一种具备主动防御功能的网站安全防御系统和方法转让专利
申请号 : CN202110651977.X
文献号 : CN113392403B
文献日 : 2022-06-07
发明人 : 尹徐广
申请人 : 连云港微部落网络技术有限公司
摘要 :
本发明提出一种具备主动防御功能的网站安全防御系统和方法。所述系统包括输入端、处理端、输出端以及反馈端;输入端包括N个并行数据接收通道与反馈数据输入通道;处理端包括多个数据编码通道,用于对数据接收通道接收的网络输入数据执行数据编码,生成编码通道数据;处理端的多个编码预测模型将所述编码通道数据作为所述编码预测模型的输入,编码预测模型输出多个安全预测结果,发送至输出端;输出端按照预设条件对多个安全预测结果执行筛选,将筛选出的至少一个安全预测结果发送至所述反馈端;当筛选出的安全预测结果满足预设条件时,处理端更新编码预测模型。本发明的技术方案能够高效的实现网站的主动防御,同时实现动态反馈更新。
权利要求 :
1.一种具备主动防御功能的网站安全防御系统,所述系统包括输入端、处理端、输出端以及反馈端,其特征在于:
所述反馈端连接所述输入端与所述输出端;
所述输入端包括N个并行数据接收通道与至少一个反馈数据输入通道,所述并行数据接收通道用于并行的接收网络输入数据;所述反馈数据输入通道连接所述反馈端,用于接收所述反馈端发送至的输出反馈数据;
所述处理端包括多个数据编码通道,每个数据编码通道连接至少一个所述数据接收通道,用于对所述数据接收通道接收的网络输入数据执行数据编码,生成编码通道数据;
所述处理端还包括多个编码预测模型,将所述编码通道数据作为所述编码预测模型的输入,所述编码预测模型输出多个安全预测结果,发送至所述输出端;
所述输出端按照预设条件对所述多个安全预测结果执行筛选,将筛选出的至少一个安全预测结果发送至所述反馈端;
当所述筛选出的安全预测结果满足预设条件时,所述处理端更新所述编码预测模型。
2.如权利要求1所述的一种具备主动防御功能的网站安全防御系统,其特征在于:所述系统还包括更新判断组件;
所述更新判断组件连接所述输出端与所述处理端,用于接收所述输出端对于所述多个安全预测结果的筛选结果;
所述更新判断组件判断所述筛选结果是否满足预设条件;
如果是,则生成模型更新参数发送至所述处理端,所述处理端基于所述模型更新参数更新至少一个编码预测模型。
3.如权利要求2所述的一种具备主动防御功能的网站安全防御系统,其特征在于:所述筛选结果满足预设条件,具体包括如下之一或者其组合:(1)超过第一比例的安全预测结果为高风险;
(2)超过第二数量的安全预测结果为高风险;
(3)存在第三数量的安全预测结果与整体安全预测结果的偏离度大于预设阈值;
(4)某个编码预测模型输出的安全预测结果持续为高风险的次数超过预定次数。
4.如权利要求2所述的一种具备主动防御功能的网站安全防御系统,其特征在于:当所述更新判断组件的判断结果为是时,所述处理端更新目标编码预测模型,并关闭所述目标编码预测模型的编码输入通道;
所述目标编码模型是与所述判断结果对应的至少一个编码预测模型。
5.如权利要求4所述的一种具备主动防御功能的网站安全防御系统,其特征在于:当所述更新判断组件的所述判断结果为是时,基于所述目标编码模型确定对应的编码输入通道,确定对应的数据编码通道以及数据接收通道;
依次关闭所述数据接收通道、数据编码通道、编码输入通道后,更新所述目标编码预测模型。
6.如权利要求1所述的一种具备主动防御功能的网站安全防御系统,其特征在于:每个所述数据编码通道采用不同的编码模式对所述网络输入数据执行数据编码;
每个所述编码预测模型对应不同编码模式生成的编码通道数据。
7.一种具备主动防御功能的网站安全防御方法,其特征在于,所述方法包括如下步骤:S701:开启输入端的n个并行数据通道In1,In2,…,Inn;
S702:开启处理端的m个数据编码通道C1,C2,…,Cm;
S703:将数据通道Ini接收的数据datai作为数据编码通道Cj的输入,所述数据编码通道Cj生成对应的编码通道数据CIni;i=1,2,…,n;j=1,2,…,m;
S704:将编码通道数据CIni作为编码预测模型Mk的输入,所述编码预测模型Mk输出对应的安全预测结果SIni;
S705:判断所有编码预测模型输出的多个安全预测结果是否满足预定条件;
如果是,则生成调整信号,进入步骤S706;
如果否,则返回步骤S703;
S706:基于所述调整信号,执行调整操作后,返回步骤S703;
其中,n>m>K>1,k=1,2,…,K;K为编码预测模型的数量。
8.如权利要求7所述的一种具备主动防御功能的网站安全防御方法,其特征在于:在所述步骤S703中,从已经开启的n个并行数据通道中,随机选择m个并行数据通道,将所述m个并行数据通道接收的数据作为m个数据编码通道的输入,得到m个编码通道数据;
在所述步骤S704中,将所述m个编码通道数据分为K组,作为K个编码预测模型的输入,得到K个安全预测结果。
9.如权利要求7所述的一种具备主动防御功能的网站安全防御方法,其特征在于:所述编码预测模型包括基于深度学习的网络流量异常预测模型、神经网络模型;
所述神经网络模型包括自编码输入模型;所述自编码输入模型包括深度自编码网络以及GRU神经网络。
10.如权利要求8所述的一种具备主动防御功能的网站安全防御方法,其特征在于:所述m个数据编码通道具有不同的编码方式;
在所述步骤S704中,将所述m个编码通道数据按照编码方式分为K组,每组中包含的数据编码通道的编码方式相同。
说明书 :
一种具备主动防御功能的网站安全防御系统和方法
技术领域
[0001] 本发明属于网络安全技术领域,尤其涉及一种具备主动防御功能的网站安全防御系统和方法、实现该方法的计算机程序指令介质。
背景技术
[0002] 开放性是互联网最为突出的特点,其在给用户带来便利的同时,也存在一定的安全隐患。由于网络系统的开放性,使得一些不法分子可以借助网络平台,对用户计算机中的重要信息进行窃取,由此会给用户带来巨大的经济损失。对于Web网站的开发人员而言,他们对网站的搭建、网页的设计都有着非常丰富的经验,但是,在网络安全方面的技能却相对比较薄弱,由此导致网站建成投用会存在诸多的安全隐患问题。同时,部分网站上线之后,并未配备专人进行安全维护,各种漏洞补丁的更新不及时,给恶意攻击提供了渠道。
[0003] 网站安全,是指出于防止网站受到外来电脑入侵者对其网站进行挂马,篡改网页等行为而做出一系列的防御工作。通常来说,维护Web网站安全的措施包括建立安全模型、多种加密方式联用、Web应用防火墙以及安全检测技术等。
[0004] 建立安全模型:在防火墙由于网络交换机之间增设了一条VPN通道,由此使得从防火墙到内部网络的通道增加至两条,随着VPN通道的加入,在内网和外网之间架起了一道屏障,两者被有效隔离。为提高网站的安全性,在设计的过程中,可将另一条通道的安全规则制定的更加苛刻,如禁止从外网直接登录等。通过VPN登录内网服务器后,在登录到交换机上,便可进行远程管理,这相当用户在对内网资源进行访问,Web网站基本不会受到任何来自于外网的威胁,安全性大幅度提升。
[0005] 多种加密方式联用:在Web网站中应有数据加密技术能够使Web数据库的安全得到保障,但在实际使用中发现,由于密码技术不够完善,致使无法有效抵御黑客的攻击手段,从而对Web数据库的安全造成了威胁。为解决这一问题,可将多种加密方式联合到一起使用,如控制访问权限,让不具备权限的用户无法登录网站,并对用户密码进行混合加密,选用先进的加密算法等等。通过一系列的加密,使非法入侵者需要耗费大量的时间进行解密,由此可使Web网站的安全性得到保障。
[0006] Web应用防火墙:这种防火墙技术与普通的计算机网络防火墙有所区别,它集多种功能于一身,如Web防护、网页保护、应用交付以及负载平衡等等,其能够对用户的核心应用起到良好的保护效果,可使相关业务稳定、持续运行。为此,可对Web应用防火墙进行正确部署,在这一前提下,除了能够对Web网站进行IPS漏洞防护之外,还能进行一些常见的病毒防护,如蠕虫、后门、间谍软件以及木马程序等等。同时还可以提供服务器防护功能,如暴力破解防护、Web服务和FTP隐藏、文件上传过滤等等。
[0007] 安全检测技术:为提高Web网站的安全性,可采用有效的安全检测技术,借助相应的技术受手段,对网站进行全面的漏洞扫描,检测网页当中是否存在不安全隐患,如非法篡改、挂马、欺诈网站等。当检测到网站中存在安全隐患时,系统会自动进行修复和加固,从而提高网站的安全性。为使检测更加全面、具体,可以采用多种检测技术,并通过当前流行的攻击手段测试检测技术的有效性和安全性。此外,可请专业的网络安全机构,对网站的安全性进行检测,若是存在安全问题,可根据提示加以解决处理,由此可使Web网站安全得到保障。
[0008] 中国发明专利公开文本CN110011977A提出一种网站安全防御方法,包括以下步骤:获取各区域对应的预设时间段内对网站访问请求数量;与设定的标准区域内网站访问请求阈值进行对比,确定网站访问请求的超值率;提取超值率大于设定标准超值率的区域内登录该网站对应的IP地址;获取网站IP地址的访问阈值;判断超值率大于设定标准超值率的区域内各IP地址的实时访问次数是否大于该网站IP地址的访问阈值;对IP地址的实际访问次数大于该网站IP地址的访问阈值的IP地址进行限流处理,反之,统计该预测时间段内IP地址的访问时间和访问数量并进行记录存储。该发明对IP地址的访问次数进行限流,降低访问阈值,进而降低IP地址的访问次数,避免网站被攻破,提高了网站的防御能力。
[0009] 然而,发明人发现,现有技术提及的各种网站防御措施都是被动的并且是静态的模型,不能实现主动的安全防御,更无法实现动态的反馈闭环;此外,随着网站的访问量增大,现有技术的安全防御方法也存在数据处理压力大容易造成数据堵塞的问题。
发明内容
[0010] 为解决上述技术问题,本发明提出一种具备主动防御功能的网站安全防御系统和方法、实现该方法的计算机程序指令介质。
[0011] 在本发明的第一个方面,提出一种具备主动防御功能的网站安全防御系统,所述系统包括输入端、处理端、输出端以及反馈端和更新判断组件;
[0012] 在具体结构上,输入端连接处理端,处理端连接至输出端;所述反馈端连接所述输入端与所述输出端;所述更新判断组件连接所述输出端与所述处理端。
[0013] 在具体功能上,所述输入端包括N个并行数据接收通道与至少一个反馈数据输入通道,所述并行数据接收通道用于并行的接收网络输入数据;所述反馈数据输入通道连接所述反馈端,用于接收所述反馈端发送至的输出反馈数据。
[0014] 所述处理端包括多个数据编码通道,每个数据编码通道连接至少一个所述数据接收通道,用于对所述数据接收通道接收的网络输入数据执行数据编码,生成编码通道数据;
[0015] 所述处理端还包括多个编码预测模型,将所述编码通道数据作为所述编码预测模型的输入,所述编码预测模型输出多个安全预测结果,发送至所述输出端;
[0016] 所述输出端按照预设条件对所述多个安全预测结果执行筛选,将筛选出的至少一个安全预测结果发送至所述反馈端;
[0017] 当所述筛选出的安全预测结果满足预设条件时,所述处理端更新所述编码预测模型。
[0018] 所述更新判断组件用于接收所述输出端对于所述多个安全预测结果的筛选结果;
[0019] 所述更新判断组件判断所述筛选结果是否满足预设条件;
[0020] 如果是,则生成模型更新参数发送至所述处理端,所述处理端基于所述模型更新参数更新至少一个编码预测模型。
[0021] 当所述更新判断组件的所述判断结果为是时,所述处理端更新目标编码预测模型,并关闭所述目标编码预测模型的编码输入通道。
[0022] 在本发明的第二个方面,提供一种具备主动防御功能的网站安全防御方法。所述方法基于第一个方面的所述系统实现。
[0023] 具体而言,所述方法包括如下步骤:
[0024] S701:开启输入端的n个并行数据通道In1,In2,…,Inn;
[0025] S702:开启处理端的m个数据编码通道C1,C2,…,Cm;
[0026] S703:将数据通道lni接收的数据datai作为数据编码通道j的输入,所述数据编码通道Cj生成对应的编码通道数据Clni;
[0027] S704:将编码通道数据Clni作为编码预测模型Mk的输入,所述编码预测模型Mk输出对应的安全预测结果Slni;
[0028] S705:判断所有编码预测模型输出的多个安全预测结果是否满足预定条件;
[0029] 如果是,则生成调整信号,进入步骤S706;
[0030] 如果否,则返回步骤S703;
[0031] S706:基于所述调整信号,执行调整操作后,返回步骤S703;
[0032] 其中,所述n>m>K>1,所述i=1,2,…,n;j=1,2,…,m;k=1,2,…,K;K为编码预测模型的数量。
[0033] 在具体实现上,所述编码预测模型包括基于深度学习的网络流量异常预测模型、神经网络模型;
[0034] 所述神经网络模型包括自编码输入模型;所述自编码输入模型包括深度自编码网络以及GRU神经网络。
[0035] 第二个方面的所述方法可以通过包含处理器和存储器的终端设备,尤其是图像处理终端设备,包括移动终端、桌面终端、服务器以及服务器集群等,通过程序指令自动化的执行,因此,在本发明的第三个方面,还提供一种计算机可读存储介质,其上存储有计算机程序指令;通过包含处理器和存储器的图像终端处理设备,执行所述程序指令,用于实现所述方法的全部或者部分步骤。所述处理器和存储器通过总线连接,构成终端设备的内部通信。
[0036] 本发明的技术方案,通过从将多个并行数据接收通道获取的网络输入数据按照不同的编码模式执行编码后,作为网络安全相关的编码预测模型的输入,基于编码预测模型的输出结果,确定可能存在风险的数据接收通道后,依次关闭所述数据接收通道、数据编码通道、编码输入通道后,更新所述目标编码预测模型,从而动态的进入下一个安全判断和识别过程,完成了整个安全态势监测的主动防御和闭环的全流程反馈。
[0037] 本发明的进一步优点将结合说明书附图在具体实施例部分进一步详细体现。
附图说明
[0038] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039] 图1是本发明一个实施例的一种具备主动防御功能的网站安全防御系统的主体结构示意图
[0040] 图2是图1所述系统的进一步优选实施例
[0041] 图3是基于图1所述系统实现的一种具备主动防御功能的网站安全防御方法的主体流程图
[0042] 图4是图3所述方法的部分步骤的具体实施原理图
[0043] 图5是实现图3或者图4所述方法的计算机程序指令介质及其终端设备的示意图具体实施方式
[0044] 下面,结合附图以及具体实施方式,对发明做出进一步的描述。
[0045] 参照图1,是本发明一个实施例的一种具备主动防御功能的网站安全防御系统的主体结构示意图。
[0046] 在图1中,所述系统包括输入端、处理端、输出端以及反馈端和更新判断组件;
[0047] 在具体连接上,参见图1可知,该系统中的输入端连接处理端,处理端连接至输出端;所述反馈端连接所述输入端与所述输出端;所述更新判断组件连接所述输出端与所述处理端。
[0048] 在功能上,所述处理端将输出多个安全预测结果,发送至所述输出端;
[0049] 所述输出端按照预设条件对所述多个安全预测结果执行筛选,将筛选出的至少一个安全预测结果发送至所述反馈端;
[0050] 所述更新判断组件接收所述输出端对于所述多个安全预测结果的筛选结果;
[0051] 所述更新判断组件判断所述筛选结果是否满足预设条件;
[0052] 如果是,则生成模型更新参数发送至所述处理端,所述处理端基于所述模型更新参数更新至少一个编码预测模型。
[0053] 更具体的实施例可参见图2。
[0054] 在图2中,所述输入端包括N个并行数据接收通道与至少一个反馈数据输入通道;
[0055] 为便于描述,在本实施例中,输入端包括n个并行数据通道In1,In2,…,Inn,以及一个反馈数据输入通道F1;
[0056] 所述并行数据接收通道用于并行的接收网络输入数据;所述反馈数据输入通道连接所述反馈端,用于接收所述反馈端发送至的输出反馈数据;
[0057] 所述处理端分为两部分,第一部分是数据编码通道,第二部分是编码预测模型组;
[0058] 处理端包括的m个数据编码通道记为C1,C2,…,Cm;
[0059] 每个数据编码通道连接至少一个所述数据接收通道,用于对所述数据接收通道接收的网络输入数据执行数据编码,生成编码通道数据;
[0060] 作为优选,为了更高效的执行数据编码,并且避免数据堵塞以及数据编码压力过大,在本实施例中,从已经开启的n个并行数据通道中,随机选择m个并行数据通道,将所述m个并行数据通道接收的数据作为m个数据编码通道的输入,得到m个编码通道数据。
[0061] 显然,对于一般性的网络输入数据而言,大部分时间的输入数据都是安全的;潜在的不安全输入通常表现为短时的大规模攻击输入;或者短时的高频词流量攻击;
[0062] 因此,在本发明中,不是对所有的并行数据接收通道的数据均进行后续处理,而是根据已有的数据编码通道资源进行随机选择;此种处理方式,更适合后续的模型输入以及减轻数据编码压力,是本发明的第一个改进之一;
[0063] 在图2中,编码预测模型组包括多个编码预测模型;
[0064] 接下来,所述多个编码预测模型,将所述编码通道数据作为所述编码预测模型的输入,所述编码预测模型输出多个安全预测结果,发送至所述输出端;
[0065] 处理端包括的编码预测模型为K个,记为编码预测模型M1,M2,…,Mk;
[0066] 作为第二个改进,在本实施例中,将所述m个编码通道数据分为K组,作为K个编码预测模型的输入,得到K个安全预测结果;
[0067] 进一步的,分组可以分为两种方式:
[0068] (1)当编码预测模型支持混合编码输入模式时,可以将所述m个编码通道数据随机分为K组;
[0069] (2)当编码预测模型不支持混合编码输入模式时,将所述m个编码通道数据按照编码方式分为K组,每组中包含的编码通道数据的编码方式相同。
[0070] 这是因为,在本发明的技术方案中,每个所述数据编码通道采用不同的编码模式对所述网络输入数据执行数据编码;每个所述编码预测模型对应不同编码模式生成的编码通道数据。
[0071] 需要指出的是,多个数据编码通道具有不同的编码模式,但是也存在两个数据编码通道的编码相同的情况。
[0072] 这里的支持混合编码输入模式,是指所述编码预测模型支持通过至少两种不同的编码方式生成的编码通道数据作为模型输入;
[0073] 反之,如果编码预测模型仅支持一种特定的编码方式生成的编码通道数据作为模型输入,则需要将通过该该特定编码方式得到的编码通道数据分为一组,作为所述编码预测模型的输入。
[0074] 优选的,所述编码预测模型包括基于深度学习的网络流量异常预测模型、神经网络模型;所述神经网络模型包括自编码输入模型;所述自编码输入模型包括深度自编码网络以及GRU神经网络。
[0075] 当然,本发明对此不作具体限制,任何关于网络安全的编码预测模型都可以作为本发明上述实施例的编码预测模型。本发明的改进也不在于编码预测模型本身,而是将其区分为支持混合编码输入模式和不支持混合编码输入模式之后进行分组。
[0076] 现有技术对编码输入模式下的关于网络安全的编码预测模型有诸多介绍,本发明对此不作具体展开,具体可参见如下部分现有技术以及其对应的引用文献:
[0077] [1]石乐义,刘佳,刘祎豪,朱红强,段鹏飞.网络安全态势感知研究综述[J].计算机工程与应用,2019,55(24):1‑9.
[0078] [2]黎佳玥,赵波,李想,刘会,刘一凡,邹建文.基于深度学习的网络流量异常预测方法[J].计算机工程与应用,2020,56(06):39‑50.
[0079] [3]谢丽霞,王志华.基于布谷鸟搜索优化BP神经网络的网络安全态势评估方法[J].计算机应用,2017,37(07):1926‑1930.
[0080] [4]李世暄.基于改进LSTM神经网络的网络安全态势感知研究[D].河北师范大学,2020.
[0081] [5]朱江,明月,王森.基于深度自编码网络的安全态势要素获取机制[J].计算机应用,2017,37(03):771‑776.
[0082] [6]何春蓉,朱江.基于注意力机制的GRU神经网络安全态势预测方法[J].系统工程与电子技术,2021,43(01):258‑266.
[0083] [7]黄亮亮.网络安全态势评估与预测方法的研究[D].兰州大学,2016.
[0084] 进一步的,所述输出端按照预设条件对所述多个安全预测结果执行筛选,将筛选出的至少一个安全预测结果发送至所述反馈端;
[0085] 当所述筛选出的安全预测结果满足预设条件时,所述处理端更新所述编码预测模型。
[0086] 其中,所述更新判断组件于接收所述输出端对于所述多个安全预测结果的筛选结果;所述更新判断组件判断所述筛选结果是否满足预设条件;
[0087] 如果是,则生成模型更新参数发送至所述处理端,所述处理端基于所述模型更新参数更新至少一个编码预测模型。
[0088] 作为进一步的优选,所述筛选结果满足预设条件,具体包括如下之一或者其组合:
[0089] (1)超过第一比例的安全预测结果为高风险;
[0090] (2)超过第二数量的安全预测结果为高风险;
[0091] (3)存在第三数量的安全预测结果与整体安全预测结果的偏离度大于预设阈值;
[0092] (4)某个编码预测模型输出的安全预测结果持续为高风险的次数超过预定次数。
[0093] 需要注意的是,不同的编码预测模型输出的安全预测结果的表征形式可能不同,按照使用者的要求或者设定,可以采用定性或者定量化的表征;定性的结果包括无风险、低风险、中风险、高风险、报警级别等定性描述;定量的结果可以是百分制、十分制等数量级别;
[0094] 可以理解的是,通过设置不同的阈值或者级别分类,上述两种方式可以相互转换,因此,本发明的上述预设条件充分考虑了定性和定量的两种结果输出方式,具备完备性。
[0095] 更具体的,当所述更新判断组件的所述判断结果为是时,所述处理端更新目标编码预测模型,并关闭所述目标编码预测模型的编码输入通道;所述目标编码模型是与所述判断结果对应的至少一个编码预测模型。
[0096] 在具体实现中,当所述更新判断组件的所述判断结果为是时,基于所述目标编码模型确定对应的编码输入通道,确定对应的数据编码通道以及数据接收通道;
[0097] 依次关闭所述数据接收通道、数据编码通道、编码输入通道后,更新所述目标编码预测模型。
[0098] 这里的对应,是指关闭部分的通道,而不是全部,被关闭的部分通道的收网络输入数据转化为编码通道数据后,作为所述编码预测模型的输入后输出的安全预测结果在所述满足预设条件的安全预测结果之中。
[0099] 接下来,图3和图4展示了基于图1或图2所述系统实现的一种具备主动防御功能的网站安全防御方法。
[0100] 在图3中,所述方法包括动态循环迭代并更新执行的步骤S701‑S706,各个步骤具体实现如下:
[0101] S701:开启输入端的n个并行数据通道In1,In2,…,Inn;
[0102] S702:开启处理端的m个数据编码通道C1,C2,…,Cm;
[0103] S703:将数据通道lni接收的数据datai作为数据编码通道j的输入,所述数据编码通道Cj生成对应的编码通道数据Clni;
[0104] S704:将编码通道数据Clni作为编码预测模型Mk的输入,所述编码预测模型Mk输出对应的安全预测结果Slni;
[0105] S705:判断所有编码预测模型输出的多个安全预测结果是否满足预定条件;
[0106] 如果是,则生成调整信号,进入步骤S706;
[0107] 如果否,则返回步骤S703;
[0108] S706:基于所述调整信号,执行调整操作后,返回步骤S703;
[0109] 其中,所述n>m>K>1,所述i=1,2,…,n;j=1,2,…,m;k=1,2,…,K;K为编码预测模型的数量。
[0110] 需要指出的是,在上述步骤中,步骤S703和步骤S704的相关操作均涉及多个通道的数据选择或者操作,而不是仅针对一个通道或者一个数据;
[0111] 例如,步骤S703将数据通道lni接收的数据datai作为数据编码通道j的输入,这里的datai应当理解为n个并行数据通道In1,In2,…,Inn中的多个数据,即i可以取多个值;对“生成对应的编码通道数据Clni”、“将编码通道数据Clni作为编码预测模型Mk的输入”也是如此,涉及多个编码通道数据、多个编码预测模型Mk。
[0112] 上述构思可进一步参见图4的示意性流程。
[0113] 概括来说,在所述步骤S703中,从已经开启的n个并行数据通道中,随机选择m个并行数据通道,将所述m个并行数据通道接收的数据作为m个数据编码通道的输入,得到m个编码通道数据;
[0114] 在所述步骤S804中,将所述m个编码通道数据分为K组,作为K个编码预测模型的输入,得到K个安全预测结果。
[0115] 以图4为例,假设输入端存在5个并行数据通道(通道1‑5);处理端选择其中4个并行数据通道(假设为通道1‑2、4‑5)作为4个数据编码通道的输入,得到4个编码通道数据(设为编码数据1‑4);
[0116] 接下来,将4个编码通道数据分为两组,即编码数据1、3分为一组,编码数据2、4分为一组;
[0117] 两组编码通道数据作为两个编码预测模型A和编码预测模型B的输入后,输出两个安全预测结果。
[0118] 需要强调的是,图4的流程图仅仅是示意性的,上述例子中设定的数字(5个并行数据通道、4个编码通道数据、2个分组以及2个编码预测模型)均仅仅是便于理解,实际的技术方案的相关数字应该远大于上述描述数字。
[0119] 例如,上述实施例中的编码预测模型可以远大于5个,更具体的,所述编码预测模型包括基于深度学习的网络流量异常预测模型、神经网络模型;所述神经网络模型包括自编码输入模型;所述自编码输入模型包括深度自编码网络以及GRU神经网络。
[0120] 而在上述方法中,所述分组也可以分为多组。
[0121] 进一步的,分组可以分为两种方式:
[0122] (1)当编码预测模型支持混合编码输入模式时,可以将所述m个编码通道数据随机分为K组;
[0123] (2)当编码预测模型不支持混合编码输入模式时,将所述m个编码通道数据按照编码方式分为K组,每组中包含的编码通道数据的编码方式相同。
[0124] 这是因为,在本发明的技术方案中,每个所述数据编码通道采用不同的编码模式对所述网络输入数据执行数据编码;每个所述编码预测模型对应不同编码模式生成的编码通道数据。
[0125] 需要指出的是,多个数据编码通道具有不同的编码模式,但是也存在两个数据编码通道的编码相同的情况。
[0126] 这里的支持混合编码输入模式,是指所述编码预测模型支持通过至少两种不同的编码方式生成的编码通道数据作为模型输入;
[0127] 反之,如果编码预测模型仅支持一种特定的编码方式生成的编码通道数据作为模型输入,则需要将通过该该特定编码方式得到的编码通道数据分为一组,作为所述编码预测模型的输入。
[0128] 优选的,所述编码预测模型包括基于深度学习的网络流量异常预测模型、神经网络模型;所述神经网络模型包括自编码输入模型;所述自编码输入模型包括深度自编码网络以及GRU神经网络。
[0129] 当然,本发明对此不作具体限制,任何关于网络安全的编码预测模型都可以作为本发明上述实施例的编码预测模型。本发明的改进也不在于编码预测模型本身,而是将其区分为支持混合编码输入模式和不支持混合编码输入模式之后进行分组。
[0130] 因此,作为优选,所述m个数据编码通道具有不同的编码方式;在所述步骤S804中,将所述m个编码通道数据按照编码方式分为K组,每组中包含的编码通道数据的编码方式相同。
[0131] 进一步的,所述步骤S705:判断所有编码预测模型输出的多个安全预测结果是否满足预定条件;如果是,则生成调整信号,进入步骤S706;如果否,则返回步骤S703;
[0132] 具体可以是判断如下条件之一或者其组合是否满足:
[0133] (1)超过第一比例的安全预测结果为高风险;
[0134] (2)超过第二数量的安全预测结果为高风险;
[0135] (3)存在第三数量的安全预测结果与整体安全预测结果的偏离度大于预设阈值;
[0136] (4)某个编码预测模型输出的安全预测结果持续为高风险的次数超过预定次数。
[0137] 与此相对应的,所述生成调整信号,执行调整操作,是指基于所述目标编码模型确定对应的编码输入通道,确定对应的数据编码通道以及数据接收通道;
[0138] 依次关闭所述数据接收通道、数据编码通道、编码输入通道后,更新所述目标编码预测模型。
[0139] 这里的对应,是指关闭部分的通道,而不是全部,被关闭的部分通道的收网络输入数据转化为编码通道数据后,作为所述编码预测模型的输入后输出的安全预测结果在所述满足预设条件的安全预测结果之中。
[0140] 作为示意性的例子,以图4为例,假设图中编码预测模型A的安全预测结果满足预设条件,由于编码预测模型A的输入来自分组(1/3),进一步来自编码通道数据1/2,由此追溯到数据编码通道1/3以及输入端的并行数据通道1/4;
[0141] 因此,依次关闭所述数据接收通道1/4、数据编码通道1/3、编码输入通道(对应不同的目标编码预测模型)A后,更新所述目标编码预测模型A。
[0142] 这里的更新编码预测模型,可以是将预测结果作为输入验证集,进一步训练所述目标编码预测模型;
[0143] 同时,还可以将本次的安全预测结果作为反馈端输入,反馈到输入端,进一步验证所述系统的安全性和稳定性,从而达到全流程的动态闭环的主动防御。
[0144] 当然,虽然未示出,但是本发明的实施例可以进一步包括:如果在预设时间段之后,所述编码预测模型输出的多个安全预测结果均不满足预设条件,则重新初始化操作,所述初始化操作包括打开所有所述n个并行数据通道以及所有所述m个数据编码通道C1,C2,…,Cm,即返回执行步骤S701‑S702,从而恢复正常的安全防御检测状态。
[0145] 图3或图4所述方法可以通过包含处理器和存储器的终端设备,尤其是图像处理终端设备,包括移动终端、桌面终端、服务器以及服务器集群等,通过程序指令自动化的执行。
[0146] 因此,参见图5,还提供一种计算机可读存贮介质,其上存储有计算机程序指令;通过包含处理器和存储器的图像终端处理设备,执行所述程序指令,用于实现图3或图4所述方法的全部或者部分步骤。所述处理器和存储器通过总线连接,构成终端设备的内部通信。
[0147] 本发明通过从将多个并行数据接收通道获取的网络输入数据按照不同的编码模式执行编码后,作为网络安全相关的编码预测模型的输入,基于编码预测模型的输出结果,确定可能存在风险的数据接收通道后,依次关闭所述数据接收通道、数据编码通道、编码输入通道后,更新所述目标编码预测模型,从而动态的进入下一个安全判断和识别过程,完成了整个安全态势监测的闭环的全流程反馈;同时,将每一次预测识别出的安全预测结果作为反馈端数据重新通过反馈反馈数据输入通道作为输入端数据的一部分,实现了主动防御。
[0148] 尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。