[发明专利]网络攻击检测方法和装置

说明书

本发明提出一种网络攻击检测方法和装置，通过特征模块依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到网络会话样本的特征之后，标注模块利用预先训练的隐马尔可夫模型，采用隐状态对网络会话样本的特征进行词性标注，从而起到解析的作用，处理模块将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定该网络会话样本是否存在网络攻击，由于无需人工进行协议解析，解决了现有技术中从样本数据中提取特征时，需要依赖于人工经验，且解析效率较低的技术问题。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种网络攻击检测方法和装置。

背景技术

在互联网技术的发展过程中，网络攻击是影响互联网安全性的一个主要问题。传统的入侵检测系统通常采用手动编码生成判定规则的方式，这种传统方式误报率比较低，但是在网络攻击越来越复杂的情况下，则无法完成检测这种新型攻击的检测任务。

因此，现有技术中开始利用机器学习辨别是否为攻击，甚至可以利用机器学习进行攻击类型的多分类。但在进行机器学习的过程中，需要执行从样本数据中提取特征，也就是解析的步骤，进而才能够根据特征进行机器学习的分类步骤，实现网络攻击的检测。解析的步骤在现有技术中，通常是通过人工经验编写协议解析逻辑，据此进行特征提取。显然，这种方式不仅依赖于人工经验，而且费时费力，效率较低。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本发明的第一个目的在于提出一种网络攻击检测方法，以实现解决现有技术中从样本数据中提取特征时，不仅需要依赖于人工经验，而且费时费力，解析效率较低的技术问题。

本发明的第二个目的在于提出一种网络攻击检测装置。

本发明的第三个目的在于提出另一种网络攻击检测装置。

为达上述目的，本发明第一方面实施例提出了一种网络攻击检测方法，包括：

依据预先设定的关键字集合，对网络会话样本进行关键词匹配，以得到所述网络会话样本的特征；

利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注；

将进行词性标注后的网络会话样本输入预先训练的分类模型，进行分类处理，以判定所述网络会话样本是否存在网络攻击。

作为本发明第一方面的第一种可能的实现方式，所述依据预先设定的关键字集合，对网络会话样本进行关键词匹配，包括：

根据预先设定的关键字集合中用于描述基本协议特征的协议关键字，以及用于描述攻击特征的攻击关键字，对所述网络会话样本进行关键字匹配。

作为本发明第一方面的第二种可能的实现方式，所述对所述网络会话样本进行关键字匹配之后，还包括：

采用关键字的序号标识所述网络会话样本中匹配中的特征，以及采用字符的取值标识所述网络会话样本中未匹配中的字符，得到数字序列形式的网络会话样本。

作为本发明第一方面的第三种可能的实现方式，所述利用预先训练的隐马尔可夫模型，采用隐状态对所述网络会话样本的特征进行词性标注之前，还包括：

构建所述隐马尔可夫模型；所述隐马尔可夫模型的参数包括扩展参数，所述扩展参数为用于指示各关键字与各分类处理结果之间互信息的信息分布矩阵。

作为本发明第一方面的第四种可能的实现方式，所述信息分布矩阵C＝{c_j(k)}，其中，c_j(k)表示第k个特征在j个隐状态下获得的分类信息量比例；