一种基于时空特征学习的网络攻击监测方法与流程

1.本发明涉及网络监测技术领域，尤其涉及一种基于时空特征学习的网络攻击监测方法。


背景技术：

2.随着信息化的发展，网络也变得非常复杂，如何有效地检测出网络攻击，保证网络的安全渐渐成为了人们密切关注的问题，检测物联网网络攻击，主要就是对于网络中的恶意流量进行检测，防止恶意流量的入侵。由于网络中的流量越来越多，网络流量的检测任务也十分艰巨，恶意流量很容易混入其中成为漏网之鱼。恶意流量不仅能攻击人们的网站、服务器，也能攻击人们的账号，还能进行一些恶意的刷评论等操作，甚至能窃取人们的服务器的隐私数据，对于网络安全的威胁相当大。
3.现有的网络攻击监测方式主要分为四类，基于端口的方法、基于深度报文检测的方法、基于统计的方法、基于行为的方法等，在对网络攻击监测时，需要预先建立网络攻击的模拟集合，并且在模拟集合内对网络攻击的实时数据进行逐一对比分析，使得网络攻击监测的速度较慢，也无法对存在异常的网络攻击数据进行属性的准确识别判断，从而无法在第一时间提供真实可靠的结论，无法快速精确的消除网络攻击带来的影响。


技术实现要素：

4.本发明的目的是提供采用时间特征和空间特征的识别监测方式，准确判断网络攻击数据，并给出相对应应急措施，降低网络攻击影响的一种基于时空特征学习的网络攻击监测方法。
5.为了实现上述目的，本发明提供如下技术方案：一种基于时空特征学习的网络攻击监测方法，包括以下步骤：
6.s01：获取网络流量数据，并基于数据等值切分方式，将网络流量数据切分后转化为二维图像数据的格式；
7.s02：在第一神经网络的框架内，对二维图像数据进行特征标记，并获取二维图像数据的空间特征数据；
8.s03：在第二神经网络的框架内，对二维图像数据进行特征标记，并获取二维图像数据的时间特征数据；
9.s04；将获取的空间特征数据和时间特征数据与安全特征数据进行差异性对比，并标记标记差异性超过预设值的特征数据为异常特征数据；
10.s05：建立仿真模型，并向仿真模型导入异常特征数据后运行，根据仿真模型的运行趋势，评估异常特征数据的风险等级，判断网络攻击行为。
11.作为上述技术方案的进一步描述：
12.所述步骤s01中，网络流量数据经由数据等值切分后，形成长度和大小统一的网络流量数据节段，每个网络流量数据节段的前端和后端均闭合，防止数据的流失。
13.作为上述技术方案的进一步描述：
14.所述步骤s01中，生成的二维图像数据的格式边界和面积均统一，且二维图像数据经由灰度处理后，标记边界的临界点位置。
15.作为上述技术方案的进一步描述：
16.所述步骤s02中，第一神经网络为递归神经网络，用来将二维图像数据进行空间上的拆分，得到网络流量数据对应的数据包和向量序列。
17.作为上述技术方案的进一步描述：
18.所述步骤s03中，第二神经网络为卷积神经网络，用来将二维图像数据进行时间上的拆分，得到网络流量数据对应的数据包和向量序列。
19.作为上述技术方案的进一步描述：
20.所述步骤s04中，安全特征数据符合以下标准：
21.a：可靠性，确保网络流量数据运行过程的平稳，不会发生剧烈起伏波动现象；
22.b：真实性，确保网络流量数据的真实有效，不会出现虚假情况；
23.c：连续性，确保网络流量数据的稳态工况跨度长，不会出现断点、中端现象。
24.作为上述技术方案的进一步描述：
25.所述步骤s04中，差异性对比的步骤如下所示：
26.s04.1：将处于同一网络流量数据字段中的空间特征数据和时间特征数据整合为一个数据组；
27.s04.2：将数据组内的空间特征数据和时间特征数据依次与安全数据进行阈值的比较，得到差异值；
28.s04.3：将差异值超过预设值的数据组划分为异常特征数据，未超过的数据组划分为安全特征数据。
29.作为上述技术方案的进一步描述：
30.所述步骤s05中，仿真模型的建立步骤如下所示：
31.s05.1：拾取网络流量数据的节点，并标记网络流量数据的特征；
32.s05.2：依次连线各个节点，组成空白模型框架；
33.s05.3：向空包模型框架内对应位置导入特征，形成仿真模型。
34.作为上述技术方案的进一步描述：
35.所述异常特征数据的风险等级分为以下四级：
36.一级风险：网络流量数据的风险程度较低，表示网络攻击危害性较小，可以忽略；
37.二次风险：网络流量数据的风险程度一般，表示网络攻击危害性中等，需要系统自动消除；
38.三级风险：网络流量数据的风险程度较高，表示网络攻击危害性偏大，需要人工受到消除；
39.四级风险：网络流量数据的风险程度极高，表示网络攻击危害性较大，需要人工和系统组合消除。
40.在上述技术方案中，本发明提供的一种基于时空特征学习的网络攻击监测方法，具有以下有益效果：
41.该监测方法采用两个独立的神经网络框架，可以对网络流量数据内的空间特征和
时间特征进行独立的标记，并将差异性过大的异常特征数据导入仿真模型内，对异常特征数据进行安全风险等级的评估，即可对网络流量数据的属性进行全面的识别判断，准确的判定网络攻击的信息，为网络的安全运行提供安全可靠的数据支持。
附图说明
42.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
43.图1为本发明实施例提供的一种基于时空特征学习的网络攻击监测方法的流程示意图。
具体实施方式
44.为了使本领域的技术人员更好地理解本发明的技术方案，下面将结合附图对本发明作进一步的详细介绍。
45.如图1所示，一种基于时空特征学习的网络攻击监测方法，包括以下步骤：
46.s01：获取网络流量数据，并基于数据等值切分方式，将网络流量数据切分后转化为二维图像数据的格式；
47.s02：在第一神经网络的框架内，对二维图像数据进行特征标记，并获取二维图像数据的空间特征数据；
48.s03：在第二神经网络的框架内，对二维图像数据进行特征标记，并获取二维图像数据的时间特征数据；
49.s04；将获取的空间特征数据和时间特征数据与安全特征数据进行差异性对比，并标记标记差异性超过预设值的特征数据为异常特征数据；
50.s05：建立仿真模型，并向仿真模型导入异常特征数据后运行，根据仿真模型的运行趋势，评估异常特征数据的风险等级，判断网络攻击行为。
51.该监测方法采用两个独立的神经网络框架，可以对网络流量数据内的空间特征和时间特征进行独立的标记，并将差异性过大的异常特征数据导入仿真模型内，对异常特征数据进行安全风险等级的评估，即可对网络流量数据的属性进行全面的识别判断，准确的判定网络攻击的信息，为网络的安全运行提供安全可靠的数据支持。
52.步骤s01中，网络流量数据经由数据等值切分后，形成长度和大小统一的网络流量数据节段，每个网络流量数据节段的前端和后端均闭合，防止数据的流失。
53.步骤s01中，生成的二维图像数据的格式边界和面积均统一，且二维图像数据经由灰度处理后，标记边界的临界点位置。
54.步骤s02中，第一神经网络为递归神经网络，用来将二维图像数据进行空间上的拆分，得到网络流量数据对应的数据包和向量序列。
55.步骤s03中，第二神经网络为卷积神经网络，用来将二维图像数据进行时间上的拆分，得到网络流量数据对应的数据包和向量序列。
56.步骤s04中，安全特征数据符合以下标准：
57.a：可靠性，确保网络流量数据运行过程的平稳，不会发生剧烈起伏波动现象；
58.b：真实性，确保网络流量数据的真实有效，不会出现虚假情况；
59.c：连续性，确保网络流量数据的稳态工况跨度长，不会出现断点、中端现象。
60.步骤s04中，差异性对比的步骤如下所示：
61.s04.1：将处于同一网络流量数据字段中的空间特征数据和时间特征数据整合为一个数据组；
62.s04.2：将数据组内的空间特征数据和时间特征数据依次与安全数据进行阈值的比较，得到差异值；
63.s04.3：将差异值超过预设值的数据组划分为异常特征数据，未超过的数据组划分为安全特征数据。
64.步骤s05中，仿真模型的建立步骤如下所示：
65.s05.1：拾取网络流量数据的节点，并标记网络流量数据的特征；
66.s05.2：依次连线各个节点，组成空白模型框架；
67.s05.3：向空包模型框架内对应位置导入特征，形成仿真模型。
68.异常特征数据的风险等级分为以下四级：
69.一级风险：网络流量数据的风险程度较低，表示网络攻击危害性较小，可以忽略；
70.二次风险：网络流量数据的风险程度一般，表示网络攻击危害性中等，需要系统自动消除；
71.三级风险：网络流量数据的风险程度较高，表示网络攻击危害性偏大，需要人工受到消除；
72.四级风险：网络流量数据的风险程度极高，表示网络攻击危害性较大，需要人工和系统组合消除。
73.以上只通过说明的方式描述了本发明的某些示范性实施例，毋庸置疑，对于本领域的普通技术人员，在不偏离本发明的精神和范围的情况下，可以用各种不同的方式对所描述的实施例进行修正。因此，上述附图和描述在本质上是说明性的，不应理解为对本发明权利要求保护范围的限制。