[发明专利]一种基于深度学习的入侵行为检测方法及系统

说明书

本发明实施例涉及网络安全技术领域，公开了一种基于深度学习的入侵行为检测方法及系统，该方法包括：构建与生产环境相对应的分析沙箱，并采用入侵样本集合入侵分析沙箱，得到入侵数据，进而采用卷积神经网络训练入侵数据，得到入侵行为检测模型并进行部署，检测针对生产环境的入侵行为。本发明实施例能依据代码特征对未知行为进行检测，实时对入侵行为进行甄别并分类，避免对入侵行为的漏放以及对正常行为的误识别，其检测准确率高，实时性强，有效提高了系统安全性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于深度学习的入侵行为检测方法及系统。

背景技术

在互联网环境下存在大量网络入侵行为，入侵者通过寻找系统的弱点，以非授权的方式对系统实行破坏、欺骗的行为，例如窃取管理员账号篡改系统权限、破坏系统正常运行、窃取系统资料数据等。由于入侵行为的类型与方式多种多样，且诸如账号窃取等入侵行为难以被准确识别，这使得误识别的状况时有发生，检测机制在很大程度上仍需依赖人工鉴别，这使得针对入侵行为的实时检测效果不佳，系统安全性不足。

发明内容

本发明实施例公开一种基于深度学习的入侵行为检测方法及系统，能依据代码特征对未知行为进行检测，实时对入侵行为进行甄别并分类，避免对入侵行为的漏放以及对正常行为的误识别，其检测准确率高，实时性强，有效提高了系统安全性。

本发明实施例第一方面公开一种基于深度学习的入侵行为检测方法，所述方法包括：

构建与生产环境相对应的分析沙箱；

采用入侵样本集合入侵所述分析沙箱，得到入侵数据；其中，所述入侵数据包括代码特征、入侵途径、入侵层级、入侵目的、行为模式及馈值地址；

采用卷积神经网络训练所述入侵数据，得到入侵行为检测模型；

部署所述入侵行为检测模型，检测针对生产环境的入侵行为。

作为一种可选的实施方式，在本发明实施例第一方面中，在所述采用入侵样本入侵所述分析沙箱，得到入侵数据之前，所述方法还包括：

基于生产环境的系统日志获取历史入侵行为；

构造对应于入侵行为类别的虚拟入侵行为；

通过随机排列组合算法组合所述历史入侵行为及所述虚拟入侵行为，得到入侵样本；

选取若干所述入侵样本作为所述入侵样本集合。

作为一种可选的实施方式，在本发明实施例第一方面中，所述采用卷积神经网络训练所述入侵数据，得到入侵行为检测模型，包括：

建立所述代码特征与所述入侵途径、所述入侵目的及所述行为模式之间的特征关联索引表；

将所述特征关联索引表转换为md5格式的索引文本；

采用所述深度学习模型训练所述索引文件，建立全连接层；

根据所述入侵行为类别处理所述全连接层，得到所述入侵行为检测模型。

作为一种可选的实施方式，在本发明实施例第一方面中，在所述部署所述入侵行为检测模型，检测针对生产环境的入侵行为之后，所述方法还包括：

采集所述入侵行为检测模型所检测到的入侵实例数据；

分析所述入侵实例数据相对所述入侵行为检测模型中所述入侵数据的特征变更信息；

采用所述入侵实例数据更新所述入侵数据，对所述入侵数据进行迭代训练。

本发明实施例第二方面公开一种入侵行为检测系统，所述入侵行为检测系统包括：

沙箱构建单元，用于构建与生产环境相对应的分析沙箱；