基函数;将获取的所述基函数导入到所述循环神经网络中;根据所述循环神经网络的自学习能力,利用通过所述循环神经网络的数据流以使所述循环神经网络生成针对网络中各种类的数据的变种规则;根据生成的所述变种规则加固所述循环神经网络以预警变种的新的网络攻击数据包。4.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述构建卷积神经网络,以判定待检测数据包是否为有害数据的步骤,包括:构建卷积神经网络,按照所述基函数的分布将待检测数据包进行分类标记,属于同一类的所述待检测数据包构建成一个集合;将构建的所述集合进行裁剪或扩展,形成预设大小的包含所述待检测数据包的新集合;判断所述新集合中所述待检测数据包是否为有害数据,若为有害数据,则对所述待检测数据包进行标记并存储。5.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型的步骤,包括:在网络接口上建立旁路,以使所述学习系统和所述预设系统的输入数据一致;将所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果进行对比;在所述学习系统的判断结果和所述预设系统的判断结果不一致时,调整所述基函数的组合和数量以进化所述学习系统的数学模型。6.一种智能网络攻击检测装置,其特征在于,所述装置包括转化模块、获取模块、扩展模块、判...
【专利技术属性】
技术研发人员:李克龙,
申请(专利权)人:余洋,李克龙,
类型:发明
国别省市:重庆;50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。