[发明专利]网络威胁检测方法和装置

权利要求书

1.一种网络威胁检测方法，其特征在于，包括：

根据预置的威胁规则库，检测得到威胁事件；所述威胁规则库中的各个规则具有威胁分数，每个规则包含多个特征，所述威胁分数可根据规则中的具体特征进行计算，获取判定发生所述威胁事件所依据的规则的威胁分数，作为所述威胁事件的威胁分数；

将所述威胁事件输入智能修正神经网络，获取所述威胁事件的修正分数；

根据所述修正分数，对所述威胁事件进行修正，得到最终的威胁检测结果；

根据所述修正分数，对所述威胁事件进行修正，得到最终的威胁检测结果的步骤包括：

取所述修正分数与所述威胁分数的平均值；

在所述平均值低于预置的事件成立阈值时，判定所述威胁事件属于检测错误，最终的威胁检测结果为无威胁事件，

在所述平均值达到所述预置的事件成立阈值时，判定所述威胁事件属于检测正确，最终的威胁检测结果为发生所述威胁事件。

2.根据权利要求1所述的网络威胁检测方法，其特征在于，所述预置的威胁规则库中包含多种攻击原因对应的规则，每个攻击原因对应至少一个规则，

根据预置的威胁规则库，检测得到威胁事件的步骤包括：

在发生符合所述威胁规则库中的规则的事件时，判定发生与所述规则对应的攻击原因相关联的威胁事件。

3.根据权利要求1或2所述的网络威胁检测方法，其特征在于，根据预置的威胁规则库，检测得到威胁事件的步骤之前，还包括：

收集多个根据所述威胁规则库检测得到的威胁事件；

获取针对收集得到的所述威胁事件的反馈标注，反馈标注指示所述威胁事件正确或错误；

根据所述反馈标注，生成训练样本；

使用所述训练样本训练得到所述智能修正神经网络。

4.根据权利要求3所述的网络威胁检测方法，其特征在于，根据所述反馈标注，生成训练样本的步骤包括：

为所述反馈标注指示正确的威胁事件添加第一预测分数，为所述反馈标注指示错误的威胁事件添加第二预测分数，所述第一预测分数大于所述第二预测分数；

对所述威胁事件的各项行为特征进行特征工程转化得到特征数据；

将针对同一域名下同一攻击原因的多个威胁事件的各项行为特征的特征数据、威胁事件对应的第一预测分数或第二预测分数构成作为训练样本的输入矩阵。

5.根据权利要求3所述的网络威胁检测方法，其特征在于，收集多个根据所述威胁规则库检测得到的威胁事件的步骤包括:

收集威胁分数较低的威胁事件。

6.根据权利要求4所述的网络威胁检测方法，其特征在于，将所述威胁事件输入智能修正神经网络，获取所述威胁事件的修正分数的步骤包括：

将所述威胁事件的各项行为特征输入所述智能修正神经网络，获取所述威胁事件的修正分数，所述修正分数大于等于所述第二预测分数且小于等于所述第一预测分数。

7.根据权利要求4所述的网络威胁检测方法，其特征在于，该方法还包括：

使用所述智能修正神经网络预测所述训练样本中各威胁事件的修正分数；

取各威胁事件的预测误差值的平均值，所述预测误差值为一威胁事件的第一预测分数或第二预测分数与修正分数差值的绝对值；

以基准分数减去所述平均值的计算结果作为所述智能修正神经网络的成熟度。