CN113965404A - 一种网络安全态势自适应主动防御系统及方法 - Google Patents
一种网络安全态势自适应主动防御系统及方法 Download PDFInfo
- Publication number
- CN113965404A CN113965404A CN202111289950.7A CN202111289950A CN113965404A CN 113965404 A CN113965404 A CN 113965404A CN 202111289950 A CN202111289950 A CN 202111289950A CN 113965404 A CN113965404 A CN 113965404A
- Authority
- CN
- China
- Prior art keywords
- network
- data
- situation
- network security
- security situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种网络安全态势自适应主动防御系统及方法,本方案基于由网络安全态势感知、态势理解及态势映射搭建的网络模型,准确预测网络安全状况发展趋势,首先对安全要素进行信息采集,其次对采集到的数据信息分析整合,关联数据相关性,对攻击网络状况行为解析,最后是对通过态势评估输出的数据,对网络态势评估结果,预测网络安全状况。本发明提供的方案通过预测网络未来发展的安全态势,实现对网络的动态管理,有预见性地对网络进行防护。
Description
技术领域
本发明涉及网络安全技术,具体涉及网络安全防护系统与自适应主动防御。
背景技术
网络安全技术主要防范潜在的网络安全隐患、防止网络资源发生恶意代码攻击的安全技术。一个完整的网络系统需要对综合应用防护、检测、响应及恢复,网络攻击防护形式种类较多,如安全路由器、防火墙技术、容灾与恢复和网络生存等技术。
然而当前的网络安全技术在网络检测预警及网络安全态势感知方面无法做到有效的监测预警,且网络攻击手段变化无常,大多数的网络安全防护系统也没有自主学习能力去应对复杂多变的突发事件。
因此,如果能够将传统网络安全防护系统结合现代人工智能算法,将静态网络防护策略转变为动态自适应学习的网络防护系统,不仅可以预知网络系统发生的攻击,且将这种攻击行为进行自主学习,大大提升网络安全防护系统的能力。然后现有的网络安全防护系统方案无法与人工智能算法进行有机的整合,达到良好的动态自适应学习效果,主动防御能力弱,无法大大预期要求。
由此可见,如何将网络安全系统由被动防护变为主动防护,由动态预警转变为自主学习预警,以此提高网络系统的安全性和可靠性为本领域亟需解决的问题。
发明内容
针对现有网络防御方式主要存在被动防御或主动防御能力弱的问题,本领域需要一种防御能力强的自适应主动网络防御方案。
为此,本发明的目的在于提供一种网络安全态势自适应主动防御系统,并基于该系统实现自适应主动网络防御的方法。本发明提供的方案能够对网络安全隐患存在的风险进行预警,完成对网络主动防御和自适应网络防御。
为了达到上述目的,本发明提供的网络安全态势自适应主动防御系统,包括相互联动的网络安全态势感知单元、网络安全态势理解单元以及网络安全态势映射单元,
所述网络安全态势感知单元实时采集网络数据信息,基于采集到的信息进行分析处理,判断网络攻击行为异常,形成对应的态势感知数据;
所述网络安全态势理解单元对所述网络安全态势感知单元形成的态势感知数据分析关联性,对攻击行为分析理解,形成网络安全态势理解数据;
所述网络安全态势映射单元,对所述网络安全态势理解单元形成的网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
进一步的,所述自适应主动防御系统还与网络专家决策系统联动,将量化的网络安全态势预测结果传至网络专家决策系统。
进一步的,所述网络安全态势感知单元包括网络态势信息采集模块、数据预处理模块、数据建模模块以及分析判断模块;
所述网络态势信息采集模块实时采集网络态势信息,所述网络态势信息为能够表明当前网络状况的信息;
所述数据预处理模块对所述网络态势信息采集模块所采集的网络态势信息进行分类与验证的预处理;
所述数据建模模块对经过所述数据预处理模块处理后的数据进行建模,提取数据特征并进行要素分析;
所述分析判断模块根据所述数据建模模块提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常。
进一步的,所述网络安全态势理解单元包括关联攻击分析模块和攻击行为理解模块,
所述关联攻击分析模块对态势感知数据分析数据关联性;
所述攻击行为理解模块基于所述关联攻击分析模块形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
进一步的,所述攻击行为理解模块通过大数据分析方式进行分析,以进行网络态势评估、网络威胁评估和网络态势预测。
进一步的,所述网络安全态势映射单元包括态势评估模块和量化预测模块,
所述态势评估模块基于态势理解的数据进行网络威胁评估、安全评估,形成网络安全态势评估数据;
所述量化预测模块基于BP神经网络结合蚁群算法对所述态势评估模块形成的网络安全态势评估数据进行量化预测网络安全态势发展趋势。
进一步的,所述量化预测模块将网络安全态势评估数据作为BP神经网络的神经元输入,确定输入层节点个数和输出层节点个数,建立网络模型,生成样本数据库,并确定隐含层的节点个数,采用蚁群算法更新BP神经网络的权值、阈值。
为了达到上述目的,本发明提供的网络安全态势自适应主动防御方法,包括:
实时采集网络数据信息,基于采集到的信息进行分析处理,判断网络攻击行为异常,形成对应的态势感知数据;
分析态势感知数据的关联性,对攻击行为分析理解,形成网络安全态势理解数据;
对网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
进一步的,所述方法还包括根据量化预测的网络安全态势发展趋势结果与网络专家决策系统进行联动,形成主动防御措施的步骤。
进一步的,所述方法在形成对应的态势感知数据时,包括:
实时采集网络态势信息,所述网络态势信息为能够表明当前网络状况的信息;
对采集的网络态势信息进行分类与验证的预处理;
对经过处理后的数据进行建模,提取数据特征并进行要素分析;
根据提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常。
进一步的,所述方法在形成网络安全态势理解数据时,包括:
对态势感知数据分析数据关联性;
基于形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
进一步的,所述方法在进行网络安全态势量化预测时,包括:
基于态势理解的数据进行网络威胁评估、安全评估;
基于BP神经网络结合蚁群算法对网络安全态势评估数据进行量化预测网络安全态势发展趋势。
进一步的,所述方法在量化预测网络安全态势发展趋势时,以网络安全态势评估数据作为BP神经网络的神经元输入,确定输入层节点个数和输出层节点个数,建立网络模型,生成样本数据库,并确定隐含层的节点个数,采用蚁群算法更新BP神经网络的权值、阈值。
本发明提供的网络安全态势自适应主动防御方案,能够主动防御网络安全问题和自适应网络学习防护,并进行主动防护及自主完善,从而可有效提升网络的安全能力。
本网络安全态势自适应主动防御方案还采用BP神经网络结合蚁群算法处理网络安全态势数据,对处理态势评估数据具有良好的收敛性,且对初始数据不敏感。
进一步地,本网络安全态势自适应主动防御方案中,采用BP神经网络结合蚁群算法,基于BP神经网络良好的自学习能力和非线性自适应模型,可以适应不同的网络模型。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本实例中网络安全态势感知自适应主动防御系统的原理图;
图2为本实例中网络安全态势感知态势预测的原理图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明针对网络系统的安全性给出网络安全态势自适应主动防御的方案。本网络安全态势自适应主动防御方案有机整合网络安全态势评估、BP神经网络、蚁群算法、网络安全态势预测及专家决策系统,这四种技术手段的有机整合和紧密协作,实现对网络安全问题的主动监测、态势感知、综合分析及自适应学习主动防御,可对网络存在的安全隐患、网络攻击行为不断学习,进一步提升网络安全的主动防御能力。
据此,本发明给出网络安全态势感知自适应主动防御系统来实现网络安全态势自适应主动防御。参见图1,其所示本发明给出的一种网络安全态势感知自适应主动防御系统的构成示例。
由图可知,本网络安全态势感知自适应主动防御系统100为主要由网络安全态势感知单元110、网络安全态势理解单元120及网络安全态势映射单元130相互配合搭建的网络模型,实现对网络安全状况发展趋势准确预测。
本网络安全态势感知自适应主动防御系统100通过对待防御的网络系统相应的数据进行信息采集,其次对采集到的数据信息分析整合,关联数据相关性,对攻击网络状况行为解析,最后是对通过态势评估输出的数据,据此数据对网络态势评估结果,预测网络安全状况。
具体的,本防御系统中的网络安全态势感知单元110用于实时采集网络数据信息,基于采集到的信息进行分析处理,判断行为异常,以形成对应的态势感知数据。
这里针对的行为主要包括,如拒绝服务攻击、勒索病毒、漏洞攻击、网络钓鱼等一系列的网络攻击行为。
这里的行为异常是整个网络系统安全行为状况,比如拒绝服务攻击、勒索病毒、漏洞攻击、网络钓鱼等一系列的网络攻击行为,通过当前的网络运行状况,来判断网络是否遭受了攻击。
本网络安全态势感知单元110在具体实现时,可用于实时采集多源网络态势信息,并对数据信息进行分析处理,以形成态势感知数据,作为网络安全态势理解单元120进行关联分析的数据源。
如图1所示,其给出了网络安全态势感知单元110的一种构成示例方案。
由图可知,本实例给出的网络安全态势感知单元110主要由网络态势信息采集模块111、数据预处理模块112、数据建模模块113以及分析判断模块114相互配合构成。
其中,网络态势信息采集模块111实时采集网络态势信息。
这里的网络态势信息主要是可用于表明当前的网络状况,网络现在所处的状态的信息。作为举例,网络系统防御了多少次网络攻击,或者正在遭受哪种攻击,以及攻击的种类、方式、状态等等。
这里对网络态势信息的采集,包括网络拓扑信息、漏洞信息及网络脆弱性等重要线索或元素进行检测获取,作为网络系统安全评估的重要来源,实现在在这些要素被攻击之前进行,评估网络安全状况,即使采取必要的防御手段,确保信息财产安全。
这里需要说明的,采集的网络态势信息,并不限于上述的网络拓扑信息、漏洞信息及网络脆弱性等信息。在实际操作时,所采集的信息数据种类很多,具体包括安全的、事件的,网络结构数据、网络服务数据、漏洞数据、脆弱性数据、威胁与入侵数据、用户异常行为数据等等,由此来尽可能的丰富网络安全数据来源,继而来提高态势评估结果的准确性。
作为举例,本实例在网络感知的要素提取网络数据信息,其数据获取手段主要包括主机配置检测工具、防火墙入侵检测工具、密码破解工具、网络设备配置检测工具、防病毒软件、数据库安全检测工具、网络扫描工具和系统脆弱性检测工具;或通过资产列表、事件报告、日志信息等方式将检测到的漏洞和脆弱性得到网络数据信息,进行安全态势评估分析数据。
本单元中数据预处理模块112,其与网络态势信息采集模块111进行数据交互,对网络态势信息采集模块111所采集的网络态势信息进行预处理。
作为举例,本数据预处理模块112通过对相应的数据信息进行分类与验证来完成预处理。
这里对分类与验证处理实现方式不加以限定,可根据实际需求而定,由此保证数据信息处理的高效性。
如,针对侵检测系统、扫描工具或硬件设备等获取到的网络感知数据,可通过人工方式,或验证系统自动验证的方式,或者两者相结合的方式来进行验证处理。
本单元中数据建模模块113,其与数据预处理模块112进行数据交互,对经过数据预处理模块112处理后的数据进行建模,提取数据特征并进行要素分析。
这里数据建模模块113,其基于相应的数据分析算法构建相应的数据分析模型。本方案对于所采用的算法,模型构建的方式,此处不加以限定,具体可根据实际需求而定。
再者,数据建模模块113所构建的数据分析模型,其通过调取相应的检测工具来对3大类的要素进行分析,包括流量信息、漏洞信息以及日志报警信息分析,得到当前网络层的数据量变化率、脆弱性数据、威胁与入侵数据、用户异常行为数据等。
本单元中的分析判断模块114,与数据建模模块113进行数据交互,用于根据数据建模模块113提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常、分析潜在的网络安全隐患。
这里在进行定性、定量分析时,可通过构建相应的定性、定量分析模型来完成对数据分析与综合;对于具体的分析模型,此处不加以限定,可根据实际需求而定。
作为替代方案,也可通过主观判断、逻辑推理等方式来完成对数据的定性、定量分析与综合。
通过相应的定性、定量分析,得到相应的网络特征,变化趋势等,并基于分析得到的结果来配合系统内部间的通信、读数据库、日志信息、网络流量等情况,来判断行为异常、分析潜在的网络安全隐患。
本防御系统中的网络安全态势理解单元120,用于网络安全态势感知单元110进行配合,对其形成的态势感知数据分析关联性,继而对攻击行为分析理解,形成网络安全态势理解数据。
如图1所示,其给出了网络安全态势理解单元120的一种构成示例方案。
本实例中的网络安全态势理解单元120主要由关联攻击分析模块121和攻击行为理解模块122相互配合构成。
这里的,关联攻击分析模块121以网络安全态势感知单元110形成的态势感知数据为输入,对态势感知数据分析数据关联性。
这里的针对态势感知数据所分析数据关联性,主要指对所有种类的数据属性、规则匹配、行为检测等进行分析,由确定这些信息之间的关联性。
作为举例,本关联攻击分析模块121在对势感知数据进行评估分析时,基于多源化的数据,对网络系统产生的安全事件、响应报告、历史数据等进行数据处理与事件关联,全方位的对网络系统产生的数据进行安全态势分析。由此能够实现与网络系统自身的防御进行联动,进行全方位分析。
本单元中的攻击行为理解模块122,其与关联攻击分析模块121数据交互,基于关联攻击分析模块121形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
具体的,本攻击行为理解模块122采用大数据分析方法来对关联攻击分析模块121形成的关联分析数据进行分析,进而实现网络态势评估、网络威胁评估和网络态势预测。
作为举例,这里的大数据分析方法包括但不限于关联分析、数据分类、归纳、行为检测、机器学习等大数据分析方式。
作为举例,本攻击行为理解模块122根据态势感知的静态或动态的网络安全配置要素,明确网络系统种存在的网络攻击行为及特征,通过分析数据的相关性,对攻击行为分析理解,确定攻击者的目标和意图,定位网络的脆弱点,制定系统防范策略,进行主动防御。由此能够进一步实现与网络系统自身的防御进行联动,进行全方位分析。
本系统中的网络安全态势映射单元130,其与网络安全态势理解单元120进行配合,针对网络安全态势理解单元120所形成的网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
如图1所示,其给出了网络安全态势映射单元130的一种构成示例方案。
由图可知,本网络安全态势映射单元130主要由态势评估模块131和量化预测模块132相互配合构成。
其中,态势评估模块131,其与网络安全态势理解单元120进行数据交互,基于网络安全态势理解单元120所形成的态势理解的数据进行分析融合,以进行网络威胁评估、安全评估,形成网络安全态势评估数据。
具体的,本态势评估模块131通过对多个层次、多个角度进行评估,以实现评估网络系统的业务安全、数据安全、基础设施安全和整体安全状况,并且能够针对不同的应用背景和不同的网络规模选择不同的评估方法。作为举例,可针对OODA模型、JDL模型、RPD模型形成网络安全态势评估数据。
本单元中的量化预测模块132与态势评估模块131以及网络专家决策系统进行数据交互,其基于BP神经网络结合蚁群算法来搭建态势评估预测模型,并通过该态势评估预测模型对所述态势评估模块形成的网络安全态势评估数据进行量化预测网络安全态势发展趋势。
本量化预测模块132还基于量化预测网络安全态势发展趋势结果来有预见性的启动网络专家决策系统,从而提高系统自适应的主动防御能力。
具体的,本方案在进行量化预测网络安全态势发展趋势时,将处理后的络安全态势评估数据作为BP神经网络的数据输入层,并不断训练更新神经网络的权值和阈值,结合蚁群算法快速寻优,由此来实现发展趋势的量化预测。
作为举例,在具体实现时,将络安全态势评估数据作为BP神经网络算法数据的输入量,搭建网络拓扑结构,初始化BP神经网络神经元数量、各层的权值和阈值等信息。
接着,初始蚁群算法参数,在BP神经网络的隐含层构造解空间,若任意一只蚂蚁选取该路径节点,通过遍历的集合中选择上一层在该路径点的权值、阈值;否则,选择另一路径点跳转。
蚂蚁跳转每一条路径中实时更新该路径的信息素浓度,当蚂蚁遍历完全部的路径集合后,判断输出的期望值是否在设定的误差范围内,如果符合将期望结果发送至BP神经网络进行学习;如果输出的期望值不在设定的误差范围内,累计加1次当前的遍历次数,并清空路径记录表,反复寻找系统的最优解。
当输出的最优解符合预期的目标函数后,将最优解发送至BP神经网络进行反复学习训练,获取最优数据的权值、阈值,计算与最优输出结果误差,直至满足算法终止条件。
由此形成的网络安全态势映射单元130,其在运行时,通过对态势理解的数据进行分析融合,将态势评估后的数据作为BP神经网络模型的输入数据,并通过蚁群算法去进一步搜寻数据的权重,即该数据影响最优结果的权重,找到最适合BP神经网络模型的初值,作为最优的数据源输入。BP神经网络模型基于相应的学习和记忆能力,对事件、数据源、日志数据等进行关联分析,评估网络的安全态势、脆弱性和网络潜在的威胁,综合评估网络系统存在的安全隐患,并上报给网络专家决策系统,由网络专家决策系统提供主动防御应急预案。
作为举例,本网络安全态势映射单元130进行网络系统感知映射时,可以实现搭建多领域的感知映射信息系统,包括人工智能、物联网、云计算和大数据等网络系统的安全态势分析,借助于本系统的技术手段实现对网络风险的检查和综合分析,并根据分析结果和专家系统给出的防御措施,评估当前网络的风险状态,及时采取主动防御措施。
具体的,本网络安全态势映射单元130首先通过态势评估模块131来对整个网络系统数据输出的结果进行的分析,据此可改进网络系统安全性;接着通过量化预测模块132中的BP神经网络结合蚁群算法去改进网络系统的评估方法,进一步提高网络系统安全预测的准确度,根据预测结果发送至专家决策系统,实现对网络系统的主动防御。
由此构成的网络安全态势感知自适应主动防御系统,其自适应网络、具有主动的学习和记忆能力、能够进行对网络存在的隐患进行预测,实现主动防御,同时能够对网络存在的安全隐患进行分析,预测未来网络安全状态的发展趋势,能够给出防范措施和应急响应方案,不断提高主动防御能力。
以下举例说明一下本网络安全态势感知自适应主动防御系统动态管理网络,对网络安全隐患存在的风险进行预警,实现对网络主动防御和自适应防御的过程。
参见图1,本网络安全态势感知自适应主动防御系统在对网络的动态管理,主动且预见性地对网络进行预警和防护时,分为三个阶段:态势感知、态势理解和态势映射。
阶段一:态势感知。
首先在网络安全态势感知阶段,本系统实时采集网络数据信息,对采集的网络数据进行分析处理,由此判断行为异常,形成对应的态势感知数据。
即通过分析整个网络系统安全行为状况,如分析拒绝服务攻击、勒索病毒、漏洞攻击、网络钓鱼等一系列的网络攻击行为,根据当前的网络运行状况,来判断网络是否遭受了攻击,继而来形成对应的态势感知数据。
该阶段进行网络安全态势感知时,首先,实时采集网络态势信息;这里的网络态势信息包含如资产业务数据、日志数据、网络流量、防火墙信息、漏洞信息及各种漏洞扫描设备信息等信息。
接着,对采集的网络态势信息进行分类与验证的预处理;这里具体可通过对数据分类、回归、聚类等数据处理方法,来实现对采集到的数据进行预处理。
接着,对经过预处理后的数据进行建模,提取数据特征并进行要素分析;这里的进行分析时,主要针对数据的特征、数据属性、数据数量、数据占比等等进行分析。
接着,根据提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常。这里通过分析,得到网络特征,变化趋势等数据信息,再结合网络系统内部间的通信、读数据库、日志信息、网络流量等情况,来判断行为异常。
阶段二:态势理解。
在态势理解阶段,本系统解归一化处理态势感知形成的态势感知数据,通过态势感知数据关联分析,对攻击行为分析理解,形成网络安全态势理解数据。
该阶段在具体实施时,首先对态势感知数据分析数据关联性;这里的数据关联性分析包括网络环境安全类、管理类、流量数据以及资产信息等多维度的数据分析,以实现全面评估网络风险。
接着,基于形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
阶段三:态势映射。
在态势映射阶段,本系统对网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
参见图2,本系统在进行网络安全态势量化预测时,首先,基于态势理解的数据进行网络威胁评估、安全评估,形成网络安全态势评估数据;
这里在进行评估时,通过对多个层次、多个角度进行评估,实现评估网络的业务安全、数据安全、基础设施安全和整体安全状况,并且针对不同的应用背景和不同的网络规模选择不同的评估方法。如OODA模型、JDL模型、RPD模型形成网络安全态势评估数据。
接着,将网络态势评估的数据,通过BP神经网络结合蚁群算法模型,进行综合分析处理,完成对网络安全态势评估、分析、推测,预测未来网络安全态势,驱动网络专家决策系统给出对应的应急处置措施,响应安全策略,主动防御。
本阶段中,将BP神经网络与蚁群算法结合,采用蚁群算法对网络权值进行整体寻优化,解决了BP神经网络模型容易陷入局部最优解的缺陷,能够找到符合系统的初值,增强了网络训练和系统安全的预测精度,保证了在网络系统在遭受攻击之前,能够准确判断潜在的风险。
同时,BP神经网络与蚁群算法具有强大的并行分布式计算能力,在不同时刻网络的安全态势彼此相关,算法具有全局寻优能力,分析网络系统内部的变化规律,有效预测可能发生的攻击行为等。
本阶段中,在态势评估数据经过算法处理后,本系统将数据形成数据日志,并进行保存,同时本系统根据算法处理后的数据,进行事件关联分析,预测潜在的网络安全系统存在的问题,将最终的处理结果上报网络专家决策系统。
与此同时,网络专家决策系统根据网络预测后的结果,进行网络安全系统内置的应急响应防御措施,给用户提供可采取的防范方式,下达安全处置策略至整个网络系统,主动对网络系统进行防护,并对应急事件进行量化评估,针对事件的响应能力逐步完善,保存日志数据,提高系统的自适应主动防御的能力。
最后需要指出的,上述本发明的方法,或特定系统单元、或其部份单元,为纯软件架构,可以透过程序代码布设于实体媒体,如硬盘、光盘片、或是任何电子装置(如智能型手机、计算机可读取的储存媒体),当机器加载程序代码且执行(如智能型手机加载且执行),机器成为用以实行本发明的装置。上述本发明的方法与装置亦可以程序代码型态透过一些传送媒体,如电缆、光纤、或是任何传输型态进行传送,当程序代码被机器(如智能型手机)接收、加载且执行,机器成为用以实行本发明的装置。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (13)
1.网络安全态势自适应主动防御系统,其特征在于,包括相互联动的网络安全态势感知单元、网络安全态势理解单元以及网络安全态势映射单元,
所述网络安全态势感知单元实时采集网络数据信息,基于采集到的信息进行分析处理,判断网络攻击行为异常,形成对应的态势感知数据;
所述网络安全态势理解单元对所述网络安全态势感知单元形成的态势感知数据分析关联性,对攻击行为分析理解,形成网络安全态势理解数据;
所述网络安全态势映射单元,对所述网络安全态势理解单元形成的网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
2.根据权利要求1所述的网络安全态势自适应主动防御系统,其特征在于,所述自适应主动防御系统还与网络专家决策系统联动,将量化的网络安全态势预测结果传至网络专家决策系统。
3.根据权利要求1所述的网络安全态势自适应主动防御系统,其特征在于,所述网络安全态势感知单元包括网络态势信息采集模块、数据预处理模块、数据建模模块以及分析判断模块;
所述网络态势信息采集模块实时采集网络态势信息,所述网络态势信息为能够表明当前网络状况的信息;
所述数据预处理模块对所述网络态势信息采集模块所采集的网络态势信息进行分类与验证的预处理;
所述数据建模模块对经过所述数据预处理模块处理后的数据进行建模,提取数据特征并进行要素分析;
所述分析判断模块根据所述数据建模模块提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常。
4.根据权利要求1所述的网络安全态势自适应主动防御系统,其特征在于,所述网络安全态势理解单元包括关联攻击分析模块和攻击行为理解模块,
所述关联攻击分析模块对态势感知数据分析数据关联性;
所述攻击行为理解模块基于所述关联攻击分析模块形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
5.根据权利要求4所述的网络安全态势自适应主动防御系统,其特征在于,所述攻击行为理解模块通过大数据分析方式进行分析,以进行网络态势评估、网络威胁评估和网络态势预测。
6.根据权利要求1所述的网络安全态势自适应主动防御系统,其特征在于,所述网络安全态势映射单元包括态势评估模块和量化预测模块,
所述态势评估模块基于态势理解的数据进行网络威胁评估、安全评估,形成网络安全态势评估数据;
所述量化预测模块基于BP神经网络结合蚁群算法对所述态势评估模块形成的网络安全态势评估数据进行量化预测网络安全态势发展趋势。
7.根据权利要求6所述的网络安全态势自适应主动防御系统,其特征在于,所述量化预测模块将网络安全态势评估数据作为BP神经网络的神经元输入,确定输入层节点个数和输出层节点个数,建立网络模型,生成样本数据库,并确定隐含层的节点个数,采用蚁群算法更新BP神经网络的权值、阈值。
8.网络安全态势自适应主动防御方法,其特征在于,包括:
实时采集网络数据信息,基于采集到的信息进行分析处理,判断网络攻击行为异常,形成对应的态势感知数据;
分析态势感知数据的关联性,对攻击行为分析理解,形成网络安全态势理解数据;
对网络安全态势理解数据进行分析融合,对网络安全态势进行评估,形成网络安全态势评估数据,再通过BP神经网络模型基于网络安全态势评估数据进行网络安全态势量化预测。
9.根据权利要求8所述的网络安全态势自适应主动防御方法,其特征在于,所述方法还包括根据量化预测的网络安全态势发展趋势结果与网络专家决策系统进行联动,形成主动防御措施的步骤。
10.根据权利要求8所述的网络安全态势自适应主动防御方法,其特征在于,所述方法在形成对应的态势感知数据时,包括:
实时采集网络态势信息,所述网络态势信息为能够表明当前网络状况的信息;
对采集的网络态势信息进行分类与验证的预处理;
对经过处理后的数据进行建模,提取数据特征并进行要素分析;
根据提取的数据特征以及要素分析的结果进行定性、定量分析,并依据分析的结果来判断行为异常。
11.根据权利要求8所述的网络安全态势自适应主动防御方法,其特征在于,所述方法在形成网络安全态势理解数据时,包括:
对态势感知数据分析数据关联性;
基于形成的关联分析数据,对攻击行为分析理解,识别攻击意图、攻击目标,以形成网络安全态势理解数据。
12.根据权利要求8所述的网络安全态势自适应主动防御方法,其特征在于,所述方法在进行网络安全态势量化预测时,包括:
基于态势理解的数据进行网络威胁评估、安全评估;
基于BP神经网络结合蚁群算法对网络安全态势评估数据进行量化预测网络安全态势发展趋势。
13.根据权利要求12所述的网络安全态势自适应主动防御方法,其特征在于,所述方法在量化预测网络安全态势发展趋势时,以网络安全态势评估数据作为BP神经网络的神经元输入,确定输入层节点个数和输出层节点个数,建立网络模型,生成样本数据库,并确定隐含层的节点个数,采用蚁群算法更新BP神经网络的权值、阈值。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111289950.7A CN113965404B (zh) | 2021-11-02 | 2021-11-02 | 一种网络安全态势自适应主动防御系统及方法 |
| PCT/CN2021/137767 WO2023077617A1 (zh) | 2021-11-02 | 2021-12-14 | 一种网络安全态势自适应主动防御系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111289950.7A CN113965404B (zh) | 2021-11-02 | 2021-11-02 | 一种网络安全态势自适应主动防御系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113965404A true CN113965404A (zh) | 2022-01-21 |
| CN113965404B CN113965404B (zh) | 2023-06-02 |
Family
ID=79468990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111289950.7A Active CN113965404B (zh) | 2021-11-02 | 2021-11-02 | 一种网络安全态势自适应主动防御系统及方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113965404B (zh) |
| WO (1) | WO2023077617A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001940A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种基于人工智能的关联性安全态势分析方法 |
| CN115189970A (zh) * | 2022-09-13 | 2022-10-14 | 珠海市鸿瑞信息技术股份有限公司 | 一种安全态势感知系统的网络安全分析系统及方法 |
| CN115296873A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种计算机网络安全控制器、介质、设备及终端 |
| CN115348067A (zh) * | 2022-08-09 | 2022-11-15 | 广东电力发展股份有限公司沙角A电厂 | 一种智能化网络安全检测系统及方法 |
| CN115664697A (zh) * | 2022-09-01 | 2023-01-31 | 国网河南省电力公司信息通信公司 | 一种多级级联的物联网态势感知系统 |
| CN116015903A (zh) * | 2022-12-29 | 2023-04-25 | 南京仁可科技有限公司 | 一种网络安全态势感知综合分析系统及其方法 |
| CN116192520A (zh) * | 2023-03-02 | 2023-05-30 | 湖北盈隆腾辉科技有限公司 | 一种基于大数据的安全通讯管理方法及系统 |
| CN116340749A (zh) * | 2023-02-10 | 2023-06-27 | 中建照明有限公司 | 一种基于大数据的建筑用能异常监测系统及方法 |
| CN116389148A (zh) * | 2023-04-14 | 2023-07-04 | 深圳市众云网有限公司 | 一种基于人工智能的网络安全态势预测系统 |
| CN117097569A (zh) * | 2023-10-19 | 2023-11-21 | 南京怡晟安全技术研究院有限公司 | 基于多节点关联性的网络安全态势诊断方法及系统 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116566729B (zh) * | 2023-06-15 | 2024-02-13 | 广州谦益科技有限公司 | 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质 |
| CN116471124B (zh) * | 2023-06-19 | 2023-11-21 | 国信金宏(成都)检验检测技术研究院有限责任公司 | 基于大数据信息进行分析的计算机网络安全预测系统 |
| CN116827658B (zh) * | 2023-07-17 | 2024-01-16 | 青岛启弘信息科技有限公司 | 一种ai智能应用安全态势感知预测系统及方法 |
| CN116668194B (zh) * | 2023-07-27 | 2023-10-10 | 北京弘明复兴信息技术有限公司 | 一种基于互联网集控平台的网络安全态势评估系统 |
| CN116886582B (zh) * | 2023-08-21 | 2024-01-30 | 扬州大自然网络信息有限公司 | 一种基于bp神经网络的网络安全测评记录方法及系统 |
| CN117040912B (zh) * | 2023-09-13 | 2024-01-05 | 湖南新生命网络科技有限公司 | 一种基于数据分析的网络安全运维管理方法及系统 |
| CN117014230A (zh) * | 2023-10-07 | 2023-11-07 | 天云融创数据科技(北京)有限公司 | 基于大数据的网络安全态势感知方法及系统 |
| CN117478363B (zh) * | 2023-10-11 | 2024-04-19 | 新疆能源(集团)哈密清洁能源有限责任公司 | 基于工业互联网态势感知的光伏电力网络安全监控系统及其方法 |
| CN117395166B (zh) * | 2023-12-11 | 2024-02-13 | 四海良田(天津)智能科技有限公司 | 基于物联网的智能农业管理平台 |
| CN117614741B (zh) * | 2024-01-18 | 2024-04-02 | 中诚华隆计算机技术有限公司 | 一种网络安全漏洞位置检测方法及系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110261710A1 (en) * | 2008-09-26 | 2011-10-27 | Nsfocus Information Technology (Beijing) Co., Ltd. | Analysis apparatus and method for abnormal network traffic |
| CN107122869A (zh) * | 2017-05-11 | 2017-09-01 | 中国人民解放军装备学院 | 网络态势的分析方法和装置 |
| CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
| CN110380897A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于改进bp神经网络的网络安全态势感知模型和方法 |
| CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
| CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
| CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN113486337A (zh) * | 2021-06-18 | 2021-10-08 | 北京电子科技学院 | 一种基于粒子群算法的网络安全态势要素识别系统和方法 |
-
2021
- 2021-11-02 CN CN202111289950.7A patent/CN113965404B/zh active Active
- 2021-12-14 WO PCT/CN2021/137767 patent/WO2023077617A1/zh unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110261710A1 (en) * | 2008-09-26 | 2011-10-27 | Nsfocus Information Technology (Beijing) Co., Ltd. | Analysis apparatus and method for abnormal network traffic |
| CN107122869A (zh) * | 2017-05-11 | 2017-09-01 | 中国人民解放军装备学院 | 网络态势的分析方法和装置 |
| CN108494810A (zh) * | 2018-06-11 | 2018-09-04 | 中国人民解放军战略支援部队信息工程大学 | 面向攻击的网络安全态势预测方法、装置及系统 |
| CN110381013A (zh) * | 2019-05-28 | 2019-10-25 | 三明学院 | 一种网络安全态势感控方法、装置、设备和存储介质 |
| CN110380897A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于改进bp神经网络的网络安全态势感知模型和方法 |
| CN110620759A (zh) * | 2019-07-15 | 2019-12-27 | 公安部第一研究所 | 基于多维关联的网络安全事件危害指数评估方法及其系统 |
| CN111628981A (zh) * | 2020-05-21 | 2020-09-04 | 公安部第三研究所 | 一种可与应用系统联动的网络安全系统及方法 |
| CN113486337A (zh) * | 2021-06-18 | 2021-10-08 | 北京电子科技学院 | 一种基于粒子群算法的网络安全态势要素识别系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 邓玉梅: "基于蚁群优化的BP神经网络目标威胁估计方法", 《电子科技》, no. 07, 15 July 2016 (2016-07-15), pages 1 - 4 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001940A (zh) * | 2022-05-27 | 2022-09-02 | 北京双湃智安科技有限公司 | 一种基于人工智能的关联性安全态势分析方法 |
| CN115296873A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种计算机网络安全控制器、介质、设备及终端 |
| CN115348067A (zh) * | 2022-08-09 | 2022-11-15 | 广东电力发展股份有限公司沙角A电厂 | 一种智能化网络安全检测系统及方法 |
| CN115664697A (zh) * | 2022-09-01 | 2023-01-31 | 国网河南省电力公司信息通信公司 | 一种多级级联的物联网态势感知系统 |
| CN115189970A (zh) * | 2022-09-13 | 2022-10-14 | 珠海市鸿瑞信息技术股份有限公司 | 一种安全态势感知系统的网络安全分析系统及方法 |
| CN116015903A (zh) * | 2022-12-29 | 2023-04-25 | 南京仁可科技有限公司 | 一种网络安全态势感知综合分析系统及其方法 |
| CN116340749A (zh) * | 2023-02-10 | 2023-06-27 | 中建照明有限公司 | 一种基于大数据的建筑用能异常监测系统及方法 |
| CN116192520A (zh) * | 2023-03-02 | 2023-05-30 | 湖北盈隆腾辉科技有限公司 | 一种基于大数据的安全通讯管理方法及系统 |
| CN116389148A (zh) * | 2023-04-14 | 2023-07-04 | 深圳市众云网有限公司 | 一种基于人工智能的网络安全态势预测系统 |
| CN116389148B (zh) * | 2023-04-14 | 2023-12-29 | 深圳市众云网有限公司 | 一种基于人工智能的网络安全态势预测系统 |
| CN117097569A (zh) * | 2023-10-19 | 2023-11-21 | 南京怡晟安全技术研究院有限公司 | 基于多节点关联性的网络安全态势诊断方法及系统 |
| CN117097569B (zh) * | 2023-10-19 | 2023-12-19 | 南京怡晟安全技术研究院有限公司 | 基于多节点关联性的网络安全态势诊断方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023077617A1 (zh) | 2023-05-11 |
| CN113965404B (zh) | 2023-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113965404B (zh) | 一种网络安全态势自适应主动防御系统及方法 | |
| CN109347801B (zh) | 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法 | |
| CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其系统 | |
| CN111641653A (zh) | 基于云平台的网络安全威胁态势感知系统 | |
| KR102091076B1 (ko) | 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 | |
| Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
| CN111641634B (zh) | 一种基于蜜网的工业控制网络主动防御系统及其方法 | |
| CN116662989B (zh) | 一种安全数据解析方法及系统 | |
| KR101692982B1 (ko) | 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템 | |
| US20230011004A1 (en) | Cyber security sandbox environment | |
| CN115996146A (zh) | 数控系统安全态势感知与分析系统、方法、设备及终端 | |
| Gonaygunta | Machine learning algorithms for detection of cyber threats using logistic regression | |
| CN115987615A (zh) | 一种网络行为安全预警方法及系统 | |
| Sharma et al. | Layered approach for intrusion detection using naïve Bayes classifier | |
| CN117220978B (zh) | 一种网络安全运营模型量化评估系统及评估方法 | |
| CN112287345B (zh) | 基于智能风险检测的可信边缘计算系统 | |
| CN116471124B (zh) | 基于大数据信息进行分析的计算机网络安全预测系统 | |
| Dalal et al. | Next-generation cyber attack prediction for IoT systems: leveraging multi-class SVM and optimized CHAID decision tree | |
| CN115659351B (zh) | 一种基于大数据办公的信息安全分析方法、系统及设备 | |
| CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
| CN113132414A (zh) | 一种多步攻击模式挖掘方法 | |
| CN115913769B (zh) | 基于人工智能的数据安全存储方法及系统 | |
| Sekhar et al. | Classification performance improvement by enhancing the detection accuracy of DDOS attacks over flash crowd using CROSS GAN (XGAN) | |
| Yin et al. | A network security situation assessment model based on BP neural network optimized by DS evidence theory | |
| Mokkapati et al. | Embedded Signal Artificial Neural Network Based Intelligent Non-Dependent Feature Selection for Cyber Attack Classification in Signal-Based Networks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |