CN109347827B - 网络攻击行为预测的方法、装置、设备及存储介质 - Google Patents
网络攻击行为预测的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109347827B CN109347827B CN201811229471.4A CN201811229471A CN109347827B CN 109347827 B CN109347827 B CN 109347827B CN 201811229471 A CN201811229471 A CN 201811229471A CN 109347827 B CN109347827 B CN 109347827B
- Authority
- CN
- China
- Prior art keywords
- log
- processed
- data
- network attack
- attack behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种网络攻击行为预测的方法、装置、设备及存储介质。本发明实施例的方法,通过根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络攻击行为预测的方法、装置、设备及存储介质。
背景技术
网络安全是指网络***的硬件、软件及其***中的数据受到保护,不因偶然的或者恶意的原因受到破坏、更改、泄露,***连续可靠正常地运行,网络服务不间断。
目前可通过对网络设备生成的日志进行解析来识别网络设备是否受到网络攻击。由于日志属于非结构化数据,格式不统一,而且网络设备的种类繁多,对于不同的网络设备,没有一个统一日志解析格式。现有技术中通过正则匹配算法设置与日志格式匹配的正则表达式来识别是否受到网络攻击行为。
但现有的技术中的网络攻击行为识别方法由于在每次识别前都要进行正则表达式的选择再进行识别,所以导致识别效率较低,并且不能对网络攻击行为进行预测,不能有效保证网络设备的安全性。
发明内容
本发明实施例提供一种网络攻击行为预测的方法、装置、设备及存储介质,用以解决现有的技术中的网络攻击行为识别方法由于在每次识别前都要进行正则表达式的选择再进行识别,所以导致识别效率较低,并且不能对网络攻击行为进行预测,不能有效保证网络设备的安全性的问题。
本发明实施例的一个方面是提供一种网络攻击行为预测的方法,包括:
根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;
根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;
根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为。
本发明实施例的另一个方面是提供一种网络攻击行为预测的装置,包括:
日志解析模块,用于根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;
聚合填充模块,用于根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;
预测处理模块,用于根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为。
本发明实施例的另一个方面是提供一种网络攻击行为预测设备,包括:
存储器,处理器,以及存储在所述存储器上并可在所述处理器上运行的计算机程序,
所述处理器运行所述计算机程序时实现上述所述网络攻击行为预测的方法。
本发明实施例的另一个方面是提供一种计算机可读存储介质,存储有计算机程序,
所述计算机程序被处理器执行时实现上述所述网络攻击行为预测的方法。
本发明实施例提供的网络攻击行为预测的方法、装置、设备及存储介质,通过获取待处理日志;根据日志解析模型对所述待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
附图说明
图1为本发明实施例一提供的网络攻击行为预测的方法流程图;
图2为本发明实施例二提供的网络攻击行为预测的方法流程图;
图3为本发明实施例三提供的网络攻击行为预测的装置的结构示意图;
图4为本发明实施例四提供的网络攻击行为预测的装置的结构示意图;
图5为本发明实施例五提供的网络攻击行为预测设备的结构示意图。
通过上述附图,已示出本发明明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本发明实施例构思的范围,而是通过参考特定实施例为本领域技术人员说明本发明的概念。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围
本发明实施例所涉及的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明实施例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。在以下各实施例的描述中,“多个”的含义是两个以上,除非另有明确具体的限定。
下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本发明的实施例进行描述。
实施例一
图1为本发明实施例一提供的网络攻击行为预测的方法流程图。本发明实施例针对现有的技术中的网络攻击行为识别方法由于在每次识别前都要进行正则表达式的选择再进行识别,所以导致识别效率较低,并且不能对网络攻击行为进行预测,不能有效保证网络设备的安全性的问题,提供了网络攻击行为预测的方法。
如图1所示,该方法具体步骤如下:
步骤S101、根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息。
本实施例中,需要对网络设备的安全性进行检测时,可以获取该网络设备的日志,得到待处理日志。
本实施例中,网络设备是指连接到网络中具有日志记录功能的实体设备。网络设备包括:计算机设备(例如个人电脑或服务器等)、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)、打印机等等,网络设备的种类繁多,且与日俱增,本实施例此处对于网络设备具体种类不做具体限定。
可选的,可以获取网络设备预设时间段内的多个日志,作为待处理日志。其中,预设时间段可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。
其中,待处理日志所属设备信息可以是能够区分不同的网络设备的信息。例如该日志的所属设备信息可以包括:所属设备的品牌,设备类型,设备标识信息等等。
本实施例中,日志解析模型可以基于机器学习的方法,通过第一训练样本集训练得到,在训练完成后可以通过第一测试样本集对训练后的模型的准确度进行测试,若训练后的模型的准确度满足预设条件,则得到的最终的日志解析模型。
第一训练样本集中包括多个训练样本,每个训练样本对应于一条历史日志,包括一条历史日志,以及该条日志的标签数据。其中,日志的标签数据包括日志的特征数据和所属设备信息。
其中,待处理日志的特征数据可以是待处理日志中包括的特征词汇的种类、出现的次数或者频率等。本实施例中待处理日志的特征数据可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。
例如,对于以下历史日志的内容:
[ip=192.168.174.145code=44243622type=0dev=130008:[hillstone fwsyslog parser]prefix=Format message:<190>Jun 20 16:23:362206401140002123(root)44243622Traffic@FLOW:SESSION:10.235.251.35:26763->10.235.117.97:902(UDP),interface aggregate2,vr trust-vr,policy 22,user-@-,host-,session start
该日志对应的标签数据包括该条日志的特征数据和所属设备信息,其中该日志的特征数据可以包括:“ip”,“type”,“Formate”,“message”等特征词,以及这些特征词在该条日志中出现的次数;该日志的所属设备信息可以包括:所属设备的品牌、设备类型和设备标识信息等等。比如所属设备为某品牌(如“绿盟”)的入侵检测***(Intrusion DetectionSystems,简称IDS)设备,那么所属设备信息可以是“绿盟IDS设备”。
其中,第一训练样本集和第一测试样本集可以通过根据预设的第一机器学习算法对预设的第一知识库整理得到。其中第一知识库为针对各种厂商的网络设备日志的一个积累,包括海量的历史日志。
将待处理日志输入日志解析模型,通过日志解析模型可以快速地对待处理日志进行特征提取和识别,得到待处理日志的特征数据和所属设备信息,从而快速地完成对待处理日志的解析。
步骤S102、根据待处理日志的特征数据和所属设备信息确定安全事件数据。
在对待处理日志解析完成得到待处理日志的特征数据和所属设备信息之后,对待处理日志进行聚合处理和填充处理,处理后保留的每个待处理日志作为一个安全事件数据。
其中,聚合处理的聚合条件包括:日志的生成时间和/或聚合条数。
对待处理日志进行聚合处理可以是依据聚合条件将待处理日志中具有相同特征数据和所属设备信息的重复日志合并成为一条日志,具体包括以下几种可行的实施方式:
一种可行的实施方式为:聚合条件为日志的生成时间,将生成时间在预设时间范围内的待处理日志中,具有相同特征数据和所属设备信息的重复日志合并成为一条数据。其中,预设时间范围可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。例如,预设时间范围可以为最近的5分钟。
另一种可行的实施方式为:聚合条件为聚合条数,将待处理日志中,不超过聚合条数的具有相同特征数据和所属设备信息的重复日志合并成为一条数据。其中,聚合条数可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。例如,聚合条数可以为1000。
另一种可行的实施方式为:聚合条件为日志的生成时间和聚合条数,将生成时间在预设时间范围内的待处理日志中,不超过聚合条数的具有相同特征数据和所属设备信息的重复日志合并成为一条数据。其中,预设时间范围和聚合条数可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。对待处理日志进行填充处理可以是对待处理日志的基本信息的填充。根据待处理日志应包括的特征数据的种类,若某一待处理日志中缺少某一种或者多种特征数据,则根据该待处理日志的其他特征数据对缺少的特征数据进行填充处理,从而对待处理日志的特征数据进行完善。
其中,待处理日志的其他特征数据可以保留待处理日志所对应的地理位置信息,等等。可选的,若待处理日志中缺少某一种特征数据,可以根据缺少的特征数据的类型,通过调用缺少的特征数据对应的第三方接口程序来获取填充数据,并将获取到的填充数据增加为待处理日志的这一类型的特征数据。
例如,识别到某一日志的特征数据包括IP地址,但是没有识别到该日志的地域信息,那么可以通过调用地域信息对应的第三方接口程序获取地域信息查询该日志的IP地址属于哪个域,从而得到该日志对应的地域信息,将日志的特征数据中的地域信息进行填充,对该日志的特征数据进行完善。例如,若某一日志中缺少的特征数据为所在地点的位置坐标。那么,可以通过调用第三方接口程序,获取到所在地点的经度和纬度,从而得到所在地点的位置坐标,然后将所在地点的位置坐标增加到该日志的特征数据中,以将所在地点的位置坐标添加到该日志对应的安全事件数据中。
步骤S103、根据安全事件数据和攻击预测模型预测是否发生网络攻击行为。
考虑到攻击行为是按照规则与时间来辨别的,而且攻击产生的日志也是有时间的先后顺序,本实施例中,在得到待处理日志对应的安全事件数据之后,可以将安全事件数据按照生成时间的先后顺序输入到攻击预测模型,通过攻击预测模型可以预测出发生网络攻击行为的概率,并以进一步可以预测是否发生网络攻击行为。
本实施例中,攻击预测模型可以基于机器学习的方法,通过第二训练样本集训练,并通过第二测试样本集测试得到的收敛的攻击预测模型,得到攻击预测模型。攻击预测模型用于预测是否发生网络攻击行为。
其中,第二训练样本集和第二测试样本集可以通过根据预设的第二机器学习算法对预设的第二知识库整理得到。其中第二知识库的内容为基本的网络攻击规则,网络攻击规则也可以通过第三方网络安全设备来制定,支持配置等。通过对第二知识库中的网络攻击规则数据进行清洗,得到第二训练样本集和第二测试样本集。
在得到待处理日志对应的安全事件数据之后,可以将安全事件数据按照生成时间的先后顺序输入到攻击预测模型,通过攻击预测模型可以预测出发生网络攻击行为的概率,并以进一步可以预测是否发生网络攻击行为。
本发明实施例通过获取待处理日志;根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息;根据待处理日志的特征数据和所属设备信息确定安全事件数据;根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
实施例二
图2为本发明实施例二提供的网络攻击行为预测的方法流程图。在上述实施例一的基础上,本实施例中,待处理日志的特征数据中包括生成时间,根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,具体包括:将每个安全事件数据按照生成时间的顺序输入到攻击预测模型中,以使攻击预测模型根据多个安全事件数据的关联关系确定发生网络攻击行为的概率;将发生网络攻击行为的概率与预设攻击阈值进行对比;若发生网络攻击行为的概率大于预设攻击阈值,则输出发生网络攻击行为的预测结果;若发生网络攻击行为的概率小于或等于预设攻击阈值,则输出未发生网络攻击行为的预测结果。如图2所示,该方法具体步骤如下:
步骤S201、获取待处理日志。
本实施例中,需要对网络设备的安全性进行检测时,可以获取该网络设备的日志,得到待处理日志。
本实施例中,网络设备是指连接到网络中具有日志记录功能的实体设备。网络设备包括:计算机设备(例如个人电脑或服务器等)、集线器、交换机、网桥、路由器、网关、网络接口卡(NIC)、无线接入点(WAP)、打印机等等,网络设备的种类繁多,且与日俱增,本实施例此处对于网络设备具体种类不做具体限定。
可选的,可以获取网络设备预设时间段内的多个日志,作为待处理日志。其中,预设时间段可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。
步骤S202、根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息。
其中,待处理日志所属设备信息可以是能够区分不同的网络设备的信息。
日志解析模型为机器学习模型。日志解析模型可以基于机器学习的方法,通过第一训练样本集训练,并通过第一测试样本集测试得到的收敛的日志解析模型。
本实施例中,预先获取第一知识库,第一知识库为针对各种厂商的网络设备日志的一个积累,包括海量的历史日志。通过对第一知识库中日志的整理得到用于对预设的日志解析模型进行训练和优化的第一训练样本集,以及用于对优化后的日志解析模型进行测试的第一测试样本集。
其中,第一训练样本集中的每个第一训练样本和第一测试样本集中的每个第一测试样本均为已确定的网络设备生成的日志。
在获取到第一训练样本集和第一测试样本集之后,采用第一训练样本对日志解析模型进行训练,并采用第一测试样本对日志解析模型进行测试,直到日志解析模型收敛,以获得优化后的日志解析模型。
该步骤中,将待处理日志输入日志解析模型,通过日志解析模型可以快速地对待处理日志进行特征提取和识别,得待处理日志的特征数据和所属设备信息,从而快速地完成对待处理日志的识别,提高了日志识别的速率和精准度。
可选的,若根据日志解析模型对待处理日志识别失败,则生成未知设备类型日志,未知设备类型日志用于记录对待处理日志识别失败的事件,以使技术人员根据未知设备类型日志人工地识别待处理日志的特征数据和所属设备信息,并将待处理日志的特征数据和所属设备信息通过用户终端发送给网络攻击行为预测设备。网络攻击行为预测设备接收待处理日志的特征数据和所属设备信息;将接收到的特征数据和所属设备信息作为待处理日志的标签数据,将待处理日志以及待处理日志的标签数据作为一条第一训练样本存储到第一训练样本集中,以对第一训练样本集进行更新;根据更新后的第一训练样本集对日志解析模型进行更新,以对日志解析模型做进一步的优化。
具体的,将确定所属设备信息的待处理日志存储到第一训练样本集中的过程,与通过对第一知识库中日志的整理得到用于对预设的日志解析模型进行训练和第一训练样本集的过程一致。
步骤S203、根据待处理日志的特征数据和所属设备信息确定安全事件数据。
在对待处理日志解析完成得到待处理日志的特征数据和所属设备信息之后,对待处理日志进行聚合处理和填充处理,处理后保留的每个待处理日志作为一个安全事件数据。
本实施例中,根据待处理日志的特征数据和所属设备信息确定安全事件数据,具体可以采用如下方式实现:
删除具有相同特征数据和所属设备信息的重复的待处理日志;若某待处理日志中缺少某特征数据,则根据该待处理日志的其他特征数据对缺少的特征数据进行填充处理;将进行删除和填充处理后保留的每个待处理日志确定为一个安全事件数据。
具体的,聚合处理的聚合条件为日志的生成时间,或者条数。对待处理日志进行聚合处理可以是将待处理日志中具有相同特征数据和所属设备信息的重复日志进行过滤。
对待处理日志进行填充处理可以是对待处理日志的基本信息的填充。根据待处理日志应包括的特征数据的种类,若某一待处理日志中缺少某一种或者多种特征数据,则根据该待处理日志的其他特征数据对缺少的特征数据进行填充处理,从而对待处理日志的特征数据进行完善。
例如,识别到某一日志的特征数据包括IP地址,但是没有识别到该日志的地域信息,那么可以查询该日志的IP地址属于哪个域,可以进一步得到该日志对应的地域信息,将日志的特征数据中的地域信息进行填充,对该日志的特征数据进行完善。
步骤S204、将每个安全事件数据按照生成时间的顺序输入到攻击预测模型中,以使攻击预测模型根据多个安全事件数据的关联关系确定发生网络攻击行为的概率。
在得到待处理日志对应的安全事件数据之后,可以将安全事件数据按照生成时间的先后顺序输入到攻击预测模型,通过攻击预测模型可以预测出发生网络攻击行为的概率,并以进一步可以预测是否发生网络攻击行为。
其中,攻击预测模型为机器学习模型。攻击预测模型可以基于机器学习的方法,通过第二训练样本集训练,并通过第二测试样本集测试得到的收敛的攻击预测模型,得到攻击预测模型。攻击预测模型用于预测是否发生网络攻击行为。
本实施例中,第二知识库的内容为基本的网络攻击规则,网络攻击规则也可以通过第三方网络安全设备来制定,支持配置等。通过对第二知识库中的网络攻击规则数据进行清洗,得到用于对预设的攻击预测模型进行训练和第二训练样本集,以及用于对攻击预测模型进行测试的第二测试样本集。
其中第二训练样本集中的每个第二训练样本和第二测试样本集中的每个第二测试样本均为已确定的每个网络攻击行为中的各安全事件数据的关联关系。
在获取到第二训练样本集和第二测试样本集之后,采用第二训练样本对攻击预测模型进行训练,并采用第二测试样本对攻击预测模型进行测试,直到攻击预测模型收敛,以获得攻击预测模型。
在得到待处理日志对应的安全事件数据之后,可以将安全事件数据按照生成时间的先后顺序输入到攻击预测模型,通过攻击预测模型可以预测出发生网络攻击行为的概率,并以进一步可以预测是否发生网络攻击行为。
步骤S205、将发生网络攻击行为的概率与预设攻击阈值进行对比。
在得到发生网络攻击行为的概率之后,比较发生网络攻击行为的概率与预设攻击阈值的大小,根据比较结果预测是否发生网络攻击行为,得到预测结果。
其中,预设攻击阈值可以由技术人员根据实际需要进行设定,本实施例此处不做具体限定。
步骤S206、若发生网络攻击行为的概率大于预设攻击阈值,则输出发生网络攻击行为的预测结果。
若发生网络攻击行为的概率大于预设攻击阈值,则确定发生网络攻击行为概率很大,预测结果为发生网络攻击行为。
可选的,在预测发生网络攻击行为之后,可以执行预设的与预测的网络攻击行为对应的预防处理。其中,预设的处理可以由技术人员根据实际应用场景进行设定,本实施例此处不做具体限定。
例如,通过预设的方式向技术人员发出警示信息;或者,直接采取组断网络等措施。
步骤S207、若发生网络攻击行为的概率小于或等于预设攻击阈值,则输出未发生网络攻击行为的预测结果。
若发生网络攻击行为的概率小于或者等于预设攻击阈值,则确定发生网络攻击行为概率不够大,预测结果为未发生网络攻击行为。
上述步骤S205-S207为步骤S104根据安全事件数据和攻击预测模型预测是否发生网络攻击行为的一种可行的实施方式。
本发明实施例通过获取待处理日志;根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息;根据待处理日志的特征数据和所属设备信息确定安全事件数据;根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
实施例三
图3为本发明实施例三提供的网络攻击行为预测的装置的结构示意图。本发明实施例提供的网络攻击行为预测的装置可以执行网络攻击行为预测的方法实施例提供的处理流程。如图3所示,该网络攻击行为预测的装置30包括:日志解析模块302,聚合填充模块303和预测处理模块304。
具体地,日志解析模块302,用于根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息。
聚合填充模块303,用于根据待处理日志的特征数据和所属设备信息确定安全事件数据。
预测处理模块304,用于根据安全事件数据和攻击预测模型预测是否发生网络攻击行为。
本发明实施例提供的装置可以具体用于执行上述实施例一所提供的方法实施例,具体功能此处不再赘述。
本发明实施例通过获取待处理日志;根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息;根据待处理日志的特征数据和所属设备信息确定安全事件数据;根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
实施例四
图4为本发明实施例四提供的网络攻击行为预测的装置的结构示意图。在上述实施例三的基础上,本实施例中,所述待处理日志的特征数据中包括生成时间,预测处理模块具体用于:
将每个安全事件数据按照生成时间的顺序输入到攻击预测模型中,以使攻击预测模型根据多个安全事件数据的关联关系确定发生网络攻击行为的概率;将发生网络攻击行为的概率与预设攻击阈值进行对比;若发生网络攻击行为的概率大于预设攻击阈值,则输出发生网络攻击行为的预测结果;若发生网络攻击行为的概率小于或等于预设攻击阈值,则输出未发生网络攻击行为的预测结果。
可选的,聚合填充模块具体用于:
删除具有相同特征数据和所属设备信息的重复的待处理日志;若某待处理日志中缺少某特征数据,则根据该待处理日志的其他特征数据对缺少的特征数据进行填充处理;将进行删除和填充处理后保留的每个待处理日志确定为一个安全事件数据。
可选的,如图4所示,网络攻击行为预测的装置30还可以包括:日志解析模型训练模块305。
日志解析模型训练模块305用于:
获取第一训练样本集和第一测试样本集,其中所述第一训练样本集中的每个第一训练样本和所述第一测试样本集中的每个第一测试样本均的样本数据为包括已确定的网络设备生成的日志以及该日志的标签数据,所述标签数据包括日志的特征数据和所属设备信息;采用第一训练样本对日志解析模型进行训练,并采用第一测试样本对日志解析模型进行测试,直到日志解析模型收敛,以获得优化的日志解析模型。
可选的,日志解析模型训练模块305还用于:
若根据日志解析模型对待处理日志识别失败,则接收待处理日志的特征数据和所属设备信息;将接收到的特征数据和所属设备信息作为所述待处理日志的标签数据,将所述待处理日志以及所述待处理日志的标签数据存储到第一训练样本集中,以对第一训练样本集进行更新;根据更新后的第一训练样本集对日志解析模型进行更新。
可选的,如图4所示,网络攻击行为预测的装置30还可以包括:攻击预测模型训练模块306。
攻击预测模型训练模块306用于:
获取第二训练样本集和第二测试样本集,其中第二训练样本集中的每个第二训练样本和第二测试样本集中的每个第二测试样本均为已确定的每个网络攻击行为中的各安全事件数据的关联关系;
采用第二训练样本对攻击预测模型进行训练,并采用第二测试样本对攻击预测模型进行测试,直到攻击预测模型收敛,以获得攻击预测模型。
本发明实施例提供的装置可以具体用于执行上述实施例二所提供的方法实施例,具体功能此处不再赘述。
本发明实施例通过获取待处理日志;根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息;根据待处理日志的特征数据和所属设备信息确定安全事件数据;根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
实施例五
图5为本发明实施例五提供的网络攻击行为预测设备的结构示意图。如图5所示,该设备50包括:处理器501,存储器502,以及存储在存储器502上并可由处理器501执行的计算机程序。
处理器501在执行存储在存储器502上的计算机程序时实现上述任一方法实施例提供的网络攻击行为预测的方法。
本发明实施例通过获取待处理日志;根据日志解析模型对待处理日志进行特征提取和识别,以获得待处理日志的特征数据和所属设备信息;根据待处理日志的特征数据和所属设备信息确定安全事件数据;根据安全事件数据和攻击预测模型预测是否发生网络攻击行为,提高了对日志的解析和识别效率,能够在网络攻击行为发生之前,对即将发生的网络攻击行为进行预测,为有效地避免网络攻击行为提供了基础,从而能有效保证网络设备的安全性。
另外,本发明实施例还提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法实施例提供的网络攻击行为预测的方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求书指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。
Claims (9)
1.一种网络攻击行为预测的方法,其特征在于,包括:
根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;
根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;
根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为;
所述根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息之前,还包括:
获取第一训练样本集和第一测试样本集,其中所述第一训练样本集和所述第一测试样本集中的样本数据包括已确定的网络设备生成的日志以及该日志的标签数据,所述标签数据包括日志的特征数据和所属设备信息;
采用所述第一训练样本集对日志解析模型进行训练,并采用所述第一测试样本集对所述日志解析模型进行测试,直到所述日志解析模型收敛,以获得所述日志解析模型。
2.根据权利要求1所述的方法,其特征在于,所述根据所述待处理日志的特征数据和所属设备信息确定安全事件数据,具体包括:
删除具有相同特征数据和所属设备信息的重复的待处理日志;
若某待处理日志中缺少某特征数据,则根据该待处理日志的其他特征数据对所述缺少的特征数据进行填充处理;
将进行删除和填充处理后保留的每个待处理日志确定为一个安全事件数据。
3.根据权利要求1所述的方法,其特征在于,所述待处理日志的特征数据中包括生成时间,所述根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为,具体包括:
将每个安全事件数据按照所述生成时间的顺序输入到所述攻击预测模型中,以使所述攻击预测模型根据多个安全事件数据的关联关系确定发生网络攻击行为的概率;
将所述发生网络攻击行为的概率与预设攻击阈值进行对比;
若所述发生网络攻击行为的概率大于所述预设攻击阈值,则输出发生网络攻击行为的预测结果;
若所述发生网络攻击行为的概率小于或等于所述预设攻击阈值,则输出未发生网络攻击行为的预测结果。
4.根据权利要求1所述的方法,其特征在于,所述根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为之前,还包括:
获取第二训练样本集和第二测试样本集,其中所述第二训练样本集中的每个第二训练样本和所述第二测试样本集中的每个第二测试样本均为已确定的每个网络攻击行为中的各安全事件数据的关联关系;
采用所述第二训练样本对攻击预测模型进行训练,并采用所述第二测试样本对所述攻击预测模型进行测试,直到所述攻击预测模型收敛,以获得所述攻击预测模型。
5.根据权利要求1所述的方法,其特征在于,还包括:
若根据日志解析模型对所述待处理日志识别失败,则接收所述待处理日志的特征数据和所属设备信息;
将接收到的特征数据和所属设备信息作为所述待处理日志的标签数据,将所述待处理日志以及所述待处理日志的标签数据存储到所述第一训练样本集中,以对所述第一训练样本集进行更新;
根据所述更新后的第一训练样本集对所述日志解析模型进行更新。
6.一种网络攻击行为预测的装置,其特征在于,包括:
日志解析模块,用于根据日志解析模型对待处理日志进行特征提取和识别,以获得所述待处理日志的特征数据和所属设备信息;
聚合填充模块,用于根据所述待处理日志的特征数据和所属设备信息确定安全事件数据;
预测处理模块,用于根据所述安全事件数据和攻击预测模型预测是否发生网络攻击行为;
网络攻击行为预测的装置还包括:日志解析模型训练模块;
所述日志解析模型训练模块用于:
获取第一训练样本集和第一测试样本集,其中所述第一训练样本集中的每个第一训练样本和所述第一测试样本集中的每个第一测试样本的样本数据为包括已确定的网络设备生成的日志以及该日志的标签数据,所述标签数据包括日志的特征数据和所属设备信息;采用第一训练样本对日志解析模型进行训练,并采用第一测试样本对日志解析模型进行测试,直到日志解析模型收敛,以获得优化的日志解析模型。
7.根据权利要求6所述的装置,其特征在于,所述待处理日志的特征数据中包括生成时间,所述预测处理模块具体用于:
将每个安全事件数据按照所述生成时间的顺序输入到所述攻击预测模型中,以使所述攻击预测模型根据多个安全事件数据的关联关系确定发生网络攻击行为的概率;
将所述发生网络攻击行为的概率与预设攻击阈值进行对比;
若所述发生网络攻击行为的概率大于所述预设攻击阈值,则输出发生网络攻击行为的预测结果;
若所述发生网络攻击行为的概率小于或等于所述预设攻击阈值,则输出未发生网络攻击行为的预测结果。
8.一种网络攻击行为预测设备,其特征在于,包括:
存储器,处理器,以及存储在所述存储器上并可在所述处理器上运行的计算机程序,
所述处理器运行所述计算机程序时实现如权利要求1-5中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,存储有计算机程序,
所述计算机程序被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811229471.4A CN109347827B (zh) | 2018-10-22 | 2018-10-22 | 网络攻击行为预测的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811229471.4A CN109347827B (zh) | 2018-10-22 | 2018-10-22 | 网络攻击行为预测的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109347827A CN109347827A (zh) | 2019-02-15 |
| CN109347827B true CN109347827B (zh) | 2021-06-22 |
Family
ID=65310688
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811229471.4A Active CN109347827B (zh) | 2018-10-22 | 2018-10-22 | 网络攻击行为预测的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109347827B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110059480A (zh) * | 2019-03-13 | 2019-07-26 | 深圳壹账通智能科技有限公司 | 网络攻击行为监控方法、装置、计算机设备及存储介质 |
| CN110321371B (zh) * | 2019-07-01 | 2024-04-26 | 腾讯科技(深圳)有限公司 | 日志数据异常检测方法、装置、终端及介质 |
| CN110912884A (zh) * | 2019-11-20 | 2020-03-24 | 深信服科技股份有限公司 | 一种检测方法、设备及计算机存储介质 |
| CN111178537B (zh) * | 2019-12-09 | 2023-11-17 | 华为云计算技术有限公司 | 一种特征提取模型训练方法及设备 |
| CN111277606B (zh) * | 2020-02-10 | 2022-04-15 | 北京邮电大学 | 检测模型训练方法、检测方法及装置、存储介质 |
| CN111885064B (zh) * | 2020-07-24 | 2022-11-25 | 杭州安恒信息安全技术有限公司 | 基于多源数据的安全事件分析方法、装置、电子装置和存储介质 |
| CN112073396A (zh) * | 2020-08-27 | 2020-12-11 | 北京天融信网络安全技术有限公司 | 一种内网横向移动攻击行为的检测方法及装置 |
| CN112751876B (zh) * | 2020-12-30 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 消息采集***的控制方法、装置、电子设备及存储介质 |
| CN113162794B (zh) * | 2021-01-27 | 2024-01-16 | 国网福建省电力有限公司 | 下一步攻击事件预测方法及相关设备 |
| CN113079153B (zh) * | 2021-03-26 | 2022-06-21 | 新华三技术有限公司 | 网络攻击类型的预测方法、装置及存储介质 |
| CN113688383B (zh) * | 2021-08-31 | 2022-06-07 | 中科磐云(北京)科技有限公司 | 基于人工智能的攻击防御测试方法及人工智能分析*** |
| CN113688382B (zh) * | 2021-08-31 | 2022-05-03 | 中科柏诚科技(北京)股份有限公司 | 基于信息安全的攻击意图挖掘方法及人工智能分析*** |
| CN114679341B (zh) * | 2022-05-27 | 2022-08-16 | 江苏益柏锐信息科技有限公司 | 结合erp***的网络入侵攻击分析方法、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573024A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种复杂网络体系下异构安全日志信息的自适应提取方法及*** |
| CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和*** |
| CN107273269A (zh) * | 2017-06-12 | 2017-10-20 | 北京奇虎科技有限公司 | 日志解析方法及装置 |
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6708219B2 (ja) * | 2015-12-28 | 2020-06-10 | 日本電気株式会社 | ログ分析システム、方法およびプログラム |
| CN106209893B (zh) * | 2016-07-27 | 2019-03-19 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测***及其检测方法 |
| US10530795B2 (en) * | 2017-03-17 | 2020-01-07 | Target Brands, Inc. | Word embeddings for anomaly classification from event logs |
-
2018
- 2018-10-22 CN CN201811229471.4A patent/CN109347827B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573024A (zh) * | 2015-01-12 | 2015-04-29 | 国家电网公司 | 一种复杂网络体系下异构安全日志信息的自适应提取方法及*** |
| CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和*** |
| CN107273269A (zh) * | 2017-06-12 | 2017-10-20 | 北京奇虎科技有限公司 | 日志解析方法及装置 |
| CN108616498A (zh) * | 2018-02-24 | 2018-10-02 | 国家计算机网络与信息安全管理中心 | 一种web访问异常检测方法和装置 |
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109347827A (zh) | 2019-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN108471429B (zh) | 一种网络攻击告警方法及*** | |
| CN108683687B (zh) | 一种网络攻击识别方法及*** | |
| CN108881263B (zh) | 一种网络攻击结果检测方法及*** | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN110313147B (zh) | 数据处理方法、装置和*** | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN108924118B (zh) | 一种撞库行为检测方法及*** | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN110417747B (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN107483381B (zh) | 关联账户的监控方法及装置 | |
| CN112118249B (zh) | 基于日志和防火墙的安全防护方法及装置 | |
| CN112184091A (zh) | 工控***安全威胁评估方法、装置和*** | |
| CN113111951B (zh) | 数据处理方法以及装置 | |
| CN110798426A (zh) | 一种洪水类DoS攻击行为的检测方法、***及相关组件 | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| CN105512045A (zh) | 一种应用程序的测试方法、装置及测试设备 | |
| CN113472607A (zh) | 应用程序网络环境检测方法、装置、设备及存储介质 | |
| CN116346456A (zh) | 业务逻辑漏洞攻击检测模型训练方法及装置 | |
| CN113704328A (zh) | 基于人工智能的用户行为大数据挖掘方法及*** | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| CN111526109A (zh) | 自动检测web威胁识别防御***的运行状态的方法及装置 | |
| CN113098852A (zh) | 一种日志处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |