CN107241352A - 一种网络安全事件分类与预测方法及系统 - Google Patents
一种网络安全事件分类与预测方法及系统 Download PDFInfo
- Publication number
- CN107241352A CN107241352A CN201710579846.9A CN201710579846A CN107241352A CN 107241352 A CN107241352 A CN 107241352A CN 201710579846 A CN201710579846 A CN 201710579846A CN 107241352 A CN107241352 A CN 107241352A
- Authority
- CN
- China
- Prior art keywords
- attack
- vector
- url
- classificaiton
- web access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种网络安全事件分类与预测方法及系统,用以解决现有技术缺少及时发现攻击行为特征,对攻击行为进行准确分类的能力。该方法包括:S1、获取全网用户的web访问日志和全流量日志中的http元数据;S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;S3、将分词后的url利用word2vector构建词向量和文档向量;S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。本发明实现关键点的实时监测,依靠机器学习发现带有主流攻击特征的异常行为,改善了网络攻击行为分类的效率,降低了人工审核的时间成本,能够适应不断变化的攻击行为,提高了分类检测准确率,为网络安全提供了保障。
Description
技术领域
本发明涉及计算机网络领域,尤其涉及一种网络安全事件分类与预测方法及系统。
背景技术
近年来,随着web应用的不断普及,针对web服务应用的攻击成为网络上广泛传播的攻击方式。由于许多网络应用服务开发者缺乏安全意识,致使网络服务程序中存在大量的安全漏洞,这使得web服务器成为黑客攻击的主要目标之一。
互联网上最主要的攻击方式主要有跨站脚本攻击(XSS)、SQL注入攻击(SQL-inject)、远程文件包含(RFI)等给予http协议的网络攻击。为了防御web攻击,各种安全防御技术已被提出并得以应用。主要包括数据加密、安全路由、访问控制、报文鉴别方法的以防范和自我保护为主的被动保护方式,其在其有效防范网络攻击上虽有重要作用,但缺少及时发现攻击行为特征,对攻击进行准确分类的能力。
公开号为CN106209826A的专利提供了一种安全事件分析方法,包括如下步骤:根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志,将上述日志分成普通事件、异常事件和安全事件,从普通事件的集合中通过异常识别方法寻找出异常事件,从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件。该发明通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态。但是该发明缺少及时发现攻击行为特征,对攻击行为准确分类的能力。
发明内容
本发明要解决的技术问题目的在于提供一种网络安全事件分类与预测方法及系统,用以解决现有技术缺少及时发现攻击行为特征,对攻击行为进行准确分类的能力。
为了实现上述目的,本发明采用的技术方案为:
一种网络安全事件分类与预测方法,包括步骤:
S1、获取全网用户的web访问日志和全流量日志中的http元数据;
S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S3、将分词后的url利用word2vector构建词向量和文档向量;
S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。
进一步地,还包括步骤:
S5、识别不同种类的网络攻击行为;
S6、对所述各类网络攻击行为采取不同的处置与防范措施;
S7、对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。
进一步地,步骤S2中所述构建网络攻击非法字符特征库的步骤具体包括:
采集各种攻击行为的web访问日志和全流量http元数据样本;
对所述攻击行为的web访问日志和全流量http元数据样本进行分词;
统计频率大于预设频率的字符;
根据所述字符构建网络攻击非法字符特征库。
进一步地,步骤S3具体包括:
统计所述网络攻击非法字符库的非法关键词;
利用one-hot-vector将所述关键词转换成n维向量;
将n维向量的输入层与隐藏层全连接;
通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
将每条url出现的攻击关键词对应的词向量相加以得到文档向量。
进一步地,步骤S4具体包括:
统计当前攻击类型的数量;
将所述文档向量作为贝叶斯的特征输入得到类别集合;
统计各类别集合的特征属性的条件概率;
计算每类攻击的后验概率;
将最大后验概率的类别设为当前url的攻击类别。
一种网络安全事件分类与预测系统,包括:
获取模块,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块,用于对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块,用于将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。
进一步地,还包括:
识别模块,用于识别不同种类的网络攻击行为;
处理模块,用于对所述各类网络攻击行为采取不同的处置与防范措施;
优化模块,用于对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。
进一步地,所述匹配模块具体包括:
采集单元,用于采集各种攻击行为的web访问日志和全流量http元数据样本;
分词单元,用于对所述攻击行为的web访问日志和全流量http元数据样本进行分词;
第一统计单元,用于统计频率大于预设频率的字符;
特征库构建单元,用于根据所述字符构建网络攻击非法字符特征库。
进一步地,所述构建模块具体包括:
第二统计单元,用于统计所述网络攻击非法字符库的非法关键词;
转换单元,用于利用one-hot-vector将所述关键词转换成n维向量;
连接单元,用于将n维向量的输入层与隐藏层全连接;
相乘单元,用于通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
相加单元,用于将每条url出现的攻击关键词对应的词向量相加以得到文档向量。
进一步地,所述分类模块具体包括:
第三统计单元,用于统计当前攻击类型的数量;
输入单元,用于将所述文档向量作为贝叶斯的特征输入得到类别集合;
第四统计单元,用于统计各类别集合的特征属性的条件概率;
计算单元,用于计算每类攻击的后验概率;
设置单元,用于将最大后验概率的类别设为当前url的攻击类别。
本发明与传统的技术相比,有如下优点:
本发明实现关键点的实时监测,依靠机器学习发现带有主流攻击特征的异常行为,改善了网络攻击行为分类的效率,降低了人工审核的时间成本,能够适应不断变化的攻击行为,提高了分类检测准确率,为网络安全提供了保障。
附图说明
图1是实施例一提供的一种网络安全事件分类与预测方法流程图;
图2是实施例二提供的一种网络安全事件分类与预测方法流程图;
图3是实施例三提供的一种网络安全事件分类与预测方法流程图;
图4是实施例四提供的一种网络安全事件分类与预测方法流程图;
图5是实施例五提供的一种网络安全事件分类与预测方法流程图;
图6是实施例一至实施例四提供的一种网络安全事件分类与预测系统结构图;
图7是实施例五提供的一种网络安全事件分类与预测系统结构图。
具体实施方式
以下是本发明的具体实施例并结合附图,对本发明的技术方案作进一步的描述,但本发明并不限于这些实施例。
实施例一
本实施例提供了一种网络安全事件分类与预测方法,如图1所示,包括步骤:
S11:获取全网用户的web访问日志和全流量日志中的http元数据;
S12:对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S13:将分词后的url利用word2vector构建词向量和文档向量;
S14:将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
本实施例的分析对象为用户的web访问日志和全局流量日志中的http元数据。通过对数据进行解析、分析后发现,主流网络攻击的关键特征主要体现在url中,由于url通常包含大量的字符,因此需要对web日志和http元数据中的url进行自然语言处理,对其进行分词,提取每一类攻击高频出现的非法字符构建特征库,再利用word2vector构建词向量和文档向量,将文档向量作为特征输入到朴素贝叶斯模型中,对网络攻击行为进行分类。
其中,url即统一资源定位符,是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置和浏览器应该怎么处理它。
在因特网的历史上,url的发明是一个非常基础的步骤。url的语法是一般的,可扩展的,它使用ASCII代码的一部分来表示互联网的地址。一般统一资源定位符的开始标志着一个计算机网络所使用的网络协议。
统一资源定位符是统一资源标志符的一个下种。统一资源标志符确定一个资源,而统一资源定位符不但确定一个资源,而且还表示出它在哪里。
朴素贝叶斯法是基于贝叶斯定理与特征条件独立假设的分类方法。最为广泛的两种分类模型是决策树模型和朴素贝叶斯模型。
和决策树模型相比,朴素贝叶斯分类发源于古典数学理论,有着坚实的数学基础,和稳定的分类效率。同时,朴素贝叶斯模型所需的参数很少,对缺失数据不太敏感,算法也比较简单。理论上,朴素贝叶斯模型与其他分类方法相比具有最小的误差率。
通过采集用户web访问日志和网络全局流量来实现关键点的实时监控,依靠机器学习发现带有主流攻击特征的异常行为,与现有的安全设备可有效互补,共同维护网络安全。机器学习的应用可从训练数据集中自动提取攻击模式,生成分类模型,有效改善了网络攻击行为分类的效率,降低了人工审核的时间成本,并能够适应不断变化的攻击者的行为,提高了分类检测准确率,为网络安全提供了保障。
本实施例还提供了一种网络安全事件分类与预测系统,如图6所示,包括:
获取模块61,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块62,用于对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块63,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块64,用于将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
具体的,本实施例的分析对象为用户的web访问日志和全局流量日志中的http元数据。获取模块61在获取了全网用户的web访问日志和全流量日志中的http元数据后,通过对数据进行解析、分析后发现,主流网络攻击的关键特征主要体现在url中,由于url通常包含大量的字符,因此需要对web日志和http元数据中的url进行自然语言处理,匹配模块62对其进行分词,提取每一类攻击高频出现的非法字符构建特征库,构建模块63再利用word2vector构建词向量和文档向量,将文档向量作为特征输入到朴素贝叶斯模型中,分类模块64对网络攻击行为进行分类。
本实施例提供的系统中,机器学习的应用可从训练数据集中自动提取攻击模式,生成分类模型,有效改善了网络攻击行为分类的效率,降低了人工审核的时间成本,并能够适应不断变化的攻击者的行为,提高了分类检测准确率,为网络安全提供了保障。
实施例二
本实施例提供了一种网络安全事件分类与预测方法,如图2所示,包括步骤:
S21:获取全网用户的web访问日志和全流量日志中的http元数据;
S22:采集各种攻击行为的web访问日志和全流量http元数据样本;
S23:对攻击行为的web访问日志和全流量http元数据样本进行分词;
S24:统计频率大于预设频率的字符;
S25:根据字符构建网络攻击非法字符特征库;
S26:对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S27:将分词后的url利用word2vector构建词向量和文档向量;
S28:将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
与实施例一不同之处在于,步骤S12包括步骤S22~步骤S25。
通过对现网web访问日志和http元数据中的url进行分析发现,目前该网络主要存在的攻击有以下几种:
(1)SQL注入攻击:web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。经统计发现,SQL注入攻击的高频非法字符为:select、union、and、or等常用SQL字符。
(2)XSS(Cross Site Script)跨站脚本攻击:攻击者往web页面里插入恶意html代码,当用户浏览该网页时,嵌入web里面的html代码会被执行,从而达到恶意用户的特殊目的。经统计发现,XSS攻击的高频非法字符为:script、svg、eval、expression等字符。
(3)OS命令注入:系统提供命令执行类函数处理相关应用场景的功能,而当不合理的使用这类函数并且调用的变量未考虑安全因素时,就会执行恶意的命令调用,被攻击利用。经统计发现,QS命令注入的高频非法字符为:exec、css等字符。
(4)目录遍历:由于web服务器或web应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞,攻击者通过http请求和利用一些特殊字符就可以绕过服务器的安全限制,访问任意受限的文件甚至执行系统命令。经统计发现,目录遍历的高频非法字符为:../、etc/passwd、svn/entries等字符。
表1 主要攻击类型与高频非法字符
具体的,构建非法字符特征库包括以下步骤:采集各种攻击行为的web日志和全流量http元数据样本,对采集数据的url进行分词,统计出高频出现的字符,从而构建网络攻击非法字符特征库。
本实施例还提供了一种网络安全事件分类与预测系统,如图6所示,包括:
获取模块61,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块62,用于对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块63,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块64,用于将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
与实施例一不同之处在于,匹配模块62具体包括:
采集单元,用于采集各种攻击行为的web访问日志和全流量http元数据样本;
分词单元,用于对攻击行为的web访问日志和全流量http元数据样本进行分词;
第一统计单元,用于统计频率大于预设频率的字符;
特征库构建单元,用于根据字符构建网络攻击非法字符特征库;
具体的,采集单元采集各种攻击行为的web日志和全流量http元数据样本,分词单元对采集数据的url进行分词,第一统计单元统计出高频出现的字符,特征库构建单元构建网络攻击非法字符特征库。
实施例三
本实施例提供了一种网络安全事件分类与预测方法,如图3所示,包括步骤:
S31:获取全网用户的web访问日志和全流量日志中的http元数据;
S32:对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S33:统计网络攻击非法字符库的非法关键词;
S34:利用one-hot-vector将非法关键词转换成n维向量;
S35:将n维向量的输入层与隐藏层全连接;
S36:通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
S37:将每条url出现的攻击关键词对应的词向量相加以得到文档向量;
S38:将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
与实施例一不同之处在于,步骤S13具体包括步骤S33~步骤S37。
word2vector于2013年由Google的研究员发布,是一种用于深度学习的词向量生成工具。word2vector本质上是利用了神经网络语言模型并对其进行了简化,既保证了效果又提高了计算复杂度。该模型常用的算法有两种:CBOW和Skip-gram。其中CBOW模型利用词W(t)前后各k个词去预测当前词;而Skip-gram模型恰好相反,它利用词W(t)去预测它前后各k个词,本发明采用Skip-gram模型。以“I think hypercar is expensive”为例,给定“hpyercar”,算法的目的是根据“hypercar”预测前后文中出现“I”,“think”,“is”,“expensive”的概率。Skip-gram的数学表达式:P(Wi│Wt),t-k≤i≤t+k。
在训练该模型之前,首先需要将非法特征库中的词进行量化转换为词向量。特征词库中非法字符的个数就是向量的维度,利用one-hot-vector赋予每一个词一个编码,该词所在的位置标记为“1”,其他位置标记为“0”。如“select”的词向量为[0,0,0,0,1...,0,0],“script”的词向量为[0,1,0,0,0...,0,0]。
word2vector是具有一个隐含层的神经元网络(如下图)。它的输入和输出都是词向量,在训练的神经元网络收敛之后,将从输入层到隐含层的权重赋给每个词向量,因此每个词能得到具有语义意义的新的向量。
本实施例的具体实现过程为:
步骤S33对非法字符特征库中的攻击关键词进行统计,假设有有m个攻击关键词;
步骤S34:先利用one-hot-vector将一个词转换成一个n维的向量x,以“select”为例:
"select"→[0,0,0,0,1...,0,0]
步骤S34:隐藏层中有m个神经元,已知输入层是一个n维向量且与隐藏层全连接,所以需要一个n*m的权重矩阵w把n维的向量映射到纬度为1*m的隐藏神经元中;
步骤S35:从隐藏层到输出层同样利用全连接,在计算输出单元的时候加入softmax分类器,通过反向传递可以求得最终的向量w;
步骤S36:通过与最初的词向量相乘即x*w可以求得最终的词向量,也就是1*m的向量W(i);
x*w=W(i)=[Wi1 Wi2 … Wim]
步骤S36:将每一条url出现的攻击关键词对应的词向量进行相加,得到属于该条url的文档向量d。
本实施例还提供了一种网络安全事件分类与预测系统,如图6所示,包括:
获取模块61,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块62,用于对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块63,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块64,用于将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
与实施例一不同之处在于,构建模块63具体包括:
第二统计单元,用于统计网络攻击非法字符库的非法关键词;
转换单元,用于利用one-hot-vector将非法关键词转换成n维向量;
连接单元,用于将n维向量的输入层与隐藏层全连接;
相乘单元,用于通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
相加单元,用于将每条url出现的攻击关键词对应的词向量相加以得到文档向量。
实施例四
本实施例提供了一种网络安全事件分类与预测方法,如图4所示,包括步骤:
S41:获取全网用户的web访问日志和全流量日志中的http元数据;
S42:对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S43:将分词后的url利用word2vector构建词向量和文档向量;
S44:统计当前攻击类型的数量;
S45:将文档向量作为贝叶斯的特征输入得到类别集合;
S46:统计各类别集合的特征属性的条件概率;
S47:计算每类攻击的后延概率;
S48:将最大后验概率的类别设为当前url的攻击类别。
与实施例一不同之处在于,步骤S14包括步骤S44~步骤S48。
朴素贝叶斯分类器为贝叶斯分类的一种,其基于统计学原理,通过事件的先验概率,来获得事件可能所属每类的后验概率,选最大后验概率的对应类作为该事件的所属类。贝叶斯定理的公式为:
P(A|B)表示事件B已经发生的前提下,事件A发生的概率,叫做事件B发生下事件A的条件概率。其基本求解公式为:
P(A)是A的先验概率或边缘概率。之所以称为“先验”是因为它不考虑任何B方面的因素;
P(B|A)是已知A发生后B的条件概率,也由于得自A的取值而被称作B的后验概率;
P(B)是B的先验概率或边缘概率,也作标准化常量。
朴素贝叶斯在网络安全攻击行为分类中的应用过程如下:
步骤S44:已知当前数据集中存在z种攻击类型;
步骤S45:设d={a1,a2,a3,…,am}为一个待分类项,而每个a为d的一个特征属性。其中d是由上述特征库中的非法关键词通过word2vector转换生成的关键词向量通过相加得到的文档向量;
已知有z种攻击类别,类别集合
C={y1,y2,y3,…,yz};
步骤S46:统计得到在各类别下各个特征属性的条件概率,即
P(a1|y1),P(a2|y1),…P(am|y1);P(a1|y2),P(a2|y2),…P(am|y2),…,P(a1|yz),P(a2|yz),…P(am|yz
步骤S47:假设各个特征属性是条件独立的,则根据贝叶斯定理有如下推导:
因为分母对于所有类别为常数,因为我们只要将分子最大化皆可,又因为各特征属性是条件独立的,所以有:
分别计算P(y1|d),P(y2|d),…P(yz|d);
如果P(yj|d)=max{P(y1|d),P(y2|d)…P(yz|d)},则d对应的分类是yj;
步骤S48:根据得到的最大后验概率的得到每一条url对应的攻击类别。
本实施例还提供了一种网络安全事件分类与预测系统,如图6所示,包括:
获取模块61,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块62,用于对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块63,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块64,用于将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。
与实施例一不同之处在于,分类模块64具体包括:
第三统计单元,用于统计当前攻击类型的数量;
输入单元,用于将文档向量作为贝叶斯的特征输入得到类别集合;
第四统计单元,用于统计各类别集合的特征属性的条件概率;
计算单元,用于计算每类攻击的后延概率;
设置单元,用于将最大后验概率的类别设为当前url的攻击类别。
实施例五
本实施例提供了一种网络安全事件分类与预测方法,如图5所示,包括步骤:
S51:获取全网用户的web访问日志和全流量日志中的http元数据;
S52:对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S53:将分词后的url利用word2vector构建词向量和文档向量;
S54:将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类;
S55:识别不同种类的网络攻击行为;
S56:对各类网络攻击行为采集不同的处置与防范措施;
S57:对已识别的攻击行为的url进一步分词以优化非法字符特征库。
本实施例与实施例一不同之处在于,还包括步骤S15~步骤S17。
在朴素贝叶斯分类器进行分类后,将预测为各位攻击的url进一步分析,提取出现频率高但未在特征库内的非法字符,完善数据库。
具体的,在对现网用户访问数据进行分析后发现,目前网站中占比最高的攻击类型为SQL注入攻击与XSS跨站脚本攻击,当贝叶斯分类器对某类攻击的判断结果大于事先设定的阈值Y时,应立即采取有效的措施进行封堵与防控。对于模型判断的攻击类型可采取如下应对措施:
(1)事前预测:当贝叶斯分类器对某类攻击的判断结果小于事先设定的阈值时,对攻击者IP进行监控并且对疑似被攻击网站进行漏洞扫描,及时采取安全防护措施,避免网站遭受攻击。
(2)事中防护:当贝叶斯分类器对某类攻击的判断结果大于事先设定的阈值时,及时部署专业的防御设备、入侵防御产品,避免网站攻击行为的扩散与恶化。
(3)事后取证与分析:包括对攻击事件进行还原、对安全设备检测结果进行验证、对常见攻击行为进行深度分析三个方面。
1)对攻击事件进行还原。根据模型输出的攻击者IP、攻击时间、攻击类型、URL关键字符等信息匹配原始日志,提取对应的攻击特征包括但不限于:攻击时间、攻击者IP,被攻击者IP、url长度、url关键字符、请求方式等,对攻击事件进行溯源与还原并构建攻击黑名单库,便于了解当前的网络安全态势与脆弱性风险。
2)对安全设备检测结果进行验证。将模型分析的结果与WAF等网络安全设备检测结果进行对比分析,若两者的分析、检测结果一致则可确认攻击事件的发生并进行针对性的措施,若结果不一致则可对攻击者IP进行监控与观察,避免误判,对于绕过安全设备的检测但被模型分析发现的攻击事件应提高警惕,重点观察常见攻击事件的行为是否存在变异与更新。
3)对攻击行为进行深度分析。定期对黑名单库中的攻击行为进行分析,挖掘攻击行为之间的相关性。对于同一大类的攻击进一步分析细分的可能性,如SQL注入可细分为布尔型注入、报错型注入、可联合查询注入、可多语句查询注入等类型,攻击行为的深度分析可以为安全人员分析攻击手法并进行精准的处置提供全面的信息。
本实施例还提供了一种网络安全事件分类与预测系统,如图7所示,包括:
获取模块71,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块72,用于对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块73,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块74,用于将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类;
识别模块75,用于识别不同种类的网络攻击行为;
处理模块76,用于对各类网络攻击行为采集不同的处置与防范措施;
优化模块77,用于识别的攻击行为的url进一步分词以优化非法字符特征库。
与实施例一不同之处在于,还包括识别模块75,处理模块76及优化模块77。
具体的,在对现网用户访问数据进行分析后发现,目前网站中占比最高的攻击类型为SQL注入攻击与XSS跨站脚本攻击,当贝叶斯分类器对某类攻击的判断结果大于事先设定的阈值Y时,应立即采取有效的措施进行封堵与防控。
将预测为各类攻击的url进行进一步分析,提取出现频率高但未在特征库内的非法字符,完善数据库。不断更新非法字符特征库,通过机器学习,能够避免因网络攻击的升级导致不能及时发现并处理的问题。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (10)
1.一种网络安全事件分类与预测方法,其特征在于,包括步骤:
S1、获取全网用户的web访问日志和全流量日志中的http元数据;
S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
S3、将分词后的url利用word2vector构建词向量和文档向量;
S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。
2.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,还包括步骤:
S5、识别不同种类的网络攻击行为;
S6、对所述各类网络攻击行为采取不同的处置与防范措施;
S7、对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。
3.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S2中所述构建网络攻击非法字符特征库的步骤具体包括:
采集各种攻击行为的web访问日志和全流量http元数据样本;
对所述攻击行为的web访问日志和全流量http元数据样本进行分词;
统计频率大于预设频率的字符;
根据所述字符构建网络攻击非法字符特征库。
4.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S3具体包括:
统计所述网络攻击非法字符库的非法关键词;
利用one-hot-vector将所述关键词转换成n维向量;
将n维向量的输入层与隐藏层全连接;
通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
将每条url出现的攻击关键词对应的词向量相加以得到文档向量。
5.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S4具体包括:
统计当前攻击类型的数量;
将所述文档向量作为贝叶斯的特征输入得到类别集合;
统计各类别集合的特征属性的条件概率;
计算每类攻击的后验概率;
将最大后验概率的类别设为当前url的攻击类别。
6.一种网络安全事件分类与预测系统,其特征在于,包括:
获取模块,用于获取全网用户的web访问日志和全流量日志中的http元数据;
匹配模块,用于对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;
构建模块,用于将分词后的url利用word2vector构建词向量和文档向量;
分类模块,用于将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。
7.根据权利要求6所述的一种网络安全事件分类与预测系统,其特征在于,还包括:
识别模块,用于识别不同种类的网络攻击行为;
处理模块,用于对所述各类网络攻击行为采取不同的处置与防范措施;
优化模块,用于对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。
8.根据权利要求6所述的一种网络安全事件分类与预测系统,其特征在于,所述匹配模块具体包括:
采集单元,用于采集各种攻击行为的web访问日志和全流量http元数据样本;
分词单元,用于对所述攻击行为的web访问日志和全流量http元数据样本进行分词;
第一统计单元,用于统计频率大于预设频率的字符;
特征库构建单元,用于根据所述字符构建网络攻击非法字符特征库。
9.根据权利要求6所述的一种网络安全事件分类与预测系统,其特征在于,所述构建模块具体包括:
第二统计单元,用于统计所述网络攻击非法字符库的非法关键词;
转换单元,用于利用one-hot-vector将所述关键词转换成n维向量;
连接单元,用于将n维向量的输入层与隐藏层全连接;
相乘单元,用于通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;
相加单元,用于将每条url出现的攻击关键词对应的词向量相加以得到文档向量。
10.根据权利要求6所述的一种网络安全事件分类与预测系统,其特征在于,所述分类模块具体包括:
第三统计单元,用于统计当前攻击类型的数量;
输入单元,用于将所述文档向量作为贝叶斯的特征输入得到类别集合;
第四统计单元,用于统计各类别集合的特征属性的条件概率;
计算单元,用于计算每类攻击的后验概率;
设置单元,用于将最大后验概率的类别设为当前url的攻击类别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579846.9A CN107241352B (zh) | 2017-07-17 | 2017-07-17 | 一种网络安全事件分类与预测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710579846.9A CN107241352B (zh) | 2017-07-17 | 2017-07-17 | 一种网络安全事件分类与预测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107241352A true CN107241352A (zh) | 2017-10-10 |
CN107241352B CN107241352B (zh) | 2020-01-21 |
Family
ID=59990525
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710579846.9A Active CN107241352B (zh) | 2017-07-17 | 2017-07-17 | 一种网络安全事件分类与预测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107241352B (zh) |
Cited By (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN109257369A (zh) * | 2018-10-22 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种基于机器学习的扫描ip分类方法及装置 |
CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
CN109325193A (zh) * | 2018-10-16 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 基于机器学习的waf正常流量建模方法以及装置 |
CN109508542A (zh) * | 2018-10-26 | 2019-03-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
CN109543764A (zh) * | 2018-11-28 | 2019-03-29 | 安徽省公共气象服务中心 | 一种基于智能语义感知的预警信息合法性检测方法及检测系统 |
CN109698823A (zh) * | 2018-11-29 | 2019-04-30 | 广东电网有限责任公司信息中心 | 一种网络威胁发现方法 |
CN109698820A (zh) * | 2018-09-03 | 2019-04-30 | 长安通信科技有限责任公司 | 一种域名相似性计算及分类方法和系统 |
CN109740042A (zh) * | 2018-11-27 | 2019-05-10 | 平安科技(深圳)有限公司 | 舆论信息的监控方法、装置及存储介质、计算机设备 |
CN109948649A (zh) * | 2019-02-04 | 2019-06-28 | 复旦大学 | 面向数据开放共享的软件访问行为数据特征表示方法 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN109981559A (zh) * | 2017-12-19 | 2019-07-05 | 波音公司 | 交通工具网络攻击检测系统及其方法 |
CN110020190A (zh) * | 2018-07-05 | 2019-07-16 | 中国科学院信息工程研究所 | 一种基于多示例学习的可疑威胁指标验证方法及系统 |
CN110164129A (zh) * | 2019-04-25 | 2019-08-23 | 浙江工业大学 | 基于gernn的单交叉口多车道交通流量预测方法 |
CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN110417751A (zh) * | 2019-07-10 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110493262A (zh) * | 2019-09-17 | 2019-11-22 | 武汉思普崚技术有限公司 | 一种改进分类的网络攻击检测方法及系统 |
CN110636076A (zh) * | 2019-10-12 | 2019-12-31 | 北京安信天行科技有限公司 | 一种主机攻击检测方法及系统 |
CN110704837A (zh) * | 2019-09-25 | 2020-01-17 | 南京源堡科技研究院有限公司 | 一种网络安全事件统计分析方法 |
CN110784429A (zh) * | 2018-07-11 | 2020-02-11 | 北京京东尚科信息技术有限公司 | 恶意流量的检测方法、装置和计算机可读存储介质 |
CN110830483A (zh) * | 2019-11-13 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
CN110912861A (zh) * | 2018-09-18 | 2020-03-24 | 北京数安鑫云信息技术有限公司 | 一种深度追踪团伙攻击行为的ai检测方法和装置 |
CN110995649A (zh) * | 2019-10-25 | 2020-04-10 | 深圳猛犸电动科技有限公司 | 一种基于贝叶斯网络的网络安全态势预测方法及装置 |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及系统 |
CN111092769A (zh) * | 2019-12-24 | 2020-05-01 | 国网新疆电力有限公司电力科学研究院 | 一种基于机器学习的web指纹识别方法 |
CN111092850A (zh) * | 2018-10-24 | 2020-05-01 | 珠海格力电器股份有限公司 | 监控网络安全的方法及装置、空调器、家用电器 |
CN111586037A (zh) * | 2020-05-06 | 2020-08-25 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
CN112668007A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮软件股份有限公司 | 一种软件系统安全加固方法 |
CN112822220A (zh) * | 2021-03-04 | 2021-05-18 | 哈尔滨安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
CN113271321A (zh) * | 2021-07-20 | 2021-08-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
CN113569879A (zh) * | 2020-04-28 | 2021-10-29 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
CN114547290A (zh) * | 2020-11-27 | 2022-05-27 | 四川大学 | 一种基于条件共现度的攻击技巧提取方法 |
CN114553481A (zh) * | 2022-01-17 | 2022-05-27 | 重庆邮电大学 | 网络攻击事件预测及最优主动防御策略选取系统 |
US11483319B2 (en) | 2020-03-05 | 2022-10-25 | International Business Machines Corporation | Security model |
CN115913738A (zh) * | 2022-11-30 | 2023-04-04 | 广西电网有限责任公司 | 网络安全事件处置系统、方法、电子设备及存储介质 |
CN117014224A (zh) * | 2023-09-12 | 2023-11-07 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及系统 |
CN117574135A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1774707A2 (en) * | 2004-07-29 | 2007-04-18 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103297433A (zh) * | 2013-05-29 | 2013-09-11 | 中国科学院计算技术研究所 | 基于网络数据流的http僵尸网络检测方法及系统 |
CN104462593A (zh) * | 2014-12-29 | 2015-03-25 | 北京奇虎科技有限公司 | 一种提供用户个性化资源消息推送的方法和装置 |
CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
CN105468977A (zh) * | 2015-12-14 | 2016-04-06 | 厦门安胜网络科技有限公司 | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 |
CN105516128A (zh) * | 2015-12-07 | 2016-04-20 | 中国电子技术标准化研究院 | 一种Web攻击的检测方法及装置 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN105930360A (zh) * | 2016-04-11 | 2016-09-07 | 云南省国家税务局 | 一种基于Storm流计算框架文本索引方法及系统 |
CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
US20170142150A1 (en) * | 2014-02-18 | 2017-05-18 | Proofpoint, Inc. | Targeted attack protection using predictive sandboxing |
CN106789831A (zh) * | 2015-11-19 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
CN106778241A (zh) * | 2016-11-28 | 2017-05-31 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
-
2017
- 2017-07-17 CN CN201710579846.9A patent/CN107241352B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1774707A2 (en) * | 2004-07-29 | 2007-04-18 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
CN103297433A (zh) * | 2013-05-29 | 2013-09-11 | 中国科学院计算技术研究所 | 基于网络数据流的http僵尸网络检测方法及系统 |
US20170142150A1 (en) * | 2014-02-18 | 2017-05-18 | Proofpoint, Inc. | Targeted attack protection using predictive sandboxing |
CN104462593A (zh) * | 2014-12-29 | 2015-03-25 | 北京奇虎科技有限公司 | 一种提供用户个性化资源消息推送的方法和装置 |
CN104580230A (zh) * | 2015-01-15 | 2015-04-29 | 广州唯品会信息科技有限公司 | 网站攻击验证方法及装置 |
CN106789831A (zh) * | 2015-11-19 | 2017-05-31 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
CN105516128A (zh) * | 2015-12-07 | 2016-04-20 | 中国电子技术标准化研究院 | 一种Web攻击的检测方法及装置 |
CN105468977A (zh) * | 2015-12-14 | 2016-04-06 | 厦门安胜网络科技有限公司 | 一种基于朴素贝叶斯的Android恶意软件分类方法和装置 |
CN105930360A (zh) * | 2016-04-11 | 2016-09-07 | 云南省国家税务局 | 一种基于Storm流计算框架文本索引方法及系统 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN106209826A (zh) * | 2016-07-08 | 2016-12-07 | 瑞达信息安全产业股份有限公司 | 一种网络安全设备监测的安全事件分析方法 |
CN106341414A (zh) * | 2016-09-30 | 2017-01-18 | 重庆邮电大学 | 一种基于贝叶斯网络的多步攻击安全态势评估方法 |
CN106778241A (zh) * | 2016-11-28 | 2017-05-31 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
Non-Patent Citations (2)
Title |
---|
唐明等: "《基于word2vec的一种文档向量表示》", 《计算机科学》 * |
林建洪等: "《融合LDA与Word2vector的垃圾邮件过滤方法研究》", 《网络安全技术与应用》 * |
Cited By (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107948166A (zh) * | 2017-11-29 | 2018-04-20 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
CN107948166B (zh) * | 2017-11-29 | 2020-09-25 | 广东亿迅科技有限公司 | 基于深度学习的流量异常检测方法及装置 |
CN107948172A (zh) * | 2017-11-30 | 2018-04-20 | 恒安嘉新(北京)科技股份公司 | 一种基于人工智能行为分析的车联网入侵攻击检测方法和系统 |
CN109981559A (zh) * | 2017-12-19 | 2019-07-05 | 波音公司 | 交通工具网络攻击检测系统及其方法 |
CN109981559B (zh) * | 2017-12-19 | 2022-07-12 | 波音公司 | 交通工具网络攻击检测系统及其方法 |
US11283819B2 (en) | 2017-12-19 | 2022-03-22 | The Boeing Company | Method and system for vehicle cyber-attack event detection |
CN108259494A (zh) * | 2018-01-17 | 2018-07-06 | 北京邮电大学 | 一种网络攻击检测方法及装置 |
CN110020190A (zh) * | 2018-07-05 | 2019-07-16 | 中国科学院信息工程研究所 | 一种基于多示例学习的可疑威胁指标验证方法及系统 |
CN110784429A (zh) * | 2018-07-11 | 2020-02-11 | 北京京东尚科信息技术有限公司 | 恶意流量的检测方法、装置和计算机可读存储介质 |
CN109698820A (zh) * | 2018-09-03 | 2019-04-30 | 长安通信科技有限责任公司 | 一种域名相似性计算及分类方法和系统 |
CN110912861A (zh) * | 2018-09-18 | 2020-03-24 | 北京数安鑫云信息技术有限公司 | 一种深度追踪团伙攻击行为的ai检测方法和装置 |
CN109325193A (zh) * | 2018-10-16 | 2019-02-12 | 杭州安恒信息技术股份有限公司 | 基于机器学习的waf正常流量建模方法以及装置 |
CN109257369A (zh) * | 2018-10-22 | 2019-01-22 | 杭州安恒信息技术股份有限公司 | 一种基于机器学习的扫描ip分类方法及装置 |
CN111092850B (zh) * | 2018-10-24 | 2021-06-04 | 珠海格力电器股份有限公司 | 监控网络安全的方法及装置、空调器、家用电器 |
CN111092850A (zh) * | 2018-10-24 | 2020-05-01 | 珠海格力电器股份有限公司 | 监控网络安全的方法及装置、空调器、家用电器 |
CN109508542B (zh) * | 2018-10-26 | 2019-11-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
CN109508542A (zh) * | 2018-10-26 | 2019-03-22 | 国家计算机网络与信息安全管理中心江苏分中心 | 大数据环境下web异常检测方法、系统及服务器 |
CN109740042A (zh) * | 2018-11-27 | 2019-05-10 | 平安科技(深圳)有限公司 | 舆论信息的监控方法、装置及存储介质、计算机设备 |
CN109543764A (zh) * | 2018-11-28 | 2019-03-29 | 安徽省公共气象服务中心 | 一种基于智能语义感知的预警信息合法性检测方法及检测系统 |
CN109698823A (zh) * | 2018-11-29 | 2019-04-30 | 广东电网有限责任公司信息中心 | 一种网络威胁发现方法 |
CN109257393A (zh) * | 2018-12-05 | 2019-01-22 | 四川长虹电器股份有限公司 | 基于机器学习的xss攻击防御方法及装置 |
CN109948649B (zh) * | 2019-02-04 | 2023-03-24 | 复旦大学 | 面向数据开放共享的软件访问行为数据特征表示方法 |
CN109948649A (zh) * | 2019-02-04 | 2019-06-28 | 复旦大学 | 面向数据开放共享的软件访问行为数据特征表示方法 |
CN109960729A (zh) * | 2019-03-28 | 2019-07-02 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN109960729B (zh) * | 2019-03-28 | 2022-01-18 | 国家计算机网络与信息安全管理中心 | Http恶意流量的检测方法及系统 |
CN110164129A (zh) * | 2019-04-25 | 2019-08-23 | 浙江工业大学 | 基于gernn的单交叉口多车道交通流量预测方法 |
CN110245491A (zh) * | 2019-06-11 | 2019-09-17 | 合肥宜拾惠网络科技有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN110245491B (zh) * | 2019-06-11 | 2021-01-08 | 国网安徽省电力有限公司 | 网络攻击类型的确定方法、装置以及存储器和处理器 |
CN110417751A (zh) * | 2019-07-10 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110417751B (zh) * | 2019-07-10 | 2021-07-02 | 腾讯科技(深圳)有限公司 | 一种网络安全预警方法、装置和存储介质 |
CN110493262A (zh) * | 2019-09-17 | 2019-11-22 | 武汉思普崚技术有限公司 | 一种改进分类的网络攻击检测方法及系统 |
CN110493262B (zh) * | 2019-09-17 | 2021-07-23 | 武汉思普崚技术有限公司 | 一种改进分类的网络攻击检测方法及系统 |
CN110704837A (zh) * | 2019-09-25 | 2020-01-17 | 南京源堡科技研究院有限公司 | 一种网络安全事件统计分析方法 |
CN110636076A (zh) * | 2019-10-12 | 2019-12-31 | 北京安信天行科技有限公司 | 一种主机攻击检测方法及系统 |
CN110995649A (zh) * | 2019-10-25 | 2020-04-10 | 深圳猛犸电动科技有限公司 | 一种基于贝叶斯网络的网络安全态势预测方法及装置 |
CN110995649B (zh) * | 2019-10-25 | 2022-04-19 | 深圳猛犸电动科技有限公司 | 一种基于贝叶斯网络的网络安全态势预测方法及装置 |
CN110830483A (zh) * | 2019-11-13 | 2020-02-21 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
CN110830483B (zh) * | 2019-11-13 | 2022-03-22 | 杭州安恒信息技术股份有限公司 | 网页日志攻击信息检测方法、系统、设备及可读存储介质 |
CN111049828A (zh) * | 2019-12-13 | 2020-04-21 | 国网浙江省电力有限公司信息通信分公司 | 网络攻击检测及响应方法及系统 |
CN111092769A (zh) * | 2019-12-24 | 2020-05-01 | 国网新疆电力有限公司电力科学研究院 | 一种基于机器学习的web指纹识别方法 |
US11483319B2 (en) | 2020-03-05 | 2022-10-25 | International Business Machines Corporation | Security model |
WO2021196691A1 (zh) * | 2020-03-31 | 2021-10-07 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
CN113472721A (zh) * | 2020-03-31 | 2021-10-01 | 华为技术有限公司 | 一种网络攻击检测方法及装置 |
CN113569879A (zh) * | 2020-04-28 | 2021-10-29 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
CN113569879B (zh) * | 2020-04-28 | 2024-03-19 | 中国移动通信集团浙江有限公司 | 异常识别模型的训练方法、异常账号识别方法及相关装置 |
CN111586037A (zh) * | 2020-05-06 | 2020-08-25 | 全知科技(杭州)有限责任公司 | 一种参数篡改网络请求异常的检测方法 |
CN114547290B (zh) * | 2020-11-27 | 2023-07-18 | 四川大学 | 一种基于条件共现度的攻击技巧提取方法 |
CN114547290A (zh) * | 2020-11-27 | 2022-05-27 | 四川大学 | 一种基于条件共现度的攻击技巧提取方法 |
CN112668007A (zh) * | 2021-01-05 | 2021-04-16 | 浪潮软件股份有限公司 | 一种软件系统安全加固方法 |
CN112822220A (zh) * | 2021-03-04 | 2021-05-18 | 哈尔滨安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
CN112822220B (zh) * | 2021-03-04 | 2023-02-28 | 安天科技集团股份有限公司 | 一种面向多样本组合攻击的溯源方法和装置 |
CN113271321A (zh) * | 2021-07-20 | 2021-08-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN113271321B (zh) * | 2021-07-20 | 2021-09-17 | 成都信息工程大学 | 一种基于网络异常攻击的传播预测处理方法及系统 |
CN113422787A (zh) * | 2021-08-24 | 2021-09-21 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN113422787B (zh) * | 2021-08-24 | 2021-11-09 | 广州乐盈信息科技股份有限公司 | 一种用于无源光网络系统的智能防攻击方法 |
CN114021040A (zh) * | 2021-11-15 | 2022-02-08 | 北京华清信安科技有限公司 | 基于业务访问的恶意事件的告警及防护方法和系统 |
CN114553481A (zh) * | 2022-01-17 | 2022-05-27 | 重庆邮电大学 | 网络攻击事件预测及最优主动防御策略选取系统 |
CN115913738A (zh) * | 2022-11-30 | 2023-04-04 | 广西电网有限责任公司 | 网络安全事件处置系统、方法、电子设备及存储介质 |
CN117014224A (zh) * | 2023-09-12 | 2023-11-07 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及系统 |
CN117014224B (zh) * | 2023-09-12 | 2024-01-30 | 联通(广东)产业互联网有限公司 | 基于高斯过程回归的网络攻击防御方法及系统 |
CN117574135A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
CN117574135B (zh) * | 2024-01-16 | 2024-03-26 | 国网浙江省电力有限公司丽水供电公司 | 一种电网攻击事件检测方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107241352B (zh) | 2020-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107241352A (zh) | 一种网络安全事件分类与预测方法及系统 | |
CN110233849B (zh) | 网络安全态势分析的方法及系统 | |
CN107786575B (zh) | 一种基于dns流量的自适应恶意域名检测方法 | |
CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
US10652254B2 (en) | Analyzing web application behavior to detect malicious requests | |
CN103559235B (zh) | 一种在线社交网络恶意网页检测识别方法 | |
Patil et al. | A methodical overview on phishing detection along with an organized way to construct an anti-phishing framework | |
An et al. | Edge intelligence (EI)-enabled HTTP anomaly detection framework for the Internet of Things (IoT) | |
CN109960729A (zh) | Http恶意流量的检测方法及系统 | |
CN105516127B (zh) | 面向内部威胁检测的用户跨域行为模式挖掘方法 | |
Ren et al. | CSKG4APT: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
CN107332848A (zh) | 一种基于大数据的网络流量异常实时监测系统 | |
CN104767757A (zh) | 基于web业务的多维度安全监测方法和系统 | |
CN111488590A (zh) | 一种基于用户行为可信分析的sql注入检测方法 | |
Jiang et al. | Sok: Applying machine learning in security-a survey | |
Folorunso et al. | Ca-NIDS: A network intrusion detection system using combinatorial algorithm approach | |
CN112199677A (zh) | 一种数据处理方法和装置 | |
Yang et al. | Wtagraph: Web tracking and advertising detection using graph neural networks | |
Zhang et al. | Cross-site scripting (XSS) detection integrating evidences in multiple stages | |
Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
Aydin et al. | Using attribute-based feature selection approaches and machine learning algorithms for detecting fraudulent website URLs | |
Muslihi et al. | Detecting SQL injection on web application using deep learning techniques: a systematic literature review | |
Mythreya et al. | Prediction and prevention of malicious URL using ML and LR techniques for network security: machine learning | |
Kaiser et al. | Attack hypotheses generation based on threat intelligence knowledge graph | |
Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |