CN109308494B - Lstm模型及基于该模型的网络攻击识别方法及*** - Google Patents

Lstm模型及基于该模型的网络攻击识别方法及*** Download PDF

Info

Publication number
CN109308494B
CN109308494B CN201811127061.9A CN201811127061A CN109308494B CN 109308494 B CN109308494 B CN 109308494B CN 201811127061 A CN201811127061 A CN 201811127061A CN 109308494 B CN109308494 B CN 109308494B
Authority
CN
China
Prior art keywords
data
network request
request data
network
dictionary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811127061.9A
Other languages
English (en)
Other versions
CN109308494A (zh
Inventor
姚鸿富
陈奋
陈荣有
程长高
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Fuyun Information Technology Co ltd
Original Assignee
Xiamen Fuyun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Fuyun Information Technology Co ltd filed Critical Xiamen Fuyun Information Technology Co ltd
Priority to CN201811127061.9A priority Critical patent/CN109308494B/zh
Publication of CN109308494A publication Critical patent/CN109308494A/zh
Application granted granted Critical
Publication of CN109308494B publication Critical patent/CN109308494B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Technology Law (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及LSTM循环神经网络模型及基于该模型的网络攻击识别方法,所述LSTM循环神经网络模型的建立过程包括以下步骤:S100:采集多个文本格式的网络请求数据作为训练数据集,并根据网络请求数据的内容为每个网络请求数据设定标签类别;S200:对训练数据集中的网络请求数据进行预处理,转化为预设长度的数字序列型数据;S300:根据训练数据集中的数字序列型数据,进行训练,构建LSTM循环神经网络模型。本发明通过将网络请求数据转化为数字序列型数据,进而使用该数据组成的训练数据集进行训练,构建LSTM循环神经网络模型,进而实现网络请求数据的类别的预测。

Description

LSTM模型及基于该模型的网络攻击识别方法及***
技术领域
本发明涉及网络安全技术领域,尤其涉及LSTM循环神经网络模型及基于该模型的网络攻击识别方法。
背景技术
随着信息化战略的持续推进和互联网、云计算等技术的大力发展,越来越多的企业相关业务完成了数据化转型将业务搬上网络端。但是由于网络应用本身的开放性和不可控性,以及网络应用开发人员的局限性,网络应用极大可能存在可供利用的网络漏洞。黑客利用这些漏洞可以开展诸如SQL注入,XSS攻击等网络攻击,给网站带来网站瘫痪、信息泄露、网页篡改、挂马等风险,给网站公司主体及其用户带来巨大的损失。
目前市面上针对网络应用防护,主流的解决方案是基于正则规则的网站应用级入侵防御***。这种基于规则的防护方法在面对灵活多变的网络攻击时,往往导致误报或漏报,并且规则的制定和维护需要有专业的安全相关人员负责,尽管如此,还是很难涵盖攻击的种种变形,面对未知攻击和0day攻击则难以有效应对,甚至有可能出现规则之间的冲突,另外规则的制定很难把握误判与漏判问题的平衡问题,太严格的规则容易误杀正常业务流量,造成误判。太松散的规则则容易被绕过,造成漏判。
发明内容
针对上述问题,本发明旨在提供一种LSTM循环神经网络模型及基于该模型的网络攻击识别方法,通过将网络请求数据转化为数字序列型数据,进而使用该数据组成的训练数据集进行训练,构建LSTM循环神经网络模型,进而实现网络请求数据的类别的识别。
具体方案如下:
一种用于网络攻击类别识别的LSTM循环神经网络模型,所述LSTM循环神经网络模型的建立过程包括以下步骤:
S100:采集多个文本格式的网络请求数据作为训练数据集,并根据网络请求数据的内容为每个网络请求数据设定标签类别;
S200:对训练数据集中的网络请求数据进行预处理,转化为预设长度的数字序列型数据;
所述预处理包括解码、中文字符替换、大小写变换、字典提取、序列编码和序列长度处理;
所述解码为:将网络请求数据中包含的编码还原成所述编码对应的编码前的字符;
所述中文字符替换为:将非字母、数字和符号的字符统一替换为小写字母’ z’;
所述大小写变换为:将大写字符转化为小写字符;
所述字典提取为:以单字符为单位统计每个字符在数据集中出现的次数,按次数降序排列字典编号形成字典,此外,设定序列补位的字符为“+”,其字典编号为0,未在训练数据集出现过的字符编码为“z”,其字典编号为1;
所述序列编码为:根据字典中设置的字符的字典编号将网络请求数据中的字符替换为字典编号,将字典中未记录的字符使用字符“z”代替,并设定其字典编号为1,形成数字序列型数据;
所述序列长度处理为:根据设定的预设长度,将上述数字序列型数据进行长度处理,使所有数字序列型数据的长度均为预设长度。
S300:根据训练数据集中的数字序列型数据,进行训练,构建LSTM循环神经网络模型。
进一步的,所述标签类别包括三种,分别为类别1:正常的网络请求数据;类别2:包含SQL注入攻击的网络请求数据;类别3:包含XSS攻击的网络请求数据。
进一步的,所述长度处理包括头部操作和尾部操作中的一种,所述头部操作为:针对长度不足预设长度的数字序列型数据,在其前面使用字典编号0补齐,针对超过预设长度的序列截去前面超过预设长度的部分;所述尾部操作为:针对长度不足预设长度的数字序列型数据,在其后面使用字典编号0补齐,针对超过预设长度的序列截去后面超过预设长度的部分。
进一步的,步骤S300包括以下步骤:
S301:设置嵌入层;
S302:使用Dropout层随机断开一定比例的网络连接避免过拟合;
S303:连接LSTM层并指定一定比例的Dropout;
S304:连接一个全连接层和一个softmax层,输出结果为对应到每种标签类别的类别概率;
S305:设定优化器为adam随机梯度下降,设定损失函数为多分类交叉熵函数,设定衡量指标为准确率,经过若干轮训练直到模型收敛。
一种网络攻击识别方法,基于本发明实施例所述的用于网络攻击类别识别的LSTM循环神经网络模型,包括:对网络请求数据进行预处理,得到预设长度的数字序列型数据,使用LSTM循环神经网络模型对该数字序列型数据的标签类别的概率进行识别,得到每种标签类别的类别概率,将类别概率中概率值最大的维度对应的标签类别作为该网络请求数据的标签类别。
一种网络攻击识别***,基于本发明实施例所述的网络攻击识别方法,包括:数据输入单元、数据转化单元、LSTM模型单元和决策单元,所述数据输入单元将接受到的网络请求数据发送至数据转化单元,所述数据转化单元将网络请求数据进行预处理转化后,得到预设长度的数字序列型数据后,将该数字序列型数据发送至LSTM模型单元,所述LSTM模型单元对该数字序列型数据的标签类别的概率进行识别,输出每种标签类别的类别概率至决策单元,所述决策单元判断该数据为攻击类别的概率是否大于或等于预设的概率阈值,如果是,则进行拦截,否则,则不拦截。
本发明采用如上技术方案,在海量标记数据上采取监督学习的方式训练模型,最终模型能够取得99.7%以上的准确率。本发明使用的模型,是基于文本数据的字符级别的编码,且经过预处理,因此具有特征编码少的特点,模型参数个数不多,模型的权重文件小,具有更好的实用性。并且采用LSTM是属于深度学习方法,避免了繁琐的特征工程,简单的数据预处理就能将原始数据规整为模型的输入格式,具有实现简单的特点。
附图说明
图1所示为本发明实施例一的流程示意图。
图2所示为本发明实施例一步骤S200中预处理的流程示意图。
图3所示为本发明实施例一中LSTM循环神经网络模型的示意图。
图4所示为本发明实施例一中模型训练过程中的准确率和损失函数变化情况图。
图5所示为本发明实施例三中网络攻击识别***的结构示意图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
参考图1~3所示,本发明提供了一种用于网络攻击类别识别的LSTM循环神经网络模型,所述LSTM循环神经网络模型的建立过程包括以下步骤:
S100:采集多个文本格式的网络请求数据作为训练数据集,并根据网络请求数据的内容为每个网络请求数据设定标签类别。
所述多个在本领域中多指大量或海量的数据,数据的数量越多,最终的模型越准确。
所述网络请求数据根据网络攻击的类型可以分别多种类别,主要分为正常的网络请求数据和攻击类别的网络请求数据,该实施例中,主要是区分SQL注入攻击和XSS攻击,因此,所述标签类别包括三种,分别为类别1:正常的网络请求数据;类别2:包含SQL注入攻击的网络请求数据;类别3:包含XSS 攻击的网络请求数据,即类别2和类别3均属于攻击类别网络请求数据。
S200:对训练数据集中的网络请求数据进行预处理,转化为预设长度的数字序列型数据。
所述预设长度为根据需求设定的LSTM循环神经网络模型的输入样本的长度,本领域技术人员可以自行设定预设长度的大小。
所述预处理包括:解码、中文字符替换、大小写变换、字典提取、序列编码和序列长度处理等。
所述解码为:将网络请求数据中包含的编码还原成所述编码对应的编码前的字符。所述编码可以为url编码和Unicode编码等常见编码。
所述中文字符替换为:将中文字符等非字母、数字、符号的字符统一替换为小写字母’z’。
所述大小写变换为:将大写字符转化为小写字符。
所述字典提取为:以单字符为单位统计每个字符在数据集中出现的次数,按次数降序排列字典编号形成字典,此外,设定序列补位的字符为“+”,其字典编号为0,未在训练数据集中出现过的字符编码为“z”,其字典编号为1。字典可以文件形式长期保存。
所述序列编码为:根据字典中设置的字符的字典编号将网络请求数据中的字符替换为字典编号,将字典中未记录的字符使用字符“z”代替,并设定其字典编号为1,形成数字序列型数据。
所述序列长度处理为:根据需要的长度,将网络请求数据中的数字序列型数据进行长度处理,使所有数字序列型数据均为预设长度。
所述长度处理可以为头部操作,也可以为尾部操作。
所述头部操作为:针对长度不足预设长度的字符序列型数据在其前面使用补位符号“+”补齐,同时,其对应的数字序列型数据在其前面使用字典编号0 补齐,针对超过长度的序列截去前面超过序列长度的部分。
所述尾部操作为:针对长度不足预设长度的字符序列型数据在其后面使用补位符号“+”补齐,同时,其对应的数字序列型数据在其后面使用字典编号0 补齐,针对超过长度的序列截去后面超过序列长度的部分。
由于文本格式的网络请求数据不能直接作为LSTM循环神经网络模型的输入,需将其转化为预设长度的数字序列型数据。该实例中采用的是基于文本数据字符级别编码的方式获得上述数字序列型数据。且原始网络请求数据经过解码中文替换大小写转化等预处理后,有效字符大大减少,因此使得所述字典文件较小,网络请求的特征编码简单,进一步也使得模型的参数数量减少,模型复杂度不至于太高,具有更好的实用性。
S300:根据训练数据集中的数字序列型数据,进行训练,构建LSTM循环神经网络模型,具体包括一下步骤:
S301:设置嵌入层(Embedding):该实施例中优选设定所述嵌入层的参数EMBEDDING_SIZE为128,假设N为输入的样本量,则嵌入层的输出结构为(N,预设长度,128),每个输入样本的长度均为预设长度,即包含预设长度个字符,每个字符均表示为128维的向量,则每个输入样本为(预设长度,128),N个输入样本为(N,预设长度,128)。所述128为通过实验综合考虑模型的复杂性和准确性设置的,当参数越大时,模型越复杂,计算量越大,当参数越小时,模型越简单,但准确性不够高。通过嵌入层提取字符级别的词向量,将单一字符表示为128维的向量,抽取的词向量输入到LSTM层。
S302:使用Dropout层随机断开一定比例的网络连接避免过拟合。
所述Dropout是指在深度学习网络的训练过程中,对于神经网络单元,按照一定的概率将其暂时从网络中丢弃。
所述一定比例本领域技术人员可以根据经验和实验结果来设定。
S303:连接LSTM层并指定一定比例的Dropout。
该实施例中,所述LSTM的输出为64维向量,即单一网络请求通过LSTM 层抽取成64维的文本向量。
所述一定比例本领域技术人员可以根据经验和实验结果来设定。
S304:连接一个全连接层(Dense)和一个softmax层,输出结果为映射到每种标签类别的类别概率。
该实施例中,使用全连接层作为分类器,使用softmax层使得模型的输出映射到类别概率。
S305:设定优化器为adam随机梯度下降,设定损失函数为多分类交叉熵(categorical_crossentropy),设定衡量指标为准确率(accuracy),模型收敛后进行保存。
使用Adam梯度下降算法优化器训练模型,将训练数据集以8:2的比例划分开发训练集合开发测试集。Adam梯度下降优化器会通过对损失函数优化的方式来更新整个神经网络的参数,其中损失函数通过多分类交叉熵的方式定义如下:
Figure BDA0001812724400000081
其中p是softmax的输出,即每种标签的类别概率,t是每个网络请求数据的真实标签,i是数据位,j是标签位。
该实施例中得训练模型在30个迭代次数(epoch)左右达到收敛,保存模型到本地。
模型准确性测试:
采用步骤S100和S200的方法,建立测试数据集,使用测试数据集中的网络请求数据对步骤S300所述的LSTM循环神经网络模型进行测试,根据LSTM 循环神经网络模型输出的类别概率,将概率值最大的维度对应的标签类别作为该网络请求数据的标签类别,将该标签类别与之前标识的类别进行对比,以计算准确率。
实验结果:
如图4所示,显示了模型训练过程中的准确率变化情况和损失函数变化情况,可以看见模型最终收敛并具有99.5%以上的准确率。
在实验中使用13万条请求数据做训练,14000条样本数据做测试,测试结果的混淆矩阵如下表1所示,准确率达到99.8%。
表1
真实标签0 真实标签1 真实标签2
预测标签0 6049 11 0
预测标签1 7 7170 1
预测标签2 2 0 759
本发明该实施例一不仅免去了编写正则规则的麻烦,同时相比于其他传统机器学习方法,免去了繁琐的特征工程的过程,通过嵌入层使得数据的特征在模型中自动提取,体现了深度学习的优越性。
实施例二:
一种网络攻击识别方法,基于实施例一所述的用于网络攻击类别识别的 LSTM循环神经网络模型,该方法包括:对网络请求数据进行预处理,得到预设长度的数字序列型数据,使用LSTM循环神经网络模型对该数字序列型数据的标签类别的概率进行识别,得到每种标签类别的类别概率,将类别概率中概率值最大的维度对应的标签类别作为该网络请求数据的标签类别,根据预测的结果来选择是否进行拦截。
所述是否进行拦截的识别具体可以设置概率阈值,当类别2或类别3的概率大于等于该概率阈值时进行拦截,否则,则不拦截。
该实施例中,设置概率阈值为0.6,只有类别2或3的概率大于等于0.6是才会进行拦截,小于则不拦截。
实施例三:
如图5所示,一种网络攻击识别***,基于实施例二所述的网络攻击识别方法,包括数据输入单元、数据转化单元、LSTM模型单元和决策单元,所述数据输入单元将接受到的网络请求数据发送至数据转化单元,所述数据转化单元将网络请求数据进行预处理转化后,得到预设长度的数字序列型数据后,将该数字序列型数据发送至LSTM模型单元,所述LSTM模型单元对该数字序列型数据的标签类别的概率进行识别,输出每种标签类别的类别概率至决策单元,所述决策单元判断该数据为攻击类别的概率是否大于或等于预设的概率阈值,如果是,则进行拦截,否则,则不拦截。
所述攻击类别为出正常网络请求数据之外的数据的类别,该实施例中,所述攻击类别为类别2或类别3。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。

Claims (6)

1.一种用于网络攻击类别识别的LSTM循环神经网络模型,其特征在于:所述LSTM循环神经网络模型的建立过程包括以下步骤:
S100:采集多个文本格式的网络请求数据作为训练数据集,并根据网络请求数据的内容为每个网络请求数据设定标签类别,所述标签类别包括正常的网络请求数据和攻击类别的网络请求数据;
S200:对训练数据集中的网络请求数据进行预处理,转化为预设长度的数字序列型数据;
所述预处理包括解码、中文字符替换、大小写变换、字典提取、序列编码和序列长度处理;
所述解码为:将网络请求数据中包含的编码还原成所述编码对应的编码前的字符;
所述中文字符替换为:将非字母、数字和符号的字符统一替换为小写字母“z”;
所述大小写变换为:将大写字符转化为小写字符;
所述字典提取为:以单字符为单位统计每个字符在数据集中出现的次数,按次数降序排列字典编号形成字典,此外,设定序列补位的字符为“+”,其字典编号为0,未在训练数据集中出现过的字符编码为“z”,其字典编号为1;
所述序列编码为:根据字典中设置的字符的字典编号将网络请求数据中的字符替换为字典编号,将字典中未记录的字符使用字符“z”代替,并设定其字典编号为1,形成数字序列型数据;
所述序列长度处理为:根据设定的预设长度,将上述数字序列型数据进行长度处理,使所有数字序列型数据的长度均为预设长度;
S300:根据训练数据集中的数字序列型数据,进行训练,构建LSTM循环神经网络模型。
2.根据权利要求1所述的用于网络攻击类别识别的LSTM循环神经网络模型,其特征在于:所述标签类别包括三种,分别为类别1:正常的网络请求数据;类别2:包含SQL注入攻击的网络请求数据;类别3:包含XSS攻击的网络请求数据。
3.根据权利要求1所述的用于网络攻击类别识别的LSTM循环神经网络模型,其特征在于:所述长度处理包括头部操作和尾部操作中的一种,所述头部操作为:针对长度不足预设长度的数字序列型数据,在其前面使用字典编号0补齐,针对超过预设长度的序列截去前面超过预设长度的部分;所述尾部操作为:针对长度不足预设长度的数字序列型数据,在其后面使用字典编号0补齐,针对超过预设长度的序列截去后面超过预设长度的部分。
4.根据权利要求1所述的用于网络攻击类别识别的LSTM循环神经网络模型,其特征在于:步骤S300包括以下步骤:
S301:设置嵌入层;
S302:使用Dropout层随机断开一定比例的网络连接避免过拟合;
S303:连接LSTM层并指定一定比例的Dropout;
S304:连接一个全连接层和一个softmax层,输出结果为对应到每种标签类别的类别概率;
S305:设定优化器为adam随机梯度下降,设定损失函数为多分类交叉熵函数,设定衡量指标为准确率,多次迭代直到模型收敛。
5.一种网络攻击识别方法,基于权利要求1~4中任一所述的用于网络攻击类别识别的LSTM循环神经网络模型,其特征在于,包括:对网络请求数据进行预处理,得到预设长度的数字序列型数据,使用LSTM循环神经网络模型对该数字序列型数据的标签类别的概率进行预测,得到每种标签类别的类别概率,将类别概率中概率值最大的维度对应的标签类别作为该网络请求数据的标签类别。
6.一种网络攻击识别***,基于权利要求5所述的网络攻击识别方法,其特征在于,包括:数据输入单元、数据转化单元、LSTM模型单元和决策单元,所述数据输入单元将接受到的网络请求数据发送至数据转化单元,所述数据转化单元将网络请求数据进行预处理转化后,得到预设长度的数字序列型数据后,将该数字序列型数据发送至LSTM模型单元,所述LSTM模型单元对该数字序列型数据的标签类别的概率进行识别,输出每种标签类别的类别概率至决策单元,所述决策单元判断该数据为攻击类别的概率是否大于或等于预设的概率阈值,如果是,则进行拦截,否则,则不拦截。
CN201811127061.9A 2018-09-27 2018-09-27 Lstm模型及基于该模型的网络攻击识别方法及*** Active CN109308494B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811127061.9A CN109308494B (zh) 2018-09-27 2018-09-27 Lstm模型及基于该模型的网络攻击识别方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811127061.9A CN109308494B (zh) 2018-09-27 2018-09-27 Lstm模型及基于该模型的网络攻击识别方法及***

Publications (2)

Publication Number Publication Date
CN109308494A CN109308494A (zh) 2019-02-05
CN109308494B true CN109308494B (zh) 2021-06-22

Family

ID=65225092

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811127061.9A Active CN109308494B (zh) 2018-09-27 2018-09-27 Lstm模型及基于该模型的网络攻击识别方法及***

Country Status (1)

Country Link
CN (1) CN109308494B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110135566A (zh) * 2019-05-21 2019-08-16 四川长虹电器股份有限公司 基于lstm二分类神经网络模型的注册用户名检测方法
CN110138793A (zh) * 2019-05-21 2019-08-16 哈尔滨英赛克信息技术有限公司 一种基于交互行为分析的网络渗透识别方法
CN112149818B (zh) * 2019-06-27 2024-04-09 北京数安鑫云信息技术有限公司 威胁识别结果评估方法和装置
CN110581864B (zh) * 2019-11-11 2020-02-21 北京安博通科技股份有限公司 一种sql注入攻击的检测方法及装置
CN111131237B (zh) * 2019-12-23 2020-12-29 深圳供电局有限公司 基于bp神经网络的微网攻击识别方法及并网接口装置
CN111586071B (zh) * 2020-05-19 2022-05-20 上海飞旗网络技术股份有限公司 一种基于循环神经网络模型的加密攻击检测方法及装置
CN111753926B (zh) * 2020-07-07 2021-03-16 中国生态城市研究院有限公司 一种用于智慧城市的数据共享方法及***
CN112887304B (zh) * 2021-01-25 2022-12-30 山东省计算中心(国家超级计算济南中心) 基于字符级神经网络的web应用入侵检测方法及***
CN112822206B (zh) * 2021-01-29 2021-12-07 清华大学 网络协同攻击行为的预测方法、装置以及电子设备
CN113343642B (zh) * 2021-08-09 2021-11-02 浙江浙能技术研究院有限公司 基于有监督序列生成网络的集团级kks编码自动映射方法
CN114169432B (zh) * 2021-12-06 2024-06-18 南京墨云科技有限公司 一种基于深度学习的跨站脚本攻击识别方法
CN114352947B (zh) * 2021-12-08 2024-03-12 天翼物联科技有限公司 一种燃气管道泄漏检测方法、***、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8225402B1 (en) * 2008-04-09 2012-07-17 Amir Averbuch Anomaly-based detection of SQL injection attacks
CN106295338A (zh) * 2016-07-26 2017-01-04 北京工业大学 一种基于人工神经元网络的sql漏洞检测方法
CN108259494A (zh) * 2018-01-17 2018-07-06 北京邮电大学 一种网络攻击检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8225402B1 (en) * 2008-04-09 2012-07-17 Amir Averbuch Anomaly-based detection of SQL injection attacks
CN106295338A (zh) * 2016-07-26 2017-01-04 北京工业大学 一种基于人工神经元网络的sql漏洞检测方法
CN108259494A (zh) * 2018-01-17 2018-07-06 北京邮电大学 一种网络攻击检测方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Long Short Term Memory Recurrent Nerual Network Classifier for Intrusion Detection》;J Kim,et al;《International Conference on Platform Technology&Service》;20160430;第1-5页 *
《网络攻击检测的门控记忆网络方法》;王家宝,等;《计算机应用研究》;20180524;第2454-2468页 *

Also Published As

Publication number Publication date
CN109308494A (zh) 2019-02-05

Similar Documents

Publication Publication Date Title
CN109308494B (zh) Lstm模型及基于该模型的网络攻击识别方法及***
CN111709241B (zh) 一种面向网络安全领域的命名实体识别方法
CN112905421B (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
CN109450845B (zh) 一种基于深度神经网络的算法生成恶意域名检测方法
CN110351301B (zh) 一种http请求双层递进式异常检测方法
CN110933105B (zh) 一种Web攻击检测方法、***、介质和设备
CN108718306B (zh) 一种异常流量行为判别方法和装置
CN111538929B (zh) 网络链接识别方法、装置、存储介质及电子设备
CN109831422A (zh) 一种基于端到端序列网络的加密流量分类方法
CN111758098B (zh) 利用遗传编程的命名实体识别和提取
CN112492059A (zh) Dga域名检测模型训练方法、dga域名检测方法、装置及存储介质
CN111049819A (zh) 一种基于威胁建模的威胁情报发现方法及计算机设备
CN111382783A (zh) 恶意软件识别方法、装置及存储介质
CN115270996A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN113591077A (zh) 一种网络攻击行为预测方法、装置、电子设备及存储介质
CN115495744A (zh) 威胁情报分类方法、装置、电子设备及存储介质
Rasheed et al. Adversarial attacks on featureless deep learning malicious urls detection
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN110674370A (zh) 域名识别方法及装置、存储介质及电子设备
Prusty et al. SMS Fraud detection using machine learning
CN113783852A (zh) 一种基于神经网络的智能合约庞氏骗局检测算法
Qiao et al. Malware classification method based on word vector of bytes and multilayer perception
CN115344563B (zh) 数据去重方法及装置、存储介质、电子设备
CN115878927A (zh) 一种诈骗网站的识别方法、装置、存储介质和电子设备
CN113378156B (zh) 一种基于api的恶意文件检测方法和***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant