本技术属于数据安全,尤其涉及一种模型的生成方法和数据恶意攻击行为的检测方法、装置。
背景技术:
1、随着网络技术的快速发展,网络规模和网络信息量日益扩大,给人们的学习、工作和生活带来极大便利。但是网络安全隐患也逐渐暴露出来。一些人利用网络的互联性、开放性、多样性的特征,通过入侵攻击网络来获取盗取数据,造成数据泄露,严重时使数据持有者的财产或者商业机密受到损失。
2、虽然相关技术中,实现对网络入侵进行检测和识别,但是识别网络入侵的准确率低,仍难以有效提高数据的安全性。
技术实现思路
1、本技术实施例提供一种模型的生成方法和数据恶意攻击行为的检测方法、装置,能够有效提高识别网络入侵的准确性。
2、第一方面,本技术实施例提供一种模型的生成方法,该方法包括:
3、构建数据恶意攻击行为检测模型,数据恶意攻击行为检测模型包括:用于提取数据空间特征的空间特征提取单元、用于提取数据时序特征的时序特征提取单元以及用于检测攻击行为的攻击行为检测单元,其中,攻击行为检测单元,用于将空间特征提取单元输出的空间特征与时序特征提取单元的输出的时序特征进行融合,生成融合特征,并根据融合特征生成输出结果,其中,输出结果为数据恶意攻击行为检测模型的输出结果;
4、获取训练数据集,训练数据集包括训练数据特征信息和训练数据特征信息对应的数据恶意攻击行为检测结果,训练数据特征信息包括连接特征、内容特征以及流量特征,训练数据特征信息对应的数据恶意攻击行为检测结果包括无攻击或者存在数据恶意攻击,存在数据恶意攻击用于表征存在数据攻击行为或者数据攻击行的攻击类型;
5、根据训练数据集中的训练数据特征信息、训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对数据恶意攻击行为检测模型进行训练,得到训练后的数据恶意攻击行为检测模型。
6、在第一方面的一些可实现方式中,构建数据恶意攻击行为检测模型,包括:
7、构建空间特征提取单元,空间特征提取单元包括顺次连接的第一卷积层、第二卷积层、第一池化层、第三卷积层、第四卷积层以及第二池化层;
8、构建时序特征提取单元,时序特征提取单元包括顺次连接的数据转化层以及门控循环单元神经网络;
9、构建攻击行为检测单元,攻击行为检测单元包括顺次连接的特征数据融合层、输入层、隐含层、输出层;
10、其中,攻击行为检测单元的特征数据融合层,用于对第二池化层输出的空间特征与门控循环单元神经网络输出的时序特征进行融合,生成融合特征,融合特征为攻击行为检测单元的输入;
11、攻击行为检测单元的输出层,用于输出检测结果,检测结果为恶意攻击行为检测模型的数据恶意攻击行为检测结果。
12、在第一方面的一些可实现方式中,训练数据特征信息,包括:n*n维的第一输入特征;
13、获取训练数据集,包括:
14、获取初始训练数据特征信息,初始训练数据特征信息包括非数字数据;
15、将训练数据特征信息中非数字数据进行转换为数字数据,得到字符转换后的初始训练数据特征信息;
16、生成字符转换后的初始训练数据特征信息对应的m*m维特征矩阵;
17、对m*m维特征矩阵进行归一化处理,得到归一化后的m*m维特征矩阵;
18、对归一化后的m*m维特征矩阵进行降维处理,得到n*n维的第一输入特征。
19、在第一方面的一些可实现方式中,对归一化后的m*m维特征矩阵进行降维处理,得到n*n维的第一输入特征,包括:
20、根据主成分分析降维算法对归一化后的m*m维特征矩阵进行降维处理,得到n*n维的第一输入特征。
21、在第一方面的一些可实现方式中,根据训练数据集中的训练数据特征信息、训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对数据恶意攻击行为检测模型进行训练,得到训练后的数据恶意攻击行为检测模型,包括:
22、初始化数据恶意攻击行为检测模型的网络参数,其中,初始化后的网络参数包括网络参数上限与网络参数下限,在网络参数上限与网络参数下限之间,包括多个网络参数个体,每个网络参数个体用于表征数据恶意攻击行为检测模型的所有网络参数组成的向量;
23、根据训练数据集中的训练数据特征信息、训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对初始化后的数据恶意攻击行为检测模型进行训练,得到训练后的数据恶意攻击行为检测模型。
24、在第一方面的一些可实现方式中,根据训练数据集中的训练数据特征信息、训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对初始化后的数据恶意攻击行为检测模型进行训练,得到训练后的数据恶意攻击行为检测模型,包括:
25、根据训练数据集,确定每个网络参数个体对应的适应度值,并将适应度值最大k%的网络参数个体作为搜寻个体以及将剩余的1-k%的网络参数个体作为跟随个体,其中,k%为初始化搜寻比例;
26、对每个搜寻个体进行邻域搜索,并根据贪婪选择算法对搜寻个体进行更新,得到更新后的搜寻个体;
27、根据反向学习算法确定每个更新后的搜寻个体所对应的反向个体;
28、将更新后的搜寻个体换热反向个体中取出适应度值最大的h%的个体,确定为第一目标个体,并将第一目标个体作为新的搜寻个体;
29、在新的搜寻个体中,根据轮盘选择算法确定每个跟随个体所对应的第二目标个体,并基于第二目标个体,对跟随个体进行邻域搜索,得到更新后的跟随个体;
30、在迭代次数达到预设训练次数t,或者搜寻个体以及跟随个体中的最大适应度值大于设定阈值的情况下,则结束训练,并将适应度值最大的个体作为数据恶意攻击行为检测模型最终的网络参数,得到训练后的数据恶意攻击行为检测模型。
31、在第一方面的一些可实现方式中,方法还包括:
32、在迭代次数未达到预设训练次数t,且搜寻个体以及跟随个体中的最大适应度值小于或者等于设定阈值的情况下,在更新后的搜寻个体和更新后的跟随个体中,将适应度值最大k%的网络参数个体作为本次迭代训练的搜寻个体以及将剩余的1-k%的网络参数个体作为本次迭代的跟随个体,并继续进行迭代训练;
33、直到迭代次数达到预设训练次数t,或者搜寻个体以及跟随个体中的最大适应度值大于设定阈值,则结束训练,并将适应度值最大的个体作为数据恶意攻击行为检测模型最终的网络参数,得到训练后的数据恶意攻击行为检测模型。
34、在第一方面的一些可实现方式中,方法还包括:在跟随个体是否在l次训练中适应度值均未增大的情况下,随机生成新跟随个体或者变异个体,采用新跟随个体或者变异个体替换跟随个体。
35、第一方面,本技术实施例提供一种数据恶意攻击行为的检测方法,该方法包括:
36、采集实时数据特征信息;
37、对实时数据特征信息进行预处理,得到预处理后的实时数据特征信息;
38、根据训练后的数据恶意攻击行为检测模型对实时数据特征信息进行识别,获得实时数据特征信息对应的数据恶意攻击行为检测结果,其中,训练后的数据恶意攻击行为检测模型根据第一方面或者第一方面任一可实现方式中的模型的生成方法训练得到。
39、第三方面,本技术实施例提供一种模型的生成装置,包括:
40、处理模块,用于构建数据恶意攻击行为检测模型,数据恶意攻击行为检测模型包括:用于提取数据空间特征的空间特征提取单元、用于提取数据时序特征的时序特征提取单元以及用于检测攻击行为的攻击行为检测单元,其中,攻击行为检测单元,用于将空间特征提取单元输出的空间特征与时序特征提取单元的输出的时序特征进行融合,生成融合特征,并根据融合特征生成输出结果,其中,输出结果为数据恶意攻击行为检测模型的输出结果;
41、获取模块,还用于获取训练数据集,训练数据集包括训练数据特征信息和训练数据特征信息对应的数据恶意攻击行为检测结果,训练数据特征信息包括连接特征、内容特征以及流量特征,训练数据特征信息对应的数据恶意攻击行为检测结果包括无攻击或者存在数据恶意攻击,存在数据恶意攻击用于表征存在数据攻击行为或者数据攻击行的攻击类型;
42、处理模块,还用于根据训练数据集中的训练数据特征信息、训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对数据恶意攻击行为检测模型进行训练,得到训练后的数据恶意攻击行为检测模型。
43、第四方面,本技术实施例提供一种数据恶意攻击行为的检测装置,该装置包括:
44、获取模块,用于采集实时数据特征信息;
45、处理模块,用于对实时数据特征信息进行预处理,得到预处理后的实时数据特征信息;
46、处理模块,还用于根据训练后的数据恶意攻击行为检测模型对实时数据特征信息进行识别,获得实时数据特征信息对应的数据恶意攻击行为检测结果,其中,训练后的数据恶意攻击行为检测模型根据第一方面或者第一方面任一可实现方式中的模型的生成方法训练得到。
47、第五方面,本技术提供一种电子设备,该设备包括:处理器以及存储有计算机程序指令的存储器;处理器执行计算机程序指令时实现第一方面或者第一方面任一可实现方式中的模型的生成方法或者如第二方面的数据恶意攻击行为的检测方法。
48、第六方面,本技术提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现第一方面或者第一方面任一可实现方式中的模型的生成方法或者如第二方面的数据恶意攻击行为的检测方法。
49、第七方面,本技术实施例提供了一种计算机程序产品,计算机程序产品中的指令由电子设备的处理器执行时,使得电子设备执行如第一方面或者第一方面任一可实现方式中的模型的生成方法或者如第二方面的数据恶意攻击行为的检测方法。
50、本技术实施例的模型的生成方法和数据恶意攻击行为的检测方法、装置。通过数据恶意攻击行为检测模型实现对数据特征信息的空间信息以及时序信息的提取,并将空间信息以及时序信息进行融合以及识别,从而能够准确地检测出针对数据的恶意攻击行为,可以有效减少特征丢失;此外,还基于贪婪选择算法以及反向学习算法的邻域搜索学习算法对数据恶意攻击行为检测模型进行训练,能够实现更好的训练效果,使训练完成的数据恶意攻击行为检测模型具备较强的检测能力,可以有效提高识别网络入侵的准确性。
1.一种模型的生成方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述构建数据恶意攻击行为检测模型,包括:
3.根据权利要求1所述的方法,其特征在于,所述训练数据特征信息,包括:n*n维的第一输入特征;
4.根据权利要求3所述的方法,其特征在于,所述对所述归一化后的m*m维特征矩阵进行降维处理,得到所述n*n维的第一输入特征,包括:
5.根据权利要求1所述的方法,其特征在于,所述根据所述训练数据集中的所述训练数据特征信息、所述训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对所述数据恶意攻击行为检测模型进行训练,得到所述训练后的数据恶意攻击行为检测模型,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述训练数据集中的所述训练数据特征信息、所述训练数据特征信息对应的数据恶意攻击行为检测结果、贪婪选择算法以及反向学习算法的邻域搜索学习算法对初始化后的所述数据恶意攻击行为检测模型进行训练,得到所述训练后的数据恶意攻击行为检测模型,包括:
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:在跟随个体是否在l次训练中适应度值均未增大的情况下,随机生成新跟随个体或者变异个体,采用新跟随个体或者变异个体替换所述跟随个体。
9.一种数据恶意攻击行为的检测方法,其特征在于,包括:
10.一种模型的生成装置,其特征在于,所述装置包括:
11.一种数据恶意攻击行为的检测装置,其特征在于,包括:
12.一种电子设备,其特征在于,所述设备包括:处理器,以及存储有计算机程序指令的存储器;
13.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1至8任意一项所述的模型的生成方法和权利要求9所述的数据恶意攻击行为的检测方法。
