本發(fā)明提供一種建立數(shù)據(jù)檢測(cè)模型的方法、數(shù)據(jù)檢測(cè)方法及設(shè)備，其中建立數(shù)據(jù)檢測(cè)模型的方法包括：獲取入侵流量樣本、流量行為規(guī)則以及入侵流量樣本的標(biāo)記信息，標(biāo)記信息用于表示入侵流量樣本的性質(zhì)；利用入侵流量樣本、流量行為規(guī)則以及入侵流量樣本的標(biāo)記信息對(duì)機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，直至機(jī)器學(xué)習(xí)模型對(duì)入侵流量樣本識(shí)別準(zhǔn)確率達(dá)到預(yù)設(shè)條件，其中機(jī)器學(xué)習(xí)模型包括存儲(chǔ)模塊、關(guān)聯(lián)模塊和檢測(cè)模塊，入侵流量樣本分別作為關(guān)聯(lián)模塊和檢測(cè)模塊的輸入數(shù)據(jù)，存儲(chǔ)模塊用于存儲(chǔ)行為規(guī)則信息，關(guān)聯(lián)模塊對(duì)入侵流量樣本與行為規(guī)則信息進(jìn)行匹配度計(jì)算以輸出相關(guān)程度信息，檢測(cè)模塊根據(jù)入侵流量樣本和相關(guān)程度信息輸出入侵流量樣本的性質(zhì)信息。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體涉及一種建立數(shù)據(jù)檢測(cè)模型的方法、數(shù)據(jù)檢測(cè)方法及設(shè)備。

背景技術(shù)

互聯(lián)網(wǎng)中普遍存在惡意數(shù)據(jù)，這些惡意數(shù)據(jù)通常用于入侵用戶的電子設(shè)備，現(xiàn)有的入侵檢測(cè)系統(tǒng)主要有兩類：一是基于特征的檢測(cè)，利用惡意數(shù)據(jù)攻擊特征庫(kù)來(lái)檢測(cè)網(wǎng)絡(luò)中的入侵，二是基于異常的檢測(cè)，根據(jù)歷史網(wǎng)絡(luò)行為規(guī)律來(lái)找出當(dāng)前不合規(guī)律即異常行為。

基于特征的檢測(cè)中，每個(gè)攻擊特征都用規(guī)則或規(guī)則鏈表示，它的基本工作流程是先從網(wǎng)絡(luò)中抓取流量數(shù)據(jù)包，然后分析流量包中的內(nèi)容，和規(guī)則集相對(duì)照，當(dāng)數(shù)據(jù)包內(nèi)容完全滿足規(guī)則定義時(shí)則觸發(fā)規(guī)則對(duì)應(yīng)的動(dòng)作，例如記錄、警報(bào)等。這種方法需要事先建立攻擊特征庫(kù)，由規(guī)則來(lái)表示攻擊特征，因此這種方法適用于已知其攻擊特征的攻擊類型，不能檢測(cè)到未知攻擊。

基于異常的檢測(cè)通常是使用統(tǒng)計(jì)或機(jī)器學(xué)習(xí)的方法，對(duì)已經(jīng)標(biāo)記好的歷史數(shù)據(jù)進(jìn)行學(xué)習(xí)建模，然后對(duì)抓取網(wǎng)絡(luò)流量包獲取該時(shí)刻流量或該時(shí)間段流量的特征，依據(jù)模型判斷流量是否為異常或攻擊。這種方法根據(jù)歷史網(wǎng)絡(luò)行為進(jìn)行建模來(lái)區(qū)分正常和異常行為，但網(wǎng)絡(luò)行為比較復(fù)雜，因此這種方法誤報(bào)率比較高，經(jīng)常會(huì)把正常流量判定為攻擊，發(fā)出警報(bào)后仍需要人工做大量的驗(yàn)證工作。

由此可見(jiàn)，現(xiàn)有的數(shù)據(jù)檢測(cè)方式準(zhǔn)確性較低。

發(fā)明內(nèi)容

本發(fā)明要解決的是現(xiàn)有的數(shù)據(jù)檢測(cè)方式準(zhǔn)確性低的問(wèn)題。

有鑒于此，第一方面，本發(fā)明提供一種建立數(shù)據(jù)檢測(cè)模型的方法，包括：

獲取入侵流量樣本、流量行為規(guī)則以及所述入侵流量樣本的標(biāo)記信息，所述標(biāo)記信息用于表示所述入侵流量樣本的性質(zhì)；

利用入侵流量樣本、流量行為規(guī)則以及所述入侵流量樣本的標(biāo)記信息對(duì)機(jī)器學(xué)習(xí)模型進(jìn)行訓(xùn)練，直至所述機(jī)器學(xué)習(xí)模型對(duì)入侵流量樣本識(shí)別準(zhǔn)確率達(dá)到預(yù)設(shè)條件，其中所述機(jī)器學(xué)習(xí)模型包括存儲(chǔ)模塊、關(guān)聯(lián)模塊和檢測(cè)模塊，所述入侵流量樣本分別作為關(guān)聯(lián)模塊和檢測(cè)模塊的輸入數(shù)據(jù)，存儲(chǔ)模塊用于存儲(chǔ)所述行為規(guī)則信息，關(guān)聯(lián)模塊對(duì)入侵流量樣本與行為規(guī)則信息進(jìn)行匹配度計(jì)算以輸出相關(guān)程度信息，檢測(cè)模塊根據(jù)入侵流量樣本和相關(guān)程度信息輸出入侵流量樣本的性質(zhì)信息。

優(yōu)選地，所述入侵流量樣本采用特征化向量進(jìn)行表示。

優(yōu)選地，所述流量行為規(guī)則為根據(jù)數(shù)據(jù)行為規(guī)則鏈建立的矩陣。

優(yōu)選地，所述關(guān)聯(lián)模塊的數(shù)量為多個(gè)，多個(gè)關(guān)聯(lián)模塊分別利用所述特征化向量和相應(yīng)的行為規(guī)則信息進(jìn)行訓(xùn)練，使多個(gè)關(guān)聯(lián)模塊分別輸出所述入侵流量樣本與行為規(guī)則信息的關(guān)聯(lián)程度信息。

第二方面，本發(fā)明提供一種數(shù)據(jù)檢測(cè)方法，包括：獲取網(wǎng)絡(luò)流量信息；

根據(jù)所述網(wǎng)絡(luò)流量信息確定所述網(wǎng)絡(luò)流量信息與預(yù)設(shè)行為規(guī)則的關(guān)聯(lián)程度信息；

根據(jù)所述網(wǎng)絡(luò)流量信息和所述關(guān)聯(lián)程度信息確定所述網(wǎng)絡(luò)流量信息的性質(zhì)。

優(yōu)選地，所述根據(jù)所述網(wǎng)絡(luò)流量信息確定所述網(wǎng)絡(luò)流量信息與預(yù)設(shè)行為規(guī)則的關(guān)聯(lián)程度信息的步驟，包括：