基于深度学习的网络入侵检测和漏洞扫描方法及装置与流程

本发明属于网络安全的技术领域，尤其是涉及一种基于深度学习的网络入侵检测和漏洞扫描方法及装置。

背景技术：

近年来网络攻击在数量上和规模上都急剧增加，入侵检测和漏洞扫描系统已成为企业网络设施的必备系统。国家电网公司的信息系统被列为关键信息基础设施，并被视为国家的重要战略资源，保护关键信息基础设施的安全，已经成为当前公司网络安全建设的核心内容。然而，目前的保障网络安全的入侵检测系统和漏洞扫描系统存在以下问题：

(一)基于规则的入侵检测系统

现有的入侵检测系统都是基于规则的系统，根据已知的攻击特征检测入侵，可以直接检测出入侵行为。但是，这种方法检测的效果取决于检测知识库的完备性。为此，特征库必须及时更新，编辑这些规则是非常耗时的，并且高度依赖于已知入侵的知识库。此外，这种方法无法发现未知的入侵行为，很难检测出新的入侵方式。

(二)基于已知漏洞库的漏洞扫描系统

现有的漏洞扫描系统都是基于已知的漏洞库，用已有的漏洞库逐一扫描系统，找到网络中存在的漏洞。漏洞库的维护和更新耗费大量的人力，并且实时性较差，跟不上各种新型漏洞出现的速度。由于要将已有的漏洞库中的漏洞全部扫描一遍，无法根据实际系统的情况扫描漏洞，既费时又会占用大量的网络资源。

为应对快速发展地新型网络攻击技术，保护电力系统网络设施，应具备一套实时在线监督新型网络攻击的入侵检测系统和一种自动化将漏洞库与实际系统情况相结合的漏洞扫描技术。

深度学习源于人工神经网络的研究，通过组合低层特征形成更加抽象的高层表示属性类别或特征，以发现数据的分布式特征表示。深度学习是机器学习研究中的一个新的领域，其动机在于建立、模拟人脑进行分析学习的神经网络，它模仿人脑的机制来解释数据，例如图像，声音和文本。深度学习算法可以发掘出看似无关的特征之间深层次的联系，将网络中的各种信息以及主机中的各种状态联系起来，判断网络是否受到攻击或入侵。

从总体架构和处理流程上来看，基于深度学习的分类模型是有监督学习的一种特例，基于深度学习的分类模型虽然具备较强的泛化能力，检测能力比基于规则或特征的检测系统及基于浅层机器学习模型的检测系统更强，但是在面对层出不穷的新攻击模式时不可避免会出现漏报。这就需要使用这些新攻击数据样本重新训练模型以改进优化检测效果。然而，在传统有监督学习技术中，通常需要使用包含新获取数据在内的全部数据样本进行模型的重新训练，将会耗占大量的计算资源和时间，这对于深度学习模型来说是难以接受的。

综上所述，现有技术中如何通过基于深度学习的人工智能技术、大数据挖掘技术实现电力系统网络实时检测、数据流审计和漏洞扫描，提升电网信息系统运行稳定性，增强公司应对网络攻击的防御能力的问题，尚缺乏行之有效的解决方案。

技术实现要素：

针对现有技术中存在的不足，解决现有技术中如何通过基于深度学习的人工智能技术、大数据挖掘技术实现电力系统网络实时检测、数据流审计和漏洞扫描，提升电网信息系统运行稳定性，增强应对网络攻击的防御能力的问题，本发明提出了一种基于深度学习的网络入侵检测和漏洞扫描方法及装置。

本发明的第一目的是提供一种基于深度学习的网络入侵检测和漏洞扫描方法。

为了实现上述目的，本发明采用如下一种技术方案：

一种基于深度学习的网络入侵检测和漏洞扫描方法，该方法包括：

收集恶意样本文件并建立恶意文件数据库；

利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

作为进一步的优选方案，在本方法中，收集恶意样本文件的具体步骤包括：采用多种虚拟机环境，运行被检测文件，根据被检测文件打开后的系统环境、内存状态以及文件行为确定文件是否为恶意文件，将确定为恶意文件的被检测文件收集为恶意样本文件。

作为进一步的优选方案，在该方法中，采用动态沙箱检测引擎模拟应用程序的执行以及恶意文件中攻击代码的执行，得到恶意样本攻击事件的内容和意图，并进行记录，根据记录的行为建立恶意文件数据库；

所述恶意文件数据库中记录的行为为危害系统的行为，包括注册表操作、文件操作、漏洞利用方式、api调用序列、网络行为、进程线程操作。

作为进一步的优选方案，在该方法中，采用深度学习检测算法，将恶意文件数据库中的恶意样本文件的每个行为进行归一量化，通过神经网络模型迭代训练，得到初步分类模型。

作为进一步的优选方案，在该方法中，当接收的新恶意样本文件积累到一定数量时执行一次初步分类模型的增量式训练；

在进行初步分类模型的增量式训练时，更新模型中部分层次的参数，其他层次的参数固定。

作为进一步的优选方案，在该方法中，进行实时监控的模型增量式训练的具体步骤包括：

在进行初步分类模型的增量式训练时，使用额外的验证数据集对模型进行周期性的测试，观察在验证数据集上的检测表现判断模型是否有相应提升或者出现针对某类攻击的过拟合现象，及时调整训练的数据集和参数控制；同时采用多折交叉验证法确认模型更新的准确性。

作为进一步的优选方案，在该方法中，将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征的具体步骤包括：

将恶意文件数据库中的同一恶意样本文件在不同环境模拟运行；

分别解析不同环境中恶意样本文件的pcap包，计算不同环境中pcap包的相似度，得到匹配度最高的两个pcap包；

计算筛选出匹配度较高的字符串二元组，得到报文数据中可能存在的主机信息，计算出若干主机信息之间的间隔符；

通过最长公共子序列算法求出匹配字符串和匹配的模式，判断匹配字符串中是否包含间隔符，如果包含则截取出只包含单个间隔符的匹配串；

将匹配串和匹配的模式导入ids在实际生产环境检测到恶意文件的攻击特征。

作为进一步的优选方案，在该方法中，生成网络攻击包，进行网络漏洞扫描的具体步骤包括：

分析漏洞攻击方式特征库，采用特征库中的攻击方式构建测试用例，即网络攻击包；

利用测试用例进行网络漏洞扫描，根据反馈结果确定是否存在漏洞，确定有效的测试用例，并将有效的测试用例建立漏洞库，并自动更新漏洞库。

本发明的第二目的是提供一种计算机可读存储介质。

为了实现上述目的，本发明采用如下一种技术方案：

一种计算机可读存储介质，其中存储有多条指令，所述指令适于由终端设备设备的处理器加载并执行以下处理：

收集恶意样本文件并建立恶意文件数据库；

利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

本发明的第三目的是提供一种终端设备。

为了实现上述目的，本发明采用如下一种技术方案：

一种终端设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行以下处理：

收集恶意样本文件并建立恶意文件数据库；

利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

本发明的有益效果：

1、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，通过基于深度学习的人工智能技术、大数据挖掘技术实现电力系统网络实时检测、数据流审计和漏洞扫描，提升电网信息系统运行稳定性，增强公司应对网络攻击的防御能力。

2、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，对训练数据量进行控制使得增量训练的代价较低，并且保持不同类型数据的平衡关系，避免造成更新后的模型对原有攻击模式的检测能力受到影响。

3、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，在训练过程中对模型检测能力进行实时的监控，有效监控经过增量训练的模型是否能达到更好的检测能力，是否在有效识别新攻击模式的同时维持对原先攻击模式的高检测率。

4、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型，后续产生的恶意文件样本可通过分类模型自动识别分类，充分提升分类检测效果；并且通过自动测试新型漏洞，自动更新漏洞库，最终实现未知漏洞挖掘测试效率的大幅度提升。

附图说明

构成本申请的一部分的说明书附图用来提供对本申请的进一步理解，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

图1为本发明的基于深度学习的网络入侵检测和漏洞扫描方法流程图；

图2为有监督学习框架示意图；

图3为基于深度学习的分类模型示意图。

具体实施方式：

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本实施例使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

需要注意的是，附图中的流程图和框图示出了根据本公开的各种实施例的方法和系统的可能实现的体系架构、功能和操作。应当注意，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意，在有些作为备选的实现中，方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，或者它们有时也可以按照相反的顺序执行，这取决于所涉及的功能。同样应当注意的是，流程图和/或框图中的每个方框、以及流程图和/或框图中的方框的组合，可以使用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以使用专用硬件与计算机指令的组合来实现。

在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合下面结合附图与实施例对本发明作进一步说明。

实施例1：

本实施例1的目的是提供一种基于深度学习的网络入侵检测和漏洞扫描方法。

为了实现上述目的，本发明采用如下一种技术方案：

如图1所示，

一种基于深度学习的网络入侵检测和漏洞扫描方法，该方法包括：

步骤(1)：收集恶意样本文件并建立恶意文件数据库；

步骤(2)：利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

步骤(3)：将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

步骤(4)：利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

步骤(1)：研究各种网络攻击所利用的恶意文件的动态沙箱检测算法，分析恶意文件行为，建立恶意文件数据库；

在本实施例的步骤(1)中，收集恶意样本文件的具体步骤包括：

步骤(1-1)：采用多种虚拟机环境，运行被检测文件，根据被检测文件打开后的系统环境、内存状态以及文件行为确定文件是否为恶意文件，将确定为恶意文件的被检测文件收集为恶意样本文件。

恶意样本攻击大多使用了专门的特殊木马，这些木马可以绕过防御者主机杀毒软件的检测，可在受限的小范围内传播。本项目采用多种虚拟机环境，运行被检测文件，监测文件打开后的系统环境、内存状态以及文件的各种行为等以确定文件是否为恶意文件。恶意文档不论利用何种漏洞，也不论利用的是已知还是未知漏洞，它们要做的一些恶意操作总是具有一定相似性和特征模式。由此可以检测多种nday攻击，同样可以检测未知的0day攻击，可以检测windows系统、linux、安卓下可执行文件、pdf、doc、xls、rtf、docx、xlsx、ppt、pptx、ppsx等大多数常用文档文件格式。

在本实施例的步骤(1)中，

步骤(1-2)：采用动态沙箱检测引擎模拟应用程序的执行以及恶意文件中攻击代码的执行，得到恶意样本攻击事件的内容和意图，并进行记录，根据记录的行为建立恶意文件数据库；

所述恶意文件数据库中记录的行为为危害系统的行为，包括注册表操作、文件操作、漏洞利用方式、api调用序列、网络行为、进程线程操作。

使用动态沙箱检测引擎模拟应用程序的执行以及恶意文件中攻击代码的执行，根据恶意样本攻击事件的内容和意图。记录的行为包括注册表操作、文件操作、漏洞利用方式、api调用序列、网络行为、进程线程操作以及其它危害系统的行为，根据这些行为记录，组成恶意文件数据库。

步骤(2)：研究多类型恶意文件分类检测的深度学习算法，实现自动检测恶意文件，并对攻击类型分类；

根据沙箱检测得到的恶意文件数据库，其中文件类型有很多种，然而，这些不同的文件类型具有完全不同的组成结构，相应的恶意文件也将呈现显著不同的特点，因此需要针对每种文件类型设计专门的检测处理流程。本项目采用深度学习检测算法，将恶意文件的每个行为归一量化，通过神经网络模型迭代训练，得到分类模型。后续产生的恶意文件样本可通过分类模型自动识别分类，充分提升分类检测效果。

深度学习的分类模型需要大规模数据样本进行训练构造，计算及存储开销很大，在实际生产中不能频繁地重复这一训练构造过程以生成新模型。然而，网络攻击方式复杂多变，在攻击检测系统的使用过程中必然会逐渐积累一些漏报及误报的数据样本，或是通过其他途径得到一些新型攻击或恶意文件的样本，此时就需要一种快速的模型更新优化方法，只使用这些新获取的标注数据样本对已有模型进行増量式训练，达到分类检测能力的进化，即在保持对原有攻击模型的检测能力的前提下能有效识别新的攻击模式。

从总体架构和处理流程上来看，基于深度学习的分类模型是有监督学习的一种特例，因此整体的模型训练构造及分类器应用与一般的有监督学习框架基本相同，图2和图3显示了两者的对比。其中包含两个关键不同之处：一是深度学习不需要人工特征提取的步骤，也就是图中的特征提取模块；二是分类器的更新部分，一般的有监督学习通常需要将误分类数据加入到原始标注数据集中对模型进行全新训练，训练的开销很大。

基于深度学习的分类模型虽然具备较强的泛化能力，检测能力比基于规则或特征的检测系统及基于浅层机器学习模型的检测系统更强，但是在面对层出不穷的新攻击模式时不可避免会出现漏报。这就需要使用这些新攻击数据样本重新训练模型以改进优化检测效果。然而，在传统有监督学习技术中，通常需要使用包含新获取数据在内的全部数据样本进行模型的重新训练，将会耗占大量的计算资源和时间，这对于深度学习模型来说是难以接受的。

因此，采用新获取数据及少量其他数据进行模型的增量式训练，从而达到模型快速更新优化的效果成为了一种优化的深度学习方案。

训练数据量的控制：当新攻击数据样本积累到一定数据量(如200条)时，可以执行一次模型的增量式训练。除了使用新获取的攻击数据样本外，还可以从原先攻击样本库中随机采样相同数量的数据，再补充相应的非攻击样本，共同作为增量训练的数据集。对训练数据量进行控制的目的是使得增量训练的代价较低，并且保持不同类型数据的平衡关系，避免造成更新后的模型对原有攻击模式的检测能力受到影响。

模型参数的部分固定化：由于增量训练时的总数据量较少，不适宜对深度学习整体模型进行大范围的参数调整。根据深度学习在其他应用领域的研究经验，可以采用固定多层神经网络模型中某些层次的参数不变，而只更新其他部分参数的调优(fine-tuning)方法。例如，可以只调整最后全连接子层部分的参数，而固定前面其他所有层次的参数。

模型检测能力的监控：经过增量训练的模型是否能达到更好的检测能力，是否在有效识别新攻击模式的同时维持对原先攻击模式的高检测率，这些需要在训练过程中对模型检测能力进行实时的监控。具体的方法是在增量训练的过程中不断使用额外的验证数据集对模型进行周期性的测试，通过观察在验证数据集上的检测表现判断模型是否有相应提升或者出现针对某类攻击的过拟合现象，从而及时调整训练的数据集和参数控制。此外，采用多折交叉验证的方法确认模型更新的准确性。

在本实施例的步骤(2)中，

步骤(2-1)：采用深度学习检测算法，将恶意文件数据库中的恶意样本文件的每个行为进行归一量化，通过神经网络模型迭代训练，得到初步分类模型。

在本实施例的步骤(2)中，

步骤(2-2)：当接收的新恶意样本文件积累到一定数量时执行一次初步分类模型的增量式训练；在进行初步分类模型的增量式训练时，更新模型中部分层次的参数，其他层次的参数固定。

在本实施例的步骤(2)中，进行实时监控的模型增量式训练的具体步骤包括：

在进行初步分类模型的增量式训练时，使用额外的验证数据集对模型进行周期性的测试，观察在验证数据集上的检测表现判断模型是否有相应提升或者出现针对某类攻击的过拟合现象，及时调整训练的数据集和参数控制；同时采用多折交叉验证法确认模型更新的准确性。

步骤(3)：研究多类型恶意文件网络攻击特征的深度学习算法，自动生成网络行为特征，实现检测新型的未知的网络攻击行为。

在本实施例的步骤(3)中，将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征的具体步骤包括：

步骤(3-1)：将恶意文件数据库中的同一恶意样本文件在不同环境模拟运行；

步骤(3-2)：分别解析不同环境中恶意样本文件的pcap包，计算不同环境中pcap包的相似度，得到匹配度最高的两个pcap包；

步骤(3-3)：计算筛选出匹配度较高的字符串二元组，得到报文数据中可能存在的主机信息，计算出若干主机信息之间的间隔符；

步骤(3-4)：通过最长公共子序列算法求出匹配字符串和匹配的模式，判断匹配字符串中是否包含间隔符，如果包含则截取出只包含单个间隔符的匹配串；

步骤(3-5)：将匹配串和匹配的模式导入ids在实际生产环境检测到恶意文件的攻击特征。

恶意文件在攻击、执行或潜伏时，会向服务器发送相关信息，在这个信息中往往会附带被控主机的一些基本信息。比如：用户名，机器名，操作系统版本、语言、时区等，内存大小，cpu频率、核数，mac地址，重要文件夹目录，是否安装杀软，是否安装防火墙，病毒版本、作者信息等等。

本项目通过将同一个僵木蠕(僵尸网络、木马、蠕虫)样本同时分发给不同环境模拟运行，保证僵木蠕发送的“上线”信息最大限度的不同(比如硬件信息，操作系统，软件，各种配置信息等…)。僵木蠕发送的“上线”信息都包含在pcap包中，通过比较不同环境中的pcap包，解析不同环境下的pcap包，得到包含dns信息、域名信息、以及各个协议数据的json文件。通过对海量json数据的相似度计算，求出不同simhash的海明距离，作为pcap包的相似度。

构建出pcap包的距离矩阵，通过迭代求出匹配度最高的两个pcap包。然后对两个包的协议数据求出对应的莱文斯坦比，从而筛选出匹配度较高的字符串二元组，得到报文数据中可能存在的主机信息，计算出若干主机信息之间的间隔符。

通过最长公共子序列算法求出匹配字符串和匹配的模式，判断匹配字符串中是否包含间隔符，如果包含则截取出只包含单个间隔符的匹配串。将匹配串和模式导入到入侵检测设备(ids)，可在实际生产环境检测到恶意文件的攻击特征。

步骤(4)：研究基于数据挖掘的漏洞攻击方式特征提取算法，提取恶意文件中的攻击特征；并研究一种自动化构建漏洞攻击的算法，用恶意文件的攻击特征挖掘网络中的新型漏洞。

分析恶意文件中的各种攻击方式和特点，例如使用的协议、端口、传送的字段等信息，使用数据挖掘算法，找出这些信息之间特有的联系，构建漏洞攻击方式特征库。

对于采用基于协议的模糊测试漏洞挖掘，测试用例的有效性是发现主机或系统是否存在未知漏洞的关键。传统的漏洞挖掘测试往往依赖于测试人员的多年经验，测试效率较低。本项目采用自动化构建测试用例的人工智能方法，提高测试软件生成有效测试用例的能力。首先通过分析恶意文件建立的漏洞攻击方式特征库，采用这些攻击方式构建测试用例，对网络中的主机、服务器以及信息系统等发送测试用例，根据反馈结果确定是否存在漏洞，并将有效的测试用例建立漏洞库。通过自动测试新型漏洞，自动更新漏洞库，最终实现未知漏洞挖掘测试效率的大幅度提升。

在本实施例的步骤(4)中，生成网络攻击包，进行网络漏洞扫描的具体步骤包括：

分析漏洞攻击方式特征库，采用特征库中的攻击方式构建测试用例，即网络攻击包；

利用测试用例进行网络漏洞扫描，根据反馈结果确定是否存在漏洞，确定有效的测试用例，并将有效的测试用例建立漏洞库，并自动更新漏洞库。

实施例2：

本实施例2的目的是提供一种计算机可读存储介质。

为了实现上述目的，本发明采用如下一种技术方案：

一种计算机可读存储介质，其中存储有多条指令，所述指令适于由终端设备设备的处理器加载并执行以下处理：

步骤(1)：收集恶意样本文件并建立恶意文件数据库；

步骤(2)：利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

步骤(3)：将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

步骤(4)：利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

实施例3：

本实施例3的目的是提供一种终端设备。

为了实现上述目的，本发明采用如下一种技术方案：

一种终端设备，包括处理器和计算机可读存储介质，处理器用于实现各指令；计算机可读存储介质用于存储多条指令，所述指令适于由处理器加载并执行以下处理：

步骤(1)：收集恶意样本文件并建立恶意文件数据库；

步骤(2)：利用深度学习算法根据恶意文件数据库中恶意文件的行为进行训练建模，并根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型；

步骤(3)：将恶意文件数据库中的恶意样本文件在不同环境模拟运行，并利用ids检测恶意样本文件的攻击特征；

步骤(4)：利用数据挖掘算法分析恶意文件数据库，构建漏洞攻击方式特征库，生成网络攻击包，进行网络漏洞扫描。

这些计算机可执行指令在设备中运行时使得该设备执行根据本公开中的各个实施例所描述的方法或过程。

在本实施例中，计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本公开的各个方面的计算机可读程序指令。计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开内容操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本公开内容的各个方面。

应当注意，尽管在上文的详细描述中提及了设备的若干模块或子模块，但是这种划分仅仅是示例性而非强制性的。实际上，根据本公开的实施例，上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之，上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。

本发明的有益效果：

1、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，通过基于深度学习的人工智能技术、大数据挖掘技术实现电力系统网络实时检测、数据流审计和漏洞扫描，提升电网信息系统运行稳定性，增强公司应对网络攻击的防御能力。

2、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，对训练数据量进行控制使得增量训练的代价较低，并且保持不同类型数据的平衡关系，避免造成更新后的模型对原有攻击模式的检测能力受到影响。

3、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，在训练过程中对模型检测能力进行实时的监控，有效监控经过增量训练的模型是否能达到更好的检测能力，是否在有效识别新攻击模式的同时维持对原先攻击模式的高检测率。

4、本发明所述的一种基于深度学习的网络入侵检测和漏洞扫描方法及装置，根据接收的新恶意样本文件，进行实时监控的模型增量式训练，得到分类模型，后续产生的恶意文件样本可通过分类模型自动识别分类，充分提升分类检测效果；并且通过自动测试新型漏洞，自动更新漏洞库，最终实现未知漏洞挖掘测试效率的大幅度提升。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。