[发明专利]输入输出请求行为的检测方法及装置、存储介质

说明书

一种输入输出请求行为的检测方法及装置、计算机可读存储介质，所述方法包括步骤：对网络驱动进行过滤，截取网络驱动中的输入输出请求行为；对截取到的输入输出请求行为中的信息进行标记并生成概念(11,121)；根据已训练的概念格模型，对生成的概念进行概念格的预构造并判断是否会生成次顶层概念；若生成次顶层概念(12)，则生成是否通过或者拒绝所述输入输出请求行为的选择信息，并接收用户的选择操作作出相应的处理(13)。本发明通过构造的概念格模型，合法的IO请求行为被允许；概念格模型建好后可以指导异常IO请求行为的走向，并且可以通过用户决定进行自我学习和概念格结构优化。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种输入输出请求行为的检测方法及装置、计算机可读存储介质。

背景技术

随着互联网的发展，网络安全越来越成为一个重大的问题，web(World Wide Web，全球广域网或万维网)攻击、ARP(Address Resolution Protocol，地址解析协议)攻击、SYN(Synchronous，同步)攻击等多种网络攻击形式层出不穷，严重损害了互联网的正常使用。

因此，如何对层出不穷的网络攻击进行分析、识别以及过滤，成为了一个非常重要的研究课题。

发明内容

本发明的主要目的在于提出一种输入输出请求行为的检测方法及装置、计算机可读存储介质，旨在解决现有技术存在的问题。

为实现上述目的，本发明实施例第一方面提供一种输入输出请求行为的检测方法，所述方法包括步骤：

对网络驱动进行过滤，截取网络驱动中的输入输出请求行为；对截取到的输入输出请求行为中的信息进行标记并生成概念；

根据已训练的概念格模型，对生成的概念进行概念格的预构造并判断是否会生成次顶层概念；

若生成次顶层概念，则生成是否通过或者拒绝所述输入输出请求行为的选择信息，并接收用户的选择操作作出相应的处理。

可选的，所述输入输出请求行为中的信息包括输入输出请求包包体本身、源地址信息、目的地址信息、输入输出请求发生时间、是否为中间路由包中的一种或多种。

可选的，所述已训练的概念格模型通过以下步骤实现：

对网络驱动进行过滤，截取网络驱动中的输入输出请求行为；对截取到的输入输出请求行为中的信息进行标记并生成概念；

将生成的概念中外延最大内涵最小的概念记为顶层概念、外延最小内涵最大概念记为底层概念，构建所述顶层概念和所述底层概念的父子关系并形成概念格；

选择一个生成的概念，根据形成的概念格自顶向下进行外延例化、内涵泛化的工作并生成新概念；针对生成的新概念，调整概念之间的父子关系；

重复上一个步骤，直至所有生成的概念完成操作并生成最终的概念格。

可选的，所述自顶向下进行外延例化、内涵泛化的工作包括：

自顶向下进行外延相交内涵相并操作。

可选的，所述接收用户的选择操作作出相应的处理包括：

若接收的用户的选择操作为通过所述输入输出请求行为，则将生成的概念加入到已训练的概念格模型中，并形成新的概念格模型；

若接收的用户的选择操作为拒绝所述输入输出请求行为，则阻止所述输入输出请求行为的执行线程并向用户界面申报。

其次，为实现上述目的，本发明实施例第二方面提供一种输入输出请求行为的检测装置，所述装置包括过滤模块、规则识别判断模块以及行为准入模块；