[发明专利]基于深度学习的网络攻击识别方法、装置、设备及介质

权利要求书

1.一种基于深度学习的网络攻击识别方法，其特征在于，所述方法包括：

获取待分析对象，提取所述待分析对象的操作码及每个所述操作码的执行顺序；

将每个所述操作码及每个所述操作码的执行顺序进行向量转换，得到操作码向量矩阵；

利用预构建的循环神经网络模型，根据所述操作码向量矩阵，提取每个所述操作码的独立特征及每个所述操作码在所述待分析对象中的时序特征；

利用预设的哈希函数计算每个所述操作码的独立特征对应的哈希值，得到第一哈希值集合，计算每个所述操作码的时序特征对应的哈希值，得到第二哈希值集合；

将所述第一哈希值集合和所述第二哈希值集合分别映射到预设的二维图像上，得到所述待分析对象对应的特征图像；

利用预先训练好的卷积神经网络模型，根据所述特征图像对相应的待分析对象进行是否具有网络攻击行为的分类操作，将分类结果作为识别结果。

2.如权利要求1所述的基于深度学习的网络攻击识别方法，其特征在于，所述提取所述待分析对象的操作码及每个所述操作码的执行顺序，包括：

对所述待分析对象进行反汇编操作，得到反汇编代码块；

读取每个所述代码块的执行顺序，根据所述执行顺序依次选择一个代码块作为目标代码块；

识别所述目标代码块中的指令及每条所述指令的执行顺序；

根据每条所述指令的执行顺序依次读取对应指令的操作码，将所述操作码对应指令的执行顺序作为所述操作码的执行顺序。

3.如权利要求1所述的基于深度学习的网络攻击识别方法，其特征在于，所述将每个所述操作码及每个所述操作码的执行顺序进行向量转换，得到操作码向量矩阵，包括：

对每个所述操作码进行独热编码，得到每个所述操作码对应的一维向量；

按照每个所述操作码的执行顺序对相应的一维向量进行叠加，得到所述待分析对象对应的操作码向量矩阵。

4.如权利要求3所述的基于深度学习的网络攻击识别方法，其特征在于，所述对每个所述操作码进行独热编码，得到每个所述操作码对应的一维向量，包括：

在预设的操作码库中，查询每个所述操作码对应的操作码类型编号；

统计每个所述操作码对应的类型编号，得到所述待分析对象对应的编码种类数；

将所述编码种类数作为每个所述操作码对应的一维向量的长度；

根据所述一维向量的长度及每个所述操作码对应的类型编号，对每个所述操作码进行One-hot编码，得到每个所述操作码对应的一维向量。

5.如权利要求1所述的基于深度学习的网络攻击识别方法，其特征在于，所述利用预设的哈希函数计算每个所述操作码的独立特征对应的哈希值，得到第一哈希值集合，计算每个所述操作码的时序特征对应的哈希值，得到第二哈希值集合，包括：

从所述待分析对象中，依次选择预设数量的连续的操作码组成一个基本序列；

利用所述预设的哈希函数，根据每个所述基本序列对应的独立特征，计算所述基本序列的独立特征哈希值；

利用所述预设的哈希函数，根据每个所述基本序列对应的时序特征，计算所述基本序列的时序特征哈希值；

汇集所有所述基本序列的独立特征哈希值作为第一哈希值集合，汇集所有所述基本序列的时序特征哈希值作为第二哈希值集合。

6.如权利要求1所述的基于深度学习的网络攻击识别方法，其特征在于，所述将所述第一哈希值集合和所述第二哈希值集合分别映射到预设的二维图像上，得到所述待分析对象对应的特征图像，包括：

利用如下方法将所述第一哈希值集合映射到所述二维图像上：

获取所述预设的二维图像的边长；

依次提取所述第一哈希值集合中一个哈希值作为目标哈希值，计算所述目标哈希值除以所述边长的模的3次，分别得到3个余数；

分别依次将所述3个余数设置为横坐标、纵坐标及灰度值；

利用所述横坐标及所述纵坐标映射到所述二维图像中的一个坐标点，将所述灰度值作为映射得到的坐标点的像素值。