CN113965448A - 基于ai搜索树的网络安全信息分析方法、装置及系统 - Google Patents
基于ai搜索树的网络安全信息分析方法、装置及系统 Download PDFInfo
- Publication number
- CN113965448A CN113965448A CN202111072440.4A CN202111072440A CN113965448A CN 113965448 A CN113965448 A CN 113965448A CN 202111072440 A CN202111072440 A CN 202111072440A CN 113965448 A CN113965448 A CN 113965448A
- Authority
- CN
- China
- Prior art keywords
- information
- alarm
- network
- keywords
- reason
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 31
- 230000007123 defense Effects 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims description 24
- 238000004140 cleaning Methods 0.000 claims description 11
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000000605 extraction Methods 0.000 claims description 4
- 238000003672 processing method Methods 0.000 abstract 1
- 238000013473 artificial intelligence Methods 0.000 description 31
- 238000007726 management method Methods 0.000 description 29
- 238000004891 communication Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 4
- 238000010219 correlation analysis Methods 0.000 description 3
- 238000013024 troubleshooting Methods 0.000 description 3
- 238000003745 diagnosis Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000010845 search algorithm Methods 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
- G06F16/9027—Trees
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/957—Browsing optimisation, e.g. caching or content distillation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/0636—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis based on a decision tree analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明提供了一种基于AI搜索树的网络安全信息分析方法、装置及系统,涉及网络安全技术领域。所述处理方法包括步骤:在告警事件发生时采集告警信息,基于告警信息中的告警原因信息,得到第一可能告警原因;采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息,分别提取关键词,并基于预设的AI搜索树进行组合,得到第二可能告警原因集;当第二可能告警原因集中包含第一可能告警原因时,获取与前述告警原因对应的防御方案后触发防御。本发明能够基于AI搜索树得到第二可能告警原因集,对比第一可能告警原因,获取最接近的可能告警原因并触发防御,从而提高告警原因分析的准确度,以保障网络稳定运行。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于AI搜索树的网络安全信息分析方法。
背景技术
告警信息管理是网络安全管理系统(简称网管系统)中重要的管理功能之一,当设备或链路产生故障时,网管运维人员可以通过网管系统中的告警信息快速定位故障点,帮助网管人员进行排查,管理和维护网络安全与稳定。
现有技术中,网管系统往往通过告警信息中显示的信息以及网管系统告警分析的结果来确定告警原因,进一步对故障进行处理。但是,告警又分为根源告警和衍生告警,针对告警又划分了不同的告警等级,由此可见实际的告警情形更为复杂,故仅从告警分析得到的诊断结果不足以保证前述告警分析得到的告警原因是唯一的、准确的,因此难以保证能够得到准确的告警原因。
为此,要提供一种基于AI搜索树的网络安全信息分析方法、装置及系统,能够对获得的告警原因进行进一步的分析验证,以解决仅从告警分析得到的诊断结果不足以保证得到准确的告警原因的情形,这也是当前亟需解决的技术问题。
发明内容
本发明的目的在于:克服现有技术的不足,提供一种基于AI搜索树的网络安全信息分析方法、装置及系统,本发明能够在告警事件发生时采集告警信息,基于告警信息中的告警原因信息,得到第一可能告警原因;采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息,分别提取关键词,并基于预设的AI搜索树组合前述关键词,得到第二可能告警原因集;当第二可能告警原因集中包含第一可能告警原因时,获取与前述告警原因对应的防御方案后触发防御。
为解决现有的技术问题,本发明提供了如下技术方案:
一种基于AI搜索树的网络安全信息分析方法,其特征在于该方法包括步骤,
在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
进一步,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
进一步,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索次数,分别对前述关键词的搜索次数设置对应AI搜索树的统计标签。
进一步,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索路径,设置基于AI搜索树的搜索路径标签,所述搜索路径包括对前述关键词实行最小单元的搜索和/或组合搜索。
进一步,对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
进一步,所述访问请求信息中包括请求访问前述网络节点的IP地址,获取前述IP地址的请求访问和/或请求操作的记录信息,并通过网管系统对前述IP地址进行轨迹追溯和/或轨迹安全分析。
进一步,针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
进一步,对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
一种基于AI搜索树的网络安全信息分析装置,其特征在于包括结构:
信息采集单元,用于在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
信息提取单元,用于针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
信息获取单元,用于基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
信息判断单元,用于判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
一种基于AI搜索树的网络安全信息分析系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:
在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
本发明由于采用以上技术方案,与现有技术相比,作为举例,具有以下的优点和积极效果:
第一方面,在告警事件发生时采集告警信息,基于告警信息中的告警原因信息,得到第一可能告警原因;采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息,分别提取关键词,并基于预设的AI搜索树组合前述关键词,得到第二可能告警原因集;当第二可能告警原因集中包含第一可能告警原因时,获取与前述告警原因对应的防御方案后触发防御。
第二方面,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索次数,分别对前述关键词的搜索次数设置对应AI搜索树的统计标签。
第三方面,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索路径,设置基于AI搜索树的搜索路径标签,所述搜索路径包括对前述关键词实行最小单元的搜索和/或组合搜索。
上述各个方面的优势在于,所述第一方面进行可能告警原因的分析,能够确保该方法得到的可能告警原因是最贴合实际告警事件的告警原因。所述第二方面和第三方面能够保证在基于预设的AI搜索树搜索关键词的过程中,能够以关键词的搜索次数和关键词搜索路径标签为主要的搜索依据,在保证搜索准确度的同时,缩短关键词搜索时间。
附图说明
图1为本发明实施例提供的流程图。
图2为本发明实施例提供的装置的结构示意图。
图3为本发明实施例提供的系统的结构示意图。
附图标记说明:
装置200,信息采集单元201,信息提取单元202;信息获取单元203,信息判断单元204;
系统300,网络节点301,网管系统302,系统服务器303。
具体实施方式
以下结合附图和具体实施例对本发明公开的一种基于AI搜索树的网络安全信息分析方法、装置及系统作进一步详细说明。应当注意的是,下述实施例中描述的技术特征或者技术特征的组合不应当被认为是孤立的,它们可以被相互组合从而达到更好的技术效果。在下述实施例的附图中,各附图所出现的相同标号代表相同的特征或者部件,可应用于不同实施例中。因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
需说明的是,本说明书所附图中所绘示的结构、比例、大小等,均仅用以配合说明书所揭示的内容,以供熟悉此技术的人士了解与阅读,并非用以限定发明可实施的限定条件,任何结构的修饰、比例关系的改变或大小的调整,在不影响发明所能产生的功效及所能达成的目的下,均应落在发明所揭示的技术内容所能涵盖的范围内。本发明的优选实施方式的范围包括另外的实现,其中可以不按所述的或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
实施例
参见图1所示,为本发明提供的一个流程图。所述方法的实施步骤S100如下:
S101,在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息。
在本实施例的优选实施方式中,所述告警是一种用于传递告警信息的事件报告,也叫告警事件,简称告警。它可以由生产厂商定义好,也可以由网管人员结合网络中的告警进行定义。在一次告警中,网管系统的监控单元视故障情况给出告警信号,系统每接收到一次的告警信号,代表一次告警事件的发生,并通过告警信息的形式进行故障描述,并在网管系统的告警信息管理中心显示告警信息。所述故障是网络中的设备产生告警的原因。
所述告警信息是对前述告警事件的描述,所述告警信息包括但不限制于有关故障设备名称、故障症状、发生部位、发生时间、发生原因等信息。
作为本实施例的优选实施方式之一,所述告警信息包括网络节点发生故障时,所述网络节点进行告警的根源告警信息和衍生告警信息。
需要说明的是,当一个网络节点和/或一条通信链路发生故障时,其故障可能会导致多个关联的网络节点和/或多条通信链路出现故障。在前述告警的过程中,前者引发的告警记作根源告警,后者产生的告警记作衍生告警。
还需要说明的是,针对所述告警信息的分析可以通过告警相关性分析方法实现分析。由于所述网络环境是由大量的网络节点和通信链路相互连接构成,因此,告警相关性分析方法对同一告警时间段内的告警进行相关性分析,进而能够从同一个时间段产生的告警数据中找到其根源告警。
在分析告警数据时,依据告警相关性分析方法过滤掉无效的冗余信息,分析网络告警之间的相关性,从而提取出根源告警。在去除冗余的告警信息基础上,确定根源故障和告警原因,可以提高分析处理告警信息的效率。
所述网络节点,是指处于网络环境中具有独立网络地址和数据处理功能的终端,所述的数据处理功能包括但不限于传送数据、接收数据和/或分析数据的功能。网络节点可以是工作站、客户、网络用户或个人计算机,也可以是服务器、打印机和其他网络连接的设备。整个网络环境中包括多个网络节点,这些网络节点通过通信线路连接,形成网络拓扑结构。所述通信线路可以是有线通信方式,也可以是无线通信方式。
所述网络节点的日志信息是指网络设备、系统及服务程序等,在运作时产生的事件记录,其中,每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。所述网络节点的日志信息包括但不限于连接持续的时间,协议类型,目标主机的网络服务类型,连接正常或错误的状态,从源主机到目标主机的数据字节数,从目标主机到源主机的数据字节数,错误分段的数量,加急包的个数等。
所述访问请求信息包括但不限于请求行、请求头部、请求数据,对所述访问请求信息进行实时的关联分析和路径追踪,以实现网络安全的动态分析。
所述网络环境信息涉及与网络环境相关的数据信息,所述网络环境信息可以是用户首次访问时间、用户访问次数、当前时间下用户的操作类型和控制用户的访问速率等。
S102,针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元。
在本发明的优选实施方式中,所述日志关键词、访问请求关键词和网络环境关键词可以分别设置对应的词库,即网络节点的日志词库、访问请求词库和网络环境词库。所述词库中的多个词可以预先设定,也可以从前述多个信息中提取得到。
所述关键词可以依据前述信息的属性类型对应的信息进行关键词提取。所述关键词均能够体现对应前述信息的核心特征。作为举例而非限制,所述日志关键词可以从时间、事件、节点名称、节点端口、节点IP等属性类型对应的信息中提取关键词;所述访问请求关键词可以从用户属性、请求头、请求行、请求体等属性类型对应的信息中提取关键词;所述网络环境关键词可以从服务器、网关、系统、局域网、广域网、城域网等属性类型对应的信息中提取关键词。
其中,在一种可选的实现方式中,为保障所述网络节点的日志关键词、网络环境关键词、访问请求关键词基于AI搜索树进行组合和实现分析的过程更为方便,从而提高前述关键词的识别效率和成功率,前述关键词可以不区分大小写。
S103,基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集。
所述AI搜索树是指基于现有技术中人工智能(Artificial Intelligence,简称AI)技术实现的树搜索算法,可以由前述关键词按照现有人工智能技术结合网络安全分析方法生成预设的AI搜索树。
在本实施例的优选实施方式中,可以生成针对第二可能告警原因集的AI搜索树,并分别组合前述关键词,得到第二可能告警原因集。
所述网络节点的日志关键词、网络环境关键词和访问请求关键词划分至一组,并基于预设的AI搜索树组合前述关键词,得到第二可能告警原因集,所述第二可能告警原因集中包括有通过分析网络节点的日志信息、网络环境信息和访问请求信息得到能够体现可能告警原因的关键词。
所述组合是指对前述提取的关键词进行组合,所述组合的方式包括简易组合和复杂组合。
所述简易组合是指当输入为关键词A、B、C和D时,经过合并、前述合并后的拆分等组合方式后,必然能够得到新的关键词E、F和G的操作,此时对应的关键词集合为{E,F,G}。
所述复杂组合是指当输入为关键词H、I、J和K时,经过映射、重组、推理和决策等多步操作后,获得新的关键词L、M和N的操作,此时对应的关键词集合为{L,M,N}。
S104,判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
优选的,所述告警包括紧急告警和非紧急告警;判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
所述紧急告警能够对告警中突然发生的异常数据进行报警,所述异常数据可以是异常操作、异常行为、异常数值等;优选的,所产生的紧急告警可以在网管系统基于告警数据进行分析后得出,并能够提供显示异常数据的指针;所述非紧急告警是指除紧急告警之外的其它告警情形,针对非紧急告警的情形,可以参照现有技术中针对非紧急告警的处理方案进行处置。
所述故障处理针对网络环境中出现的故障进行排查,包括步骤:观察、描述故障现象,收集可能产生故障原因的信息;分析故障的原因,并制定解决方案;逐一实施解决方案,记录故障排查过程,直至网络恢复正常。
优选的,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索次数,分别对前述关键词的搜索次数设置对应AI搜索树的统计标签。
优选的,统计所述日志关键词、网络环境关键词和访问请求关键词的搜索路径,设置基于AI搜索树的搜索路径标签,所述搜索路径包括对前述关键词实行最小单元的搜索和/或组合搜索。
需要说明的是,所述具有关键词搜索次数的统计标签与搜索路径标签是相互独立的概念,所述具有关键词搜索次数的统计标签是针对前述关键词进行设置,而所述搜索路径标签是针对前述关键词的搜索路径进行设置的。其优势在于:在基于预设的AI搜索树搜索关键词的过程中,能够以关键词的搜索次数和关键词搜索路径标签作为主要的搜索依据为依据,在保证搜索准确度的同时,缩短关键词搜索时间。
优选的,对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
所述数据清洗是对前述信息进行数据预处理的操作之一,在进行数据清洗时,能够滤除无效数据和/或是无用数据,将前述告警信息整理成便于进行分析的数据。
优选的,所述访问请求信息中包括请求访问前述网络节点的IP地址,获取前述IP地址的请求访问和/或请求操作的记录信息,并通过网管系统对前述IP地址进行轨迹追溯和/或轨迹安全分析。
所述IP地址可以是根据用户遵守的IP协议所提供的统一的地址格式,所述IP地址可以为处于网络环境中的每一个网络节点和用户提出访问申请的终端设备分配一个逻辑地址,以便于网管系统对用户的访问路径进行跟踪。
优选的,针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
在触发告警时,所述告警会显示针对触发告警的网络节点的端口信息,同时,对其他未触发告警的网络节点的端口的执行操作进行监控,能够确保网络安全的实时布控,使前述端口和/或IP网段在未触发告警时保持与其他网络节点的正常通信和稳定运行。
优选的,对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
其它技术特征参考在前实施例,在此不再赘述。
参见图2所示,本发明还给出了一个实施例,提供了一种基于AI搜索树的网络安全信息分析装置200,其特征在于包括结构:
信息采集单元201,用于在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
信息提取单元202,用于针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
信息获取单元203,用于基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
信息判断单元204,用于判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
此外,参见图3所示,本发明还给出了一个实施例,提供了一种基于AI搜索树的网络安全信息分析系统,其特征在于包括:
网络节点301,用于收发数据;
网管系统302,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器303,所述系统服务器303连接网络节点301和网管系统302;
所述系统服务器303被配置为:
在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
其它技术特征参见在前实施例,在此不再赘述。
在上面的描述中,在本公开内容的目标保护范围内,各组件可以以任意数目选择性地且操作性地进行合并。另外,像“包括”、“囊括”以及“具有”的术语应当默认被解释为包括性的或开放性的,而不是排他性的或封闭性,除非其被明确限定为相反的含义。所有技术、科技或其他方面的术语都符合本领域技术人员所理解的含义,除非其被限定为相反的含义。在词典里找到的公共术语应当在相关技术文档的背景下不被太理想化或太不实际地解释,除非本公开内容明确将其限定成那样。
虽然已出于说明的目的描述了本公开内容的示例方面,但是本领域技术人员应当意识到,上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明的优选实施方式的范围包括另外的实现,其中可以不按所述出现或讨论的顺序来执行功能。本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (10)
1.一种基于AI搜索树的网络安全信息分析方法,其特征在于该方法包括步骤,
在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
2.根据权利要求1所述的方法,其特征在于:所述告警包括紧急告警和非紧急告警;
判定为紧急告警时,对对应的网络节点进行安全防御,断开前述网络节点的网络访问,对网络节点所在的网络环境进行故障处理;
和/或,定期检测出现过告警的网络节点,将前述网络节点的日志信息发送至网管系统进行安全分析。
3.根据权利要求1所述的方法,其特征在于:统计所述日志关键词、网络环境关键词和访问请求关键词的搜索次数,分别对前述关键词的搜索次数设置对应AI搜索树的统计标签。
4.根据权利要求1所述的方法,其特征在于:统计所述日志关键词、网络环境关键词和访问请求关键词的搜索路径,设置基于AI搜索树的搜索路径标签,所述搜索路径包括对前述关键词实行最小单元的搜索和/或组合搜索。
5.根据权利要求1所述的方法,其特征在于:对前述采集的信息进行数据清洗,得到数据清洗后的数据信息,所述数据清洗后的数据信息包括告警时间、攻击源IP、攻击目的IP、告警名称、源端口以及目的端口。
6.根据权利要求1所述的方法,其特征在于:所述访问请求信息中包括请求访问前述网络节点的IP地址,获取前述IP地址的请求访问和/或请求操作的记录信息,并通过网管系统对前述IP地址进行轨迹追溯和/或轨迹安全分析。
7.根据权利要求1所述的方法,其特征在于:针对发生告警的网络节点,通过网管系统对前述网络节点中未触发告警的端口和/或IP网段进行监控,所述端口和/或IP网段采取多路复用方式进行通信。
8.根据权利要求1所述的方法,其特征在于:对所述网络节点中未触发告警的输入/输出端口进行数据监控,在网络环境信息发生异常变化时,通过网管系统对在前述网络节点的执行的操作进行标注和追溯。
9.一种基于AI搜索树的网络安全信息分析装置,其特征在于包括结构:
信息采集单元,用于在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
信息提取单元,用于针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
信息获取单元,用于基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
信息判断单元,用于判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
10.一种基于AI搜索树的网络安全信息分析系统,其特征在于包括:
网络节点,用于收发数据;
网管系统,定期检测出现过告警的网络节点,将前述网络节点的日志信息进行安全分析;
系统服务器,所述系统服务器连接网络节点和网管系统;
所述系统服务器被配置为:
在告警事件发生时采集告警信息,以及采集触发前述告警的网络节点的日志信息和访问请求信息,以及该网络节点所属网络系统的网络环境信息;
针对前述网络节点的日志信息、访问请求信息和网络环境信息分别提取关键词,依次包括日志关键词、访问请求关键词和网络环境关键词,上述关键词均是不可拆分的最小单元;
基于告警信息中的告警原因信息,得到第一可能告警原因;基于预设的AI搜索树组合前述日志关键词、访问请求关键词和网络环境关键词,得到第二可能告警原因集;
判断前述第二可能告警原因集中是否包含第一可能告警原因,判断包含第一可能告警原因时,将前述第一可能告警原因存储至告警原因集中,并基于预设的网络安全管理的数据库的防御方案,获取与前述告警原因对应的防御方案后触发防御。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111072440.4A CN113965448A (zh) | 2021-09-14 | 2021-09-14 | 基于ai搜索树的网络安全信息分析方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111072440.4A CN113965448A (zh) | 2021-09-14 | 2021-09-14 | 基于ai搜索树的网络安全信息分析方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113965448A true CN113965448A (zh) | 2022-01-21 |
Family
ID=79461563
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111072440.4A Pending CN113965448A (zh) | 2021-09-14 | 2021-09-14 | 基于ai搜索树的网络安全信息分析方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113965448A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107451040A (zh) * | 2017-07-07 | 2017-12-08 | 深信服科技股份有限公司 | 故障原因的定位方法、装置及计算机可读存储介质 |
CN107544462A (zh) * | 2017-09-07 | 2018-01-05 | 新疆金风科技股份有限公司 | 用于诊断风力发电机组的故障的方法及系统 |
CN109151867A (zh) * | 2017-06-15 | 2019-01-04 | 中兴通讯股份有限公司 | 一种告警分析方法、装置及基站 |
CN111722984A (zh) * | 2020-06-23 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 告警数据处理方法、装置、设备及计算机存储介质 |
-
2021
- 2021-09-14 CN CN202111072440.4A patent/CN113965448A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109151867A (zh) * | 2017-06-15 | 2019-01-04 | 中兴通讯股份有限公司 | 一种告警分析方法、装置及基站 |
CN107451040A (zh) * | 2017-07-07 | 2017-12-08 | 深信服科技股份有限公司 | 故障原因的定位方法、装置及计算机可读存储介质 |
CN107544462A (zh) * | 2017-09-07 | 2018-01-05 | 新疆金风科技股份有限公司 | 用于诊断风力发电机组的故障的方法及系统 |
CN111722984A (zh) * | 2020-06-23 | 2020-09-29 | 深圳前海微众银行股份有限公司 | 告警数据处理方法、装置、设备及计算机存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1279211B1 (en) | Topology-based reasoning apparatus for root-cause analysis of network faults | |
CN107229556A (zh) | 基于elastic组件的日志分析系统 | |
US8245079B2 (en) | Correlation of network alarm messages based on alarm time | |
CN108964995A (zh) | 基于时间轴事件的日志关联分析方法 | |
CN111930592A (zh) | 一种实时检测日志序列异常的方法和系统 | |
JP2021141582A (ja) | 障害回復方法および障害回復装置、ならびに記憶媒体 | |
CN109462490B (zh) | 视频监控系统及故障分析方法 | |
WO2006117833A1 (ja) | 監視シミュレーション装置,方法およびそのプログラム | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
CN113438110B (zh) | 一种集群性能的评价方法、装置、设备及存储介质 | |
CN108234161A (zh) | 用于线上线下多层网络架构的通路检测方法及系统 | |
CN108809734A (zh) | 网络告警根源分析方法、系统、存储介质及计算机设备 | |
CN103905219A (zh) | 一种业务平台中通信信息的监控存储系统及方法 | |
CN114124655A (zh) | 网络监控方法、系统、装置、计算机设备和存储介质 | |
CN113987001A (zh) | 轨道交通信号系统故障分析方法、装置及电子设备 | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
CN117081906A (zh) | 一种电力设备故障监测系统、方法及存储介质 | |
CN110609761B (zh) | 确定故障源的方法、装置、存储介质和电子设备 | |
CN115333967B (zh) | 数据上报方法、系统、设备及存储介质 | |
CN113965448A (zh) | 基于ai搜索树的网络安全信息分析方法、装置及系统 | |
CN116881100A (zh) | 日志检测方法、日志告警方法、系统、设备及存储介质 | |
KR102332727B1 (ko) | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 | |
CN111988172B (zh) | 一种网络信息管理平台、装置及安全管理方法 | |
WO2021249629A1 (en) | Device and method for monitoring communication networks | |
CN117312098B (zh) | 一种日志异常告警方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |