本發(fā)明提出一種網(wǎng)絡(luò)攻擊檢測方法和裝置，通過特征模塊依據(jù)預(yù)先設(shè)定的關(guān)鍵字集合，對網(wǎng)絡(luò)會話樣本進(jìn)行關(guān)鍵詞匹配，以得到網(wǎng)絡(luò)會話樣本的特征之后，標(biāo)注模塊利用預(yù)先訓(xùn)練的隱馬爾可夫模型，采用隱狀態(tài)對網(wǎng)絡(luò)會話樣本的特征進(jìn)行詞性標(biāo)注，從而起到解析的作用，處理模塊將進(jìn)行詞性標(biāo)注后的網(wǎng)絡(luò)會話樣本輸入預(yù)先訓(xùn)練的分類模型，進(jìn)行分類處理，以判定該網(wǎng)絡(luò)會話樣本是否存在網(wǎng)絡(luò)攻擊，由于無需人工進(jìn)行協(xié)議解析，解決了現(xiàn)有技術(shù)中從樣本數(shù)據(jù)中提取特征時，需要依賴于人工經(jīng)驗，且解析效率較低的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種網(wǎng)絡(luò)攻擊檢測方法和裝置。

背景技術(shù)

在互聯(lián)網(wǎng)技術(shù)的發(fā)展過程中，網(wǎng)絡(luò)攻擊是影響互聯(lián)網(wǎng)安全性的一個主要問題。傳統(tǒng)的入侵檢測系統(tǒng)通常采用手動編碼生成判定規(guī)則的方式，這種傳統(tǒng)方式誤報率比較低，但是在網(wǎng)絡(luò)攻擊越來越復(fù)雜的情況下，則無法完成檢測這種新型攻擊的檢測任務(wù)。

因此，現(xiàn)有技術(shù)中開始利用機(jī)器學(xué)習(xí)辨別是否為攻擊，甚至可以利用機(jī)器學(xué)習(xí)進(jìn)行攻擊類型的多分類。但在進(jìn)行機(jī)器學(xué)習(xí)的過程中，需要執(zhí)行從樣本數(shù)據(jù)中提取特征，也就是解析的步驟，進(jìn)而才能夠根據(jù)特征進(jìn)行機(jī)器學(xué)習(xí)的分類步驟，實現(xiàn)網(wǎng)絡(luò)攻擊的檢測。解析的步驟在現(xiàn)有技術(shù)中，通常是通過人工經(jīng)驗編寫協(xié)議解析邏輯，據(jù)此進(jìn)行特征提取。顯然，這種方式不僅依賴于人工經(jīng)驗，而且費時費力，效率較低。

發(fā)明內(nèi)容

本發(fā)明旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問題之一。

為此，本發(fā)明的第一個目的在于提出一種網(wǎng)絡(luò)攻擊檢測方法，以實現(xiàn)解決現(xiàn)有技術(shù)中從樣本數(shù)據(jù)中提取特征時，不僅需要依賴于人工經(jīng)驗，而且費時費力，解析效率較低的技術(shù)問題。

本發(fā)明的第二個目的在于提出一種網(wǎng)絡(luò)攻擊檢測裝置。

本發(fā)明的第三個目的在于提出另一種網(wǎng)絡(luò)攻擊檢測裝置。

為達(dá)上述目的，本發(fā)明第一方面實施例提出了一種網(wǎng)絡(luò)攻擊檢測方法，包括：

依據(jù)預(yù)先設(shè)定的關(guān)鍵字集合，對網(wǎng)絡(luò)會話樣本進(jìn)行關(guān)鍵詞匹配，以得到所述網(wǎng)絡(luò)會話樣本的特征；

利用預(yù)先訓(xùn)練的隱馬爾可夫模型，采用隱狀態(tài)對所述網(wǎng)絡(luò)會話樣本的特征進(jìn)行詞性標(biāo)注；

將進(jìn)行詞性標(biāo)注后的網(wǎng)絡(luò)會話樣本輸入預(yù)先訓(xùn)練的分類模型，進(jìn)行分類處理，以判定所述網(wǎng)絡(luò)會話樣本是否存在網(wǎng)絡(luò)攻擊。

作為本發(fā)明第一方面的第一種可能的實現(xiàn)方式，所述依據(jù)預(yù)先設(shè)定的關(guān)鍵字集合，對網(wǎng)絡(luò)會話樣本進(jìn)行關(guān)鍵詞匹配，包括：

根據(jù)預(yù)先設(shè)定的關(guān)鍵字集合中用于描述基本協(xié)議特征的協(xié)議關(guān)鍵字，以及用于描述攻擊特征的攻擊關(guān)鍵字，對所述網(wǎng)絡(luò)會話樣本進(jìn)行關(guān)鍵字匹配。

作為本發(fā)明第一方面的第二種可能的實現(xiàn)方式，所述對所述網(wǎng)絡(luò)會話樣本進(jìn)行關(guān)鍵字匹配之后，還包括：

采用關(guān)鍵字的序號標(biāo)識所述網(wǎng)絡(luò)會話樣本中匹配中的特征，以及采用字符的取值標(biāo)識所述網(wǎng)絡(luò)會話樣本中未匹配中的字符，得到數(shù)字序列形式的網(wǎng)絡(luò)會話樣本。

作為本發(fā)明第一方面的第三種可能的實現(xiàn)方式，所述利用預(yù)先訓(xùn)練的隱馬爾可夫模型，采用隱狀態(tài)對所述網(wǎng)絡(luò)會話樣本的特征進(jìn)行詞性標(biāo)注之前，還包括：

構(gòu)建所述隱馬爾可夫模型；所述隱馬爾可夫模型的參數(shù)包括擴(kuò)展參數(shù)，所述擴(kuò)展參數(shù)為用于指示各關(guān)鍵字與各分類處理結(jié)果之間互信息的信息分布矩陣。

作為本發(fā)明第一方面的第四種可能的實現(xiàn)方式，所述信息分布矩陣C＝{c_j(k)}，其中，c_j(k)表示第k個特征在j個隱狀態(tài)下獲得的分類信息量比例；