智能网络攻击检测方法及装置转让专利
申请号 : CN201710050637.5
文献号 : CN106534224B
文献日 : 2018-04-20
发明人 : 李克龙
申请人 : 余洋 , 李克龙
摘要 :
本发明实施例提供了一种智能网络攻击检测方法及装置,该方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;通过稀疏算法获得特征集的基并得到网络防护特征集;构建循环神经网络,对网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;构建卷积神经网络,以判定待检测数据包是否为有害数据;根据预设系统对待检测数据包的判断结果和学习系统对待检测数据包的判断结果对基函数的组合和数量进行调整以进化学习系统的数学模型。该网络攻击检测方式通过自学习及自适应能力能够预警变种的新的网络攻击数据包,具备自动化扩展和智能性。
权利要求 :
1.一种智能网络攻击检测方法,其特征在于,所述方法包括:将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;
通过稀疏算法对所述预设系统的特征集进行简化以获得组成所述特征集的不可分割的最小单元,将所述最小单元作为所述特征集的基,根据所述基得到网络防护特征集;
构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;
构建卷积神经网络,以判定待检测数据包是否为有害数据;
根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型;
所述构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包的步骤,包括:构建循环神经网络,从所述网络防护特征集中获取规则集中的基函数;
将获取的所述基函数导入到所述循环神经网络中;
根据所述循环神经网络的自学习能力,利用通过所述循环神经网络的数据流以使所述循环神经网络生成针对网络中各种类的数据的变种规则;
根据生成的所述变种规则加固所述循环神经网络以预警变种的新的网络攻击数据包;
所述构建卷积神经网络,以判定待检测数据包是否为有害数据的步骤,包括:构建卷积神经网络,按照所述基函数的分布将待检测数据包进行分类标记,属于同一类的所述待检测数据包构建成一个集合;
将构建的所述集合进行裁剪或扩展,形成预设大小的包含所述待检测数据包的新集合;
判断所述新集合中所述待检测数据包是否为有害数据,若为有害数据,则对所述待检测数据包进行标记并存储。
2.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述方法还包括:利用所述学习系统检测真实网络环境中的未知数据包,在存在判定为有害数据的待检测数据包时,进行报警提示。
3.根据权利要求1所述的智能网络攻击检测方法,其特征在于,所述根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型的步骤,包括:在网络接口上建立旁路,以使所述学习系统和所述预设系统的输入数据一致;
将所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果进行对比;
在所述学习系统的判断结果和所述预设系统的判断结果不一致时,调整所述基函数的组合和数量以进化所述学习系统的数学模型。
4.一种智能网络攻击检测装置,其特征在于,所述装置包括转化模块、获取模块、扩展模块、判断模块以及调整模块;
所述转化模块用于将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;
所述获取模块用于通过稀疏算法对所述预设系统的特征集进行简化以获得组成所述特征集的不可分割的最小单元,将所述最小单元作为所述特征集的基,根据所述基得到网络防护特征集;
所述扩展模块用于构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;
所述判断模块用于构建卷积神经网络,以判定待检测数据包是否为有害数据;
所述调整模块用于根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型;
所述扩展模块包括获取子模块、导入子模块、规则生成子模块以及加固子模块:所述获取子模块用于构建循环神经网络,从所述网络防护特征集中获取规则集中的基函数;
所述导入子模块用于将获取的所述基函数导入到所述循环神经网络中;
所述规则生成子模块用于根据所述循环神经网络的自学习能力,利用通过所述循环神经网络的数据流以使所述循环神经网络生成针对网络中各种类的数据的变种规则;
所述加固子模块用于根据生成的所述变种规则加固所述循环神经网络以预警变种的新的网络攻击数据包;
所述判断模块包括分类子模块、处理子模块以及标记子模块;
所述分类子模块用于构建卷积神经网络,按照所述基函数的分布将待检测数据包进行分类标记,属于同一类的所述待检测数据包构建成一个集合;
所述处理子模块用于将构建的所述集合进行裁剪或扩展,形成预设大小的包含所述待检测数据包的新集合;
所述标记子模块用于判断所述新集合中所述待检测数据包是否为有害数据,若为有害数据,则对所述待检测数据包进行标记并存储。
5.根据权利要求4所述的智能网络攻击检测装置,其特征在于,所述装置还包括报警模块;
所述报警模块用于利用所述学习系统检测真实网络环境中的未知数据包,在存在判定为有害数据的待检测数据包时,进行报警提示。
6.根据权利要求4所述的智能网络攻击检测装置,其特征在于,所述调整模块包括建立子模块、对比子模块以及调整子模块;
所述建立子模块用于在网络接口上建立旁路,以使所述学习系统和所述预设系统的输入数据一致;
所述对比子模块用于将所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果进行对比;
所述调整子模块用于在所述学习系统的判断结果和所述预设系统的判断结果不一致时,调整所述基函数的组合和数量以进化所述学习系统的数学模型。
说明书 :
智能网络攻击检测方法及装置
技术领域
[0001] 本发明涉及信息安全技术领域,具体而言,涉及一种智能网络攻击检测方法及装置。
背景技术
[0002] 随着计算机网络技术的不断发展,计算机网络系统的安全问题变得越来越严重,不断出现的新的攻击方式使得网络安全问题变得更加严重。在计算机安全技术领域,传统的网络防护设备IPS(Intrusion Prevention System,入侵预防系统)是基于正则表达式来描述恶意连接的数据特征,这种方法虽然较为精确、高效,但是人工维护量大、反应滞后,并且不具备自学习能力,无法预警并检测一些变种的未知的网络攻击。因此,如何实现一种智能地、自动化式的网络攻击检测方法亟待解决。
发明内容
[0003] 有鉴于此,本发明的目的在于提供一种智能网络攻击检测方法及装置,以解决上述问题。
[0004] 本发明较佳实施例提供一种智能网络攻击检测方法,所述方法包括:
[0005] 将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;
[0006] 通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;
[0007] 构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;
[0008] 构建卷积神经网络,以判定待检测数据包是否为有害数据;
[0009] 根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。
[0010] 本发明另一较佳实施例提供一种智能网络攻击检测装置,所述装置包括转化模块、获取模块、扩展模块、判断模块以及调整模块;
[0011] 所述转化模块用于将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中;
[0012] 所述获取模块用于通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集;
[0013] 所述扩展模块用于构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包;
[0014] 所述判断模块用于构建卷积神经网络,以判定待检测数据包是否为有害数据;
[0015] 所述调整模块用于根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。
[0016] 本发明较佳实施例提供的智能网络攻击检测方法及装置,一方面通过对预设系统的学习和模仿以实现对现有的网络攻击规则的掌握,并通过循环神经网络的自学习、自适应能力,以预警变种的新的网络攻击数据包。另一方面,通过卷积神经网络,来实现对网络有害数据的有效检测。该网络攻击检测方式,具备自动化扩展性和智能性。
[0017] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0018] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0019] 图1为本发明较佳实施例提供的一种数据处理设备的示意性结构框图。
[0020] 图2为本发明较佳实施例提供的一种智能网络攻击检测方法的流程图。
[0021] 图3为图2中步骤S105的子步骤的流程图。
[0022] 图4为图2中步骤S107的子步骤的流程图。
[0023] 图5为图2中步骤S109的子步骤的流程图。
[0024] 图6为本发明较佳实施例提供的智能网络攻击检测装置的功能模块图。
[0025] 图7为本发明较佳实施例提供的扩展模块的功能模块图。
[0026] 图8为本发明较佳实施例提供的判断模块的功能模块图。
[0027] 图9为本发明较佳实施例提供的调整模块的功能模块图。
[0028] 图标:100-数据处理设备;110-智能网络攻击检测装置;111-转化模型;112-获取模块;113-扩展模块;1131-获取子模块;1132-导入子模块;1133-规则生成子模块;1134-加固子模块;114-判断模块;1141-分类子模块;1142-处理子模块;1143-标记子模块;115-调整模块;1151-建立子模块;1152-对比子模块;1153-调整子模块;116-报警模块;120-处理器;130-存储器。
具体实施方式
[0029] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
[0030] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
[0031] 因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0032] 如图1所示,为本发明较佳实施例提供的一种数据处理设备100的示意性结构框图。该数据处理设备100包括智能网络攻击检测装置110、处理器120以及存储器130。所述数据处理设备100可以是计算机或其他任意具有数据处理能力的计算设备。
[0033] 所述存储器130与处理器120之间直接或间接地电性连接,以实现数据的传输或交互。例如,可通过一条或多条通讯总线或信号线实现电性连接。所述智能网络攻击检测装置110包括至少一个可以软件或固件(firmware)的形式存储于所述存储器130中或固化在所述数据处理设备100的操作系统(operating system,OS)中的软件功能模块。所述处理器
120用于执行存储器130中存储的可执行模块,例如所述智能网络攻击检测装置110包括的软件功能模块或计算机程序。所述处理器120在接收到执行指令后,执行所述功能模块或程序,下述本发明任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器
120中,或者由处理器120实现。
120用于执行存储器130中存储的可执行模块,例如所述智能网络攻击检测装置110包括的软件功能模块或计算机程序。所述处理器120在接收到执行指令后,执行所述功能模块或程序,下述本发明任一实施例揭示的流过程定义的服务器所执行的方法可以应用于处理器
120中,或者由处理器120实现。
[0034] 请参阅图2,是本发明较佳实施例提供的智能网络攻击检测方法的流程图。所应说明的是,本发明所述的方法不以图2及以下所示的具体顺序为限制。下面将对图2所示的具体流程及步骤进行详细阐述。
[0035] 步骤S101,将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中。
[0036] 可选地,网络中的数据包均包含某些特征,这些特征是可以进行拆分的,其中,拆分成的最小单元,即称之为基。在本实施例中,所述预设系统为现有的传统网络防护设备包含的传统系统。传统网络防护设备在进行网络攻击检测时,仅能对网络攻击数据包进行拆分及识别,难以对变种的规则的数据包进行提前预警与检测。因而,本实施例中,需要在模仿学习传统系统的基础上建立具有自学习、自适应能力的学习系统。传统系统与学习系统之间具有近似的关系,学习系统的功能近似于传统系统。
[0037] 为了便于描述,在正式阐述学习系统数学模型之前,将传统的正则表达式所描述的恶意连接的数据特征进行数学建模。
[0038] 例如:正则表达式'^abc.*$',这个正则表达式将匹配以abc开头的任意字符串。为了便于描述数学模型,假定该正则表达式只能处理26个小写字母。也就是说该正则表达式中的'.'只是小写字母集合(不含空元素)的一个元素。那么以字符串中元素的序号为x轴,以'.'所表示的集合元素为y轴。上述正则表达式匹配的模式可以用一个分段函数来表达,其中,每个分段函数都是该模式中的一个组成部分。
[0039] 可选地,传统系统在采集网络数据包后,可以对其进行分析及处理,将其表示为一个较为复杂的分段函数的集合。为了使建立的学习系统能够学习模仿传统系统,将传统系统中表征特征集的分段函数导入到学习系统的数学模型中。
[0040] 步骤S103,通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集。
[0041] 可选地,稀疏表达的目的就是在给定的超完备的数据集中用尽可能少的原子来表示数据,可以获得数据更为简洁的表示方式,从而更容易地获取数据中蕴含的信息。
[0042] 在本实施例中,采用稀疏算法获取到传统系统中特征集的基。所述基即是可以组成整个特征集的不可分割的最小单元。根据获取到的基组成并得到一个形式更为简洁的网络防护特征集。
[0043] 步骤S105,构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包。
[0044] 在传统的神经网模型中,是从输入层到隐含层再到输出层,层与层之间是全连接的,每层之间的节点是无连接的。这种普通的神经网络对于很多问题却无法解决。例如,要预测句子的下一个单词是什么,一般需要用到前面的单词,因为一个句子前后单词之间并不是独立的。在循环神经网络中,一个序列当前的输出与前面的输出也相关。具体的表现形式为网络会对前面的信息进行记忆并应用于当前输出的计算中,即隐含层的输入不仅包含输入层的输出还包含上一时刻隐含层的输出。
[0045] 具体地,请参阅图3,步骤S105可以包括步骤S1051、步骤S1053、步骤S1055以及步骤S1057四个子步骤。
[0046] 步骤S1051,构建循环神经网络,从所述网络防护特征集中获取规则集中的基函数。
[0047] 在所述网络防护特征集中,同类数据的相似度较大,而不同类的数据则相似度较小。采用机器学习方法,将相似度较大的基函数进行聚类,以获取到规则集中的基函数。
[0048] 步骤S1053,将获取的所述基函数导入到所述循环神经网络中。
[0049] 步骤S1055,根据所述循环神经网络的自学习能力,利用通过所述循环神经网络的数据流以使所述循环神经网络生成针对网络中各种类的数据的变种规则。
[0050] 可选地,可采用大量的实验数据流过循环神经网络,使得该循环神经网络能够产生足够的针对网络中大量数据流的适应性。循环神经网络根据自身的自学习能力通过扩展及推理等生成网络攻击数据包的变种规则。例如,现有的一种已知的网络攻击是通过替换数据包中的某一个字段,如,将某个字段替换为a或b或c,这种替换方式为已经知道的有害的替换方式。循环神经网络通过自身的学习能力,以发现是否有攻击的数据包是将某一个字段替换为p或f等这种形式的特征集。若发现了这样的替换形式,则将这类变种的规则进行存储。
[0051] 步骤S1057,根据生成的所述变种规则加固所述循环神经网络以预警变种的新的网络攻击数据包。
[0052] 可选地,能够利用生成的网络攻击数据包的变种规则以更新循环神经网络系统,使得循环神经网络能够预警一些可能出现的变种的新的网络攻击数据包。
[0053] 步骤S107,构建卷积神经网络,以判定待检测数据包是否为有害数据。
[0054] 具体地,请参阅图4,步骤S107可以包括步骤S1071、步骤S1073以及步骤S1075三个子步骤。
[0055] 步骤S1071,构建卷积神经网络,按照所述基函数的分布将待检测数据包进行分类标记,属于同一类的所述待检测数据包构建成一个集合。
[0056] 可选地,在本实施例中,将每个待检测数据包按照基函数的分布进行标记,例如,将包含有某一特定基的数据包标记为1,不包含的则标记为0。则相关联的待检测数据包可以构成一个集合,例如一个矩阵。
[0057] 步骤S1073,将构建的所述集合进行裁剪或扩展,形成预设大小的包含所述待检测数据包的新集合。
[0058] 可选地,在实际工作过程中,卷积神经网络对于待处理的数据的格式大小是有一定要求的。因此,在进行数据包检测之前,需要对数据包形成的矩阵的格式及大小进行转换。在具体实施时,例如,卷积神经网络可处理的矩阵为n*n的矩阵。当待检测数据包所构成的矩阵大于n*n时,则需要对该矩阵进行裁剪,以形成标准的n*n的卷积神经网络能够处理的矩阵。当待检测数据包所构成的矩阵小于n*n时,则需要对该矩阵进行扩展以形成标准的n*n的卷积神经网络能够处理的矩阵。可选地,在实际应用中,对于卷积神经网络可处理的矩阵大小可进行动态调控,其具体数值在本实施例中不作具体限制。
[0059] 步骤S1075,判断所述新集合中所述待检测数据包是否为有害数据,若为有害数据,则对所述待检测数据包进行标记并存储。
[0060] 根据上述生成的针对新的网络攻击数据包的变种规则,对经过数据转换后的待检测数据包进行检测。若待检测的数据包的特征规则在生成的变种规则范围内,则判定该待检测数据包为有害数据。并且,对该待检测数据包进行标记并存储,以便后续处理。
[0061] 步骤S109,根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。
[0062] 具体地,请参阅图5,步骤S109可以包括步骤S1091、步骤S1093以及步骤S1095三个子步骤。
[0063] 步骤S1091,在网络接口上建立旁路,以使所述学习系统和所述预设系统的输入数据一致。
[0064] 通过上述过程得到学习系统模型后,需要将传统系统与学习系统模型建立关联。可选地,需要在网络接口上建立旁路使得传统系统与学习系统的输入数据保持一致。并且,使得学习系统能够获知到传统系统对待检测数据包的检测判断结果。
[0065] 步骤S1093,将所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果进行对比。
[0066] 步骤S1095,在所述学习系统的判断结果和所述预设系统的判断结果不一致时,调整所述基函数的组合和数量以进化所述学习系统的数学模型。
[0067] 可选地,本实施例中,所述学习系统是在模仿学习传统系统的基础上建立而成。在传统系统与学习系统对待检测数据包的判断结果不一致时,需要对学习系统的基函数进行检查,以确认建立的基函数是否出现纰漏,并调整特征集中基函数的组合和数量,以此来进一步进化学习系统的数学模型。
[0068] 步骤S111,利用所述学习系统检测真实网络环境中的未知数据包,在存在判定为有害数据的待检测数据包时,进行报警提示。
[0069] 可选地,在对建立的学习系统进行模拟检测之后,可以将该学习系统应用在真实的网络环境中以检测真实网络环境中的网络攻击。若该网络环境中存在判定为有害数据的待检测数据时,则进行报警提示。
[0070] 需要说明的是,在本步骤中,学习系统对待检测数据包的判定在实际应用中不能作为判定为网络攻击的绝对依据。因为网络系统在运行时,存在于复杂的环境中,由很多因素来决定,单纯的某个因素难以确定网络数据包是否为有害数据,需要通过多个数据包及整个网络的状态来对其进行判断。在检测装置完全确定待检测数据包为有害时,则无需人为干预即可直接进行判断。在检测装置只是以较高概率判定待检测数据包为有害而无法完全确定时,则需人为干预来辅助进行网络攻击判断。
[0071] 请参阅图6,为本发明较佳实施例提供的智能网络攻击检测装置110的功能模块框图。所述智能网络攻击检测装置110包括转化模块111、获取模块112、扩展模块113、判断模块114、调整模块115以及报警模块116。下面将对图6所示的具体功能模块进行详细描述。
[0072] 所述转化模块111用于将预设系统的特征集转化为函数并导入到建立的学习系统的数学模型中。具体地,该转化模块111可用于执行图2中所示的步骤S101,具体的操作方法可参考步骤S101的详细描述。
[0073] 所述获取模块112用于通过稀疏算法获得所述特征集的基,并根据所述基得到网络防护特征集。具体地,该获取模块112可用于执行图2中所示的步骤S103,具体的操作方法可参考步骤S103的详细描述。
[0074] 所述扩展模块113用于构建循环神经网络,对所述网络防护特征集中的基函数进行扩展和推理,以预警变种的新的网络攻击数据包。具体地,该扩展模块113可用于执行图2中所示的步骤S105,具体的操作方法可参考步骤S105的详细描述。
[0075] 所述判断模块114用于构建卷积神经网络,以判定待检测数据包是否为有害数据。具体地,该判断模块114可用于执行图2中所示的步骤S107,具体的操作方法可参考步骤S107的详细描述。
[0076] 所述调整模块115用于根据所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果对所述基函数的组合和数量进行调整以进化所述学习系统的数学模型。具体地,该调整模块115可用于执行图2中所示的步骤S109,具体的操作方法可参考步骤S109的详细描述。
[0077] 所述报警模块116用于利用所述学习系统检测真实网络环境中的未知数据包,在存在判定为有害数据的待检测数据包时,进行报警提示。具体地,该报警模块116可用于执行图2中所示的步骤S111,具体的操作方法可参考步骤S111的详细描述。
[0078] 具体地,请参阅图7,所述扩展模块113包括获取子模块1131、导入子模块1132、规则生成子模块1133以及加固子模块1134。
[0079] 所述获取子模块1131用于构建循环神经网络,从所述网络防护特征集中获取规则集中的基函数。具体地,该获取子模块1131可用于执行图3中所示的步骤S1051,具体的操作方法可参考步骤S1051的详细描述。
[0080] 所述导入子模块1132用于将获取的所述基函数导入到所述循环神经网络中。具体地,该导入子模块1132可用于执行图3中所示的步骤S1053,具体的操作方法可参考步骤S1053的详细描述。
[0081] 所述规则生成子模块1133用于根据所述循环神经网络的自学习能力,利用通过所述循环神经网络的数据流以使所述循环神经网络生成针对网络中各种类的数据的变种规则。具体地,该规则生成子模块1133可用于执行图3中所示的步骤S1055,具体的操作方法可参考步骤S1055的详细描述。
[0082] 所述加固子模块1134用于根据生成的所述变种规则加固所述循环神经网络以预警变种的新的网络攻击数据包。具体地,该加固子模块1134可用于执行图3中所示的步骤S1057,具体的操作方法可参考步骤S1057的详细描述。
[0083] 具体地,请参阅图8,所述判断模块114包括分类子模块1141、处理子模块1142以及标记子模块1143。
[0084] 所述分类子模块1141用于构建卷积神经网络,按照所述基函数的分布将待检测数据包进行分类标记,属于同一类的所述待检测数据包构建成一个集合。具体地,该分类子模块1141可用于执行图4中所示的步骤S1071,具体的操作方法可参考步骤S1071的详细描述。
[0085] 所述处理子模块1142用于将构建的所述集合进行裁剪或扩展,形成预设大小的包含所述待检测数据包的新集合。具体地,该处理子模块1142可用于执行图4中所示的步骤S1073,具体的操作方法可参考步骤S1073的详细描述。
[0086] 所述标记子模块1143用于判断所述新集合中所述待检测数据包是否为有害数据,若为有害数据,则对所述待检测数据包进行标记并存储。具体地,该标记子模块1143可用于执行图4中所示的步骤S1075,具体的操作方法可参考步骤S1075的详细描述。
[0087] 具体地,请参阅图9,所述调整模块115包括建立子模块1151、对比子模块1152以及调整子模块1153。
[0088] 所述建立子模块1151用于在网络接口上建立旁路,以使所述学习系统和所述预设系统的输入数据一致。具体地,该建立子模块1151可用于执行图5中所示的步骤S1091,具体的操作方法可参考步骤S1091的详细描述。
[0089] 所述对比子模块1152用于将所述预设系统对所述待检测数据包的判断结果和所述学习系统对所述待检测数据包的判断结果进行对比。具体地,该对比子模块1152可用于执行图5中所示的步骤S1093,具体的操作方法可参考步骤S1093的详细描述。
[0090] 所述调整子模块1153用于在所述学习系统的判断结果和所述预设系统的判断结果不一致时,调整所述基函数的组合和数量以进化所述学习系统的数学模型。具体地,该调整子模块1153可用于执行图5中所示的步骤S1095,具体的操作方法可参考步骤S1095的详细描述。
[0091] 综上所述,本发明提供的智能网络攻击检测方法及装置,一方面通过对传统系统的学习和模仿以实现对现有的网络攻击规则的掌握,并通过循环神经网络的自学习、自适应能力,以预警变种的新的网络攻击数据包。另一方面,通过卷积神经网络,来实现对网络攻击有害数据的有效检测。该网络攻击检测方式,具备自动化扩展和智能性。
[0092] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
[0093] 另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
[0094] 所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
[0095] 需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0096] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。