本发明涉及网络安全技术领域,尤其涉及一种基于深度学习的入侵行为检测方法及系统。
背景技术:
在互联网环境下存在大量网络入侵行为,入侵者通过寻找系统的弱点,以非授权的方式对系统实行破坏、欺骗的行为,例如窃取管理员账号篡改系统权限、破坏系统正常运行、窃取系统资料数据等。由于入侵行为的类型与方式多种多样,且诸如账号窃取等入侵行为难以被准确识别,这使得误识别的状况时有发生,检测机制在很大程度上仍需依赖人工鉴别,这使得针对入侵行为的实时检测效果不佳,系统安全性不足。
技术实现要素:
本发明实施例公开一种基于深度学习的入侵行为检测方法及系统,能依据代码特征对未知行为进行检测,实时对入侵行为进行甄别并分类,避免对入侵行为的漏放以及对正常行为的误识别,其检测准确率高,实时性强,有效提高了系统安全性。
本发明实施例第一方面公开一种基于深度学习的入侵行为检测方法,所述方法包括:
构建与生产环境相对应的分析沙箱;
采用入侵样本集合入侵所述分析沙箱,得到入侵数据;其中,所述入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址;
采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型;
部署所述入侵行为检测模型,检测针对生产环境的入侵行为。
作为一种可选的实施方式,在本发明实施例第一方面中,在所述采用入侵样本入侵所述分析沙箱,得到入侵数据之前,所述方法还包括:
基于生产环境的系统日志获取历史入侵行为;
构造对应于入侵行为类别的虚拟入侵行为;
通过随机排列组合算法组合所述历史入侵行为及所述虚拟入侵行为,得到入侵样本;
选取若干所述入侵样本作为所述入侵样本集合。
作为一种可选的实施方式,在本发明实施例第一方面中,所述采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型,包括:
建立所述代码特征与所述入侵途径、所述入侵目的及所述行为模式之间的特征关联索引表;
将所述特征关联索引表转换为md5格式的索引文本;
采用所述深度学习模型训练所述索引文件,建立全连接层;
根据所述入侵行为类别处理所述全连接层,得到所述入侵行为检测模型。
作为一种可选的实施方式,在本发明实施例第一方面中,在所述部署所述入侵行为检测模型,检测针对生产环境的入侵行为之后,所述方法还包括:
采集所述入侵行为检测模型所检测到的入侵实例数据;
分析所述入侵实例数据相对所述入侵行为检测模型中所述入侵数据的特征变更信息;
采用所述入侵实例数据更新所述入侵数据,对所述入侵数据进行迭代训练。
本发明实施例第二方面公开一种入侵行为检测系统,所述入侵行为检测系统包括:
沙箱构建单元,用于构建与生产环境相对应的分析沙箱;
模拟入侵单元,用于采用入侵样本集合入侵所述分析沙箱,得到入侵数据;其中,所述入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址;
深度学习单元,用于采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型;
入侵检测单元,用于部署所述入侵行为检测模型,检测针对生产环境的入侵行为。
作为一种可选的实施方式,在本发明实施例第二方面中,所述系统还包括:
历史行为获取单元,用于在所述模拟入侵单元采用入侵样本入侵所述分析沙箱,得到入侵数据之前,基于生产环境的系统日志获取历史入侵行为;
虚拟行为构造单元,用于构造对应于入侵行为类别的虚拟入侵行为;
排列组合单元,用于通过随机排列组合算法组合所述历史入侵行为及所述虚拟入侵行为,得到入侵样本;
集合组合单元,用于选取若干所述入侵样本作为所述入侵样本集合。
作为一种可选的实施方式,在本发明实施例第二方面中,所述深度学习单元包括:
索引建立子单元,用于建立所述代码特征与所述入侵途径、所述入侵目的及所述行为模式之间的特征关联索引表;
文本转换子单元,用于将所述特征关联索引表转换为md5格式的索引文本;
深度学习子单元,用于采用所述深度学习模型训练所述索引文件,建立全连接层;
模型建立子单元,用于根据所述入侵行为类别处理所述全连接层,得到所述入侵行为检测模型。
作为一种可选的实施方式,在本发明实施例第二方面中,所述系统还包括:
数据采集单元,用于在所述入侵检测单元部署所述入侵行为检测模型,检测针对生产环境的入侵行为之后,采集所述入侵行为检测模型所检测到的入侵实例数据;
变更检测单元,用于分析所述入侵实例数据相对所述入侵行为检测模型中所述入侵数据的特征变更信息;
更新迭代单元,用于采用所述入侵实例数据更新所述入侵数据,对所述入侵数据进行迭代训练。
本发明实施例第三方面公开一种入侵行为检测系统,包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行本发明实施例第一方面公开的一种基于深度学习的入侵行为检测方法。
本发明实施例第四方面公开一种计算机可读存储介质,其存储计算机程序,其中,所述计算机程序使得计算机执行本发明实施例第一方面公开的一种基于深度学习的入侵行为检测方法。
本发明实施例第五方面公开一种计算机程序产品,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。
本发明实施例第六方面公开一种应用发布平台,所述应用发布平台用于发布计算机程序产品,其中,当所述计算机程序产品在计算机上运行时,使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。
与现有技术相比,本发明实施例具有以下有益效果:
本发明实施例中,构建与生产环境相对应的分析沙箱,并采用入侵样本集合入侵分析沙箱,得到入侵数据,进而采用卷积神经网络训练入侵数据,得到入侵行为检测模型并进行部署,检测针对生产环境的入侵行为。本发明实施例能依据代码特征对未知行为进行检测,实时对入侵行为进行甄别并分类,避免对入侵行为的漏放以及对正常行为的误识别,其检测准确率高,实时性强,有效提高了系统安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例公开的一种基于深度学习的入侵行为检测方法的流程示意图;
图2是本发明实施例公开的一种基于深度学习的入侵行为检测系统的结构示意图;
图3是本发明实施例公开的另一种基于深度学习的入侵行为检测系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象,而不是用于描述特定顺序。本发明实施例的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例公开了一种基于深度学习的入侵行为检测方法及系统,能依据代码特征对未知行为进行检测,实时对入侵行为进行甄别并分类,避免对入侵行为的漏放以及对正常行为的误识别,其检测准确率高,实时性强,有效提高了系统安全性。以下结合附图进行详细描述。
实施例一
请参阅图1,图1是本发明实施例公开的一种基于深度学习的入侵行为检测方法的流程示意图。如图1所示,该基于深度学习的入侵行为检测方法可以包括以下步骤。
101、构建与生产环境相对应的分析沙箱。
本发明实施例中,为了准确检测入侵行为对系统所产生的影响,在此建立与生产环境中的系统一致的分析沙箱。
102、采用入侵样本集合入侵分析沙箱,得到入侵数据。
本发明实施例中,入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址。上述入侵数据可用于界定入侵行为所包含代码的结构特征,入侵途径(账号入侵、sql注入、病毒感染等),入侵层级(业务应用层、数据通信层、系统底层等),入侵目的(设置篡改、信道堵塞、数据破坏、数据窃取等),行为模式(篡改、破坏、感染等),馈值地址(窃取数据后的馈值地址)。
本发明实施例中,应用于分析沙箱的入侵样本需要进行定制化构造。
作为一种可选的实施方式,在采用入侵样本入侵分析沙箱,得到入侵数据之前,基于生产环境的系统日志获取历史入侵行为;构造对应于入侵行为类别的虚拟入侵行为;通过随机排列组合算法组合历史入侵行为及虚拟入侵行为,得到入侵样本;选取若干入侵样本作为入侵样本集合。具体地,系统在生产环境的运行过程中,当检测到的入侵行为时会生成对应于入侵行为的系统日志,在此获取历史入侵行为的系统日志;以及,针对已知的各类入侵行为类别,构造对应的虚拟入侵行为,以确保入侵样本可全面涵盖已知的入侵行为。对于历史入侵行为及虚拟入侵行为,采用随机排列组合算法进行组合,得到顺序、数量及频率不同的若干入侵样本;此时再依据系统的防护需求,选取适当的入侵样本组合得到入侵样本集合,从而构造得到高效且针对性强的入侵样本集合。
103、采用卷积神经网络训练入侵数据,得到入侵行为检测模型。
本发明实施例中,基于卷积神经网络对入侵数据进行训练,得到用于识别入侵行为的、特征显著的检测模型。
作为一种可选的实施方式,建立代码特征与入侵途径、入侵目的及行为模式之间的特征关联索引表;将特征关联索引表转换为md5格式的索引文本;采用深度学习模型训练索引文件,建立全连接层;根据入侵行为类别处理所述全连接层,得到入侵行为检测模型。具体地,以代码特征为主,分别在代码特征与入侵途径、代码特征与入侵目的、代码特征与行为模式之间建立特征关联,生成特征关联索引表,在此将特征管理索引表中存在的代码、中间文本及多维度关联索引转换为md5格式的索引文本,以降低处理难度;进而采用深度学习模型对索引文件进行训练,建立得到以代码特征进行联结的全连接层,再根据入侵行为类别对全连接层进行分类处理,得到可根据代码特征及多种入侵数据对入侵行为的类别等信息进行判别的入侵行为检测模型。
104、部署入侵行为检测模型,检测针对生产环境的入侵行为。
本发明实施例中,入侵行为检测模型部署于生产环境中,用于对与系统产生数据交互的未知行为进行检测,并通过未知行为所包含代码的代码特征,采用入侵行为检测模型对未知行为进行检测,实时对入侵行为进行检测分类,相对于现有的针对入侵行为所引发异常数据而进行查验的检测方法,入侵行为检测模型可即时检测出入侵行为,从而提高系统安全性。
本发明实施例中,在部署入侵行为检测模型之后,采用检测到的入侵实例数据对入侵行为检测模型进行更新。
作为一种可选的实施方式,在部署入侵行为检测模型,检测针对生产环境的入侵行为之后,采集入侵行为检测模型所检测到的入侵实例数据;分析入侵实例数据相对入侵行为检测模型中入侵数据的特征变更信息;采用入侵实例数据更新所述入侵数据,对入侵数据进行迭代训练。具体地,采集部署期间入侵行为检测模型所检测到的入侵实例数据,分析此部分入侵实例数据与入侵行为检测模型中入侵数据的特征变更信息,以获知新型入侵手段所产生的特征变化,进而采用入侵实例数据对入侵数据进行更新,采用入侵行为检测模型对入侵数据进行迭代训练,使入侵行为检测模型的数据始终保持数据有效性,无需人工进行迭代。
可见,实施图1所描述的基于深度学习的入侵行为检测方法,能依据代码特征对未知行为进行检测,实时对入侵行为进行甄别并分类,避免对入侵行为的漏放以及对正常行为的误识别,其检测准确率高,实时性强,有效提高了系统安全性。
实施例二
请参阅图2,图2本发明实施例公开的一种基于深度学习的入侵行为检测系统的结构示意图。如图2所示,该入侵行为检测系统可以包括:
沙箱构建单元201,用于构建与生产环境相对应的分析沙箱;
历史行为获取单元202,用于在模拟入侵单元采用入侵样本入侵分析沙箱,得到入侵数据之前,基于生产环境的系统日志获取历史入侵行为;
虚拟行为构造单元203,用于构造对应于入侵行为类别的虚拟入侵行为;
排列组合单元204,用于通过随机排列组合算法组合历史入侵行为及虚拟入侵行为,得到入侵样本;
集合组合单元205,用于选取若干入侵样本作为入侵样本集合;
模拟入侵单元206,用于采用入侵样本集合入侵分析沙箱,得到入侵数据;其中,入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址;
深度学习单元207,用于采用卷积神经网络训练入侵数据,得到入侵行为检测模型;
入侵检测单元208,用于部署入侵行为检测模型,检测针对生产环境的入侵行为;
数据采集单元209,用于在入侵检测单元部署入侵行为检测模型,检测针对生产环境的入侵行为之后,采集入侵行为检测模型所检测到的入侵实例数据;
变更检测单元210,用于分析入侵实例数据相对入侵行为检测模型中入侵数据的特征变更信息;
更新迭代单元211,用于采用入侵实例数据更新入侵数据,对入侵数据进行迭代训练。
其中,深度学习单元207包括:
索引建立子单元2071,用于建立代码特征与入侵途径、入侵目的及行为模式之间的特征关联索引表;
文本转换子单元2072,用于将特征关联索引表转换为md5格式的索引文本;
深度学习子单元2073,用于采用深度学习模型训练索引文件,建立全连接层;
模型建立子单元2074,用于根据入侵行为类别处理全连接层,得到入侵行为检测模型。
作为一种可选的实施方式,在模拟入侵单元206采用入侵样本入侵分析沙箱,得到入侵数据之前,历史行为获取单元202基于生产环境的系统日志获取历史入侵行为;虚拟行为构造单元203构造对应于入侵行为类别的虚拟入侵行为;排列组合单元204通过随机排列组合算法组合历史入侵行为及虚拟入侵行为,得到入侵样本;集合组合单元205选取若干入侵样本作为入侵样本集合。具体地,系统在生产环境的运行过程中,当检测到的入侵行为时会生成对应于入侵行为的系统日志,在此历史行为获取单元202获取历史入侵行为的系统日志;以及,针对已知的各类入侵行为类别,虚拟行为构造单元203构造对应的虚拟入侵行为,以确保入侵样本可全面涵盖已知的入侵行为。对于历史入侵行为及虚拟入侵行为,排列组合单元204采用随机排列组合算法进行组合,得到顺序、数量及频率不同的若干入侵样本;此时集合组合单元205再依据系统的防护需求,选取适当的入侵样本组合得到入侵样本集合,从而构造得到高效且针对性强的入侵样本集合。
作为一种可选的实施方式,索引建立子单元2071建立代码特征与入侵途径、入侵目的及行为模式之间的特征关联索引表;文本转换子单元2072将特征关联索引表转换为md5格式的索引文本;深度学习子单元2073采用深度学习模型训练索引文件,建立全连接层;模型建立子单元2074根据入侵行为类别处理所述全连接层,得到入侵行为检测模型。具体地,以代码特征为主,索引建立子单元2071分别在代码特征与入侵途径、代码特征与入侵目的、代码特征与行为模式之间建立特征关联,生成特征关联索引表,在此文本转换子单元2072将特征管理索引表中存在的代码、中间文本及多维度关联索引转换为md5格式的索引文本,以降低处理难度;进而深度学习子单元2073采用深度学习模型对索引文件进行训练,建立得到以代码特征进行联结的全连接层,模型建立子单元2074再根据入侵行为类别对全连接层进行分类处理,得到可根据代码特征及多种入侵数据对入侵行为的类别等信息进行判别的入侵行为检测模型。
作为一种可选的实施方式,在入侵检测单元208部署入侵行为检测模型,检测针对生产环境的入侵行为之后,数据采集单元209采集入侵行为检测模型所检测到的入侵实例数据;变更检测单元210分析入侵实例数据相对入侵行为检测模型中入侵数据的特征变更信息;更新迭代单元211采用入侵实例数据更新所述入侵数据,对入侵数据进行迭代训练。具体地,数据采集单元209采集部署期间入侵行为检测模型所检测到的入侵实例数据,变更检测单元210分析此部分入侵实例数据与入侵行为检测模型中入侵数据的特征变更信息,以获知新型入侵手段所产生的特征变化,更新迭代单元211进而采用入侵实例数据对入侵数据进行更新,采用入侵行为检测模型对入侵数据进行迭代训练,使入侵行为检测模型的数据始终保持数据有效性,无需人工进行迭代。
可见,实施图2所描述的基于深度学习的入侵行为检测系统,能依据代码特征对未知行为进行检测,实时对入侵行为进行甄别并分类,避免对入侵行为的漏放以及对正常行为的误识别,其检测准确率高,实时性强,有效提高了系统安全性。
实施例三
请参阅图3,图3是本发明实施例公开的另一种入侵行为检测系统的结构示意图。如图3所示,该入侵行为检测系统可以包括:
存储有可执行程序代码的存储器301;
与存储器301耦合的处理器302;
其中,处理器302调用存储器301中存储的可执行程序代码,执行图1的一种基于深度学习的入侵行为检测方法。
本发明实施例公开一种计算机可读存储介质,其存储计算机程序,其中,该计算机程序使得计算机执行图1的一种基于深度学习的入侵行为检测方法。
本发明实施例还公开一种计算机程序产品,其中,当计算机程序产品在计算机上运行时,使得计算机执行如以上各方法实施例中的方法的部分或全部步骤。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质包括只读存储器(read-onlymemory,rom)、随机存储器(randomaccessmemory,ram)、可编程只读存储器(programmableread-onlymemory,prom)、可擦除可编程只读存储器(erasableprogrammablereadonlymemory,eprom)、一次可编程只读存储器(one-timeprogrammableread-onlymemory,otprom)、电子抹除式可复写只读存储器(electrically-erasableprogrammableread-onlymemory,eeprom)、只读光盘(compactdiscread-onlymemory,cd-rom)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
以上对本发明实施例公开的一种基于深度学习的入侵行为检测方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
1.一种基于深度学习的入侵行为检测方法,其特征在于,所述方法包括:
构建与生产环境相对应的分析沙箱;
采用入侵样本集合入侵所述分析沙箱,得到入侵数据;其中,所述入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址;
采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型;
部署所述入侵行为检测模型,检测针对生产环境的入侵行为。
2.根据权利要求1所述的方法,其特征在于,在所述采用入侵样本入侵所述分析沙箱,得到入侵数据之前,所述方法还包括:
基于生产环境的系统日志获取历史入侵行为;
构造对应于入侵行为类别的虚拟入侵行为;
通过随机排列组合算法组合所述历史入侵行为及所述虚拟入侵行为,得到入侵样本;
选取若干所述入侵样本作为所述入侵样本集合。
3.根据权利要求2所述的方法,其特征在于,所述采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型,包括:
建立所述代码特征与所述入侵途径、所述入侵目的及所述行为模式之间的特征关联索引表;
将所述特征关联索引表转换为md5格式的索引文本;
采用所述深度学习模型训练所述索引文件,建立全连接层;
根据所述入侵行为类别处理所述全连接层,得到所述入侵行为检测模型。
4.根据权利要求1~3任一项所述的方法,其特征在于,在所述部署所述入侵行为检测模型,检测针对生产环境的入侵行为之后,所述方法还包括:
采集所述入侵行为检测模型所检测到的入侵实例数据;
分析所述入侵实例数据相对所述入侵行为检测模型中所述入侵数据的特征变更信息;
采用所述入侵实例数据更新所述入侵数据,对所述入侵数据进行迭代训练。
5.一种基于深度学习的入侵行为检测系统,其特征在于,所述系统包括:
沙箱构建单元,用于构建与生产环境相对应的分析沙箱;
模拟入侵单元,用于采用入侵样本集合入侵所述分析沙箱,得到入侵数据;其中,所述入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址;
深度学习单元,用于采用卷积神经网络训练所述入侵数据,得到入侵行为检测模型;
入侵检测单元,用于部署所述入侵行为检测模型,检测针对生产环境的入侵行为。
6.根据权利要求5所述的系统,其特征在于,所述系统还包括:
历史行为获取单元,用于在所述模拟入侵单元采用入侵样本入侵所述分析沙箱,得到入侵数据之前,基于生产环境的系统日志获取历史入侵行为;
虚拟行为构造单元,用于构造对应于入侵行为类别的虚拟入侵行为;
排列组合单元,用于通过随机排列组合算法组合所述历史入侵行为及所述虚拟入侵行为,得到入侵样本;
集合组合单元,用于选取若干所述入侵样本作为所述入侵样本集合。
7.根据权利要求6所述的系统,其特征在于,所述深度学习单元包括:
索引建立子单元,用于建立所述代码特征与所述入侵途径、所述入侵目的及所述行为模式之间的特征关联索引表;
文本转换子单元,用于将所述特征关联索引表转换为md5格式的索引文本;
深度学习子单元,用于采用所述深度学习模型训练所述索引文件,建立全连接层;
模型建立子单元,用于根据所述入侵行为类别处理所述全连接层,得到所述入侵行为检测模型。
8.根据权利要求5~7任一项所述的系统,其特征在于,所述系统还包括:
数据采集单元,用于在所述入侵检测单元部署所述入侵行为检测模型,检测针对生产环境的入侵行为之后,采集所述入侵行为检测模型所检测到的入侵实例数据;
变更检测单元,用于分析所述入侵实例数据相对所述入侵行为检测模型中所述入侵数据的特征变更信息;
更新迭代单元,用于采用所述入侵实例数据更新所述入侵数据,对所述入侵数据进行迭代训练。
9.根据权利要求5~8所述的基于深度学习的入侵行为检测系统,其特征在于,所述系统还包括:
存储有可执行程序代码的存储器;
与所述存储器耦合的处理器;
所述处理器调用所述存储器中存储的所述可执行程序代码,执行权利要求1~4任一项所述的一种基于深度学习的入侵行为检测方法。
10.一种计算机可读存储介质,其存储计算机程序,其中,所述计算机程序使得计算机执行权利要求1~4任一项所述的一种多基于深度学习的入侵行为检测方法。
技术总结