[发明专利]一种原始网络流威胁检测方法与装置

说明书

本发明公开了一种原始网络流威胁检测方法与装置，该方法包括：获取原始网络流数据，利用原始网络流数据表征模型，对原始网络流数据进行处理,得到原始网络流数据的特征信息；划分原始网络流数据的特征信息，得到原始网络流数据的训练特征信息和原始网络流数据的测试特征信息；利用自动机器学习模型，对原始网络流数据的训练特征信息进行处理，得到优化原始网络流威胁检测模型；利用优化原始网络流威胁检测模型，对原始网络流数据的测试特征信息进行处理，得到原始网络流威胁检测结果。可见，本发明方法解决了由于复杂多变场景带来的方法适用性差、自动化程度低等难点问题，有效提高了网络空间作战场景下的威胁检测分析模型的自动构建水平。

技术领域

本发明涉及网络安全领域，尤其涉及一种原始网络流威胁检测方法与装置。

背景技术

现有的网络空间中数据转换和数据处理的方法中，基于语义的编码方式将网络流的所有语义字段集合在一个表示中且表示具有完整性和恒定的大小，但是该方法存在表示不确定性；基于原始二进制的编码方式保留了特征顺序，减少了对于人工设计特征的依赖，但是忽略了网络流中很多复杂的细节，导致该方法可能引入大量干扰。

现有的网络空间场景构建方法中，基于机器学习技术和深度神经网络技术的方法可实现构建单一模型并进行模型优化，但是对于多场景不同应用的网络空间构建存在方法适应性较低、模型效果较差、自动化程度较低的问题。

而在网络空间作战场景构建的实际问题中，由于不同网络空间存在较大差异且构建时对于特定网络空间具有不同的要求，因此以往的方法将引入诸多问题，包括：

(1)基于语义的编码方式没有保留每条网络流中报文选项字段的顺序，并且需要人工决定字段编码方式，导致经过该方法处理的网络流间存在特征排序不统一的问题，进而导致编码表示不适用于设备识别等任务。

(2)基于原始二进制的编码方式忽略了网络流中很多复杂的细节，包括网络流变化的长度和不同协议间的区别，这将导致每条网络流的编码长度不一致，编码表示结果不具有可解释性。

(3)基于机器学习技术和深度神经网络技术的方法只能对人工指定的单一模型进行构建和模型优化，导致训练模型只适用于单一特定的网络空间场景，无法实现跨网络空间迁移，模型在构建时自动化水平较低，且在实际应用中场景适应性较差。

发明内容

本发明所要解决的技术问题在于，提供一种原始网络流威胁检测方法与装置，基于一种原始网络流数据表征模型，对网络空间的网络流进行数据转化和数据处理，使编码表示具有完整性、一致性和可扩展性，同时表示是标准化的且具有恒定的大小。此外，通过使用自动机器学习模型，可实现对于特定网络空间的最佳模型和超参数的自动选择，提升模型构建的自动化程度，并且自动机器学习模型可实现对于特定网络空间的多模型融合构建，使最终模型具有高环境适应性。

为了解决上述技术问题，本发明实施例第一方面公开了一种原始网络流威胁检测方法，所述方法包括：

S1，获取原始网络流数据，所述原始网络流数据包括若干条网络流数据；

S2，利用预设的原始网络流数据表征模型，对所述原始网络流数据进行处理,得到所述原始网络流数据的特征信息；

S3，划分所述原始网络流数据的特征信息，得到原始网络流数据的训练特征信息和原始网络流数据的测试特征信息；

S4，利用预设的自动机器学习模型，对所述原始网络流数据的训练特征信息进行处理，得到优化原始网络流威胁检测模型；

S5，利用所述优化原始网络流威胁检测模型，对所述原始网络流数据的测试特征信息进行处理，得到原始网络流威胁检测结果。

作为一种可选的实施方式，在本发明实施例的第一方面中，所述原始网络流数据，包括但不限于正常流数据、DDos攻击网络流数据、WebAttack攻击网络流数据；