本公开涉及数据处理的,特别是涉及一种网络攻击的处理方法、装置、电子设备及存储介质。
背景技术:
1、随着互联网的普及,我们生活的方方面面越来越离不开互联网,但是互联网给我们带来便利的同时,也带来了挑战。在使用互联网的过程中,大量的用户信息会保存在服务器上,这些信息如果被不法分子通过网络攻击获取到,会导致信息泄露,将会给个人或企业带来巨大的损失。例如,高级持续性威胁(advanced persistent threat,apt)。
2、目前,采用的防护措施主要有以下几种方式:提高企业用户的信息安全意识,防患于未然;安装网络安全预警系统。然而,网络安全预警系统只能够针对局域网内的网络攻击事件自动进行归纳总结,并根据这些数据对全网安全进行预警。由于网络安全预警系统总结归纳的网络攻击行为只为局域网内的网络攻击行为,会导致能识别的网络攻击行为的范围过小。因此,在识别不出不在其识别范围内的网络攻击行为的情况下,会出现导致系统或程序信息泄露以及导致系统或程序毁坏等损失的问题。
技术实现思路
1、本公开实施例至少提供一种网络攻击的处理方法、装置、电子设备及存储介质。
2、第一方面,本公开实施例提供了一种网络攻击的处理方法,包括:
3、获取待检测应用程序的流量数据;获取攻击行为检测模型;其中,所述攻击行为检测模型为基于多个已检测应用程序的历史流量数据构建的用于进行攻击行为检测的随机森林分类器;基于所述攻击行为检测模型对流量数据进行攻击检测,得到检测结果;在基于所述检测结果确定检测到对所述待检测应用程序的目标攻击行为的情况下,对所述目标攻击行为进行风险评估。
4、一种可选的实施方式中,通过以下方式训练得到攻击行为检测模型:获取每个已检测应用程序所拦截多个攻击行为的目标攻击行为数据;对所述目标攻击行为数据进行特征提取,得到攻击行为特征;基于所述攻击行为特征确定训练样本集合,并基于所述训练样本集合对待训练的随机森林分类器进行训练,训练后得到所述攻击行为检测模型。
5、一种可选的实施方式中,所述基于所述攻击行为特征确定训练样本集合,并基于所述训练样本集合对待训练的随机森林分类器进行训练,训练后得到所述攻击行为检测模型,包括:确定所述攻击行为特征的预设决策逻辑和预设决策结果;基于所述攻击行为特征、所述预设决策逻辑和所述预设决策结果,确定训练样本集合;其中,每个所述攻击行为对应所述训练样本集合中的一个训练样本;通过所述待训练的随机森林分类器对所述训练样本集合进行处理,得到预测结果;基于所述预测结果和所述预设决策结果之间的差异调整所述待训练的随机森林分类器的模型参数,得到所述攻击行为检测模型。
6、一种可选的实施方式中,基于所述攻击行为检测模型对所述流量数据进行攻击检测,得到检测结果,包括:通过所述攻击行为检测模型对所述流量数据进行处理,得到所述流量数据的数据预警信息;其中,所述数据预警信息用于指示以下至少之一:数据可靠性、数据告警等级、攻击行为的攻击链阶段;基于所述数据预警信息,确定流量数据的所述检测结果。
7、一种可选的实施方式中,在基于所述检测结果确定检测到对所述待检测应用程序的目标攻击行为的情况下,对所述目标攻击行为进行风险评估,包括:在基于所述检测结果确定检测到对所述待检测应用程序的目标攻击行为的情况下,确定所述目标攻击行为至少一个风险评估指标;对每个所述风险评估指标进行风险评估处理,得到子评估结果;基于所述子评估结果确定所述目标攻击行为的风险评估结果。
8、一种可选的实施方式中,对每个所述风险评估指标进行风险评估处理,得到子评估结果,包括:获取所述流量数据中攻击关键字的关键字信息;在风险关键字数据库中确定与所述攻击关键字相匹配的风险关键字;基于所述风险关键字的风险等级,对所述关键字信息进行风险评估,得到所述关键字信息的子评估结果。
9、一种可选的实施方式中,对每个所述风险评估指标进行风险评估处理,得到子评估结果,包括:获取流量数据中目标地址信息;其中,所述目标地址信息用于指示所述待检测应用的攻击行为的地址信息;在风险地址数据库中查找与所述目标地址信息相匹配的风险地址;在查找到所述相匹配的风险地址的情况下,基于所述相匹配的风险地址的风险等级确定所述目标地址信息的子评估结果。
10、一种可选的实施方式中,还包括:在所述风险地址数据库中未查找到所述相匹配的风险地址的情况下,将所述目标地址信息确定为疑似风险地址;获取预设时间段内所述疑似风险地址对所述目标应用程序的访问次数;根据所述访问次数,确定所述疑似风险地址的子评估结果。
11、一种可选的实施方式中,还包括:在确定至少一个所述子评估结果中存在目标子评估结果的情况下,拦截所述流量数据中攻击行为的攻击数据包;其中,所述目标子评估结果所对应风险评估指标满足预设风险等级要求。
12、第二方面,本公开的实施例还提供一种网络攻击的处理装置,包括:获取模块,用于获取待检测应用程序的流量数据;构建模块,用于获取攻击行为检测模型;其中,所述攻击行为检测模型为基于多个已检测应用程序的历史流量数据构建的用于进行攻击行为检测的随机森林分类器;检测模块,用于基于所述攻击行为检测模型对流量数据进行攻击检测,得到检测结果;风险评估模块,用于在基于所述检测结果确定检测到对所述待检测应用程序的目标攻击行为的情况下,对所述目标攻击行为进行风险评估。
13、第三方面,本公开实施例还提供了一种非瞬时性计算机可读存储介质,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现以上方法。
14、第四方面,本公开实施例还提供了一种电子设备,包括处理器和非瞬时性计算机可读存储介质。
15、本公开至少具有以下有益效果:
16、本公开提供一种网络攻击的处理方法、装置、电子设备及存储介质。在本申请实施例中,首先,可以获取待检测应用程序的流量数据,并获取攻击行为检测模型,之后,基于攻击行为检测模型对流量数据进行攻击检测,得到检测结果,在基于检测结果确定检测到对待检测应用程序的目标攻击行为的情况下,对目标攻击行为进行风险评估。
17、通过上述描述可知,由于已检测应用程序的历史流量数据中包含已检测到的网络攻击行为,因此,基于该历史流量数据确定攻击行为检测模型的方式,可以扩大攻击行为检测模型的检测范围,从而提高攻击行为检测模型的检测精度。通过历史流量数据构建随机森林分类器,从而根据该随机森林分类器,得到攻击行为检测模型的方式,可以提高检测结果的稳定性与准确性,还可以避免攻击行为检测模型的过拟合问题,同时还可以避免网络攻击行为在检测的过程中被漏检导致的损失。通过对检测出来的网络攻击行为进行风险评估,可以得到目标攻击行为的风险评估结果,从而为用户提供相关的风险决策依据。
1.一种网络攻击的处理方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过以下方式训练得到所述攻击行为检测模型:
3.根据权利要求2所述的方法,其特征在于,所述基于所述攻击行为特征确定训练样本集合,并基于所述训练样本集合对待训练的随机森林分类器进行训练,训练后得到所述攻击行为检测模型,包括:
4.根据权利要求1所述的方法,其特征在于,所述基于所述攻击行为检测模型对所述流量数据进行攻击检测,得到检测结果,包括:
5.根据权利要求1所述的方法,其特征在于,所述在基于所述检测结果确定检测到对所述待检测应用程序的目标攻击行为的情况下,对所述目标攻击行为进行风险评估,包括:
6.根据权利要求5所述的方法,其特征在于,所述对每个所述风险评估指标进行风险评估处理,得到子评估结果,包括:
7.根据权利要求5或6所述的方法,其特征在于,所述对每个所述风险评估指标进行风险评估处理,得到子评估结果,包括:
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
9.根据权利要求5所述的方法,其特征在于,所述方法还包括:
10.一种网络攻击的处理装置,其特征在于,所述装置包括:
11.一种非瞬时性计算机可读存储介质,其特征在于,存储介质中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-9中任意一项的方法。
12.一种电子设备,其特征在于,包括处理器和权利要求11中的非瞬时性计算机可读存储介质。
