本申请涉及一种正常行为神经网络模型训练方法、系统、装置及存储介质,涉及神经网络模型训练领域,其方法包括获取行为数据及行为数据的来源信息;基于所述来源信息获得对应行为数据的数据传输环境;基于行为数据的数据传输环境判断行为数据是否能够视为训练数据;且在将行为数据视为训练数据后,将训练数据和无异常行为结果传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。在使用行为数据对正常行为神经网络模型进行训练前,判断行为数据是否为正常数据,如果是则使用。本申请具有便于提高正常行为神经网络模型的训练精度,从而有助于在正常行为神经网络模型实际使用时,提高分析结果的准确度的效果。
1.一种正常行为神经网络模型训练方法,其特征在于,包括:获取行为数据及所述行为数据的来源信息,所述来源信息包括来源地址;
基于所述来源信息获得对应所述行为数据的数据传输环境,所述数据传输环境包括单路程传输环境和多路程传输环境;
在所述数据传输环境为单路程传输环境时,基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性;
在所述行为数据为常规性数据时,将所述行为数据视为训练数据;
在所述数据传输环境为多路程传输环境时,基于所述行为数据对应的所述来源信息以及数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点;
在所述行为数据的所述来源地址非虚假节点时,将所述行为数据视为训练数据;
将所述训练数据和无异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练;
所述基于所述来源信息获得所述行为数据的数据传输环境的步骤包括:从所述来源信息中提取来源地址;
到预存在所述数据库中的设备地址关系表中查找所述来源地址对应的数据传输环境;
在所述到预存在所述数据库中的设备地址关系表中查找所述来源地址对应的数据传输环境之后还包括:在所述设备地址关系表中未查找到所述来源地址或未查找到与所述来源地址对应的数据传输环境时,将与所述来源信息对应的所述行为数据视为攻击数据;
将所述攻击数据和异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练;
在所述基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性之后还包括:在所述行为数据为非常规性数据时,将所述行为数据视为攻击数据;
在所述判断对应的所述行为数据的所述来源地址是否为虚假节点之后还包括:在所述行为数据的所述来源地址为虚假节点时,将所述行为数据视为攻击数据;
在所述将所述攻击数据和异常行为结果传输给正常行为神经网络模型之前还包括:获取攻击数据对应的数据日志;
基于所述数据日志以及预存在所述数据库中的攻击类型表,在所述数据日志对应有所述攻击类型表中的攻击类型时,将所述异常行为结果与对应的所述攻击数据相匹配;
在所述数据日志未对应有所述攻击类型表中的攻击类型时,将与所述数据日志对应的所述攻击数据删除。
2.根据权利要求1所述的一种正常行为神经网络模型训练方法,其特征在于:所述基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性的步骤包括:提取所述来源信息中的来源地址;
在所述来源地址与所述常规地址信息为同一地址时,视对应的行为数据为常规性数据;
所述基于所述行为数据对应的所述来源信息以及所述数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点的步骤包括:提取所述来源信息中的来源地址;
到所述虚假节点地址表中查找与所述来源地址为同一地址的虚假节点地址;
在虚假节点地址表中存储有与所述来源地址为同一地址的虚假节点时,视对应的所述行为数据的所述来源地址为虚假节点;
否则,视对应的所述行为数据的所述来源地址为非虚假节点。
3.一种正常行为神经网络模型训练系统,其特征在于:包括获取模块(1),用于获取行为数据及所述行为数据的来源信息,所述来源信息包括来源地址;
查找模块(2),用于基于所述来源信息获得对应所述行为数据的数据传输环境,所述数据传输环境包括单路程传输环境和多路程传输环境;
判断模块(3),用于在所述数据传输环境为单路程传输环境时,基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性,并在所述行为数据为常规性数据时,将所述行为数据视为训练数据;
所述判断模块(3)还用于在所述数据传输环境为多路程传输环境时,基于所述行为数据对应的所述来源信息以及数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点;在所述行为数据的所述来源地址非虚假节点时,将所述行为数据视为训练数据;
传输模块(5),用于将所述训练数据和无异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
4.根据权利要求3所述的一种正常行为神经网络模型训练系统,其特征在于:所述判断模块(3)包括提取单元(31),用于提取所述来源信息中的来源地址;
处理单元(32),用于在所述来源地址与所述常规地址信息为同一地址时,视对应的行为数据为常规性数据,否则视对应的行为数据为非常规性数据;
所述处理单元(32)还用于到所述虚假节点地址表中查找与所述来源地址为同一地址的虚假节点地址;在虚假节点地址表中存储有与所述来源地址为同一地址的虚假节点时,视对应的所述行为数据的所述来源地址为虚假节点,否则,视对应的所述行为数据的所述来源地址为非虚假节点。
5.根据权利要求3或4所述的一种正常行为神经网络模型训练系统,其特征在于:所述判断模块(3)用于在所述行为数据为非常规性数据时,将所述行为数据视为攻击数据,以及在所述行为数据的所述来源地址为虚假节点时,将所述行为数据视为攻击数据;
所述训练系统还包括与所述判断模块(3)连接的审核模块(4),所述审核模块(4)用于获取攻击数据对应的数据日志,基于所述数据日志以及预存在一数据库模块中的攻击类型表,在所述数据日志对应有所述攻击类型表中的攻击类型时,将所述异常行为结果与对应的所述攻击数据相匹配;在所述数据日志未对应有所述攻击类型表中的攻击类型时,将与所述数据日志对应的所述攻击数据删除;
所述传输模块(5)用于将所述攻击数据和异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
6.一种正常行为神经网络模型训练装置,包括存储器和处理器,其特征在于:所述存储器中存储有正常行为神经网络模型的训练程序;所述处理器用于在执行正常行为神经网络模型的训练程序时采用权利要求1‑2中任一项方法。
7.一种存储介质,其特征在于:存储有能够被处理器加载并执行如权利要求1‑2中任一种方法的计算机程序。
正常行为神经网络模型训练方法、系统、装置及存储介质
技术领域
[0001] 本发明涉及神经网络模型训练领域,尤其是涉及一种正常行为神经网络模型训练方法、系统、装置及存储介质。
背景技术
[0002] 为了提高互联网应用的安全性,除了设置防火墙和蜜罐等防御模块外,部分用户还会训练网络入侵神经网络模型,用于对上下行数据进行实时检测,一旦有攻击数据进入系统,网络入侵神经网络模型则会针对攻击数据输出分析结果,显示传输的数据为攻击数据,以便于提高系统的安全性。但对于相对重要的系统,除配置网络入侵神经网络模型外,还会设置正常行为神经网络模型,用于检测正常行为数据是否存在异常,进一步提高系统安全性。
[0003] 相关技术中对正常行为神经网络模型进行训练时,通常从真实设备中获取训练用的正常行为数据,将正常行为数据和无异常分析结果传输给正常行为神经网络模型,使正常行为数据由正常行为神经网络模型的输入端输入,并使无异常分析结果从正常行为神经网络模型的输出端输出,让正常行为神经网络模型进行学习,实现对正常行为神经网络模型的训练。
[0004] 针对上述中的相关技术,发明人认为真实设备容易接收到攻击数据,在训练正常行为神经网络模型时,如果将真实设备接收到的攻击数据视为正常行为数据传输给正常行为神经网络模型,对正常行为神经网络模型进行训练,会影响正常行为神经网络模型的训练精度,易降低正常行为神经网络模型在实际使用时,输出的分析结果的准确度。
发明内容
[0005] 为了有助于提高正常行为神经网络模型的训练精度,从而使正常行为神经网络模型在实际使用时便于输出准确度较高的分析结果,本发明提供一种正常行为神经网络模型训练方法、系统、装置及存储介质。
[0006] 第一方面,本申请提供的一种正常行为神经网络模型训练方法采用如下的技术方案:
[0007] 一种正常行为神经网络模型训练方法,包括:
[0008] 获取行为数据及所述行为数据的来源信息,所述来源信息包括来源地址;
[0009] 基于所述来源信息获得对应所述行为数据的数据传输环境,所述数据传输环境包括单路程传输环境和多路程传输环境;
[0010] 在所述数据传输环境为单路程传输环境时,基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性;
[0011] 在所述行为数据为常规性数据时,将所述行为数据视为训练数据;
[0012] 在所述数据传输环境为多路程传输环境时,基于所述行为数据对应的所述来源信息以及所述数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点;
[0013] 在所述行为数据的所述来源地址非虚假节点时,将所述行为数据视为训练数据;
[0014] 将所述训练数据和无异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
[0015] 通过采用上述技术方案,根据不同的数据传输环境对行为数据进行判断,如果是在单路程传输环境下获得的行为数据,则判断行为数据的常规性,若行为数据被视为是常规性数据,则证明行为数据是安全的,即非攻击性质的数据,此时将行为数据视为训练数据,与无异常行为结果一同传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0016] 同理,在多路程传输环境下获得的行为数据,判断行为数据的来源地址是否为虚假节点,虚假节点是由于引诱攻击者攻击的,因此从虚假节点获得的行为数据均为攻击数据。如果行为数据的来源地址非虚假节点,则将行为数据视为训练数据,并用于对正常行为神经网络模型的训练。
[0017] 因此,在对正常行为神经网络模型进行训练时,视为训练数据中不易含有攻击数据,有助于提高正常行为神经网络模型的训练精度,从而使正常行为神经网络模型在实际使用时便于输出准确度较高的分析结果。
[0018] 可选的,所述基于所述来源信息获得所述行为数据的数据传输环境的步骤包括:
[0019] 从所述来源信息中提取来源地址;
[0020] 到预存在所述数据库中的设备地址关系表中查找所述来源地址对应的数据传输环境;
[0021] 提取查找到的所述数据传输环境。
[0022] 通过采用上述技术方案,在来源信息中提取来源地址,再根据来源地址到预存的设备地址关系表中查找数据传输环境,由于每个设备地址对应的数据传输环境均预设在设备地址关系表中,一方面便于在设备的所处数据传输环境改变时,对设备的设备地址对应的数据传输环境进行改变;另一方面获取的数据传输环境不易出错,从而有助于提高将行为数据判定为训练数据的准确度,便于提高正常行为神经网络模型的训练精度。
[0023] 可选的,在所述到预存在所述数据库中的设备地址关系表中查找所述来源地址对应的数据传输环境之后还包括:
[0024] 在所述设备地址关系表中未查找到所述来源地址或未查找到与所述来源地址对应的数据传输环境时,将与所述来源信息对应的所述行为数据视为攻击数据;
[0025] 将所述攻击数据和异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
[0026] 通过采用上述技术方案,除了使用训练数据对正常行为神经网络模型进行训练外,还使用攻击数据和异常行为结果对正常行为神经网络模型进行训练,有助于提高正常行为神经网络模型的训练精度,从而有助于在正常行为神经网络模型使用时,提高分析结果的准确度。
[0027] 可选的,所述基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性的步骤包括:
[0028] 提取所述来源信息中的来源地址;
[0029] 在所述来源地址与所述常规地址信息为同一地址时,视对应的行为数据为常规性数据;
[0030] 否则,视对应的行为数据为非常规性数据;
[0031] 所述基于所述行为数据对应的所述来源信息以及所述数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点的步骤包括:
[0032] 提取所述来源信息中的来源地址;
[0033] 到所述虚假节点地址表中查找与所述来源地址为同一地址的虚假节点地址;
[0034] 在虚假节点地址表中存储有与所述来源地址为同一地址的虚假节点时,视对应的所述行为数据的所述来源地址为虚假节点;
[0035] 否则,视对应的所述行为数据的所述来源地址为非虚假节点。
[0036] 通过采用上述技术方案,虚假节点地址标为预设,便于更改,且有助于提高判断来源地址是否虚假节点的准确率,从而有助于提高正常行为神经网络模型的训练精度。
[0037] 可选的,在所述基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性之后还包括:
[0038] 在所述行为数据为非常规性数据时,将所述行为数据视为攻击数据;
[0039] 在所述判断对应的所述行为数据的所述来源地址是否为虚假节点之后还包括:
[0040] 在所述行为数据的所述来源地址为虚假节点时,将所述行为数据视为攻击数据;
[0041] 在所述将所述攻击数据和异常行为结果传输给正常行为神经网络模型之前还包括:
[0042] 获取攻击数据对应的数据日志;
[0043] 基于所述数据日志以及预存在所述数据库中的攻击类型表,在所述数据日志对应有所述攻击类型表中的攻击类型时,将所述异常行为结果与对应的所述攻击数据相匹配;
[0044] 在所述数据日志未对应有所述攻击类型表中的攻击类型时,将与所述数据日志对应的所述攻击数据删除。
[0045] 通过采用上述技术方案,在将行为数据视为攻击数据后,根据攻击数据对应的数据日志以及预设的攻击类型表,对攻击数据进行核对,如果视为攻击数据的行为数据确实具有攻击性,即符合攻击数据的特性,则使用攻击数据对正常行为神经网络模型进行训练;如果视为攻击数据的行为数据核对后不是真实的攻击数据,即出现误判情况,则将对应的攻击数据删除,有助于保证正常行为神经网络模型的训练精度。
[0046] 第二方面,本申请提供的一种正常行为神经网络模型训练系统采用如下的技术方案:
[0047] 一种正常行为神经网络模型训练系统,包括获取模块,用于获取行为数据及所述行为数据的来源信息,所述来源信息包括来源地址;
[0048] 查找模块,用于基于所述来源信息获得对应所述行为数据的数据传输环境,所述数据传输环境包括单路程传输环境和多路程传输环境;
[0049] 判断模块,用于在所述数据传输环境为单路程传输环境时,基于所述来源信息以及预设的常规地址信息判断所述行为数据的常规性,并在所述行为数据为常规性数据时,将所述行为数据视为训练数据;
[0050] 所述判断模块还用于在所述数据传输环境为多路程传输环境时,基于所述行为数据对应的所述来源信息以及所述数据库中预存的虚假节点地址表,判断对应的所述行为数据的所述来源地址是否为虚假节点;在所述行为数据的所述来源地址非虚假节点时,将所述行为数据视为训练数据;
[0051] 以及,
[0052] 传输模块,用于将所述训练数据和无异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
[0053] 可选的,所述判断模块包括提取单元,用于提取所述来源信息中的来源地址;
[0054] 处理单元,用于在所述来源地址与所述常规地址信息为同一地址时,视对应的行为数据为常规性数据,否则视对应的行为数据为非常规性数据;
[0055] 所述处理单元还用于到所述虚假节点地址表中查找与所述来源地址为同一地址的虚假节点地址;在虚假节点地址表中存储有与所述来源地址为同一地址的虚假节点时,视对应的所述行为数据的所述来源地址为虚假节点,否则,视对应的所述行为数据的所述来源地址为非虚假节点。
[0056] 可选的,所述判断模块用于在所述行为数据为非常规性数据时,将所述行为数据视为攻击数据,以及在所述行为数据的所述来源地址为虚假节点时,将所述行为数据视为攻击数据;
[0057] 所述训练系统还包括与所述判断模块连接的审核模块,所述审核模块用于获取攻击数据对应的数据日志,基于所述数据日志以及预存在一数据库模块中的攻击类型表,在所述数据日志对应有所述攻击类型表中的攻击类型时,将所述异常行为结果与对应的所述攻击数据相匹配;在所述数据日志未对应有所述攻击类型表中的攻击类型时,将与所述数据日志对应的所述攻击数据删除;
[0058] 所述传输模块用于将所述攻击数据和异常行为结果传输给正常行为神经网络模型,对所述正常行为神经网络模型进行训练。
[0059] 第三方面,本申请提供的一种正常行为神经网络模型训练装置采用如下的技术方案:
[0060] 一种正常行为神经网络模型训练装置,包括存储器和处理器,所述存储器中存储有正常行为神经网络模型的训练程序;所述处理器用于在执行正常行为神经网络模型的训练程序时采用上述方法。
[0061] 第四方面,本申请提供的一种存储介质采用如下的技术方案:
[0062] 一种存储介质,存储有能够被处理器加载并执行上述方法的计算机程序。
[0063] 综上所述,用于训练正常行为神经网络模型的行为数据在经过逻辑判断后,根据逻辑判断结果,决定行为数据是否应用于正常行为神经网络模型的训练,使正常行为神经网络模型在训练时,与无异常行为结果关联的训练数据均为非攻击性数据,即均为正常数据,有助于提高正常行为神经网络模型的训练精度,从而有助于在正常行为神经网络模型实际使用时,输出更为准确的分析结果。
附图说明
[0064] 图1是本申请实施例的一种正常行为神经网络模型训练方法的流程图。
[0065] 图2是本申请实施例的一种正常行为神经网络模型训练系统的框架图。
[0066] 附图标记说明:
[0067] 1、获取模块;2、查找模块;3、判断模块;31、提取单元;32、处理单元;4、审核模块;5、传输模块。
具体实施方式
[0068] 本申请实施例公开一种正常行为神经网络模型训练方法。参照图1,包括:
[0069] S100、获取行为数据及行为数据的来源信息,来源信息包括来源地址。
[0070] 行为数据即设备做出动作时产生的数据,包括接收动作的接收数据、传输动作的传输数据、发送动作的发送数据和启动动作的启动数据等,此外,对于设备接收到的数据、向外传输的数据和自身产生的数据均属于行为数据。来源地址即数据来源的设备地址,也可以是设备名称和设备编号等能够代表数据来源的设备信息。
[0071] S200、基于来源信息获得对应行为数据的数据传输环境,数据传输环境包括单路程传输环境和多路程传输环境。
[0072] 单路程传输环境指行为数据的来源设备所处的数据传输环境为单一的通信路径,例如摄像机,在没有受到攻击时,仅与一服务器进行通信,通信包括接收服务器传输的控制指令、向服务器反馈消息和向服务器传输摄像数据等。即处于单路程传输环境中的设备,可以连接若干下行设备和若干上行设备,但在没有受到攻击时,数据传输是一条固定线路。不难理解,在受到攻击时,摄像机可能产生向除服务器以外的其他设备传输数据或者索要数据的行为。
[0073] 相应的,多路程传输环境即指行为数据的来源设备所处的数据传输环境为多通道通信路径,例如路由器,在没有受到攻击时,会根据情况,与多个交换机或者终端进行通讯。即处于多路程传输环境中的设备,连接有多个下行设备和多个上行设备,无论是否受到攻击,数据传输均为多条路线。以路由器为例,为了提高通信系统的安全性,在路由器和交换机之间配置有一台终端,该终端中配置有若干虚假节点,每个虚假节点均具有一个IP地址,用于诱导攻击者攻击。因此,在本实施例中,对于处于多路程传输环境中的设备,均对应有若干虚假节点。
[0074] 在一实施例中,步骤S200包括:
[0075] S210、从来源信息中提取来源地址。
[0076] S220、到预存在数据库中的设备地址关系表中查找来源地址对应的数据传输环境。
[0077] 不难理解,设备地址关系表中存储有每个设备的设备地址,设备地址即行为数据的来源信息中的来源地址。每个设备的设备地址均对应有预存的数据传输环境。到设备地址关系表中查找与来源地址的信息完全相同的设备地址,即可找到对应的数据传输环境。设备地址可以是设备的端口IP,也可以是设备的物理IP,亦或是设备的设备IP。
[0078] 若查找到与来源地址的信息完全相同的设备地址,则执行步骤S230、提取查找到的数据传输环境。
[0079] 否则执行步骤S240、在设备地址关系表中未查找到来源地址或与来源地址对应的数据传输环境时,将与来源信息对应的行为数据视为攻击数据。
[0080] 即为查找到与来源地址的信息完全相同的设备地址,或者查找到了信息完全相同的设备地址,但是设备地址没有对应预存数据传输环境,在此种情况下,对应的行为数据不足以确定为安全的或者正常的,即不能确定为非攻击数据,将对应的行为数据视为攻击数据。
[0081] S250、获取攻击数据对应的数据日志。
[0082] 每个攻击数据均对应有数据日志。
[0083] S260、基于数据日志以及预存在数据库中的攻击类型表,在数据日志对应有攻击类型表中的攻击类型时,将异常行为结果与对应的攻击数据相匹配。
[0084] S270、在数据日志未对应有攻击类型表中的攻击类型时,将与数据日志对应的攻击数据删除。
[0085] S280、将攻击数据和异常行为结果传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0086] 攻击数据与异常行为结果相匹配,对正常行为神经网络模型进行训练,相比于使攻击数据与非异常行为结果相匹配对正常行为神经网络模型进行训练,便于提高正常行为神经网络模型的训练精度。
[0087] S300、在数据传输环境为单路程传输环境时,基于来源信息以及预设的常规地址信息判断行为数据的常规性。
[0088] 具体的,步骤S300包括:
[0089] S310、提取来源信息中的来源地址。
[0090] S320、在来源地址与常规地址信息为同一地址时,视对应的行为数据为常规性数据。
[0091] 不难理解,由于行为数据对应的来源设备处于单路程传输环境中,因此行为数据的来源设备应始终是同一个设备,例如上述例子中的摄像机。将摄像机的设备地址设置为常规地址信息,如果来源地址即常规地址信息,证明行为数据的来源是正常的,行为数据不易是攻击数据,从而可将行为数据视为常规性数据。
[0092] S330、否则,视对应的行为数据为非常规性数据。
[0093] S340、在行为数据为非常规性数据时,将行为数据视为攻击数据。
[0094] S400、在行为数据为常规性数据时,将行为数据视为训练数据。
[0095] 常规性数据即正常的数据,也可以视为安全的数据,将对应的行为数据视为训练数据,便于对正常行为神经网络模型进行训练。
[0096] S500、在数据传输环境为多路程传输环境时,基于行为数据对应的来源信息以及数据库中预存的虚假节点地址表,判断对应的行为数据的来源地址是否为虚假节点。
[0097] 具体的,步骤S500包括:
[0098] S510、提取来源信息中的来源地址。
[0099] S520、到虚假节点地址表中查找与来源地址为同一地址的虚假节点地址。
[0100] 虚假节点地址表中预存有各个虚假节点的虚假节点地址,虚假节点地址即虚假节点对外的IP地址。
[0101] S530、在虚假节点地址表中存储有与来源地址为同一地址的虚假节点时,视对应的行为数据的来源地址为虚假节点。
[0102] S540、否则,视对应的行为数据的来源地址为非虚假节点。
[0103] 不难理解,虚假节点用于迷惑和诱导攻击者攻击,因此所有来源于虚假节点的数据均是攻击数据。通过将来源地址与虚假节点进行对比,即可得知行为数据是否为攻击数据。
[0104] S550、在行为数据的来源地址为虚假节点时,将对应的行为数据视为攻击数据。
[0105] S600、在行为数据的来源地址非虚假节点时,将行为数据视为训练数据。
[0106] S700、将训练数据和无异常行为结果传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0107] 本申请实施例一种正常行为神经网络模型训练方法的实施原理为:根据不同的数据传输环境对行为数据进行判断,如果是在单路程传输环境下获得的行为数据,则判断行为数据的常规性,若行为数据被视为是常规性数据,则证明行为数据是安全的,即非攻击性质的数据,此时将行为数据视为训练数据,与无异常行为结果一同传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0108] 在多路程传输环境下获得的行为数据,判断行为数据的来源地址是否为虚假节点,虚假节点是由于引诱攻击者攻击的,因此从虚假节点获得的行为数据均为攻击数据。如果行为数据的来源地址非虚假节点,则将行为数据视为训练数据,并用于对正常行为神经网络模型的训练。
[0109] 对于视为攻击数据的行为数据,与异常行为结果相匹配,用于对正常行为神经网络模型进行训练。使正常行为神经网络模型在实际使用时,输入行为数据后,能够针对输入的行为数据较为准确的输出异常行为结果或非异常行为结果。
[0110] 本实施例还公开一种正常行为神经网络模型训练系统,参照图2,包括获取模块1,用于获取行为数据及行为数据的来源信息,来源信息包括来源地址。查找模块2,与获取模块1通信连接,通信连接可以是有线连接,也可以是无线连接,用于从获取模块1中获取行为数据以及对应的来源信息,并基于来源信息获得对应行为数据的数据传输环境。数据传输环境包括单路程传输环境和多路程传输环境。
[0111] 判断模块3,与查找模块2通信连接,用于在数据传输环境为单路程传输环境时,基于来源信息以及预设的常规地址信息判断行为数据的常规性,并在行为数据为常规性数据时,将行为数据视为训练数据。
[0112] 判断模块3还用于在数据传输环境为多路程传输环境时,基于行为数据对应的来源信息以及数据库中预存的虚假节点地址表,判断对应的行为数据的来源地址是否为虚假节点;在行为数据的来源地址非虚假节点时,将行为数据视为训练数据。以及传输模块5,与判断模块3连接,用于将训练数据和无异常行为结果传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0113] 具体的,在一实施例中,判断模块3包括提取单元31,用于提取来源信息中的来源地址;和处理单元32,用于在来源地址与常规地址信息为同一地址时,视对应的行为数据为常规性数据,否则视对应的行为数据为非常规性数据。
[0114] 处理单元32还用于到虚假节点地址表中查找与来源地址为同一地址的虚假节点地址;在虚假节点地址表中存储有与来源地址为同一地址的虚假节点时,视对应的行为数据的来源地址为虚假节点,否则,视对应的行为数据的来源地址为非虚假节点。
[0115] 判断模块3用于在行为数据为非常规性数据时,将行为数据视为攻击数据,以及在行为数据的来源地址为虚假节点时,将行为数据视为攻击数据;
[0116] 训练系统还包括与判断模块3连接的审核模块4,审核模块4用于获取攻击数据对应的数据日志,基于数据日志以及预存在一数据库模块中的攻击类型表,在数据日志对应有攻击类型表中的攻击类型时,将异常行为结果与对应的攻击数据相匹配;在数据日志未对应有攻击类型表中的攻击类型时,将与数据日志对应的攻击数据删除;传输模块5用于将攻击数据和异常行为结果传输给正常行为神经网络模型,对正常行为神经网络模型进行训练。
[0117] 本实施例还公开一种正常行为神经网络模型训练装置,包括存储器和处理器,存储器中存储有正常行为神经网络模型的训练程序;处理器用于在执行正常行为神经网络模型的训练程序时采用正常行为神经网络模型训练方法。
[0118] 本实施例还公开一种存储介质,存储有能够被处理器加载并执行正常行为神经网络模型训练方法的计算机程序。
[0119] 以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
