CN111756708B - 一种定向威胁攻击的检测方法和装置 - Google Patents

一种定向威胁攻击的检测方法和装置 Download PDF

Info

Publication number
CN111756708B
CN111756708B CN202010517796.3A CN202010517796A CN111756708B CN 111756708 B CN111756708 B CN 111756708B CN 202010517796 A CN202010517796 A CN 202010517796A CN 111756708 B CN111756708 B CN 111756708B
Authority
CN
China
Prior art keywords
data
host
time interval
dimensional
network data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010517796.3A
Other languages
English (en)
Other versions
CN111756708A (zh
Inventor
陈少涵
胡跃
吴雪阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Skyguard Network Security Technology Co ltd
Chengdu Sky Guard Network Security Technology Co ltd
Original Assignee
Chengdu Sky Guard Network Security Technology Co ltd
Beijing Skyguard Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Sky Guard Network Security Technology Co ltd, Beijing Skyguard Network Security Technology Co ltd filed Critical Chengdu Sky Guard Network Security Technology Co ltd
Priority to CN202010517796.3A priority Critical patent/CN111756708B/zh
Publication of CN111756708A publication Critical patent/CN111756708A/zh
Application granted granted Critical
Publication of CN111756708B publication Critical patent/CN111756708B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Hardware Design (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Software Systems (AREA)
  • Computational Linguistics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种定向威胁攻击的检测方法和装置,涉及数据安全防护技术领域。该方法的一具体实施方式包括:获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率。该实施方式能够解决检测成功率低和维护成本高的技术问题。

Description

一种定向威胁攻击的检测方法和装置
技术领域
本发明涉及数据安全防护技术领域,尤其涉及一种定向威胁攻击的检测方法和装置。
背景技术
APT(Advanced Persistent Threat,高级持续性威胁)是一种针对性攻击,其利用先进的攻击手段对特定目标进行长期持续性网络攻击。对APT的检测是当前企业数据安全防护技术的重要挑战。
当前的主流APT检测方法是基于深度包检测技术,深度分析提取APT过程中的数据报文特征,形成基于报文内容的特定关键字、报文结构、前后报文相关性、源端对特征等规则,建立规则库,以规则匹配方式进行APT检测。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
规则匹配方法通常采取部分规则子集和特定APT攻击方式一对一的检测模式,在面对加密、变体和未知类型APT攻击时缺乏检测成功率,且规则库的建立需要大量的专家和安全技术人员进行数据分析和总结,维护、更新和扩展代价大。
发明内容
有鉴于此,本发明实施例提供一种定向威胁攻击的检测方法和装置,以解决检测成功率低和维护成本高的技术问题。
为实现上述目的,根据本发明实施例的一个方面,提供了一种定向威胁攻击的检测方法,包括:
获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;
根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;
采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;
获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率。
可选地,获取各个样本机的网络数据,对所述网络数据进行处理,分别得到各个所述样本机的多维数组,包括:
将触发规则匹配的主机标记为正向样本机,将未触发规则匹配的主机标记为负向样本机;
对于每个正向样本机,获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对于每个负向样本机,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对各个维度的数据进行归一化处理,使得各个多维数组中的数据映射到[0,1]区间。
可选地,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:
按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到N个w维数组;其中,N=T/t,T为预设时间间隔,t为单位时间间隔;
筛选出所有正向样本在该维度的数值都为零的无效维度,将所述无效维度从所述N个w维数组中去除,得到N个u维数组;其中,u<w。
可选地,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:
基于所述正向样本机的数据维度u,获取距离所述负向样本机的采样时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计,得到N个u维数组。
可选地,根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组,包括:
对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;
从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数。
可选地,根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组,包括:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
可选地,获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,包括:
基于所述正向样本机的数据维度u,获取距离所述待测主机的检测时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计和归一化处理,得到N个u维数组。
可选地,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率,包括:
将所述待测主机的多维数组输入到训练好的神经网络模型,以输出模型计算结果;
根据以下公式计算所述待测主机的定向威胁攻击的概率:
概率=(r-c/1-c)*10
其中,r为模型计算结果,c为预设的检测阈值。
另外,根据本发明实施例的另一个方面,提供了一种定向威胁攻击的检测装置,包括:
获取模块,用于获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;
生成模块,用于根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;
训练模块,用于采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;
检测模块,用于获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率
可选地,所述获取模块还用于:
将触发规则匹配的主机标记为正向样本机,将未触发规则匹配的主机标记为负向样本机;
对于每个正向样本机,获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对于每个负向样本机,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对各个维度的数据进行归一化处理,使得各个多维数组中的数据映射到[0,1]区间。
可选地,所述获取模块还用于:
按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到N个w维数组;其中,N=T/t,T为预设时间间隔,t为单位时间间隔;
筛选出所有正向样本在该维度的数值都为零的无效维度,将所述无效维度从所述N个w维数组中去除,得到N个u维数组;其中,u<w。
可选地,所述获取模块还用于:
基于所述正向样本机的数据维度u,获取距离所述负向样本机的采样时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计,得到N个u维数组。
可选地,所述生成模块还用于:
对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;
从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数。
可选地,所述生成模块还用于:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
可选地,所述检测模块还用于:
基于所述正向样本机的数据维度u,获取距离所述待测主机的检测时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计和归一化处理,得到N个u维数组。
可选地,所述检测模块还用于:
将所述待测主机的多维数组输入到训练好的神经网络模型,以输出模型计算结果;
根据以下公式计算所述待测主机的定向威胁攻击的概率:
概率=(r-c/1-c)*10
其中,r为模型计算结果,c为预设的检测阈值。
根据本发明实施例的另一个方面,还提供了一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现上述任一实施例所述的方法。
根据本发明实施例的另一个方面,还提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一实施例所述的方法。
上述发明中的一个实施例具有如下优点或有益效果:因为采用获取待测主机的网络数据,对待测主机的网络数据进行处理,得到待测主机的多维数组,将待测主机的多维数组输入到训练好的神经网络模型,从而计算得到待测主机的定向威胁攻击的概率的技术手段,所以克服了现有技术中检测成功率低和维护成本高的技术问题。本发明实施例一方面可以找出潜在被APT攻击的对象,另一方面,可以有效检测加密、变体和未知类型APT攻击。因此,本发明实施例不但可以提高检测成功率,还可以降低维护成本。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的定向威胁攻击的检测方法的主要流程的示意图;
图2是根据本发明一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图;
图3是根据本发明另一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图;
图4是根据本发明再一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图;
图5是根据本发明实施例的定向威胁攻击的检测装置的主要模块的示意图;
图6是本发明实施例可以应用于其中的示例性***架构图;
图7是适于用来实现本发明实施例的终端设备或服务器的计算机***的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的定向威胁攻击的检测方法的主要流程的示意图。作为本发明的一个实施例,如图1所示,所述定向威胁攻击的检测方法可以包括:
步骤101,获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组。
在步骤101中,首先进行网络数据收集,可以通过旁路镜像模式或者串行网关模式,部署网络数据采集器在局域网和外网通信的关键节点上,收集局域网和外网通信的所有网络数据。然后对收集到的网络数据进行处理,从而得到各个样本集的多维数组。
可选地,步骤101可以包括:将触发规则匹配的主机标记为正向样本机,将未触发规则匹配的主机标记为负向样本机;对于每个正向样本机,获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;对于每个负向样本机,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;对各个维度的数据进行归一化处理,使得各个多维数组中的数据映射到[0,1]区间。
本发明实施例使用规则库匹配方式,将触发规则匹配的局域网内主机标志为正向样本机,未触发规则的局域网内主机标志为负向样本机。本发明实施例的规则库与传统的APT攻击检测规则库区别在于:轻量化,传统的APT攻击检测规则库往往包括一套完整攻击流程的特征组合,本发明的规则库只需要一条或者少量的高可疑度规则;结果导向,本发明的规则库的更偏向于APT的结果特征,如外发垃圾邮件、横向传播、外发敏感内容文件等等。通常来说,正向样本机的数量少于负向样本机的数量。
可选地,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到N个w维数组;其中,N=T/t,T为预设时间间隔,t为单位时间间隔;筛选出所有正向样本在该维度的数值都为零的无效维度,将所述无效维度从所述N个w维数组中去除,得到N个u维数组;其中,u<w。为了获得有效的网络数据,对w维数组进行特征筛选,将所有正向样本在该维度的数值都为零的无效维度从w维数组中去除,得到N个u维数组;
可选地,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:基于所述正向样本机的数据维度u,获取距离所述负向样本机的采样时间点为预设时间间隔内的u维数据;按照单位时间间隔对所述预设时间间隔内的u维数据进行统计,得到N个u维数组。由于负向样本机没有触发规则匹配成功时间点,因此可以以负向样本机的采样时间点作为截止时刻,获取距离负向样本机的采样时间点为预设时间间隔内的网络数据,最后得到负样本机的u维数组。
本发明实施例对各个样本机的网络数据进行多元化采集,具体地,可以包括如下步骤:
1)对所有正向样本机,在触发规则匹配成功时间点T0向过去,获取T0-T时刻到T0时刻内的所有网络数据。
2)按单位时间间隔t对这段时间长度为T的网络数据进行多元统计,形成N个w维数组,其中N=T/t,w为统计内容的数量。多元统计包括但不限于以下内容:
外发数据大小级数,取t时间段内外发总字节数A,级数x=lgA。
接收数据大小级数,取t时间段内接收总字节数A,级数x=lgA。
下载文件次数,取t时间段内下载文件次数x。
上传文件次数,取t时间段内上传次数x。
外发邮件次数,取t时间段内外发邮件次数x。
接收邮件次数,取t时间段内接收邮件次数x。
DNS请求次数,取t时间段内DNS请求次数x。
各种DNS安全规则触发次数,取t时间段内各自DNS安全规则对应的触发次数x。
访问域名熵值,取t时间段内访问的所有域名熵值总和x。
目标IP数量,取t时间段内不同目标IP数x。
目标IP地理位置数量,取t时间段内目标IP地理位置数量x。
内网IP请求次数,取t时间段内内网IP请求次数x。
URL分类引擎下,不同类型URL访问次数x。
触发内容安全引擎警告次数,取t时间段内触发内容安全引擎警告次数x。
周期性心跳包连接数,取t时间段内DNS周期性心跳包连接数x。
安全证书验证次数,取t时间段内安全证书验证次数x。
非常用目标端口连接次数,取t时间段内非常用目标端口连接次数x。
3)特征筛选,在步骤2)所得的w维数据中,去除所有正向样本在该维度统计值都为0的维度,剩下u维数据。
4)依据步骤3)后的保留的u维度数据,按步骤2)的描述的多元统计方法对局域网中所有负向样本机的数据进行采集和处理,得到各个负向样本机的N个u维数组。
5)将步骤3)和步骤4)得到的所有维度的数据取各自维度的最大值M,对每个数据x进行归一化处理,X=x/M,从而将所有数据映射到[0,1]区间。
步骤102,根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组。
可选地,步骤102可以包括:对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数。通过该方法可以扩充采集的样本,从而生成大量的样本,有助于提高模型的计算准确性。
需要指出的是,步骤102中处理的数据均为步骤101中归一化处理后的数据。
可选地,步骤102可以包括:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
在本发明的实施例中,通过对样本机对应的总时间为T、单位时间为t的N个u维数组进行进一步处理,得到该样本机对应的((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组,具体步骤包括:
1)设定样本序列长度为n(其中n*t<T),设定最大模糊单元个数m(其中m<N-n,N=T/t)。
2)从x=0到x=m依次加1的过程中进行m+1次步骤3)。
3)从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4)和步骤5)步骤,形成N-n-x个子序列。
4)在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列L。
5)在子序列L中随机去除x个u维单元数据(x为模糊单元数据的个数),同时保持原有单元数据的前后顺序。
6)经过步骤2)-步骤5),最终,一个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度都为n的u维序列数组。
其中,u维序列数组的数量计算过程如下:
x=[0,1,2,3......m],y=[0,1,2,3,...N-n-x]
(N-n-0)+(N-n-1)+(N-n-2)+.......+(N-n-m)=(N-n)*(m+1)-(0+1+2+3+...+m)=(N-n)*(m+1)-m(m+1)/2)
假设N=20,m=5,n=10,则有:
x=0时,y=[1,2,3,4,5,6,7,8,9,10],y有10次取值,得10个子序列,N-n-0;x=1时,y=[1,2,3,4,5,6,7,8,9],y有9次取值,得9个子序列,N-n-1;
x=5时,y=[1,2,3,4,5],y有5次取值,得5个子序列,N-n-m;
所以u维序列数组的数量=10+9+8+7+6+5=45(x从0到m,取值有m+1次)。
步骤103,采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练。
可选地,可以基于双向GRU-RNN神经网络模型的有监督机器学习算法训练得到模型,可以具体包括以下步骤:
1)模型输入:输入变量为u维序列数组,长度序列为n。
2)模型结构:以GRU(Gated Recurrent Unit)为神经网络单元的双向循环神经网络(bi-direction RNN)结构,以双向循环神经网络的正向传播最后一层神经单元状态(forward last state),作为全链接softmax层输入,取softmax层结果为模型输出。
3)模型训练:以交叉熵(cross-entropy)为代价函数,以RMSPropOptimizer为优化器对步骤102生成的所有样本机的u维序列数组进行学习。
4)模型学习收敛后,保存模型参数。
步骤104,获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率。
获取和处理待测主机的过程与负向样本机类似,可选地,获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,包括:基于所述正向样本机的数据维度u,获取距离所述待测主机的检测时间点为预设时间间隔内的u维数据;按照单位时间间隔对所述预设时间间隔内的u维数据进行统计和归一化处理,得到N个u维数组。具体地,在检测时间点向过去,对当前局域网内待测主机取时间间隔为n*t的所有网络数据,然后按单位时间间隔t对每个待测主机的网络数据的各维数据进行统计,并进行归一化处理,最终得到各个待测主机的n个u维数组。
可选地,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率,包括:将所述待测主机的多维数组输入到训练好的神经网络模型,以输出模型计算结果;根据以下公式计算所述待测主机的定向威胁攻击的概率:
概率=(r-c/1-c)*10
其中,r为模型计算结果,c为预设的检测阈值。
启动步骤103中训练好的神经网络模型,加载对应参数,以待测主机的n个u维数组为输入,得出softmax层结果r。取阈值c,以(r-c/1-c)*10为威胁概率,概率值越大,APT的概率越高。
根据上面所述的各种实施例,可以看出本发明实施例通过获取待测主机的网络数据,对待测主机的网络数据进行处理,得到待测主机的多维数组,将待测主机的多维数组输入到训练好的神经网络模型,从而计算得到待测主机的定向威胁攻击的概率的技术手段,解决了现有技术中检测成功率低和维护成本高的技术问题。本发明实施例一方面可以找出潜在被APT攻击的对象,另一方面,可以有效检测加密、变体和未知类型APT攻击。因此,本发明实施例不但可以提高检测成功率,还可以降低维护成本。
图2是根据本发明一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图。作为本发明的又一个实施例,如图2所示,上述实施例中的步骤101可以包括:
步骤201,获取一个正向样本机的触发规则匹配成功时间点T0
步骤202,获取该正向样本机从T0-T时刻到T0时刻内的所有网络数据。
步骤203,对该正向样本机,按单位时间间隔t对这段时间长度为T的网络数据进行多元统计,得到N个w维数组。
步骤204,是否处理完C个正向样本机;若是,则执行步骤205;若否,则执行步骤201。
步骤205,遍历C*N个w维数组,如果w维中某一个维xi的统计值全部为零,则去除该维度xi,得到C*N个(w-1)维数组,最终得到C*N个u维数组。
步骤206,获取当前时刻T0’。
步骤207,获取一个负向样本机从T0’-T时刻到T0’时刻内的所有网络数据。
步骤208,对该负向样本机,按单位时间间隔t对这段时间长度为T的网络数据进行多元统计,得到N个u维数组。
步骤209,是否处理完S个负向样本机;若是,则执行步骤210;若否,则执行步骤206。
步骤210,将所有维度的数据取各自维度的最大值M,对每个数据x进行归一化处理,X=x/M,从而将所有数据映射到[0,1]区间。
例如,u维中某一个维度xi最大值为M,xi维中每个数据由x改为x/M,最终得到C*N+S*N个u维的数值在[0,1]区间的数组。
另外,在本发明一个可参考实施例中定向威胁攻击的检测方法的具体实施内容,在上面所述定向威胁攻击的检测方法中已经详细说明了,故在此重复内容不再说明。
图3是根据本发明另一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图。作为本发明的另一个实施例,如图3所示,上述实施例中的步骤102可以包括:
步骤301,获取一个样本机的N个u维数组,按照时间先后顺序标号。
步骤302,设定样本序列长度为你,最大模糊单元数据的个数为m(其中m<N-n)。
步骤303,初始x=0,y=1。
步骤304,在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列L。
步骤305,在子序列L中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序。
步骤306,得到长度为n的u维的序列数组,y=y+1。
步骤307,y≤N-n-x+1?若否,则执行步骤308;若是,则执行步骤304。
步骤308,x=x+1。
步骤309,x≤m?;若否,则执行步骤310;若是,则执行步骤304。
步骤310,是否处理完所有样本机;若是,则执行步骤311;若否在,则执行步骤301。
步骤311,每一个样本机可以得到((N-n)*(m+1)-m(m+1)/2)个长度都为n的u维序列数组。
另外,在本发明另一个可参考实施例中定向威胁攻击的检测方法的具体实施内容,在上面所述定向威胁攻击的检测方法中已经详细说明了,故在此重复内容不再说明。
图4是根据本发明再一个可参考实施例的定向威胁攻击的检测方法的主要流程的示意图。作为本发明的再一个实施例,如图4所示,上述实施例中的步骤104可以包括:
步骤401,获取当前时刻T0”。
步骤402,获取一个待测主机从T0”-T时刻到T0”时刻内的所有网络数据。
步骤403,对该待测主机,按单位时间间隔t对这段时间长度为T的网络数据进行多元统计,得到N个u维数组。
步骤404,u维中某一个维度xi,将该维度的数据由x改为x/M,得到n个u维的数值在[0,1]区间的数组。
步骤405,加载双向GRU-RNN神经网络模型,以N个u维数组为模型输入,得到模型输出。
步骤406,取阈值c,以(r-c/1-c)*10为威胁概率。
步骤407,是否处理完所有待测主机;若是,则执行步骤408;若否,则执行步骤401。
步骤408,得到所有待测主机的威胁概率,概率值越大,APT的概率越高。
另外,在本发明再一个可参考实施例中定向威胁攻击的检测方法的具体实施内容,在上面所述定向威胁攻击的检测方法中已经详细说明了,故在此重复内容不再说明。
图5是根据本发明实施例的定向威胁攻击的检测装置的主要模块的示意图,如图5所示,所述定向威胁攻击的检测装置500包括获取模块501、生成模块502、训练模块503和检测模块504;其中,获取模块501用于获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;生成模块502用于根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;训练模块503用于采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;检测模块504用于获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率
可选地,所述获取模块501还用于:
将触发规则匹配的主机标记为正向样本机,将未触发规则匹配的主机标记为负向样本机;
对于每个正向样本机,获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对于每个负向样本机,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对各个维度的数据进行归一化处理,使得各个多维数组中的数据映射到[0,1]区间。
可选地,所述获取模块501还用于:
按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到N个w维数组;其中,N=T/t,T为预设时间间隔,t为单位时间间隔;
筛选出所有正向样本在该维度的数值都为零的无效维度,将所述无效维度从所述N个w维数组中去除,得到N个u维数组;其中,u<w。
可选地,所述获取模块501还用于:
基于所述正向样本机的数据维度u,获取距离所述负向样本机的采样时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计,得到N个u维数组。
可选地,所述生成模块502还用于:
对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;
从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数。
可选地,所述生成模块502还用于:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
可选地,所述检测模块504还用于:
基于所述正向样本机的数据维度u,获取距离所述待测主机的检测时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计和归一化处理,得到N个u维数组。
可选地,所述检测模块504还用于:
将所述待测主机的多维数组输入到训练好的神经网络模型,以输出模型计算结果;
根据以下公式计算所述待测主机的定向威胁攻击的概率:
概率=(r-c/1-c)*10
其中,r为模型计算结果,c为预设的检测阈值。
根据上面所述的各种实施例,可以看出本发明实施例通过获取待测主机的网络数据,对待测主机的网络数据进行处理,得到待测主机的多维数组,将待测主机的多维数组输入到训练好的神经网络模型,从而计算得到待测主机的定向威胁攻击的概率的技术手段,解决了现有技术中检测成功率低和维护成本高的技术问题。本发明实施例一方面可以找出潜在被APT攻击的对象,另一方面,可以有效检测加密、变体和未知类型APT攻击。因此,本发明实施例不但可以提高检测成功率,还可以降低维护成本。
需要说明的是,在本发明所述定向威胁攻击的检测装置的具体实施内容,在上面所述定向威胁攻击的检测方法中已经详细说明了,故在此重复内容不再说明。
图6示出了可以应用本发明实施例的定向威胁攻击的检测方法或定向威胁攻击的检测装置的示例性***架构600。
如图6所示,***架构600可以包括终端设备601、602、603,网络604和服务器605。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的物品信息查询请求等数据进行分析等处理,并将处理结果(例如目标推送信息、物品信息——仅为示例)反馈给终端设备。
需要说明的是,本发明实施例所提供的定向威胁攻击的检测方法一般由服务器605执行,相应地,所述定向威胁攻击的检测装置一般设置在服务器605中。本发明实施例所提供的定向威胁攻击的检测方法也可以由终端设备601、602、603执行,相应地,所述定向威胁攻击的检测装置可以设置在终端设备601、602、603中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机***700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机***700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有***700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的***中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、生成模块、训练模块和检测模块,其中,这些模块的名称在某种情况下并不构成对该模块本身的限定。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,该设备实现如下方法:获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率。
根据本发明实施例的技术方案,因为采用获取待测主机的网络数据,对待测主机的网络数据进行处理,得到待测主机的多维数组,将待测主机的多维数组输入到训练好的神经网络模型,从而计算得到待测主机的定向威胁攻击的概率的技术手段,所以克服了现有技术中检测成功率低和维护成本高的技术问题。本发明实施例一方面可以找出潜在被APT攻击的对象,另一方面,可以有效检测加密、变体和未知类型APT攻击。因此,本发明实施例不但可以提高检测成功率,还可以降低维护成本。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (9)

1.一种定向威胁攻击的检测方法,其特征在于,包括:
获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;
根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;
采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;
获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率;
其中,根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组,包括:
对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;
从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数;
根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组,包括:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
2.根据权利要求1所述的方法,其特征在于,获取各个样本机的网络数据,对所述网络数据进行处理,分别得到各个所述样本机的多维数组,包括:
将触发规则匹配的主机标记为正向样本机,将未触发规则匹配的主机标记为负向样本机;
对于每个正向样本机,获取距离所述正向样本机的触发规则匹配成功时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对于每个负向样本机,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组;
对各个维度的数据进行归一化处理,使得各个多维数组中的数据映射到[0,1]区间。
3.根据权利要求2所述的方法,其特征在于,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:
按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到N个w维数组;其中,N=T/t,T为预设时间间隔,t为单位时间间隔;
筛选出所有正向样本在该维度的数值都为零的无效维度,将所述无效维度从所述N个w维数组中去除,得到N个u维数组;其中,u<w。
4.根据权利要求3所述的方法,其特征在于,获取距离所述负向样本机的采样时间点为预设时间间隔内的网络数据,按照单位时间间隔对所述预设时间间隔内的网络数据进行统计和筛选,得到多维数组,包括:
基于所述正向样本机的数据维度u,获取距离所述负向样本机的采样时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计,得到N个u维数组。
5.根据权利要求3所述的方法,其特征在于,获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,包括:
基于所述正向样本机的数据维度u,获取距离所述待测主机的检测时间点为预设时间间隔内的u维数据;
按照单位时间间隔对所述预设时间间隔内的u维数据进行统计和归一化处理,得到N个u维数组。
6.根据权利要求1所述的方法,其特征在于,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率,包括:
将所述待测主机的多维数组输入到训练好的神经网络模型,以输出模型计算结果;
根据以下公式计算所述待测主机的定向威胁攻击的概率:
概率=(r-c/1-c)*10
其中,r为模型计算结果,c为预设的检测阈值。
7.一种定向威胁攻击的检测装置,其特征在于,包括:
获取模块,用于获取各个样本机的网络数据,对各个所述样本机的网络数据进行处理,分别得到各个所述样本机的多维数组;
生成模块,用于根据各个所述样本机的多维数组,分别生成各个所述样本机对应的序列数组;
训练模块,用于采用各个所述样本机对应的序列数组对神经网络模型进行有监督训练;
检测模块,用于获取待测主机的网络数据,对所述待测主机的网络数据进行处理,得到所述待测主机的多维数组,将所述待测主机的多维数组输入到训练好的神经网络模型,从而计算得到所述待测主机的定向威胁攻击的概率;
其中,所述生成模块还用于:
对于每个样本机的N个u维数组,从所述N个u维数组中获取长度为n+x的子序列;
从所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序,得到长度为n的u维序列数组;其中,n<N,x为模糊单元数据的个数;
所述生成模块还用于:
步骤1:设定序列数组的长度为n,设定最大模糊单元数据的个数为m;其中,n<N,m<N-n;
步骤2:从x=0到x=m依次加1的过程中进行m+1次步骤3;其中,x为模糊单元数据的个数;
步骤3:从y=1到y=N-n-x+1依次加1的过程进行N-n-x次步骤4和步骤5,以形成N-n-x个子序列;
步骤4:在N个u维数组中,取起点s=y,终点z=y+n+x-1的子序列;
步骤5:在所述子序列中随机去除x个u维单元数据,同时保持所述子序列中各个单元数据的前后顺序;
经过步骤2-步骤5,每个样本机得到((N-n)*(m+1)-m(m+1)/2)个长度为n的u维序列数组。
8.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,所述一个或多个处理器实现如权利要求1-6中任一所述的方法。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-6中任一所述的方法。
CN202010517796.3A 2020-06-09 2020-06-09 一种定向威胁攻击的检测方法和装置 Active CN111756708B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010517796.3A CN111756708B (zh) 2020-06-09 2020-06-09 一种定向威胁攻击的检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010517796.3A CN111756708B (zh) 2020-06-09 2020-06-09 一种定向威胁攻击的检测方法和装置

Publications (2)

Publication Number Publication Date
CN111756708A CN111756708A (zh) 2020-10-09
CN111756708B true CN111756708B (zh) 2022-06-28

Family

ID=72676000

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010517796.3A Active CN111756708B (zh) 2020-06-09 2020-06-09 一种定向威胁攻击的检测方法和装置

Country Status (1)

Country Link
CN (1) CN111756708B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN103281293A (zh) * 2013-03-22 2013-09-04 南京江宁台湾农民创业园发展有限公司 一种基于多维分层相对熵的网络流量异常检测方法
CN107451476A (zh) * 2017-07-21 2017-12-08 上海携程商务有限公司 基于云平台的网页后门检测方法、***、设备及存储介质
CN108449342A (zh) * 2018-03-20 2018-08-24 北京搜狐互联网信息服务有限公司 恶意请求检测方法及装置
CN109040130A (zh) * 2018-09-21 2018-12-18 成都力鸣信息技术有限公司 基于属性关系图的主机网络行为模式度量方法
CN110995643A (zh) * 2019-10-10 2020-04-10 中国人民解放军国防科技大学 一种基于邮件数据分析的异常用户识别方法
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2520987B (en) * 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102821002A (zh) * 2011-06-09 2012-12-12 ***通信集团河南有限公司信阳分公司 网络流量异常检测方法和***
CN103281293A (zh) * 2013-03-22 2013-09-04 南京江宁台湾农民创业园发展有限公司 一种基于多维分层相对熵的网络流量异常检测方法
CN107451476A (zh) * 2017-07-21 2017-12-08 上海携程商务有限公司 基于云平台的网页后门检测方法、***、设备及存储介质
CN108449342A (zh) * 2018-03-20 2018-08-24 北京搜狐互联网信息服务有限公司 恶意请求检测方法及装置
CN109040130A (zh) * 2018-09-21 2018-12-18 成都力鸣信息技术有限公司 基于属性关系图的主机网络行为模式度量方法
CN110995643A (zh) * 2019-10-10 2020-04-10 中国人民解放军国防科技大学 一种基于邮件数据分析的异常用户识别方法
CN111181939A (zh) * 2019-12-20 2020-05-19 广东工业大学 一种基于集成学习的网络入侵检测方法及装置

Also Published As

Publication number Publication date
CN111756708A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
US11899786B2 (en) Detecting security-violation-associated event data
US11258805B2 (en) Computer-security event clustering and violation detection
CN109450842B (zh) 一种基于神经网络的网络恶意行为识别方法
EP3716111A1 (en) Computer-security violation detection using coordinate vectors
EP3654216B1 (en) Computer-security event security-violation detection
US10375143B2 (en) Learning indicators of compromise with hierarchical models
CN111277570A (zh) 数据的安全监测方法和装置、电子设备、可读介质
US20180248879A1 (en) Method and apparatus for setting access privilege, server and storage medium
CN110198248B (zh) 检测ip地址的方法和装置
CN113315742B (zh) 攻击行为检测方法、装置及攻击检测设备
CN111224941B (zh) 一种威胁类型识别方法及装置
WO2018047027A1 (en) A method for exploring traffic passive traces and grouping similar urls
CN111756708B (zh) 一种定向威胁攻击的检测方法和装置
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
Ajagekar et al. Automated approach for DDOS attacks detection based on naive Bayes multinomial classifier
CN115589339A (zh) 网络攻击类型识别方法、装置、设备以及存储介质
CN115134095A (zh) 僵尸网络控制端检测方法及装置、存储介质、电子设备
Tan et al. Malfilter: A lightweight real-time malicious url filtering system in large-scale networks
US20240121267A1 (en) Inline malicious url detection with hierarchical structure patterns
Wellem et al. Sketch‐guided filtering support for detecting superspreaders in high‐speed networks
CN113676379B (zh) 一种dns隧道检测方法、装置、***及计算机存储介质
CN114070819B (zh) 恶意域名检测方法、设备、电子设备及存储介质
CN114070581B (zh) 域名***隐藏信道的检测方法及装置
Bhadauria et al. Domain-Checker: A Classification of Malicious and Benign Domains Using Multitier Filtering
Li M-ISDS: A Mobilized Intrusion and Spam Detection System

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20210319

Address after: 100176 8660, 6 / F, building 3, No.3, Yongchang North Road, Beijing Economic and Technological Development Zone, Daxing District, Beijing

Applicant after: BEIJING SKYGUARD NETWORK SECURITY TECHNOLOGY Co.,Ltd.

Applicant after: Chengdu sky guard Network Security Technology Co.,Ltd.

Address before: 100176 8660, 6 / F, building 3, No.3, Yongchang North Road, Beijing Economic and Technological Development Zone, Beijing

Applicant before: BEIJING SKYGUARD NETWORK SECURITY TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant