CN116319005A - 结合自然语言处理模型的攻击检测方法、装置及处理*** - Google Patents
结合自然语言处理模型的攻击检测方法、装置及处理*** Download PDFInfo
- Publication number
- CN116319005A CN116319005A CN202310282395.8A CN202310282395A CN116319005A CN 116319005 A CN116319005 A CN 116319005A CN 202310282395 A CN202310282395 A CN 202310282395A CN 116319005 A CN116319005 A CN 116319005A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- attack
- natural language
- detection mechanism
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 157
- 238000003058 natural language processing Methods 0.000 title claims abstract description 94
- 238000012545 processing Methods 0.000 title claims abstract description 81
- 230000007246 mechanism Effects 0.000 claims abstract description 83
- 230000004044 response Effects 0.000 claims abstract description 40
- 230000000977 initiatory effect Effects 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 54
- 230000006399 behavior Effects 0.000 claims description 37
- 230000002159 abnormal effect Effects 0.000 claims description 19
- 230000008569 process Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 13
- 230000000903 blocking effect Effects 0.000 claims description 9
- 230000000694 effects Effects 0.000 claims description 8
- 230000005856 abnormality Effects 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 13
- 238000004458 analytical method Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000014509 gene expression Effects 0.000 description 4
- 239000010410 layer Substances 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 238000005206 flow analysis Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 239000000243 solution Substances 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000006227 byproduct Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- ZPUCINDJVBIVPJ-LJISPDSOSA-N ***e Chemical compound O([C@H]1C[C@@H]2CC[C@@H](N2C)[C@H]1C(=O)OC)C(=O)C1=CC=CC=C1 ZPUCINDJVBIVPJ-LJISPDSOSA-N 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 239000002355 dual-layer Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G10—MUSICAL INSTRUMENTS; ACOUSTICS
- G10L—SPEECH ANALYSIS TECHNIQUES OR SPEECH SYNTHESIS; SPEECH RECOGNITION; SPEECH OR VOICE PROCESSING TECHNIQUES; SPEECH OR AUDIO CODING OR DECODING
- G10L15/00—Speech recognition
- G10L15/08—Speech classification or search
- G10L15/18—Speech classification or search using natural language modelling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- Acoustics & Sound (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了结合自然语言处理模型的攻击检测方法、装置及处理***,用于结合自然语言处理模型构造了双层的攻击网络流量检测机制,从而进一步保障了网络安全。本申请提供的结合自然语言处理模型的攻击检测方法,包括:获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定目标网络流量是否为攻击网络流量;若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
Description
技术领域
本申请涉及网络安全领域,具体涉及结合自然语言处理模型的攻击检测方法、装置及处理***。
背景技术
在网络安全方面,当前主流方案是使用深度报文检测(Deep Packet Inspection,DPI)技术,主要针对HTTP访问的Web程序保护,以及针对操作***的入侵防御***(Intrusion Prevention System,IPS)技术,部署在Web应用程序前面,在用户请求到达Web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行拦截或隔离。
目前,常用的攻击检测方式是:在流量中对用户提交的数据、cookie、refer等字段进行规则匹配,匹配方式主要包括如下几种:1.签名检测技术:基于事先编写好的特定规则或模式(正则表达式)来检测网络流量中的威胁,例如病毒、恶意软件、入侵行为等;2.流量分析技术:通过对网络流量进行分析,例如通过抓包技术、流量分析工具等,来检测网络威胁,并快速做出响应;3.行为分析技术:通过监视网络流量的行为,检测出异常活动,例如大量数据流、频繁的访问尝试等,来发现潜在的网络威胁;4.基于语义的规则匹配,即将检测引擎设计成一个SQL语义解释器或者命令行终端,尝试理解用户输入的内容,是否有可能构成有效的攻击。
但是,本申请在具体应用中发现,上述主流的匹配方案则存在着相应的问题。对于1.签名检测技术,由于攻击手段多样化,有经验的黑客通过一些语句的变化很容易绕过检测,正则表达式方式是由关键字方式发展而来的,虽然一定程度上降低了误报率,但由于正则表达式是基于字符串的过滤,也是只能检测预定好的攻击行为,同时针对一些比较复杂的注入方法,同样存在漏报率高的问题,这些方法始终无法防护未知威胁,即只有攻击发生过,才能根据攻击报文写出规则,可能无法检测新的未知攻击,容易被黑客绕过;对于2.流量分析技术,流量分析需要对网络流量进行捕获和分析,需要较高的计算资源和存储资源,并且难以实现实时分析;对于3.行为分析技术,可能会误报一些合法的活动,例如高流量等,而且需要较长时间的训练和学习,因此效率可能较低;对于4.基于语法分析的规则匹配,该方式主要针对SQL注入,相比1和2中描述的方式,因只考虑了SQL的语义,能识别一些变种SQL(如通过一些符号编码、添加注释等方式绕过),降低了误报率和漏报率,并且在执行效率上也有所提升,但由于进行匹配的是用户提交信息,和最终提交给数据库执行的SQL有所偏差,也会导致误报,虽然也有将用户提交信息和预定义的各类动态SQL模板进行组合生成SQL语句,对生成的语句进行再次规则匹配来降低误报率的方案,但在包含大量SQL模板的应用中,会导致整个匹配效率降低,其次,规则集的设定直接影响误报率和漏报率的高低,规则设定得较严格,会降低漏报率,但同时导致误报率升高;相反,如果设置得较宽松,会降低误报率,但同时导致漏报率升高。
很明显,上述方案皆还是存在攻击检测精度有限的问题,此外,在实际应用中,基于流量解析引擎的网络安全检测的上述方案虽然可以对请求包进行分析检测,但是仅仅通过分析网络数据包、做一些规则匹配,所能提供的安全检测能力十分有限,同时流量解析引擎也可能被针对性地绕过,达成入侵的目的。
发明内容
本申请提供了结合自然语言处理模型的攻击检测方法、装置及处理***,用于结合自然语言处理模型构造了双层的攻击网络流量检测机制,从而进一步保障了网络安全。
第一方面,本申请提供了一种结合自然语言处理模型的攻击检测方法,方法包括:
获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;
将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定目标网络流量是否为攻击网络流量;
若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
结合本申请第一方面,在本申请第一方面第一种可能的实现方式中,针对目标网络流量发起攻击网络流量响应处理,包括:
提取目标网络流量的攻击行为判定规则;
将攻击行为判定规则写入初始规则检测机制,以完善初始规则检测机制。
结合本申请第一方面第一种可能的实现方式,在本申请第一方面第二种可能的实现方式中,提取目标网络流量的攻击行为判定规则之后,方法还包括:
展示攻击行为判定规则的内容。
结合本申请第一方面,在本申请第一方面第三种可能的实现方式中,获取初始规则检测机制输出的初始网络流量,包括:
获取初始规则检测机制输出的初始网络流量;
放行初始网络流量的同时,对初始网络流量进行镜像处理,得到的镜像流量作为目标网络流量。
结合本申请第一方面第三种可能的实现方式,在本申请第一方面第四种可能的实现方式中,针对目标网络流量发起攻击网络流量响应处理,包括:
提取网络流量的第一五元组信息并打上异常标记;
在进行后续的镜像处理时,若是当前网络流量有打上异常标记的第一五元组信息,则不进行镜像处理,直接阻断。
结合本申请第一方面第三种可能的实现方式,在本申请第一方面第五种可能的实现方式中,若判定网络流量不为攻击网络流量,则方法还包括:
提取网络流量的第二五元组信息并打上正常标记;
在进行后续的镜像处理时,若是当前网络流量有打上正常标记的第二五元组信息,则不进行镜像处理,直接放行。
结合本申请第一方面,在本申请第一方面第六种可能的实现方式中,自然语言处理模型具体为ChatGPT、New Bing或者GPT-3。
第二方面,本申请提供了一种结合自然语言处理模型的攻击检测装置,装置包括:
获取单元,用于获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;
输入单元,用于将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定网络流量是否为攻击网络流量;
响应单元,用于若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
结合本申请第二方面,在本申请第二方面第一种可能的实现方式中,响应单元,具体用于:
提取目标网络流量的攻击行为判定规则;
将攻击行为判定规则写入初始规则检测机制,以完善初始规则检测机制。
结合本申请第二方面第一种可能的实现方式,在本申请第二方面第二种可能的实现方式中,响应单元,还用于:
展示攻击行为判定规则的内容。
结合本申请第二方面,在本申请第二方面第三种可能的实现方式中,获取单元,具体用于:
获取初始规则检测机制输出的初始网络流量;
放行初始网络流量的同时,对初始网络流量进行镜像处理,得到的镜像流量作为目标网络流量。
结合本申请第二方面第三种可能的实现方式,在本申请第二方面第四种可能的实现方式中,响应单元,具体用于:
提取网络流量的第一五元组信息并打上异常标记;
在进行后续的镜像处理时,若是当前网络流量有打上异常标记的第一五元组信息,则不进行镜像处理,直接阻断。
结合本申请第二方面第三种可能的实现方式,在本申请第二方面第五种可能的实现方式中,若判定网络流量不为攻击网络流量,响应单元,还用于:
提取网络流量的第二五元组信息并打上正常标记;
在进行后续的镜像处理时,若是当前网络流量有打上正常标记的第二五元组信息,则不进行镜像处理,直接放行。
结合本申请第二方面,在本申请第二方面第六种可能的实现方式中,自然语言处理模型具体为ChatGPT、New Bing或者GPT-3。
第三方面,本申请提供了一种处理***,包括处理器和存储器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质存储有多条指令,指令适于处理器进行加载,以执行本申请第一方面或者本申请第一方面任一种可能的实现方式提供的方法。
从以上内容可得出,本申请具有以下的有益效果:
针对于攻击网络流量的检测,本申请在获取到初始规则检测机制输出的目标网络流量后,继续将该目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定网络流量是否为攻击网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制,此时若判定网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理,在该设置中,结合自然语言处理模型构造了双层的攻击网络流量检测机制,利用自然语言处理模型高精度的攻击行为检测来对网络架构中原有的初始规则检测机制所放行的流量进行二次检测,由此进一步保障了网络安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请结合自然语言处理模型的攻击检测方法的一种流程示意图;
图2为现有技术规则检测机制的一种场景示意图;
图3为本申请结合自然语言处理模型的攻击检测方法的一种场景示意图;
图4为本申请示例性流量的一种场景示意图;
图5为本申请示例性流量的又一种场景示意图;
图6为本申请示例性流量的又一种场景示意图;
图7为本申请示例性流量的又一种场景示意图;
图8为本申请自然语言处理模型处理结果的一种场景示意图;
图9为自然语言处理模型处理结果的又一种场景示意图
图10为本申请结合自然语言处理模型的攻击检测装置的一种结构示意图;
图11为本申请处理***的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块。在本申请中出现的对步骤进行的命名或者编号,并不意味着必须按照命名或者编号所指示的时间/逻辑先后顺序执行方法流程中的步骤,已经命名或者编号的流程步骤可以根据要实现的技术目的变更执行次序,只要能达到相同或者相类似的技术效果即可。
本申请中所出现的模块的划分,是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个***中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。
在介绍本申请提供的结合自然语言处理模型的攻击检测方法之前,首先介绍本申请所涉及的背景内容。
本申请提供的结合自然语言处理模型的攻击检测方法、装置以及计算机可读存储介质,可应用于处理***,用于结合自然语言处理模型构造了双层的攻击网络流量检测机制,从而进一步保障了网络安全。
本申请提及的结合自然语言处理模型的攻击检测方法,其执行主体可以为结合自然语言处理模型的攻击检测装置,或者集成了该结合自然语言处理模型的攻击检测装置的处理***。
其中,结合自然语言处理模型的攻击检测装置可以采用硬件或者软件的方式实现,处理***则可以包括网关、服务器、物理主机甚至用户设备(User Equipment,UE)等不同类型的设备,其既可以涉及到网络架构中的网络节点,也可以涉及到用户侧的终端设备,是可以随实际情况进行灵活配置的。其中,UE具体可以为智能手机、平板电脑、笔记本电脑、台式电脑或者个人数字助理(Personal Digital Assistant,PDA)等终端设备,处理***具体还可以通过设备集群的方式设置。
下面,开始介绍本申请提供的结合自然语言处理模型的攻击检测方法。
首先,参阅图1,图1示出了本申请结合自然语言处理模型的攻击检测方法的一种流程示意图,本申请提供的结合自然语言处理模型的攻击检测方法,具体可包括如下步骤S101至步骤S103:
步骤S101,获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;
应当理解的是,本申请对于现有技术所做的改进,并不是直接代替原来网络架构中部署的规则检测机制,而是植入到网络架构中,与原来部署的规则检测机制相配合,来实现更具保障的网络安全目标。
对于网络架构中原有的规则检测机制,本申请将其记为初始规则检测机制,其中,该初始规则检测机制,也可以用IPS、规则引擎、检测策略、检测模块或者检测***等产品称呼来进行指代,如suricata或者snort等入侵检测引擎。
而在于网络架构中原有的初始规则检测机制的配合过程中,本申请具体关注于其“放行”的网络流量,即,其判断为非攻击网络流量的流量,对于该网络流量,本申请记为目标网络流量,是本申请会进行二次检测的目标对象。
步骤S102,将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定网络流量是否为攻击网络流量;
可以理解,本申请具体是引入了自然语言处理(Natural Language Processing,NLP)模型来执行攻击网络流量的二次检测,其为人工智能(Artificial Intelligence)领域的一个非常重要的分支,其目标是让计算机能够理解、分析和生成人类自然语言,本申请将其应用于网络流量的攻击行为分析任务,其安全检测灵活度高,且置信度强。
自然语言处理模型预先配置了基于自然语言来分析网络流量是否存在攻击性或者说基于自然语言来分析网络流量是否为攻击网络流量的分析策略,在具体应用中,可以采用调用模型接口的形式来完成前面目标网络流量的输入处理,而自然语言处理模型输入了目标网络流量后,则可以进行攻击网络流量的判断分析,并输出判断结果。
其中,本申请所采用的自然语言处理模型,具体可以为ChatGPT、New Bing或者GPT-3等模型。
步骤S103,若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
显然,若自然语言处理模型判断目标网络流量为攻击网络流量,则是对网络架构中原有的初始规则检测机制进行了一次补足工作,识别出了被误识别为正常流量的目标网络流量,由此则可以按照对攻击网络流量的响应需求,对当前判定为攻击网络流量的目标网络流量,发起相应的攻击网络流量响应处理。
其中,此处涉及的攻击网络流量响应处理,可以按照现有的响应方式进行响应,或者,也可以在具体应用中进行相应的优化设计,以实现更佳的响应效果,随实际需要配置即可。
从以上的实施例内容中可以看出,针对于攻击网络流量的检测,本申请在获取到初始规则检测机制输出的目标网络流量后,继续将该目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定网络流量是否为攻击网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制,此时若判定网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理,在该设置中,结合自然语言处理模型构造了双层的攻击网络流量检测机制,利用自然语言处理模型高精度的攻击行为检测来对网络架构中原有的初始规则检测机制所放行的流量进行二次检测,由此进一步保障了网络安全。
继续对上述图1所示实施例的各个步骤及其在实际应用中可能的实现方式进行详细阐述。
在前面已经提及了,对于本申请所涉及的攻击网络流量响应处理,除了直接沿用现有技术中的响应内容,在具体应用中是可以进行相应的优化设计的,下面则针对本申请结合网络架构中已有的检测规则机制和自然语言处理模型得到的双层的攻击网络流量检测机制,介绍其在实际应用中所能配置的更为实用的攻击网络流量响应处理。
作为一种适于实用的实现方式,步骤S103针对目标网络流量发起攻击网络流量响应处理的过程中,具体可以包括以下内容:
提取目标网络流量的攻击行为判定规则;
将攻击行为判定规则写入初始规则检测机制,以完善初始规则检测机制。
可以理解,自然语言处理模型具有较佳的语言表达能力,因此,在其判断目标网络流量具有攻击行为特征,是攻击网络流量的情况下,可以提取并输出该目标网络流量的攻击行为判定规则,给出为何判定为攻击行为的判定逻辑/依据,如此将该攻击行为判定规则写入到网络架构中原有的初始规则检测机制中,则可以起到更新初始规则检测机制的效果。
容易理解,在该设置下,通过自然语言处理模型生成的相应检测规则,有助于促使初始规则检测机制以后遇到同类攻击时可以直接阻断,如此提升安全防护效率,起到持续改进网络安全的效果,做到自适应安全。
并且,该设置因为针对的都是真实的安全事件,相较于原有规则检测机制提出大量冗余规则、力求不放过任何攻击而导致大量误报的情况,还具有非常高的精确性、针对性,起到高精度更新优化的效果。
此外,除了在软件层面优化现有技术中原有的规则检测机制,本申请还可以从产品角度来考虑,自然语言处理模型所进行的攻击网络流量的判断处理,是基于自然语言来实现的,也因此,具有较佳的可视化特征,而其给出的为何判定为攻击行为的判定逻辑/依据,还可以以自然语言的形式,呈现给用户,以此可以为用户展示其判定处理过程中所涉及的原理,既增加了***的可靠性,也有助于用户进行获悉、学习。
对应的,前面提取目标网络流量的攻击行为判定规则之后,作为又一种适于实用的实现方式,本申请方法还可以包括如下步骤:
展示攻击行为判定规则的内容。
其中,展示过程中所涉及的显示屏(包括触摸屏),既可以是设备本身的显示屏,也可以是设备外接的显示屏,或者还可以直接为外部具有显示屏的相关设备。
并且,展示过程中不仅可以是在本地进行展示,也可以通过推送或者云服务的方式来实现远程的展示效果。
此外,为促进更好地将本申请所涉及方案植入到具体的应用场景中,作为又一种适于实用的实现方式,步骤S101获取初始规则检测机制输出的目标网络流量的过程中,具体可以包括:
获取初始规则检测机制输出的初始网络流量;
放行初始网络流量的同时,对初始网络流量进行镜像处理,得到的镜像流量作为目标网络流量。
可以看到,此处引入了镜像机制,让接受自然语言处理模型进行二次检测的原始网络流量仍然按照原来的传输/处理方式继续正常处理,而不是直接让其暂停传输/处理来等待二次检测,如此不影响网络效率。
与此同时,由自然语言处理模型对镜像流量进行二次检测,则在检测时长/处理效率上可以适当地放松,有利于基于自然语言进行更为深层的攻击行为检测,进而可以促进更高的检测精度。
其中,在实际应用中,镜像处理,一般可以通过配置的流量镜像模块/节点来执行。
而在镜像处理的基础上,本申请也可以将其与攻击网络流量响应处理相结合起来,配置更为实用的实现方式。
具体的,步骤S103针对目标网络流量发起攻击网络流量响应处理,还可以包括以下内容:
提取网络流量的第一五元组信息并打上异常标记;
在进行后续的镜像处理时,若是当前网络流量有打上异常标记的第一五元组信息,则不进行镜像处理,直接阻断。
可以理解,在响应方面,可以直接针对五元组信息来进行相应流量的响应处理,若存在与当前攻击网络流量相同五元组的网络流量,都可以直接认为是攻击网络流量,而这则可以通过打上、标记有异常标记的五元组信息来提供参考、指导,如此,后续对于这类网络流量就不再进行镜像处理,不用让自然语言处理模型进行没必要的二次检测,保障整体的处理效率,同时,对当前网络流量也可以直接阻断,丢弃流量,不让其继续进行原本的传输/处理。
其中,应当注意的是,此处所称的当前网络流量有打上异常标记的第一五元组信息,并不是说当前网络流量的五元组信息中打上了异常标记,而是其五元组信息在镜像处理节点处被记录了,并且还打上了异常标记,如此通过五元组信息的匹配即可确定当前等待镜像处理的网络流量是否有打上异常标记的五元组信息。
此外,上面涉及的是目标网络流量被自然语言处理模型判定为攻击网络流量的情况,而对于被自然语言处理模型判定为正常网络流量的情况,本申请基于镜像处理,也有着相关的优化设计。
具体的,步骤S102之后,若判定网络流量不为攻击网络流量,则本申请方法还可以包括:
提取网络流量的第二五元组信息并打上正常标记;
在进行后续的镜像处理时,若是当前网络流量有打上正常标记的第二五元组信息,则不进行镜像处理,直接放行。
可以看到,此处设置是与前面对五元组信息打上异常标记类似的,针对于被自然语言处理模型判定为正常的网络流量,其五元组信息则可以认为对应的是正常网络流量,因此,后续镜像处理可以直接忽略掉具有打上正常标记的五元组信息的网络流量,并直接放行,让其继续进行原本的传输/处理,如此兼顾了网络安全还有处理效率。
通过上述两个方面的标记的应用,可以看到,做到了可信流量不做冗余检测,不可信流量做关键判断的良好效果。
当然,除了五元组信息的标记,也可以通过其他标记位的格式来进行标记,具体随实际情况调整即可。
为便于理解,对于以上各示例性设置,还可以结合图2示出的现有技术规则检测机制的一种场景示意图和图3示出的本申请结合自然语言处理模型的攻击检测方法的一种场景示意图来进行更为形象的理解。
从图3中可以看到,本申请针对网络架构中已有的初始规则检测机制放行的网络流量,通过镜像流量模块结合自然语言处理模型引出了一系列更为精细化的攻击网络流量的判定还有响应处理。
在图3的基础上,还可以参考以下给出的实际应用中的一组实例来帮助理解。
一、规则引擎解析流量(初始规则检测机制)
原始流量先经过规则引擎,走原有的IPS流程,识别为攻击网络流量直接阻断,反之放行。
规则引擎包括图3中的“流量解析”、“规则匹配”、阻断和放通的处置动作部分。
规则引擎可以将原始流量解析为重要字段数据,再进行规则匹配,如果能匹配到规则,则说明报文存在攻击行为;如果不能匹配,则说明这个报文风险比较低。
作为一个实例,规则引擎收到的流量可以如图4示出的本申请示例性流量的一种场景示意图。
规则引擎可以按照会话,对流量进行分组,在同一个组中的报文一般为同一五元组的请求响应报文,如图5示出的本申请示例性流量的又一种场景示意图。
规则引擎会将流量按照协议层级进行拆解,直到解析出所有的字段,如图6示出的本申请示例性流量的又一种场景示意图。
规则引擎会提取其中应用层的明文请求,作为待检测内容,如图7示出的本申请示例性流量的又一种场景示意图。
二、流量镜像模块
对于未被识别为攻击的流量,放行的同时,被流量镜像模块镜像一份,发送到自然语言处理模型接口,流量镜像模块,会识别每个会话的标记位,如下表,第二行为取值,第三行为示例:
| 五元组 | 状态 | 动作 |
| 源IP,源端口,目的IP,目的端口,协议 | 异常|正常 | 阻断|放通 |
| 113.25.35.6,8808,192.168.2.25,443,https | 异常 | 放通 |
对于新建流量,标记位可以默认为异常,放行。
如果在传递给自然语言处理模型接口后,检测为存在攻击,则标记为:异常,阻断。那么后续该五元组的会话的流量,会直接丢弃,且不再放行。
如果在传递给自然语言处理模型接口后,检测为不存在攻击,则标记为正常,放通。那么后续该五元组会话的流量,可以直接放行。
三、自然语言处理模型攻击判断模块
ChatGPT、New Bing或者GPT-3等攻击判断模块,会调用openai相关API接口,使用提问的方式让ChatGPT、New Bing或者GPT-3等自然语言处理模型进行攻击判断,示意代码如下:
通过上述函数,就可以达到向ChatGPT等自然语言处理模型提问的效果,如图8示出的本申请自然语言处理模型处理结果的一种场景示意图。
ChatGPT等自然语言处理模型会返回明确的是否存在攻击行为的结论以及行为描述,这样就完成了一次攻击判断。
对于大量需要判断的请求,可以存到一个缓存队列,再由ChatGPT等自然语言处理模型进行攻击判读,示例代码如下:
通过类似的代码流程,可以做到批量报文攻击检测,如检测一段时间后的日志显示内容“已检测15225个报文,识别到攻击14892个,检出率:97.81%”。
四、流量标记模块
流量标记模块,包括图3中“流量标记为异常”、“流量标记为正常”两个动作,主要负责判断自然语言处理模型的反馈,然后对流量五元组打标记位,如下表,第二行为取值,第三行为示例:
| 五元组 | 状态 | 动作 |
| 源IP,源端口,目的IP,目的端口,协议 | 异常|正常 | 阻断|放通 |
| 113.25.35.6,58322,192.168.2.25,443,https | 异常 | 放通 |
| 113.25.35.6,58808,192.168.2.25,80,http | 正常 | 放通 |
五、规则生成模块
对于判断为攻击的流量,可以让自然语言处理模型生成规则,如图9示出的本申请自然语言处理模型处理结果的又一种场景示意图,写入前面的规则检测引擎,由规则引擎进行热加载之后,以便于下次同样的报文快速检测,可以实现对下次同样的攻击快速识别阻断了。
以上是本申请提供的结合自然语言处理模型的攻击检测方法的介绍,为便于更好的实施本申请提供的结合自然语言处理模型的攻击检测方法,本申请还从功能模块角度提供了一种结合自然语言处理模型的攻击检测装置。
参阅图10,图10为本申请结合自然语言处理模型的攻击检测装置的一种结构示意图,在本申请中,结合自然语言处理模型的攻击检测装置1000具体可包括如下结构:
获取单元1001,用于获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;
输入单元1002,用于将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定网络流量是否为攻击网络流量;
响应单元1003,用于若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
在一种示例性的实现方式中,响应单元1003,具体用于:
提取目标网络流量的攻击行为判定规则;
将攻击行为判定规则写入初始规则检测机制,以完善初始规则检测机制。
在又一种示例性的实现方式中,响应单元1003,还用于:
展示攻击行为判定规则的内容。
在又一种示例性的实现方式中,获取单元1001,具体用于:
获取初始规则检测机制输出的初始网络流量;
放行初始网络流量的同时,对初始网络流量进行镜像处理,得到的镜像流量作为目标网络流量。
在又一种示例性的实现方式中,响应单元1003,具体用于:
提取网络流量的第一五元组信息并打上异常标记;
在进行后续的镜像处理时,若是当前网络流量有打上异常标记的第一五元组信息,则不进行镜像处理,直接阻断。
在又一种示例性的实现方式中,若判定网络流量不为攻击网络流量,响应单元1003,还用于:
提取网络流量的第二五元组信息并打上正常标记;
在进行后续的镜像处理时,若是当前网络流量有打上正常标记的第二五元组信息,则不进行镜像处理,直接放行。
在又一种示例性的实现方式中,自然语言处理模型具体为ChatGPT、New Bing或者GPT-3。
本申请还从硬件结构角度提供了一种处理***,为方便说明,将其当做一种处理设备,参阅图11,图11示出了本申请处理***的一种结构示意图,具体的,本申请处理***可包括处理器1101、存储器1102以及输入输出设备1103,处理器1101用于执行存储器1102中存储的计算机程序时实现如图1对应实施例中结合自然语言处理模型的攻击检测方法的各步骤;或者,处理器1101用于执行存储器1102中存储的计算机程序时实现如图10对应实施例中各单元的功能,存储器1102用于存储处理器1101执行上述图1对应实施例中结合自然语言处理模型的攻击检测方法所需的计算机程序。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器1102中,并由处理器1101执行,以完成本申请。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在计算机装置中的执行过程。
处理***可包括,但不仅限于处理器1101、存储器1102、输入输出设备1103。本领域技术人员可以理解,示意仅仅是处理***的示例,并不构成对处理***的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如处理***还可以包括网络接入设备、总线等,处理器1101、存储器1102、输入输出设备1103等通过总线相连。
处理器1101可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是处理***的控制中心,利用各种接口和线路连接整个设备的各个部分。
存储器1102可用于存储计算机程序和/或模块,处理器1101通过运行或执行存储在存储器1102内的计算机程序和/或模块,以及调用存储在存储器1102内的数据,实现计算机装置的各种功能。存储器1102可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序等;存储数据区可存储根据处理***的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器1101用于执行存储器1102中存储的计算机程序时,具体可实现以下功能:
获取初始规则检测机制输出的目标网络流量,其中,目标网络流量为初始规则检测机制判断为非攻击网络流量的流量,初始规则检测机制为网络架构中原有的规则检测机制;
将目标网络流量输入预先配置的自然语言处理模型,使得自然语言处理模型判定目标网络流量是否为攻击网络流量;
若判定目标网络流量为攻击网络流量,则针对目标网络流量发起攻击网络流量响应处理。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的结合自然语言处理模型的攻击检测装置、处理***及其相应单元的具体工作过程,可以参考如图1对应实施例中结合自然语言处理模型的攻击检测方法的说明,具体在此不再赘述。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请如图1对应实施例中结合自然语言处理模型的攻击检测方法的步骤,具体操作可参考如图1对应实施例中结合自然语言处理模型的攻击检测方法的说明,在此不再赘述。
其中,该计算机可读存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图1对应实施例中结合自然语言处理模型的攻击检测方法的步骤,因此,可以实现本申请如图1对应实施例中结合自然语言处理模型的攻击检测方法所能实现的有益效果,详见前面的说明,在此不再赘述。
以上对本申请提供的结合自然语言处理模型的攻击检测方法、装置、处理***以及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种结合自然语言处理模型的攻击检测方法,其特征在于,所述方法包括:
获取初始规则检测机制输出的目标网络流量,其中,所述目标网络流量为所述初始规则检测机制判断为非攻击网络流量的流量,所述初始规则检测机制为网络架构中原有的规则检测机制;
将所述目标网络流量输入预先配置的自然语言处理模型,使得所述自然语言处理模型判定所述目标网络流量是否为攻击网络流量;
若判定所述目标网络流量为攻击网络流量,则针对所述目标网络流量发起攻击网络流量响应处理。
2.根据权利要求1所述的方法,其特征在于,所述针对所述目标网络流量发起攻击网络流量响应处理,包括:
提取所述目标网络流量的攻击行为判定规则;
将所述攻击行为判定规则写入所述初始规则检测机制,以完善所述初始规则检测机制。
3.根据权利要求2所述的方法,其特征在于,所述提取所述目标网络流量的攻击行为判定规则之后,所述方法还包括:
展示所述攻击行为判定规则的内容。
4.根据权利要求1所述的方法,其特征在于,所述获取所述初始规则检测机制输出的初始网络流量,包括:
获取所述初始规则检测机制输出的初始网络流量;
放行所述初始网络流量的同时,对所述初始网络流量进行镜像处理,得到的镜像流量作为所述目标网络流量。
5.根据权利要求4所述的方法,其特征在于,所述针对所述目标网络流量发起攻击网络流量响应处理,包括:
提取所述网络流量的第一五元组信息并打上异常标记;
在进行后续的镜像处理时,若是当前网络流量有打上所述异常标记的所述第一五元组信息,则不进行镜像处理,直接阻断。
6.根据权利要求4所述的方法,其特征在于,若判定所述网络流量不为攻击网络流量,则所述方法还包括:
提取所述网络流量的第二五元组信息并打上正常标记;
在进行后续的镜像处理时,若是当前网络流量有打上所述正常标记的所述第二五元组信息,则不进行镜像处理,直接放行。
7.根据权利要求1所述的方法,其特征在于,所述自然语言处理模型具体为ChatGPT、New Bing或者GPT-3。
8.一种结合自然语言处理模型的攻击检测装置,其特征在于,所述装置包括:
获取单元,用于获取初始规则检测机制输出的目标网络流量,其中,所述目标网络流量为所述初始规则检测机制判断为非攻击网络流量的流量,所述初始规则检测机制为网络架构中原有的规则检测机制;
输入单元,用于将所述目标网络流量输入预先配置的自然语言处理模型,使得所述自然语言处理模型判定所述网络流量是否为攻击网络流量;
响应单元,用于若判定所述目标网络流量为攻击网络流量,则针对所述目标网络流量发起攻击网络流量响应处理。
9.一种处理***,其特征在于,包括处理器和存储器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时执行如权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310282395.8A CN116319005A (zh) | 2023-03-21 | 2023-03-21 | 结合自然语言处理模型的攻击检测方法、装置及处理*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310282395.8A CN116319005A (zh) | 2023-03-21 | 2023-03-21 | 结合自然语言处理模型的攻击检测方法、装置及处理*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116319005A true CN116319005A (zh) | 2023-06-23 |
Family
ID=86779492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310282395.8A Pending CN116319005A (zh) | 2023-03-21 | 2023-03-21 | 结合自然语言处理模型的攻击检测方法、装置及处理*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319005A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗*** |
| WO2021008028A1 (zh) * | 2019-07-18 | 2021-01-21 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及*** |
| CN113312622A (zh) * | 2021-06-09 | 2021-08-27 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 一种检测url的方法及装置 |
| US20210273954A1 (en) * | 2020-02-28 | 2021-09-02 | International Business Machines Corporation | Artificially intelligent security incident and event management |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| CN113722641A (zh) * | 2021-08-30 | 2021-11-30 | 平安国际智慧城市科技股份有限公司 | 基于ai的注入请求保护方法、装置、终端设备及介质 |
| KR20220081145A (ko) * | 2020-12-08 | 2022-06-15 | 상명대학교산학협력단 | Ai 기반 이상징후 침입 탐지 및 대응 시스템 |
| KR20220151050A (ko) * | 2021-05-04 | 2022-11-14 | 엘아이지넥스원 주식회사 | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 |
| WO2023283697A1 (en) * | 2021-07-16 | 2023-01-19 | Cyber Security Research Centre Limited | "cyber security" |
-
2023
- 2023-03-21 CN CN202310282395.8A patent/CN116319005A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗*** |
| WO2021008028A1 (zh) * | 2019-07-18 | 2021-01-21 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
| CN112398779A (zh) * | 2019-08-12 | 2021-02-23 | 中国科学院国家空间科学中心 | 一种网络流量数据分析方法及*** |
| US20210273954A1 (en) * | 2020-02-28 | 2021-09-02 | International Business Machines Corporation | Artificially intelligent security incident and event management |
| CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| WO2021196691A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
| KR20220081145A (ko) * | 2020-12-08 | 2022-06-15 | 상명대학교산학협력단 | Ai 기반 이상징후 침입 탐지 및 대응 시스템 |
| KR20220151050A (ko) * | 2021-05-04 | 2022-11-14 | 엘아이지넥스원 주식회사 | 네트워크 침입 탐지 시스템 및 네트워크 침입 탐지 방법 |
| CN113312622A (zh) * | 2021-06-09 | 2021-08-27 | 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室)) | 一种检测url的方法及装置 |
| WO2023283697A1 (en) * | 2021-07-16 | 2023-01-19 | Cyber Security Research Centre Limited | "cyber security" |
| CN113722641A (zh) * | 2021-08-30 | 2021-11-30 | 平安国际智慧城市科技股份有限公司 | 基于ai的注入请求保护方法、装置、终端设备及介质 |
Non-Patent Citations (2)
| Title |
|---|
| 苗春雨等: "《云计算安全关键技术原理及应用(网络空间安全技术丛书)》", 30 April 2022, pages: 18 * |
| 薛静锋等: "《入侵检测技术(国家信息化安全教育认证(ISEC)系列教材)》", 30 April 2004, pages: 97 - 98 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10516671B2 (en) | Black list generating device, black list generating system, method of generating black list, and program of generating black list | |
| US11429625B2 (en) | Query engine for remote endpoint information retrieval | |
| US11314862B2 (en) | Method for detecting malicious scripts through modeling of script structure | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| CN109246064B (zh) | 安全访问控制、网络访问规则的生成方法、装置及设备 | |
| US11463459B2 (en) | Network security intrusion detection | |
| US20040205411A1 (en) | Method of detecting malicious scripts using code insertion technique | |
| KR20180081053A (ko) | 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들 | |
| CN109413016B (zh) | 一种基于规则的报文检测方法和装置 | |
| CN113364750B (zh) | 一种基于Snort和OpenFlow启发式诱导APT攻击引入蜜罐的方法 | |
| Liu et al. | Prompt injection attacks and defenses in llm-integrated applications | |
| CN113556343B (zh) | 基于浏览器指纹识别的DDoS攻击防御方法及设备 | |
| KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
| RU2659482C1 (ru) | Способ защиты веб-приложений при помощи интеллектуального сетевого экрана с использованием автоматического построения моделей приложений | |
| Wan et al. | An improved eliminating SQL injection attacks based regular expressions matching | |
| Khan et al. | A dynamic method of detecting malicious scripts using classifiers | |
| CN116319005A (zh) | 结合自然语言处理模型的攻击检测方法、装置及处理*** | |
| US11425092B2 (en) | System and method for analytics based WAF service configuration | |
| Liljebjörn et al. | Mantis the black-box scanner: Finding XSS vulnerabilities through parse errors | |
| Ali et al. | An approach for deceptive phishing detection and prevention in social networking sites using data mining and wordnet ontology | |
| Calvo et al. | An Adaptive Web Application Firewall. | |
| Klymash et al. | Monitoring of web service availability in distributed infocommunication systems | |
| Poonia et al. | Malware detection by token counting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |