技術領域

本發明實施例涉及網絡安全技術領域，具體涉及一種網絡攻擊串檢測方法及裝置。

背景技術

隨著互聯網的快速發展，給人們的生活帶來了極大的便利，但同時也帶來了新的安全挑戰，當今的網絡安全問題已經不容忽視。早期的網絡大部分為C/S結構，給用戶提供信息服務。而今天大部分都實現了B/S結構，用戶打開網頁就可以購物，打開網站就可以購買股票、彩票甚至是捐助希望工程。當Web應用越來越為豐富的同時，Web服務器以其蘊含的高價值數據、較大影響力逐漸成為主要攻擊目標。網絡安全事件頻繁發生，尤其是針對網絡入侵導致敏感數據泄漏或網頁篡改，造成了惡劣的社會輿論影響。

現有方法中針對網絡攻擊，主要采用字符串匹配算法，基于特定的規則，對網絡中傳輸的字符串進行匹配，在一定程度上避免了部分惡意的網絡攻擊。

在實現本發明實施例的過程中，發明人發現現有的方法基于特定規則進行字符串匹配，容易讓攻擊者發現匹配規律，造成網絡攻擊的漏報和誤報。

發明內容

由于現有方法存在上述問題，本發明實施例提出一種網絡攻擊串檢測方法及裝置。

第一方面，本發明實施例提出一種網絡攻擊串檢測方法，包括：

獲取網絡字符串，對所述網絡字符串進行分詞處理，得到若干個分詞字符串；

將各分詞字符串分別輸入正常檢測模型，得到若干個對應的正常匹配值，并根據所述若干個對應的正常匹配值得到所述網絡字符串的正常檢測值；

將各分詞字符串分別輸入異常檢測模型，得到若干個對應的異常匹配值，并根據所述若干個對應的異常匹配值得到所述網絡字符串的異常檢測值；

若判斷獲知所述異常檢測值大于所述正常檢測值，則確定所述網絡字符串為網絡攻擊串。

可選地，所述將各分詞字符串分別輸入異常檢測模型，得到若干個對應的異常匹配值，并根據所述若干個對應的異常匹配值得到所述網絡字符串的異常檢測值，具體包括：

將各分詞字符串分別輸入異常檢測模型，得到若干個對應的異常匹配值；

若判斷獲知相鄰的分詞字符串均為所述異常檢測模型中的預設攻擊串，則對所述相鄰的分詞字符串對應的異常匹配值進行加權計算；

根據各分詞字符串對應的異常匹配值得到所述網絡字符串的異常檢測值。

可選地，所述方法還包括：

根據正常樣本數據構建所述正常檢測模型，并根據異常樣本數據構建所述異常檢測模型。

可選地，所述方法還包括：

若判斷獲知所述異常檢測值小于或等于所述正常檢測值，則確定所述網絡字符串為正常網絡串。

第二方面，本發明實施例還提出一種網絡攻擊串檢測裝置，包括：

字符串分詞模塊，用于獲取網絡字符串，對所述網絡字符串進行分詞處理，得到若干個分詞字符串；

正常檢測模塊，用于將各分詞字符串分別輸入正常檢測模型，得到若干個對應的正常匹配值，并根據所述若干個對應的正常匹配值得到所述網絡字符串的正常檢測值；

異常檢測模塊，用于將各分詞字符串分別輸入異常檢測模型，得到若干個對應的異常匹配值，并根據所述若干個對應的異常匹配值得到所述網絡字符串的異常檢測值；

攻擊串確定模塊，用于若判斷獲知所述異常檢測值大于所述正常檢測值，則確定所述網絡字符串為網絡攻擊串。

可選地，所述異常檢測模塊具體包括：

分詞字符串匹配單元，用于將各分詞字符串分別輸入異常檢測模型，得到若干個對應的異常匹配值；

匹配值加權單元，用于若判斷獲知相鄰的分詞字符串均為所述異常檢測模型中的預設攻擊串，則對所述相鄰的分詞字符串對應的異常匹配值進行加權計算；

異常檢測單元，用于根據各分詞字符串對應的異常匹配值得到所述網絡字符串的異常檢測值。

可選地，所述裝置還包括：

模型構建模塊，用于根據正常樣本數據構建所述正常檢測模型，并根據異常樣本數據構建所述異常檢測模型。

可選地，所述裝置還包括：

正常檢測模塊，用于若判斷獲知所述異常檢測值小于或等于所述正常檢測值，則確定所述網絡字符串為正常網絡串。

第三方面，本發明實施例還提出一種電子設備，包括：

至少一個處理器；以及

與所述處理器通信連接的至少一個存儲器，其中：

所述存儲器存儲有可被所述處理器執行的程序指令，所述處理器調用所述程序指令能夠執行上述方法。