[发明专利]一种网络攻击面检测方法及系统

摘要

本发明提供一种网络攻击面检测方法及系统，可以基于历史网络数据，先进行静态分析，寻找异常数据片段，再根据向量化的异常数据片段构建一个噪声模拟网络攻击模型，使用真实网络攻击流量训练所述噪声模拟网络攻击模型，模型自身还有不断复合、变异网络攻击的能力，当噪声模拟网络攻击模型训练完毕后，在接入机器学习模块，作为机器学习模块的模拟攻击源，对真实网络流量进行网络攻击面检测，帮助提升机器学习模块检测的能力。

主权项

1.一种网络攻击面检测方法，其特征在于，所述方法包括：/n收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；/n将接收到的数据片段与本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；/n使用静态分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；/n将所述异常数据片段向量化，构建噪声模拟网络攻击模型，应用该模型可随机生成已知的各种类型的网络攻击以及多种网络攻击复合；/n所述多种网络攻击复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征；/n将所述噪声模拟网络攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；/n所述判别器根据两端输入的生成器输出流量和真实网络攻击流量，得出判别结果；如果判别结果为真时，表明生成器输出流量与真实网络攻击流量在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出流量与真实网络攻击流量在特征向量上差别很大，判别器将差别度信息、真实网络攻击流量的特征向量一并反馈给生成器；/n所述生成器根据判别器的反馈结果调整噪声模拟网络攻击模型的参数，再次生成新的输出流量；/n当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述噪声模拟网络攻击模型训练完毕；/n将所述噪声模拟网络攻击模型接入机器学习模块，由所述噪声模拟网络攻击模型不间断随机生成网络攻击流量，供机器学习模块自我学习；/n所述机器学习模块，对真实网络流量进行网络攻击面检测，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点。/n