CN111865996A - 数据检测方法、装置和电子设备 - Google Patents

Abstract

本公开提供了一种数据检测方法、装置和电子设备，该方法包括：接收数据流，数据流包括至少一个第一数据包；基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第一数据包的第一数量多于或等于第二数据包的第二数量；利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型；以及如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。

Description

数据检测方法、装置和电子设备

技术领域

本公开涉及互联网技术领域，更具体地，涉及一种数据检测方法、装置和电子设备。

背景技术

为了促进互联网信息技术健康有序发展，用户和信息服务商需要遵守当地法规，如遵守《互联网信息服务管理方法》等。对于不满足法规要求的信息传输行为需进行阻断，例如，在防火墙中需要对来自某些源IP地址的数据流进行阻断。

在实现本公开构思的过程中，发明人发现现有技术中至少存在如下问题：相关技术中防火墙主要是通过下发防火墙策略，进行基本的数据包检测等，而对数据包内容的深度检测较少，导致防火墙检测不够全面。

发明内容

本公开的一个方面提供了一种由电子设备执行的数据检测方法，包括：接收数据流，数据流包括至少一个第一数据包；基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第一数据包的第一数量多于或等于第二数据包的第二数量；利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型；以及如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。

根据本公开的实施例，利用攻击检测模型对至少一个第二数据包中数据进行检测包括：对至少一个第二数据包进行流量分割，得到至少一个文件，每个文件是以会话为单位的第二数据包组；将至少一个文件转换为至少一个二进制图像，二进制图像包括指定个数像素，文件的各字节具有一个相对应的像素，至少一个文件的第三数量少于或者等于至少一个二进制图像的第四数量；将至少一个二进制图像转换为至少一个特征向量；以及利用攻击检测模型处理至少一个特征向量，得到检测结果。

根据本公开的实施例，攻击检测模型包括至少一个针对特定攻击类型的子模型。相应地，上述方法还包括：接收用户操作指令；以及响应于用户操作指令，从攻击检测模型中选取至少一个子模型，以至少一个第二数据包进行检测。

本公开的另一个方面提供了一种数据检测装置，包括：数据接收模块、第一检测模块、第二检测模块和提示模块。其中，数据接收模块用于接收数据流，数据流包括至少一个第一数据包；第一检测模块用于基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第二数据包的第二数量少于或者等于第一数据包的第一数量；第二检测模块用于利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型和非攻击类型；以及提示模块用于如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。

本公开的另一方面提供了一种电子设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

根据本公开的实施例，在基于防火墙策略对数据包进行检测和处理之后，还对数据包的内容进行安全检测，有效提升防火墙检测深度和检测效果。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本公开实施例的适用于数据检测方法、装置和电子设备的应用场景的示意图；

图2示意性示出了根据本公开实施例的应用数据检测方法、装置和电子设备的示例性***架构；

图3示意性示出了根据本公开实施例的数据检测方法的流程图；

图4示意性示出了根据本公开实施例的对第一数据包进行过滤的示意图；

图5示意性示出了根据本公开实施例的进行服务器负载均衡的示意图；

图6示意性示出了根据本公开实施例的二进制图像的示意图；

图7示意性示出了根据本公开实施例的攻击检测模型和子模型的示意图；

图8示意性示出了根据本公开实施例的子模型的结构示意图；

图9示意性示出了根据本公开实施例的数据检测装置的结构示意图；

图10示意性示出了根据本公开实施例的第二检测模块的方框图；

图11示意性示出了根据本公开实施例的数据检测装置的数据检测逻辑图；以及

图12示意性示出了根据本公开实施例的电子设备的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。本领域技术人员还应理解，实质上任意表示两个或更多可选项目的转折连词和/或短语，无论是在说明书、权利要求书还是附图中，都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如，短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。

为了便于更好地理解本公开的实施例，首先对防火墙技术进行说明。相关技术中可以通过服务器提供防火墙功能、负载均衡等功能。可以采用防火墙或其它安全措施来将内部网络或个人计算机等与外部网络分隔开。然而，防火墙在防止外部攻击方面并不是十分安全，例如，外部攻击包括：病毒、蠕虫、特洛伊或其它形式的恶意代码及计算机黑客侵入、内部人员的攻击、错误、和可能出现的遗漏等，导致网络还是易受攻击。因此，用户希望加强防火墙的防护能力，并减小因提供的防护功能而消耗的网络资源。

应注意的是，为了实现防火墙的防护功能，可以根据用户的需求在防火墙内设置一组特定的防火墙策略。例如，防火墙策略可以包括特定的防火墙规则、地址转换、可被允许或不被允许的地址、阻止签名和防病毒签名等。

本公开的实施例提供了一种数据检测方法、装置和电子设备。该方法包括头部检测过程和主体检测过程。在头部检测过程中，首先接收数据流，数据流包括至少一个第一数据包，然后，基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第一数据包的第一数量多于或等于第二数据包的第二数量。在完成头部检测过程之后，进入主体检测过程，利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型。这也使得可以实现：如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。本公开的实施例在针对头部进行检测基础上，在数据流量经过防火墙时，还对数据流量的内容进行深度的安全检测。例如，在对黑名单、DDOS等进行检测之外，还可以实现对攻击方式等深度内容进行检测，有效提升了检测内容的全面性，提升用户体验。

图1示意性示出了根据本公开实施例的适用于数据检测方法、装置和电子设备的应用场景的示意图。

如图1所示，当网络数据流包括的多个第一数据包流经防火墙时，防火墙先对第一数据包进行检测，同时可以确定第一数据包的目标地址。在对第一数据包进行检测的过程中，一部分第一数据包会被过滤掉，形成第二数据包。此时，利用攻击检测模型处理第二数据包的数据，实现对第二数据包进行深度检测，以确定其中是否包括攻击数据。其中，在利用攻击检测模型处理第二数据包的过程中，无需还原该第二数据包包括的信息，可以实现在低网络资源消耗的前提下快速的对网络数据流进行检测，有效提升了防火墙检测效果。

图2示意性示出了根据本公开实施例的应用数据检测方法、装置和电子设备的示例性***架构。

需要注意的是，图2所示仅为可以应用本公开实施例的***架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。

如图2所示，根据本公开实施例的***架构200可以包括终端设备201、202、203，网络204、防火墙205和服务器206。终端设备201、202、203，防火墙205和服务器206之间可以通过网络204连接，网络204可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

终端设备201、202、203可以是支持网络传输功能的多种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机、主机和台式计算机等等。根据本公开实施例，终端设备201、202、203之间例如可以通过局域网、广域网等传输数据。

防火墙205例如可以与终端设备201、202、203连接，终端设备201、202、203流入流出的网络通信和数据包都经过防火墙205。

服务器206可以是提供各种服务的服务器，例如对用户利用终端设备201、202、203所发起的请求提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。

需要说明的是，本公开实施例所提供的数据检测方法一般可以由防火墙205执行。相应地，本公开实施例所提供的数据检测装置一般可以设置于防火墙205中。本公开实施例所提供的数据检测方法也可以由不同于防火墙205且能够与终端设备201、202、203和/或防火墙205通信的服务器或服务器集群执行。相应地，本公开实施例所提供的数据检测装置也可以设置于不同于防火墙205且能够与终端设备201、202、203和/或防火墙205通信的服务器或服务器集群中。

应该理解，图2中的终端设备、防火墙和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、防火墙和服务器。

图3示意性示出了根据本公开实施例的数据检测方法的流程图。

如图3所示，该由服务器端执行的数据检测方法可以包括操作S301～操作S307。

在操作S301，接收数据流，数据流包括至少一个第一数据包。

在本实施例中，第一数据包可以包括电子设备与服务器端之间基于指定协议进行握手来产生的数据包，以及建立连接后传输的数据包。其中，指定协议可以包括HTTPS协议、传输层安全(Transport Layer Security，简称TLS)协议、安全套接字(Secure SocketsLayer，简称SSL)协议等可以对数据流进行加密的通信协议。

例如，第一数据包中至少部分数据包包括头部信息(如帧头部、网际互联协议(IP)头部)等。这些头部信息中可以包括诸如IP地址、媒体访问控制地址(Media AccessControl Address，简称MAC地址)、端口等信息，以便准确地将数据包发送给目标对象。此外，数据包中还可以包括数据部分，数据部分用于承载传输的信息。但是，该数据部分中可以包括攻击类型的数据，给互联网带来安全隐患。相关技术中防火墙无法较好地检测出数据部分中包括的攻击类型的数据。

在操作S303，基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第一数据包的第一数量多于或等于第二数据包的第二数量。

其中，防火墙策略可以是由用户自行设定的，如防火墙策略中可以包括针对IP地址的黑名单和白名单、敏感词过滤等。

在一个实施例中，基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包可以包括如下操作。首先，确定至少一个第一数据包的头部信息。然后，基于头部信息和防火墙策略对至少一个第一数据包进行过滤，得到至少一个第二数据包。例如，解析帧头部和IP头部，并进行基础的安全检测等。以太网帧包括目的MAC，源MAC和协议类型。将目的MAC放在了源MAC，可以实现快速转发。即只查找目的MAC地址，并基于查找到的MAC地址直接转发，所以将目的MAC放在前面查找的过程中可以有效提升转发速度。源MAC地址部分可以包括6个字节。协议类型(作用是标识高层协议)部分可以包括2个字节，例如，常用的协议标识包括：IPV4 0x0800，IPX 0x8137，ARP 0x0806，IPV6 0x86DD。

IP头部的报文结构内容可以包括：IPV4头部信息，最小为20字节，最长为60字节，IP头部以4字节(32位)为单位排列。第一个四字节是版本信息。第二个四字节表示偏移量，如长报文中第几片信息和标志(FLAG)字段。第三个四字节包括生存时间、协议、首部校验和信息。第四个四字节是32位的源IP地址。第五个四字节是32位的目的IP地址。

这样使得在执行完操作S303之后，同时可以确定第一数据包的多个地址信息，以便于后续进行数据包转发。

需要说明的是，为了提升关于包括头部信息的数据包的攻击检测速度(如握手时的数据包中还未解析到源IP地址等信息时，无法实现黑名单过滤，容易造成漏检)，可以通过解析数字证书来确定源IP地址、域名等，这样可以实现对握手时的数据包进行黑名单过滤等。例如，SSL证书可以包括如下信息。

颁发给：

一般名称(CN)*.icbc.com.cn

组织(O)INDUSTRIAL AND COMMERCIAL BANK OF CHINA

……

(以上SSL证书的内容仅为示例性说明)

这样有助于提升检测的全面性。

图4示意性示出了根据本公开实施例的对第一数据包进行过滤的示意图。

如图4所示，用户设置的防火墙策略包括：与黑名单相适配的第一数据包的处理方式是丢弃，与白名单相适配的第一数据包的处理方式的通过，阻止分布式拒绝服务(Distributed Denial of Service，简称DDOS)攻击等。其中，黑名单和白名单中可以包括多个IP地址，该IP地址可以是源IP地址或目的IP地址。只要匹配成功，则进行相应的丢弃数据包操作或者后续攻击检测操作。

在一个实施例中，由于两个电子设备之间可以采用会话的方式进行数据传输，以提升数据传输效率。一个会话可以包括多个数据包，当一个会话中至少一个数据包中包括攻击类型的数据时，则表明该基于该会话传输的数据的安全性存在隐患。

例如，上述方法还可以包括如下操作。在得到至少一个第二数据包之后，对于各第二数据包，如果不存在第二数据包对应的会话，则创建与第二数据包对应的第一会话，以基于第一会话传输第二数据包。具体地，对于无会话的情况，首先可以进行黑名单匹配，如果第二数据包的源地址命中黑名单，则丢弃该第二数据包，后续流程结束。如果第二数据包的源地址未命中黑名单，则进行路由表查询、网络地址转换(Network Address Translation，简称NAT)策略匹配等，最终进行会话创建。

又例如，上述方法还可以包括如下操作。在得到至少一个第二数据包之后，对于各第二数据包，如果存在与第二数据包对应的第二会话，则刷新第二会话，然后，至少基于第二会话进行服务器负载均衡，得到目的地址，以将第二数据包发送至目的地址。具体地，对于有会话的情况，则可以进行会话刷新、服务器负载均衡、路由表查询等操作，并进行黑名单匹配，如果第二数据包的源地址命中黑名单，则丢弃该第二数据包，后续流程结束。如果第二数据包的源地址未命中黑，则进行用户重定向等操作。其中，相关技术中，如果第二数据包的源地址未命中黑，则会进行第二数据包放行，以发送至目的地址，本公开的实施例会在放行第二数据包之前先对第二数据包的数据进行深度内容检测，以提升网络安全。

图5示意性示出了根据本公开实施例的进行服务器负载均衡的示意图。

如图5所示，负载均衡可以将数据包分发到多个操作单元上，如万维网(Web)服务器、文件传输协议(File Transfer Protocol，简称FTP)服务器、应用服务器集群和其它关键任务服务器上，从而共同完成工作任务。负载均衡由路由模式、桥接模式和服务直接返回模式。图5中负载均衡中设置如X.X.X.X、Y.Y.Y.Y、Z.Z.Z.Z等IP地址、域名或端口等，这样使得防火墙可以在接收到的数据包1、2、3等之后，基于各地址的数据包分配情况、任务完成情况等，进行数据包分发。

在操作S305，利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型。

在本实施例中，通过对第二数据包的数据部分进行攻击检测，能有效提升防火墙性能。其中，对数据包的数据部分进行检测可以采用多种相关检测技术。例如，首先将数据部分的数据进行还原(如解码等)，得到数据部分承载的信息，这样可以基于解析出的信息来判断数据部分是否包含攻击类型的数据，如是否包含恶意代码、恶意函数等。

由于数据包的数据部分是以二进制数字的方式进行传输，为了提升检测效率，还可以通过将数据部分的数据转换为二进制图来确定是否存在攻击类型的数据。

在一个实施例中，利用攻击检测模型对至少一个第二数据包中数据进行检测可以包括如下操作。首先，对至少一个第二数据包进行流量分割，得到至少一个文件，每个文件是以会话为单位的第二数据包组。然后，将至少一个文件转换为至少一个二进制图像，二进制图像包括指定个数像素，文件的各字节具有一个相对应的像素，至少一个文件的第三数量少于或者等于至少一个二进制图像的第四数量。接着，将至少一个二进制图像转换为至少一个特征向量。然后，利用攻击检测模型处理至少一个特征向量，得到检测结果。

例如，关于流量分割，其用于分割连续的原始网络数据流，以增加离散的流量单元。流量分割的输入数据格式可以为Pcap，并以会话为单位进行分割，(如使用会话+All来进行流量分割)，流量分割的输出数据格式仍为Pcap。Pcap文件格式是抓取网络数据包的标准格式，Pcap文件是二进制流文件，由一个文件头和多个数据包(包括数据包头及数据信息)组成，其中，文件头是24位，数据包头是16位。数据包中数据信息就是以太网数据帧，如以太网数据帧头(16位)，IP头部(20位)，TCP数据报头(20位)，其后是需要传输的数据。

例如，关于图像生成，首先将所有文件整理成均匀长度。如果文件大小大于784字节，则将其裁剪为784个字节。如果文件大小小于784个字节，则在末尾添加0x00以补充到784个字节。使得相同大小的结果文件被转换为灰色图像。原始文件的每个字节表示一个像素，例如，0x00是黑色的，0xff是白色的。需要说明的是，文件大小为784个字节仅为示例性说明，还可以是如100个字节、200个字节、550个字节、900个字节等，在此不做限定。

图6示意性示出了根据本公开实施例的二进制图像的示意图。

如图6所示，以数字“0”表示“0x00”，即图6中数字“0”所在的格可以是黑色像素。以数字“1”表示“0xff”，即图6中数字“1”所在的格可以是白色像素。图6左图中示出的36个字节可以仅是文件中局部的示意，相应地，图6右图中示出的36个像素可以仅是图像中局部的示意。

例如，关于特征(向量)提取，可以基于索引(Index，简称IDX)转换的方式来实现。将图像转换为IDX格式文件。IDX文件包含一组图像的所有像素和统计信息(如“0”的个数、“1”的个数)。如图6中图像，可以通过IDX转换得到多组特征向量：0,1,1,1,0,0……；0,0,1,1,0,0……；0,1,1,1,0,1……；1,0,1,1,1,0……；0,1,1,1,0,1……；0,0,1,1,1,0……；……等。

在一个实施例中，攻击检测模型可以包括至少一个针对特定攻击类型的子模型。也就是说，攻击检测模型可以是由多个子模型组成的，且各子模型可以分别进行特定攻击类型的检测。需要说明的是，攻击检测模型可以作为一个整体被调用，也可以是各子模型分别被调用，这样便于满足用户的多样化需求。例如，在特定场景下，用户希望只进行网络后门(webshell)检测和结构化检索索引语言(SQL)注入检测，不进行其它攻击类型的检测，则用户可以订购webshell检测模型和SQL注入检测模型。此外，用户也可以在订购多个或全部的攻击检测模型中子模型，在使用时再自行选取所需的子模型。

具体地，上述方法还可以包括如下操作。首先，接收用户操作指令。然后，响应于用户操作指令，从攻击检测模型中选取至少一个子模型，以至少一个第二数据包进行检测。这样可以有效提升用户对网络数据流量进行针对性检测的便捷度。此外，还可以有效提升检测速度，如用户确定特定场景下无需进行命令执行类型的攻击数据检测，则可以不用浪费时间进行相应的检测。

图7示意性示出了根据本公开实施例的攻击检测模型和子模型的示意图。

如图7所示，攻击检测模型可以包括：SQL注入检测模型、文件包含检测模型、命令执行检测模型、代码执行检测模型、webshell检测模型、跨站脚本攻击(Cross SiteScripting，简称XSS)检测模型、跨站请求伪造(CSRF)检测模型、恶意爬虫检测模型等中至少一个。用户可以在布置防火墙时自行选取所需的检测模型。

在一个实施例中，为了提升攻击检测效率，上述方法还可以包括：在得到至少一个文件之后，针对至少一个文件，去除空文件和/或重复文件。

例如，关于流量清洗，可以删除空文件和重复文件。此步骤中的数据格式没有变化，如仍然是Pcap格式。由于本操作是针对数据包中数据进行安全检测，如是否包括攻击类型数据。对于重复的文件无需重复进行检测以提升检测效率。需要说明的是，在确定数据包中包括重复的数据，并删除重复的数据时，需要存储被删除的文件所在数据包的数据包标识等，以便进行回溯，如数据包A中文件A与数据包B中文件B是重复的文件，在删除文件B后，需要存储文件B与文件A相同，文件B是数据包B中数据的信息，这样便于在确定文件A中包括攻击类型的数据之后，确定数据包A和数据包B中包括攻击类型的文件。

此外，在去除空文件和/或重复文件之前，该方法还可以包括如下操作：对文件中MAC地址和/或IP地址进行随机化处理。例如，在所述得到至少一个文件之后，针对至少一个所述文件，首先在数据链路层随机化至少一个所述文件中MAC地址，和/或，在IP层随机化至少一个所述文件中IP地址。然后，去除随机化后至少一个所述文件中空文件和/或重复文件。这样可以实现数据匿名化操作，避免不同的MAC地址和IP地址对后续的攻击模型判断结果形成干扰(输入攻击检测模型的数据应尽量只包含与攻击手法特征相关的内容，并减少其它不相关的内容)。通过上述随机化MAC地址和IP地址，可以实现把MAC地质和IP地质这些与攻击手法特征不相关的内容给匿名化，降低其对模型训练结果带来的干扰。关于攻击检测模型的拓扑结构。在一个实施例中，攻击检测模型包括输入层、至少一对交叠设置的卷积层和池化层，以及与池化层相邻的至少一层全连接层。需要说明的是，当攻击检测模型包括多个子模型时，各子模型的拓扑结构可以相同或不同，如都可以采用卷积神经网络等拓扑结构。此外，还可以采用多种其他类型的拓扑结构，如反深度卷积逆向图网络、循环神经网络、深度残差网络等。

图8示意性示出了根据本公开实施例的子模型的结构示意图。

如图8所示，各子模型的拓扑结构可以相同。如每个子模型可以依序包括：输入层、卷积层、池化层、卷积层、池化层、多个全连接层。其中，第一个卷积层和第二个卷积层使用的卷积核可以相同或不同，经过卷积运算后，可以降低特征向量的维度。

例如，关于攻击检测模型的模型训练。模型训练可以是采用离线训练方式，训练好的模型可以通过下发的方式给防火墙使用。具体地，在进行模型训练时，可以采用反向传播算法进行模型训练。其中，进行模型训练时使用的训练数据可以是正样本(如具有正确标注信息的数据)和/或负样本(如具有错误标注信息的数据)。

以SQL注入检测模型为例进行示例性说明。SQL注入检测模型的拓扑结构可以使用卷积神经网络(CNN)的架构，对5000个正样本和5000个负样本进行标记及预处理，然后对预处理得到的IDX文件进行模型训练，以输出最终的模型判断结果。从IDX文件中读取28*28*1的数据流量图像，并且从第一个卷积层开始，执行一个卷积运算，使用20个大小为5*5的内核，可以得到20个大小为24*24的特征映射。在第一个卷积层之后，在池化层进行一个2*2的max池操作，得到20个12*12的特征映射。第二个卷积层使用50个5*5的内核，得到50个大小为8*8的特征映射。在第二个2*2的max池操作之后，生成了50个大小为4*4的特征映射。最后两个层是全连接层，结果大小分别为500和10，并使用softmax函数来输出相应的概率结果。最终根据预先设定的准确率来进行模型训练以得到模型参数，并可以进行效果验证等操作。

在操作S307，如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。

在本实施例中，可以根据模型的检测结果来确定所需进行下一步的操作。如果攻击检测模型识别出该流量包为SQL注入攻击，则发出SQL注入的相关告警提示。

在一个实施例中，检测结果包括非攻击类型。相应地，上述方法还可以包括如下操作。如果检测结果是非攻击类型，则放行与检测结果对应的第二数据包。例如，如识别结果为正常流量，则对该数据包进行正常转发。

本公开实施例提供的数据检测方法，在传统防火墙的基础上，基于人工智能对数据包的数据进行深度安全检测，如在数据流量经过防火墙时，通过对防火墙接收到的数据流量进行数据分割、流量清洗、图像生成、IDX转换等处理得到攻击检测模型的输入数据，并且基于被下发的攻击检测模型，对输入数据(可以表征数据包内容)进行至少一种攻击类型的安全检测，可以实现针对不同攻击类型分别进行告警提示。

一方面，防火墙的安全检测模式，从依靠人工维护的防火墙静态策略下发，改变为还可以进一步基于人工智能训练的动态模型进行深度检测，不仅使得企业能够根据需求对防火墙安全检测模型进行定制和复用，增强防火墙的定制化功能，降低防护成本，而且通过引入基于人工智能的安全检测模型，也使得防火墙的智能化和检测效率得以提升。

一方面，防火墙的安全检测内容，从对黑名单、DDOS等的基础内容检测，转变为对黑名单、DDOS以及攻击方式的深度内容检测，使得检测内容更具全面性。

一方面，通过离线方式进行攻击检测模型的训练，不仅能够在保证防火墙正常使用的情况下进行模型训练及效果验证，还可以通过准确率的设置和迭代模型训练，大幅提升对不同攻击类型检测的可靠性。

在一个实施例中，如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据可以包括如下操作。

如果检测结果是攻击类型，则拦截与检测结果对应的第二数据包。如第二数据包中包括诸如SQL注入、XSS等攻击类型的数据，则可以拦截与检测结果对应的第二数据包。需要说明的是，此时不会直接丢弃该第二数据包，由于存在检测结果不准确的可能，如果直接丢弃可能导致用户体验下降。但是，为了保证网络安全，也可以不直接放行第二数据包。

然后，发送拦截提示信息给被拦截的第二数据包的目的地址。这样可以由用户确定是否需要接收该第二数据包，降低用户需求的第二数据包丢失的风险。

接着，响应于接收到来自目的地址的数据放行请求，发送被拦截的第二数据包给目的地址，数据放行请求是用户针对拦截提示信息进行操作后产生的。例如，用户在看到展示的拦截提示信息之后，如果确定希望接收到第二数据包，则可以由用户给防火墙发送数据放行请求以从防火墙接收第二数据包。

图9示意性示出了根据本公开实施例的数据检测装置的结构示意图。

如图9所示，该数据检测装置900可以包括数据接收模块910、第一检测模块920、第二检测模块930和提示模块940。

其中，数据接收模块910用于接收数据流，数据流包括至少一个第一数据包。

第一检测模块920用于基于防火墙策略对至少一个第一数据包进行处理，确定至少一个第二数据包，第二数据包的第二数量少于或者等于第一数据包的第一数量。

第二检测模块930用于利用攻击检测模型对至少一个第二数据包中数据进行检测，得到检测结果，检测结果包括攻击类型和非攻击类型。

提示模块940用于如果检测结果是攻击类型，则输出提示信息以提示与检测结果对应的第二数据包包括攻击类型数据。

图10示意性示出了根据本公开实施例的第二检测模块的方框图。

如图10所示，第二检测模块930可以包括：流量分割单元、图像生成单元、特征提取单元和模型检测单元。

其中，流量分割单元用于对至少一个第二数据包进行流量分割，得到至少一个文件，每个文件是以会话为单位的第二数据包组。

图像生成单元用于将至少一个文件转换为至少一个二进制图像，二进制图像包括指定个数像素，文件的各字节具有一个相对应的像素，至少一个文件的第三数量少于或者等于至少一个二进制图像的第四数量。

特征提取单元用于将至少一个二进制图像转换为至少一个特征向量。

模型检测单元用于利用攻击检测模型处理至少一个特征向量，得到检测结果。

此外，第二检测模块930还可以包括：流量清洗单元、IDX转换单元、模型确定单元和结果输出单元。如流量清洗单元用于删除重复或为空的数据包。IDX转换单元用于将数据包中文件转换为IDX格式文件。模型确定单元用于基于用户需求确定子模型，以便于对与被选取的子模型对应的特定攻击行为进行检测。结果输出单元用于输出第二数据包中是否包括攻击类型的数据。

在一个实施例中，第一检测模块920可以包括基础处理单元、首包处理单元、后续包处理单元。

其中，基础处理单元主要功能是对数据包的基础处理，如解析帧头部和IP头部、基础的安全检测等，并且对后续是否要创建会话进行判断。如需创建会话，则进入首包处理单元，进行黑名单匹配、路由表查询和NAT策略匹配等操作，最终创建会话。如不需要创建会话，则进入后续包处理单元，进行会话刷新、服务器负载均衡、路由表查询、黑名单、用户重定向等操作。相应地，第二检测模块930可以基于已训练好的模型，对第二数据包进行预处理和攻击类型判断，并输出判断结果。

图11示意性示出了根据本公开实施例的数据检测装置的数据检测逻辑图。

如图11所示，数据接收模块910在接收网络流量之后，由基础处理单元对第二数据包的基础处理，包括解析网络报文的帧头部和IP报文头部，并且根据头部的一些信息进行基础的DDOS等安全检测。

首包处理单元针对需要创建会话的情况，首先进行黑名单匹配，如果源地址命中黑名单，则丢弃该报文，后续流程结束。如果未命中黑名单，则进行路由表查询、NAT策略匹配等，最终进行会话创建。

后续包处理单元针对无需创建新会话的情况，主要包括会话更新、服务器负载均衡、路由表查询、黑名单、用户重定向(如转发至与目的地址不完全相同的地址)等操作。

第二检测模块930可以用于实现包括第二数据包预处理、攻击检测模型下发、第二数据包检测等功能。通过对第二数据包进行处理和特定攻击类型的检测，输出是否为相关攻击类型的模型判断结果。其中，攻击检测模型可以是预先通告离线训练的方式训练好的。例如，攻击检测模型可以包括以下至少一种：SQL注入检测模型、文件包含检测模型、命令执行检测模型、代码执行检测模型、webshell检测模型、XSS检测模型、CSRF检测模型、恶意爬虫检测模型等，以识别相应的攻击类型。此外，第二检测模块930对第二数据包进行了图像处理，因此在模型训练算法的选择上，需要保证能够对第二数据包预处理后的数据格式进行处理，如训练图像数据的各类神经网络算法。

具体地，第二检测模块930用于实现如下功能：流量分割、流量清洗、图像生成、IDX转换等过程，将第二数据包预处理成检测模型可以处理识别的内容，如将原始流量数据(如Pcap格式)转换为CNN输入数据(如idx格式)。

本公开实施例提供的数据检测装置，在传统防火墙的基础上，通过第二检测模块基于下发的攻击检测模型对第二数据包进行深度内容检测，提升防火墙的定制化和智能化程度，并且在提升检测内容全面性的基础上，提升检测效率和准确率，降低企业防护成本。如在转发第二数据包之前通过该第二检测模块下发针对特定攻击数据的攻击检测模型，以实现对特定攻击数据进行判断识别，并给出告警提示。这样不仅可以根据用户需求，灵活地对不同种类的攻击流量进行模型训练及准确率设置，还可以对下发的模型进行复用，减轻企业训练模型所投入的人力和时间成本，利用防火墙对流量的检测优势，在流量访问的防火墙层面就帮助运维人员获知攻击告警提示，以便后续的流量拦截和追踪溯源。甚至无需再为内网的至少部分网络节点配置针对特定攻击方式的防护工具等。

其中，各模块执行的操作可以参考如上所示的方法部分相关内容，在此不再一一详述。

根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，数据接收模块910、第一检测模块920、第二检测模块930和提示模块940中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，数据接收模块910、第一检测模块920、第二检测模块930和提示模块940中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，数据接收模块910、第一检测模块920、第二检测模块930和提示模块940中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图12示意性示出了根据本公开实施例的电子设备的方框图。图12示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图12所示，根据本公开实施例的电子设备1200包括处理器1201，其可以根据存储在只读存储器(ROM)1202中的程序或者从存储部分1208加载到随机访问存储器(RAM)1203中的程序而执行各种适当的动作和处理。处理器1201例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器1201还可以包括用于缓存用途的板载存储器。处理器1201可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 1203中，存储有电子设备1200操作所需的各种程序和数据。处理器1201、ROM 1202以及RAM 1203通过总线1204彼此相连。处理器1201通过执行ROM 1202和/或RAM1203中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，程序也可以存储在除ROM 1202和RAM 1203以外的一个或多个存储器中。处理器1201也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备1200还可以包括输入/输出(I/O)接口1205，输入/输出(I/O)接口1205也连接至总线1204。电子设备1200还可以包括连接至I/O接口1205的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1206；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1207；包括硬盘等的存储部分1208；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至I/O接口1205。可拆卸介质1211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1210上，以便于从其上读出的计算机程序根据需要被安装入存储部分1208。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1209从网络上被下载和安装，和/或从可拆卸介质1211被安装。在该计算机程序被处理器1201执行时，执行本公开实施例的电子设备中限定的上述功能。根据本公开的实施例，上文描述的电子设备、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的；也可以是单独存在，而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 1202和/或RAM 1203和/或ROM 1202和RAM 1203以外的一个或多个存储器。

附图中的流程图和框图，图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。

Claims (12)

1.一种由电子设备执行的数据检测方法，包括：

接收数据流，所述数据流包括至少一个第一数据包；

基于防火墙策略对至少一个所述第一数据包进行处理，确定至少一个第二数据包，所述第一数据包的第一数量多于或等于所述第二数据包的第二数量；

利用攻击检测模型对至少一个所述第二数据包中数据进行检测，得到检测结果，所述检测结果包括攻击类型；以及

如果所述检测结果是攻击类型，则输出提示信息以提示与所述检测结果对应的第二数据包包括攻击类型数据。

2.根据权利要求1所述的方法，其中，所述利用攻击检测模型对至少一个所述第二数据包中数据进行检测包括：

对至少一个所述第二数据包进行流量分割，得到至少一个文件，每个文件是以会话为单位的第二数据包组；

将至少一个所述文件转换为至少一个二进制图像，所述二进制图像包括指定个数像素，所述文件的各字节具有一个相对应的像素，至少一个所述文件的第三数量少于或者等于至少一个二进制图像的第四数量；

将至少一个所述二进制图像转换为至少一个特征向量；以及

利用攻击检测模型处理至少一个所述特征向量，得到检测结果。

3.根据权利要求2所述的方法，其中：

所述攻击检测模型包括至少一个针对特定攻击类型的子模型；

所述方法还包括：

接收用户操作指令；以及

响应于所述用户操作指令，从所述攻击检测模型中选取至少一个所述子模型，以对至少一个所述第二数据包进行检测。

4.根据权利要求2所述的方法，还包括：在所述得到至少一个文件之后，针对至少一个所述文件，

去除空文件和/或重复文件；

或者

在数据链路层随机化至少一个所述文件中MAC地址，和/或在IP层随机化至少一个所述文件中IP地址；以及

去除随机化后至少一个所述文件中空文件和/或重复文件。

5.根据权利要求1所述的方法，其中，所述基于防火墙策略对至少一个所述第一数据包进行处理，确定至少一个第二数据包包括：

确定至少一个所述第一数据包的头部信息；以及

基于所述头部信息和防火墙策略对至少一个所述第一数据包进行过滤，得到至少一个第二数据包。

6.根据权利要求5所述的方法，还包括：在所述得到至少一个第二数据包之后，对于各第二数据包，

如果不存在所述第二数据包对应的会话，则创建与所述第二数据包对应的第一会话，以基于所述第一会话传输所述第二数据包。

7.根据权利要求5所述的方法，还包括：在所述得到至少一个第二数据包之后，对于各第二数据包，

如果存在与所述第二数据包对应的第二会话，则刷新第二会话；以及

至少基于所述第二会话进行服务器负载均衡，得到目的地址，以将所述第二数据包发送至所述目的地址。

8.根据权利要求1至7任一项所述的方法，其中，所述攻击检测模型包括输入层、至少一对交叠设置的卷积层和池化层，以及与所述池化层相邻的至少一层全连接层。

9.根据权利要求1至7任一项所述的方法，其中，所述如果所述检测结果是攻击类型，则输出提示信息以提示与所述检测结果对应的第二数据包包括攻击类型数据包括：

如果所述检测结果是攻击类型，则拦截与所述检测结果对应的第二数据包；

发送拦截提示信息给被拦截的第二数据包的目的地址；

响应于接收到来自所述目的地址的数据放行请求，发送被拦截的第二数据包给所述目的地址，所述数据放行请求是用户针对所述拦截提示信息进行操作后产生的。

10.根据权利要求1至7任一项所述的方法，其中，所述检测结果包括非攻击类型；

所述方法还包括：

如果所述检测结果是非攻击类型，则放行与所述检测结果对应的第二数据包。

11.一种数据检测装置，包括：

数据接收模块，用于接收数据流，所述数据流包括至少一个第一数据包；

第一检测模块，用于基于防火墙策略对至少一个所述第一数据包进行处理，确定至少一个第二数据包，所述第二数据包的第二数量少于或者等于所述第一数据包的第一数量；

第二检测模块，用于利用攻击检测模型对至少一个所述第二数据包中数据进行检测，得到检测结果，所述检测结果包括攻击类型和非攻击类型；以及

提示模块，用于如果所述检测结果是攻击类型，则输出提示信息以提示与所述检测结果对应的第二数据包包括攻击类型数据。

12.一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储可执行指令，所述可执行指令在被所述处理器执行时，实现根据权利要求1～10中任一项所述的方法。

Images