一种模型训练方法、评价处理方法及装置与流程

本技术涉及网络安全处理，更具体地说，涉及一种模型训练方法、评价处理方法及装置。

背景技术：

1、网络靶场是用于模拟网络环境，提供网络攻防训练的平台，包括各种漏洞、攻击方式和网络设备等。

2、当前市面上网络靶场众多，虽然能提供漏洞复现环境供用户使用，但是训练方式较为单一，主要是从攻击角度进行网络安全训练，且靶标环境与真实网络环境相差较大，仿真度较差，从而降低了用户的网络安全防护能力，导致网络安全风险增加。

3、因此，如何降低网络安全风险，是本技术亟需解决的问题。

技术实现思路

1、有鉴于此，本技术公开了一种模型训练方法、评价处理方法及装置，旨在提高用户的网络安全防护能力，降低网络安全风险。

2、为了实现上述目的，其公开的技术方案如下：

3、本技术第一方面公开了一种模型训练方法，所述方法包括：

4、获取网络攻击类型流量中的五元组信息；所述五元组信息包括源ip、目标ip、协议类型、目标ip端口信息和载荷信息；

5、对所述五元组信息进行聚合，得到网络攻击类型对应的攻击流量特征值，并根据所述网络攻击类型对应的攻击流量特征值构建攻击识别模型；

6、通过所述攻击识别模型从获取到的全量流量中筛选出攻击流量，并将该攻击流量标记为六元组信息；所述六元组信息为打上网络攻击类型标签的五元组信息；所述全量流量为整个网络的全部流量数据；

7、将所述六元组信息作为训练数据集；

8、根据预设测试技术和所述训练数据集进行攻击生产建模，得到网络攻击模型。

9、优选的，所述获取网络攻击类型流量中的五元组信息，包括：

10、从预设信息源中获取网络攻击产生的流量信息；

11、按照预设漏洞类型分类方式，对所述网络攻击产生的流量信息中的各个字段进行标记，得到网络攻击类型流量中的五元组信息。

12、优选的，所述对所述五元组信息进行聚合，得到网络攻击类型对应的攻击流量特征值，并根据所述网络攻击类型对应的攻击流量特征值构建攻击识别模型，包括：

13、通过预设聚合方式，对所述五元组信息进行聚合，得到聚合结果；

14、若聚合结果表示源ip符合恶意ip条件，且协议类型为预设协议类型，确定网络攻击类型并确定目的ip受到网络攻击；

15、在目的ip受到网络攻击时，对攻击载荷信息进行核查，得到所述网络攻击类型对应的攻击流量特征值；

16、根据所述网络攻击类型对应的攻击流量特征值，构建攻击识别模型。

17、优选的，所述通过所述攻击识别模型从获取到的全量流量中筛选出攻击流量，并将该攻击流量标记为六元组信息，包括：

18、通过所述攻击识别模型对获取到的全量流量进行攻击类型识别，筛选出攻击流量；

19、将所述攻击流量标记为六元组信息。

20、优选的，所述根据预设测试技术和所述训练数据集进行攻击生产建模，得到网络攻击模型，包括：

21、获取训练数据集中的每种类型网络攻击类型六元组特征值与其对应的载荷信息；

22、通过预设处理方式对所述每种类型网络攻击类型六元组值与其对应的载荷信息进行处理，得到新的载荷信息；

23、将所述新的载荷信息在靶标环境下进行测试，将测试成功的数据作为自扩散模型的基础数据；

24、通过预设调整模型参数、预设优化方式和所述自扩散模型的基础数据，对自扩散模型进行调整优化，得到网络攻击模型。

25、优选的，靶标环境的构建过程，包括：

26、当检测到有网络攻击成功时，根据该网络攻击确定漏洞环境；

27、将所述漏洞环境进行封装，生成虚拟镜像；

28、将所述虚拟镜像上传至镜像仓库作为靶标环境。

29、优选的，还包括：

30、对网络攻击产生的流量信息进行预处理，得到告警提示信息；所述预处理至少包括去除异常数据操作、去除重复数据操作和去噪操作。

31、本技术第二方面公开了一种评价处理方法，适用于第一方面任意一项的模型训练方法得到的网络攻击模型，所述方法包括：

32、通过预设量化评估公式和处置后的数据，对所述网络攻击模型模拟生成的攻击数据进行评分，得到评分结果；其中，所述处置后的数据为对网络攻击产生的流量信息中的各个字段进行标记的数据；所述评分结果用于评估网络防御能力；

33、根据评分结果执行对应的处置操作。

34、本技术第三方面公开了一种模型训练装置，所述方法包括：

35、获取单元，用于获取网络攻击类型流量中的五元组信息；所述五元组信息包括源ip、目标ip、协议类型、目标ip端口信息和载荷信息；

36、聚合单元，用于对所述五元组信息进行聚合，得到网络攻击类型对应的攻击流量特征值，并根据所述网络攻击类型对应的攻击流量特征值构建攻击识别模型；

37、筛选单元，用于通过所述攻击识别模型从获取到的全量流量中筛选出攻击流量，并将该攻击流量标记为六元组信息；所述六元组信息为打上网络攻击类型标签的五元组信息；所述全量流量为整个网络的全部流量数据；

38、确定单元，用于将所述六元组信息作为训练数据集；

39、建模单元，用于根据预设测试技术和所述训练数据集进行攻击生产建模，得到网络攻击模型。

40、本技术第四方面公开了一种评价处理装置，适用于第三方面的模型训练装置得到的网络攻击模型，所述装置包括：

41、评分单元，用于预设量化评估公式和处置后的数据，对所述网络攻击模型模拟生成的攻击数据进行评分，得到评分结果；其中，所述处置后的数据为对网络攻击产生的流量信息中的各个字段进行标记的数据；所述评分结果用于评估网络防御能力；

42、处置单元，用于根据评分结果执行对应的处置操作。

43、经由上述技术方案可知，本技术公开了一种模型训练方法、评价处理方法及装置，获取网络攻击类型流量中的五元组信息，五元组信息包括源ip、目标ip、协议类型、目标ip端口信息和载荷信息，对五元组信息进行聚合，得到网络攻击类型对应的攻击流量特征值，并根据网络攻击类型对应的攻击流量特征值构建攻击识别模型，通过攻击识别模型从获取到的全量流量中筛选出攻击流量，并将该攻击流量标记为六元组信息，六元组信息为打上网络攻击类型标签的五元组信息，全量流量为整个网络的全部流量数据，将六元组信息作为训练数据集，根据预设测试技术和训练数据集进行攻击生产建模，得到网络攻击模型，通过预设量化评估公式和处置后的数据，对网络攻击模型模拟生成的攻击数据进行评分，得到评分结果。通过上述方案，对当前主流网络靶场的功能进行深入分析，将网络攻击产生的流量及网络安全技术人员的处置作为基础数据，基于采用聚类分析、模式识别、行为分析等技术对网络攻击流量分析，生成针对性的训练数据集，通过训练数据集训练基于深度学习技术构建的网络攻击模型，在网络安全训练中通过网络攻击模型模拟真实网络攻击，配合参训人员完成攻防演练对抗，通过预设量化评估公式和处置后的数据，对网络攻击模型模拟生成的攻击数据进行评分，对生产影响的大小、处置时长等多维度对网络攻击的难度进行量化评分，得到评分结果，评分结果作为用户能力评价核心指标，对于评分结果执行对应的处置操作，从而提高用户的网络安全防护能力，降低网络安全风险。