本申請公開了一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別方法，包括：獲取目標網(wǎng)站的網(wǎng)絡空間數(shù)據(jù)；利用預設的正則表達式對網(wǎng)絡空間數(shù)據(jù)進行匹配，得出第一惡意DNS數(shù)據(jù)；刪除網(wǎng)絡空間數(shù)據(jù)中的第一惡意DNS數(shù)據(jù)，得到剩余的網(wǎng)絡空間數(shù)據(jù)，并將剩余的網(wǎng)絡空間數(shù)據(jù)輸入至預先訓練出的網(wǎng)絡攻擊識別模型中，得出第二惡意DNS數(shù)據(jù)；結(jié)合第一惡意DNS數(shù)據(jù)和第二惡意DNS數(shù)據(jù)確定出目標網(wǎng)站是否存在網(wǎng)絡攻擊行為。本方法能夠更精準地識別網(wǎng)絡攻擊行為，相對保障網(wǎng)站的安全性，并且能夠提高識別網(wǎng)絡攻擊行為的效率。本申請還公開了一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別裝置、設備及計算機可讀存儲介質(zhì)，均具有上述有益效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡安全領(lǐng)域，特別涉及一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別方法、裝置、設備及計算機可讀存儲介質(zhì)。

背景技術(shù)

隨著信息技術(shù)的快速發(fā)展，網(wǎng)絡安全問題越來越嚴峻。現(xiàn)有技術(shù)中，為了識別目標網(wǎng)站是否存在網(wǎng)絡攻擊行為，一般是預先根據(jù)操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、核心應用軟件漏洞、路由器/交換機漏洞等漏洞的利用特征設置對應的正則表達式，然后獲取目標網(wǎng)站的網(wǎng)絡空間數(shù)據(jù)，利用正則表達式對獲取到的網(wǎng)絡空間數(shù)據(jù)進行匹配，若存在與正則表達式相匹配的網(wǎng)絡空間數(shù)據(jù)時，即目標網(wǎng)站存在網(wǎng)絡攻擊行為。

但是，惡意攻擊者會利用正則表達式的性質(zhì)，通過故意修改攻擊指令的字符來規(guī)避正則表達式的匹配規(guī)則，從而達到網(wǎng)絡攻擊的目的，也就是說，現(xiàn)有技術(shù)中通過正則表達式來實現(xiàn)識別網(wǎng)絡攻擊行為的方式，得出的識別結(jié)果不夠準確，使得目標網(wǎng)站仍存在被攻擊的風險。

因此，如何更精準地識別網(wǎng)絡攻擊行為，相對保障網(wǎng)站的安全性，是本領(lǐng)域技術(shù)人員目前需要解決的技術(shù)問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別方法，能夠更精準地識別網(wǎng)絡攻擊行為，相對保障網(wǎng)站的安全性，并且能夠提高識別網(wǎng)絡攻擊行為的效率；本發(fā)明的另一目的是提供一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別裝置、設備及計算機可讀存儲介質(zhì)，均具有上述有益效果。

為解決上述技術(shù)問題，本發(fā)明提供一種基于強化學習Dyna框架的網(wǎng)絡攻擊行為識別方法，包括：

獲取目標網(wǎng)站的網(wǎng)絡空間數(shù)據(jù)；

利用預設的正則表達式對所述網(wǎng)絡空間數(shù)據(jù)進行匹配，得出第一惡意DNS數(shù)據(jù)；

刪除所述網(wǎng)絡空間數(shù)據(jù)中的所述第一惡意DNS數(shù)據(jù)，得到剩余的網(wǎng)絡空間數(shù)據(jù)，并將所述剩余的網(wǎng)絡空間數(shù)據(jù)輸入至預先訓練出的網(wǎng)絡攻擊識別模型中，得出第二惡意DNS數(shù)據(jù)；

結(jié)合所述第一惡意DNS數(shù)據(jù)和所述第二惡意DNS數(shù)據(jù)確定出所述目標網(wǎng)站是否存在網(wǎng)絡攻擊行為。

優(yōu)選地，所述利用預設的正則表達式對所述網(wǎng)絡空間數(shù)據(jù)進行匹配，得出第一惡意DNS數(shù)據(jù)的過程，具體包括：

獲取預先確定出的威脅情報庫，并將所述威脅情報庫中的所述惡意域名和/或所述惡意IP進行MD5加密，得到第一MD5加密數(shù)據(jù)；

將所述網(wǎng)絡空間數(shù)據(jù)中的DNS數(shù)據(jù)進行MD5加密，得到第二MD5加密數(shù)據(jù)；

利用所述正則表達式對所述第一MD5加密數(shù)據(jù)與所述第二MD5加密數(shù)據(jù)進行匹配，并將與所述第一MD5加密數(shù)據(jù)匹配的所述第二MD5加密數(shù)據(jù)對應的網(wǎng)絡空間數(shù)據(jù)確定為所述第一惡意DNS數(shù)據(jù)。

優(yōu)選地，確定出所述威脅情報庫的過程，具體包括：

預先將帶標簽的歷史DNS數(shù)據(jù)通過有監(jiān)督學習算法進行學習訓練，得出數(shù)據(jù)識別模型；

將當前DNS數(shù)據(jù)輸入至所述數(shù)據(jù)識別模型中，判斷所述當前DNS數(shù)據(jù)是否為惡意DNS數(shù)據(jù)；

若是，則解析所述當前DNS數(shù)據(jù)得出對應的惡意域名和/或惡意IP地址，確定出所述威脅情報庫。