CN112702342B - 网络事件处理方法、装置、电子设备及可读存储介质 - Google Patents

网络事件处理方法、装置、电子设备及可读存储介质 Download PDF

Info

Publication number
CN112702342B
CN112702342B CN202011541919.3A CN202011541919A CN112702342B CN 112702342 B CN112702342 B CN 112702342B CN 202011541919 A CN202011541919 A CN 202011541919A CN 112702342 B CN112702342 B CN 112702342B
Authority
CN
China
Prior art keywords
data
network
attack
network data
prediction model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011541919.3A
Other languages
English (en)
Other versions
CN112702342A (zh
Inventor
姚善
杨圣峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202011541919.3A priority Critical patent/CN112702342B/zh
Publication of CN112702342A publication Critical patent/CN112702342A/zh
Application granted granted Critical
Publication of CN112702342B publication Critical patent/CN112702342B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种网络事件处理方法、装置、电子设备及可读存储介质,涉及网络安全技术领域。方法包括:获取历史网络数据,包括网络事件、日志中的至少一种;根据攻击类型对历史网络数据进行预处理得到多个数据集,多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;根据多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。在本方案中,通过对网络数据进行预处理,实现攻击数据格式的统一和分类,然后利用分类后的数据集对预测模型进行训练,如此,可以通过训练后的预测模型对不同攻击类型进行预测,提高针对不同攻击类型的预测的准确性。

Description

网络事件处理方法、装置、电子设备及可读存储介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种网络事件处理方法、装置、电子设备及可读存储介质。
背景技术
随着网络技术的发展,在企业级的网络系统中,网络服务部署的复杂度在逐渐提升。随着信息化系统的增多,暴露在公共互联网层面的设备、应用以及服务越来越多。在网络安全领域中,可以根据已经发生的网络攻击,通过多维度统计分析,借助数据可视化组件直观展示攻击的手段、时间等。该方式主要是在网络攻击发生之后,方便对攻击溯源,所关注的是已经遭受攻击后的历史攻击趋势、攻击手段等,不具备预测后续发生攻击的可能性及攻击趋势,无法准确对未来的攻击进行预测。
发明内容
本申请实施例的目的在于提供一种网络事件处理方法、装置、电子设备及可读存储介质,能够对未来的攻击事件进行预测,与改善无法准确预测网络中的攻击事件的问题。
为了实现上述目的,本申请的实施例通过如下方式实现:
第一方面,本申请实施例提供一种一种网络事件处理方法,所述方法包括:
获取历史网络数据,包括网络事件、日志中的至少一种;
根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。
在上述的实施方式中,通过对网络数据进行预处理,实现攻击数据格式的统一和分类,然后利用分类后的数据集对预测模型进行训练,如此,可以通过训练后的预测模型对不同攻击类型进行预测,提高针对不同攻击类型的预测的准确性。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
获取待测网络系统在当前时刻之前的第一指定时段内的待处理网络数据,所述待处理网络数据包括所述指定格式的网络数据;
将所述待处理网络数据输入至所述经过训练的预测模型,得到所述预测模型根据所述待处理网络数据输出的预测结果,所述预测结果包括在所述当前时刻之后的第二指定时段内所述待测网络系统存在的攻击事件。
在上述的实施方式中,训练后的预测模型可以利用第一指定时段内的待处理网络数据,来对当前时刻之后的第二指定时段内的网络事件进行预测,其中,通过上述训练得到的预测模型进行预测,有利于提高对不同攻击类型的攻击事件进行预测的准确性。
结合第一方面,在一些可选的实施方式中,所述待处理网络数据包括指定攻击类型的所述指定格式的网络数据,所述预测结果包括表征所述待测网络系统在所述第二指定时段内存在所述指定攻击类型的攻击事件的概率、攻击时间点中的至少一种。
结合第一方面,在一些可选的实施方式中,在根据所述多个数据集中的网络数据,对预测模型进行训练之前,所述方法还包括:
创建预测模型,所述预测模型包括:
yi=a+b*xii
从所述多个数据集中,确定多组自变量和因变量,作为用于对所述预测模型进行训练的网络数据,其中,每组所述自变量和所述因变量的相关系数大于0;在每组所述自变量和所述因变量中,所述因变量包括所述多个数据集中的与所述攻击类型关联的网络攻击量,所述自变量包括所述多个数据集中的表征影响网络攻击发生变化的因素;在所述预测模型中,xi为第i个自变量,yi为第i个因变量,i为大于0的整数,ε为随机因素对y的影响总和,a、b分别为训练参数。
结合第一方面,在一些可选的实施方式中,所述相关系数记为R,并由下述公式计算得到:
Figure BDA0002852698970000031
在上式中,n为i的总个数。
结合第一方面,在一些可选的实施方式中,根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,包括:
从所述多组自变量和因变量中确定训练数据集及测试数据集;
将所述训练数据集中的每组自变量和因变量,输入所述预测模型,并确定所述预测模型中的训练参数a、b的值;
通过所述测试数据集中的每组自变量和因变量,对训练后的预测模型进行优化,得到所述经过训练的预测模型。
在上述的实施方式中,通过对预测模型进行测试优化,有利于提高预测模型预测的准确性。
结合第一方面,在一些可选的实施方式中,根据攻击类型对所述历史网络数据进行预处理得到多个数据集,包括:
根据预设筛选策略,从所述历史网络数据中滤除干扰数据,得到经过筛选的历史网络数据;
将所述经过筛选的历史网络数据转换为指定格式的历史网络数据;
根据所述攻击类型对所述指定格式的历史网络数据进行分类,得到所述多个数据集。
第二方面,本申请实施例还提供一种网络事件处理装置,所述装置包括:
获取单元,用于获取历史网络数据,包括网络事件、日志中的至少一种;
预处理单元,用于根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
模型确定单元,用于根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。
第三方面,本申请实施例还提供一种电子设备,所述电子设备包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行上述的方法。
第四方面,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的电子设备与待测网络系统的通信连接示意图。
图2为本申请实施例提供的电子设备的结构示意图。
图3为本申请实施例提供的网络事件处理方法的流程示意图。
图4为本申请实施例提供的网络事件处理装置的框图。
图标:10-电子设备;11-处理模块;12-存储模块;13-通信模块;20-待测网络系统;200-网络事件处理装置;210-获取单元;220-预处理单元;230-模型确定单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,本申请实施例提供的电子设备10可以对待测网络系统20在未来一段时间内的网络攻击事件进行预测。其中,待测网络系统20可以包括一个或多个设备。比如,在图1中,待测网络系统20可以包括设备A和设备B。待测网络系统20中的每个设备可以是但不限于智能手机、个人电脑、主机、服务器等设备,这里不作具体限定。
电子设备10可以通过网络与待测网络系统20中的各设备建立通信连接,以进行数据交互。比如,电子设备10可以获取待测网络系统20在时刻之间的一段时间内的网络数据,包括但不限于网络事件、日志等数据。
请参照图2,电子设备10可以包括处理模块11及存储模块12。存储模块12内存储计算机程序,当计算机程序被所述处理模块11执行时,使得电子设备10能够执行下述方法中的各步骤。
当然,电子设备10还可以包括其他模块,例如,电子设备10还可以包括通信模块13,用于与待测网络系统20建立通信连接。处理模块11、存储模块12以及通信模块13各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
请参照图3,本申请实施还提供一种网络事件处理方法,可以应用于上述的电子设备10中,由电子设备10执行或实现方法的各步骤。方法可以包括如下步骤:
步骤S110,获取历史网络数据,包括网络事件、日志中的至少一种;
步骤S120,根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
步骤S130,根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。
在上述的实施方式中,通过对网络数据进行预处理,实现攻击数据格式的统一和分类,然后利用分类后的数据集对预测模型进行训练,如此,可以通过训练后的预测模型对不同攻击类型进行预测,提高针对不同攻击类型的预测的准确性。
下面将对方法的各步骤进行详细阐述,如下:
在步骤S110中,历史网络数据可以为电子设备10从待测网络系统20或与待测网络系统20的架构相似的网络系统的历史网络数据。历史网络数据包括在当前时刻之间的一个指定时段内的网络数据,包括网络事件、日志以及数据生成的时间戳(比如网络事件发生的时间戳、日志生成的时间戳)等。其中,网络事件可以包括但不限于网络攻击事件、漏洞等。该指定时段可以不同于下述的第一指定时段、第二指定时段,可以根据实际情况进行设置。例如,该指定时段可以为一天、一周等时长。
需要说明的是,所获取的历史网络数据通常包括存在网络攻击的网络事件、存在网络攻击的日志等数据。
在步骤S120中,电子设备10可以对历史数据进行预处理,以提高历史数据的有效性。
作为一种可选的实施方式,步骤S120可以包括:
根据预设筛选策略,从所述历史网络数据中滤除干扰数据,得到经过筛选的历史网络数据;
将所述经过筛选的历史网络数据转换为指定格式的历史网络数据;
根据所述攻击类型对所述指定格式的历史网络数据进行分类,得到所述多个数据集。
在本实施例中,预设筛选策略可以根据用户的需求进行灵活设置,这里不作具体限定。例如,预设筛选策略可以用于通过数据的格式内容区别完整数据与不完整数据,即,完整的网络数据与不完整的网络数据在格式上存在区别(例如,完整的网络数据包括数据的来源、攻击动作、攻击时间、攻击源、攻击目的等,不完整的网络数据中缺少数据的来源、攻击动作、攻击时间、攻击源及攻击目的中的至少一项)。电子设备10可以通过该预设筛选策略选出完整的网络数据,滤除不完整的网络数据。其中,完整的网络数据,有利于对网络攻击事件进行归类与分析。
当然,预设筛选策略还可以为其他策略。例如,预设筛选策略包括去重策略,可以去除网络数据中的重复数据。又例如,预设筛选策略可以为筛选指定类型的网络数据,滤除除去指定类型的网络数据之外的其他数据,指定类型的网络数据可以为指定设备的网络数据,可以根据实际情况进行确定,这里不作具体限定。
可理解地,通过预设筛选策略,电子设备10可以筛选得到用户期望保留的网络数据,滤除干扰数据。干扰数据可以是但不限于冗余的网络数据、不完整的网络数据等。
在对历史网络数据进行筛选、过滤与去重后,电子设备10可以将经过筛选处理后的历史网络数据转换为指定格式的网络数据。指定格式可以根据实际情况进行设置,包括但不限于JSON格式、TXT文本格式等,这里对指定格式不作具体限定。可理解地,历史网络数据通常包括多类数据格式,通过将各类历史网络数据转换为指定格式的历史网络数据,可以实现数据格式的统一,以便于进行后续的数据分类与模型训练。
在对历史网络数据进行格式统一后,电子设备10可以基于攻击类型,对历史网络数据进行分类。同一攻击类型的网络数据作为一个数据集,不同攻击类型的网络数据作为不同的数据集。
可理解地,相同攻击类型的网络数据,除了攻击类型相同之外,通常还可能存在其他相同或相近的特性。例如,被攻击的对象的操作系统相同,或者被攻击的时间点存在周期性(比如,被攻击的对象的发生时间在周五,或者发生在一天中的凌晨),或者造成网络攻击的病毒的来源相同等。通过对历史网络数据按照攻击类型进行分类,有利于针对不同攻击类型对预测模型进行训练,以便于训练后的预测模型可以针对不同攻击类型进行差异化预测,以提高预测的准确性。另外,攻击类型可以根据实际情况进行确定,包括但不限于扫描类、钓鱼类等网络攻击类型。
在步骤S130中,电子设备10可以利用分类后得到的多个数据集,对预测模型进行训练,从而得到经过训练的预测模型。其中,经过训练的预测模型可以根据待测网络系统20在当前时刻之前的历史网络数据,预测在当前时刻之后的目标时刻内存在攻击事件的趋势或可能性。
作为一种可选的实施方式,在步骤S130之后,方法还可以包括:
获取待测网络系统20在当前时刻之前的第一指定时段内的待处理网络数据,所述待处理网络数据包括所述指定格式的网络数据;
将所述待处理网络数据输入至所述经过训练的预测模型,得到所述预测模型根据所述待处理网络数据输出的预测结果,所述预测结果包括在所述当前时刻之后的第二指定时段内所述待测网络系统20存在的攻击事件。
在本实施例中,第一指定时段与第二指定时段可以根据实际情况进行设置,可以相同或不同,这里不作具体限定。例如,第一指定时段可以为7天,第二指定时段可以为1天,或者第一指定时段和第二指定时段可以均为7天。
待处理网络数据可以包括一种或多种攻击类型的网络数据,以便于相应攻击类型的网络攻击事件进行预测。比如,待处理网络数据可以为指定攻击类型的指定格式的网络数据。指定攻击类型可以为任一攻击类型,比如,可以为上述的扫描类,或钓鱼类等。另外,待处理网络数据还包括网络数据在待测网络系统20生成时的时间戳。预测结果可以包括与待处理网络数据中的攻击类型对应的攻击事件的概率、攻击时间等。
例如,当待处理网络数据为指定攻击类型的网络数据时,预测结果可以包括表征待测网络系统20在第二指定时段内存在指定攻击类型的攻击事件的概率、攻击时间点中的至少一种。
作为一种可选的实施方式,在步骤S130之前,方法还可以包括:
创建预测模型,所述预测模型可以包括下述公式(1):
yi=a+b*xii (1)
从所述多个数据集中,确定多组自变量和因变量,作为用于对所述预测模型进行训练的网络数据,其中,每组所述自变量和所述因变量的相关系数大于0;在每组所述自变量和所述因变量中,所述因变量包括所述多个数据集中的与所述攻击类型关联的网络攻击量,所述自变量包括所述多个数据集中的表征影响网络攻击发生变化的因素;在所述预测模型中,xi为第i个自变量,yi为第i个因变量,i为大于0的整数,比如,i=1,2,…,n,ε为随机因素对y的影响总和,a、b分别为训练参数。
其中,所述相关系数可以记为R,并由下述公式(2)计算得到:
Figure BDA0002852698970000091
在公式(2)中,n为i的总个数。
可理解地,相关系数的来源可以如下:
基于公式(1),通过最小二乘法估计预测模型的回归系数,根据最小平方原理,须符合以下条件:
Figure BDA0002852698970000101
Figure BDA0002852698970000102
Figure BDA0002852698970000103
为yi的预测值,根据最小二乘法,记
Figure BDA0002852698970000104
Figure BDA0002852698970000105
根据极值原理,为使Q具有最小值,可分别对a、b求偏导数,并令其等于零,即得到下述公式(3)和公式(4),如下:
Figure BDA0002852698970000106
Figure BDA0002852698970000107
对公式公式(3)和公式(4)联立求解,即可得到回归系数的估计值,分别为下述的公式(5)、(6),如下:
Figure BDA0002852698970000108
Figure BDA0002852698970000109
相关系数R可根据公式(5)、(6),结合最小二乘原理及平均数的数学性质,得到上述的公式(2),相关系数R的绝对值的大小表示相关程度的高低。
当R=0时,表示自变量x与应变量y之间零相关,所求回归系数无效。
当|R|=1时,表示自变量x与应变量y之间完全相关,自变量x与应变量y之间的关系为函数关系。
当0<|R|<1时,表示自变量x与应变量y之间是部分相关,其中,R的绝对值越大相关程度越高。
然后,通过下述公式(7),估计标准差,以及预测区间,如公式(8)如下:
Figure BDA0002852698970000111
Figure BDA0002852698970000112
在上述的公式(7)、(8)中,a为显著水平,n-2为自由度,
Figure BDA0002852698970000113
为y在x0的预测值。另外,预测模型得到的预测结果,可以为基于预测值的一个预测区间,即为在预测值
Figure BDA0002852698970000114
上下浮动
Figure BDA0002852698970000115
的范围内,如上述公式(8)所示。
可理解地,通过利用每个数据集中的每组自变量和因变量,可以训练得到预测模型的公式(1)中的a、b、ε参数的值,a、b、ε的具体数值,可以根据实际情况进行确定,这里不作限制。另外,需要预测的指定攻击类型的网络事件可以作为因变量,能够影响指定攻击类型的网络事件预测值的因素为自变量,包括但不限于威胁情报(包括系统内部生成的情报)、安全事件、日志、历史分析结论、引力事件的相关性、事件发生的时间序列等。其中,威胁情报、安全事件、日志、历史分析结论、引力事件的相关性、事件发生的时间序列等为本领域技术人员熟知。
作为一种可选的实施方式,步骤S130可以包括:
从所述多组自变量和因变量中确定训练数据集及测试数据集;
将所述训练数据集中的每组自变量和因变量,输入所述预测模型,并确定所述预测模型中的训练参数a、b的值;
通过所述测试数据集中的每组自变量和因变量,对训练后的预测模型进行优化,得到所述经过训练的预测模型。
可理解地,在多个数据集中,多组自变量和因变量为训练数据集及测试数据集的集合。训练数据集合测试数据集可以从多组自变量和因变量根据实际情况进行选取,这里不作具体限定。所选取的训练数据集中的每组因变量和自变量可以作为:执行步骤S130时,用于输入至预测模型进行训练的网络数据。在利用训练数据集对预测模型完成训练后,可以使用测试数据集中的每组因变量和自变量,对训练后的预测模型中的参数(比如,上述的参数a、b等)进行优化。
可理解地,优化过程即为:在每组测试数据集中,包括xi、yi,优化测试时,将自变量xi输入完成训练的测试模型中,然后由该测试模型根据xi输出得到输出结果y0,然后,根据yi与y0之间的误差值,对预测模型进行调整,直至调整后的预测模型再次根据xi输出得到的y0与yi的误差值在预设范围内。该预设范围为表示误差值较小的一个数值范围,可以根据实际情况进行设置。基于此,通过对预测模型进行测试与优化,可以提高预测模型检测的准确性与可靠性。
基于上述设计,,方法可以对网络安全攻击中未来会产生的某种攻击行为进行预测分析,得到预测结果可以包括在当前时刻之后的第二指定时段内待测网络系统20存在的攻击事件、攻击事件的攻击类型、攻击时间等,预测结果还可以包括网络攻击的趋势与分布等信息。该预测结果可以在防范网络攻击时,为提前部署安全防护措施提供依据,有利于保障网络设备及网络设备中的应用程序等安全运行。
请参照图4,本申请实施例还提供一种网络事件处理装置200,可以应用于上述的电子设备10中,用于执行方法中的各步骤。网络事件处理装置200包括至少一个可以软件或固件(Firmware)的形式存储于存储模块12中或固化在电子设备10操作系统(OperatingSystem,OS)中的软件功能模块。处理模块11用于执行存储模块12中存储的可执行模块,例如网络事件处理装置200所包括的软件功能模块及计算机程序等。
网络事件处理装置200可以包括获取单元210、预处理单元220及模型确定单元230,可以执行的操作内容如下:
获取单元210,用于获取历史网络数据,包括网络事件、日志中的至少一种;
预处理单元220,用于根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
模型确定单元230,用于根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。
可选地,网络事件处理装置200还可以包括预测单元。获取单元210还可以用于获取待测网络系统20在当前时刻之前的第一指定时段内的待处理网络数据,所述待处理网络数据包括所述指定格式的网络数据;预测单元还可以用于将所述待处理网络数据输入至所述经过训练的预测模型,得到所述预测模型根据所述待处理网络数据输出的预测结果,所述预测结果包括在所述当前时刻之后的第二指定时段内所述待测网络系统20存在的攻击事件。
可选地,网络事件处理装置200还可以包括模型创建单元及数据确定单元。
在预测单元根据所述多个数据集中的网络数据,对预测模型进行训练之前,模型创建单元用于创建预测模型,所述预测模型包括:
yi=a+b*xii
数据确定单元用于从所述多个数据集中,确定多组自变量和因变量,作为用于对所述预测模型进行训练的网络数据,其中,每组所述自变量和所述因变量的相关系数大于0;在每组所述自变量和所述因变量中,所述因变量包括所述多个数据集中的与所述攻击类型关联的网络攻击量,所述自变量包括所述多个数据集中的表征影响网络攻击发生变化的因素;在所述预测模型中,xi为第i个自变量,yi为第i个因变量,i为大于0的整数,ε为随机因素对y的影响总和,a、b分别为训练参数。
可选地,模型确定单元230还可以用于:从所述多组自变量和因变量中确定训练数据集及测试数据集;
将所述训练数据集中的每组自变量和因变量,输入所述预测模型,并确定所述预测模型中的训练参数a、b的值;
通过所述测试数据集中的每组自变量和因变量,对训练后的预测模型进行优化,得到所述经过训练的预测模型。
可选地,预处理单元220还可以用于:
根据预设筛选策略,从所述历史网络数据中滤除干扰数据,得到经过筛选的历史网络数据;
将所述经过筛选的历史网络数据转换为指定格式的历史网络数据;
根据所述攻击类型对所述指定格式的历史网络数据进行分类,得到所述多个数据集。
在本实施例中,处理模块11可以是一种集成电路芯片,具有信号的处理能力。上述处理模块11可以是通用处理器。例如,该处理器可以是中央处理器(Central ProcessingUnit,CPU)、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
存储模块12可以是,但不限于,随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块12可以用于存储网络事件、日志等。当然,存储模块12还可以用于存储程序,处理模块11在接收到执行指令后,执行该程序。
通信模块13用于通过网络建立电子设备10与待测网络系统20中的设备或其他设备的通信连接,并通过网络收发数据。
可以理解的是,图2所示的结构仅为电子设备10的一种结构示意图,电子设备10还可以包括比图2所示更多的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的电子设备10的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本申请实施例还提供一种计算机可读存储介质。计算机可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的网络事件处理方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
综上所述,本申请提供一种网络事件处理方法、装置、电子设备及可读存储介质。方法包括:获取历史网络数据,包括网络事件、日志中的至少一种;根据攻击类型对历史网络数据进行预处理得到多个数据集,多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;根据多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果。在本方案中,通过对网络数据进行预处理,实现攻击数据格式的统一和分类,然后利用分类后的数据集对预测模型进行训练,如此,可以通过训练后的预测模型对不同攻击类型进行预测,提高针对不同攻击类型的预测的准确性。
在本申请所提供的实施例中,应该理解到,所揭露的装置、系统和方法,也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (9)

1.一种网络事件处理方法,其特征在于,所述方法包括:
获取历史网络数据,包括网络事件、日志中的至少一种;
根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果,其中,
在根据所述多个数据集中的网络数据,对预测模型进行训练之前,所述方法还包括:
创建预测模型,所述预测模型包括:
yi=a+b*xii
从所述多个数据集中,确定多组自变量和因变量,作为用于对所述预测模型进行训练的网络数据,其中,每组所述自变量和所述因变量的相关系数大于0;在每组所述自变量和所述因变量中,所述因变量包括所述多个数据集中的与所述攻击类型关联的网络攻击量,所述自变量包括所述多个数据集中的表征影响网络攻击发生变化的因素;在所述预测模型中,xi为第i个自变量,yi为第i个因变量,i为大于0的整数,ε为随机因素对y的影响总和,a、b分别为训练参数。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取待测网络系统在当前时刻之前的第一指定时段内的待处理网络数据,所述待处理网络数据包括所述指定格式的网络数据;
将所述待处理网络数据输入至所述经过训练的预测模型,得到所述预测模型根据所述待处理网络数据输出的预测结果,所述预测结果包括在所述当前时刻之后的第二指定时段内所述待测网络系统存在的攻击事件。
3.根据权利要求2所述的方法,其特征在于,所述待处理网络数据包括指定攻击类型的所述指定格式的网络数据,所述预测结果包括表征所述待测网络系统在所述第二指定时段内存在所述指定攻击类型的攻击事件的概率、攻击时间点中的至少一种。
4.根据权利要求1所述的方法,其特征在于,所述相关系数记为R,并由下述公式计算得到:
Figure FDA0003879860920000021
在上式中,n为i的总个数。
5.根据权利要求1所述的方法,其特征在于,根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,包括:
从所述多组自变量和因变量中确定训练数据集及测试数据集;
将所述训练数据集中的每组自变量和因变量,输入所述预测模型,并确定所述预测模型中的训练参数a、b的值;
通过所述测试数据集中的每组自变量和因变量,对训练后的预测模型进行优化,得到所述经过训练的预测模型。
6.根据权利要求1所述的方法,其特征在于,根据攻击类型对所述历史网络数据进行预处理得到多个数据集,包括:
根据预设筛选策略,从所述历史网络数据中滤除干扰数据,得到经过筛选的历史网络数据;
将所述经过筛选的历史网络数据转换为指定格式的历史网络数据;
根据所述攻击类型对所述指定格式的历史网络数据进行分类,得到所述多个数据集。
7.一种网络事件处理装置,其特征在于,所述装置包括:
获取单元,用于获取历史网络数据,包括网络事件、日志中的至少一种;
预处理单元,用于根据攻击类型对所述历史网络数据进行预处理得到多个数据集,所述多个数据集中的每个数据集包括相同攻击类型的指定格式的网络数据;
模型确定单元,用于根据所述多个数据集中的网络数据,对预测模型进行训练,得到经过训练的预测模型,用于预测攻击事件并输出预测结果;
模型创建单元,用于在所述模型确定单元根据所述多个数据集中的网络数据,对预测模型进行训练之前,所述模型创建单元用于创建预测模型,所述预测模型包括:
yi=a+b*xii
数据确定单元,用于从所述多个数据集中,确定多组自变量和因变量,作为用于对所述预测模型进行训练的网络数据,其中,每组所述自变量和所述因变量的相关系数大于0;在每组所述自变量和所述因变量中,所述因变量包括所述多个数据集中的与所述攻击类型关联的网络攻击量,所述自变量包括所述多个数据集中的表征影响网络攻击发生变化的因素;在所述预测模型中,xi为第i个自变量,yi为第i个因变量,i为大于0的整数,ε为随机因素对y的影响总和,a、b分别为训练参数。
8.一种电子设备,其特征在于,所述电子设备包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述电子设备执行如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-6中任一项所述的方法。
CN202011541919.3A 2020-12-22 2020-12-22 网络事件处理方法、装置、电子设备及可读存储介质 Active CN112702342B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011541919.3A CN112702342B (zh) 2020-12-22 2020-12-22 网络事件处理方法、装置、电子设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011541919.3A CN112702342B (zh) 2020-12-22 2020-12-22 网络事件处理方法、装置、电子设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN112702342A CN112702342A (zh) 2021-04-23
CN112702342B true CN112702342B (zh) 2022-12-13

Family

ID=75509435

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011541919.3A Active CN112702342B (zh) 2020-12-22 2020-12-22 网络事件处理方法、装置、电子设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN112702342B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113965363B (zh) * 2021-10-11 2023-07-14 北京天融信网络安全技术有限公司 一种基于Web用户行为的漏洞研判方法和装置
CN114095270B (zh) * 2021-11-29 2024-01-23 北京天融信网络安全技术有限公司 一种网络攻击预测方法及装置
CN114422184A (zh) * 2021-12-14 2022-04-29 国网浙江省电力有限公司金华供电公司 基于机器学习的网络安全攻击类型和威胁等级预测方法
CN114780810B (zh) * 2022-04-22 2024-02-27 中国电信股份有限公司 数据处理方法、装置、存储介质及电子设备
CN115834174B (zh) * 2022-11-15 2023-06-09 北京天融信网络安全技术有限公司 基于时序图神经网络的网络安全态势预测方法和装置
CN116186698A (zh) * 2022-12-16 2023-05-30 广东技术师范大学 一种基于机器学习的安全数据处理方法、介质及设备
CN117041073B (zh) * 2023-09-05 2024-05-28 广州天懋信息系统股份有限公司 网络行为预测方法、系统、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833186A (zh) * 2018-06-29 2018-11-16 北京奇虎科技有限公司 一种网络攻击预测方法及装置
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置
CN110766225A (zh) * 2019-10-23 2020-02-07 新奥数能科技有限公司 一种基于神经网络的电力日前交易收益预测方法及装置
CN111324889A (zh) * 2020-03-04 2020-06-23 深信服科技股份有限公司 安全事件预测方法、装置、设备及计算机可读存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11089035B2 (en) * 2017-12-11 2021-08-10 Radware Ltd. Techniques for predicting subsequent attacks in attack campaigns

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108833186A (zh) * 2018-06-29 2018-11-16 北京奇虎科技有限公司 一种网络攻击预测方法及装置
CN110572362A (zh) * 2019-08-05 2019-12-13 北京邮电大学 针对多类不均衡异常流量的网络攻击检测方法及装置
CN110766225A (zh) * 2019-10-23 2020-02-07 新奥数能科技有限公司 一种基于神经网络的电力日前交易收益预测方法及装置
CN111324889A (zh) * 2020-03-04 2020-06-23 深信服科技股份有限公司 安全事件预测方法、装置、设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN112702342A (zh) 2021-04-23

Similar Documents

Publication Publication Date Title
CN112702342B (zh) 网络事件处理方法、装置、电子设备及可读存储介质
Xu et al. Modeling and predicting cyber hacking breaches
US20220353286A1 (en) Artificial intelligence cyber security analyst
CN112153044B (zh) 流量数据的检测方法及相关设备
JP6165224B2 (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
Tang et al. Disclosure of cyber security vulnerabilities: time series modelling
CN109344042B (zh) 异常操作行为的识别方法、装置、设备及介质
CN111147300B (zh) 一种网络安全告警置信度评估方法及装置
CN116846619A (zh) 一种自动化网络安全风险评估方法、系统及可读存储介质
CN114091016A (zh) 异常性检测的方法、设备和计算机程序产品
CN114039837B (zh) 告警数据处理方法、装置、系统、设备和存储介质
WO2023181241A1 (ja) 監視サーバ装置、システム、方法、及びプログラム
Lu et al. One intrusion detection method based on uniformed conditional dynamic mutual information
Kohlrausch et al. ARIMA supplemented security metrics for quality assurance and situational awareness
KR100961992B1 (ko) 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법, 그장치 및 이를 기록한 기록매체
CN108804947A (zh) 用于确定对数据库进行操作的白名单的方法和装置
CN116915459B (zh) 一种基于大语言模型的网络威胁分析方法
CN112800437B (zh) 信息安全风险评价系统
US11870800B1 (en) Cyber security risk assessment and cyber security insurance platform
CN117807590B (zh) 基于人工智能的信息安全预测及监控系统及方法
CN113190844B (zh) 一种检测方法、相关方法及相关装置
JP6710716B2 (ja) 脅威情報評価装置、脅威情報評価方法およびプログラム
CN116886440A (zh) 一种威胁情报生产方法、装置、设备及存储介质
CN117792768A (zh) 一种脆弱性识别及决策树构建方法、装置、设备及介质
CN117614643A (zh) 一种威胁情报分析方法、系统、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant