CN114866338B - 网络安全检测方法、装置及电子设备 - Google Patents
网络安全检测方法、装置及电子设备 Download PDFInfo
- Publication number
- CN114866338B CN114866338B CN202210661716.0A CN202210661716A CN114866338B CN 114866338 B CN114866338 B CN 114866338B CN 202210661716 A CN202210661716 A CN 202210661716A CN 114866338 B CN114866338 B CN 114866338B
- Authority
- CN
- China
- Prior art keywords
- detection
- sample
- samples
- models
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 493
- 230000002159 abnormal effect Effects 0.000 claims abstract description 101
- 238000012549 training Methods 0.000 claims description 14
- 238000007689 inspection Methods 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 41
- 230000008569 process Effects 0.000 abstract description 28
- 230000000903 blocking effect Effects 0.000 abstract description 19
- 238000012545 processing Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000005855 radiation Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络安全检测方法、装置及电子设备,该网络安全检测方法包括:分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示样本为异常样本或正常样本;在多个检测模型的检测结果均为异常样本的情况下,确定样本为目标样本。本申请的技术方案能够降低网络安全检测过程中误报和误拦的比例。
Description
技术领域
本申请涉及计算机技术领域,具体涉及一种网络安全检测方法、装置及电子设备。
背景技术
随着互联网技术的快速发展,网络安全也越来越受到重视。通过网络安全检测技术可以拦截恶意请求,维护网络安全。现有的网络安全检测技术可以降低漏报和漏拦的比例,但是存在误报和误拦的情况,这样容易对正常应用操作造成影响,而且在一些情况下,误报和误拦对正常应用操作产生的影响可能超过漏报和漏拦对正常应用操作产生的影响。
发明内容
有鉴于此,本申请实施例提供了一种网络安全检测方法、装置及电子设备,能够降低网络安全检测过程中误报和误拦的比例。
第一方面,本申请的实施例提供了一种网络安全检测方法,包括:分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示样本为异常样本或正常样本;在多个检测模型的检测结果均为异常样本的情况下,确定样本为目标样本。
第二方面,本申请的实施例提供了一种网络安全检测装置,包括:检测模块,用于分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示样本为异常样本或正常样本;确定模块,用于在多个检测模型的检测结果均为异常样本的情况下,确定样本为目标样本。
第三方面,本申请的实施例提供了一种电子设备,包括:处理器;用于存储处理器可执行指令的存储器,其中,处理器用于执行上述第一方面所述的网络安全检测方法。
第四方面,本申请的实施例提供了一种计算机可读存储介质,存储介质存储有计算机程序,计算机程序用于执行上述第一方面所述的网络安全检测方法。
第五方面,本申请的实施例提供了一种计算机程序产品,所述计算机程序产品中包括指令,所述指令被计算机设备的处理器执行时,使得所述计算机设备能够执行上述实施方式中的方法步骤。
本申请实施例提供了一种网络安全检测方法、装置及电子设备,通过利用多个检测模型分别对样本进行安全性检测以得到多个检测结果,并在多个检测结果均为异常样本时,将该样本确定为目标样本,如此可以降低网络安全检测过程中误报和误拦的比例。
附图说明
图1所示为一种网络安全检测***的架构示意图。
图2所示为本申请另一示例性实施例提供的网络安全检测***的架构示意图。
图3所示为本申请一示例性实施例提供的网络安全检测方法的流程示意图。
图4所示为本申请另一示例性实施例提供的网络安全检测方法的流程示意图。
图5所示为本申请一示例性实施例提供的目标样本检测过程的示意图。
图6所示为本申请一示例性实施例提供的灰样本集合关系的示意图。
图7所示为本申请一示例性实施例提供的网络安全检测装置的结构示意图。
图8所示为本申请一示例性实施例提供的用于执行网络安全检测方法的电子设备的框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
误报和误拦是安全领域固有的问题,在一些情况下,该问题的存在会对正常应用操作造成较大的影响,且给用户的体验不好。
目前可以通过设置白名单的方式添加“例外”,即命中白名单的样本不会被处罚,但是白名单通常是一个小集合,仅能服务添加进来的“例外”,因此常被做兜底和应急使用。
相对于传统设备,云上的安全服务会增加一种灰度观察模式,灰度观察可以在更新线上版本时,按照部署情况逐机器、逐功能、逐阶段地替换功能组件的过程。但是灰度观察仅能用在发布过程中,对发布上线后的运行状态不起作用。
数据预处理可以在一定程度上降低误报和误拦,但是在实际运行过程中,数据预处理可能会造成真实数据的丢失,而任何真实数据的丢失,都可能会产生错误的判断。
鉴于上述技术问题,本申请实施例提供了一种网络安全检测方法,可以降低网络安全检测过程中误报和误拦的比例。
示例性***
图1所示为一种网络安全检测***100的架构示意图,如图1所示,***100包括:用户终端110和服务器120。用户终端110可以接收用户输入的请求,并将请求发送至服务器120,这里请求可以看作样本。服务器120可以通过多个检测模型对该请求进行安全性检测,以确定该请求是否满足安全要求。如果该请求不满足安全要求,则对该请求进行拦截,否则放行,即不拦截。
具体地,服务器120可以通过多个串联的检测模型对请求进行安全性检测,如图1所示,利用检测模型121对请求进行安全性检测,如果检测模型121的检测结果为异常样本(也可称为黑样本),则表明该请求不满足检测模型121的安全性要求,服务器120可以对该请求进行拦截。如果检测模型121的检测结果为正常样本,则表明该请求满足检测模型121的安全性要求,继续利用检测模型122对请求进行安全性检测,检测模型122的检测过程与检测模型121类似。
在该技术方案中,当某检测模型的检测结果为异常样本时,则直接对请求进行拦截,不再利用其它的检测模型对请求进行检测;当某检测模型的检测结果为正常样本时,则继续利用下一个检测模型对请求进行检测。多个检测模型121,122……123的安全性检测规则可以各不相同。
应理解,服务器120可以接收多个用户终端发送的多个请求,并对多个请求进行安全性检测。例如,在某个时间段内,检测模型121对100个请求进行检测,100个请求中有80个请求的检测结果为正常样本,20个为异常样本,则服务器120对20个异常样本进行拦截,将80个正常样本(80个请求)输入检测模型122进行检测。检测模型122的检测结果为80个请求中有10个请求为异常样本,70个请求为正常样本,则服务器120对10个异常样本进行拦截,将70个正常样本输入下一个检测模型进行检测,以此类推,直至最后一个检测模型123。
在该技术方案中,多个串联的检测模型可以确保每一层的安全能力是可以叠加的,即通过层层防御来达到纵深的防御效果。当恶意流量流经这些防御层,至少有一层能发出预警并做出防护。
该技术方案可以提高检测效率,实现边检测边拦截的效果,此外,通过串联的检测模型对请求进行检测,可以避免漏报和漏拦的情况,有效地提高网络安全。
然而,该技术方案容易出现误报和误拦的问题,而误报和误拦对正常应用操作的影响,有时会超过恶意请求对正常应用操作的影响。因此,降低网络安全检测过程中误报和误拦的比例,对维护网络安全以及正常应用操作的运行是有重要意义的。
本申请的实施例通过利用多个检测模型分别对样本进行检测,并在多个检测模型的检测结果均为异常样本的情况下,将样本确定为目标样本,即需要被处罚的异常样本,如此可以降低网络安全检测过程中误报和误拦的比例。
图2所示为本申请一示例性实施例提供的网络安全检测***200的架构示意图,如图2所示,***200包括:用户终端210和服务器220。用户终端210可以接收用户输入的请求,并将请求发送至服务器220,这里请求可以看作样本。服务器220可以通过多个检测模型对该请求进行安全性检测,以确定该请求是否满足安全要求。如果该请求不满足安全要求,则对该请求进行拦截,否则放行。
具体地,服务器220可以通过多个并联的检测模型对请求进行安全性检测,如图2所示,利用多个检测模型221,222……223分别对请求进行安全性检测,任一检测模型的检测结果为异常样本(也可称为黑样本)或正常样本,异常样本表明该请求不满足该检测模型的安全性要求,正常样本表明该请求满足该检测模型的安全性要求。若多个检测模型的检测结果均为异常样本,则服务器220对该请求进行拦截。
应理解,服务器220可以接收多个用户终端发送的多个请求,并对多个请求进行安全性检测。例如,在某个时间段内,多个检测模型221,222……223分别对100个请求进行检测,每个检测模型可以输出一个异常样本集合,服务器220可以确定多个检测模型输出的异常样本集合的交集,并对交集中的请求进行拦截。
本实施例提供的网络安全检测***可以避免某个检测模型检测结果不准确而造成误报和误拦的情况,保证应用操作的正常进行。例如,采用图1所示的***对请求进行检测时,若某个检测模型的检测结果为异常样本,则对该请求进行拦截。但是如果该检测模型本身存在问题,误将正常样本判断为异常样本,则会出现误报和误拦的情况。而采用图2所示的***对请求进行检测时,是在多个检测模型的检测结果均为异常样本的情况下,才对该请求进行拦截,如此可以避免误报和误拦。
除了可以对多个异常样本集合的交集进行处理,图2的***还可以根据预设的安全策略对多个异常样本集合中其他的元素进行分级处理,具体的处理过程可参见下面方法部分的描述。
需要注意的是,上述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施例并不限于此。相反,本申请的实施例可以应用于可能适用的任何场景。
示例性方法
图3所示为本申请一示例性实施例提供的网络安全检测方法的流程示意图。图3的方法可由计算设备(例如,图2中的服务器)执行。如图3所示,该网络安全检测方法包括如下内容。
310:分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示样本为异常样本或正常样本。
具体地,样本可以包括统一资源定位符(Uniform Resource Locator,URL)请求、邮箱地址或互联网协议(Internet Protocol,IP)地址。例如,样本可以是网络请求、主机远程登录请求或其他访问请求。可选地,样本还可以是IP包等等。本申请的实施例对样本的个数不作限定,即可利用多个检测模型中每个检测模型对一个或多个样本进行安全性检测,例如,可以逐个样本进行安全性检测,也可以是地对某段时间内的多个样本进行安全性检测。
以URL请求为例,样本中可以包括多个字段,每个字段可以代表不同的含义,字段的具体含义可视具体的应用场景而定。
多个检测模型的结构可以不同,如为异构模型,即,多个检测模型的安全性检测规则不同,或者说,多个检测模型可以从不同维度对样本进行安全性检测。各个检测模型之间相互独立。例如,多个检测模型包括语法引擎模型、语义引擎模型、实时计算模型和引擎离线计算模型中的至少一个。语法引擎模型可以用于检测样本中是否存在语法问题,即从语法的维度去检测样本中是否存在恶意行为;语义引擎模型可以用于检测样本中是否存在语义问题,例如语义不明,或语义满足异常样本要求等,即从语义角度去检测样本中是否存在恶意行为;实时计算模型用于对实时数据(样本)进行处理;引擎离线计算模型用于结合历史经验数据(离线数据)对样本进行检测。
进一步地,多个检测模型还可以包括其他种类或结构的模型,检测模型的具体类型或结构可以根据实际的应用需求进行选择,如可以根据实际的安全防护***配置相应的检测模型。检测模型越多,检测的辐射面越大,输出的需要被处罚的异常样本准确率越高。
每个检测模型都对样本进行检测并得到对应的检测结果,检测结果用于指示样本为异常样本或正常样本。例如,检测结果可以通过对样本添加的字符、颜色等标记信息来表示该样本为异常样本/正常样本;或者,检测结果可以通过正常样本列表信息(在一些情况下,可作为白名单)和异常样本列表信息(在一些情况下,可作为黑名单)来表示,位于正常样本列表信息中的样本即为正常样本,位于异常样本列表信息中的样本即为异常样本,也可以称为黑样本。应理解,检测结果的具体呈现方式可以根据实际需要进行设计,其不限于本申请实施例所列举的方式。在对预设时段内的多个样本一起进行安全性检测的情况下,可以将异常样本设置在黑名单中,并将正常样本设置在白名单中,以方便后续进行集中处理。
异常样本表明该样本不满足检测模型的安全性要求,正常样本表明该样本满足检测模型的安全性要求。
320:在多个检测模型的检测结果均为异常样本的情况下,确定样本为目标样本。
目标样本可以是需要被处罚的异常样本。当多个检测模型对该样本的检测结果均为异常样本时,将该样本确定为目标样本,后续可以对目标样本进行处罚,这样可以充分考虑各个检测模型的检测结果,并降低误报和误拦的比例。
如果该样本在多个检测模型中的检测结果均为正常样本,则可以对该样本进行放行,不作处罚。
本实施例中的处罚可以是指对需要被处罚的异常样本进行拦截,或者对需要被处罚的异常样本的用户账号或IP地址进行封禁、或对需要被处罚的异常样本的用户账号进行权限限制等。
本申请实施例提供了一种网络安全检测方法,通过利用多个检测模型分别对样本进行安全性检测以得到多个检测结果,并在多个检测结果均为异常样本时,将该样本确定为目标样本,如此可以降低网络安全检测过程中误报和误拦的比例。
根据本申请一实施例,该网络安全检测方法还包括:在多个检测模型中的部分检测模型的检测结果为异常样本的情况下,根据预设的安全策略确定样本为目标样本。
具体地,如果样本在部分检测模型中的检测结果为异常样本,而在另外一部分检测模型中的检测结果为正常样本,则可以暂时不将该样本确定为需要被处罚的样本,可以对该样本作进一步的检测。例如,可以将该样本作为灰样本,灰样本是介于异常样本和正常样本之间,可以认为是有较轻的恶意行为,但还没有明确确定为目标样本。
在一示例中,可以根据预设的安全策略对灰样本进行判断,以确定灰样本是正常样本还是需要被处罚的异常样本。在对预设时段内的多个样本一起进行安全性检测的情况下,可以将灰样本设置在灰名单中,以方便后续进行集中处理。
在另一示例中,可以利用区别于步骤310中多个检测模型的其他类型的检测模型对灰样本进行检测,以确定灰样本是正常样本还是需要被处罚的异常样本。
本实施例提供的网络安全检测方法,在多个检测模型对样本的检测结果均为异常样本的情况下,将该样本确定为目标样本,这样可以降低误报和误拦的比例;进一步地,在部分检测模型对样本的检测结果为异常样本的情况下,继续对该样本进行判断以确定该样本是正常样本还是目标样本,这样可以避免漏报和漏拦。此外,通过并行的多个检测模型检测样本,并综合各个检测模型的检测结果确定目标样本,可以将检测过程和处罚过程区分开,如此可以通过多个检测模型相互之间的制约来确保最小的误报和误拦,同时不影响多个检测模型纵深的检测能力,即可以确保最大化的检测以及最小化的处罚。综上,本申请实施例提供的网络安全检测方法可以提高检测结果的准确性,且在保证网络运行安全的同时保证网络应用操作的正常运行。
根据本申请一实施例,根据预设的安全策略确定样本为目标样本,包括:在多个检测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下,确定样本为目标样本,其中对安全性要求越高,预设值越大。
在多个检测模型的检测结果不完全一致的情况下,可以继续判断多个检测模型中的大部分检测模型的检测结果是否一致,如果一致,则可以将大部分检测模型的检测结果作为最终的检测结果。由于小部分检测模型的检测结果不一致可能是模型本身原因导致的误判,因此将大部分检测模型的检测结果作为最终的检测结果,也可以在一定程度上保证最终检测结果的准确性,降低漏报和漏拦的比例以及误报和误拦的比例。
因此,预设的安全策略可以与检测结果为异常样本的检测模型的数目相关。比如,预设的安全策略包括:检测结果为异常样本的检测模型的数目大于预设值。例如,预设值为50%、60%、70%、80%或90%等,具体数值可以根据需要进行设置。安全性要求越高,则预设值越大。
本实施例中,在多个检测模型的检测结果不完全一致且多个检测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下,确定样本为目标样本,可以降低漏报和漏拦的比例以及误报和误拦的比例。
可选地,根据预设的安全策略确定样本为目标样本,包括:在多个检测模型中检测结果为异常样本的检测模型为指定的检测模型的情况下,确定样本为目标样本。
预设的安全策略可以与检测结果为异常样本的检测模型的类型相关。比如,预设的安全策略包括:检测结果为异常样本的检测模型为指定的检测模型。这样,在多个检测模型中的部分检测模型的检测结果为异常样本(即,多个检测模型的检测结果不完全一致)的情况下,若多个检测模型中检测结果为异常样本的检测模型包括指定的检测模型,则可以确定样本为目标样本。
指定的检测模型可以根据实际的应用场景来确定,例如,在特定的应用场景中,某个或某些检测模型的处理是比较重要的考虑因素,可以将某个或某些检测模型确定为指定的检测模型。
本实施例中,在多个检测模型的检测结果不完全一致且多个检测模型中检测结果为异常样本的检测模型包括指定的检测模型的情况下,确定样本为目标样本,可以降低漏报和漏拦的比例以及误报和误拦的比例。
根据本申请一实施例,该网络安全检测方法还包括:在多个检测模型中的部分检测模型的检测结果为异常样本的情况下,将样本加入灰名单,灰名单用于指示潜在的目标样本。
在多个检测模型中的部分检测模型的检测结果为异常样本的情况下,被检测的样本可以确定为灰样本。灰名单可以包括一个或多个灰样本,即灰名单可以看作一个样本集合。
根据预设的安全策略可以对灰名单中的灰样本进行进一步判断,以确定灰样本是否是目标样本。具体的判断过程可以参见上述实施例中的描述。
进一步地,该网络安全检测方法还包括:在多个检测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目的情况下,利用样本训练多个检测模型中检测结果为正常样本的检测模型。
具体地,若检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目,则说明检测结果为正常样本的检测模型可能存在误判的情况。例如,总的检测模型的数目为10,检测结果为异常样本的检测模型的数目为9,检测结果为正常样本的检测模型的数目为1,此时检测结果为正常样本的检测模型存在误判的可能性很大,这可能与检测模型本身的结构有很大关系。因此可以调整该检测模型的结构,并利用该样本(灰样本)对该检测模型进行训练,以得到性能优化的检测模型。
当然,在检测结果为正常样本的检测模型的数目大于1的情况下,可以分别调整这些检测模型的结构,并利用灰样本对这些检测结果为正常样本的检测模型进行训练,只要检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目即可。
在一示例中,用于训练的灰样本可以默认做了异常样本标记,利用做了异常样本标记的灰样本训练检测模型,可以得到性能优化的检测模型。
本实施例中,通过利用灰样本对检测结果为正常样本的检测模型进行训练可以提高检测结果为正常样本的检测模型的检测性能。而且,***可以保持动态的数据流检测方式,灰样本可以动态生成,基于动态生成的灰样本可以动态提升检测模型的检测性能。
根据本申请一实施例,在利用多个检测模型对样本进行安全性检测之前,还包括:根据白名单和/或第一黑名单对原始样本进行过滤,以得到样本,白名单用于指示允许通过的原始样本中包含的字段信息,第一黑名单用于指示需要被处罚的原始样本中包含的字段信息。
具体地,白名单和第一黑名单中包含的字段信息可以是根据不同的应用场景而设定的。字段信息可以是关键词、字符串等信息。例如,关于特定会议的应用场景,白名单中包括的字段信息可以为特定会议名称等非敏感词语,第一黑名单中包括的字段信息可以为敏感词语,这里不限定具体哪些词语可作为敏感词语,可以根据需要设置。若原始样本中包含白名单中罗列的字段信息,则原始样本被确定为白样本,该白样本可直接被放行;若原始样本中包含第一黑名单中罗列的字段信息,表明原始样本存在恶意行为,则原始样本被确定为黑样本,该黑样本可以直接被拦截。若原始样本既不包含白名单中罗列的字段信息,也不包含第一黑名单中罗列的字段信息,则原始样本被确定为灰样本。该灰样本可以作为原始样本过滤后的样本,并作为步骤310中多个检测模型的输入。
可选地,字段信息可以包括来源信息,例如,白名单可用于指示允许通过的原始样本的来源信息,第一黑名单可用于指示需要被处罚的原始样本的来源信息。
具体地,来源信息可以是样本所包含的IP地址、样本所包含的用户名或其他可以表征样本来源的信息。若原始样本中包含白名单中罗列的来源信息,则原始样本被确定为白样本,该白样本可直接被放行;若原始样本中包含第一黑名单中罗列的来源信息,则原始样本被确定为黑样本,该黑样本可以直接被拦截。若原始样本既不包含白名单中罗列的来源信息,也不包含第一黑名单中罗列的来源信息,则原始样本被确定为灰样本。
本实施例中对原始样本的过滤过程可以看作是目标样本检测的预判断过程,通过预判断过程可以快速地筛选出满足白名单的样本以及满足第一黑名单的样本,并将既不满足白名单也不满足第一黑名单的样本作为灰样本,利用检测模型对灰样本进行进一步的判断。预判断过程的白名单和第一黑名单可以根据不同的应用场景和应用策略进行设定,尽可能避免误报和误拦的情况。例如,预判断过程可以采用动态的白名单/第一黑名单,尤其在零信任***中,增加动态的白名单/第一黑名单来调整应用间的信任关系,可以在实现零信任的同时减少误报和误拦的发生。
为了便于区分,预判断过程得到的灰样本可以表示为第一灰样本,而经过多个检测模型得到的灰样本可以表示为第二灰样本。
根据本申请一实施例,该网络安全检测方法还包括:在多个检测模型的检测结果均为异常样本的情况下,将样本的来源信息加入到第二黑名单中;根据第二黑名单对与样本的来源信息相同的样本进行处罚。
具体地,在多个检测模型的检测结果均为异常样本的情况下,可以直接对该样本进行处罚,如拦截。或者,可以将该样本的来源信息加入到第二黑名单中,并根据第二黑名单对与该样本的来源信息相同的样本进行处罚。例如,可以对当前的样本进行处罚,并对之后检测的包含该来源信息的样本进行处罚。处罚可以是指对样本进行拦截,或对该样本对应的用户账号进行封禁,或对发出该样本的IP地址进行封禁等等。来源信息的具体内容可以参见上述实施例中的描述,此处不再赘述。
本实施例中获得的第二黑名单可以是动态的数据,且可以用于预判断过程判断原始样本是否是黑样本,这样可以动态提升黑样本的检测效率及准确度;或者用于模型检测过程后的进一步检测过程,即判断模型检测过程后获得的灰样本是否是目标样本,这样第二黑名单可以作为预设的安全策略,提高目标样本的检测准确度。
以下以一定时间内输入的多个原始样本为例,对本申请实施例提供的网络安全检测方法进行具体的描述。
如图4所示,本申请另一示例性实施例提供了一种网络安全检测方法。图4实施例是图3实施例的例子,为避免重复,相同之处不再赘述。图4所示的网络安全检测方法包括如下内容。
410:根据白名单和第一黑名单对多个原始样本进行预判断,以得到白样本、黑样本和第一灰样本集合,并对白样本进行放行,对黑样本进行拦截。
多个原始样本可以是在一定时间内输入到网络安全检测***的。
白名单和第一黑名单的具体内容可以参见上述实施例中的描述。如图5所示,在预判断过程,利用白名单从多个原始样本中筛选出白样本,并对白样本放行(不拦截);利用第一黑名单从多个原始样本中筛选出黑样本,并对黑样本进行拦截。未被确定为白样本/黑样本的原始样本可以确定为灰样本,灰样本可以以灰名单的形式进行表示,灰样本的个数可以是一个或多个,即灰名单可以看作一个样本集合,如灰样本集合。
420:分别利用多个检测模型对第一灰样本集合中的灰样本进行安全性检测,得到多个第三灰样本集合和多个正常样本集合。
具体地,每个检测模型可以对第一灰样本集合中的灰样本进行处理,输出的检测结果可以包括异常样本集合和正常样本集合,这里,每个检测模型输出的异常样本集合中的样本并不一定是目标样本,即需要被处罚的异常样本,因此每个检测模型输出的异常样本集合可以作为第三灰样本集合,其需要经过后续的聚合处理来确定最终的目标样本。
如图5所示,检测模型1输出第三灰样本集合1和正常样本集合1;检测模型2输出第三灰样本集合2和正常样本集合2;……检测模型N输出第三灰样本集合N和正常样本集合N。
430:对多个第三灰样本集合和多个正常样本集合进行聚合处理,得到交集1、交集2以及集合3。
如图5所示,交集1可以表示多个第三灰样本集合的交集,交集1中的样本可作为目标样本;交集2可以表示多个正常样本集合的交集,交集2中的样本可作为需要被放行的正常样本;集合3可以表示多个第三灰样本集合的并集减去交集1的集合,集合3中的样本可以作为需要进行进一步判断的灰样本,即集合3可以看作是第二灰样本集合。
440:对交集1中的样本进行处罚,对交集2中的样本进行放行,并根据预设的安全策略确定集合3中的目标样本。
以三个检测模型为例,可以得到如图6所示的三个第三灰样本集合。第三灰样本集合1、第三灰样本集合2和第三灰样本集合3的交集可以作为确定的需要被处罚的目标样本集合(交集1)。第三灰样本集合1和第三灰样本集合2的交集减去交集1的集合可以作为候选目标样本集合1,第三灰样本集合1和第三灰样本集合3的交集减去交集1的集合可以作为候选目标样本集合2,第三灰样本集合2和第三灰样本集合3的交集减去交集1的集合可以作为候选目标样本集合3。换句话说,只出现在两个第三灰样本集合中的样本可形成候选目标样本集合。
类似地,当检测模型的数目(第三灰样本集合的数目)N大于3时,只出现在N-1、N-2、……2个第三灰样本集合中的样本可分别形成候选目标样本集合。
可以根据预设的安全策略确定候选目标样本集合中的样本是否是目标样本,即需要被处罚的异常样本。预设的安全策略可以包括多个层级,例如,第一层级为候选目标样本集合所涉及的检测模型的数目大于预设值,则将该候选目标样本集合中的样本确定为目标样本;第二层级为候选目标样本集合所涉及的检测模型包括指定的检测模型,则将该候选目标样本集合中的样本确定为目标样本。根据上述预设的安全策略可以对各个候选目标样本集合进行分级处理,以确定候选目标样本集合中的样本是否是目标样本。
进一步地,只出现在一个第三灰样本集合中的样本也可形成候选目标样本集合,该候选目标样本集合可采用安全策略为:候选目标样本集合所涉及的检测模型包括指定的检测模型。
本实施例中只出现在N-1、N-2、……1个第三灰样本集合中的样本共同形成集合3。
本申请实施例将每个检测模型检测的异常样本集合作为灰样本集合,并通过聚合处理获得交集1以得到确定的需要被处罚的目标样本,如此可以减少异常样本(黑样本)的作用范围。而且,异构的检测模型的数目越多,检测的辐射面越大,得到的目标样本的准确度越高,这样误报和误拦的概率越低。
450:对集合3中的目标样本进行处罚,并对集合3中的剩余样本进行放行。
集合3中未被确定为目标样本的剩余样本,可以作为正常样本被放行。
460:利用集合3中的样本对多个检测模型进行训练。
具体地,检测模型对样本进行检测时,可以对样本做标记,以得到该样本是异常样本/正常样本的检测结果。针对同一样本,如果检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目,则说明检测结果为正常样本的检测模型的检测性能可能较差,如果检测结果为异常样本的检测模型的数目小于检测结果为正常样本的检测模型的数目,则说明检测结果为异常样本的检测模型的检测性能较差。因此,可以直接将集合3中的样本(做了标记的样本)输入全部的检测模型,使得需要提升检测性能的检测模型得到训练,且也不会对不需要提升检测性能的检测模型造成影响。此外,通过将集合3中的样本输入全部的检测模型,可以省去找出检测性能较差的检测模型的步骤,提高训练效率。
可选地,可以根据各个检测模型的检测结果确定需要提升检测性能的检测模型,并将该检测模型检测错误的样本在其他检测模型中的输出(检测正确并做了标记的样本)作为训练样本来训练该检测模型。
进一步地,在对检测模型进行训练之前,可以对检测错误的检测模型进行结构改进,然后利用集合3中的样本对检测模型进行训练,如此可以提高训练效果。
利用集合3中的样本对检测模型进行训练的过程也可以称为回流。
本实施例中,检测错误的检测模型的确定可与预设的安全策略相关。例如,针对同一样本,预设的安全策略为检测结果为异常样本的检测模型的数目大于预设值,则检测结果为正常样本的检测模型为检测错误的检测模型;预设的安全策略为检测结果为异常样本的检测模型为指定的检测模型,则检测结果为正常样本的检测模型为检测错误的检测模型。
本申请实施例提供的网络安全检测方法,通过反向去对待纵深防御,即利用并联的检测链路代替串联的检测链路,可以将检测和处罚区分对待,提高目标样本的准确度。尤其随着数据模型、算法和人工智能等技术的发展,检测模型的种类可以越来越多,利用种类繁多且并联的检测模型可以获得更大范围的灰样本集合(多个第三灰样本集合),并获得更加准确的目标样本集合(交集1),这样可以进一步降低误报和误拦的比例。
示例性装置
图7所示为本申请一示例性实施例提供的网络安全检测装置700的结构示意图。如图7所示,网络安全检测装置700包括:检测模块710以及确定模块720。
检测模块710用于分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示样本为异常样本或正常样本;确定模块720用于在多个检测模型的检测结果均为异常样本的情况下,确定样本为目标样本。
本申请实施例提供了一种网络安全检测装置,通过利用多个检测模型分别对样本进行安全性检测以得到多个检测结果,并在多个检测结果均为异常样本时,将该样本确定为目标样本,如此可以降低网络安全检测过程中误报和误拦的比例。
根据本申请一实施例,确定模块720还用于:在多个检测模型中的部分检测模型的检测结果为异常样本的情况下,根据预设的安全策略确定样本为目标样本。
根据本申请一实施例,确定模块720用于:在多个检测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下,确定样本为目标样本,其中对安全性要求越高,预设值越大。
根据本申请一实施例,确定模块720用于:在多个检测模型中检测结果为异常样本的检测模型为指定的检测模型的情况下,确定样本为目标样本。
根据本申请一实施例,确定模块720还用于:在多个检测模型中的部分检测模型的检测结果为异常样本的情况下,将样本加入灰名单,灰名单用于指示潜在的目标样本。
根据本申请一实施例,网络安全检测装置700还包括训练模块730,用于在多个检测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目的情况下,利用样本训练多个检测模型中检测结果为正常样本的检测模型。
根据本申请一实施例,多个检测模型中检测结果为正常样本的检测模型的数目为1。
根据本申请一实施例,网络安全检测装置700还包括获取模块740,用于:在利用多个检测模型对样本进行安全性检测之前,根据白名单和/或第一黑名单对原始样本进行过滤,以得到样本,白名单用于指示允许通过的原始样本中包含的字段信息,第一黑名单用于指示需要被处罚的原始样本中包含的字段信息。
根据本申请一实施例,确定模块720还用于:在多个检测模型的检测结果均为异常样本的情况下,将样本的来源信息加入到第二黑名单中;根据第二黑名单对与样本的来源信息相同的样本进行处罚。
根据本申请一实施例,多个检测模型为异构模型。
根据本申请一实施例,多个检测模型包括语法引擎模型、语义引擎模型、实时计算模型和引擎离线计算模型中的至少一个。
根据本申请一实施例,样本包括统一资源定位符URL请求、邮箱地址或互联网协议IP地址。
应当理解,上述实施例中的检测模块710、确定模块720、训练模块730以及获取模块740的操作和功能可以参考上述图3或图4实施例中提供的网络安全检测方法中的描述,为了避免重复,在此不再赘述。
图8所示为本申请一示例性实施例提供的用于执行网络安全检测方法的电子设备800的框图。
参照图8,电子设备800包括处理组件810,其进一步包括一个或多个处理器,以及由存储器820所代表的存储器资源,用于存储可由处理组件810执行的指令,例如应用程序。存储器820中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件810被配置为执行指令,以执行上述网络安全检测方法。
电子设备800还可以包括一个电源组件被配置为执行电子设备800的电源管理,一个有线或无线网络接口被配置为将电子设备800连接到网络,和一个输入输出(I/O)接口。可以基于存储在存储器820的操作***操作电子设备800,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性计算机可读存储介质,当存储介质中的指令由上述电子设备800的处理器执行时,使得上述电子设备800能够执行一种网络安全检测方法。
上述所有可选技术方案,可采用任意结合形成本申请的可选实施例,在此不再一一赘述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序校验码的介质。
需要说明的是,在本申请的描述中,术语“第一”、“第二”、“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换等,均应包含在本申请的保护范围之内。
Claims (13)
1.一种网络安全检测方法,其特征在于,包括:
分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示所述样本为异常样本或正常样本;
在所述多个检测模型的检测结果均为异常样本的情况下,确定所述样本为目标样本;
在所述多个检测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目的情况下,利用所述样本训练所述多个检测模型中检测结果为正常样本的检测模型。
2.根据权利要求1所述的网络安全检测方法,其特征在于,还包括:
在所述多个检测模型中的部分检测模型的检测结果为异常样本的情况下,根据预设的安全策略确定所述样本为所述目标样本。
3.根据权利要求2所述的网络安全检测方法,其特征在于,所述根据预设的安全策略确定所述样本为所述目标样本,包括:
在所述多个检测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下,确定所述样本为所述目标样本,其中对安全性要求越高,所述预设值越大。
4.根据权利要求2所述的网络安全检测方法,其特征在于,所述根据预设的安全策略确定所述样本为所述目标样本,包括:
在所述多个检测模型中检测结果为异常样本的检测模型为指定的检测模型的情况下,确定所述样本为所述目标样本。
5.根据权利要求1所述的网络安全检测方法,其特征在于,还包括:
在所述多个检测模型中的部分检测模型的检测结果为异常样本的情况下,将所述样本加入灰名单,所述灰名单用于指示潜在的目标样本。
6.根据权利要求1所述的网络安全检测方法,其特征在于,所述多个检测模型中检测结果为正常样本的检测模型的数目为1。
7.根据权利要求1所述的网络安全检测方法,其特征在于,在所述利用多个检测模型对样本进行安全性检测之前,还包括:
根据白名单和/或第一黑名单对原始样本进行过滤,以得到所述样本,所述白名单用于指示允许通过的原始样本中包含的字段信息,所述第一黑名单用于指示需要被处罚的原始样本中包含的字段信息。
8.根据权利要求1所述的网络安全检测方法,其特征在于,还包括:
在所述多个检测模型的检测结果均为异常样本的情况下,将所述样本的来源信息加入到第二黑名单中;
根据所述第二黑名单对与所述样本的来源信息相同的样本进行处罚。
9.根据权利要求1所述的网络安全检测方法,其特征在于,所述多个检测模型为异构模型。
10.根据权利要求1所述的网络安全检测方法,其特征在于,所述多个检测模型包括语法引擎模型、语义引擎模型、实时计算模型和引擎离线计算模型中的至少一个。
11.根据权利要求1至10中任一项所述的网络安全检测方法,其特征在于,所述样本包括统一资源定位符URL请求、邮箱地址或互联网协议IP地址。
12.一种网络安全检测装置,其特征在于,包括:
检测模块,用于分别利用多个检测模型对样本进行安全性检测,得到多个检测结果,每个检测结果用于指示所述样本为异常样本或正常样本;
确定模块,用于在所述多个检测模型的检测结果均为异常样本的情况下,确定所述样本为目标样本;
训练模块,用于在所述多个检测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目的情况下,利用所述样本训练所述多个检测模型中检测结果为正常样本的检测模型。
13.一种电子设备,其特征在于,包括:
处理器;
用于存储所述处理器可执行指令的存储器,
其中,所述处理器用于执行上述权利要求1至11中任一项所述的网络安全检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210661716.0A CN114866338B (zh) | 2022-06-10 | 2022-06-10 | 网络安全检测方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210661716.0A CN114866338B (zh) | 2022-06-10 | 2022-06-10 | 网络安全检测方法、装置及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114866338A CN114866338A (zh) | 2022-08-05 |
| CN114866338B true CN114866338B (zh) | 2024-06-11 |
Family
ID=82624926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210661716.0A Active CN114866338B (zh) | 2022-06-10 | 2022-06-10 | 网络安全检测方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114866338B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115514614B (zh) * | 2022-11-15 | 2023-02-24 | 阿里云计算有限公司 | 基于强化学习的云网络异常检测模型训练方法及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
| CN111371776A (zh) * | 2020-02-28 | 2020-07-03 | 北京邮电大学 | Http请求数据的异常检测方法、装置、服务器及存储介质 |
| CN112152962A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种威胁检测方法及*** |
| CN112632609A (zh) * | 2020-12-23 | 2021-04-09 | 深圳云天励飞技术股份有限公司 | 异常检测方法、装置、电子设备及存储介质 |
| CN113132316A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | 一种Web攻击检测方法、装置、电子设备及存储介质 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和***、及计算机存储介质 |
| WO2022090609A1 (en) * | 2020-10-29 | 2022-05-05 | Elisa Oyj | Building an ensemble of anomaly detection models for analyzing measurement results |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
-
2022
- 2022-06-10 CN CN202210661716.0A patent/CN114866338B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109936561A (zh) * | 2019-01-08 | 2019-06-25 | 平安科技(深圳)有限公司 | 用户请求的检测方法、装置、计算机设备及存储介质 |
| CN112152962A (zh) * | 2019-06-26 | 2020-12-29 | 北京观成科技有限公司 | 一种威胁检测方法及*** |
| CN113132316A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | 一种Web攻击检测方法、装置、电子设备及存储介质 |
| CN111371776A (zh) * | 2020-02-28 | 2020-07-03 | 北京邮电大学 | Http请求数据的异常检测方法、装置、服务器及存储介质 |
| WO2021258348A1 (zh) * | 2020-06-24 | 2021-12-30 | 深圳市欢太科技有限公司 | 异常流量检测方法和***、及计算机存储介质 |
| WO2022090609A1 (en) * | 2020-10-29 | 2022-05-05 | Elisa Oyj | Building an ensemble of anomaly detection models for analyzing measurement results |
| CN112632609A (zh) * | 2020-12-23 | 2021-04-09 | 深圳云天励飞技术股份有限公司 | 异常检测方法、装置、电子设备及存储介质 |
| CN114553720A (zh) * | 2022-02-28 | 2022-05-27 | 中国工商银行股份有限公司 | 用户操作异常检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于隐私保护的分布式异常检测方法;周俊临;***;吴跃;高辉;;控制与决策;20101215(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114866338A (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11637853B2 (en) | Operational network risk mitigation system and method | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN111259204A (zh) | 基于图算法的apt检测关联分析方法 | |
| CN111786974B (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN114866338B (zh) | 网络安全检测方法、装置及电子设备 | |
| CN116846619A (zh) | 一种自动化网络安全风险评估方法、***及可读存储介质 | |
| CN113486343A (zh) | 一种攻击行为的检测方法、装置、设备和介质 | |
| CN116614287A (zh) | 一种网络安全事件评估处理方法、装置、设备及介质 | |
| CN114915475A (zh) | 攻击路径的确定方法、装置、设备及存储介质 | |
| Rakhimberdiev et al. | Prospects for the use of neural network models in the prevention of possible network attacks on modern banking information systems based on blockchain technology in the context of the digital economy | |
| Li et al. | Uncertainty and risk management in cyber situational awareness | |
| Mathew et al. | Situation awareness of multistage cyber attacks by semantic event fusion | |
| Nebbione et al. | A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments | |
| CN106506553B (zh) | 一种网际协议ip过滤方法及*** | |
| CN117478433A (zh) | 一种网络与信息安全动态预警*** | |
| CN112769739B (zh) | 数据库操作违规处理方法、装置及设备 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与*** | |
| CN111131166A (zh) | 一种用户行为预判方法及相关设备 | |
| CN114205146A (zh) | 一种多源异构安全日志的处理方法及装置 | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN115567237A (zh) | 基于知识图谱的网络安全评估方法 | |
| Adebiyi et al. | Security Assessment of Software Design using Neural Network | |
| WO2019188975A1 (ja) | 脅威情報評価装置、脅威情報評価方法およびプログラム | |
| TWI667587B (zh) | 資訊安全防護方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |