一种基于因果模型的网络安全信息处理方法和系统与流程

1.本技术涉及到网络安全领域，具体而言，涉及一种基于因果模型的网络安全信息处理方法和系统。


背景技术：

2.对于机器学习而言，不论是逻辑回归，梯度提升模型还是深度学习，本质上都是一种对观测数字的拟合手段，就是确定输入和输出的关系。即便能拟合出一个效果逆天的模型出来，依然很难通过模型去解释清楚为什么会出现该该输入和输出的关系。
3.例如，在网络安全领域，可以将一组数据包输入到机器学习模型中，该机器学习模型根据之前训练的结果，就可以判断出该数据包中是否包括进行网络攻击的数据包。
4.该机器学习模型中不知道能给出是什么原因导致受到了网络攻击，也就是说，在受到网络攻击之前，做了什么操作导致出现安全漏洞，因而受到了攻击，这些对于机器学习来说是无法做到的。


技术实现要素：

5.本技术实施例提供了一种基于因果模型的网络安全信息处理方法和系统，以至少解决现有技术中无法得知导致受到网络攻击原因所导致的问题。
6.根据本技术的一个方面，提供了一种基于因果模型的网络安全信息处理方法，包括：获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。
7.进一步地，所述告警消息还用于指示所述预定类型的网络攻击预计会发生。
8.进一步地，在获取当前时间之前的预定时间段内接收到的一组数据包之前，所述方法还包括：获取发生网络攻击的第一时间，以及所述网络攻击的类型；获取所述第一时间之前截取到的数据包，将所述数据包按照时间顺序排列后作为一组数据包；将所述网络攻击的类型和截取到的一组数据包建立对应关系，并保存所述一组数据包。
9.进一步地，还包括：获取所述预定类型的网络攻击发生之后已经保存的数据包的组数；在所述组数超过阈值的情况下，从所述预订类型的网络攻击发生之后已经保存的多组数据包中进行提取得到所述预定规律。
10.进一步地，从所述多组数据包进行提取得到所述预定规律包括：列举出所述多组数据包中的每一组数据包中的每个数据包的信息；根据每个数据包的信息从所述多组数据包提取所述预定规律，其中，所述预定规律用于指示所述多组数据包中的每组数据包均出
现一系列的数据包，该系列的数据包中每个数据包所使用的协议、先后顺序以及所访问的端口信息均相同。
11.根据本技术的另一个方面，还提供了一种基于因果模型的网络安全信息处理系统，包括：第一获取模块，用于获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；判断模块，用于判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；第二获取模块，用于在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送模块，用于发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。
12.进一步地，所述告警消息还用于指示所述预定类型的网络攻击预计会发生。
13.进一步地，还包括：数据包保存模块，用于获取发生网络攻击的第一时间，以及所述网络攻击的类型；获取所述第一时间之前截取到的数据包，将所述数据包按照时间顺序排列后作为一组数据包；将所述网络攻击的类型和截取到的一组数据包建立对应关系，并保存所述一组数据包。
14.进一步地，还包括：规律提取模块，用于获取所述预定类型的网络攻击发生之后已经保存的数据包的组数；在所述组数超过阈值的情况下，从所述预订类型的网络攻击发生之后已经保存的多组数据包中进行提取得到所述预定规律。
15.进一步地，所述规律提取模块用于：列举出所述多组数据包中的每一组数据包中的每个数据包的信息；根据每个数据包的信息从所述多组数据包提取所述预定规律，其中，所述预定规律用于指示所述多组数据包中的每组数据包均出现一系列的数据包，该系列的数据包中每个数据包所使用的协议、先后顺序以及所访问的端口信息均相同。
16.在本技术实施例中，采用了获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。通过本技术解决了现有技术中无法得知导致受到网络攻击原因所导致的问题，从而为提高网络的安全性提供了支持。
附图说明
17.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
18.图1是根据本技术实施例的基于因果模型的网络安全信息处理方法的流程图。
具体实施方式
19.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
20.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
21.因果模型不同于传统机器学习模型，探究和追寻的是事物背后的因果机理，至少从目的和方式上讲，契合本实施例的目标。
22.在本实施例中提供了一种基于因果模型的网络安全信息处理方法，图1是根据本技术实施例的基于因果模型的网络安全信息处理方法的流程图，如图1所示，该流程包括如下步骤：
23.步骤s102，获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；可选地，所述告警消息还用于指示所述预定类型的网络攻击预计会发生；
24.步骤s104，判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；
25.步骤s106，在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；
26.步骤s108，发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。
27.通过上述步骤解决了现有技术中无法得知导致受到网络攻击原因所导致的问题，从而为提高网络的安全性提供了支持。
28.上述用于提取预定规律的多组数据包是提前获取到的，例如，可以获取发生网络攻击的第一时间，以及所述网络攻击的类型；获取所述第一时间之前截取到的数据包，将所述数据包按照时间顺序排列后作为一组数据包；将所述网络攻击的类型和截取到的一组数据包建立对应关系，并保存所述一组数据包。
29.还可以获取所述预定类型的网络攻击发生之后已经保存的数据包的组数；在所述组数超过第三阈值的情况下，从所述预订类型的网络攻击发生之后已经保存的多组数据包中进行提取得到所述预定规律。
30.提取预定规律的方式有很多种，例如，列举出所述多组数据包中的每一组数据包中的每个数据包的信息，其中，所述信息包括以下之一：该数据包使用的协议、该数据包在该组数据包中的先后顺序、该数据包访问的端口信息；根据每个数据包的信息从所述多组数据包提取所述预定规律，其中，所述预定规律用于指示所述多组数据包中的每组数据包均出现一系列的数据包，该系列的数据包中每个数据包所使用的协议、先后顺序以及所访问的端口信息均相同。
31.例如，有二组数据包，每一组数据包均包括：数据包1、数据包2、数据包3、数据包4和数据包5。第一组数据包：协议a
‑
端口22(1)、协议b
‑
端口33(2)、协议e
‑
端口25(3)、协议f
‑
端口80(4)、协议d
‑
端口78(5)；第二组数据包：协议b
‑
端口33(1)、协议e
‑
端口25(2)、协议x
‑
端口28(3)、协议y
‑
端口80(4)、协议z
‑
端口90(5)。由此可见，在这两组数据包中均包括：协议b
‑
端口33、协议e
‑
端口25，这两组数据包均是在发生某种类型的网络攻击后从发生该网络攻击之间的时间段内接收到的数据包中保存下来的。因此，可以判断协议b
‑
端口33、协议e
‑
端口25预示这某种类型的网络攻击会大概率发生。
32.在每组数据包中先查找具有相同信息的数据包，如果所述多组数据中的每组数据包中具有相同信息的数据包的数量超过两个的情况下，其中，相同信息的数据包是指在所述多个组中的每个组中均有该数据包。在每组数据包中相同信息的数据包的先后顺序是否一致，如果一直，则确定提取到所述预定规律。否则未提取到所述预定规律。
33.当获取到的每组数据包的数量超过第一阈值的时候，获取每组数据包中的每个数据包的来源的网络地址，判断所述来源的网络地址是否在白名单中，将每组数据包中的来源的网络地址在白名单中的数据包从该组数据包中删除。使用删除之后的该组数据包进行预定规律的提取。
34.在使用多组数据包进行预定规律的提取，如果未提取到任何规律，则继续收集数据包，在收集到的数据包组数大于等于第二阈值的时候，所述第二阈值为所述第三阈值的两倍，再进行规律的提取。
35.在本实施例中，每种网络攻击类型可以对应一种规律，或者也可以对应多种规律。在一种规律对应多种网络攻击类型的情况下，发送所述告警信息的之后携带有该多种网络攻击类型。这是因为很多种网络攻击类型的前兆均是相似的。
36.在本实施例中，提供一种电子装置，包括存储器和处理器，存储器中存储有计算机程序，处理器被设置为运行计算机程序以执行以上实施例中的方法。
37.上述程序可以运行在处理器中，或者也可以存储在存储器中(或称为计算机可读介质)，计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd
‑
rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
38.这些计算机程序也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤，对应与不同的步骤可以通过不同的模块来实现。
39.在本实施例中就提供了这样的一种装置，该装置被称为基于因果模型的网络安全信息处理系统，包括：第一获取模块，用于获取当前时间之前的预定时间段内接收到的一组数据包，其中，所述一组数据包是按照接收数据包时间的先后顺序排列得到的；判断模块，用于判断所述一组数据包中是否存在符合预定规律的多个数据包，其中，所述预定规律是在预定类型的网络攻击之前出现数据包的规律，所述预定规律是在同一预定类型的网络攻
击发生后，根据发生所述预定类型的网络攻击之前获取到的数据包总结得到的；第二获取模块，用于在所述判断结果为出现符合所述预定规律的多个数据包的情况下，获取所述预定规律对应的所述预定类型；发送模块，用于发送告警消息，其中，所述告警消息用于指示符合所述预定规律的多个数据包的出现为将要发生的网络攻击的原因。
40.该系统或者装置用于实现上述的实施例中的方法的功能，该系统或者装置中的每个模块与方法中的每个步骤相对应，已经在方法中进行过说明的，在此不再赘述。
41.例如，还包括：数据包保存模块，用于获取发生网络攻击的第一时间，以及所述网络攻击的类型；获取所述第一时间之前截取到的数据包，将所述数据包按照时间顺序排列后作为一组数据包；将所述网络攻击的类型和截取到的一组数据包建立对应关系，并保存所述一组数据包。
42.又例如，还包括：规律提取模块，用于获取所述预定类型的网络攻击发生之后已经保存的数据包的组数；在所述组数超过阈值的情况下，从所述预订类型的网络攻击发生之后已经保存的多组数据包中进行提取得到所述预定规律。可选地，所述规律提取模块用于：列举出所述多组数据包中的每一组数据包中的每个数据包的信息，其中，所述信息包括以下之一：该数据包使用的协议、该数据包在该组数据包中的先后顺序、该数据包访问的端口信息；根据每个数据包的信息从所述多组数据包提取所述预定规律，其中，所述预定规律用于指示所述多组数据包中的每组数据包均出现一系列的数据包，该系列的数据包中每个数据包所使用的协议、先后顺序以及所访问的端口信息均相同。
43.通过上述步骤解决了现有技术中无法得知导致受到网络攻击原因所导致的问题，从而为提高网络的安全性提供了支持。
44.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。