CN108418840A - 基于人工智能的关键信息基础设施网络风险管控系统 - Google Patents

基于人工智能的关键信息基础设施网络风险管控系统 Download PDF

Info

Publication number
CN108418840A
CN108418840A CN201810481810.1A CN201810481810A CN108418840A CN 108418840 A CN108418840 A CN 108418840A CN 201810481810 A CN201810481810 A CN 201810481810A CN 108418840 A CN108418840 A CN 108418840A
Authority
CN
China
Prior art keywords
network
host
worm
submodule
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810481810.1A
Other languages
English (en)
Inventor
谢铭
陈祖斌
翁小云
张鹏
袁勇
杭聪
马虹哲
黎新
黄俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangxi Power Grid Co Ltd
Original Assignee
Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangxi Power Grid Co Ltd filed Critical Guangxi Power Grid Co Ltd
Priority to CN201810481810.1A priority Critical patent/CN108418840A/zh
Publication of CN108418840A publication Critical patent/CN108418840A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了基于人工智能的关键信息基础设施网络风险管控系统,包括信息采集模块、网络风险检测模块、风险智能管控模块;信息采集模块用于采集关键信息基础设施网络风险信息;网络风险检测模块包括网络蠕虫检测子模块、网络流量监测子模块,网络蠕虫检测子模块用于根据主机的行为信息进行周期性的网络蠕虫检测,在检测到网络蠕虫时向风险智能管控模块发送相应的网络蠕虫检测结果;网络流量监测子模块用于定时审计网络流量信息,向风险智能管控模块输出异常流量处理策略;风险智能管控模块用于实现对关键信息基础设施网络风险的自动管控。

Description

基于人工智能的关键信息基础设施网络风险管控系统
技术领域
本发明涉及网络信息安全领域,具体涉及基于人工智能的关键信息基础设施网络风险管控系统。
背景技术
关键信息基础设施与人们的生活息息相关,保证关键信息基础设施的安全稳定运行是人们的必然需求。然而计算机病毒、网络攻击、钓鱼邮件、系统漏洞等问题日渐突出,加之网络设计缺陷和软硬件漏洞,使得关键信息基础设施的网络空间安全形势日趋严重,若应对不当,将会给经济发展和国家安全带来不利的影响。
人工智能是一门极富挑战性的科学,从事这项工作的人必须懂得计算机知识,心理学和哲学。人工智能是包括十分广泛的科学,它由不同的领域组成,如机器学习,计算机视觉等等,总的说来,人工智能研究的一个主要目标是使机器能够胜任一些通常需要人类智能才能完成的复杂工作。但不同的时代、不同的人对这种“复杂工作”的理解是不同的,其可应用于关键信息基础设施的网络风险管控。
发明内容
针对上述问题,本发明提供基于人工智能的关键信息基础设施网络风险管控系统。
本发明的目的采用以下技术方案来实现:
提供了基于人工智能的关键信息基础设施网络风险管控系统,包括信息采集模块、网络风险检测模块、风险智能管控模块;信息采集模块用于采集关键信息基础设施网络风险信息,该关键信息基础设施网络风险信息包括各主机的行为信息、网络流量信息;
网络风险检测模块包括网络蠕虫检测子模块、网络流量监测子模块,网络蠕虫检测子模块用于根据主机的行为信息进行周期性的网络蠕虫检测,在检测到网络蠕虫时向风险智能管控模块发送相应的网络蠕虫检测结果;网络流量监测子模块用于定时审计网络流量信息,向风险智能管控模块输出异常流量处理策略;
风险智能管控模块包括网络蠕虫管控子模块、流量管控子模块、恶意软件查杀子模块、漏洞检测修复子模块;其中网络蠕虫管控子模块与网络蠕虫检测子模块连接,用于根据网络蠕虫检测结果自动生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对相应主机进行处理;流量管控子模块与网络流量监测子模块连接,用于执行异常流量处理策略,实现对网络流量的管控;恶意软件查杀子模块用于对关键信息基础设施进行快速扫描、特征辨识、清除驻留的木马病毒;漏洞检测修复子模块用于对关键信息基础设施的漏洞和隐患进行扫描、检测、报警和下载补丁及修复。
优选地,网络蠕虫管控子模块包括策略生成单元、网络蠕虫传播域范围确定单元;其中策略生成单元与网络蠕虫检测子模块连接,策略生成单元用于根据网络蠕虫检测结果中的网络蠕虫特征信息自动生成相应的威胁抑制/消除策略;网络蠕虫传播域范围确定单元用于根据网络蠕虫特征信息获取网络蠕虫传播域范围,将威胁抑制/消除策略下发至网络蠕虫传播域范围内的关键信息基础设施网络的主机;主机上设有智能风险管控程序,智能风险管控程序用于将接收的威胁抑制/消除策略自动转化为防火墙规则,从而利用防火墙规则来实现对所在主机的威胁隔离。
优选地,风险智能管控模块还包括智能报警子模块,智能报警子模块与网络风险检测模块连接,智能报警子模块用于在接收到网络蠕虫检测结果和/或异常流量处理策略后向用户设定的智能终端自动发送报警信号。
优选地,系统还包括智能显示模块,智能显示模块包括相连接的蠕虫入侵威胁程度分析单元和显示单元,蠕虫入侵威胁程度分析单元还与网络蠕虫传播域范围确定单元连接,蠕虫入侵威胁程度分析单元用于根据网络蠕虫检测结果和网络蠕虫传播域范围计算蠕虫入侵威胁程度,并将蠕虫入侵威胁程度计算结果发送至显示单元;所述显示单元还与网络蠕虫管控子模块、流量管控子模块、恶意软件查杀子模块、漏洞检测修复子模块,用于显示包括蠕虫入侵威胁程度计算结果、网络蠕虫传播域范围、流量管控结果、恶意软件查杀结果、漏洞检测修复结果在内的信息。
本发明的有益效果为:该基于人工智能的关键信息基础设施网络风险管控系统,能够对关键信息基础设施网络的风险情况进行智能检测,并能够在关键信息基础设施网络出现风险时自动进行风险管控,并自动完成报警工作和网络风险情况显示工作。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明一个示例性实施例的系统结构示意框图;
图2是本发明一个示例性实施例的网络风险检测模块的结构示意框图;
图3是本发明一个示例性实施例的风险智能管控模块的结构示意框图;
图4是本发明一个示例性实施例的网络蠕虫管控子模块的结构示意框图。
附图标记:
信息采集模块2、网络风险检测模块4、风险智能管控模块6、智能显示模块8、网络蠕虫检测子模块40、网络流量监测子模块42、网络蠕虫管控子模块60、流量管控子模块62、恶意软件查杀子模块64、漏洞检测修复子模块66、智能报警子模块68、策略生成单元100、网络蠕虫传播域范围确定单元200。
具体实施方式
结合以下实施例对本发明作进一步描述。
参见图1,本实施例提供的基于人工智能的关键信息基础设施网络风险管控系统,包括信息采集模块2、网络风险检测模块4、风险智能管控模块6。
其中,信息采集模块2用于采集关键信息基础设施网络风险信息,该关键信息基础设施网络风险信息包括各主机的行为信息、网络流量信息。其中行为信息包括主机上的文件系统操作行为记录信息、注册表操作行为记录信息、服务程序接收的各报文信息。
如图2所示,网络风险检测模块4包括网络蠕虫检测子模块40、网络流量监测子模块42,网络蠕虫检测子模块40用于根据主机的行为信息进行周期性的网络蠕虫检测,在检测到网络蠕虫时向风险智能管控模块6发送相应的网络蠕虫检测结果;网络流量监测子模块42用于定时审计网络流量信息,向风险智能管控模块6输出异常流量处理策略。
其中,该网络蠕虫检测结果包含了检测到的网络蠕虫特征信息。
如图3所示,风险智能管控模块6包括网络蠕虫管控子模块60、流量管控子模块62、恶意软件查杀子模块64、漏洞检测修复子模块66;其中网络蠕虫管控子模块60与网络蠕虫检测子模块40连接,用于根据网络蠕虫检测结果自动生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对相应主机进行处理;流量管控子模块62与网络流量监测子模块42连接,用于执行异常流量处理策略,实现对网络流量的管控;恶意软件查杀子模块64用于对关键信息基础设施进行快速扫描、特征辨识、清除驻留的木马病毒;漏洞检测修复子模块66用于对关键信息基础设施的漏洞和隐患进行扫描、检测、报警和下载补丁及修复。
进一步地,风险智能管控模块6还包括智能报警子模块68,智能报警子模块68与网络风险检测模块4连接,智能报警子模块68用于在接收到网络蠕虫检测结果和/或异常流量处理策略后向用户设定的智能终端自动发送报警信号。本实施例通过智能报警子模块68的设置,能够完成在关键信息基础设施网络出现风险时的自动报警工作。
如图4所示,网络蠕虫管控子模块60包括策略生成单元100、网络蠕虫传播域范围确定单元200;其中策略生成单元100与网络蠕虫检测子模块40连接,策略生成单元100用于根据网络蠕虫检测结果中的网络蠕虫特征信息自动生成相应的威胁抑制/消除策略;网络蠕虫传播域范围确定单元200用于根据网络蠕虫特征信息获取网络蠕虫传播域范围,将威胁抑制/消除策略下发至网络蠕虫传播域范围内的关键信息基础设施网络的主机;主机上设有智能风险管控程序,智能风险管控程序用于将接收的威胁抑制/消除策略自动转化为防火墙规则,从而利用防火墙规则来实现对所在主机的威胁隔离。在一个可选的方式中,威胁抑制/消除策略具体为,当网络蠕虫造成主机出现反常的行为时,对主机的反常行为进行抑制/消除。本实施例实现了对威胁入侵的智能自动处理,其中只对得到的网络蠕虫传播域范围内的主机进行威胁处理,保证了在及时处理威胁的同时,尽量减少威胁处理操作对关键信息基础设备网络正常服务的影响。
进一步地,如图1所示,系统还包括智能显示模块8,智能显示模块8包括相连接的蠕虫入侵威胁程度分析单元和显示单元,蠕虫入侵威胁程度分析单元还与网络蠕虫传播域范围确定单元200连接,蠕虫入侵威胁程度分析单元用于根据网络蠕虫检测结果和网络蠕虫传播域范围计算蠕虫入侵威胁程度,并将蠕虫入侵威胁程度计算结果发送至显示单元;所述显示单元还与网络蠕虫管控子模块60、流量管控子模块62、恶意软件查杀子模块64、漏洞检测修复子模块66,用于显示包括蠕虫入侵威胁程度计算结果、网络蠕虫传播域范围、流量管控结果、恶意软件查杀结果、漏洞检测修复结果在内的信息。
本发明上述实施例的该基于人工智能的关键信息基础设施网络风险管控系统,能够对关键信息基础设施网络的风险情况进行智能检测,并能够在关键信息基础设施网络出现风险时自动进行风险管控,并自动完成报警工作和网络风险情况显示工作。
在一个实施例中,网络蠕虫传播域范围确定单元200根据网络蠕虫特征信息获取网络蠕虫传播域范围,具体为:根据网络蠕虫特征信息构建无害网络蠕虫,以构建的无害网络蠕虫作为媒介,调动关键信息基础设施网络内各主机协同对网络拓扑进行探测,从而得到网络蠕虫传播域范围。本实施例利用网络蠕虫本身具备的自传播能力,进行网络拓扑探测,能够有效地探测到遭受网络蠕虫入侵且隐藏连接的网络拓扑,从而能够准确地判断威胁可能传播的范围。
在一个实施例中,网络蠕虫检测子模块40用于根据主机的行为信息进行周期性的网络蠕虫检测,具体包括:
(1)网络蠕虫检测子模块40预先设有标记有各主机属性的属性列表清单,其中具有相同的配置或业务类型的主机属于同一属性,将同一个周期内的各主机的行为信息作为检测数据,根据检测数据和属性列表清单,将任意主机a与其它主机中不同属性的各主机进行行为信息相似性判断,构建各主机的相似集,其中若主机a与不同属性的主机b的行为信息之间相似,则两主机分别归入对方的相似集,其中每个主机的相似集中包含主机本身;
(2)若存在一个主机的相似集满足下列蠕虫存在条件,则判定检测到网络蠕虫,并将该主机的相似集中的主机行为信息进行存储,作为网络蠕虫的特征信息:
式中,为主机a的相似集中包含的主机数量,ST为设定的第一数量上限,为由主机a的相似集中的各主机覆盖的网络域数量,NT为设定的第二数量上限;为设定的取值函数,当时,时,
(3)在进行下一个周期的网络蠕虫检测时,利用存储的网络蠕虫的特征信息对当前周期的检测数据进行相似判断,当检测出相似的检测数据时,判定检测到网络蠕虫。
本实施例创新性地设定了网络蠕虫检测子模块40对行为信息进行周期性的网络蠕虫检测的具体机制,该机制从网络全局的层次对网络蠕虫入侵进行感知,首先用第一个周期的检测数据来检测网络蠕虫,当检测到网络蠕虫后,将相应的关键信息基础设施网络的主机行为信息保存下来作为网络蠕虫的特征信息,并在之后的网络蠕虫检测中利用该保存的网络蠕虫的特征信息进行网络蠕虫检测。
本实施例在初始时并不需要获取网络蠕虫的样本特征,而且在后续利用检测出的网络蠕虫信息作为样本进行检测,能够大幅度提高网络蠕虫的检测速度,提高关键信息基础设施网络风险检测的效率。
本实施例创新性地设定了构建各主机的相似集的策略,由于具有相同配置或业务类型的主机之间的行为信息本身具有相似性,该策略不对同一属性的主机进行相似性判断,能够降低网络蠕虫检测的错误率;本实施例进一步在该机制中设定了用于判定检测到网络蠕虫的条件,通过该条件对构建各主机的相似集进行网络蠕虫检测,具有一定的检测精度。
在一个实施中,将任意主机a与其它主机中不同属性的各主机进行行为信息相似性判断,具体包括:
(1)根据检测数据计算任意主机a与其它主机中不同属性的各主机的行为信息相似度:
式中,Za,b表示主机a与不同属性的主机b的行为信息相似度,k1、k2、k3为设定的权重值,且满足k1+k2+k3=1;
式中,为主机a上的当前周期内文件系统操作行为记录的发生改动的文件数目,主机b上的当前周期内文件系统操作行为记录的发生改动的文件数目,其中改动类型包括生成新文件、删除现有文件、修改现有文件;为当前周期内文件系统操作行为记录的发生改动的文件中,主机a与主机b之间具有的同样改动文件的数目,其中同样改动表示改动的文件相同且改动类型相同;
式中,为主机a上的当前周期内注册表操作行为记录的发生改动的注册表数目,为主机b上的当前周期内注册表操作行为记录的发生改动的注册表数目,其中改动类型包括创建注册表、修改注册表、删除注册表;为当前周期内注册表操作行为记录的发生改动的注册表中,主机a与主机b之间具有的同样改动注册表的数目,其中同样改动表示改动的注册表相同且改动类型相同;
式中,为在当前周期内主机a上的服务程序接收的报文数目,为在当前周期内主机b上的服务程序接收的报文数目,为在当前周期内主机a与主机b之间具有的相同报文的数据,其中,当两报文具有相同的目的端口且具有的数据载荷之间的差值在设定的阈值范围内时,该两报文为相同报文;
(2)当任意主机a与不同属性的主机b的行为信息相似度大于设定的相似度上限时,判定主机a与主机b的行为信息之间相似。
本实施例创新性地设定了对两主机进行行为信息相似性判断的策略,其中,从文件系统操作行为记录信息、注册表操作行为记录信息、服务程序接收的各报文信息三个角度出发来设定行为信息相似度的计算公式,能够较高效率地衡量两主机之间的行为信息相似度,并且具有一定的精确性。
在一个实施例中,设定蠕虫入侵威胁程度的计算公式为:
式中,Hc表示根据第c次网络蠕虫检测结果和网络蠕虫传播域范围计算出的蠕虫入侵威胁程度,qc为第c次网络蠕虫检测结果中满足蠕虫存在条件的相似集个数;Sv为所述满足蠕虫存在条件的相似集中,第v个相似集包含的主机数量;ST为设定的第一数量上限,X(c)为根据第c次网络蠕虫检测结果确定的网络蠕虫传播域范围,X为关键信息基础信息网络域范围,p1、p2为设定的权重系数,且满足p1+p2=1。
进一步地,蠕虫入侵威胁程度分析单元还用于根据预先设定的多个蠕虫入侵威胁程度阈值界限对威胁进行分级,并将分级结果发送至显示单元,显示单元还用于显示该分级结果。例如,设置第一阈值界限HT1、第二阈值界限HT2,当计算出的蠕虫入侵威胁程度Hc∈(0,HT1)时,将此次网络蠕虫的威胁判定为轻度威胁;当计算出的蠕虫入侵威胁程度Hc∈[HT1,HT2]时,将此次网络蠕虫的威胁判定为中度威胁;当计算出的蠕虫入侵威胁程度Hc∈[HT2,1]时,将此次网络蠕虫的威胁判定为严重威胁。
本实施例设定智能显示模块8,对网络蠕虫的入侵蠕虫入侵威胁程度进行分析计算,并显示包括蠕虫入侵威胁程度计算结果、网络蠕虫传播域范围、流量管控结果、恶意软件查杀结果、漏洞检测修复结果在内的信息,便于管控人员直观了解关键信息基础设施网络的风险情况;本实施例创新性地设定了蠕虫入侵威胁程度的计算公式,通过根据网络蠕虫检测结果和网络蠕虫传播域范围来计算蠕虫入侵威胁程度,能够直观、准确、有效地反映网络蠕虫入侵关键信息基础设施网络的程度,计算简单便捷。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (7)

1.基于人工智能的关键信息基础设施网络风险管控系统,其特征是,包括信息采集模块、网络风险检测模块、风险智能管控模块;信息采集模块用于采集关键信息基础设施网络风险信息,该关键信息基础设施网络风险信息包括各主机的行为信息、网络流量信息;
网络风险检测模块包括网络蠕虫检测子模块、网络流量监测子模块,网络蠕虫检测子模块用于根据主机的行为信息进行周期性的网络蠕虫检测,在检测到网络蠕虫时向风险智能管控模块发送相应的网络蠕虫检测结果;网络流量监测子模块用于定时审计网络流量信息,向风险智能管控模块输出异常流量处理策略;
风险智能管控模块包括网络蠕虫管控子模块、流量管控子模块、恶意软件查杀子模块、漏洞检测修复子模块;其中网络蠕虫管控子模块与网络蠕虫检测子模块连接,用于根据网络蠕虫检测结果自动生成相应的威胁抑制/消除策略,并采用生成的威胁抑制/消除策略对相应主机进行处理;流量管控子模块与网络流量监测子模块连接,用于执行异常流量处理策略,实现对网络流量的管控;恶意软件查杀子模块用于对关键信息基础设施进行快速扫描、特征辨识、清除驻留的木马病毒;漏洞检测修复子模块用于对关键信息基础设施的漏洞和隐患进行扫描、检测、报警和下载补丁及修复。
2.根据权利要求1所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,网络蠕虫管控子模块包括策略生成单元、网络蠕虫传播域范围确定单元;其中策略生成单元与网络蠕虫检测子模块连接,策略生成单元用于根据网络蠕虫检测结果中的网络蠕虫特征信息自动生成相应的威胁抑制/消除策略;网络蠕虫传播域范围确定单元用于根据网络蠕虫特征信息获取网络蠕虫传播域范围,将威胁抑制/消除策略下发至网络蠕虫传播域范围内的关键信息基础设施网络的主机;主机上设有智能风险管控程序,智能风险管控程序用于将接收的威胁抑制/消除策略自动转化为防火墙规则,从而利用防火墙规则来实现对所在主机的威胁隔离。
3.根据权利要求2所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,风险智能管控模块还包括智能报警子模块,智能报警子模块与网络风险检测模块连接,智能报警子模块用于在接收到网络蠕虫检测结果和/或异常流量处理策略后向用户设定的智能终端自动发送报警信号。
4.根据权利要求2所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,还包括智能显示模块,智能显示模块包括相连接的蠕虫入侵威胁程度分析单元和显示单元,蠕虫入侵威胁程度分析单元还与网络蠕虫传播域范围确定单元连接,蠕虫入侵威胁程度分析单元用于根据网络蠕虫检测结果和网络蠕虫传播域范围计算蠕虫入侵威胁程度,并将蠕虫入侵威胁程度计算结果发送至显示单元;所述显示单元还与网络蠕虫管控子模块、流量管控子模块、恶意软件查杀子模块、漏洞检测修复子模块,用于显示包括蠕虫入侵威胁程度计算结果、网络蠕虫传播域范围、流量管控结果、恶意软件查杀结果、漏洞检测修复结果在内的信息。
5.根据权利要求1-4任一项所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,网络蠕虫检测子模块根据主机的行为信息进行周期性的网络蠕虫检测,具体包括:
(1)网络蠕虫检测子模块预先设有标记有各主机属性的属性列表清单,其中具有相同的配置或业务类型的主机属于同一属性,将同一个周期内的各主机的行为信息作为检测数据,根据检测数据和属性列表清单,将任意主机a与其它主机中不同属性的各主机进行行为信息相似性判断,构建各主机的相似集,其中若主机a与不同属性的主机b的行为信息之间相似,则两主机分别归入对方的相似集,其中每个主机的相似集中包含主机本身;
(2)若存在一个主机的相似集满足下列蠕虫存在条件,则判定检测到网络蠕虫,并将该主机的相似集中的主机行为信息进行存储,作为网络蠕虫的特征信息:
式中,为主机a的相似集中包含的主机数量,ST为设定的第一数量上限,为由主机a的相似集中的各主机覆盖的网络域数量,NT为设定的第二数量上限;为设定的取值函数,当时,时,
(3)在进行下一个周期的网络蠕虫检测时,利用存储的网络蠕虫的特征信息对当前周期的检测数据进行相似判断,当检测出相似的检测数据时,判定检测到网络蠕虫。
6.根据权利要求5所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,将任意主机a与其它主机中不同属性的各主机进行行为信息相似性判断,具体包括:
(1)根据检测数据计算任意主机a与其它主机中不同属性的各主机的行为信息相似度:
(2)当任意主机a与不同属性的主机b的行为信息相似度大于设定的相似度上限时,判定主机a与主机b的行为信息之间相似。
7.根据权利要求6所述的基于人工智能的关键信息基础设施网络风险管控系统,其特征是,所述信息相似度的计算公式为:
式中,Za,b表示主机a与不同属性的主机b的行为信息相似度,k1、k2、k3为设定的权重值,且满足k1+k2+k3=1;
式中,为主机a上的当前周期内文件系统操作行为记录的发生改动的文件数目,主机b上的当前周期内文件系统操作行为记录的发生改动的文件数目,其中改动类型包括生成新文件、删除现有文件、修改现有文件;为当前周期内文件系统操作行为记录的发生改动的文件中,主机a与主机b之间具有的同样改动文件的数目,其中同样改动表示改动的文件相同且改动类型相同;
式中,为主机a上的当前周期内注册表操作行为记录的发生改动的注册表数目,为主机b上的当前周期内注册表操作行为记录的发生改动的注册表数目,其中改动类型包括创建注册表、修改注册表、删除注册表;为当前周期内注册表操作行为记录的发生改动的注册表中,主机a与主机b之间具有的同样改动注册表的数目,其中同样改动表示改动的注册表相同且改动类型相同;
式中,为在当前周期内主机a上的服务程序接收的报文数目,为在当前周期内主机b上的服务程序接收的报文数目,为在当前周期内主机a与主机b之间具有的相同报文的数据,其中,当两报文具有相同的目的端口且具有的数据载荷之间的差值在设定的阈值范围内时,该两报文为相同报文。
CN201810481810.1A 2018-05-18 2018-05-18 基于人工智能的关键信息基础设施网络风险管控系统 Pending CN108418840A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810481810.1A CN108418840A (zh) 2018-05-18 2018-05-18 基于人工智能的关键信息基础设施网络风险管控系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810481810.1A CN108418840A (zh) 2018-05-18 2018-05-18 基于人工智能的关键信息基础设施网络风险管控系统

Publications (1)

Publication Number Publication Date
CN108418840A true CN108418840A (zh) 2018-08-17

Family

ID=63139982

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810481810.1A Pending CN108418840A (zh) 2018-05-18 2018-05-18 基于人工智能的关键信息基础设施网络风险管控系统

Country Status (1)

Country Link
CN (1) CN108418840A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109447651A (zh) * 2018-10-22 2019-03-08 武汉极意网络科技有限公司 业务风控检测方法、系统、服务器及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120174227A1 (en) * 2010-12-30 2012-07-05 Kaspersky Lab Zao System and Method for Detecting Unknown Malware
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
CN104901838A (zh) * 2015-06-23 2015-09-09 中国电建集团成都勘测设计研究院有限公司 企业网络安全事件管理系统及其方法
CN107872456A (zh) * 2017-11-09 2018-04-03 深圳市利谱信息技术有限公司 网络入侵防御方法、装置、系统及计算机可读存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120174227A1 (en) * 2010-12-30 2012-07-05 Kaspersky Lab Zao System and Method for Detecting Unknown Malware
CN103179105A (zh) * 2012-10-25 2013-06-26 四川省电力公司信息通信公司 一种基于网络流量中行为特征的智能木马检测装置及其方法
CN104901838A (zh) * 2015-06-23 2015-09-09 中国电建集团成都勘测设计研究院有限公司 企业网络安全事件管理系统及其方法
CN107872456A (zh) * 2017-11-09 2018-04-03 深圳市利谱信息技术有限公司 网络入侵防御方法、装置、系统及计算机可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
齐睿等: "基于传播模式的本地网络蠕虫检测模型", 《计算机应用研究》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109447651A (zh) * 2018-10-22 2019-03-08 武汉极意网络科技有限公司 业务风控检测方法、系统、服务器及存储介质

Similar Documents

Publication Publication Date Title
CN104486141B (zh) 一种误报自适应的网络安全态势预测方法
CN114584405B (zh) 一种电力终端安全防护方法及系统
CN105357063B (zh) 一种网络空间安全态势实时检测方法
CN106534146B (zh) 一种安全监测系统及方法
CN107911396A (zh) 登录异常检测方法和系统
CN110868425A (zh) 一种采用黑白名单进行分析的工控信息安全监控系统
KR100617310B1 (ko) 네트워크 트래픽 이상 징후 감지 장치 및 그 방법
CN109064018A (zh) 一种信息安全风险评估系统及方法
CN105868629B (zh) 一种适用于电力信息物理系统的安全威胁态势评估方法
CN108449218B (zh) 下一代关键信息基础设施的网络安全态势感知系统
JP6933112B2 (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
CN114338372B (zh) 网络信息安全监控方法及系统
CN108551449A (zh) 防病毒管理系统及方法
CN117478433B (zh) 一种网络与信息安全动态预警系统
CN106850647A (zh) 基于dns请求周期的恶意域名检测算法
CN111698209A (zh) 一种网络异常流量检测方法及装置
CN110430226A (zh) 网络攻击检测方法、装置、计算机设备及存储介质
CN107070952A (zh) 一种网络节点流量异常分析方法及系统
CN118200190B (zh) 基于人工智能的网络性能监控与维护方法、系统及介质
CN115378711A (zh) 一种工控网络的入侵检测方法和系统
CN104683378A (zh) 新技术的一种新型云计算服务平台的计算调试系统
CN108881179A (zh) 应用于智能电网的输电线路可靠监测系统
CN108418840A (zh) 基于人工智能的关键信息基础设施网络风险管控系统
CN108761035A (zh) 土壤环境污染可靠监测系统
CN109696892A (zh) 一种安全自动化系统及其控制方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180817

RJ01 Rejection of invention patent application after publication