[发明专利]一种基于因果模型的网络安全信息处理方法和系统

说明书

本申请公开了一种基于因果模型的网络安全信息处理方法和系统，该方法包括：获取当前时间之前的预定时间段内接收到的一组数据包；判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送告警消息。通过本申请解决了现有技术中无法得知导致受到网络攻击原因所导致的问题，从而为提高网络的安全性提供了支持。

技术领域

本申请涉及到网络安全领域，具体而言，涉及一种基于因果模型的网络安全信息处理方法和系统。

背景技术

对于机器学习而言，不论是逻辑回归，梯度提升模型还是深度学习，本质上都是一种对观测数字的拟合手段，就是确定输入和输出的关系。即便能拟合出一个效果逆天的模型出来，依然很难通过模型去解释清楚为什么会出现该该输入和输出的关系。

例如，在网络安全领域，可以将一组数据包输入到机器学习模型中，该机器学习模型根据之前训练的结果，就可以判断出该数据包中是否包括进行网络攻击的数据包。

该机器学习模型中不知道能给出是什么原因导致受到了网络攻击，也就是说，在受到网络攻击之前，做了什么操作导致出现安全漏洞，因而受到了攻击，这些对于机器学习来说是无法做到的。

发明内容

本申请实施例提供了一种基于因果模型的网络安全信息处理方法和系统，以至少解决现有技术中无法得知导致受到网络攻击原因所导致的问题。

根据本申请的一个方面，提供了一种基于因果模型的网络安全信息处理方法，包括：获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。

进一步地，所述告警消息还用于指示所述预定类型的网络攻击预计会发生。

进一步地，在获取当前时间之前的预定时间段内接收到的一组数据包之前，所述方法还包括：获取发生网络攻击的第一时间，以及所述网络攻击的类型；获取所述第一时间之前截取到的数据包，将所述数据包按照时间顺序排列后作为一组数据包；将所述网络攻击的类型和截取到的一组数据包建立对应关系，并保存所述一组数据包。

进一步地，还包括：获取所述预定类型的网络攻击发生之后已经保存的数据包的组数；在所述组数超过阈值的情况下，从所述预订类型的网络攻击发生之后已经保存的多组数据包中进行提取得到所述预定规律。

进一步地，从所述多组数据包进行提取得到所述预定规律包括：列举出所述多组数据包中的每一组数据包中的每个数据包的信息；根据每个数据包的信息从所述多组数据包提取所述预定规律，其中，所述预定规律用于指示所述多组数据包中的每组数据包均出现一系列的数据包，该系列的数据包中每个数据包所使用的协议、先后顺序以及所访问的端口信息均相同。