CN111787002B - 一种业务数据网络安全分析的方法及系统 - Google Patents

一种业务数据网络安全分析的方法及系统 Download PDF

Info

Publication number
CN111787002B
CN111787002B CN202010623253.XA CN202010623253A CN111787002B CN 111787002 B CN111787002 B CN 111787002B CN 202010623253 A CN202010623253 A CN 202010623253A CN 111787002 B CN111787002 B CN 111787002B
Authority
CN
China
Prior art keywords
attack
data
network
data segments
detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010623253.XA
Other languages
English (en)
Other versions
CN111787002A (zh
Inventor
徐晓薇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Safety Capability Ecological Aggregation Beijing Operation Technology Co ltd
Original Assignee
Safety Capability Ecological Aggregation Beijing Operation Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Safety Capability Ecological Aggregation Beijing Operation Technology Co ltd filed Critical Safety Capability Ecological Aggregation Beijing Operation Technology Co ltd
Priority to CN202010623253.XA priority Critical patent/CN111787002B/zh
Publication of CN111787002A publication Critical patent/CN111787002A/zh
Application granted granted Critical
Publication of CN111787002B publication Critical patent/CN111787002B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/21Design, administration or maintenance of databases
    • G06F16/215Improving data quality; Data cleansing, e.g. de-duplication, removing invalid entries or correcting typographical errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer Vision & Pattern Recognition (AREA)

Abstract

本发明提供一种业务数据网络安全分析的方法及系统,解决现有的网络攻击检测分析平台多为单纯检测出网络攻击,不能根据指定业务或指定用户,有针对性地检测网络攻击的问题,可针对指定的业务或用户检测攻击和攻击溯源,并加入了模型训练功能,使得检测效果更好。

Description

一种业务数据网络安全分析的方法及系统
技术领域
本申请涉及网络安全技术领域,尤其涉及一种业务数据网络安全分析的方法及系统。
背景技术
现有的网络攻击检测分析平台多为单纯检测出网络攻击,不能根据指定业务或指定用户,有针对性地检测网络攻击,给出针对性的防御策略,使得用户无法有效地利用检测结果。
因此,急需一种针对性的网络安全分析方法及系统。
发明内容
本发明的目的在于提供一种业务数据网络安全分析的方法及系统,解决现有的网络攻击检测分析平台多为单纯检测出网络攻击,不能根据指定业务或指定用户,有针对性地检测网络攻击的问题,可针对指定的业务或用户检测攻击和攻击溯源,并加入了模型训练功能,使得检测效果更好。
第一方面,本申请提供一种业务数据网络安全分析方法,所述方法包括:
接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
所述聚合得到的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合;
根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图。
结合第一方面,在第一方面第一种可能的实现方式中,所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度。
结合第一方面,在第一方面第二种可能的实现方式中,所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征。
结合第一方面,在第一方面第三种可能的实现方式中,所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
第二方面,本申请提供一种业务数据网络安全分析系统,所述系统包括:预处理单元、检测单元、模型训练单元和溯源单元;
所述预处理单元,用于接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
所述聚合得到的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合;
所述检测单元,用于根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
所述模型训练单元,用于根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
所述溯源单元,用于当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图。
结合第二方面,在第二方面第一种可能的实现方式中,所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度。
结合第二方面,在第二方面第二种可能的实现方式中,所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征。
结合第二方面,在第二方面第三种可能的实现方式中,所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
本发明提供一种业务数据网络安全分析的方法及系统,解决现有的网络攻击检测分析平台多为单纯检测出网络攻击,不能根据指定业务或指定用户,有针对性地检测网络攻击的问题,可针对指定的业务或用户检测攻击和攻击溯源,并加入了模型训练功能,使得检测效果更好。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明业务数据网络安全分析方法的大致流程图;
图2为本发明业务数据网络安全分析系统的架构图。
具体实施方式
下面结合附图对本发明的优选实施例进行详细阐述,以使本发明的优点和特征能更易于被本领域技术人员理解,从而对本发明的保护范围做出更为清楚明确的界定。
图1为本申请提供的业务数据网络安全分析方法的大致流程图,所述方法包括:
接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
此时,聚合后的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合在一起。
如果检测到聚合后的数据提取的多维度检测样本包括有攻击向量,则表明指定业务、或指定用户的数据中包括有攻击,需要具体检测针对该业务或该用户的攻击轨迹,进行攻击溯源。
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图。
在一些优选实施例中,所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度。
在一些优选实施例中,所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征。
在一些优选实施例中,所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
在一些优选实施例中,形成攻击溯源图之后,还可以包括:梳理出攻击事件的发生脉络和攻击路径,具体为:
对采集的所述日志信息从时间、空间多重维度进行深度关联分析和数据挖掘,建立规则库;
将疑似攻击的溯源信息与规则库中的信息进行对比,通过传播查询和追溯查询构建溯源图,根据所述溯源图获取攻击事件的发生脉络和攻击路径。
在一些优选实施例中,采集来访者的相关信息和行为,将其特征属性与攻击者关系模型进行匹配,确定来访者是否为攻击者。
在一些优选实施例中,所述建立攻击者关系模型,具体可以包括:
根据所述攻击者的访问流量,识别出流量包含的各种业务。
根据预先定义的各种业务对应的权重值、以及业务种类数量对应的系数,计算所述攻击者的访问关系值。
计算所述攻击者的访问关系值可以采用如下公式:
Value=(Service1*Weight1+Service2*Weight2+……+Servicen*Weightn)*Coeff
其中,Value为某一攻击者的访问关系值,Servicen为某一种业务,Weightn为权重值,Coeff为某一攻击者业务种类数量对应的系数。
根据所述攻击者的访问关系值,确定所述攻击者所属的类型,进而得出所述类型对应的访问关系模型。
在一些优选实施例中,所述在来访者特征属性与攻击者关系模型进行匹配之后,还包括:
当确定所述来访者为攻击者时,标记所述来访者,拒绝所述来访者的所有访问行为。
图2为本申请提供的业务数据网络安全分析系统的架构图,所述系统包括:预处理单元、检测单元、模型训练单元和溯源单元;
所述预处理单元,用于接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
所述聚合得到的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合;
所述检测单元,用于根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
所述模型训练单元,用于根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
所述溯源单元,用于当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
此时,聚合后的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合在一起。
如果检测到聚合后的数据提取的多维度检测样本包括有攻击向量,则表明指定业务、或指定用户的数据中包括有攻击,需要具体检测针对该业务或该用户的攻击轨迹,进行攻击溯源。
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图。
在一些优选实施例中,所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度。
在一些优选实施例中,所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征。
在一些优选实施例中,所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
具体实现中,本发明还提供一种计算机存储介质,其中,该计算机存储介质可以存储有程序,该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称:ROM)或随机存储记忆体(简称:RAM)等。
本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书各个实施例之间相同相似的部分互相参见即可。尤其,对于实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (2)

1.一种业务数据网络安全分析方法,其特征在于,所述方法包括:
接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
所述聚合得到的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合;
根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图;
所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度;
所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征;
所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
2.一种业务数据网络安全分析系统,其特征在于,所述系统包括:预处理单元、检测单元、模型训练单元和溯源单元;
所述预处理单元,用于接收一个或一个以上的数据源提交的网络信息,每一个数据源的网络信息携带有若干种业务的相关数据,解析所述网络信息中的字段信息,从所述字段信息中提取出业务标识,以及与业务标识对应的用户标识,将业务标识相同的数据聚合,将用户标识相同的数据聚合;
所述聚合得到的数据为指定业务、或指定用户的数据,是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合;
所述检测单元,用于根据业务标识或用户标识,动态确定对应的检测参数和检测规则,由检测参数和检测规则确定待提取的特征向量的类型和权重,提取聚合后数据的特征向量,将得到的特征向量组成多维度检测样本,将所述多维度检测样本送入机器学习模型,检测所述多维度检测样本中是否包括攻击向量;
所述模型训练单元,用于根据检测规则确定模拟攻击的类型,根据检测参数确定若干种模拟攻击的复合度,构建模拟攻击模型,所述模拟攻击模型包括由检测规则确定的若干种攻击,将所述若干种攻击按照检测参数的要求进行不同权重的复合,训练所述模拟攻击模型;
将所述模拟攻击模型作为对抗性网络的生成器,所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器;如果判别结果为真时,判别器将相似度信息反馈给生成器;如果判别结果为假时,判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器,所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度,再次生成新的输出流量;直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时,所述模拟攻击模型训练结束,将所述模拟攻击模型接入机器学习模型,更新所述机器学习模型的样本库;
所述溯源单元,用于当检测出所述多维度检测样本中包括攻击向量时,将对应聚合后的数据拆分为若干个数据片段,将所述数据片段再次送入机器学习模型,检测所述数据片段中是否包括攻击向量;若检测出所述数据片段中包括攻击向量,则将该数据片段标记为异常,异常数据片段所属的网络节点或终端标记为异常点,分析若干个异常数据片段之间是否存在逻辑关联;如果所述若干个异常数据片段之间存在逻辑关联,则将其所对应的异常点建立前后关联关系,标记为攻击轨迹中的一个途径点;
其中,所述分析若干个异常数据片段之间是否存在逻辑关联包括:分析数据片段所属业务是否存在关联、或业务是否相同,分析相关节点是否在潜在传播路径上,分析数据片段所属用户是否相同、或用户之间是否存在关系链;
根据所述前后关联关系、途径点,将所述途径点标记在地图化的网络节点架构图上,得到对应不同业务或不同用户的攻击轨迹,并展示由途径点和攻击轨迹线路构成一幅网络攻击面,以及形成攻击溯源图;
所述将对应聚合后的数据拆分为若干个数据片段,可根据业务类型、访问动作确定拆分的长度;
所述若干种攻击的复合包括同时具备若干种网络攻击的特征,或者连续进行若干种网络攻击,或变异网络攻击特征;
所述形成攻击溯源图后还包括:得出针对不同业务或不同用户的风险评估、防御策略,指导管理员针对业务或用户进行针对性的风险消除。
CN202010623253.XA 2020-06-30 2020-06-30 一种业务数据网络安全分析的方法及系统 Active CN111787002B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010623253.XA CN111787002B (zh) 2020-06-30 2020-06-30 一种业务数据网络安全分析的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010623253.XA CN111787002B (zh) 2020-06-30 2020-06-30 一种业务数据网络安全分析的方法及系统

Publications (2)

Publication Number Publication Date
CN111787002A CN111787002A (zh) 2020-10-16
CN111787002B true CN111787002B (zh) 2022-05-20

Family

ID=72761510

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010623253.XA Active CN111787002B (zh) 2020-06-30 2020-06-30 一种业务数据网络安全分析的方法及系统

Country Status (1)

Country Link
CN (1) CN111787002B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112417462B (zh) * 2020-12-10 2024-02-02 中国农业科学院农业信息研究所 一种网络安全漏洞追踪方法及系统
CN112804204B (zh) * 2020-12-30 2022-10-21 上海磐御网络科技有限公司 一种基于大数据分析的智能网络安全系统
CN114189354A (zh) * 2021-11-10 2022-03-15 西安理工大学 SYN Flooding网络攻击场景复现方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351274A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络攻击面追踪的方法、服务器和系统
CN110351273A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络追踪长链条攻击的方法、装置和系统
CN110505241A (zh) * 2019-09-17 2019-11-26 武汉思普崚技术有限公司 一种网络攻击面检测方法及系统
CN110535874A (zh) * 2019-09-17 2019-12-03 武汉思普崚技术有限公司 一种对抗性网络的网络攻击检测方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351274A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络攻击面追踪的方法、服务器和系统
CN110351273A (zh) * 2019-07-11 2019-10-18 武汉思普崚技术有限公司 一种网络追踪长链条攻击的方法、装置和系统
CN110505241A (zh) * 2019-09-17 2019-11-26 武汉思普崚技术有限公司 一种网络攻击面检测方法及系统
CN110535874A (zh) * 2019-09-17 2019-12-03 武汉思普崚技术有限公司 一种对抗性网络的网络攻击检测方法及系统

Also Published As

Publication number Publication date
CN111787002A (zh) 2020-10-16

Similar Documents

Publication Publication Date Title
CN111787002B (zh) 一种业务数据网络安全分析的方法及系统
Cresci et al. Cashtag piggybacking: Uncovering spam and bot activity in stock microblogs on Twitter
CN110505241B (zh) 一种网络攻击面检测方法及系统
CN111917792B (zh) 一种流量安全分析挖掘的方法及系统
CN108616545B (zh) 一种网络内部威胁的检测方法、系统及电子设备
CN110958220A (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
US20110208714A1 (en) Large scale search bot detection
CN109922052A (zh) 一种结合多重特征的恶意url检测方法
CN112003840B (zh) 一种基于攻击面的漏洞检测方法及系统
CN109426700B (zh) 数据处理方法、装置、存储介质和电子装置
CN104202291A (zh) 基于多因素综合评定方法的反钓鱼方法
CN114003903B (zh) 一种网络攻击追踪溯源方法及装置
CN111917793B (zh) 一种攻击链情报分析方法、系统及存储介质
CN111885011B (zh) 一种业务数据网络安全分析挖掘的方法及系统
CN114915479A (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
CN112839014A (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN111835681A (zh) 一种大规模流量异常主机检测方法和装置
CN110598794A (zh) 一种分类对抗的网络攻击检测方法及系统
CN112287345B (zh) 基于智能风险检测的可信边缘计算系统
CN113542252A (zh) Web攻击的检测方法、检测模型和检测装置
Li et al. TCM-KNN scheme for network anomaly detection using feature-based optimizations
Ozkan-Okay et al. A new feature selection approach and classification technique for current intrusion detection system
CN115664868B (zh) 安全等级确定方法、装置、电子设备和存储介质
CN111866028B (zh) 一种攻击面可视化的方法、系统及存储介质
CN113157542B (zh) 基于应用日志的趋同行为用户识别方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100053 Room 303, 3 / F, 315 guanganmennei street, Xicheng District, Beijing

Applicant after: Safety capability ecological aggregation (Beijing) Operation Technology Co.,Ltd.

Address before: 100053 Room 303, 3 / F, 315 guanganmennei street, Xicheng District, Beijing

Applicant before: Beijing fuyun'an Operation Technology Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant