(19)中华 人民共和国 国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202111664312.9
(22)申请日 2021.12.3 0
(71)申请人 奇安信科技 集团股份有限公司
地址 100088 北京市西城区新 街口外大街
28号102号楼3层3 32号
申请人 网神信息技 术 (北京) 股份有限公司
(72)发明人 孙兆兴
(74)专利代理 机构 北京市浩天知识产权代理事
务所(普通 合伙) 11276
代理人 宋菲
(51)Int.Cl.
H04L 9/40(2022.01)
G06K 9/62(2022.01)
G06N 20/00(2019.01)
(54)发明名称
网络攻击结果的检测方法、 装置、 计算设备
及存储介质
(57)摘要
本发明公开了一种网络攻击结果的检测方
法、 装置、 计算设备及存储介质, 该方法包括: 识
别待检测 网络流量是否为攻击事件流量; 若是,
获取待检测网络流量的响应数据; 根据响应数据
提取检测特征, 将检测特征输入至经过训练的攻
击结果预测模 型中进行处理, 得到待检测网络流
量的攻击结果; 其中, 攻击结果预测模型通过攻
击流量样本训练得到。 通过上述方式, 利用机器
学习算法检测攻击事件的攻击结果, 避免依赖固
定特征, 能够提高攻击结果的检测精准度, 避免
攻击结果由于形式多样无法识别而导致的攻击
事件漏报。
权利要求书2页 说明书11页 附图3页
CN 114338202 A
2022.04.12
CN 114338202 A
1.一种网络攻击结果的检测方法, 包括:
识别待检测网络流 量是否为 攻击事件流量;
若是, 获取 所述待检测网络流 量的响应数据;
根据所述响应数据提取检测特征, 将所述检测特征输入至经过训练的攻击结果预测模
型中进行处 理, 得到所述待检测网络流 量的攻击结果;
其中, 所述 攻击结果预测模型通过攻击流 量样本训练得到 。
2.根据权利要求1所述的方法, 其中, 所述方法执 行之前, 进一 步包括:
获取攻击流 量样本, 并对所述 攻击流量样本的攻击结果进行 标记, 得到标记结果;
提取所述攻击流量样本的样本特征, 根据所述攻击流量样本的样本特征以及标记结
果, 构建训练样本集 合;
对所述训练样本集 合进行训练, 得到所述 攻击结果预测模型。
3.根据权利要求2所述的方法, 其中, 所述对所述训练样本集合进行训练, 得到所述攻
击结果预测模型进一 步包括:
从所述训练样本集 合中提取攻击流 量样本的样本特 征及标记结果;
将所述攻击流量样本的样本特征输入至初始预测模型中进行训练, 得到对应的初始预
测结果;
根据所述初始预测结果和所述标记结果, 更新所述初始预测模型的权重参数后, 再次
进行训练;
循环迭代执 行上述步骤, 直至满足迭代结束条件, 得到所述 攻击结果预测模型。
4.根据权利要求3所述的方法, 其中, 所述检测特征包括待检测网络流量的响应数据的
以下至少一项特征: 响应体长度、 响应头是否包含指定字段、 所述指定字段的长度、 http协
议响应码、 响应 体中特定单词的词性的频率;
所述样本特征包括攻击流量样本的响应数据中的以下至少一项特征: 响应体长度、 响
应头是否包含指 定字段、 所述指 定字段的长度、 http协 议响应码、 响应体中特定单词的词性
的频率。
5.根据权利要求1 ‑4中任一项所述的方法, 其中, 所述方法执 行之前,进一 步包括:
通过流量镜像方式从指定端口获取待检测网络流 量。
6.根据权利要求1所述的方法, 其中, 所述识别待检测网络流量是否为攻击流量进一步
包括:
通过对所述待检测网络流量进行模式串匹配处理, 根据匹配结果确定所述待检测网络
流量是否为 攻击事件流量。
7.根据权利要求6所述的方法, 其中, 所述攻击事件包括: 弱口令攻击事件、 文件上传攻
击事件。
8.一种网络攻击结果的检测装置, 包括:
攻击识别模块, 适于识别待检测网络流 量是否为 攻击事件流量;
响应提取模块, 适于若待检测网络流量为攻击事件流量, 获取所述待检测网络流量的
响应数据;
结果检测模块, 适于根据所述响应数据提取检测特征, 将所述检测特征输入至经过训
练的攻击结果预测模 型中进行处理, 得到所述待检测网络流量的攻击结果; 其中, 所述攻击权 利 要 求 书 1/2 页
2
CN 114338202 A
2结果预测模型通过攻击流 量样本训练得到 。
9.一种计算设备, 包括: 处理器、 存储器、 通信接口和通信总线, 所述处理器、 所述存储
器和所述 通信接口通过 所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令, 所述可执行指令使所述处理器执行如权利要
求1‑7中任一项所述的网络攻击结果的检测方法对应的操作。
10.一种计算机存储介质, 所述存储介质中存储有至少一可执行指令, 所述可执行指令
使处理器执行如权利要求1 ‑7中任一项所述的网络攻击结果的检测方法对应的操作。权 利 要 求 书 2/2 页
3
CN 114338202 A
3
专利 网络攻击结果的检测方法、装置、计算设备及存储介质
安全报告 >
其他 >
文档预览
中文文档
17 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共17页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 19:32:09上传分享