网络攻击方的识别方法、装置、存储介质以及电子设备与流程

文档序号:37282114发布日期:2024-03-12 21:22阅读:14来源:国知局
网络攻击方的识别方法、装置、存储介质以及电子设备与流程

本技术涉及网络安全领域,具体而言,涉及一种网络攻击方的识别方法、装置、存储介质以及电子设备。


背景技术:

1、随着互联网技术的不断发展,基于互联网的产品和服务呈现出大规模的增长,人们的生活与互联网紧密联系,大量用户和企业的信息在网络中进行交互。但是,随着数据交互量不断增多,企业对数据安全的需求也不断提高,为了保障用户信息的安全以及企业的正常运营,企业在面对成千上万的访问请求的时候,需要从海量的访问请求中识别出具有危险性的攻击请求,并及时使用应对措施对攻击进行防御。

2、当前在对访问请求进行识别的时候,通常采用的方法为获取多个访问请求,并通过专家对访问请求进行打标,将访问请求区分为攻击请求和普通请求,进一步通过攻击请求和普通请求作为样本数据对神经网络模型进行训练,从而使得神经网络模型可以对攻击请求进行识别。但是,由于不同的设备接收到的攻击请求不同,并且攻击请求的特征会随着被攻击方以及网络环境的改变发生变化,因此,仅使用攻击请求对模型进行训练后得到的预测模型的准确度较低,无法对部分攻击请求进行准确的识别。

3、针对相关技术中仅通过历史攻击请求训练得到的模型对部分攻击请求的识别准确度较低的问题,目前尚未提出有效的解决方案。


技术实现思路

1、本技术提供一种网络攻击方的识别方法、装置、存储介质以及电子设备,以解决相关技术中仅通过历史攻击请求训练得到的模型对部分攻击请求的识别准确度较低的问题。

2、根据本技术的一个方面,提供了一种网络攻击方的识别方法。该方法包括:确定待检测对象在m个时间段内访问的设备,得到m组被访问设备,并获取每组被访问设备在对应的时间段内接收到待检测对象发送的访问数据,得到m组访问数据,其中,m为正整数;依次将每组被访问设备、每组被访问设备对应的访问数据与待检测对象进行组合,得到m个无向图,其中,每个无向图中包括多个设备节点、一个对象节点和多条边,每个设备节点中包括设备数据,对象节点中包括待检测对象的特征数据,每条边包括访问数据;将m个无向图输入分类模型中,通过分类模型确定待检测对象的危险系数,并在危险系数大于预设值的情况下,确定待检测对象为攻击方,其中,分类模型由多组样本无向图和每组样本无向图中的样本对象的危险系数作为样本数据训练得到。

3、可选地,依次将每组被访问设备、每组被访问设备对应的访问数据与待检测对象进行组合,得到m个无向图包括:对于任意一组被访问设备,根据待检测对象的特征数据生成对象节点,根据每个被访问设备的设备数据生成设备节点,得到多个设备节点,根据待检测对象向每个被访问设备发送的访问数据生成边,得到多个边,其中,每个边中包括待检测对象向被访问设备发送的访问数据序列,访问数据序列中包括时间段内待检测对象向被访问设备发送的多个访问数据,每个访问数据中包括待检测对象向被访问设备发送的访问请求的访问特征;根据访问数据、被访问设备以及待检测对象之间的关联关系通过多个边将多个设备节点和对象节点进行连接,得到无向图;依次获取每组被访问设备的无向图,得到m个无向图。

4、可选地,分类模型由特征提取子模型和分类子模型组成,将m个无向图输入分类模型中,通过分类模型确定待检测对象的危险系数包括:依次将每个无向图输入特征提取子模型中,由特征提取子模型分别根据对象节点的特征数据计算对象节点的第一特征信息,以及根据每个设备节点的设备数据和每个设备节点对应的边的访问数据序列中的访问数据的访问特征计算对象节点的邻居节点的第二特征信息,得到m组特征信息,其中,每组特征信息中包括第一特征信息和第二特征信息;计算每组特征信息中的第一特征信息和第二特征信息的平均值,得到m个第三特征信息,并将m个第三特征信息输入分类子模型中,得到待检测对象的危险系数。

5、可选地,分类模型通过以下方式训练得到:获取历史对象集合,其中,历史对象集合中包括多个历史对象,以及每个历史对象的特征数据和每个历史对象的危险系数;获取历史设备集合,其中,历史设备集合中包括多个历史设备,以及每个历史设备的设备数据;设置n个样本时间段,并获取历史对象集合中的历史对象在每个样本时间段内对历史设备集合中的历史设备发送的历史访问数据,得到n个历史访问数据集合;根据历史对象集合、历史设备集合和n个历史访问数据集合生成n个样本无向图,并通过n个样本无向图对初始神经网络模型进行训练,得到分类模型。

6、可选地,根据历史对象集合、历史设备集合和n个历史访问数据集合生成n个样本无向图包括:对于每个样本时间段,获取该样本时间段下的历史访问数据集合,并从历史对象集合和历史设备集合中获取与历史访问数据集合具有关联关系的目标历史对象和目标历史设备,得到多个目标历史对象和多个目标历史设备;根据多个目标历史对象、多个目标历史设备和历史访问数据集合生成样本时间段内的样本无向图;依次获取每个样本时间段内的样本无向图,得到n个样本无向图。

7、可选地,确定待检测对象在m个时间段内访问的设备,得到m组被访问设备包括:确定执行确定待检测对象在m个时间段内访问的设备的时刻,得到当前时刻;获取m个预设时长,并按照当前时刻为基准,依据每个预设时长确定与当前时刻对应的历史时刻,得到m个历史时刻,其中,每个历史时刻与当前时刻之间的时间差为预设时长,每个预设时长的长度不同;获取每个历史时刻和当前时刻之间待检测对象访问的设备,得到m组被访问设备。

8、可选地,在确定待检测对象为攻击方之后,该方法还包括:获取待检测对象的ip信息,并将ip信息添加至每个被访问设备中,其中,被访问设备在接收到ip信息发送的访问请求后,禁止执行访问请求。

9、根据本技术的另一方面,提供了一种网络攻击方的识别装置。该装置包括:第一获取单元,用于确定待检测对象在m个时间段内访问的设备,得到m组被访问设备,并获取每组被访问设备在对应的时间段内接收到待检测对象发送的访问数据,得到m组访问数据,其中,m为正整数;组合单元,用于依次将每组被访问设备、每组被访问设备对应的访问数据与待检测对象进行组合,得到m个无向图,其中,每个无向图中包括多个设备节点、一个对象节点和多条边,每个设备节点中包括设备数据,对象节点中包括待检测对象的特征数据,每条边包括访问数据;确定单元,用于将m个无向图输入分类模型中,通过分类模型确定待检测对象的危险系数,并在危险系数大于预设值的情况下,确定待检测对象为攻击方,其中,分类模型由多组样本无向图和每组样本无向图中的样本对象的危险系数作为样本数据训练得到。

10、根据本发明的另一方面,还提供了一种计算机存储介质,计算机存储介质用于存储程序,其中,程序运行时控制计算机存储介质所在的设备执行一种网络攻击方的识别方法。

11、根据本发明的另一方面,还提供了一种电子设备,包含一个或多个处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种网络攻击方的识别方法。

12、通过本技术,采用以下步骤:确定待检测对象在m个时间段内访问的设备,得到m组被访问设备,并获取每组被访问设备在对应的时间段内接收到待检测对象发送的访问数据,得到m组访问数据,其中,m为正整数;依次将每组被访问设备、每组被访问设备对应的访问数据与待检测对象进行组合,得到m个无向图,其中,每个无向图中包括多个设备节点、一个对象节点和多条边,每个设备节点中包括设备数据,对象节点中包括待检测对象的特征数据,每条边包括访问数据;将m个无向图输入分类模型中,通过分类模型确定待检测对象的危险系数,并在危险系数大于预设值的情况下,确定待检测对象为攻击方,其中,分类模型由多组样本无向图和每组样本无向图中的样本对象的危险系数作为样本数据训练得到。解决了相关技术中仅通过历史攻击请求训练得到的模型对部分攻击请求的识别准确度较低的问题。通过生成不同时间段内的待检测对象和被访问设备之间的访问行为图网络,从而可以得到待检测对象、被访问对象以及访问操作之间的关联性,从而根据待检测对象、被访问对象以及访问操作的特征数据对待检测对象进行识别,同时使用多个时间段下的无向图对模型进行训练,进一步增加了不同时间下的特征数据的数量,从而通过增加感受野增强待检测对象与设备之间的关联性和发展趋势的预测准确性,并通过多个无向图中的特征数据对模型进行训练,进而达到了提高模型确定待检测对象是否为攻击方的准确性的效果。

当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1