[发明专利]检测网络入侵用神经网络模型的训练方法、系统及设备

权利要求书

1.一种检测网络入侵用神经网络模型的训练方法，其特征在于，包括：

获取待检测设备的数据传输类型，所述数据传输类型包括单路程设备和多路程设备；

基于所述数据传输类型判断所述待检测设备接收和/或发送的数据的可疑性；

在数据为可疑数据时，获取可疑数据对应的数据日志；

基于所述数据日志，提输出取训练特征并获取攻击标签；

输出所述训练特征和对应的所述攻击标签，对神经网络模型进行训练；

所述基于所述数据传输类型判断数据的可疑性的步骤包括：

在所述待检测设备的所述数据传输类型为单路程设备时，获取待检测设备预设的可信白名单；所述可信白名单包含有可信端口或可信IP；

在所述待检测设备访问所述可信白名单以外的地址时，将访问数据视为可疑数据；

在所述待检测设备接收到所述可信白名单以外的地址传输的数据时，将接收到的数据视为可疑数据；

在所述待检测设备的所述数据传输类型为多路程设备时，将与所述待检测设备对应通信连接的虚拟节点接收的数据视为可疑数据。

2.根据权利要求1所述的一种检测网络入侵用神经网络模型的训练方法，其特征在于：所述数据传输类型包括单路程设备和多路程设备；

所述获取待检测设备的数据传输类型的步骤包括：

获取待检测设备的设备信息；

基于所述设备信息到预设数据库中查询预存在所述数据库中的设备信息表，获得所述待检测设备的数据传输类型；

或，

获取待检测设备的数据传输路径；

基于所述数据传输路径形成路径统计图；

当所述路径统计图中一个所述数据传输路径的统计次数占比超过预设的统计阈值时，视为与该所述路径统计图对应的所述待检测设备为单路程设备；

当路径统计图中没有所述数据传输路径的统计次数占比超过预设的统计阈值时，视为与该所述路径统计图对应的所述待检测设备为多路程设备。

3.根据权利要求2所述的一种检测网络入侵用神经网络模型的训练方法，其特征在于：在所述当所述路径统计图中一个所述数据传输路径的统计次数占比超过预设的统计阈值时，视为与该所述路径统计图对应的所述待检测设备为单路程设备之后，还包括：

将所述路径统计图中统计次数占比未超过统计阈值的所有所述数据传输路径对应的数据视为可疑数据。

4.根据权利要求1所述的一种检测网络入侵用神经网络模型的训练方法，其特征在于：所述与所述待检测设备对应通信连接的虚拟节点的设置步骤包括：

在所述待检测设备与真实终端之间设置若干虚拟节点；

将每个所述虚拟节点均配置一个蜜罐，使所述虚拟节点对于所述待检测设备而言均为真实IP。

5.根据权利要求1所述的一种检测网络入侵用神经网络模型的训练方法，其特征在于：所述基于所述数据日志，提取训练特征并获取攻击标签的步骤包括：

调取数据日志中的时间特征和空间特征，将时间特征和空间特征作为训练特征；

基于所述数据日志获得攻击类型；

根据获得的所述攻击类型到预设的数据库中查找对应的预设攻击标签。

6.根据权利要求5所述的一种检测网络入侵用神经网络模型的训练方法，其特征在于：在所述基于所述数据日志获得攻击类型之后还包括：

输出获得的攻击类型；

获取基于输出的所述攻击类型得到的反馈信息；

在所述反馈信息为确认时，执行所述根据获得的所述攻击类型到预设的数据库中查找对应的预设攻击标签；

在所述反馈信息为修改时，获得反馈信息包含的类型修改数据，将所述攻击类型按照所述类型修改数据进行修改后得到新攻击类型，再根据所述新攻击类型到所述数据库中查找对应的预设攻击标签。