CN108600275B - 基于人工智能的威胁情景感知信息安全主动防御系统 - Google Patents

基于人工智能的威胁情景感知信息安全主动防御系统 Download PDF

Info

Publication number
CN108600275B
CN108600275B CN201810532933.3A CN201810532933A CN108600275B CN 108600275 B CN108600275 B CN 108600275B CN 201810532933 A CN201810532933 A CN 201810532933A CN 108600275 B CN108600275 B CN 108600275B
Authority
CN
China
Prior art keywords
network
threat
description information
scene
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810532933.3A
Other languages
English (en)
Other versions
CN108600275A (zh
Inventor
谢铭
陈祖斌
翁小云
张鹏
袁勇
杭聪
马虹哲
黎新
黄俊杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Guangxi Power Grid Co Ltd
Guangxi Power Grid Co Ltd
Original Assignee
Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangxi Power Grid Co Ltd filed Critical Guangxi Power Grid Co Ltd
Priority to CN201810532933.3A priority Critical patent/CN108600275B/zh
Publication of CN108600275A publication Critical patent/CN108600275A/zh
Application granted granted Critical
Publication of CN108600275B publication Critical patent/CN108600275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

本发明公开了一种基于人工智能的威胁情景感知信息安全主动防御系统,该系统包括:数据采集模块,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;安全评估模块,用于对采集的原始数据信息进行处理,并对网络进行安全评估;处置模块,用于根据所述安全评估模块的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御。该系统通过对实时采集的原始数据进行分析,进而对网络中的威胁情景进行感知,并根据感知的威胁情景对网络安全状态进行评估和预测,进而为网络安全管理人员的决策分析提供依据,将网络中威胁情景可能带来的风险和损失降到最低。

Description

基于人工智能的威胁情景感知信息安全主动防御系统
技术领域
本发明涉及网络信息安全领域,尤其涉及一种基于人工智能的威胁情景感知信息安全主动防御系统。
背景技术
随着互联网爆炸式的发展,网络规模的不断扩大,网络拓扑结构变得越来越复杂,监测网络威胁行为的难度又上升了一个等级。目前,传统的被动防御策略已不能满足网络信息安全的需求,基于防火墙的防御为例,(1)入侵者可利用已有的经验巧妙地绕过防火墙,寻找方便其进行入侵的方式;(2)攻击者可能已藏身于防火墙之内;(3)受限于某些性能,防火墙不具备实时监测入侵的能力。因此,能够及时发现威胁,识别攻击企图并适当应对威胁行为已成为目前还亟需解决的问题。
发明内容
针对上述问题,本发明旨在提供一种基于人工智能的关键信息基础设施安全威胁主动防御系统。
本发明的目的采用以下技术方案来实现:
一种基于人工智能的威胁情景感知信息安全主动防御系统,该系统包括:
数据采集模块,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;
安全评估模块,用于对采集的原始数据信息进行处理,并对网络进行安全评估;
处置模块,用于根据安全评估模块的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御。
有益效果:该系统通过对实时采集的原始数据进行分析,进而对网络中的威胁情景进行感知,并根据感知的威胁情景对网络安全状态进行评估和预测,进而为网络安全管理人员的决策分析提供依据,将网络中威胁情景可能带来的风险和损失降到最低。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1为本发明的框架结构图;
图2为本发明数据采集模块的框架结构图;
图3为本发明安全评估模块的框架结构图;
图4为本发明威胁情景评估单元的框架结构图。
附图标记:
数据采集模块1;安全评估模块2;处置模块3;网络事件传感器11;系统运行数据传感器12;设备操作数据传感器13;数据处理单元21;威胁情景感知单元22;威胁情景评估单元23;安全状态确认单元24;可信度评估子单元231;威胁程度评估子单元232;安全状态评估子单元233。
具体实施方式
结合以下应用场景对本发明作进一步描述。
参见图1,一种基于人工智能的威胁情景感知信息安全主动防御系统,该系统包括:
数据采集模块1,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;
安全评估模块2,用于对采集的原始数据信息进行处理,并对网络进行安全评估;
处置模块3,用于根据安全评估模块2的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御。
有益效果:该系统通过对实时采集的原始数据进行分析,进而对网络中的威胁情景进行感知,并根据感知的威胁情景对网络安全状态进行评估和预测,进而为网络安全管理人员的决策分析提供依据,将网络中威胁情景可能带来的风险和损失降到最低。
作为优选,参见图2,数据采集模块1包括:
网络事件传感器11,用于对网络事件进行采集;
系统运行数据传感器12,用于对系统运行数据进行采集,系统运行数据包括系统运行的日志信息、网络流量信息;
设备操作数据传感器13,用于对网络设备操作数据进行采集,网络设备操作数据包括网络设备运行状态信息、网络设备参数信息。
作为优选,参见图3;安全评估模块2包括:数据处理单元21、威胁情景感知单元22、威胁情景评估单元23和安全状态确认模块24;
数据处理单元21,用于对采集的原始数据进行处理,获取网络描述信息;
有益效果:通过设置数据处理单元对采集的原始数据进行处理,能够有效地去除原始数据中的冗余数据,降低了数据维度,有较少的数据去描述网络的安全状态,降低后续对威胁情景识别的复杂度,提高了该系统的工作效率。
威胁情景感知单元22,用于根据网络描述信息,对网络中的威胁情景进行感知;
威胁情景评估单元23,用于根据威胁情景感知单元22的感知结果,对网络安全状态进行评估;
安全状态确认单元24,用于根据威胁情景评估单元23的评估结果和历史威胁数据,预测未来威胁情景的发展趋势,并将预测结果传输至处置模块3。
作为优选,参见图4,威胁情景评估单元23包括可信度评估子单元231、威胁程度评估子单元232和安全状态评估子单元233;
可信度评估子单元231,用于根据威胁情景感知模块的感知结果,对每个威胁行为的可信度进行评估;
威胁程度评估子单元232,用于根据可信度评估子单元231以及网络中各个网络设备的防御等级,分析每个威胁行为对网络中网络设备的威胁程度;
安全状态评估子单元233,用于根据可信度评估子单元231的评估结果和威胁程度评估子单元232的评估结果,对网络安全状态进行评估。
作为优选,根据网络描述信息,对网络中的威胁情景进行感知,具体地是通过计算各个网络描述信息和标准数据中预存的网络正常运行的网络描述信息之间的匹配度值F,根据得到的匹配度值,获取描述网络中威胁情景的网络描述信息,其中,匹配度值F的计算公式为:
式中,是t时刻时,网络描述信息xi与网络描述信息的相似度值,gxi是网络描述信息xi特征值,是与标准数据库中预存的、与网络描述信息xi对应的网络正常活动下的网络描述信息的特征值,β是衰减因子,M是网络描述信息数;
其中,当时,t时刻时的网络描述信息xi用于描述网络中的威胁情景,并将其网络描述信息存储至集合Y中,反之,当时,t时刻时的网络描述信息xi用于描述网络正常活动,并将其网络描述信息存储至集合H中,遍历所有的网络描述信息,分别得到能够描述网络中威胁情景的网络描述信息的集合Y={y1,y2,…,yN},和能够描述网络正常活动的网络描述信息的集合H={h1,h2,…,hS},N为用于描述网络中威胁情景的网络描述信息的个数,S为用于描述网络正常活动的网络描述信息的个数,且满足N+S=M,λ是设定的阈值。
有益效果:利用上式计算经所述数据处理单元21得到的每一个网络描述信息和标准数据库中预存的网络正常活动的网络描述信息的匹配度值,根据计算的匹配度值对得到的网络描述信息进行分类,获取能够描述威胁情景的网络描述信息,该算法进一步降低后续对网络威胁评估的计算复杂度,提高了工作效率,同时也减轻了后续的工作压力,并为下一步评估网络安全状态做好了准备,上述实施例中,通过设定一阈值,来对采集的网络描述信息进行分类,该做法能够检测出网络系统之前没发生过的攻击行为。
作为优选,根据威胁情景感知模块的感知结果,对每个威胁行为的可信度进行评估,其中,威胁行为k在t时刻时的可信度值的计算公式为:
式中,Pk(ym,t)是t时刻时,网络描述信息ym对威胁行为k的影响程度值,且0≤Pk(ym,t)<1,ωm是网络描述信息ym在描述发生威胁行为k时所占的权重值,Dk是威胁行为的攻击能力等级,且0≤Dk≤1,Fk是网络对威胁行为k的防御能力,且0≤Fk≤1。
有益效果:在本发明上述实施例中,在分析每个威胁行为的可信度时,不仅从威胁行为本身出发,考虑了威胁行为的攻击能力的影响,同时也考虑了网络系统针对不同威胁行为的防御能力。这使得得到的每个威胁行为的可信度更具备针对性,能够准确地反映出每个威胁行为的可信度,有利于后续对网络安全态势的准确估计以及预测。
在一个实施例中,所述根据可信度评估子单元231以及网络中各个网络设备的防御等级,分析每个威胁行为对网络中网络设备的威胁程度,具体地,是采用下方函数计算威胁行为对信息基础设备a的威胁程度值:
式中,Φa(t)是威胁行为对网络设备a的威胁程度值,K是威胁行为个数,Rk(t)是威胁行为k在t时刻的可信度值,Assetka是威胁行为k对网络设备a造成的损失量化值,且0≤Assetka≤1,Gak是网络设备a对威胁行为k的防御能力,Gbk是网络设备b对威胁行为k的防御能力,是网络设备a的平均防御能力,是网络设备b的平均防御能力,Δ是网络中所有网络设备构成的集合。
有益效果:本发明上述实施例中,是为了得到所有威胁行为分别对每个网络设备的威胁程度值,在求各个网络设备的威胁程度值时,不仅将每个威胁行为对网络设备造成的损失考虑在内,同时利用每个网络设备本身的防御能力,分析了每个网络设备与其他网络设备的关联程度,进而获得每个网络设备受威胁行为的威胁程度值,该威胁程度值更能准确地反应出威胁行为对网络设备的威胁程度,有利于后续对网络安全态势进行准确评估和预测网络安全态势的未来走向。
在一个实施例中,根据可信度评估子单元231的评估结果和威胁程度评估子单元232的评估结果,对网络安全状态进行评估,具体地,是利用计算得到的每一个威胁行为的可信度值和所有威胁行为对每一个网络设备的威胁程度值,估计整个网络的安全性能,得到整个网络的安全性能值,其中,t时刻时,整个网络的安全性能值的计算式为:
式中,E(t)是t时刻时整个网络的安全性能值,Rk(t)是t时刻时威胁行为k的可信度值,Φa(t)是t时刻时威胁行为对网络设备a的威胁程度值,A是整个网络中的网络设备数,K是威胁行为的个数。
有益效果:采用上式计算整个网络的安全性能值,该算法不仅考虑威胁行为本身对网络系统的影响,还考虑各个威胁行为的可信度,该做法能够对整个网络的安全性能之进行准确估测,进而有利于后续采取相应的防御措施。
在一个实施例中,根据安全评估模块2的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御,具体地,是通过深度学习算法对安全评估模块2传输过来的结果进行威胁等级的划分,并根据对威胁等级的划分结果,确定安全事件处置策略,进而对网络中的威胁情景进行主动防御。
有益效果:本发明上述实施方式,通过设置处置模块3,通过深度学习算法对安全评估模块2的结果进行识威胁等级的划分,进而确定相应的安全事件处置策略,实现对网络中的威胁情景的主动防御,该做法提高了系统自动识别威胁程度的水平,进而主动采取相应的安全事件处理策略去应对不同威胁等级的威胁行为,提高了网络系统的稳定性和安全性。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当分析,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (2)

1.一种基于人工智能的威胁情景感知信息安全主动防御系统,其特征在于,包括:
数据采集模块,用于实时对网络事件、系统运行数据和网络设备操作数据进行采集,以获取原始数据信息;
安全评估模块,用于对采集的原始数据信息进行处理,并对网络进行安全评估;
处置模块,用于根据所述安全评估模块的评估结果,确定安全事件处理策略,进而对网络中的威胁行为进行主动防御;
所述安全评估模块包括:数据处理单元、威胁情景感知单元、威胁情景评估单元和安全状态确认单元;
所述数据处理单元,用于对采集的原始数据进行处理,获取网络描述信息;
所述威胁情景感知单元,用于根据所述网络描述信息,对网络中的威胁情景进行感知;
所述威胁情景评估单元,用于根据所述威胁情景感知单元的感知结果,对网络安全状态进行评估;
所述安全状态确认单元,用于根据所述威胁情景评估单元的评估结果和历史威胁数据,预测未来威胁情景的发展趋势,并将预测结果传输至所述处置模块;
所述威胁情景评估单元包括可信度评估子单元、威胁程度评估子单元和安全状态评估子单元;
所述可信度评估子单元,用于根据所述威胁情景感知模块的感知结果,对每个威胁行为的可信度进行评估;
所述威胁程度评估子单元,用于根据所述可信度评估子单元的评估结果以及网络中各个网络设备的防御等级,分析每个威胁行为对网络设备的威胁程度;
安全状态评估子单元,用于根据所述可信度评估子单元的评估结果和所述威胁程度评估子单元的评估结果,对网络安全状态进行评估;
所述根据所述网络描述信息,对网络中的威胁情景进行感知,具体地是通过计算各个所述网络描述信息和标准数据库中预存的网络正常运行的网络描述信息之间的匹配度值F,根据得到的匹配度值F,获取描述网络中威胁情景的网络描述信息,其中,匹配度值F的计算公式为:
式中,是t时刻时,网络描述信息xi与网络描述信息的相似度值,gxi是网络描述信息xi特征值,是与标准数据库中预存的、与网络描述信息xi对应的网络正常活动下的网络描述信息的特征值,β是衰减因子,M是网络描述信息数;
其中,当时,t时刻时的网络描述信息xi用于描述网络中的威胁情景,并将其网络描述信息存储至集合Y中,反之,当时,t时刻时的网络描述信息xi用于描述网络正常活动,并将其网络描述信息存储至集合H中,遍历所有的网络描述信息,分别得到能够描述网络中威胁情景的网络描述信息的集合Y={y1,y2,…,yN},和能够描述网络正常活动的网络描述信息的集合H={h1,h2,…,hS},其中,N为用于描述网络中威胁情景的网络描述信息的个数,S为用于描述网络正常活动的网络描述信息的个数,且满足N+S=M,λ是设定的阈值。
2.根据权利要求1所述的威胁情景感知信息安全主动防御系统,其特征在于,所述数据采集模块包括:
网络事件传感器,用于对所述网络事件进行采集;
系统运行数据传感器,用于对系统运行数据进行采集,所述系统运行数据包括系统运行的日志信息、网络流量信息;
设备操作数据传感器,用于对网络设备操作数据进行采集,所述网络设备操作数据包括网络设备运行状态信息、网络设备参数信息。
CN201810532933.3A 2018-05-29 2018-05-29 基于人工智能的威胁情景感知信息安全主动防御系统 Active CN108600275B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810532933.3A CN108600275B (zh) 2018-05-29 2018-05-29 基于人工智能的威胁情景感知信息安全主动防御系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810532933.3A CN108600275B (zh) 2018-05-29 2018-05-29 基于人工智能的威胁情景感知信息安全主动防御系统

Publications (2)

Publication Number Publication Date
CN108600275A CN108600275A (zh) 2018-09-28
CN108600275B true CN108600275B (zh) 2019-07-09

Family

ID=63629433

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810532933.3A Active CN108600275B (zh) 2018-05-29 2018-05-29 基于人工智能的威胁情景感知信息安全主动防御系统

Country Status (1)

Country Link
CN (1) CN108600275B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110445807A (zh) * 2019-08-23 2019-11-12 瑞森网安(福建)信息科技有限公司 网络安全态势感知系统及方法
CN113162888B (zh) * 2020-01-22 2023-06-09 华为技术有限公司 安全威胁事件处理方法、装置及计算机存储介质
CN112511387A (zh) * 2020-12-15 2021-03-16 北京京航计算通讯研究所 基于多源信息分析的网络攻击监测系统
CN112364351B (zh) * 2020-12-30 2021-05-07 杭州海康威视数字技术股份有限公司 设备威胁发现方法、装置、计算设备及存储介质
CN115021964A (zh) * 2022-04-29 2022-09-06 北京旋极安辰计算科技有限公司 一种基于可信验证的分布式安全监管引擎系统
CN116723034A (zh) * 2023-07-03 2023-09-08 深圳市奥晏科技发展有限公司 一种用于互联网信息安全的智能数据监测系统及方法
CN116760636A (zh) * 2023-08-16 2023-09-15 国网江苏省电力有限公司信息通信分公司 一种未知威胁的主动防御系统和方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106101252B (zh) * 2016-07-01 2019-02-05 广西电网有限责任公司 基于大数据和可信计算的信息安全风险防护系统
CN106778253A (zh) * 2016-11-24 2017-05-31 国家电网公司 基于大数据的威胁情景感知信息安全主动防御模型

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581186A (zh) * 2013-11-05 2014-02-12 中国科学院计算技术研究所 一种网络安全态势感知方法及系统

Also Published As

Publication number Publication date
CN108600275A (zh) 2018-09-28

Similar Documents

Publication Publication Date Title
CN108600275B (zh) 基于人工智能的威胁情景感知信息安全主动防御系统
KR101814368B1 (ko) 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법
CN104486141B (zh) 一种误报自适应的网络安全态势预测方法
CN105868629B (zh) 一种适用于电力信息物理系统的安全威胁态势评估方法
Kholidy et al. A finite state hidden markov model for predicting multistage attacks in cloud systems
Haslum et al. Dips: A framework for distributed intrusion prediction and prevention using hidden markov models and online fuzzy risk assessment
CN111049680B (zh) 一种基于图表示学习的内网横向移动检测系统及方法
CN108848069A (zh) 一种基于大数据的电力网络信息安全主动防御系统
CN108494802A (zh) 基于人工智能的关键信息基础设施安全威胁主动防御系统
CN110213226A (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
CN111818102B (zh) 一种应用于网络靶场的防御效能评估方法
CN108111348A (zh) 一种针对企业云应用的安全策略管理方法及系统
CN106357637A (zh) 一种针对智慧能源终端数据的主动防御系统
CN106713233A (zh) 一种网络安全状态的判断与保护方法
CN110839031A (zh) 一种基于强化学习的恶意用户行为智能检测方法
CN109167794A (zh) 一种面向网络系统安全度量的攻击检测方法
CN114629728B (zh) 一种卡尔曼滤波的网络攻击追踪方法及装置
CN110830467A (zh) 基于模糊预测的网络可疑资产识别方法
CN109245944A (zh) 网络安全评估方法及系统
CN102281163A (zh) 一种网络入侵检测报警的方法
CN108809706A (zh) 一种变电站的网络风险监测系统
KR20210109292A (ko) 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
CN102394766A (zh) 一种入侵进程的层次化在线风险评估方法
CN108805427A (zh) 一种基于大数据的配电网运行状态风险预警系统
CN114285630B (zh) 一种安全域风险告警方法、系统、装置及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210406

Address after: No. 6 Democracy Road, Xingning District, Nanning City, Guangxi Zhuang Autonomous Region, 530000

Patentee after: GUANGXI POWER GRID Co.,Ltd.

Patentee after: ELECTRIC POWER RESEARCH INSTITUTE, GUANGXI POWER GRID Co.,Ltd.

Address before: No. 6 Democracy Road, Xingning District, Nanning City, Guangxi Zhuang Autonomous Region, 530000

Patentee before: GUANGXI POWER GRID Co.,Ltd.

TR01 Transfer of patent right