[发明专利]动态网络异常攻击检测方法、装置、电子设备和存储介质

说明书

本发明提供一种动态网络异常攻击检测方法、装置、电子设备和存储介质，包括：基于爬取的网络流量日志数据构建网络属性特征向量；将所述网络属性特征向量输入异常攻击检测模型，输出对应的异常攻击检测结果；其中，所述异常攻击检测模型是基于样本第一网络属性特征向量和对应的第一异常攻击标签进行训练得到的，所述异常攻击检测模型训练过程中使用组合分类器算法构建分类器。本发明提供的方法、装置、电子设备和存储介质，实现了提高网络异常攻击检测的正确率。

技术领域

本发明涉及网络攻击检测技术领域，尤其涉及一种动态网络异常攻击检测方法、装置、电子设备和存储介质。

背景技术

随着现代系统的复杂性和规模日益增加，使人工检测方法在现实中变得不可行；而目前的异常检测大多通过正常行为的产生的数据集来建立模型，进而从大量的网络数据中区分出正常行为和异常行为，并在异常行为中判断出具体的攻击方式，从本质上可以看作是一个分类问题，早期通常采用传统的机器学习算法，例如朴素贝叶斯、支持向量机、K近邻等标准的机器模型。随着网络流量的急速增加，当先验知识不足时，很难找到处理大量数据的合适方法，在机器学习领域逐渐流行的组合分类器方法为这种问题提供了新的研究方向，之后越来越多的学者开始通过构造不同的组合分类器进行异常检测。

此外标准的机器学习通常假设数据源是干净的，即特征和标签设置正确，但是实际上收集的数据可能不可靠，因为不小心的注释或恶意的数据转换就会导致噪声，尤其从带有标签噪声的数据中学习会显著降低分类精度。

在以往模型中，异常分类器通常采用单分类器算法，可能具有偏向性因而导致准确率低。

因此，如何避免现有技术中的基于机器学习的动态网络异常攻击检测方法由于使用的分类器过于单一导致结果具有偏向性，造成准确率低的情况，仍然是本领域技术人员亟待解决的问题。

发明内容

本发明提供一种动态网络异常攻击检测方法、装置、电子设备和存储介质，用以解决现有技术中的基于机器学习的动态网络异常攻击检测方法由于使用的分类器过于单一导致结果具有偏向性，造成准确率低的问题，通过在异常攻击检测模型训练过程中使用组合分类器平衡单一分类器的偏向性，使得检测结果准确率更高。

本发明提供一种动态网络异常攻击检测方法，该方法包括：

基于爬取的网络流量日志数据构建网络属性特征向量；

将所述网络属性特征向量输入异常攻击检测模型，输出对应的异常攻击检测结果；

其中，所述异常攻击检测模型是基于样本第一网络属性特征向量和对应的第一异常攻击标签进行训练得到的，所述异常攻击检测模型训练过程中使用组合分类器算法构建分类器。

根据本发明提供的一种动态网络异常攻击检测方法，所述第一样本网络属性特征向量和对应的第一异常攻击标签是将基于爬取的原始网络流量日志数据确定的样本网络属性特征向量和对应的第二异常攻击标签输入标签清洗模型后输出得到的；

其中，所述标签清洗模型是基于第二样本网络属性特征向量和添加噪声异常攻击标签构建的样本和对应的真实标签进行训练后得到的。

根据本发明提供的一种动态网络异常攻击检测方法，所述标签清洗模型训练过程中采用多层感知器算法。

根据本发明提供的一种动态网络异常攻击检测方法，所述标签清洗模型训练过程中采用多层感知器算法，具体包括：

以上一轮训练得到的中间标签清洗模型对当前轮次输入的样本标签数据进行标签噪声过滤，得到干净样本标签数据；

将所述干净样本标签数据加入上一轮训练使用的样本标签数据再次训练更新所述中间标签清洗模型。

根据本发明提供的一种动态网络异常攻击检测方法，所述组合分类器包括以下分类器中至少两种：