CN109561112A - 一种人工智能实时检测安全攻击系统 - Google Patents
一种人工智能实时检测安全攻击系统 Download PDFInfo
- Publication number
- CN109561112A CN109561112A CN201910070480.1A CN201910070480A CN109561112A CN 109561112 A CN109561112 A CN 109561112A CN 201910070480 A CN201910070480 A CN 201910070480A CN 109561112 A CN109561112 A CN 109561112A
- Authority
- CN
- China
- Prior art keywords
- instruction
- node
- module
- detection
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种人工智能实时检测安全攻击系统,包括节点定位模块、安全攻击检测库建立模块、建模设阈值模块、实时检测模块以及比较处理模块,所述节点定位模块、所述安全攻击检测库建立模块、所述建模设阈值模块、所述实时检测模块以及所述比较处理模块依次连接,该系统还包括指令检测模块;该系统一方面从节点入手,对节点历史工作记录总结,对现在工作产生的网络流量与事件密度进行实时检测,建立网络安全攻击的泊松分布模型,实现网络安全攻击的实时检测;另一方面从指令入手,通过使不用的指令不起作用,锁定过程减少应用的可攻击面,同时通过判断运行时的存储器地址与不起作用的指令的存储器地址是否匹配来声明安全攻击。
Description
技术领域
本发明涉及网络安全技术和信息安全应用技术领域,尤其涉及一种人工智能实时检测安全攻击系统。
背景技术
国家漏洞数据库(NVD)每年会列举数千个应用漏洞,其被划分为二十三个攻击类别,尽管几个攻击类别涉及由疏忽或错误配置导致的攻击,但是最大数量的攻击类别涉及恶意行为者在组织的正在执行的进程中有意注入恶意内容并随后导致恶意内容的执行。注入这样的恶意内容的过程涉及标识和利用某一设计不良的代码,其执行不充分的输入验证。例如,如果代码缺少与大小相关的验证,则该代码可能允许包括在缓冲区错误攻击类别中的缓冲区错误式的攻击。在这些攻击中,恶意行为者注入恶意内容以试图从正在执行的进程中挖掘信息以访问来自组织的机密信息,诸如信用卡数据、知识产权、社会保障号码。恶意行为者然后可以通过从该组织或该组织的客户窃取资源来使用该机密信息获利。
企业数据库是恶意行为者的优选目标,因为特权用户可以访问极有价值的信息。例如,在这些数据库中,特权用户可以访问关于许多用户的大块机密客户信息,而常规用户只能访问机密信息中与其自身相关的部分。在凭证已被得到之后,恶意行为者可以作为特权用户连接到数据库和文件仓库,并且提取有价值的机密信息,诸如真实姓名、家庭地址、社会保障、驾驶执照、出生日期、医疗记录、金融信息(诸如信用卡/借记卡号)、电话号码、电子邮件地址、用户名和密码、保险信息、详细的客户列表、设计方案和源代码或其他知识产权。
网络安全攻击的难以预测性与其自身的隐蔽性使得攻击在整个网络中更加猖獗的进行破坏性的生存。保证网络安全、为公民社会提供一个良好的网络环境是互联网发展的必要条件,所以网络安全检测是非常有必要重视的领域。
现有网络安全检测的方法都要处理大量、多维、无结构的数据,面对网络中大量的非数值型的数据,很多的威胁检测方法在对异常数据处理的过程中存在检测结果与效率等诸多方面的困扰。另外现有很多方法是属于静态检测或只能检测不能定位跟踪,不能及时发出威胁警报等,其在复杂的网络访问结构中存在很多的局限性。除此之外,现有的网络安全检测系统或方法比较单一,并不能满足多样化网络安全的需求。
发明内容
本发明的目的在于提供一种人工智能实时检测安全攻击系统,该系统可弥补现有的网络安全检测系统的不足。
为实现上述目的,本发明的目的在于提供一种人工智能实时检测安全攻击系统,包括节点定位模块、安全攻击检测库建立模块、建模设阈值模块、实时检测模块以及比较处理模块;所述节点定位模块的信号输出端与所述安全攻击检测库建立模块的信号输入端连接、所述安全攻击检测库建立模块的信号输出端与所述建模设阈值模块的信号输入端连接,所述建模设阈值模块的信号输出端与所述实时检测模块的信号输入端连接,所述实时检测模块的信号输出端与所述比较处理模块的信号输入端连接。
作为优化,所述节点定位模块被配置为对入网节点进行时空定位;
所述安全攻击检测库建立模块被配置为建立所述安全攻击检测库,所述安全攻击检测库包括网络中常见的节点安全异常情况及对应的解决方案;
所述建模设阈值模块被配置为基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析,建立动态泊松分布模型,并根据所述动态泊松分布模型中的数据分布设置所述网络流量与所述事件密度的安全阈值和威胁阈值;
所述实时检测模块被配置为实时检测所述节点的访问行为,获得所述网络流量与所述事件密度的监测值;
所述比较处理模块被配置为将节点所述网络流量与所述事件密度的所述监测值与所述安全阈值和所述威胁阈值进行比较:
若所述监测值小于所述安全阈值,则所述节点的行为安全;
若所述监测值大于所述安全阈值且小于所述威胁阈值,则对所述节点的工作行为进行动态跟踪;
若所述监测值大于所述威胁阈值,则停止对所述节点的访问工作,并调用所述安全攻击检测库以解决所述节点的安全威胁。
作为优化,所述系统还包括指令检测模块,所述指令检测模块包括检测指令确定单元、指令改变单元、存储器地址捕获单元以及判断声明单元,所述检测指令、所述指令改变单元、所述存储器地址捕获单元以及所述判断声明单元依次电性连接,其中,
所述检测指令确定单元被配置为根据用于计算机应用的可用指令来确定检测指令,其中所述检测指令提供所述计算机应用的特定功能;
所述指令改变单元被配置为针对不在所述检测指令中的每个可用指令,将相应指令改变为不起作用以防止相应指令的执行;
所述存储器地址捕获单元被配置为捕获在运行时被访问的所述计算机应用的存储器地址;
所述判断声明单元被配置为判断捕获的所述存储器地址与所述用于不起作用的指令的存储器地址是否匹配,如果捕获的所述存储器地址与所述用于不起作用的指令的存储器地址匹配,则声明安全攻击。
作为优化,所述建模设阈值模块中基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析的具体操作为:
在所述节点历史访问数据中选择目标数据,所述目标数据为所述网络流量与所述事件密度;
对所述目标数据进行预处理,得到预处理数据,所述预处理为所述目标数据的核对;
对所述预处理数据进行二进制转换,得到转换数据;
对所述转换数据进行挖掘和分析,建立所述动态泊松分布模型,并根据所述动态泊松分布模型的数据分布设置所述网络流量与所述事件密度的所述安全阈值和所述威胁阈值。
具体的,KDD(Knowledge Discovery in Database,知识发现)是从数据集中识别出有效的、新颖的、潜在有用的,以及最终可理解的模式的非平凡过程。知识发现将信息变为知识,从数据矿山中找到蕴藏的知识金块,将为知识创新和知识经济的发展做出贡献。知识发现的核心工作为数据挖掘,所谓数据挖掘,就是从数据库中抽取隐含的、以前未知的、具有潜在应用价值的信息的过程。数据挖掘是KDD最核心的部分,数据挖掘与传统分析工具不同的是数据挖掘使用的是基于发现的方法,运用模式匹配和其它算法决定数据之间的重要联系,它是一个反复的过程,通常包含多个相互联系的步骤:预处理、提出假设、选取算法、提取规则、评价和解释结果、将模式构成知识,最后是应用。
作为优化,所述检测指令确定单元进一步包括功能测试子单元、第一指令捕获子单元、负面测试子单元以及第二指令捕获子单元,所述功能测试子单元与所述第一指令捕获子单元电性连接,所述负面测试子单元与所述第二指令捕获子单元电性连接,其中,
所述功能测试子单元被配置为对所述计算机应用的所述特定功能执行功能测试;
所述第一指令捕获子单元被配置为捕获在所述功能测试期间被执行的第一指令;
所述负面测试子单元被配置为对所述特定功能执行负面测试,其中所述负面测试触发关于所述特定功能的异常处理函数;
所述第二指令捕获子单元被配置为捕获通过触发所述异常处理函数而被执行的第二指令。
作为优化,所述节点定位模块设置有属性数据库,所述节点定位模块中对入网节点进行时空定位的方法为:对所述入网节点的自身属性进行获取,提取每个所述节点的ID与入网时空信息,将每个所述节点的ID与入网时空信息进行二进制转化,并将二进制转化后的数据保存在所述属性数据库中。
作为优化,所述节点定位模块中对入网节点进行时空定位的具体操作为:
给每个接入网络中所述节点的空间位置定义,并保存计算网络中访问终端的唯一标识IP地址或MAC地址;令A表示网络的通用性,B表示网络的安全性,c表示所述节点的网络空间位置,C表示所述节点的网络空间位置的集合,d表示节点的网络空间标度,D表示节点的网络空间标度的集合;则c=<x,y,z>∈C,x表示经度、y表示纬度、z表示高度;d=<hn,na>∈D,其中hn表示主机名称、na表示网络地址,由此可得,接入节点及属性的结合W记为W={A,B,c,d}。
作为优化,所述第二指令捕获子单元具体通过在所述功能测试期间静态地分析执行所述特定功能的线程的结构来捕获用于所述异常处理函数的第二指令。
作为优化,所述指令改变单元中将相应指令改变为不起作用包括在加载时间期间利用不起作用的指令来重写所述指令、或者在运行时期间利用不起作用的指令来重写所述指令、或者利用NOP指令来重写所述指令中的一种。
作为优化,所述系统还包括存储器,所述存储器用于重新组织所述检测指令,以及将经重新组织的所述检测组指令写入到更小的所述存储器空间;此外,在将经重新组织的所述检测组指令写入到更小的所述存储器空间之前,在所述存储器中使经重新组织的所述检测指令随机化。
与现有技术相比,本发明的有益效果是:
本发明一方面从节点入手,对节点历史工作记录进行总结,以及对现在工作产生的网络流量与工作事件密度进行检测,建立互联网络安全访问攻击的泊松分布模型,实现网络威胁检测;另外,该系统对于处于安全阈值和威胁阈值之间的节点可实施动态追踪,使得该系统具有全面性、动态性与很强的可操作性,更符合现今互联网的复杂性与灵活性的特点。
此外,本发明保证了对网络安全检测的实时性的同时具有较高的准确度,能检测出攻击流,并找出攻击流的确切IP地址与传输中的目的IP地址,使得网络管理员可以在路由器端过滤掉攻击者发送数据的流量,防止对目的主机造成威胁。
本发明另一方面从指令入手,利用可用指令确定检测指令,从而筛选出不用的指令,通过使不用的指令不起作用,锁定过程向执行应用的组织提供多个好处:锁定过程减少了应用的可攻击代码面,从而不起作用的指令无法用来执行攻击;同时通过判断捕获的运行时的存储器地址与用于不起作用的指令的存储器地址是否匹配来声明安全攻击。锁定过程可以通过基于组织的用户类别锁定指令来进一步减少应用的可攻击面;另外,组织可能需要为应用实现更少的补丁发布,因为补丁可能针对于应用指令中被改变为不起作用的功能,更少的补丁导致企业系统的更少停机时间,这继而导致组织的增加的生产力和成本节省。
附图说明
下面结合附图对本发明进一步说明。
图1为本发明一种人工智能实时检测安全攻击系统的功能模块示意图一;
图2为本发明一种人工智能实时检测安全攻击系统的功能模块示意图二;
图3为本发明一种人工智能实时检测安全攻击系统的功能模块示意图三;
图4为本发明一种人工智能实时检测安全攻击系统中指令检测模块的结构示意图;
图5为本发明一种人工智能实时检测安全攻击系统中检测指令确定单元的结构示意图。
图中:1-节点定位模块、2-安全攻击检测库建立模块、3-建模设阈值模块、4-实时检测模块、5-比较处理模块、6-指令检测模块、7-存储器、61-检测指令确定单元、62-指令改变单元、63-存储器地址捕获单元、64-判断声明单元、611-功能测试子单元、612-第一指令捕获子单元、613-负面测试子单元、614-第二指令捕获子单元。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明的目的在于提供一种人工智能实时检测安全攻击系统,包括节点定位模块1、安全攻击检测库建立模块2、建模设阈值模块3、实时检测模块4以及比较处理模块5;所述节点定位模块1的信号输出端与所述安全攻击检测库建立模块2的信号输入端连接,所述安全攻击检测库建立模块2的信号输出端与所述建模设阈值模块3的信号输入端连接,所述建模设阈值模块3的信号输出端与所述实时检测模块4的信号输入端连接,所述实时检测模块4的信号输出端与所述比较处理模块5的信号输入端连接。
所述节点定位模块1被配置为对入网节点进行时空定位;
所述安全攻击检测库建立模块2被配置为建立所述安全攻击检测库,所述安全攻击检测库包括网络中常见的节点安全异常情况及对应的解决方案;
所述建模设阈值模块3被配置为基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析,建立动态泊松分布模型,并根据所述动态泊松分布模型中的数据分布设置所述网络流量与所述事件密度的安全阈值和威胁阈值;
所述实时检测模块4被配置为实时检测所述节点的访问行为,获得所述网络流量与所述事件密度的监测值;
所述比较处理模块5被配置为将节点所述网络流量与所述事件密度的所述监测值与所述安全阈值和所述威胁阈值进行比较:
若所述监测值小于所述安全阈值,则所述节点的行为安全;
若所述监测值大于所述安全阈值且小于所述威胁阈值,则对所述节点的工作行为进行动态跟踪;
若所述监测值大于所述威胁阈值,则停止对所述节点的访问工作,并调用所述安全攻击检测库以解决所述节点的安全威胁。
请参阅图2和图4,所述系统还包括指令检测模块6,所述指令检测模块6包括检测指令确定单元61、指令改变单元62、存储器地址捕获单元63以及判断声明单元64,所述检测指令确定单元61、所述指令改变单元62、所述存储器地址捕获单元63以及所述判断声明单元64依次电性连接,其中,
所述检测指令确定单元61被配置为根据用于计算机应用的可用指令来确定检测指令,其中所述检测指令提供所述计算机应用的特定功能;
所述指令改变单元62被配置为针对不在所述检测指令中的每个可用指令,将相应指令改变为不起作用以防止相应指令的执行;
所述存储器地址捕获单元63被配置为捕获在运行时被访问的所述计算机应用的存储器地址;
所述判断声明单元64被配置为判断捕获的所述存储器地址与所述用于不起作用的指令的存储器地址是否匹配,如果捕获的所述存储器地址与所述用于不起作用的指令的存储器地址匹配,则声明安全攻击。
所述建模设阈值模块3中基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析的具体操作为:
在所述节点历史访问数据中选择目标数据,所述目标数据为所述网络流量与所述事件密度;
对所述目标数据进行预处理,得到预处理数据,所述预处理为所述目标数据的核对;
对所述预处理数据进行二进制转换,得到转换数据;
对所述转换数据进行挖掘和分析,建立所述动态泊松分布模型,并根据所述动态泊松分布模型的数据分布设置所述网络流量与所述事件密度的所述安全阈值和所述威胁阈值。
具体的,KDD(Knowledge Discovery in Database,知识发现)是从数据集中识别出有效的、新颖的、潜在有用的,以及最终可理解的模式的非平凡过程。知识发现将信息变为知识,从数据矿山中找到蕴藏的知识金块,将为知识创新和知识经济的发展做出贡献。知识发现的核心工作为数据挖掘,所谓数据挖掘,就是从数据库中抽取隐含的、以前未知的、具有潜在应用价值的信息的过程。数据挖掘是KDD最核心的部分,数据挖掘与传统分析工具不同的是数据挖掘使用的是基于发现的方法,运用模式匹配和其它算法决定数据之间的重要联系,它是一个反复的过程,通常包含多个相互联系的步骤:预处理、提出假设、选取算法、提取规则、评价和解释结果、将模式构成知识,最后是应用。
请参阅图5,所述检测指令确定单元61进一步包括功能测试子单元611、第一指令捕获子单元612、负面测试子单元613以及第二指令捕获子单元614,所述功能测试子单元611与所述第一指令捕获子单元612电性连接,所述负面测试子单元613与所述第二指令捕获子单元614电性连接,其中,
所述功能测试子单元611被配置为对所述计算机应用的所述特定功能执行功能测试;
所述第一指令捕获子单元612被配置为捕获在所述功能测试期间被执行的第一指令;
所述负面测试子单元613被配置为对所述特定功能执行负面测试,其中所述负面测试触发关于所述特定功能的异常处理函数;
所述第二指令捕获子单元614被配置为捕获通过触发所述异常处理函数而被执行的第二指令。
所述节点定位模块1设置有属性数据库,所述节点定位模块中对入网节点进行时空定位的方法为:对所述入网节点的自身属性进行获取,提取每个所述节点的ID与入网时空信息,将每个所述节点的ID与入网时空信息进行二进制转化,并将二进制转化后的数据保存在所述属性数据库中。
所述节点定位模块1中对入网节点进行时空定位的具体操作为:
给每个接入网络中所述节点的空间位置定义,并保存计算网络中访问终端的唯一标识IP地址或MAC地址;令A表示网络的通用性,B表示网络的安全性,c表示所述节点的网络空间位置,C表示所述节点的网络空间位置的集合,d表示节点的网络空间标度,D表示节点的网络空间标度的集合;则c=<x,y,z>∈C,x表示经度、y表示纬度、z表示高度;d=<hn,na>∈D,其中hn表示主机名称、na表示网络地址,由此可得,接入节点及属性的结合W记为W={A,B,c,d}。
所述第二指令捕获子单元614具体通过在所述功能测试期间静态地分析执行所述特定功能的线程的结构来捕获用于所述异常处理函数的第二指令。
所述指令改变单元62中将相应指令改变为不起作用包括在加载时间期间利用不起作用的指令来重写所述指令、或者在运行时期间利用不起作用的指令来重写所述指令、或者利用NOP指令来重写所述指令中的一种。
请参阅图3,所述系统还包括存储器7,所述存储器7用于重新组织所述检测指令,以及将经重新组织的所述检测组指令写入到更小的所述存储器空间;此外,在将经重新组织的所述检测组指令写入到更小的所述存储器空间之前,在所述存储器7中使经重新组织的所述检测指令随机化。
在一实施例中,所述系统还可包括字符设置模块、处理模块、IP获取模块以及判断模块;其中,
所述字符设置模块用于设置和缓存安全隐患字符以及请求时间间隔;
所述处理模块用于访问时获取并处理所述安全隐患字符;
所述IP获取模块用于获取访问请求IP;
所述判断模块用于判断所述访问请求是否为恶意攻击;若是,则进行限制性访问;若不是,则进行响应访问请求。
其中,所述处理模块包括字符获取单元、过滤单元、拦截单元以及替换单元;所述字符获取单元用于访问时,从缓存中获取安全隐患字符;所述过滤单元用于过滤访问请求中的特殊字符;所述拦截单元用于拦截与安全隐患字符相关的特殊字符;所述替换单元用于替换拦截的特殊字符。
具体的,字符设置模块、处理模块、IP获取模块以及判断模块的设计是为了实时检测内核安全,通过设置安全隐患字符以及请求时间间隔,针对传递特殊字符进行过滤、拦截、转义或者替换,从发送请求的时间间隔与原先设定的请求时间间隔进行比较,对不符合要求的访问行限制访问处理,实现针对特殊的字符进行拦截,将攻击阻止在攻击目前之前,避免内核遭受损坏,提高内核的安全性能。
本发明的工作原理是:
本发明一方面从节点入手,对节点历史工作记录进行总结,以及对现在工作产生的网络流量与工作事件密度进行检测,建立互联网络安全访问攻击的泊松分布模型,实现网络威胁检测;另外,该系统对于处于安全阈值和威胁阈值之间的节点可实施动态追踪,使得该系统具有全面性、动态性与很强的可操作性,更符合现今互联网的复杂性与灵活性的特点。
此外,本发明保证了对网络安全检测的实时性的同时具有较高的准确度,能检测出攻击流,并找出攻击流的确切IP地址与传输中的目的IP地址,使得网络管理员可以在路由器端过滤掉攻击者发送数据的流量,防止对目的主机造成威胁。
本发明另一方面从指令入手,利用可用指令确定检测指令,从而筛选出不用的指令,通过使不用的指令不起作用,锁定过程向执行应用的组织提供多个好处:锁定过程减少了应用的可攻击代码面,从而不起作用的指令无法用来执行攻击;同时通过判断捕获的运行时的存储器地址与用于不起作用的指令的存储器地址是否匹配来声明安全攻击。锁定过程可以通过基于组织的用户类别锁定指令来进一步减少应用的可攻击面;另外,组织可能需要为应用实现更少的补丁发布,因为补丁可能针对于应用指令中被改变为不起作用的功能,更少的补丁导致企业系统的更少停机时间,这继而导致组织的增加的生产力和成本节省。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种人工智能实时检测安全攻击系统,其特征在于,包括节点定位模块(1)、安全攻击检测库建立模块(2)、建模设阈值模块(3)、实时检测模块(4)以及比较处理模块(5);所述节点定位模块(1)的信号输出端与所述安全攻击检测库建立模块(2)的信号输入端连接,所述安全攻击检测库建立模块(2)的信号输出端与所述建模设阈值模块(3)的信号输入端连接,所述建模设阈值模块(3)的信号输出端与所述实时检测模块(4)的信号输入端连接,所述实时检测模块(4)的信号输出端与所述比较处理模块(5)的信号输入端连接。
2.根据权利要求1所述的一种人工智能实时检测安全攻击系统,其特征在于,所述节点定位模块(1)被配置为对入网节点进行时空定位;
所述安全攻击检测库建立模块(2)被配置为建立所述安全攻击检测库,所述安全攻击检测库包括网络中常见的节点安全异常情况及对应的解决方案;
所述建模设阈值模块(3)被配置为基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析,建立动态泊松分布模型,并根据所述动态泊松分布模型中的数据分布设置所述网络流量与所述事件密度的安全阈值和威胁阈值;
所述实时检测模块(4)被配置为实时检测所述节点的访问行为,并获得所述网络流量与所述事件密度的监测值;
所述比较处理模块(5)被配置为将节点所述网络流量与所述事件密度的所述监测值与所述安全阈值和所述威胁阈值进行比较:
若所述监测值小于所述安全阈值,则所述节点的行为安全;
若所述监测值大于所述安全阈值且小于所述威胁阈值,则对所述节点的工作行为进行动态跟踪;
若所述监测值大于所述威胁阈值,则停止对所述节点的访问工作,并调用所述安全攻击检测库以解决所述节点的安全威胁。
3.根据权利要求2所述的一种人工智能实时检测安全攻击系统,其特征在于,所述系统还包括指令检测模块(6),所述指令检测模块(6)包括检测指令确定单元(61)、指令改变单元(62)、存储器地址捕获单元(63)以及判断声明单元(64),所述检测指令确定单元(61)、所述指令改变单元(62)、所述存储器地址捕获单元(63)以及所述判断声明单元(64)依次电性连接,其中,
所述检测指令确定单元(61)被配置为根据用于计算机应用的可用指令来确定检测指令,其中所述检测指令提供所述计算机应用的特定功能;
所述指令改变单元(62)被配置为针对不在所述检测指令中的每个可用指令,将相应指令改变为不起作用以防止相应指令的执行;
所述存储器地址捕获单元(63)被配置为捕获在运行时被访问的所述计算机应用的存储器地址;
所述判断声明单元(64)被配置为判断捕获的所述存储器地址与所述用于不起作用的指令的存储器地址是否匹配,如果捕获的所述存储器地址与所述用于不起作用的指令的存储器地址匹配,则声明安全攻击。
4.根据权利要求3所述的一种人工智能实时检测安全攻击系统,其特征在于,所述建模设阈值模块(3)中基于KDD算法对每个节点历史访问数据中的网络流量与事件密度进行挖掘和分析的具体操作为:
在所述节点历史访问数据中选择目标数据,所述目标数据为所述网络流量与所述事件密度;
对所述目标数据进行预处理,得到预处理数据,所述预处理为所述目标数据的核对;
对所述预处理数据进行二进制转换,得到转换数据;
对所述转换数据进行挖掘和分析,建立所述动态泊松分布模型,并根据所述动态泊松分布模型的数据分布设置所述网络流量与所述事件密度的所述安全阈值和所述威胁阈值。
5.根据权利要求4所述的一种人工智能实时检测安全攻击系统,其特征在于,所述检测指令确定单元(61)进一步包括功能测试子单元(611)、第一指令捕获子单元(612)、负面测试子单元(613)以及第二指令捕获子单元(614),所述功能测试子单元(611)与所述第一指令捕获子单元(612)电性连接,所述负面测试子单元(613)与所述第二指令捕获子单元(614)电性连接,其中,
所述功能测试子单元(611)被配置为对所述计算机应用的所述特定功能执行功能测试;
所述第一指令捕获子单元(612)被配置为捕获在所述功能测试期间被执行的第一指令;
所述负面测试子单元(613)被配置为对所述特定功能执行负面测试,其中所述负面测试触发关于所述特定功能的异常处理函数;
所述第二指令捕获子单元(614)被配置为捕获通过触发所述异常处理函数而被执行的第二指令。
6.根据权利要求5所述的一种人工智能实时检测安全攻击系统,其特征在于,所述节点定位模块(1)设置有属性数据库,所述节点定位模块中对入网节点进行时空定位的方法为:对所述入网节点的自身属性进行获取,提取每个所述节点的ID与入网时空信息,将每个所述节点的ID与入网时空信息进行二进制转化,并将二进制转化后的数据保存在所述属性数据库中。
7.根据权利要求6所述的一种人工智能实时检测安全攻击系统,其特征在于,所述节点定位模块(1)中对入网节点进行时空定位的具体操作为:
给每个接入网络中所述节点的空间位置定义,并保存计算网络中访问终端的唯一标识IP地址或MAC地址;令A表示网络的通用性,B表示网络的安全性,c表示所述节点的网络空间位置,C表示所述节点的网络空间位置的集合,d表示节点的网络空间标度,D表示节点的网络空间标度的集合;则c=<x,y,z>∈C,x表示经度、y表示纬度、z表示高度;d=<hn,na>∈D,其中hn表示主机名称、na表示网络地址,由此可得,接入节点及属性的结合W记为W={A,B,c,d}。
8.根据权利要求7所述的一种人工智能实时检测安全攻击系统,其特征在于,所述第二指令捕获子单元(614)具体通过在所述功能测试期间静态地分析执行所述特定功能的线程的结构来捕获用于所述异常处理函数的第二指令。
9.根据权利要求8所述的一种人工智能实时检测安全攻击系统,其特征在于,所述指令改变单元(62)中将相应指令改变为不起作用包括在加载时间期间利用不起作用的指令来重写所述指令、或者在运行时期间利用不起作用的指令来重写所述指令、或者利用NOP指令来重写所述指令中的一种。
10.根据权利要求9所述的一种人工智能实时检测安全攻击系统,其特征在于,所述系统还包括存储器(7),所述存储器(7)用于重新组织所述检测指令,以及将经重新组织的所述检测组指令写入到更小的所述存储器空间;此外,在将经重新组织的所述检测组指令写入到更小的所述存储器空间之前,在所述存储器(7)中使经重新组织的所述检测指令随机化。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910070480.1A CN109561112A (zh) | 2019-01-25 | 2019-01-25 | 一种人工智能实时检测安全攻击系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910070480.1A CN109561112A (zh) | 2019-01-25 | 2019-01-25 | 一种人工智能实时检测安全攻击系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109561112A true CN109561112A (zh) | 2019-04-02 |
Family
ID=65873767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910070480.1A Pending CN109561112A (zh) | 2019-01-25 | 2019-01-25 | 一种人工智能实时检测安全攻击系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109561112A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
CN111460246A (zh) * | 2019-12-19 | 2020-07-28 | 南京柏跃软件有限公司 | 基于数据挖掘和密度检测的实时活动异常人员发现方法 |
CN111598449A (zh) * | 2020-05-15 | 2020-08-28 | 安阳工学院 | 一种城乡规划监控管理系统 |
CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015138519A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting algorithm-generated domains |
CN106407811A (zh) * | 2016-10-10 | 2017-02-15 | 合肥红珊瑚软件服务有限公司 | 一种sql注入漏洞定位检测系统 |
CN106687971A (zh) * | 2014-06-24 | 2017-05-17 | 弗塞克系统公司 | 用来减少软件的攻击面的自动代码锁定 |
CN107579986A (zh) * | 2017-09-21 | 2018-01-12 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
CN108881315A (zh) * | 2018-08-29 | 2018-11-23 | 南京航空航天大学 | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 |
-
2019
- 2019-01-25 CN CN201910070480.1A patent/CN109561112A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015138519A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting algorithm-generated domains |
CN106687971A (zh) * | 2014-06-24 | 2017-05-17 | 弗塞克系统公司 | 用来减少软件的攻击面的自动代码锁定 |
CN106407811A (zh) * | 2016-10-10 | 2017-02-15 | 合肥红珊瑚软件服务有限公司 | 一种sql注入漏洞定位检测系统 |
CN107579986A (zh) * | 2017-09-21 | 2018-01-12 | 北京工业大学 | 一种复杂网络中网络安全检测的方法 |
CN108881315A (zh) * | 2018-08-29 | 2018-11-23 | 南京航空航天大学 | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
CN110851841B (zh) * | 2019-11-26 | 2022-05-17 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
CN111460246A (zh) * | 2019-12-19 | 2020-07-28 | 南京柏跃软件有限公司 | 基于数据挖掘和密度检测的实时活动异常人员发现方法 |
CN111460246B (zh) * | 2019-12-19 | 2020-12-08 | 南京柏跃软件有限公司 | 基于数据挖掘和密度检测的实时活动异常人员发现方法 |
CN111598449A (zh) * | 2020-05-15 | 2020-08-28 | 安阳工学院 | 一种城乡规划监控管理系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324310B (zh) | 网络资产指纹识别方法、系统及设备 | |
CN109561112A (zh) | 一种人工智能实时检测安全攻击系统 | |
CN106411578B (zh) | 一种适应于电力行业的网站监控系统及方法 | |
CN109067815A (zh) | 攻击事件溯源分析方法、系统、用户设备及存储介质 | |
CN103999089B (zh) | 用于在网络环境中扫描计算机漏洞的系统和方法 | |
CN104283889B (zh) | 基于网络架构的电力系统内部apt攻击检测及预警系统 | |
Sadeghi et al. | Analysis of android inter-app security vulnerabilities using covert | |
CN108989355A (zh) | 一种漏洞检测方法和装置 | |
CN107004088A (zh) | 确定装置、确定方法及确定程序 | |
CN108123956A (zh) | 基于Petri网的密码误用漏洞检测方法及系统 | |
WO2019028341A1 (en) | SIMILARITY SEARCH FOR DISCOVERY OF MULTI-VECTOR ATTACKS | |
CN105210075A (zh) | 被测应用程序的未使用参数 | |
CN104871171A (zh) | 分布式模式发现 | |
CN109413046A (zh) | 一种网络防护方法、系统及终端设备 | |
CN110287701A (zh) | 一种恶意文件检测方法、装置、系统及相关组件 | |
CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
CN110232279A (zh) | 一种漏洞检测方法及装置 | |
CN113965497B (zh) | 服务器异常识别方法、装置、计算机设备及可读存储介质 | |
CN112669039B (zh) | 基于知识图谱的客户风险管控系统及方法 | |
CN114553481A (zh) | 网络攻击事件预测及最优主动防御策略选取系统 | |
CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
CN111125066B (zh) | 检测数据库审计设备功能的方法及装置 | |
Varshney et al. | LsSQLIDP: Literature survey on SQL injection detection and prevention techniques | |
CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
JP2005234661A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法およびアクセスポリシ生成用プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190402 |
|
RJ01 | Rejection of invention patent application after publication |