本發(fā)明涉及網(wǎng)絡(luò)安全，更具體地，涉及一種人機(jī)攻擊行為分類方法、裝置及網(wǎng)絡(luò)安全防護(hù)方法。

背景技術(shù)：

1、目前，網(wǎng)絡(luò)安全攻擊已成為日益嚴(yán)重的全球性問題，層出不窮的網(wǎng)絡(luò)安全事故給用戶和企業(yè)帶來了巨大的損失，對社會經(jīng)濟(jì)發(fā)展構(gòu)成了重大威脅。傳統(tǒng)的檢測方法，如防火墻或加密，不足以防止的所有攻擊類型。因此，為了保護(hù)組織和個人免受網(wǎng)絡(luò)攻擊，不斷發(fā)展的網(wǎng)絡(luò)攻擊入侵檢測技術(shù)在保證網(wǎng)絡(luò)安全中起著重要的作用。在網(wǎng)絡(luò)安全防護(hù)中，準(zhǔn)確識別網(wǎng)絡(luò)中的各種攻擊類別尤其關(guān)鍵，其中，對人機(jī)攻擊行為進(jìn)行分類的任務(wù)尤為艱巨。

2、現(xiàn)有的入侵檢測技術(shù)主要通過誤用檢測和異常檢測兩種方法來實(shí)現(xiàn)?；诋惓z測的技術(shù)是目前最廣泛運(yùn)用的網(wǎng)絡(luò)攻擊檢測方法，可分為基于統(tǒng)計(jì)的、基于知識的和基于機(jī)器學(xué)習(xí)的三大類。其中，基于機(jī)器學(xué)習(xí)的異常檢測技術(shù)，尤其是深度學(xué)習(xí)方法，因其在處理復(fù)雜、大規(guī)模數(shù)據(jù)方面的卓越性能，成為網(wǎng)絡(luò)攻擊行為分類與檢測的重要解決方案。然而，由于人機(jī)攻擊行為復(fù)雜多變，包括人工攻擊、自動化攻擊和混合攻擊等多種類型，現(xiàn)有的許多分類方法針對人機(jī)攻擊行為的分類準(zhǔn)確率不高。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明為克服現(xiàn)有人機(jī)攻擊行為分類技術(shù)存在的準(zhǔn)確率低的缺陷，提出如下技術(shù)方案：

2、第一個方面，本發(fā)明提出一種人機(jī)攻擊行為分類方法，包括：

3、獲取人機(jī)攻擊行為數(shù)據(jù)。

4、對所述人機(jī)攻擊行為數(shù)據(jù)進(jìn)行特征提取，并基于所提取的特征構(gòu)建分類規(guī)則。

5、將構(gòu)建的分類規(guī)則更新至云規(guī)則庫。

6、利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配，輸出分類結(jié)果。

7、作為優(yōu)選的技術(shù)方案，所提取的特征包括單位時間內(nèi)請求次數(shù)、請求時間間隔周期性、特定url路徑訪問頻率、參數(shù)組合異常度和敏感頁面訪問頻率。

8、作為優(yōu)選的技術(shù)方案，所述基于所提取的特征構(gòu)建分類規(guī)則包括基于預(yù)設(shè)的專家經(jīng)驗(yàn)規(guī)則構(gòu)建分類規(guī)則和/或基于決策樹算法構(gòu)建分類規(guī)則。

9、作為優(yōu)選的技術(shù)方案，基于預(yù)設(shè)的專家經(jīng)驗(yàn)規(guī)則構(gòu)建的專家分類規(guī)則包括：

10、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的單位時間內(nèi)請求次數(shù)超過預(yù)設(shè)閾值時，將當(dāng)前人機(jī)攻擊行為標(biāo)記為自動化攻擊。

11、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的請求時間間隔周期性超過預(yù)設(shè)閾值時，將當(dāng)前人機(jī)攻擊行為標(biāo)記為自動化攻擊。

12、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的特定url路徑訪問頻率超過預(yù)設(shè)閾值時，將當(dāng)前人機(jī)攻擊行為標(biāo)記為人工攻擊。

13、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的參數(shù)組合異常度超過預(yù)設(shè)閾值時，將當(dāng)前人機(jī)攻擊行為標(biāo)記為人工攻擊。

14、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的敏感頁面訪問頻率和參數(shù)組合異常度同時超過各自的預(yù)設(shè)閾值時，將當(dāng)前人機(jī)攻擊行為標(biāo)記為人機(jī)混合攻擊。

15、當(dāng)人機(jī)攻擊行為數(shù)據(jù)中的請求時間間隔周期性和敏感頁面訪問頻率同時超過各自的預(yù)設(shè)閾值時，將該行為標(biāo)記為人機(jī)混合攻擊。

16、作為優(yōu)選的技術(shù)方案，基于決策樹算法構(gòu)建分類規(guī)則包括以下至少一種：

17、利用人機(jī)攻擊行為數(shù)據(jù)的特征構(gòu)建決策樹的節(jié)點(diǎn)。所述決策樹的節(jié)點(diǎn)包括葉節(jié)點(diǎn)和根節(jié)點(diǎn)。

18、設(shè)置決策樹中每個非節(jié)點(diǎn)的分裂條件，作為特征的判斷閾值，并標(biāo)記決策樹每個節(jié)點(diǎn)對應(yīng)的攻擊類型，得到?jīng)Q策樹。

19、對決策樹進(jìn)行訓(xùn)練和剪枝，并從訓(xùn)練后的決策樹中提取分類規(guī)則，其中，每條分類規(guī)則對應(yīng)一個從根節(jié)點(diǎn)到葉節(jié)點(diǎn)的路徑。

20、將每條路徑轉(zhuǎn)化為if-then條件語句形式的分類規(guī)則，其中，if部分為路徑上各節(jié)點(diǎn)的判斷條件，then部分為葉節(jié)點(diǎn)對應(yīng)的攻擊類型。

21、作為優(yōu)選的技術(shù)方案，在將構(gòu)建的分類規(guī)則更新至云規(guī)則庫之后，利用更新后的云規(guī)則庫對所述人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配之前，所述方法還包括：

22、根據(jù)預(yù)設(shè)的條件，為每條分類規(guī)則分配權(quán)重。

23、對每條分類規(guī)則按照權(quán)重大小進(jìn)行降序排列。

24、作為優(yōu)選的技術(shù)方案，利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配，輸出分類結(jié)果，包括：

25、提取待分類的人機(jī)攻擊行為數(shù)據(jù)中的特征值。

26、按照分類規(guī)則的權(quán)重排序，依次將人機(jī)攻擊行為數(shù)據(jù)的特征值與分類規(guī)則中的條件進(jìn)行比對。

27、當(dāng)人機(jī)攻擊行為數(shù)據(jù)的特征值滿足某條分類規(guī)則的條件時，則將該分類規(guī)則對應(yīng)的攻擊類型作為當(dāng)前人機(jī)攻擊行為的分類結(jié)果。

28、作為優(yōu)選的技術(shù)方案，在輸出分類結(jié)果后，所述方法還包括：

29、當(dāng)分類結(jié)果為錯誤分類結(jié)果時，則判斷是否為專家分類規(guī)則出現(xiàn)誤判，若是，則修改專家分類規(guī)則的條件，若否，則對決策樹的參數(shù)進(jìn)行優(yōu)化更新。

30、第二個方面，本發(fā)明還提出一種人機(jī)攻擊行為分類裝置，應(yīng)用于如第一個方面任一方案所述的人機(jī)攻擊行為分類方法中，包括：

31、獲取模塊，用于獲取人機(jī)攻擊行為數(shù)據(jù)。

32、構(gòu)建模塊，用于對所述人機(jī)攻擊行為數(shù)據(jù)進(jìn)行特征提取，并基于所提取的特征構(gòu)建分類規(guī)則。

33、更新模塊，用于將構(gòu)建的分類規(guī)則更新至云規(guī)則庫。

34、匹配模塊，用于利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配，輸出分類結(jié)果。

35、第三個方面，本發(fā)明還提出一種網(wǎng)絡(luò)安全防護(hù)方法，其特征在于，所述網(wǎng)絡(luò)安全防護(hù)方法基于第一個方面任一方案所述的人機(jī)攻擊行為分類方法實(shí)現(xiàn)人機(jī)攻擊行為識別。

36、本發(fā)明的有益效果至少包括：

37、(1)本發(fā)明提出的人機(jī)攻擊行為分類方法，通過獲取人機(jī)攻擊行為數(shù)據(jù)并進(jìn)行特征提取，能夠捕獲攻擊行為的多維度特征，為后續(xù)構(gòu)建分類規(guī)則提供豐富的信息基礎(chǔ)，使得生成的規(guī)則既有較強(qiáng)的可解釋性，又能適應(yīng)復(fù)雜多變的攻擊模式。將構(gòu)建的分類規(guī)則更新至云規(guī)則庫，實(shí)現(xiàn)了規(guī)則的動態(tài)更新和快速同步，使能夠及時應(yīng)對新型攻擊行為，不斷提高分類準(zhǔn)確率。在進(jìn)行規(guī)則匹配時，利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行匹配，充分利用了最新的分類知識，確保了分類結(jié)果的時效性，有效降低了誤報(bào)率，顯著提升了人機(jī)攻擊行為分類的準(zhǔn)確性，為網(wǎng)絡(luò)安全防護(hù)提供了更可靠的技術(shù)支持。

38、(2)本發(fā)明提出的網(wǎng)絡(luò)安全防護(hù)方法，能夠充分利用人機(jī)攻擊行為分類方法提供的精準(zhǔn)識別能力，針對不同類型的惡意攻擊采取針對性的防護(hù)措施，提高整體的安全防護(hù)水平。這種基于精準(zhǔn)識別的差異化防護(hù)，不僅能有效阻擋各類惡意攻擊，還能大幅提升整體的防護(hù)效果，為企業(yè)和用戶的網(wǎng)絡(luò)安全提供可靠的保障。相比傳統(tǒng)的單一防御手段，該方法顯著增強(qiáng)了網(wǎng)絡(luò)安全防護(hù)的效率和準(zhǔn)確性。

技術(shù)特征：

1.一種人機(jī)攻擊行為分類方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的人機(jī)攻擊行為分類方法，其特征在于，所提取的特征包括單位時間內(nèi)請求次數(shù)、請求時間間隔周期性、特定url路徑訪問頻率、參數(shù)組合異常度和敏感頁面訪問頻率。

3.根據(jù)權(quán)利要求2所述的人機(jī)攻擊行為分類方法，其特征在于，所述基于所提取的特征構(gòu)建分類規(guī)則包括基于預(yù)設(shè)的專家經(jīng)驗(yàn)規(guī)則構(gòu)建分類規(guī)則和/或基于決策樹算法構(gòu)建分類規(guī)則。

4.根據(jù)權(quán)利要求3所述的人機(jī)攻擊行為分類方法，其特征在于，基于預(yù)設(shè)的專家經(jīng)驗(yàn)規(guī)則構(gòu)建的專家分類規(guī)則包括以下至少一種：

5.根據(jù)權(quán)利要求3所述的人機(jī)攻擊行為分類方法，其特征在于，基于決策樹算法構(gòu)建分類規(guī)則，包括：

6.根據(jù)權(quán)利要求4或5所述的人機(jī)攻擊行為分類方法，其特征在于，在將構(gòu)建的分類規(guī)則更新至云規(guī)則庫之后，利用更新后的云規(guī)則庫對所述人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配之前，所述方法還包括：

7.根據(jù)權(quán)利要求6所述的人機(jī)攻擊行為分類方法，其特征在于，利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配，輸出分類結(jié)果，包括：

8.根據(jù)權(quán)利要求3所述的人機(jī)攻擊行為分類方法，其特征在于，在輸出分類結(jié)果后，所述方法還包括：

9.一種人機(jī)攻擊行為分類裝置，其特征在于，包括：

10.一種網(wǎng)絡(luò)安全防護(hù)方法，其特征在于，所述網(wǎng)絡(luò)安全防護(hù)方法基于權(quán)利要求1～8任意一項(xiàng)所述的人機(jī)攻擊行為分類方法實(shí)現(xiàn)人機(jī)攻擊行為識別。

技術(shù)總結(jié)
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，公開了一種人機(jī)攻擊行為分類方法、裝置及網(wǎng)絡(luò)安全防護(hù)方法，所述人機(jī)攻擊行為分類方法包括：獲取人機(jī)攻擊行為數(shù)據(jù)；對所述人機(jī)攻擊行為數(shù)據(jù)進(jìn)行特征提取，并基于所提取的特征構(gòu)建分類規(guī)則；將構(gòu)建的分類規(guī)則更新至云規(guī)則庫；利用更新后的云規(guī)則庫對待分類的人機(jī)攻擊行為數(shù)據(jù)進(jìn)行規(guī)則匹配，輸出分類結(jié)果。本發(fā)明通過特征提取捕獲攻擊行為多維信息，構(gòu)建可解釋且適應(yīng)性強(qiáng)的分類規(guī)則。利用云規(guī)則庫實(shí)現(xiàn)動態(tài)更新和快速同步，及時應(yīng)對新型攻擊，匹配時利用最新規(guī)則，降低誤報(bào)率，提高分類準(zhǔn)確性，為網(wǎng)絡(luò)安全防護(hù)提供可靠支持。

技術(shù)研發(fā)人員：許雙璇,廖志華,李衛(wèi)新,邵科偉
受保護(hù)的技術(shù)使用者：華潤電力技術(shù)研究院有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9