本申请提供了一种网络安全检测的新方法、装置及电子设备，该网络安全检测的新方法包括：分别利用多个检测模型对样本进行安全性检测，得到多个检测结果，每个检测结果用于指示样本为异常样本或正常样本；在多个检测模型的检测结果均为异常样本的情况下，确定样本为目标样本。本申请的技术方案能够降低网络安全检测过程中误报和误拦的比例。

  (19)国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 114866338 A (43)申请公布日 2022.08.05 (21)申请号 6.0 (22)申请日 2022.06.10 (71)申请人 阿里云计算有限公司 地址 310013 浙江省杭州市西湖区转塘科 技经济区块12号 (72)发明人 张毅 (74)专利代理机构 北京布瑞知识产权代理有限 公司 11505 专利代理师 秦卫中 (51)Int.Cl. H04L 9/40 (2022.01) 权利要求书2页 说明书12页 附图5页 (54)发明名称 网络安全检测方法、装置及电子设备 (57)摘要 本申请提供了一种网络安全检测方法、装置 及电子设备，该网络安全检测方法有：分别利 用多个检测模型对样本做安全性检验测试，得到多 个检测结果，每个检测结果用于指示样本为异常 样本或正常样本；在多个检测模型的检测结果均 为异常样本的情况下，确定样本为目标样本。本 申请的技术方案能够降低网络安全检验测试过程中 误报和误拦的比例。 A 8 3 3 6 6 8 4 1 1 N C CN 114866338 A 权利要求书 1/2页 1.一种网络安全检测的新方法，其特征在于，包括： 分别利用多个检测模型对样本进行安全性检测，得到多个检测结果，每个检测结果用 于指示所述样本为异常样本或正常样本； 在所述多个检测模型的检测结果均为异常样本的情况下，确定所述样本为目标样本。 2.根据权利要求1所述的网络安全检测的新方法，其特征在于，还包括： 在所述多个检测模型中的部分检测模型的检测结果为异常样本的情况下，根据预设的 安全策略确定所述样本为所述目标样本。 3.根据权利要求2所述的网络安全检测的新方法，其特征在于，所述根据预设的安全策略确 定所述样本为所述目标样本，包括： 在所述多个检测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下， 确定所述样本为所述目标样本，其中对安全性要求越高，所述预设值越大。 4.根据权利要求2所述的网络安全检测方法，其特征在于，所述根据预设的安全策略确 定所述样本为所述目标样本，包括： 在所述多个检测模型中检测结果为异常样本的检测模型为指定的检测模型的情况下， 确定所述样本为所述目标样本。 5.根据权利要求1所述的网络安全检测方法，其特征在于，还包括： 在所述多个检测模型中的部分检测模型的检测结果为异常样本的情况下，将所述样本 加入灰名单，所述灰名单用于指示潜在的目标样本。 6.根据权利要求5所述的网络安全检测方法，其特征在于，还包括： 在所述多个检测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常 样本的检测模型的数目的情况下，利用所述样本训练所述多个检测模型中检测结果为正常 样本的检测模型。 7.根据权利要求6所述的网络安全检测方法，其特征在于，所述多个检测模型中检测结 果为正常样本的检测模型的数目为1。 8.根据权利要求1所述的网络安全检测方法，其特征在于，在所述利用多个检测模型对 样本进行安全性检测之前，还包括： 根据白名单和/或第一黑名单对原始样本进行过滤，以得到所述样本，所述白名单用于 指示允许通过的原始样本中包含的字段信息，所述第一黑名单用于指示需要被处罚的原始 样本中包含的字段信息。 9.根据权利要求1所述的网络安全检测方法，其特征在于，还包括： 在所述多个检测模型的检测结果均为异常样本的情况下，将所述样本的来源信息加入 到第二黑名单中； 根据所述第二黑名单对与所述样本的来源信息相同的样本进行处罚。 10.根据权利要求1所述的网络安全检测方法，其特征在于，所述多个检测模型为异构 模型。 11.根据权利要求1所述的网络安全检测方法，其特征在于，所述多个检测模型包括语 法引擎模型、语义引擎模型、实时计算模型和引擎离线计算模型中的至少一个。 12.根据权利要求1至11中任一项所述的网络安全检测方法，其特征在于，所述样本包 括统一资源定位符URL请求、邮箱地址或互联网协议IP地址。 2 2 CN 114866338 A 权利要求书 2/2页 13.一种网络安全检测装置，其特征在于，包括： 检测模块，用于分别利用多个检测模型对样本进行安全性检测，得到多个检测结果，每 个检测结果用于指示所述样本为异常样本或正常样本； 确定模块，用于在所述多个检测模型的检测结果均为异常样本的情况下，确定所述样 本为目标样本。 14.一种电子设备，其特征在于，包括： 处理器； 用于存储所述处理器可执行指令的存储器， 其中，所述处理器用于执行上述权利要求1至12中任一项所述的网络安全检测方法。 3 3 CN 114866338 A 说明书 1/12页 网络安全检测方法、装置及电子设备 技术领域 [0001] 本申请涉及计算机技术领域，具体涉及一种网络安全检测方法、装置及电子设备。 背景技术 [0002] 随着互联网技术的快速发展，网络安全也越来越受到重视。通过网络安全检测技 术可以拦截恶意请求，维护网络安全。现有的网络安全检测技术可以降低漏报和漏拦的比 例，但是存在误报和误拦的情况，这样容易对正常应用操作造成影响，而且在一些情况下， 误报和误拦对正常应用操作产生的影响可能超过漏报和漏拦对正常应用操作产生的影响。 发明内容 [0003] 有鉴于此，本申请实施例提供了一种网络安全检测方法、装置及电子设备，能够降 低网络安全检测过程中误报和误拦的比例。 [0004] 第一方面，本申请的实施例提供了一种网络安全检测方法，包括：分别利用多个检 测模型对样本进行安全性检测，得到多个检测结果，每个检测结果用于指示样本为异常样 本或正常样本；在多个检测模型的检测结果均为异常样本的情况下，确定样本为目标样本。 [0005] 第二方面，本申请的实施例提供了一种网络安全检测装置，包括：检测模块，用于 分别利用多个检测模型对样本进行安全性检测，得到多个检测结果，每个检测结果用于指 示样本为异常样本或正常样本；确定模块，用于在多个检测模型的检测结果均为异常样本 的情况下，确定样本为目标样本。 [0006] 第三方面，本申请的实施例提供了一种电子设备，包括：处理器；用于存储处理器 可执行指令的存储器，其中，处理器用于执行上述第一方面所述的网络安全检测方法。 [0007] 第四方面，本申请的实施例提供了一种计算机可读存储介质，存储介质存储有计 算机程序，计算机程序用于执行上述第一方面所述的网络安全检测方法。 [0008] 第五方面，本申请的实施例提供了一种计算机程序产品，所述计算机程序产品中 包括指令，所述指令被计算机设备的处理器执行时，使得所述计算机设备能够执行上述实 施方式中的方法步骤。 [0009] 本申请实施例提供了一种网络安全检测方法、装置及电子设备，通过利用多个检 测模型分别对样本进行安全性检测以得到多个检测结果，并在多个检测结果均为异常样本 时，将该样本确定为目标样本，如此可以降低网络安全检测过程中误报和误拦的比例。 附图说明 [0010] 图1所示为一种网络安全检测系统的架构示意图。 [0011] 图2所示为本申请另一示例性实施例提供的网络安全检测系统的架构示意图。 [0012] 图3所示为本申请一示例性实施例提供的网络安全检测方法的流程示意图。 [0013] 图4所示为本申请另一示例性实施例提供的网络安全检测方法的流程示意图。 [0014] 图5所示为本申请一示例性实施例提供的目标样本检测过程的示意图。 4 4 CN 114866338 A 说明书 2/12页 [0015] 图6所示为本申请一示例性实施例提供的灰样本集合关系的示意图。 [0016] 图7所示为本申请一示例性实施例提供的网络安全检测装置的结构示意图。 [0017] 图8所示为本申请一示例性实施例提供的用于执行网络安全检测方法的电子设备 的框图。 具体实施方式 [0018] 下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本 申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实 施例，都属于本申请保护的范围。 [0019] 误报和误拦是安全领域固有的问题，在一些情况下，该问题的存在会对正常应用 操作造成较大的影响，且给用户的体验不好。 [0020] 目前可以通过设置白名单的方式添加“例外”，即命中白名单的样本不会被处罚， 但是白名单通常是一个小集合，仅能服务添加进来的“例外”，因此常被做兜底和应急使用。 [0021] 相对于传统设备，云上的安全服务会增加一种灰度观察模式，灰度观察可以在更 新线上版本时，按照部署情况逐机器、逐功能、逐阶段地替换功能组件的过程。但是灰度观 察仅能用在发布过程中，对发布上线后的运行状态不起作用。 [0022] 数据预处理可以在一定程度上降低误报和误拦，但是在实际运行过程中，数据预 处理可能会造成真实数据的丢失，而任何真实数据的丢失，都可能会产生错误的判断。 [0023] 鉴于上述技术问题，本申请实施例提供了一种网络安全检测方法，可以降低网络 安全检测过程中误报和误拦的比例。 [0024] 示例性系统 [0025] 图1所示为一种网络安全检测系统100的架构示意图，如图1所示，系统100包括：用 户终端110和服务器120。用户终端110可以接收用户输入的请求，并将请求发送至服务器 120，这里请求可以看作样本。服务器120可以通过多个检测模型对该请求进行安全性检测， 以确定该请求是否满足安全要求。如果该请求不满足安全要求，则对该请求进行拦截，否则 放行，即不拦截。 [0026] 具体地，服务器120可以通过多个串联的检测模型对请求进行安全性检测，如图1 所示，利用检测模型121对请求进行安全性检测，如果检测模型121的检测结果为异常样本 (也可称为黑样本)，则表明该请求不满足检测模型121的安全性要求，服务器120可以对该 请求进行拦截。如果检测模型121的检测结果为正常样本，则表明该请求满足检测模型121 的安全性要求，继续利用检测模型122对请求进行安全性检测，检测模型122的检测过程与 检测模型121类似。 [0027] 在该技术方案中，当某检测模型的检测结果为异常样本时，则直接对请求进行拦 截，不再利用其它的检测模型对请求进行检测；当某检测模型的检测结果为正常样本时，则 继续利用下一个检测模型对请求进行检测。多个检测模型121，122……123的安全性检测规 则可以各不相同。 [0028] 应理解，服务器120可以接收多个用户终端发送的多个请求，并对多个请求进行安 全性检测。例如，在某个时间段内，检测模型121对100个请求进行检测，100个请求中有80个 5 5 CN 114866338 A 说明书 3/12页 请求的检测结果为正常样本，20个为异常样本，则服务器120对20个异常样本进行拦截，将 80个正常样本(80个请求)输入检测模型122进行检测。检测模型122的检测结果为80个请求 中有10个请求为异常样本，70个请求为正常样本，则服务器120对10个异常样本进行拦截， 将70个正常样本输入下一个检测模型进行检测，以此类推，直至最后一个检测模型123。 [0029] 在该技术方案中，多个串联的检测模型可以确保每一层的安全能力是可以叠加 的，即通过层层防御来达到纵深的防御效果。当恶意流量流经这些防御层，至少有一层能发 出预警并做出防护。 [0030] 该技术方案可以提高检测效率，实现边检测边拦截的效果，此外，通过串联的检测 模型对请求进行检测，可以避免漏报和漏拦的情况，有效地提高网络安全。 [0031] 然而，该技术方案容易出现误报和误拦的问题，而误报和误拦对正常应用操作的 影响，有时会超过恶意请求对正常应用操作的影响。因此，降低网络安全检测过程中误报和 误拦的比例，对维护网络安全以及正常应用操作的运行是有重要意义的。 [0032] 本申请的实施例通过利用多个检测模型分别对样本进行检测，并在多个检测模型 的检测结果均为异常样本的情况下，将样本确定为目标样本，即需要被处罚的异常样本，如 此可以降低网络安全检测过程中误报和误拦的比例。 [0033] 图2所示为本申请一示例性实施例提供的网络安全检测系统200的架构示意图，如 图2所示，系统200包括：用户终端210和服务器220。用户终端210可以接收用户输入的请求， 并将请求发送至服务器220，这里请求可以看作样本。服务器220可以通过多个检测模型对 该请求进行安全性检测，以确定该请求是否满足安全要求。如果该请求不满足安全要求，则 对该请求进行拦截，否则放行。 [0034] 具体地，服务器220可以通过多个并联的检测模型对请求进行安全性检测，如图2 所示，利用多个检测模型221，222……223分别对请求进行安全性检测，任一检测模型的检 测结果为异常样本(也可称为黑样本)或正常样本，异常样本表明该请求不满足该检测模型 的安全性要求，正常样本表明该请求满足该检测模型的安全性要求。若多个检测模型的检 测结果均为异常样本，则服务器220对该请求进行拦截。 [0035] 应理解，服务器220可以接收多个用户终端发送的多个请求，并对多个请求进行安 全性检测。例如，在某个时间段内，多个检测模型221，222……223分别对100个请求进行检 测，每个检测模型可以输出一个异常样本集合，服务器220可以确定多个检测模型输出的异 常样本集合的交集，并对交集中的请求进行拦截。 [0036] 本实施例提供的网络安全检测系统可以避免某个检测模型检测结果不准确而造 成误报和误拦的情况，保证应用操作的正常进行。例如，采用图1所示的系统对请求进行检 测时，若某个检测模型的检测结果为异常样本，则对该请求进行拦截。但是如果该检测模型 本身存在问题，误将正常样本判断为异常样本，则会出现误报和误拦的情况。而采用图2所 示的系统对请求进行检测时，是在多个检测模型的检测结果均为异常样本的情况下，才对 该请求进行拦截，如此可以避免误报和误拦。 [0037] 除了可以对多个异常样本集合的交集进行处理，图2的系统还可以根据预设的安 全策略对多个异常样本集合中其他的元素进行分级处理，具体的处理过程可参见下面方法 部分的描述。 [0038] 需要注意的是，上述应用场景仅是为了便于理解本申请的精神和原理而示出，本 6 6 CN 114866338 A 说明书 4/12页 申请的实施例并不限于此。相反，本申请的实施例可以应用于可能适用的任何场景。 [0039] 示例性方法 [0040] 图3所示为本申请一示例性实施例提供的网络安全检测方法的流程示意图。图3的 方法可由计算设备(例如，图2中的服务器)执行。如图3所示，该网络安全检测方法有如下 内容。 [0041] 310：分别利用多个检测模型对样本做安全性检验测试，得到多个检测结果，每个检 测结果用于指示样本为异常样本或正常样本。 [0042] 具体地，样本可以包括统一资源定位符(Uniform Resource Locator，URL)请求、 邮箱地址或互联网协议(Internet Protocol，IP)地址。例如，样本可以是网络请求、主机远 程登录请求或其他访问请求。可选地，样本还可以是IP包等等。本申请的实施例对样本的个 数不作限定，即可利用多个检测模型中每个检测模型对一个或多个样本进行安全性检测， 例如，可以逐个样本进行安全性检测，也可以是地对某段时间内的多个样本进行安全性检 测。 [0043] 以URL请求为例，样本中可以包括多个字段，每个字段可以代表不同的含义，字段 的具体含义可视具体的应用场景而定。 [0044] 多个检测模型的结构可以不同，如为异构模型，即，多个检测模型的安全性检测规 则不同，或者说，多个检测模型可以从不同维度对样本进行安全性检测。各个检测模型之间 相互独立。例如，多个检测模型包括语法引擎模型、语义引擎模型、实时计算模型和引擎离 线计算模型中的至少一个。语法引擎模型可以用于检测样本中是否存在语法问题，即从语 法的维度去检测样本中是否存在恶意行为；语义引擎模型可以用于检测样本中是否存在语 义问题，例如语义不明，或语义满足异常样本要求等，即从语义角度去检测样本中是否存在 恶意行为；实时计算模型用于对实时数据(样本)进行处理；引擎离线计算模型用于结合历 史经验数据(离线数据)对样本进行检测。 [0045] 进一步地，多个检测模型还可以包括其他种类或结构的模型，检测模型的具体类 型或结构可以根据实际的应用需求进行选择，如可以根据实际的安全防护系统配置相应的 检测模型。检测模型越多，检测的辐射面越大，输出的需要被处罚的异常样本准确率越高。 [0046] 每个检测模型都对样本进行检测并得到对应的检测结果，检测结果用于指示样本 为异常样本或正常样本。例如，检测结果可以通过对样本添加的字符、颜色等标记信息来表 示该样本为异常样本/正常样本；或者，检测结果可以通过正常样本列表信息(在一些情况 下，可作为白名单)和异常样本列表信息(在一些情况下，可作为黑名单)来表示，位于正常 样本列表信息中的样本即为正常样本，位于异常样本列表信息中的样本即为异常样本，也 可以称为黑样本。应理解，检测结果的具体呈现方式可以根据实际需要进行设计，其不限于 本申请实施例所列举的方式。在对预设时段内的多个样本一起进行安全性检测的情况下， 可以将异常样本设置在黑名单中，并将正常样本设置在白名单中，以方便后续进行集中处 理。 [0047] 异常样本表明该样本不满足检测模型的安全性要求，正常样本表明该样本满足检 测模型的安全性要求。 [0048] 320：在多个检测模型的检测结果均为异常样本的情况下，确定样本为目标样本。 [0049] 目标样本可以是需要被处罚的异常样本。当多个检测模型对该样本的检测结果均 7 7 CN 114866338 A 说明书 5/12页 为异常样本时，将该样本确定为目标样本，后续可以对目标样本进行处罚，这样可以充分考 虑各个检测模型的检测结果，并降低误报和误拦的比例。 [0050] 如果该样本在多个检测模型中的检测结果均为正常样本，则可以对该样本进行放 行，不作处罚。 [0051] 本实施例中的处罚可以是指对需要被处罚的异常样本进行拦截，或者对需要被处 罚的异常样本的用户账号或IP地址进行封禁、或对需要被处罚的异常样本的用户账号进行 权限限制等。 [0052] 本申请实施例提供了一种网络安全检测方法，通过利用多个检测模型分别对样本 进行安全性检测以得到多个检测结果，并在多个检测结果均为异常样本时，将该样本确定 为目标样本，如此可以降低网络安全检验测试过程中误报和误拦的比例。 [0053] 根据本申请一实施例，该网络安全检测的新方法还包括：在多个检测模型中的部分检 测模型的检测结果为异常样本的情况下，根据预设的安全策略确定样本为目标样本。 [0054] 具体地，如果样本在部分检测模型中的检测结果为异常样本，而在另外一部分检 测模型中的检测结果为正常样本，则可以暂时不将该样本确定为需要被处罚的样本，可以 对该样本作进一步的检测。例如，可以将该样本作为灰样本，灰样本是介于异常样本和正常 样本之间，可以认为是有较轻的恶意行为，但还没有明确确定为目标样本。 [0055] 在一示例中，可以根据预设的安全策略对灰样本做判断，以确定灰样本是正常 样本还是需要被处罚的异常样本。在对预设时段内的多个样本一起进行安全性检验测试的情况 下，可以将灰样本设置在灰名单中，以方便后续进行集中处理。 [0056] 在另一示例中，可以利用区别于步骤310中多个检测模型的其他类型的检测模型 对灰样本进行检测，以确定灰样本是正常样本还是需要被处罚的异常样本。 [0057] 本实施例提供的网络安全检测的新方法，在多个检测模型对样本的检测结果均为异常 样本的情况下，将该样本确定为目标样本，这样可以降低误报和误拦的比例；进一步地，在 部分检测模型对样本的检测结果为异常样本的情况下，继续对该样本进行判断以确定该样 本是正常样本还是目标样本，这样可以避免漏报和漏拦。此外，通过并行的多个检测模型检 测样本，并综合各个检测模型的检测结果确定目标样本，可以将检测过程和处罚过程区分 开，如此可以通过多个检测模型相互之间的制约来确保最小的误报和误拦，同时不影响多 个检测模型纵深的检测能力，即可以确保最大化的检测以及最小化的处罚。综上，本申请实 施例提供的网络安全检测的新方法可以提高检测结果的准确性，且在保证网络运行安全的同时 保证网络应用操作的正常运行。 [0058] 根据本申请一实施例，根据预设的安全策略确定样本为目标样本，包括：在多个检 测模型中检测结果为异常样本的检测模型的数目大于预设值的情况下，确定样本为目标样 本，其中对安全性要求越高，预设值越大。 [0059] 在多个检测模型的检测结果不完全一致的情况下，可以继续判断多个检测模型中 的大部分检测模型的检测结果是否一致，如果一致，则可以将大部分检测模型的检测结果 作为最终的检测结果。由于小部分检测模型的检测结果不一致可能是模型本身原因导致的 误判，因此将大部分检测模型的检测结果作为最终的检测结果，也可以在一定程度上保证 最终检测结果的准确性，降低漏报和漏拦的比例以及误报和误拦的比例。 [0060] 因此，预设的安全策略可以与检测结果为异常样本的检测模型的数目相关。比如， 8 8 CN 114866338 A 说明书 6/12页 预设的安全策略包括：检测结果为异常样本的检测模型的数目大于预设值。例如，预设值为 50％、60％、70％、80％或90％等，具体数值可以根据需要进行设置。安全性要求越高，则预 设值越大。 [0061] 本实施例中，在多个检测模型的检测结果不完全一致且多个检测模型中检测结果 为异常样本的检测模型的数目大于预设值的情况下，确定样本为目标样本，可以降低漏报 和漏拦的比例以及误报和误拦的比例。 [0062] 可选地，根据预设的安全策略确定样本为目标样本，包括：在多个检测模型中检测 结果为异常样本的检测模型为指定的检测模型的情况下，确定样本为目标样本。 [0063] 预设的安全策略可以与检测结果为异常样本的检测模型的类型相关。比如，预设 的安全策略包括：检测结果为异常样本的检测模型为指定的检测模型。这样，在多个检测模 型中的部分检测模型的检测结果为异常样本(即，多个检测模型的检测结果不完全一致)的 情况下，若多个检测模型中检测结果为异常样本的检测模型包括指定的检测模型，则可以 确定样本为目标样本。 [0064] 指定的检测模型可以根据实际的应用场景来确定，例如，在特定的应用场景中，某 个或某些检测模型的处理是比较重要的考虑因素，可以将某个或某些检测模型确定为指定 的检测模型。 [0065] 本实施例中，在多个检测模型的检测结果不完全一致且多个检测模型中检测结果 为异常样本的检测模型包括指定的检测模型的情况下，确定样本为目标样本，可以降低漏 报和漏拦的比例以及误报和误拦的比例。 [0066] 根据本申请一实施例，该网络安全检测的新方法还包括：在多个检测模型中的部分检 测模型的检测结果为异常样本的情况下，将样本加入灰名单，灰名单用于指示潜在的目标 样本。 [0067] 在多个检测模型中的部分检测模型的检测结果为异常样本的情况下，被检测的样 本可以确定为灰样本。灰名单可以包括一个或多个灰样本，即灰名单可以看作一个样本集 合。 [0068] 根据预设的安全策略可以对灰名单中的灰样本进行进一步判断，以确定灰样本是 否是目标样本。具体的判断过程可以参见上述实施例中的描述。 [0069] 进一步地，该网络安全检测的新方法还包括：在多个检测模型中检测结果为异常样本 的检测模型的数目大于检测结果为正常样本的检测模型的数目的情况下，利用样本训练多 个检测模型中检测结果为正常样本的检测模型。 [0070] 具体地，若检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检 测模型的数目，则说明检测结果为正常样本的检测模型可能存在误判的情况。例如，总的检 测模型的数目为10，检测结果为异常样本的检测模型的数目为9，检测结果为正常样本的检 测模型的数目为1，此时检测结果为正常样本的检测模型存在误判的可能性很大，这可能与 检测模型本身的结构有很大关系。因此可以调整该检测模型的结构，并利用该样本(灰样 本)对该检测模型进行训练，以得到性能优化的检测模型。 [0071] 当然，在检测结果为正常样本的检测模型的数目大于1的情况下，可以分别调整这 些检测模型的结构，并利用灰样本对这些检测结果为正常样本的检测模型进行训练，只要 检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的数目即可。 9 9 CN 114866338 A 说明书 7/12页 [0072] 在一示例中，用于训练的灰样本可以默认做了异常样本标记，利用做了异常样本 标记的灰样本训练检测模型，可以得到性能优化的检测模型。 [0073] 本实施例中，通过利用灰样本对检测结果为正常样本的检测模型进行训练可以提 高检测结果为正常样本的检测模型的检测性能。而且，系统可以保持动态的数据流检测方 式，灰样本可以动态生成，基于动态生成的灰样本可以动态提升检测模型的检测性能。 [0074] 根据本申请一实施例，在利用多个检测模型对样本进行安全性检测之前，还包括： 根据白名单和/或第一黑名单对原始样本进行过滤，以得到样本，白名单用于指示允许通过 的原始样本中包含的字段信息，第一黑名单用于指示需要被处罚的原始样本中包含的字段 信息。 [0075] 具体地，白名单和第一黑名单中包含的字段信息可以是根据不同的应用场景而设 定的。字段信息可以是关键词、字符串等信息。例如，关于特定会议的应用场景，白名单中包 括的字段信息可以为特定会议名称等非敏感词语，第一黑名单中包括的字段信息可以为敏 感词语，这里不限定具体哪些词语可作为敏感词语，可以根据需要设置。若原始样本中包含 白名单中罗列的字段信息，则原始样本被确定为白样本，该白样本可直接被放行；若原始样 本中包含第一黑名单中罗列的字段信息，表明原始样本存在恶意行为，则原始样本被确定 为黑样本，该黑样本可以直接被拦截。若原始样本既不包含白名单中罗列的字段信息，也不 包含第一黑名单中罗列的字段信息，则原始样本被确定为灰样本。该灰样本可以作为原始 样本过滤后的样本，并作为步骤310中多个检测模型的输入。 [0076] 可选地，字段信息可以包括来源信息，例如，白名单可用于指示允许通过的原始样 本的来源信息，第一黑名单可用于指示需要被处罚的原始样本的来源信息。 [0077] 具体地，来源信息可以是样本所包含的IP地址、样本所包含的用户名或其他可以 表征样本来源的信息。若原始样本中包含白名单中罗列的来源信息，则原始样本被确定为 白样本，该白样本可直接被放行；若原始样本中包含第一黑名单中罗列的来源信息，则原始 样本被确定为黑样本，该黑样本可以直接被拦截。若原始样本既不包含白名单中罗列的来 源信息，也不包含第一黑名单中罗列的来源信息，则原始样本被确定为灰样本。 [0078] 本实施例中对原始样本的过滤过程可以看作是目标样本检测的预判断过程，通过 预判断过程可以快速地筛选出满足白名单的样本以及满足第一黑名单的样本，并将既不满 足白名单也不满足第一黑名单的样本作为灰样本，利用检测模型对灰样本进行进一步的判 断。预判断过程的白名单和第一黑名单可以根据不同的应用场景和应用策略进行设定，尽 可能避免误报和误拦的情况。例如，预判断过程可以采用动态的白名单/第一黑名单，尤其 在零信任系统中，增加动态的白名单/第一黑名单来调整应用间的信任关系，可以在实现零 信任的同时减少误报和误拦的发生。 [0079] 为了便于区分，预判断过程得到的灰样本可以表示为第一灰样本，而经过多个检 测模型得到的灰样本可以表示为第二灰样本。 [0080] 根据本申请一实施例，该网络安全检测的新方法还包括：在多个检测模型的检测结果 均为异常样本的情况下，将样本的来源信息加入到第二黑名单中；根据第二黑名单对与样 本的来源信息相同的样本进行处罚。 [0081] 具体地，在多个检测模型的检测结果均为异常样本的情况下，可以直接对该样本 进行处罚，如拦截。或者，可以将该样本的来源信息加入到第二黑名单中，并根据第二黑名 10 10 CN 114866338 A 说明书 8/12页 单对与该样本的来源信息相同的样本进行处罚。例如，可以对当前的样本进行处罚，并对之 后检测的包含该来源信息的样本进行处罚。处罚可以是指对样本进行拦截，或对该样本对 应的用户账号进行封禁，或对发出该样本的IP地址进行封禁等等。来源信息的具体内容可 以参见上述实施例中的描述，此处不再赘述。 [0082] 本实施例中获得的第二黑名单可以是动态的数据，且可以用于预判断过程判断原 始样本是否是黑样本，这样可以动态提升黑样本的检测效率及准确度；或者用于模型检测 过程后的进一步检测过程，即判断模型检测过程后获得的灰样本是否是目标样本，这样第 二黑名单可以作为预设的安全策略，提高目标样本的检测准确度。 [0083] 以下以一定时间内输入的多个原始样本为例，对本申请实施例提供的网络安全检 测方法进行具体的描述。 [0084] 如图4所示，本申请另一示例性实施例提供了一种网络安全检测的新方法。图4实施例 是图3实施例的例子，为避免重复，相同之处不再赘述。图4所示的网络安全检测的新方法包括如 下内容。 [0085] 410：根据白名单和第一黑名单对多个原始样本做预判断，以得到白样本、黑样 本和第一灰样本集合，并对白样本进行放行，对黑样本进行拦截。 [0086] 多个原始样本可以是在一定时间内输入到网络安全检测系统的。 [0087] 白名单和第一黑名单的具体内容可以参见上述实施例中的描述。如图5所示，在预 判断过程，利用白名单从多个原始样本中筛选出白样本，并对白样本放行(不拦截)；利用第 一黑名单从多个原始样本中筛选出黑样本，并对黑样本进行拦截。未被确定为白样本/黑样 本的原始样本可以确定为灰样本，灰样本可以以灰名单的形式进行表示，灰样本的个数可 以是一个或多个，即灰名单可以看作一个样本集合，如灰样本集合。 [0088] 420：分别利用多个检测模型对第一灰样本集合中的灰样本进行安全性检验测试，得到 多个第三灰样本集合和多个正常样本集合。 [0089] 具体地，每个检测模型可以对第一灰样本集合中的灰样本做处理，输出的检测 结果可以包括异常样本集合和正常样本集合，这里，每个检测模型输出的异常样本集合中 的样本并不一定是目标样本，即需要被处罚的异常样本，因此每个检测模型输出的异常样 本集合可以作为第三灰样本集合，其需要经过后续的聚合处理来确定最终的目标样本。 [0090] 如图5所示，检测模型1输出第三灰样本集合1和正常样本集合1；检测模型2输出第 三灰样本集合2和正常样本集合2；……检测模型N输出第三灰样本集合N和正常样本集合N。 [0091] 430：对多个第三灰样本集合和多个正常样本集合进行聚合处理，得到交集1、交集 2以及集合3。 [0092] 如图5所示，交集1可以表示多个第三灰样本集合的交集，交集1中的样本可作为目 标样本；交集2可以表示多个正常样本集合的交集，交集2中的样本可作为需要被放行的正 常样本；集合3可以表示多个第三灰样本集合的并集减去交集1的集合，集合3中的样本可以 作为需要进行进一步判断的灰样本，即集合3可以看作是第二灰样本集合。 [0093] 440：对交集1中的样本进行处罚，对交集2中的样本进行放行，并根据预设的安全 策略确定集合3中的目标样本。 [0094] 以三个检测模型为例，可以得到如图6所示的三个第三灰样本集合。第三灰样本集 合1、第三灰样本集合2和第三灰样本集合3的交集可以作为确定的需要被处罚的目标样本 11 11 CN 114866338 A 说明书 9/12页 集合(交集1)。第三灰样本集合1和第三灰样本集合2的交集减去交集1的集合可以作为候选 目标样本集合1，第三灰样本集合1和第三灰样本集合3的交集减去交集1的集合可以作为候 选目标样本集合2，第三灰样本集合2和第三灰样本集合3的交集减去交集1的集合可以作为 候选目标样本集合3。换句话说，只出现在两个第三灰样本集合中的样本可形成候选目标样 本集合。 [0095] 类似地，当检测模型的数目(第三灰样本集合的数目)N大于3时，只出现在N‑1、N‑ 2、……2个第三灰样本集合中的样本可分别形成候选目标样本集合。 [0096] 可以根据预设的安全策略确定候选目标样本集合中的样本是否是目标样本，即需 要被处罚的异常样本。预设的安全策略可以包括多个层级，例如，第一层级为候选目标样本 集合所涉及的检测模型的数目大于预设值，则将该候选目标样本集合中的样本确定为目标 样本；第二层级为候选目标样本集合所涉及的检测模型包括指定的检测模型，则将该候选 目标样本集合中的样本确定为目标样本。根据上述预设的安全策略可以对各个候选目标样 本集合进行分级处理，以确定候选目标样本集合中的样本是否是目标样本。 [0097] 进一步地，只出现在一个第三灰样本集合中的样本也可形成候选目标样本集合， 该候选目标样本集合可采用安全策略为：候选目标样本集合所涉及的检测模型包括指定的 检测模型。 [0098] 本实施例中只出现在N‑1、N‑2、……1个第三灰样本集合中的样本共同形成集合3。 [0099] 本申请实施例将每个检测模型检测的异常样本集合作为灰样本集合，并通过聚合 处理获得交集1以得到确定的需要被处罚的目标样本，如此可以减少异常样本(黑样本)的 作用范围。而且，异构的检测模型的数目越多，检测的辐射面越大，得到的目标样本的准确 度越高，这样误报和误拦的概率越低。 [0100] 450：对集合3中的目标样本进行处罚，并对集合3中的剩余样本进行放行。 [0101] 集合3中未被确定为目标样本的剩余样本，可以作为正常样本被放行。 [0102] 460：利用集合3中的样本对多个检测模型进行训练。 [0103] 具体地，检测模型对样本进行检测时，可以对样本做标记，以得到该样本是异常样 本/正常样本的检测结果。针对同一样本，如果检测结果为异常样本的检测模型的数目大于 检测结果为正常样本的检测模型的数目，则说明检测结果为正常样本的检测模型的检测性 能可能较差，如果检测结果为异常样本的检测模型的数目小于检测结果为正常样本的检测 模型的数目，则说明检测结果为异常样本的检测模型的检测性能较差。因此，可以直接将集 合3中的样本(做了标记的样本)输入全部的检测模型，使得需要提升检测性能的检测模型 得到训练，且也不会对不需要提升检测性能的检测模型造成影响。此外，通过将集合3中的 样本输入全部的检测模型，可以省去找出检测性能较差的检测模型的步骤，提高训练效率。 [0104] 可选地，可以根据各个检测模型的检测结果确定需要提升检测性能的检测模型， 并将该检测模型检测错误的样本在其他检测模型中的输出(检测正确并做了标记的样本) 作为训练样本来训练该检测模型。 [0105] 进一步地，在对检测模型进行训练之前，可以对检测错误的检测模型进行结构改 进，然后利用集合3中的样本对检测模型进行训练，如此可以提高训练效果。 [0106] 利用集合3中的样本对检测模型进行训练的过程也可以称为回流。 [0107] 本实施例中，检测错误的检测模型的确定可与预设的安全策略相关。例如，针对同 12 12 CN 114866338 A 说明书 10/12页 一样本，预设的安全策略为检测结果为异常样本的检测模型的数目大于预设值，则检测结 果为正常样本的检测模型为检测错误的检测模型；预设的安全策略为检测结果为异常样本 的检测模型为指定的检测模型，则检测结果为正常样本的检测模型为检测错误的检测模 型。 [0108] 本申请实施例提供的网络安全检测的新方法，通过反向去对待纵深防御，即利用并联 的检测链路代替串联的检测链路，可以将检测和处罚区分对待，提高目标样本的准确度。尤 其随着数据模型、算法和人工智能等技术的发展，检测模型的种类可以越来越多，利用种类 繁多且并联的检测模型可以获得更大范围的灰样本集合(多个第三灰样本集合)，并获得更 加准确的目标样本集合(交集1)，这样可以进一步降低误报和误拦的比例。 [0109] 示例性装置 [0110] 图7所示为本申请一示例性实施例提供的网络安全检测装置700的结构示意图。如 图7所示，网络安全检测装置700包括：检测模块710以及确定模块720。 [0111] 检测模块710用于分别利用多个检测模型对样本做安全性检测，得到多个检测 结果，每个检测结果用于指示样本为异常样本或正常样本；确定模块720用于在多个检测模 型的检测结果均为异常样本的情况下，确定样本为目标样本。 [0112] 本申请实施例提供了一种网络安全检测装置，通过利用多个检测模型分别对样本 进行安全性检测以得到多个检测结果，并在多个检测结果均为异常样本时，将该样本确定 为目标样本，如此可以降低网络安全检测过程中误报和误拦的比例。 [0113] 根据本申请一实施例，确定模块720还用于：在多个检测模型中的部分检测模型的 检测结果为异常样本的情况下，根据预设的安全策略确定样本为目标样本。 [0114] 根据本申请一实施例，确定模块720用于：在多个检测模型中检测结果为异常样本 的检测模型的数目大于预设值的情况下，确定样本为目标样本，其中对安全性要求越高，预 设值越大。 [0115] 根据本申请一实施例，确定模块720用于：在多个检测模型中检测结果为异常样本 的检测模型为指定的检测模型的情况下，确定样本为目标样本。 [0116] 根据本申请一实施例，确定模块720还用于：在多个检测模型中的部分检测模型的 检测结果为异常样本的情况下，将样本加入灰名单，灰名单用于指示潜在的目标样本。 [0117] 根据本申请一实施例，网络安全检测装置700还包括训练模块730，用于在多个检 测模型中检测结果为异常样本的检测模型的数目大于检测结果为正常样本的检测模型的 数目的情况下，利用样本训练多个检测模型中检测结果为正常样本的检测模型。 [0118] 根据本申请一实施例，多个检测模型中检测结果为正常样本的检测模型的数目为 1。 [0119] 根据本申请一实施例，网络安全检测装置700还包括获取模块740，用于：在利用多 个检测模型对样本进行安全性检测之前，根据白名单和/或第一黑名单对原始样本进行过 滤，以得到样本，白名单用于指示允许通过的原始样本中包含的字段信息，第一黑名单用于 指示需要被处罚的原始样本中包含的字段信息。 [0120] 根据本申请一实施例，确定模块720还用于：在多个检测模型的检测结果均为异常 样本的情况下，将样本的来源信息加入到第二黑名单中；根据第二黑名单对与样本的来源 信息相同的样本进行处罚。 13 13 CN 114866338 A 说明书 11/12页 [0121] 根据本申请一实施例，多个检测模型为异构模型。 [0122] 根据本申请一实施例，多个检测模型包括语法引擎模型、语义引擎模型、实时计算 模型和引擎离线计算模型中的至少一个。 [0123] 根据本申请一实施例，样本包括统一资源定位符URL请求、邮箱地址或互联网协议 IP地址。 [0124] 应当理解，上述实施例中的检测模块710、确定模块720、训练模块730以及获取模 块740的操作和功能可以参考上述图3或图4实施例中提供的网络安全检测的新方法中的描述， 为了避免重复，在此不再赘述。 [0125] 图8所示为本申请一示例性实施例提供的用于执行网络安全检测的新方法的电子设备 800的框图。 [0126] 参照图8，电子设备800包括处理组件810，其进一步包括一个或多个处理器，以及 由存储器820所代表的存储器资源，用于存储可由处理组件810执行的指令，例如应用程序。 存储器820中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。 此外，处理组件810被配置为执行指令，以执行上述网络安全检测的新方法。 [0127] 电子设备800还可以包括一个电源组件被配置为执行电子设备800的电源管理，一 个有线或无线网络接口被配置为将电子设备800连接到网络，和一个输入输出(I/O)接口。 TM 可以基于存储在存储器820的操作系统操作电子设备800，例如Windows Server ，Mac OS  TM TM TM TM X ，Unix ，Linux ，FreeBSD 或类似。 [0128] 一种非临时性计算机可读存储介质，当存储介质中的指令由上述电子设备800的 处理器执行时，使得上述电子设备800能够执行一种网络安全检测的新方法。 [0129] 上述所有可选技术方案，可采用任意结合形成本申请的可选实施例，在此不再一 一赘述。 [0130] 本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单 元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟 以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员 可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出 本申请的范围。 [0131] 所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、 装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。 [0132] 在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以 通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的 划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件 可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或 讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦 合或通信连接，可以是电性，机械或其它的形式。 [0133] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显 示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个 网络单元上。能够准确的通过实际的需要选择其中的部分或者全部单元来实现本实施例方案的目 的。 14 14 CN 114866338 A 说明书 12/12页 [0134] 另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以 是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。 [0135] 所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以 存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说 对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计 算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个 人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。 而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read‑Only Memory)、随机存取存 储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序校验码的介质。 [0136] 需要说明的是，在本申请的描述中，术语“第一”、“第二”、“第三”等仅用于描述目 的，而不能理解为指示或暗示相对重要性。此外，在本申请的描述中，除非另有说明，“多个” 的含义是两个或两个以上。 [0137] 以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精 神和原则之内，所作的任何修改、等同替换等，均应包含在本申请的保护范围之内。 15 15 CN 114866338 A 说明书附图 1/5页 图1 图2 16 16 CN 114866338 A 说明书附图 2/5页 图3 图4 17 17 CN 114866338 A 说明书附图 3/5页 图5 18 18 CN 114866338 A 说明书附图 4/5页 图6 图7 19 19 CN 114866338 A 说明书附图 5/5页 图8 20 20

  2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

  3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

  4、VIP文档为合作方或网友上传，每下载1次， 网站将按照每个用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

  原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至 电线) ，上传者