导航：首页> 气体或液体的贮存或分配>网络攻击数据集构建方法、装置、电子设备及存储介质

网络攻击数据集构建方法、装置、电子设备及存储介质

文献发布时间：2023-06-19 19:33:46

技术领域

本申请涉及互联网技术领域，尤其涉及一种网络攻击数据集构建方法、装置、电子设备及可读存储介质。

背景技术

随着网络安全领域研究的深入和网络安全服务的广泛应用，网络攻击数据集的用途越来越广泛，对于网络攻击数据集的需求也越来越大。

目前，通常通过在权威网站上下载网络攻击数据集，但是，当网络攻击数据集的需求过大时，需要频繁在权威网站上下载网络攻击数据集，或者，通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等方法以构建网络攻击数据集时，过于依赖专业人员的数据集构建经验和专业能力，而人的能力是有限度的，则容易出现网络攻击数据集的构建时间较长，从而导致网络攻击数据集的构建效率较低。

发明内容

本申请的主要目的在于提供一种网络攻击数据集构建方法、装置、电子设备及可读存储介质，旨在解决现有技术中网络攻击数据集的构建效率低的技术问题。

为实现上述目的，本申请提供一种网络攻击数据集构建方法，所述网络攻击数据集构建方法包括：

获取网络仿真验证平台中存储的网络攻击流量包；

确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；

根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集。

可选地，所述网络攻击流量包包括至少一个威胁流量包，

所述获取网络仿真验证平台中存储的网络攻击流量包的步骤包括：

查询所述网络仿真验证平台得到至少一条威胁流量数据；

根据各所述威胁流量数据对应的攻击行为时间，对各所述威胁流量数据进行切片，得到所述威胁流量包。

可选地，所述网络攻击流量包包括至少一个威胁流量包，所述平台单步攻击日志数据包括所述威胁流量包对应的第一单步攻击日志数据，所述目标攻击流量包包括目标攻防活动流量包，

所述根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包的步骤包括：

查询所述第一单步攻击日志数据得到各所述威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型；

根据各所述攻击行为类型，对各所述威胁流量包中的各威胁流量数据进行切片得到至少一个目标攻防活动流量包。

可选地，所述网络攻击流量包包括至少一个网络测试仪流量包，所述平台单步攻击日志数据包括所述网络测试仪流量包对应的第二单步攻击日志数据，所述目标攻击流量包包括目标网络测试仪流量包，

所述根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包的步骤包括：

查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；

对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；

在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包。

可选地，所述网络攻击流量包包括至少一个网站攻击流量包，所述平台单步攻击日志数据包括所述网站攻击流量包对应的第三单步攻击日志数据，

所述确定所述网络攻击流量包对应的平台单步攻击日志数据的步骤包括：

将所述网站攻击流量包作为目标流量包，通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果；

若所述检测结果为产生威胁日志结果，则将所述目标流量包对应的平台单步攻击日志数据作为所述第三单步攻击日志数据；

若所述检测结果为未产生威胁日志结果，则通过所述网络仿真验证平台对所述目标流量包进行留存。

可选地，在所述通过所述网络仿真验证平台对所述目标流量包进行留存的步骤之后，还包括：

在预设时间间隔后，将所述目标流量包更新为各所述网站攻击流量包中检测结果为所述未产生威胁日志结果的流量包；

返回执行所述通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果的步骤以及后续步骤，直至各所述目标流量包对应的检测结果均为产生威胁日志结果。

可选地，所述根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集的步骤包括：

获取所述目标攻击流量包的流量包信息；

调整所述流量包信息，对所述目标攻击流量包进行脱密处理，得到脱密攻击流量包；

根据所述脱密攻击流量包对应的特征，构建网络攻击数据集。

为实现上述目的，本申请还提供一种网络攻击数据集构建装置，所述网络攻击数据集构建装置包括：

获取模块，用于获取网络仿真验证平台中存储的网络攻击流量包；

确定模块，用于确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；

构建模块，用于根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集。

可选地，所述网络攻击流量包包括至少一个威胁流量包，所述获取模块还用于：

查询所述网络仿真验证平台得到至少一条威胁流量数据；

根据各所述威胁流量数据对应的攻击行为时间，对各所述威胁流量数据进行切片，得到所述威胁流量包。

可选地，所述网络攻击流量包包括至少一个威胁流量包，所述平台单步攻击日志数据包括所述威胁流量包对应的第一单步攻击日志数据，所述目标攻击流量包包括目标攻防活动流量包，所述确定模块还用于：

查询所述第一单步攻击日志数据得到各所述威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型；

根据各所述攻击行为类型，对各所述威胁流量包中的各威胁流量数据进行切片得到至少一个目标攻防活动流量包。

可选地，所述网络攻击流量包包括至少一个网络测试仪流量包，所述平台单步攻击日志数据包括所述网络测试仪流量包对应的第二单步攻击日志数据，所述目标攻击流量包包括目标网络测试仪流量包，所述确定模块还用于：

查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；

对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；

在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包。

可选地，所述网络攻击流量包包括至少一个网站攻击流量包，所述平台单步攻击日志数据包括所述网站攻击流量包对应的第三单步攻击日志数据，所述确定模块还用于：

将所述网站攻击流量包作为目标流量包，通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果；

若所述检测结果为产生威胁日志结果，则将所述目标流量包对应的平台单步攻击日志数据作为所述第三单步攻击日志数据；

若所述检测结果为未产生威胁日志结果，则通过所述网络仿真验证平台对所述目标流量包进行留存。

可选地，在所述通过所述网络仿真验证平台对所述目标流量包进行留存的步骤之后，所述网络攻击数据集构建装置还用于：

在预设时间间隔后，将所述目标流量包更新为各所述网站攻击流量包中检测结果为所述未产生威胁日志结果的流量包；

可选地，所述构建模块还用于：

获取所述目标攻击流量包的流量包信息；

调整所述流量包信息，对所述目标攻击流量包进行脱密处理，得到脱密攻击流量包；

根据所述脱密攻击流量包对应的特征，构建网络攻击数据集。

本申请还提供一种电子设备，所述电子设备包括：存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的所述网络攻击数据集构建方法的程序，所述网络攻击数据集构建方法的程序被处理器执行时可实现如上述的网络攻击数据集构建方法的步骤。

本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有实现网络攻击数据集构建方法的程序，所述网络攻击数据集构建方法的程序被处理器执行时实现如上述的网络攻击数据集构建方法的步骤。

本申请还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的网络攻击数据集构建方法的步骤。

本申请提供了一种网络攻击数据集构建方法、装置、电子设备及可读存储介质，相比于通过在权威网站上下载网络攻击数据集或者通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等以构建网络攻击数据集的方法，本申请通过获取网络仿真验证平台中存储的网络攻击流量包；确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集，通过借助网络仿真验证平台确定的网络攻击流量包和平台单步攻击日志数据，实现了网络攻击数据集的自动化构建，无需依赖专业人员的数据集构建经验和专业能力，大大缩短了网络攻击数据集的构建时间，从而提高了网络攻击数据集的构建效率。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请网络攻击数据集构建方法第一实施例的流程示意图；

图2为当网络攻击流量包为威胁流量包时网络攻击数据集的构建流程示意图；

图3为当网络攻击流量包为网络测试仪流量包时网络攻击数据集的构建流程示意图；

图4为当网络攻击流量包为网站攻击流量包时网络攻击数据集的构建流程示意图；

图5为本申请实施例中网络攻击数据集构建方法涉及的硬件运行环境的设备结构示意图。

本申请目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其它实施例，均属于本申请保护的范围。

实施例一

本申请实施例提供一种网络攻击数据集构建方法，在本申请网络攻击数据集构建方法的第一实施例中，参照图1，所述网络攻击数据集构建方法包括：

步骤S10，获取网络仿真验证平台中存储的网络攻击流量包；

在本实施例中，需要说明的是，所述网络攻击流量包为所述网络仿真验证平台存储的由网络仿真验证平台向至少一个组织或机构等对象发起攻击时从至少一个来源中得到的流量包，所述网络攻击流量包至少包括威胁流量包、网络测试仪流量包和网站攻击流量包中的一种或多种。所述网络仿真验证平台，也称为网络靶场，是一个网络系统仿真平台，基于一组软硬件资源，包括计算存储服务资源、网络资源、软件资源等，仿真一个目标网络，供多方角色协同使用，服务于网络安全人才培养、网络攻防训练、安全产品评测和网络新技术验证，可作为服务于网络安全技术及网络新技术研究的大科学装置。

作为一种示例，步骤S10包括：在所述网络仿真验证平台中存储的各网络流量包中筛选出网络攻击流量包。

作为一种示例，步骤S10包括：在所述网络仿真验证平台中搭建预设流量包获取环境，通过所述网络仿真验证平台在所述预设流量包获取环境下获取得到存储的网络攻击流量包，其中，所述预设流量包获取环境为预先设置的建立采集网络攻击流量包的用于网络仿真验证平台的基础环境。

步骤S20，确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；

示例性地，步骤S20包括：确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据确定所述网络攻击流量包对应的流量包信息，根据所述流量包信息，在所述网络攻击流量包中筛选得到目标攻击流量包。

作为一种示例，所述根据所述流量包信息，在所述网络攻击流量包中筛选得到目标攻击流量包包括：根据所述流量包信息，对各所述网络攻击流量包进行分类，得到分类结果；根据所述分类结果，在所述网络攻击流量包中筛选得到目标攻击流量包。

作为一种示例，所述根据所述流量包信息，在所述网络攻击流量包中筛选得到目标攻击流量包包括：根据所述流量包信息，对各所述网络攻击流量包进行流量包分析，得到分析结果；根据所述分析结果，在所述网络攻击流量包中筛选得到目标攻击流量包。

步骤S30，根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集。

在本实施例中，需要说明的是，所述目标攻击流量包对应的特征包括所述目标攻击流量包的流量包信息和/或流量包属性，所述目标攻击流量包对应的特征可以为所述目标攻击流量包的攻击行为类型，也可以为所述目标攻击流量包的包头等信息。

其中，在步骤S30中，所述根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集的步骤包括：

步骤S31，获取所述目标攻击流量包的流量包信息；

步骤S32，调整所述流量包信息，对所述目标攻击流量包进行脱密处理，得到脱密攻击流量包；

步骤S33，根据所述脱密攻击流量包对应的特征，构建网络攻击数据集。

在本实施例中，需要说明的是，所述流量包信息为所述目标攻击流量包携带的信息，所述流量包信息至少包括I P地址、MAC地址、数据包描述、基于网络仿真验证平台的攻击标识码中的一种。

示例性地，步骤S31至步骤S33包括：获取所述目标攻击流量包的流量包信息；将所述流量包信息调整为预设流量包信息，对所述目标攻击流量包进行脱密处理，得到脱密攻击流量包；对所述脱密攻击流量包进行特征提取，得到所述脱密攻击流量包对应的特征，根据所述脱密攻击流量包对应的特征，构建网络攻击数据集。

作为一种示例，在所述根据所述脱密攻击流量包对应的特征，构建网络攻击数据集的步骤之后，还包括：根据预设流量包命名格式，对所述脱密攻击流量包附加流量包标签，其中，所述预设流量包命名格式为预先设置的流量包标签的命名方式，所述流量包标签用于表征所述脱密攻击流量包的识别信息；根据所述流量包标签和所述脱密攻击流量包，对网络攻击数据集说明清单进行更新。

可以理解的是，通过在权威网站上下载网络攻击数据集，或者，通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等方法以构建网络攻击数据集时，构建得到的网络攻击数据集的来源具有单一性，局限于某个权威网站或者局限于某项或者某些项攻击，从而导致网络攻击数据集的构建局限性较高。本申请实施例通过在网络仿真验证平台中获取网络攻击流量包，具备多样化的流量包来源，而由于网络攻击数据集是由网络攻击流量包构建得到的从而使得构建得到的网络攻击数据集具备多来源的网络攻击流量包的特征，所以降低了网络攻击数据集的构建局限性。

可以理解的是，由于相关规定，通常不允许个人或者组织自发发起攻击脚本，因此，在通过在权威网站上下载网络攻击数据集，或者，通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等方法以构建网络攻击数据集时，容易出现获取得到的网络攻击流量包的相关数据与实际数据不同，从而导致网络攻击数据集的构建真实性低。本申请实施例通过获取网络仿真验证平台中存储的网络攻击流量包(网络仿真验证平台是在规定时间内受允许发起的真实攻击，因此，满足上述相关规定)，可采集得到真实的威胁事件，而网络攻击数据集是由网络仿真验证平台的网络攻击流量包构建得到的，所以提高了网络攻击数据集的构建真实性。

本申请实施例提供了一种网络攻击数据集构建方法，相比于通过在权威网站上下载网络攻击数据集或者通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等以构建网络攻击数据集的方法，本申请实施例获取网络仿真验证平台中存储的网络攻击流量包；确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集，通过借助网络仿真验证平台确定的网络攻击流量包和平台单步攻击日志数据，实现了网络攻击数据集的自动化构建，无需依赖专业人员的数据集构建经验和专业能力，大大缩短了网络攻击数据集的构建时间，从而提高了网络攻击数据集的构建效率。

实施例二

进一步地，基于本申请第一实施例，在本申请另一实施例中，与上述实施例一相同或相似的内容，可以参考上文介绍，后续不再赘述。在此基础上，其中，在步骤S10中，所述网络攻击流量包包括至少一个威胁流量包，所述获取网络仿真验证平台中存储的网络攻击流量包的步骤包括：

步骤S11，查询所述网络仿真验证平台得到至少一条威胁流量数据；

步骤S12，根据各所述威胁流量数据对应的攻击行为时间，对各所述威胁流量数据进行切片，得到所述威胁流量包。

示例性地，步骤S11至步骤S12包括：对所述网络仿真验证平台中的存储流量数据进行查询，得到至少一条威胁流量数据；获取各所述威胁流量数据对应的攻击行为时间，根据各所述攻击行为时间，对各所述威胁流量数据进行切片，得到所述威胁流量包，其中，所述攻击行为时间为各所述威胁流量数据产生攻击行为的时间，所述攻击行为时间可以为时间段信息，也可以为时刻信息。

作为一种示例，所述获取各所述威胁流量数据对应的攻击行为时间的步骤可以为：获取预设流量时间文件，其中，所述预设流量时间文件包括各存储流量数据和各所述存储流量数据的攻击行为时间之间的映射关系，根据所述威胁流量数据，查询所述预设流量时间文件，得到各所述威胁流量数据对应的攻击行为时间。

作为一种示例，所述步骤S12包括：所述攻击行为时间包括攻击行为时刻，根据各所述攻击行为时刻，对同一时刻的各所述威胁流量数据进行切片，得到所述威胁流量包，或者，所述攻击行为时间包括攻击行为时间段，根据各所述攻击行为时间段，对同一时间段的各所述威胁流量数据进行切片，得到所述威胁流量包。

通过根据攻击行为时间对威胁流量数据进行切片，使得得到的各威胁流量包为同一攻击行为时刻或者同一攻击行为时间段的各威胁流量数据，可降低后续对威胁流量数据包的分析处理时间，进而提高了网络攻击数据集的构建效率。

其中，在步骤S20中，所述网络攻击流量包包括至少一个威胁流量包，所述平台单步攻击日志数据包括所述威胁流量包对应的第一单步攻击日志数据，所述目标攻击流量包包括目标攻防活动流量包，所述根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包的步骤包括：

步骤S21，查询所述第一单步攻击日志数据得到各所述威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型；

步骤S22，根据各所述攻击行为类型，对各所述威胁流量包中的各威胁流量数据进行切片得到至少一个目标攻防活动流量包。

在本实施例中，需要说明的是，所述第一单步攻击日志数据包括各威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型。

示例性地，步骤S21至步骤S22包括：查询所述第一单步攻击日志数据得到各所述威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型；根据各所述攻击行为类型，对各所述威胁流量包中的各威胁流量数据进行切片，得到所述威胁流量数据为同一攻击行为类型和同一攻击行为时间的至少一个目标攻防活动流量包。

通过在已根据攻击行为时间对威胁流量数据进行切片得到威胁流量包的基础上，进一步根据攻击行为类型对威胁流量包进行切片得到目标攻防活动流量包，使得得到的目标攻防活动流量包为同一攻击行为类型且攻击行为类型对应的攻击行为时间也相同，进一步降低后续对目标攻防活动流量包的分析处理时间，进而进一步地提高了网络攻击数据集的构建效率。

作为一种示例，参照图2，图2为当网络攻击流量包为威胁流量包时网络攻击数据集的构建流程示意图，通过网络仿真验证平台获取威胁流量数据，进而获取威胁流量包(图示的有效时间段流量包)，通过对威胁流量包进行切片，根据网络仿真验证平台的单步攻击日志，过滤流量数据，进而获取攻击相关流量和攻击类别，更新特征表示的数据集。

可以理解的是，常规的网络攻击数据集在构建过程中，获取的网络攻击流量包中通常携带大量的I P地址、MAC地址、数据包描述等数据包关键信息，因此，无法广泛公开对外使用，从而导致构建得到的网络攻击数据集的使用局限性较高。本申请实施例通过对目标攻击流量包进行脱密处理，从而可将目标攻击流量包中的数据包关键信息隐藏，因此，由目标攻击流量包构建得到的网络攻击数据集并不包含以上数据包关键信息，所以可以由研究人员和/或各领域机构使用和研究学习，进而降低了网络攻击数据集的使用局限性。

实施例三

进一步地，基于本申请第一实施例和/或第二实施例，在本申请另一实施例中，与上述实施例相同或相似的内容，可以参考上文介绍，后续不再赘述。在此基础上，其中，在步骤S20中，所述网络攻击流量包包括至少一个网络测试仪流量包，所述平台单步攻击日志数据包括所述网络测试仪流量包对应的第二单步攻击日志数据，所述目标攻击流量包包括目标网络测试仪流量包，

所述根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包的步骤包括：

步骤A10，查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；

步骤A20，对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；

步骤A30，在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包。

示例性地，步骤A10至步骤A30包括：查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包；将各所述网络测试仪流量包中所述融合漏洞信息和所述分析漏洞信息不匹配的留存至所述网络仿真验证平台。

其中，在所述将各所述网络测试仪流量包中所述融合漏洞信息和所述分析漏洞信息不匹配的留存至所述网络仿真验证平台的步骤之后，还包括：

在预设时间间隔后，返回执行所述查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息的步骤以及后续步骤，直至各所述网络测试仪流量包对应的所述融合漏洞信息和对应的所述分析漏洞信息均一一匹配。

其中，所述网络攻击流量包包括至少一个网络测试仪流量包，所述获取网络仿真验证平台中存储的网络攻击流量包的步骤包括：

通过所述网络仿真验证平台搭建网络测试仪流量包采集环境，通过所述网络仿真验证平台在所述网络测试仪流量包采集环境下进行流量采集，得到网络测试仪流量包。

作为一种示例，参照图3，图3为当网络攻击流量包为网络测试仪流量包时网络攻击数据集的构建流程示意图，获取网络测试仪流量包，通过网络仿真验证平台攻击检测系统对网络测试仪流量包进行检测，通过网络仿真验证平台的单步攻击威胁日志获取网络测试仪流量包的攻击类别和融合漏洞信息(图示的漏洞信息)，判断漏洞信息与分析漏洞信息是否匹配，若匹配，则更新特征标识的数据集，若不匹配，则通过网络仿真验证平台对网络测试仪流量包进行留存。

可以理解的是，在采用通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等以构建网络攻击数据集的方法时，由于获取途径较为单一，且人的能力是有限度的，因此可能存在构建得到的网络攻击数据集为低版本的情况，而在采用通过在权威网站上下载网络攻击数据集的方法时，可能出现下载得到的网络攻击数据集的版本较低的情况，因此需要频繁重新下载，以使得到的网络攻击数据集为最新版本，因此，无法均衡网络攻击数据集的使用效果和构建效率。

本申请实施例提供了一种网络攻击数据集构建方法，相比于通过在权威网站上下载网络攻击数据集或者通过专业人员借助攻击工具或者攻击原理发起攻击或者编写攻击脚本等以构建网络攻击数据集的方法，本申请实施例通过查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包，由于网络测试仪数据包为网络仿真验证平台中通过网络测试仪获取得到的，可实时更新、快速更新和持续更新，而目标网络测试仪流量包用于构建网络攻击数据集，避免了构建得到的网络攻击数据集为低版本的技术缺陷，进而在保证网络攻击数据集的高使用效果下提高了网络攻击数据集的构建效率。

实施例四

进一步地，基于本申请第一实施例和/或第二实施例和/或第三实施例，在本申请另一实施例中，与上述实施例相同或相似的内容，可以参考上文介绍，后续不再赘述。在此基础上，其中，在步骤S20中，所述网络攻击流量包包括至少一个网站攻击流量包，所述平台单步攻击日志数据包括所述网站攻击流量包对应的第三单步攻击日志数据，

所述确定所述网络攻击流量包对应的平台单步攻击日志数据的步骤包括：

步骤B10，将所述网站攻击流量包作为目标流量包，通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果；

步骤B20，若所述检测结果为产生威胁日志结果，则将所述目标流量包对应的平台单步攻击日志数据作为所述第三单步攻击日志数据；

步骤B30，若所述检测结果为未产生威胁日志结果，则通过所述网络仿真验证平台对所述目标流量包进行留存。

其中，在步骤B30中，在所述通过所述网络仿真验证平台对所述目标流量包进行留存的步骤之后，还包括：

步骤B40，在预设时间间隔后，将所述目标流量包更新为各所述网站攻击流量包中检测结果为所述未产生威胁日志结果的流量包；

步骤B50，返回执行所述通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果的步骤以及后续步骤，直至各所述目标流量包对应的检测结果均为产生威胁日志结果。

可以理解的是，所述网络仿真验证平台定期会对组织或者个人等机构发起攻击，因此，网络仿真验证平台是可以实时更新的。

在本实施例中，需要说明的是，所述预设时间间隔为预先设置的所述网络仿真验证平台的更新时间间隔。

作为一种示例，步骤B10至步骤B50包括：网站攻击流量包包括流量包1、流量包2和流量包3，将流量包1、流量包2和流量包3作为目标流量包，对目标流量包进行攻击检测得到检测结果，流量包1的检测结果为产生威胁日志结果，则将流量包1对应的平台单步攻击日志数据作为所述第三单步攻击日志数据；流量包2和和流量包3的检测结果为未产生威胁日志结果，则通过所述网络仿真验证平台对流量包2和和流量包3进行留存；在预设时间间隔后，将流量包2和和流量包3更新为目标流量包，返回执行通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果的步骤以及后续步骤，直至流量包2和和流量包3的检测结果均为产生威胁日志结果。

通过在预设时间间隔后对上一时间步未产生威胁日志的流量包进行多次检测，从而使得目标流量包的检测具备实时性，而由于目标流量包是用于构建网络攻击数据集的，因此，提高了网络攻击数据集的构建实时性。

其中，所述获取网络仿真验证平台中存储的网络攻击流量包的步骤包括：

在预设网站上获取攻击流量，通过所述网络仿真验证平台搭建网络流量回放环境，通过所述网络仿真验证平台在所述网络流量回放环境下进行流量采集，得到网站攻击流量包。

作为一种示例，参照图4，图4为当网络攻击流量包为网站攻击流量包时网络攻击数据集的构建流程示意图，获取互联网公开的攻击流量，通过网络仿真验证平台攻击检测系统对攻击流量进行检测，判断网络仿真验证平台是否能产生威胁日志，若否，则将攻击流量进行留存，若是，则获取攻击流量的攻击告警和pcap(Packet Capture，网络数据包捕获格式)数据，提取攻击流量的数据集特征，更新特征标识的数据集。

实施例五

本申请实施例还提供一种网络攻击数据集构建装置，所述网络攻击数据集构建装置包括：

获取模块，用于获取网络仿真验证平台中存储的网络攻击流量包；

构建模块，用于根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集。

可选地，所述网络攻击流量包包括至少一个威胁流量包，所述获取模块还用于：

查询所述网络仿真验证平台得到至少一条威胁流量数据；

根据各所述威胁流量数据对应的攻击行为时间，对各所述威胁流量数据进行切片，得到所述威胁流量包。

查询所述第一单步攻击日志数据得到各所述威胁流量包中各威胁流量数据在经网络仿真验证平台融合后的攻击行为类型；

根据各所述攻击行为类型，对各所述威胁流量包中的各威胁流量数据进行切片得到至少一个目标攻防活动流量包。

查询所述第二单步攻击日志数据得到各所述网络测试仪流量包在经网络仿真验证平台融合后的融合漏洞信息；

对各所述网络测试仪流量包进行漏洞分析，得到分析漏洞信息；

在各所述网络测试仪流量包中选取所述融合漏洞信息和所述分析漏洞信息相匹配的目标网络测试仪流量包。

将所述网站攻击流量包作为目标流量包，通过所述网络仿真验证平台对各所述目标流量包进行攻击检测，得到检测结果；

若所述检测结果为产生威胁日志结果，则将所述目标流量包对应的平台单步攻击日志数据作为所述第三单步攻击日志数据；

若所述检测结果为未产生威胁日志结果，则通过所述网络仿真验证平台对所述目标流量包进行留存。

可选地，在所述通过所述网络仿真验证平台对所述目标流量包进行留存的步骤之后，所述网络攻击数据集构建装置还用于：

在预设时间间隔后，将所述目标流量包更新为各所述网站攻击流量包中检测结果为所述未产生威胁日志结果的流量包；

可选地，所述构建模块还用于：

获取所述目标攻击流量包的流量包信息；

调整所述流量包信息，对所述目标攻击流量包进行脱密处理，得到脱密攻击流量包；

根据所述脱密攻击流量包对应的特征，构建网络攻击数据集。

本申请提供的网络攻击数据集构建装置，采用上述实施例中的网络攻击数据集构建方法，解决了网络攻击数据集的构建效率低的技术问题。与现有技术相比，本申请实施例提供的网络攻击数据集构建装置的有益效果与上述实施例提供的网络攻击数据集构建方法的有益效果相同，且该网络攻击数据集构建装置中的其他技术特征与上述实施例方法公开的特征相同，在此不做赘述。

实施例六

本申请实施例提供一种电子设备，所述电子设备包括：至少一个处理器；以及，与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行上述实施例中的网络攻击数据集构建方法。

下面参考图5，其示出了适于用来实现本公开实施例的电子设备的结构示意图。本公开实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器PDA(Persona l Di g ita l Ass i stant，个人数字助理)、PAD(平板电脑)、PMP(Portab le Med i a P l ayer，便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图5所示，电子设备可以包括处理装置(例如中央处理器、图形处理器等)，其可以根据存储在ROM(Read-On l y Memory，只读存储器)中的程序或者从存储装置加载到RAM(Random Access Memory，随机访问存储器)中的程序而执行各种适当的动作和处理。在RAM中，还存储有电子设备操作所需的各种程序和数据。处理装置、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。

通常，以下系统可以连接至I/O接口：包括例如触摸屏、触摸板、键盘、鼠标、图像传感器、麦克风、加速度计、陀螺仪等的输入装置；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置；包括例如磁带、硬盘等的存储装置；以及通信装置。通信装置可以允许电子设备与其他设备进行无线或有线通信以交换数据。虽然图中示出了具有各种系统的电子设备，但是应理解的是，并不要求实施或具备所有示出的系统。可以替代地实施或具备更多或更少的系统。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置从网络上被下载和安装，或者从存储装置被安装，或者从ROM被安装。在该计算机程序被处理装置执行时，执行本公开实施例的方法中限定的上述功能。

本申请提供的电子设备，采用上述实施例中的网络攻击数据集构建方法，解决了网络攻击数据集的构建效率低的技术问题。与现有技术相比，本申请实施例提供的电子设备的有益效果与上述实施例提供的网络攻击数据集构建方法的有益效果相同，且该电子设备中的其他技术特征与上述实施例方法公开的特征相同，在此不做赘述。

应当理解，本公开的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式的描述中，具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

实施例七

本实施例提供一种计算机可读存储介质，具有存储在其上的计算机可读程序指令，计算机可读程序指令用于执行上述实施例中的网络攻击数据集构建方法的方法。

本申请实施例提供的计算机可读存储介质例如可以是U盘，但不限于电、磁、光、电磁、红外线、或半导体的系统、系统或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、RAM、ROM、EPROM(Erasab l eProgrammab l e Read On l y Memory，可擦式可编程只读存储器)或闪存、光纤、CD-ROM(compact d i sc read-on l y memory，便携式紧凑磁盘只读存储器)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、系统或者器件使用或者与其结合使用。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(Rad i o Frequency，射频)等等，或者上述的任意合适的组合。

上述计算机可读存储介质可以是电子设备中所包含的；也可以是单独存在，而未装配入电子设备中。

上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被电子设备执行时，使得电子设备：获取网络仿真验证平台中存储的网络攻击流量包；确定所述网络攻击流量包对应的平台单步攻击日志数据，并根据所述平台单步攻击日志数据，在所述网络攻击流量包中确定目标攻击流量包；根据所述目标攻击流量包和所述目标攻击流量包对应的特征，构建网络攻击数据集。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如Java、Sma l l ta lk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括LAN(Loca lArea Network，局域网)或WAN(Wi de Area Network,广域网)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，模块的名称在某种情况下并不构成对该单元本身的限定。

本申请提供的计算机可读存储介质，存储有用于执行上述网络攻击数据集构建方法的计算机可读程序指令，解决了网络攻击数据集的构建效率低的技术问题。与现有技术相比，本申请实施例提供的计算机可读存储介质的有益效果与上述实施提供的网络攻击数据集构建方法的有益效果相同，在此不做赘述。

实施例八

本申请还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述的网络攻击数据集构建方法的步骤。

本申请提供的计算机程序产品解决了网络攻击数据集的构建效率低的技术问题。与现有技术相比，本申请实施例提供的计算机程序产品的有益效果与上述实施例提供的网络攻击数据集构建方法的有益效果相同，在此不做赘述。

以上仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利处理范围内。

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
专利发明人：罗翠;周可;顾钊铨;王海燕;韩伟红;余涛;
专利申请人：鹏城实验室;