CN112311744A - 一种实时监控网络安全性的监控系统及其监控方法 - Google Patents
一种实时监控网络安全性的监控系统及其监控方法 Download PDFInfo
- Publication number
- CN112311744A CN112311744A CN201910711216.1A CN201910711216A CN112311744A CN 112311744 A CN112311744 A CN 112311744A CN 201910711216 A CN201910711216 A CN 201910711216A CN 112311744 A CN112311744 A CN 112311744A
- Authority
- CN
- China
- Prior art keywords
- monitoring
- network
- real time
- monitoring system
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000013528 artificial neural network Methods 0.000 claims abstract description 19
- 238000012549 training Methods 0.000 claims description 32
- 238000012360 testing method Methods 0.000 claims description 16
- 238000011156 evaluation Methods 0.000 claims description 7
- 238000012806 monitoring device Methods 0.000 claims description 4
- 238000011160 research Methods 0.000 claims description 4
- 238000005070 sampling Methods 0.000 claims description 4
- 241000700605 Viruses Species 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 description 9
- 230000003068 static effect Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种实时监控网络安全性的监控系统及其监控方法,属于网络安全监控的技术领域。所述监控系统包括网络模块,所述网络模块是一种被训练出能够识别网络恶意流量的神经网络,所述监控系统用于接入网络用于对网络流量进行实时判别,如果发现恶意流量或者可疑流量,则执行预先设定的动作。本发明的优点在于:能够实时评估出网络安全状态;能够全面评估网络安全状态而非仅仅针对某一种类型;能够及时学习最新的安全技术;能够对安全状态做出预测。
Description
技术领域
本发明属于网络安全监控的技术领域,特别是涉及一种实时监控网络安全性的监控系统及其监控方法。
背景技术
网络安全性一直是信息领域的重点,随着网络渗透到社会活动的各个方面,安全问题也凸显更加重要。目前对网络安全的评估都有滞后性,都是在发现一种安全隐患之后,通过对网络流量的采样进行静态分析,评估该网络的安全状态,然后做出决策。这种方式存在四个方面的缺陷:
一、具有严重的滞后性,只有在隐患已经存在才可能被查证。在信息交互量如此巨大的今天,这种滞后性本身就不安全。
二、不具备前瞻性和可预测性。一种安全隐患只有被实际验证之后才会被确认,此时已经造成了危害。
三、分析的范围有很大局限。网络安全隐患的类型千差万别,目前的各种静态分析方法都只针对一种类型或某几种类型有效,因此实际应用中准确率不高。
四、网络安全隐患的技术日新月异,静态分析方法往往很快失效。
发明内容
本发明为解决上述背景技术中存在的技术问题,本发明利用机器学习建立动态流量模型,对网络流量进行实时监控,实时评估网络安全状态,并能对安全隐患做出预测,从而及时作出决策。
本发明通过以下技术方案来实现:一种实时监控网络安全性的监控系统,所述监控系统包括网络模块,所述网络模块是用于对网络恶意流量进行识别的的神经网络,如果发现恶意流量或者可疑流量,则执行预先设定的动作;所述监控系统用于接入网络用于对网络流量进行实时判别。
在进一步的实施例中,所述监控系统安装在包括路由器、交换机、服务器或者独立的监控设备上。
在进一步的实施例中,所述监控系统通过网络接口采用串联或者并联的方式接入互联网或者用户内部专网。
在进一步的实施例中,所述神经网络的训练方法具体包括以下步骤:
步骤一、从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据;
步骤二、从网络上获取典型时段的流量;
步骤三、监控单元对获取的流量进行逐条分析判断是否符合已知的安全隐患特征,根据匹配的结果进行分类并标注;
步骤四、监控单元将分类后的流量数据按照比例随机分为训练集和测试集;
步骤五、监控单元加载训练集,启动神经网络训练;
步骤六、监控单元加载测试集,对训练中的神经网络进行测试,如果测试输出结果的精度满足设定阈值,则表示神经网络已经训练完成;如果测试输出结果的精度没有达到设定精度,则重复步骤五,直至训练完成。
一种实时监控网络安全性的监控系统的监控方法,具体包括以下步骤:
步骤101、将报文数据分拆为若干类别,包括:域名、协议特征和数据特征;
步骤102、通过网络模块中的监控单元进行匹配和评估;
步骤103、通过训练后投入在网运行,对通过的报文进行抽样,并对数据进行分拣,然后根据训练模型做出安全性评估;
步骤104、如果发现安全隐患,则向管理台输出报告,并且按照预先设定的要求执行决策;管理台同时对受到的报告给予评定,评定反馈到设备作为增量学习的数据;同时,如果管理台发现新的安全隐患的特征,也可以作为学习样本输入给设备。
在进一步的实施例中,所述域名根据安全性可以分为分为可信任、不可信任和部分可信三种情况。
在进一步的实施例中,所述协议特征的用于分析木马存在的可能性,大部分木马都会扫描某一类或者某几个端口。
在进一步的实施例中,所述数据特征用来分析报文携带的内容与exe文件之间的关联程度,通过特殊的串识别,可以匹配到是否与病毒特征相关或者与系统调用相关。
在进一步的实施例中,所述步骤四中的流量数据按照8:2的比例随机分为训练集和测试集。
本发明的有益效果:相对于目前网络安全的监测方式,本发明的优点在于:
一、通过一种被训练出能够识别网络恶意流量的神经网络能够实时评估出网络安全状态,解决现有技术中存在滞后性的问题;
二、能够对安全状态做出预测,具备前瞻性和可以测性;
三、因本系统所采集到的数据是从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据能够全面评估网络安全状态而非仅仅针对某一种类型,使用范围广,解决了现有技术中分析范围存在局限性的问题;
四、本系统中的网络模块是经训练而成,在评估的同时还能够及时学习最新的安全技术,能够与时俱进,不易失效。
附图说明
图1为本系统中的网络模块的训练流程图。
图2为本系统的监控流程图。
图3为实施例1中的网络模块连接方式的结构示意图。
图4为实施例2中的网络模块连接方式的结构示意图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员而言显而易见的是,本发明可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明发生混淆,对于本领域公知的一些技术特征未进行描述。
申请人经统计表明,网络中的恶意行为虽然变化多端,但都呈现一定的深层次规律,比如木马通常需要扫描特定TCP/UDP端口,不安全网站通常由难以记忆的数字、字母组合,恶意代码通常与特定的系统底层调用呈现高频相关度。因此会出现以下问题:具有严重的滞后性、不具备前瞻性和可预测性、分析的范围有很大局限和网络安全隐患的技术日新月异,静态分析方法往往很快失效。
对此,申请人针对上述缺陷,本发明利用机器学习建立动态流量模型,对网络流量进行实时监控,实时评估网络安全状态,并能对安全隐患做出预测,从而及时作出决策:收集大量恶意流量样本,并构建一个神经网络加以训练后,则能够以非常高的精度判断出当前流量是否为恶意行为。
这种方法比传统的静态分析方式的优势在于,首先速度很快,并且可以同时对各种恶意行为进行判断,同时具有前瞻性,能够提前发现可疑行为。
这种方法更好的一点是,网络上的恶意行为是不断变化发展的,机器学习在基础模型之上,可以持续增量学习,不断优化和调整参数,始终能够跟随网络的发展情况。
下面结合附图和实施例对本发明做详细的描述。
实施例1
采用人工智能方式训练出一个能够识别网络恶意流量的神经网络,将这个网络模块集成到监控系统内上并将监控系统安装在监控设备上,该监控设备可以是路由器、交换机、服务器或者其他独立的监控设备。将监控设备接通过以太网络接口采用串联入网络,如图3所示,对网络流量进行实时判别,如果发现恶意流量或者可疑流量,则执行预先设定的动作。同时,设备本身也能够通过现网流量持续学习,不断提高识别精度。
如图1所示,所述神经网络的训练方法,具体包括以下训练步骤:
步骤一、从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据;
步骤二、从网络上获取典型时段的流量;
步骤三、监控单元对获取的流量进行逐条分析判断是否符合已知的安全隐患特征,根据匹配的结果进行分类并标注;
步骤四、监控单元将分类后的流量数据按照比例8:2随机分为训练集和测试集;
步骤五、监控单元加载训练集,启动神经网络训练;
步骤六、监控单元加载测试集,对训练中的神经网络进行测试,如果测试输出结果的精度满足设定阈值,则表示神经网络已经训练完成;如果测试输出结果的精度没有达到设定精度,则重复步骤五,直至训练完成。
如图2所示,一种实时监控网络安全性的监控系统的监控方法,具体包括以下步骤:
步骤101、将报文数据分拆为若干类别,包括:域名、协议特征和数据特征,并作出标注;可以涵盖各种安全隐患而不会只对某类或者某几类隐患有效;
步骤102、通过网络模块中的监控单元进行匹配和评估;
步骤103、通过训练后投入在网运行,对通过的报文进行抽样,并对数据进行分拣,然后根据训练模型做出安全性评估;
步骤104、如果发现安全隐患,则向管理台输出报告,并且按照预先设定的要求执行决策;管理台同时对受到的报告给予评定,评定反馈到设备作为增量学习的数据;同时,如果管理台发现新的安全隐患的特征,也可以作为学习样本输入给设备。
所述域名根据安全性可以分为分为可信任、不可信任和部分可信三种情况。所述协议特征的用于分析木马存在的可能性,大部分木马都会扫描某一类或者某几个端口。所述数据特征用来分析报文携带的内容与exe文件之间的关联程度,通过特殊的串识别,可以匹配到是否与病毒特征相关或者与系统调用相关。
实施例2
采用人工智能方式训练出一个能够识别网络恶意流量的神经网络,将这个网络模块集成到监控系统内上并将监控系统安装在监控设备上,该监控设备可以是路由器、交换机、服务器或者其他独立的监控设备。将监控设备接通过以太网络接口采用并联入网络,如图4所示,对网络流量进行实时判别,如果发现恶意流量或者可疑流量,则执行预先设定的动作。同时,设备本身也能够通过现网流量持续学习,不断提高识别精度。
本发明采用机器学习方法,训练设备通过网络流量智能判断安全状态,然后做出决策。
本发明在网络上获取一定时段的流量,并对流量数据进行分拣和标注,同时,通过国内和国际安全机构发布的各种安全隐患特征,构造对应的数据并标注,作为训练集。
本发明的设备通过训练后投入在网运行,对通过的报文进行抽样,并对数据进行分拣,然后根据训练模型做出安全性评估。当有新的安全隐患被证明后,本设备能够对应的数据及时增量学习,从而能迅速掌握。
本发明在实际运行中仍然动态增量学习,因此可以一直保持对安全技术的跟踪。
监控设备对输入的报文分拆为指定类别,然后由监控单元进行匹配和评估,如果发现安全隐患,则向管理台输出报告,并且按照预先设定的要求执行决策。管理台同时对受到的报告给予评定,评定反馈到设备作为增量学习的数据。同时,如果管理台发现新的安全隐患的特征,也可以作为学习样本输入给设备。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
Claims (8)
1.一种实时监控网络安全性的监控系统,其特征在于,所述监控系统包括网络模块,所述网络模块是用于对网络恶意流量进行识别的的神经网络,如果发现恶意流量或者可疑流量,则执行预先设定的动作;所述监控系统用于接入网络用于对网络流量进行实时判别。
2.根据权利要求1所述的一种实时监控网络安全性的监控系统,其特征在于,所述监控系统安装在包括路由器、交换机、服务器或者独立的监控设备上。
3.根据权利要求1所述的一种实时监控网络安全性的监控系统,其特征在于,所述监控系统通过网络接口采用串联或者并联的方式接入互联网或者用户内部专网。
4.根据权利要求1所述的一种实时监控网络安全性的监控系统,其特征在于,所述神经网络的训练方法具体包括以下步骤:
步骤一、从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据;
步骤二、从网络上获取典型时段的流量;
步骤三、监控单元对获取的流量进行逐条分析判断是否符合已知的安全隐患特征,根据匹配的结果进行分类并标注;
步骤四、监控单元将分类后的流量数据按照比例随机分为训练集和测试集;
步骤五、监控单元加载训练集,启动神经网络训练;
步骤六、监控单元加载测试集,对训练中的神经网络进行测试,如果测试输出结果的精度满足设定阈值,则表示神经网络已经训练完成;如果测试输出结果的精度没有达到设定精度,则重复步骤五,直至训练完成。
5.一种实时监控网络安全性的监控系统的监控方法,其特征在于,具体包括以下步骤:
步骤101、将报文数据分拆为若干类别,包括:域名、协议特征和数据特征,并作出标注;
步骤102、通过网络模块中的监控单元进行匹配和评估;
步骤103、通过训练后投入在网运行,对通过的报文进行抽样,并对数据进行分拣,然后根据训练模型做出安全性评估;
步骤104、如果发现安全隐患,则向管理台输出报告,并且按照预先设定的要求执行决策;管理台同时对受到的报告给予评定,评定反馈到设备作为增量学习的数据;同时,如果管理台发现新的安全隐患的特征,也可以作为学习样本输入给设备。
6.根据权利要求5所述的一种实时监控网络安全性的监控系统的监控方法,其特征在于,所述域名根据安全性可以分为分为可信任、不可信任和部分可信三种情况。
7.根据权利要求5所述的一种实时监控网络安全性的监控系统的监控方法,其特征在于,所述协议特征的用于分析木马存在的可能性,大部分木马都会扫描某一类或者某几个端口。
8.根据权利要求5所述的一种实时监控网络安全性的监控系统的监控方法,其特征在于,所述数据特征用来分析报文携带的内容与exe文件之间的关联程度,通过特殊的串识别,可以匹配到是否与病毒特征相关或者与系统调用相关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910711216.1A CN112311744A (zh) | 2019-08-02 | 2019-08-02 | 一种实时监控网络安全性的监控系统及其监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910711216.1A CN112311744A (zh) | 2019-08-02 | 2019-08-02 | 一种实时监控网络安全性的监控系统及其监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112311744A true CN112311744A (zh) | 2021-02-02 |
Family
ID=74485207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910711216.1A Pending CN112311744A (zh) | 2019-08-02 | 2019-08-02 | 一种实时监控网络安全性的监控系统及其监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112311744A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283052A1 (en) * | 2013-03-14 | 2014-09-18 | Eamon Hirata Jordan | Heterogeneous sensors for network defense |
| CN105024877A (zh) * | 2015-06-01 | 2015-11-04 | 北京理工大学 | 一种基于网络行为分析的Hadoop恶意节点检测系统 |
| CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
-
2019
- 2019-08-02 CN CN201910711216.1A patent/CN112311744A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140283052A1 (en) * | 2013-03-14 | 2014-09-18 | Eamon Hirata Jordan | Heterogeneous sensors for network defense |
| CN105024877A (zh) * | 2015-06-01 | 2015-11-04 | 北京理工大学 | 一种基于网络行为分析的Hadoop恶意节点检测系统 |
| CN110011999A (zh) * | 2019-03-29 | 2019-07-12 | 东北大学 | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113242218A (zh) * | 2021-04-23 | 2021-08-10 | 葛崇振 | 一种网络安全监控方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528287B2 (en) | Threat mitigation system and method | |
| Tesfahun et al. | Intrusion detection using random forests classifier with SMOTE and feature reduction | |
| Haddadi et al. | Benchmarking the effect of flow exporters and protocol filters on botnet traffic classification | |
| CN112738016A (zh) | 一种面向威胁场景的智能化安全事件关联分析系统 | |
| EP2882159A1 (en) | Profiling cyber threats detected in a target environment and automatically generating one or more rule bases for an expert system usable to profile cyber threats detected in a target environment | |
| CN110266675B (zh) | 一种基于深度学习的xss攻击自动化检测方法 | |
| CN106778268A (zh) | 恶意代码检测方法与系统 | |
| Haddadi et al. | Botnet behaviour analysis using ip flows: with http filters using classifiers | |
| CN111245784A (zh) | 多维度检测恶意域名的方法 | |
| Haddadi et al. | On botnet behaviour analysis using GP and C4. 5 | |
| CN109426700B (zh) | 数据处理方法、装置、存储介质和电子装置 | |
| US10419449B1 (en) | Aggregating network sessions into meta-sessions for ranking and classification | |
| Lin et al. | Machine learning with variational autoencoder for imbalanced datasets in intrusion detection | |
| CN113242218A (zh) | 一种网络安全监控方法及系统 | |
| CN112311744A (zh) | 一种实时监控网络安全性的监控系统及其监控方法 | |
| Kodali et al. | An investigation into deep learning based network intrusion detection system for iot systems | |
| Zhu et al. | Detecting malicious domains using modified SVM model | |
| Mohammadkhani et al. | A new method for behavioural-based malware detection using reinforcement learning | |
| Hemmati et al. | Bypassing Web Application Firewalls Using Deep Reinforcement Learning. | |
| CN109033835A (zh) | 一种异构双引擎检测移动终端恶意代码的方法 | |
| CN111371794B (zh) | 阴影域检测模型、检测模型建立方法、检测方法及系统 | |
| Barhoom et al. | Adaptive worm detection model based on multi classifiers | |
| Slamet et al. | Campus hybrid intrusion detection system using snort and c4. 5 algorithm | |
| Kumar et al. | Methodology for Safeguarding Cloud Server from Web Application Attacks | |
| Shaveta et al. | Applying genetic algorithm in intrusion detection system: a comprehensive review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210202 |