网络安全防御系统、方法、设备及存储介质

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全防御系统、方法、设备及存储介质。


背景技术：

2.互联网作为科技发展的产物，在人类社会中扮演着重要的角色，但随之而来的网络安全问题却成为用户与服务方的共同痛点、由于计算机网络的恶意攻击具备危害大、易实施、范围广和隐蔽性强等特点，因此，如何建立防御网络安全成为网络安全领域的研究热点。
3.相关技术中，现有网络安全防御系统针对网络入侵信息，通常使用预先设置的识别规则对网络入侵信息进行攻击类别的识别，当识别到攻击类别时，从现有对抗攻击策略库中选取对应的对抗策略，再使用选取的对抗策略阻止恶意攻击；当未识别到攻击类别时，使用漏洞修复、防火墙等方法进行被动防御。
4.然而，由于仅通过固定的识别规则确定攻击类别，并不能确保攻击类别的识别准确性，并且，当使用识别规则未识别到攻击类别时，仅通过被动防御也不能确保网络的安全性，从而导致现有网络安全防御系统的可靠性和安全性并不高。


技术实现要素：

5.本发明提供一种网络安全防御系统、方法、设备及存储介质，用以解决现有技术中仅通过固定的识别规则确定攻击类别以及使用识别规则未识别到攻击类别时仅通过被动防御阻止恶意攻击所导致的现有网络安全防御系统的可靠性和安全性并不高的缺陷，实现通过先使用自进化学习网络入侵信息所得到的目标对抗策略集群信息主动防御恶意攻击、再进行被动防御的方式，实现大幅提高网络安全防御系统的可靠性和安全性的目的。
6.本发明提供一种网络安全防御系统，包括网络安全模块、主动防御模块、策略评估模块和被动防御模块，所述网络安全模块分别与所述主动防御模块和所述策略评估模块连接，所述策略评估模块与所述被动防御模块连接；其中：
7.所述网络安全模块，用于获取入侵警告信息；
8.所述主动防御模块，用于确定与所述入侵警告信息匹配的目标对抗策略集群信息；所述目标对抗策略集群信息包括自学习所述入侵警告信息后确定的目标攻击类别及应对所述目标攻击类别的多个目标对抗策略信息；
9.所述网络安全模块，用于执行所述目标对抗策略集群信息，确定目标策略效能信息；
10.所述策略评估模块，用于确定所述目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
11.所述被动防御模块，用于基于所述指示信息执行被动防御。
12.根据本发明提供的一种网络安全防御系统，所述主动防御模块包括策略集群库单
元和自学习单元，所述策略集群库单元和所述自学习单元连接；其中：
13.所述策略集群库单元，用于基于所述入侵警告信息进行攻击类别识别，确定识别到的第一攻击类别，并基于预先存储的攻击类别-对抗策略集群信息的映射关系，确定所述第一攻击类别的第一对抗策略集群信息；
14.所述网络安全模块，用于执行所述第一对抗策略集群信息，确定第一策略效能信息，并在所述第一策略效能信息表征策略失败时，向所述自学习单元发送对抗策略学习指示；
15.所述策略评估模块，用于确定所述第一策略效能信息表征策略失败时，关闭连通通路；
16.所述自学习单元，用于基于所述对抗策略学习指示，对所述入侵警告信息进行自学习，确定与所述入侵警告信息匹配的目标对抗策略集群信息。
17.根据本发明提供的一种网络安全防御系统，所述自学习单元，还用于基于所述对抗策略学习指示，对所述入侵警告信息进行自学习，预测第二攻击类别及应对所述第二攻击类别的第二对抗策略集群信息；所述第二对抗策略集群信息含有与所述第一对抗策略集群信息不同的对抗策略信息；
18.所述网络安全模块，用于执行所述第二对抗策略集群信息，确定第二策略效能信息，并在所述第二策略效能信息表征策略失败时，继续向所述自学习单元发送对抗策略学习指示；直至所述自学习单元通过自学习确定所述目标对抗策略集群信息；或者用于在所述第二策略效能信息表征策略成功时，确定所述自学习单元确定的所述第二对抗策略集群信息为所述目标对抗策略集群信息。
19.根据本发明提供的一种网络安全防御系统，所述策略评估模块，还用于在所述第二策略效能信息表征策略成功时，开启连通通路，并生成表征主动防御生效的指示信息。
20.根据本发明提供的一种网络安全防御系统，还包括攻击检测模块，所述攻击检测模块与所述网络安全模块连接；所述攻击检测模块，用于实时检测携带有网络恶意入侵标识的可疑信号，基于所述可疑信号生成入侵警告信息，并将所述入侵警告信息发送至所述网络安全模块。
21.根据本发明提供的一种网络安全防御系统，还包括信息收集模块，所述信息收集模块分别与所述被动防御模块和所述主动防御模块连接；所述信息收集模块，用于确定针对所述入侵警告信息的主动防御和被动防御完成时，收集并封装所述目标攻击类别和所述目标对抗策略集群信息；
22.所述主动防御模块，还用于基于封装后的所述目标攻击类别和所述目标对抗策略集群信息进行策略自进化。
23.根据本发明提供的一种网络安全防御系统，所述自学习单元包括自编码器、softmax分类器和泛化筛选器，所述自编码器依次与所述softmax分类器和所述泛化筛选器连接；其中：
24.所述自编码器，用于对所述入侵警告信息进行自编码，确定所述入侵警告信息的目标特征数据和目标标签数据；
25.所述softmax分类器，用于对所述目标特征数据和所述目标标签数据进行概率预测，确定所述入侵警告信息的目标预测概率；
26.所述泛化筛选器，用于基于所述目标预测概率，确定所述目标预测概率对应的目标攻击类别和本次自学习的策略泛化条件，再基于所述策略泛化条件，从所述策略集群库单元中筛选出匹配所述目标攻击类别的目标对抗策略集群信息；其中，所述策略泛化条件基于本次自学习的泛化步长、所述目标预测概率策略泛化条件和分类域中的最大预测概率确定。
27.根据本发明提供的一种网络安全防御系统，所述自学习单元的训练过程为对初始自编码器和初始softmax分类器进行训练的过程，包括：
28.构建含有初始自编码器和初始softmax分类器的待训练网络模型；
29.确定训练样本集，所述训练样本集中每一训练样本均为样本入侵警告信息，每个所述样本入侵警告信息对应的样本攻击类别是确定的；
30.使用所述训练样本集对所述待训练网络模型进行训练，获取预设次数训练后的中间网络模型输出的样本预测概率集，所述样本预测概率集用于表征每个所述样本入侵警告信息属于不同样本攻击类别的预测概率；
31.确定所述样本预测概率集中的样本预测概率最大值，并确定所述样本概率最大值对应的预测攻击类别；
32.基于所述预测攻击类别与所述样本攻击类别的匹配成功结果，确定训练停止时对应的自编码器和softmax分类器。
33.根据本发明提供的一种网络安全防御系统，所述自学习单元，还用于在确定所述目标对抗策略集群信息的过程中进行学习参数优化。
34.本发明提供一种网络安全防御方法，包括：
35.获取入侵警告信息；
36.确定与所述入侵警告信息匹配的目标对抗策略集群信息；所述目标对抗策略集群信息包括自学习所述入侵警告信息后确定的目标攻击类别及应对所述目标攻击类别的对抗策略集群信息；
37.执行所述目标对抗策略集群信息，确定目标策略效能信息；
38.确定所述目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
39.基于所述指示信息执行被动防御。
40.根据本发明提供的一种网络安全防御方法，所述确定与所述入侵警告信息匹配的目标对抗策略集群信息，包括：
41.基于预先存储的攻击类别-对抗策略集群信息的映射关系，对所述入侵警告信息进行攻击类别识别；
42.基于攻击类别识别失败结果，则对所述入侵警告信息进行自学习，确定目标攻击类别及所述目标攻击类别对应的目标对抗策略集群信息。
43.根据本发明提供的一种网络安全防御方法，所述方法还包括：
44.基于攻击类别识别成功结果，确定识别到的第一攻击类别，并基于所述攻击类别-对抗策略集群信息的映射关系，确定第一对抗策略集群信息；
45.在执行所述第一对抗策略集群信息后所得的第一策略效能信息表征策略失败时，对所述入侵警告信息进行自学习，确定第二攻击类别及应对所述第二攻击类别的第二对抗
策略集群信息；
46.在执行所述第二对抗策略集群信息后所得的第二策略效能信息表征策略成功时，确定第二攻击类别为目标攻击类别，及所述第二对抗策略集群信息为目标对抗策略集群信息。
47.根据本发明提供的一种网络安全防御方法，所述方法还包括：
48.确定针对所述入侵警告信息的主动防御和被动防御完成时，收集并封装所述目标攻击类别和所述目标对抗策略集群信息；
49.基于封装后的所述目标攻击类别和所述目标对抗策略集群信息进行策略自进化。
50.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述网络安全防御方法。
51.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述网络安全防御方法。
52.本发明提供的网络安全防御系统、方法、设备及存储介质，其中网络安全防御系统，网络安全模块针对获取的入侵告警信息，先经由主动防御模块通过自学习入侵警告信息后确定目标攻击类别及应对目标攻击类别的目标对抗策略集群信息，待网络安全模块执行目标对抗策略集群信息后生成的目标策略效能信息表征策略成功时，策略评估模块再生成主动防御成功的指示信息，并使得被动防御模块执行被动防御。以此结合自主学习方式能够有效提高识别攻击类别的可靠性和准确性，并且通过先使用自进化学习网络入侵信息所得到的目标对抗策略集群信息主动防御恶意攻击、再进行被动防御的方式，大幅提高了网络安全防御系统的可靠性和安全性。
附图说明
53.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
54.图1是本发明提供的网络安全防御系统的结构示意图之一；
55.图2是本发明提供的网络安全防御系统的结构示意图之二；
56.图3是本发明提供的网络安全防御方法的流程示意图之一；
57.图4是本发明提供的网络安全防御方法的流程示意图之二；
58.图5是本发明提供的电子设备的结构示意图。
具体实施方式
59.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
60.下面结合图1-图5描述本发明的网络安全防御系统、方法、设备及存储介质。
61.参照图1，为本发明提供的网络安全防御系统的结构示意图，如图1所示，该网络安全防御系统，包括网络安全模块、主动防御模块、策略评估模块和被动防御模块，网络安全模块分别与主动防御模块和策略评估模块连接，策略评估模块与被动防御模块连接；其中：
62.网络安全模块，用于获取入侵警告信息；
63.主动防御模块，用于确定与入侵警告信息匹配的目标对抗策略集群信息；目标对抗策略集群信息包括自学习入侵警告信息后确定的目标攻击类别及应对目标攻击类别的多个目标对抗策略信息；
64.网络安全模块，用于执行目标对抗策略集群信息，确定目标策略效能信息；
65.策略评估模块，用于确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
66.被动防御模块，用于基于指示信息执行被动防御。
67.具体的，入侵警告信息用于表征存在恶意攻击的可疑信号；当网络安全模块获取到入侵警告信息时，先将入侵警告信息发送至主动防御模块，以指示主动模块确定入侵警告信息对应的目标攻击类别以及应对目标攻击类别的目标对抗策略集群信息，此时网络安全模块针对入侵警告信息执行目标对抗策略集群信息，并确定执行目标对抗策略集群信息后生成的目标策略效能信息，再进一步确定目标策略效能信息表征策略成功时，将目标策略效能信息发送至策略评估模块，使得策略评估模块生成表征主动防御生效的指示信息，最后被动防御模块在主动防御生效的情况下进行被动防御。
68.其中，入侵警告信息包括但不限定：入侵发生时间戳、目标id、识别情况与攻击类别等入侵详细信息；入侵警告信息包括但不限定如下字段标识：入侵发生时间戳是字符串类型，用于标注入侵发生时间；源ip是字符串类型，用于标注入侵发起源；目标ip是字符串类型，用于标注入侵目标ip；源端口是整数类型，用于标注入侵源端口；目的端口是整数类型，用于标注入侵目的端口；识别情况是布尔类型，用于标注恶意攻击的攻击类别是否成功识别；攻击类别是字符串类型，用于标注识别到的攻击类别；策略效能信息是由布尔类型表示策略是否成功的标识信息，比如策略成功时对应的策略效能信息为“true”，策略失败时对应的策略效能信息为“false”；并且，被动防御包括但不限定漏洞修补、防火墙、病毒防护与使用访问控制列表(access control list，acl)实现包过滤的方法等。
69.本发明提供的网络安全防御系统，网络安全模块针对获取的入侵告警信息，先经由主动防御模块通过自学习入侵警告信息后确定目标攻击类别及应对目标攻击类别的目标对抗策略集群信息，待网络安全模块执行目标对抗策略集群信息后生成的目标策略效能信息表征策略成功时，策略评估模块再生成主动防御成功的指示信息，并使得被动防御模块执行被动防御。以此结合自主学习方式能够有效提高识别攻击类别的可靠性和准确性，并且通过先使用自进化学习网络入侵信息所得到的目标对抗策略集群信息主动防御恶意攻击、再进行被动防御的方式，大幅提高了网络安全防御系统的可靠性和安全性。
70.可选的，主动防御模块可以具体包括策略集群库单元和自学习单元，策略集群库单元和自学习单元连接；其中：
71.策略集群库单元，用于基于入侵警告信息进行攻击类别识别，确定识别到的第一攻击类别，并基于预先存储的攻击类别-对抗策略集群信息的映射关系，确定第一攻击类别的第一对抗策略集群信息；
72.网络安全模块，用于执行第一对抗策略集群信息，确定第一策略效能信息，并在第一策略效能信息表征策略失败时，向自学习单元发送对抗策略学习指示；
73.策略评估模块，用于确定第一策略效能信息表征策略失败时，关闭连通通路；
74.自学习单元，用于基于对抗策略学习指示，对入侵警告信息进行自学习，确定与入侵警告信息匹配的目标对抗策略集群信息。
75.具体的，主动防御模块的集群策略库单元针对入侵警告信息，首先结合入侵警告信息携带的字段标识进行攻击类别识别且识别成功时，确定识别到的第一攻击类别，再基于预先存储的攻击类别-对抗策略集群信息的映射关系，确定应对第一攻击类别的第一对抗策略集群信息，若网络安全模块执行第一对抗策略信息后策略失败，说明确定的第一对抗策略信息失效，此时策略评估模块可以关闭连通通路以阻止恶意攻击进入系统，并且经由自学习单元学习入侵警告信息后确定与入侵警告信息匹配的目标对抗策略集群信息。
76.本发明提供的网络安全防御系统，主动防御模块通过集群策略库单元先识别入侵警告信息的攻击类别且识别到第一攻击类别，并经由网络安全模块执行第一攻击类别对应的第一对抗策略集群信息后策略失败时，再经由自学习单元通过自学习确定与入侵警告信息匹配的目标对抗策略集群信息。以此实现了主动防御的灵活性和可靠性。
77.可选的，自学习单元，还用于基于对抗策略学习指示，对入侵警告信息进行自学习，预测第二攻击类别及应对第二攻击类别的第二对抗策略集群信息；第二对抗策略集群信息含有与第一对抗策略集群信息不同的对抗策略信息；
78.网络安全模块，用于执行第二对抗策略集群信息，确定第二策略效能信息，并在第二策略效能信息表征策略失败时，继续向自学习单元发送对抗策略学习指示；直至自学习单元通过自学习确定目标对抗策略集群信息；或者用于在第二策略效能信息表征策略成功时，确定自学习单元确定的第二对抗策略集群信息为目标对抗策略集群信息。
79.具体的，主动防御模块的自学习单元针对首次接收到的对抗策略学习指示，先对入侵警告信息进行自学习，当通过自学习确定的第二攻击类别及应对第二攻击类别的第二对抗策略集群信息策略成功时，确定第二对抗策略集群信息为目标对抗策略集群信息；当第二对抗策略集群信息策略失败时，继续进行自学习；每次通过自学习所确定的对抗策略集群信息含有与前次对抗策略集群信息或第一对抗策略集群信息不同的对抗策略信息。直至确定出目标对抗策略集群信息。
80.本发明提供的网络安全防御系统，主动防御模块的自学习单元在当前所确定的第一对抗策略集群信息策略失败的情况下，再次通过自学习预测第二攻击类别及确定应对第二攻击类别的第二对抗策略集群信息策略成功时，确定目标对抗策略集群信息，或者第二对抗策略集群信息策略失败时继续进行自学习。由于每次通过自学习确定的对抗策略集群信息含有与前次对抗策略集群信息或第一对抗策略集群信息不同的对抗策略信息，因此通过自学习能够大幅提高了目标对抗策略集群信息的防御程度，从而有效提高了网络安全防御的可靠性和稳定性。
81.可选的，策略评估模块，还用于在第二策略效能信息表征策略成功时，开启连通通路，并生成表征主动防御生效的指示信息。
82.具体的，当第二策略效能信息表征策略成功时，在确定第二对抗策略集群信息为与入侵警告信息匹配的目标对抗策略集群信息、第二攻击类别为与入侵警告信息匹配的目
标攻击类别的情况下，策略评估模块可以开启连通通路，并生成表征主动防御生效的指示信息，以便于被动防御模块启动并进入被动防御模式。
83.本发明提供的网络安全防御系统，通过策略评估模块确定策略成功时开启连通通路且生成表征主动防御生效的提示信息的方式，实现告知后续被动防御模块主动防御完成且启动被动防御的目的，从而提高了主动防御的安全性和可靠性。
84.可选的，本发明提供的网络安全防御系统还可以包括攻击检测模块，攻击检测模块与网络安全模块连接；攻击检测模块，用于实时检测携带有网络恶意入侵标识的可疑信号，基于可疑信号生成入侵警告信息，并将入侵警告信息发送至网络安全模块。
85.具体的，攻击检测模块内预先设置有可疑信号的可疑特征，可疑特征也是所生成的入侵告警信息的字段标识，包括但不限定：入侵发生时间戳、源ip、目标ip、源端口、目的端口、源端口、针对恶意攻击的攻击类别的识别情况、攻击类别和策略效能信息。基于此，攻击检测模块可以实时检测含有可疑特征的可疑信号，并基于可疑信号生成入侵告警信息，再将入侵告警信息发送至网络安全模块。
86.本发明提供的网络安全防御系统，通过设置攻击检测模块实时检测可疑信号及基于检测到可疑信号生成入侵告警信息的方式，实现向网络安全模块及时发送入侵告警信息的目的，也提高了预防恶意攻击的及时性和可靠性。
87.可选的，本发明提供的网络安全防御系统还可以包括信息收集模块，信息收集模块分别与被动防御模块和主动防御模块连接；信息收集模块，用于确定针对入侵警告信息的主动防御和被动防御完成时，收集并封装目标攻击类别和目标对抗策略集群信息；主动防御模块，还用于基于封装后的目标攻击类别和目标对抗策略集群信息进行策略自进化。
88.具体的，当目标攻击类别和目标对抗策略集群信息是由自学习单元通过自学习后确定的，可以在主动防御和被动防御都完成时，将目标攻击类别和目标对抗策略集群信息存储至策略集群库单元中，以此实现策略自进化的目的，从而使得后续再次检测到含有目标攻击类别的入侵告警信息时，可以快速选取对应的目标对抗策略集群信息进行主动防御。
89.需要说明的是，策略集群库单元中预先存储的攻击类别-对抗策略集群信息的映射关系中每一攻击类别也可以携带有对应的字段标识，如果针对入侵警告信息携带的字段标识，对攻击类别-对抗策略集群信息的映射关系进行攻击类别识别且识别失败，则认为该映射关系中没有存储与入侵警告信息匹配的目标攻击类别，也没有应对目标攻击类别的目标对抗策略集群信息，此时则集群策略库单元可以直接向自学习单元发送对抗策略学习指示，并将自学习后确定的目标攻击类别和目标对抗策略集群信息也进行封装后对应存储至攻击类别-对抗策略集群信息的映射关系中，以此也可以完成策略自进化。
90.本发明提供的网络安全防御系统，通过设置信息收集模块对本次自学习新确定的目标攻击类别和目标对抗策略集群信息先进行封装、后发送至主动防御模块进行策略自进化的方式，实现及时扩充主动防御模块内集群策略库单元的目的，从而为后续主动防御的及时有效性提供可靠保障。
91.可选的，自学习单元包括自编码器、softmax分类器和泛化筛选器，自编码器依次与softmax分类器和泛化筛选器连接；其中：
92.自编码器，用于对入侵警告信息进行自编码，确定入侵警告信息的目标特征数据
和目标标签数据；
93.softmax分类器，用于对目标特征数据和目标标签数据进行概率预测，确定入侵警告信息的目标预测概率；
94.泛化筛选器，用于基于目标预测概率，确定目标预测概率对应的目标攻击类别和本次自学习的策略泛化条件，再基于策略泛化条件从策略集群库单元中筛选出匹配目标攻击类别的目标对抗策略集群信息；其中，策略泛化条件基于本次自学习的泛化步长、目标预测概率策略泛化条件和分类域中的最大预测概率确定。
95.具体的，自编码器可以是对入侵警告信息先进行预处理、后进行特征标签提取，确定入侵警告信息的目标特征数据和目标标签数据，目标特征数据和目标标签数据用于预测所属目标攻击类别的目标预测概率；softmax分类器可以对目标特征数据和目标标签数据先进行归一化、后进行概率预测，从而确定入侵警告信息的目标预测概率，目标预测概率表征入侵警告信息属于目标攻击类别的最大预测概率；泛化筛选器中预先设置的分类域中含有至少一个预测概率以及每个预测概率对应的攻击类别，每个预测概率是自编码器和softmax分类器在训练至训练结束的过程中，每次训练后预测得到的最大预测概率。当入侵警告信息经过自编码器的自编码和softmax分类器的概率预测后，确定目标预测概率，再经过泛化筛选器内设的分类域确定与目标预测概率对应的目标攻击类别，并确定本次自学习的策略泛化条件，从策略集群库单元中筛选出满足策略泛化条件的目标对抗策略集群信息，也即从策略集群库单元中筛选出满足θ
‘
*p
‘
＞p
‘
max
。θ
‘
为本次自学习的泛化步长，p
‘
为目标预测概率，p
‘
max
为分类域中的最大预测概率；θ
′‘
为前次自学习或者初始的泛化步长，a为学习率，f(s
min
)为策略集群库单元中概率最低的对抗策略信息的概率密度。
96.需要说明的是，预处理包括符号数值化、数据无量纲化和数据去冗余中的至少一种，符号数值化是将字符型数据转换为数值类型，数据无量纲是无量纲化处理为统一的数据维度，数据去冗余是将多次出现的重复数据及噪声数据删除。
97.本发明提供的网络安全防御系统，自学习单元先对入侵警告信息进行自编码、概率预测的自主学习，再基于确定的目标攻击类别泛化筛选匹配的目标对抗策略集群信息，以此结合自主学习和策略泛化方式提高了识别目标攻击类别及目标对抗策略集群信息的可靠性和准确性，从而也提高了网络安全防御系统的安全性和可靠性。
98.可选的，自学习单元的训练过程为对初始自编码器和初始softmax分类器进行训练的过程，包括：
99.首先，构建含有初始自编码器和初始softmax分类器的待训练网络模型；再确定训练样本集，训练样本集中每一训练样本均为样本入侵警告信息，每个样本入侵警告信息对应的样本攻击类别是确定的；进一步，使用训练样本集对待训练网络模型进行训练，获取预设次数训练后的中间网络模型输出的样本预测概率集，样本预测概率集用于表征每个样本入侵警告信息属于不同样本攻击类别的预测概率；然后，确定样本预测概率集中的样本预测概率最大值，并确定样本概率最大值对应的预测攻击类别；最后，基于预测攻击类别与样本攻击类别的匹配成功结果，确定训练停止时对应的自编码器和softmax分类器。
100.具体的，训练样本集包括大量训练样本，使用训练样本集对待训练网络模型进行
训练，可以是使用梯度下降法对待训练网络模型进行预设次数的训练，每次选取其中多个训练样本进行训练，每次训练后的中间网络模型输出样本预测概率集中含有多组样本特征数据和多组样本标签数据，每组样本特征数据和对应的一组样本标签数据可以预测得到一个样本预测概率，样本预测概率集这所有样本预测概率之和为1，其中一个样本入侵警告信息属于k种攻击类别的样本预测概率yk的公式为：
[0101][0102]
其中，n为攻击类别总数，z为样本预测概率集中含有的多组样本特征数据和多组样本标签数据，zk为第k组样本特征数据和第k组样本标签数据属于第k种攻击类别的样本预测概率，zj为第j组样本特征数据和第j组样本标签数据属于第j种攻击类别的样本预测概率。
[0103]
然后确定样本预测概率集中的样本预测概率最大值，并确定样本概率最大值对应的预测攻击类别，如果预测攻击类别与样本攻击类别匹配成功，则确定预设次数训练后的中间网络模型的损失达到最小，此时即可停止训练，并确定训练停止时对应的自编码器和softmax分类器；如果预测攻击类别与样本攻击类别匹配失败，则获取参数优化后的中间网络模型，再从训练样本集中重新选取多个训练样本对参数优化后的中间网络模型进行训练；直至训练预设次数后的中间网络模型的损失达到最小。其中每次训练后的中间网络模型的损失函数为：
[0104][0105]
本发明提供的网络安全防御系统，通过使用训练样本集对由初始自编码器和初始softmax分类器构建的待训练网络模型进行训练的方式，确定自学习单元，以此提高了后续应用中确定目标对抗策略集群信息的可靠性和准确性。
[0106]
可选的，自学习单元，还用于在确定目标对抗策略集群信息的过程中进行学习参数优化。以使得自学习的速率更快且自学习所得的目标对抗策略集群信息更加准确和可靠。
[0107]
参照图2，为本发明提供的网络安全防御系统的结构示意图，如图2所示，该网络安全防御系统包括攻击检测模块、网络安全模块、策略评估模块、主动防御模块、被动防御模块和信息收集模块，攻击检测模块依次与网络安全模块、策略评估模块、主动防御模块、被动防御模块和信息收集模块连接，网络安全模块与主动防御模块连接，信息收集模块与主动防御模块连接，其功能作用可参照前述网络安全防御系统的实施例。此处不再赘述。
[0108]
参照图3，为本发明提供的网络安全防御方法的流程示意图，如图3所示，该网络安全防御方法应用于前述网络安全防御系统，可以包括以下步骤：
[0109]
步骤310、获取入侵警告信息；
[0110]
步骤320、确定与入侵警告信息匹配的目标对抗策略集群信息；目标对抗策略集群信息包括自学习入侵警告信息后确定的目标攻击类别及应对目标攻击类别的对抗策略集群信息；
[0111]
步骤330、执行目标对抗策略集群信息，确定目标策略效能信息；
[0112]
步骤340、确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
[0113]
步骤350、基于指示信息执行被动防御。
[0114]
具体的，网络安全防御系统中的网络安全模块获取入侵警告信息；主动防御模块确定与入侵警告信息匹配的目标对抗策略集群信息；网络安全模块执行目标对抗策略集群信息，确定目标策略效能信息，策略评估模块确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息，被动防御模块基于指示信息执行被动防御，其具体执行过程可以参照前述网络安全防御系统的实施例。此处不再赘述。
[0115]
本发明提供的网络安全防御方法，针对获取的入侵告警信息，先通过自学习入侵警告信息后确定目标攻击类别及应对目标攻击类别的目标对抗策略集群信息，待执行目标对抗策略集群信息后生成的目标策略效能信息表征策略成功时，生成主动防御成功的指示信息，并执行被动防御。以此结合自主学习方式能够有效提高识别攻击类别的可靠性和准确性，并且通过先使用自进化学习网络入侵信息所得到的目标对抗策略集群信息主动防御恶意攻击、再进行被动防御的方式，大幅提高了网络安全防御系统的可靠性和安全性。
[0116]
可选的，步骤320的具体实现过程可以包括：
[0117]
首先基于预先存储的攻击类别-对抗策略集群信息的映射关系，对入侵警告信息进行攻击类别识别；再进一步基于攻击类别识别失败结果，则对入侵警告信息进行自学习，确定目标攻击类别及目标攻击类别对应的目标对抗策略集群信息。
[0118]
具体的，网络安全防御的主动防御模块基于预先存储的攻击类别-对抗策略集群信息的映射关系，对入侵警告信息进行攻击类别识别且识别失败时，由自学习单元通过自学习确定目标攻击类别及目标攻击类别对应的目标对抗策略集群信息。其具体实现过程可以参照前述网络安全防御系统的实施例。此处不再赘述。
[0119]
可选的，步骤320的具体实现过程还可以包括：
[0120]
基于攻击类别识别成功结果，确定识别到的第一攻击类别，并基于攻击类别-对抗策略集群信息的映射关系，确定第一对抗策略集群信息；在执行所述第一对抗策略集群信息后所得的第一策略效能信息表征策略失败时，对入侵警告信息进行自学习，确定第二攻击类别及应对第二攻击类别的第二对抗策略集群信息；在执行第二对抗策略集群信息后所得的第二策略效能信息表征策略成功时，确定第二攻击类别为目标攻击类别，及第二对抗策略集群信息为目标对抗策略集群信息。
[0121]
具体的，网络安全防御系统的主动防御模块基于攻击类别识别成功结果，确定识别到的第一攻击类别，并基于攻击类别-对抗策略集群信息的映射关系，确定第一对抗策略集群信息；网络安全防御系统的网络安全模块在执行第一对抗策略集群信息后所得的第一策略效能信息表征策略失败时，可以经由主动防御模块中的自学习单元对入侵警告信息进行自学习，确定第二攻击类别及应对第二攻击类别的第二对抗策略集群信息；网络安全防御系统的网络安全模块在执行第二对抗策略集群信息后所得的第二策略效能信息表征策略成功时，可以确定主动防御模块确定的第二攻击类别为目标攻击类别，及第二对抗策略集群信息为目标对抗策略集群信息。其具体实现过程可以参照前述网络安全防御系统的实施例。此处不再赘述。
[0122]
可选的，本发明提供的网络安全防御方法还可以包括：
[0123]
确定针对入侵警告信息的主动防御和被动防御完成时，收集并封装目标攻击类别和目标对抗策略集群信息；基于封装后的所述目标攻击类别和所述目标对抗策略集群信息进行策略自进化。
[0124]
具体的，网络安全防御系统的信息收集模块确定针对入侵警告信息的主动防御和被动防御完成时，收集并封装目标攻击类别和目标对抗策略集群信息，并将封装后的目标攻击类别和目标对抗策略集群信息发送至主动防御模块进行策略自进化。其具体实现过程可以参照前述网络安全防御系统的实施例。此处不再赘述。
[0125]
参照图4，为本发明提供的网络安全防御方法的流程示意图，如图4所示，该网络安全防御方法应用于前述网络安全防御系统，首先经由攻击检测模块实时检测可疑信号，并基于可疑信号生成入侵警告信息，再将入侵警告信息发送至网络安全模块，网络安全模块将入侵警告信息发送至主动防御模块，经由主动防御模块提供第一攻击类别和第一对抗策略集群信息，当网络安全模块执行第一对抗策略集群信息后策略失败时，经由主动防御模块通过自学习和策略泛化确定目标攻击类别和目标对抗策略集群信息，当网络安全模块执行目标对抗策略集群信息后策略成功时，被动防御模块执行被动防御，当主动防御和被动防御都完成时，信息收集模块收集并封装目标攻击类别和目标对抗策略集群信息，并将封装后的目标攻击类别和目标对抗策略集群信息发送至主动防御模块进行策略自进化。其具体实现过程可以参照前述网络安全防御系统的实施例。此处不再赘述。
[0126]
图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备500可以包括：处理器(processor)510、通信接口(communicationsinterface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行网络安全防御方法，该方法包括：
[0127]
获取入侵警告信息；
[0128]
确定与入侵警告信息匹配的目标对抗策略集群信息；目标对抗策略集群信息包括自学习入侵警告信息后确定的目标攻击类别及应对目标攻击类别的对抗策略集群信息；
[0129]
执行目标对抗策略集群信息，确定目标策略效能信息；
[0130]
确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
[0131]
基于指示信息执行被动防御。
[0132]
此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0133]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的网络安全防御方法，该方法包括：
[0134]
获取入侵警告信息；
[0135]
确定与入侵警告信息匹配的目标对抗策略集群信息；目标对抗策略集群信息包括自学习入侵警告信息后确定的目标攻击类别及应对目标攻击类别的对抗策略集群信息；
[0136]
执行目标对抗策略集群信息，确定目标策略效能信息；
[0137]
确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
[0138]
基于指示信息执行被动防御。
[0139]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的网络安全防御方法，该方法包括：
[0140]
获取入侵警告信息；
[0141]
确定与入侵警告信息匹配的目标对抗策略集群信息；目标对抗策略集群信息包括自学习入侵警告信息后确定的目标攻击类别及应对目标攻击类别的对抗策略集群信息；
[0142]
执行目标对抗策略集群信息，确定目标策略效能信息；
[0143]
确定目标策略效能信息表征策略成功时，生成表征主动防御生效的指示信息；
[0144]
基于指示信息执行被动防御。
[0145]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0146]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0147]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。