一种基于网络信息安全的恶意攻击检测方法和系统与流程

1.本发明涉及计算机领域，特别涉及一种基于网络信息安全的恶意攻击检测方法和系统。


背景技术：

2.随着网络技术的不断发展，网络安全越来越重要，目前，检测恶意攻击的方式主要是通过检测不合规的数据，主流是研究怎样加强检测器的检测。
3.然而，人们在注册新软件的账号时，出于惰性，一般会直接同意权限获取请求，因此会造成数据的外泄，相关人员会利用编造的数据来恶意攻击系统，然而的编造的数据是与对应用户相同的数据，检测器无法正确识别编造的数据，从而造成系统的网络信息安全。


技术实现要素：

4.本发明的主要目的为提供一种基于网络信息安全的恶意攻击检测方法和系统，旨在解决现有技术中无法对合理编造的数据进行识别的的问题。
5.本发明提供了一种基于网络信息安全的恶意攻击检测方法，包括：按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令；基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数；根据所述状态转换参数设置多组坏数据；将各组所述坏数据持续注入指定系统中，得到坏数据的注入时间和注入完成时间，并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令；根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集；基于所述样本数据集按照预设的第一偏差构建训练数据，并基于异常感知数据的输入时间为每组训练数据输入对应的标签；根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练，得到训练后的恶意攻击检测模型；获取所述指定系统的感知数据和历史控制命令，并根据所述预设的第一偏差构建对应的样本数据集；将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
6.进一步地，所述基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数的步骤，包括：获取所述控制命令相同任意两组感知数据ti和tj；根据预设的线性回溯公式获取所述状态转换参数；其中，x=
（...，t
j-ti，...），y=（...，t
j 1-t
i 1
，...）。
7.进一步地，所述根据所述状态转换参数设置多组坏数据的步骤，包括：根据公式以及=，0＜j＜t
bad
获取所述指定系统的预测感知数据集合；其中，l表示坏数据注入的时间，t
bad
表示坏数据注入的时长，表示注入了坏数据时间j后的预测感知数据，k为常数，且0＜k＜t
bad
；根据所述预测感知数据集合设置多组坏数据；其中，每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
8.进一步地，所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤，包括：将所述样本数据集输入至所述恶意攻击检测模型中；根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离；根据所述距离从所述预存数据集中选取预设个数的近邻数据集；获取各个所述近邻数据集的标签；根据所述标签判断所述样本数据集是否异常，从而判断所述指定系统是否被恶意攻击。
9.进一步地，所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤之后，还包括：根据检测结果查询预设的误判数据库，以获取多个目标误判数据集；将所述目标误判数据集赋予对应正确的标签，并输入至所述恶意攻击检测模型中进行再训练，直至所述目标误判数据集经由所述恶意攻击检测模型后，可以输出正确的标签为止，从而得到再训练后的目标恶意攻击检测模型。
10.本发明还提供了一种基于网络信息安全的恶意攻击检测系统，包括：数据获取模块，用于按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令；参数获取模块，用于基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数；设置模块，用于根据所述状态转换参数设置多组坏数据；注入模块，用于将各组所述坏数据持续注入指定系统中，得到坏数据的注入时间和注入完成时间，并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令；第一构建模块，用于根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集；输入模块，用于基于所述样本数据集按照预设的第一偏差构建训练数据，并基于异常感知数据的输入时间为每组训练数据输入对应的标签；训练模块，用于根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练，得到训练后的恶意攻击检测模型；
第二构建模块，用于获取所述指定系统的感知数据和历史控制命令，并根据所述预设的第一偏差构建对应的样本数据集；检测模块，用于将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
11.进一步地，所述参数获取模块，包括：获取所述控制命令相同任意两组感知数据ti和tj；根据预设的线性回溯公式获取所述状态转换参数；其中，x=（...，t
j-ti，...），y=（...，t
j 1-t
i 1
，...）。
12.进一步地，所述设置模块，包括：根据公式以及=，0＜j＜t
bad
获取所述指定系统的预测感知数据集合；其中，l表示坏数据注入的时间，t
bad
表示坏数据注入的时长，表示注入了坏数据时间j后的预测感知数据，k为常数，且0＜k＜t
bad
；根据所述预测感知数据集合设置多组坏数据；其中，每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
13.进一步地，所述检测模块，包括：将所述样本数据集输入至所述恶意攻击检测模型中；根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离；根据所述距离从所述预存数据集中选取预设个数的近邻数据集；获取各个所述近邻数据集的标签；根据所述标签判断所述样本数据集是否异常，从而判断所述指定系统是否被恶意攻击。
14.进一步地，所述基于网络信息安全的恶意攻击检测系统，还包括：根据检测结果查询预设的误判数据库，以获取多个目标误判数据集；将所述目标误判数据集赋予对应正确的标签，并输入至所述恶意攻击检测模型中进行再训练，直至所述目标误判数据集经由所述恶意攻击检测模型后，可以输出正确的标签为止，从而得到再训练后的目标恶意攻击检测模型。
15.本发明的有益效果：通过获取指定系统的历史数据以伪造坏数据，并将坏数据按照第一偏差的方式构建训练集，避免无法获取大量的训练数据的尴尬情况，从而使恶意攻击模型经过了大量的编造数据训练而成，对编造的数据具有很强的识别能力，进一步保证了网络信息安全。
附图说明
16.图1 是本发明一实施例的一种基于网络信息安全的恶意攻击检测方法的流程示意图；图2 是本发明一实施例的一种基于网络信息安全的恶意攻击检测系统的结构示意框图。
17.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
18.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
19.需要说明，本发明实施例中所有方向性指示（诸如上、下、左、右、前、后等）仅用于解释在某一特定姿态（如附图所示）下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变，所述的连接可以是直接连接，也可以是间接连接。
20.本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。
21.另外，在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。
22.参照图1，本发明提出一种基于网络信息安全的恶意攻击检测方法，包括：s1：按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令；s2：基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数；s3：根据所述状态转换参数设置多组坏数据；s4：将各组所述坏数据持续注入指定系统中，得到坏数据的注入时间和注入完成时间，并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令；s5：根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集；s6：基于所述样本数据集按照预设的第一偏差构建训练数据，并基于异常感知数据的输入时间为每组训练数据输入对应的标签；s7：根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练，得到训练后的恶意攻击检测模型；s8：获取所述指定系统的感知数据和历史控制命令，并根据所述预设的第一偏差构建对应的样本数据集；s9：将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
23.如上述步骤s1所述，按照单位时间通过预设的检测器获取指定系统正常状态下的
历史感知数据以及历史控制命令。其中，按照单位时间获取指定系统的正常状态下的历史感知数据以及历史控制命令，其中，单位时间为预设的时间段，例如以2ms作为一个单位时间，则分别在0ms、2ms、4ms...等具体时间点获取到的历史感知数据以及历史控制命令。检测器，可以通过不同的传感器进行实现，例如数据驱动检测器，基于模型转换的检测器等进行检测。
24.如上述步骤s2所述，基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数。其中，线性回溯的方式后续有详细说明，此处不再赘述，需要说明的是，由于不同的系统所具备的数据，以及其状态转换参数都具有一定的差异，因此，很难直接从现有的数据中获取到相关的训练数据，因此，需要基于该训练数据伪造一部分的坏数据，故而需要获取到其对于的状态转换参数，以便于后续进行坏数据的编造，以形成对应的训练数据。
25.如上述步骤s3所述，根据所述状态转换参数设置多组坏数据。其中，设置多组坏数据的方式后续有详细说明，此处不再赘述。另外，设置多组坏数据的目的是为了使训练数据足够多，此外，还可以设置多组好数据，当然，当历史感知数据和历史控制命令足够多的时候，好数据也可以从中获取，其中好数据是指系统正常产生的数据，坏数据是指非系统产生且具有对系统具有恶意攻击的数据。
26.如上述步骤s4所述，将各组所述坏数据持续注入指定系统中，得到坏数据的注入时间和注入完成时间，并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令。其中可以使用变量来表示在时间k处的控制命令和感知数据的结合，其中，表示在时间k处的控制信号向量，表示在时间k处的感知数据。其中，按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令是为了后续建立对应的标签，以便于完成恶意攻击检测模型的训练。
27.如上述步骤s5所述，根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集。基于上述步骤s4，已经使用了变量来进行描述，故而以该变量构建对应的样本数据集。
28.如上述步骤s6所述，基于所述样本数据集按照预设的第一偏差构建训练数据，并基于异常感知数据的输入时间为每组训练数据输入对应的标签。按照预设的第一偏差构建训练数据的方式可以是直接根据该变量进行，即，其中，为单位时间的倍数，其可以设置为一个单位时间，也可以设置多个单位时间，可以根据系统的检测需要进行设置，本技术对此不作限定。
29.如上述步骤s7所述，根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练，得到训练后的恶意攻击检测模型。其中，预设的分类模型可以是任意的分类模型，例如邻近算法模型、贝叶斯模型、决策树等分类模型。在一个实施例中，优选使用邻近算法模型进行计算，可以便于检测基于状态伪造的持续性感知数据注入攻击的能力。
30.如上述步骤s8所述，获取所述指定系统的感知数据和历史控制命令，并根据所述预设的第一偏差构建对应的样本数据集。获取指定系统的感知数据和历史控制命令，根据第一偏差构建对应的样本数据集，需要说明是，该第一偏差与之前构建训练数据的偏差需要保持相同，以避免产生误差，导致无法检测恶意攻击的数据。
31.如上述步骤s9所述，将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。其中，恶意攻击检测模型可以根据数据进行判断，需要说明的是，若存在少数的数据被打上了恶意标签的情况不视为遭受了恶意攻击，而是需要达到了一定数目后的数据被打上了恶意标签才视为遭受了恶意攻击，该一定数目可以根据实际情况自行设定。
32.由于指定系统遭受的恶意攻击的训练数据较为单一，因此以此训练的效果不佳，而通过获取指定系统的历史数据以伪造坏数据，并将坏数据按照第一偏差的方式构建训练集，避免无法获取大量的训练数据的尴尬情况，从而使恶意攻击模型经过了大量的编造数据训练而成，对编造的数据具有很强的识别能力，进一步保证了网络信息安全。
33.在一个实施例中，所述基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数的步骤s2，包括：s201：获取所述控制命令相同任意两组感知数据ti和tj；s202：根据预设的线性回溯公式获取所述状态转换参数；其中，x=（...，t
j-ti，...），y=（...，t
j 1-t
i 1
，...）。
34.如上述步骤s201-s202所述，实现了对状态转换参数的获取，一般而言，相关人员编造数据的方式，主要是通过修改传感器上的测量值，而改变的方式主要是通过输入不同的命令，以根据状态转换参数生成对应的感知数据，需要说明的是，此处获取到的不仅仅是对于一个固定的控制命令所产生的参数，而是对于所有控制命令所对应的转换参数集合，其中，可以将激活的命令记为1，将未激活的命令记为0，从而得到对应不同单位时间点的控制命令集合，在编造具体的数据时，需要获取到的感知数据是m，根据转换参数集合，可以组合成不同的控制命令集合，当然在同一时间内，处理器不可能处理两种具有冲突的任务，此处需要不同的设定，此外，还需要考虑恶意攻击的形态，合理设置坏数据。
35.在一个实施例中，所述根据所述状态转换参数设置多组坏数据的步骤s3，包括：s301：根据公式以及=，0＜j＜t
bad
获取所述指定系统的预测感知数据集合；其中，l表示坏数据注入的时间，t
bad
表示坏数据注入的时长，表示注入了坏数据时间j后的预测感知数据，k为常数，且0＜k＜t
bad
；s302：根据所述预测感知数据集合设置多组坏数据；其中，每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
36.如上述步骤s301-s302所述，实现了对坏数据的设置，由于前述已经获取到了系统转化参数a，因此，需要其满足任意的需要其满足任意的，以及=，以保证其在输入了坏数据后，其感知数据是符合系统转化参数a的限定的，当然符合条件的坏
数据具有多个，此处可以尽可能的设置更多的坏数据，使后续具有更多的训练数据进行训练。
37.在一个实施例中，所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤s9，包括：s901：将所述样本数据集输入至所述恶意攻击检测模型中；s902：根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离；s903：根据所述距离从所述预存数据集中选取预设个数的近邻数据集；s904：获取各个所述近邻数据集的标签；s905：根据所述标签判断所述样本数据集是否异常，从而判断所述指定系统是否被恶意攻击。
38.如上述步骤s901-s905所述，实现了对指定系统的具体检测，其中，将样本数据集输入至恶意攻击检测模型中，在该恶意攻击检测模型中根据预设的距离计算方法，其中，预设的距离计算方法可以是欧氏距离、余弦距离、汉明距离、曼哈顿距离中的任意一种，然后选取其中预设个数的近邻数据集，预设个数为预先设定的个数，当数据越多，可能其距离就越远，该部分数据对其进行检测结果的影响较小，可能会造成误差，若数据越少，则少量数据无法对检测结果进行全面的覆盖，导致判定结果具有一定的片面性，因此预先设定的个数不宜太多也不宜太少，需要根据实际情况进行设定。根据所述标签判断所述样本数据集是否异常，从而判断所述指定系统是否被恶意攻击。当恶意攻击的标签大于正常标签时，则认为该样本数据集不正常。当恶意攻击的标签不大于正常标签时，则认为该样本数据集正常。
39.在一个实施例中，所述将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击的步骤s9之后，还包括：s1001：根据检测结果查询预设的误判数据库，以获取多个目标误判数据集；s1002：将所述目标误判数据集赋予对应正确的标签，并输入至所述恶意攻击检测模型中进行再训练，直至所述目标误判数据集经由所述恶意攻击检测模型后，可以输出正确的标签为止，从而得到再训练后的目标恶意攻击检测模型。
40.如上述步骤s1001-s1002所述，由于恶意攻击检测模型的训练数据来源主要是通过编造的数据，因此在判定过程中会有一些误判，此时可以将这部分的数据进行记载，当需要更新恶意攻击检测模型，则应当以恶意攻击检测模型中的误判的目标误判数据集来对该恶意攻击检测模型进行重新训练从而更新。从而达到不断优化预设网络模型，可以降低其误判率，从而达到提高判断准确率的有益效果。
41.本发明的有益效果：通过获取指定系统的历史数据以伪造坏数据，并将坏数据按照第一偏差的方式构建训练集，避免无法获取大量的训练数据的尴尬情况，从而使恶意攻击模型经过了大量的编造数据训练而成，对编造的数据具有很强的识别能力，进一步保证了网络信息安全。
42.参照图2，本发明还提供了一种基于网络信息安全的恶意攻击检测系统，包括：数据获取模块10，用于按照单位时间通过预设的检测器获取指定系统正常状态下的历史感知数据以及历史控制命令；
参数获取模块20，用于基于线性回溯的方式根据所述感知数据和所述历史控制命令获取状态转换参数；设置模块30，用于根据所述状态转换参数设置多组坏数据；注入模块40，用于将各组所述坏数据持续注入指定系统中，得到坏数据的注入时间和注入完成时间，并按照单位时间记录注入所述坏数据前的正常感知数据以及正常控制命令，以及注入所述坏数据内的异常感知数据以及异常控制命令；第一构建模块50，用于根据所述正常感知数据、所述正常控制命令、所述异常感知数据以及所述异常控制命令构建样本数据集；输入模块60，用于基于所述样本数据集按照预设的第一偏差构建训练数据，并基于异常感知数据的输入时间为每组训练数据输入对应的标签；训练模块70，用于根据所述训练数据以及对应的标签输入至预设的分类模型中进行训练，得到训练后的恶意攻击检测模型；第二构建模块80，用于获取所述指定系统的感知数据和历史控制命令，并根据所述预设的第一偏差构建对应的样本数据集；检测模块90，用于将所述样本数据集输入至所述恶意攻击检测模型中检测所述指定系统是否被恶意攻击。
43.进一步地，所述参数获取模块20，包括：获取所述控制命令相同任意两组感知数据ti和tj；根据预设的线性回溯公式获取所述状态转换参数；其中，x=（...，t
j-ti，...），y=（...，t
j 1-t
i 1
，...）。
44.进一步地，所述设置模块30，包括：根据公式以及=，0＜j＜t
bad
获取所述指定系统的预测感知数据集合；其中，l表示坏数据注入的时间，t
bad
表示坏数据注入的时长，表示注入了坏数据时间j后的预测感知数据，k为常数，且0＜k＜t
bad
；根据所述预测感知数据集合设置多组坏数据；其中，每组所述坏数据输入所述指定系统后的感知数据与所述预测感知数据集合中的感知数据相同。
45.进一步地，所述检测模块90，包括：将所述样本数据集输入至所述恶意攻击检测模型中；根据预设的距离计算方法计算所述样本数据集与所述恶意攻击检测模型中各个预存数据集的距离；根据所述距离从所述预存数据集中选取预设个数的近邻数据集；获取各个所述近邻数据集的标签；根据所述标签判断所述样本数据集是否异常，从而判断所述指定系统是否被恶意攻击。
46.进一步地，所述基于网络信息安全的恶意攻击检测系统，还包括：根据检测结果查询预设的误判数据库，以获取多个目标误判数据集；将所述目标误判数据集赋予对应正确的标签，并输入至所述恶意攻击检测模型中
进行再训练，直至所述目标误判数据集经由所述恶意攻击检测模型后，可以输出正确的标签为止，从而得到再训练后的目标恶意攻击检测模型。
47.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
48.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。