CN114362994B - 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 - Google Patents
多层异粒度智能聚合铁路系统运行行为安全风险识别方法 Download PDFInfo
- Publication number
- CN114362994B CN114362994B CN202111418689.6A CN202111418689A CN114362994B CN 114362994 B CN114362994 B CN 114362994B CN 202111418689 A CN202111418689 A CN 202111418689A CN 114362994 B CN114362994 B CN 114362994B
- Authority
- CN
- China
- Prior art keywords
- logs
- attack
- network
- aggregation
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施属于铁路信息系统安全技术领域,具体涉及多层异粒度智能聚合铁路系统运行行为安全风险识别方法。该方法主要包括:首先利用静态阈值对设备性能数据进行判断,筛选出异常的性能项目,由异常的性能项目分别基于网络攻击聚合规则和网络拓扑聚合规则得到需要聚合分析的多源日志数据集合并且给每条日志设置好相应的网络攻击权重q,将它们依次作为现有神经网络的输入,并且对相应的输出结果进行加权平均化处理,得到风险等级预测数值,该值越大,当前系统面临的网络安全风险就越大。本发明使用了关联规则与深度学习技术相结合的方式,综合考虑了多方面因素,达到了比传统方法更高的效率。
Description
技术领域
本发明属于铁路信息系统安全技术领域,具体涉及一种多层异粒度智能聚合铁路系统运行行为安全风险识别方法。
背景技术
铁路信息系统运维的主要功能是为确保铁路信息系统安全稳定地运行提供技术支撑和保障,铁路信息系统的运维工作日常监控对象主要包括机房环境,网络设备,安全设备,服务器,存储介质等基础设施,以及一些包含操作系统,数据库,中间件等业务系统的支撑层。目前我国已形成较为完善的运维标准规范以对运维工作进行有效的指导。经过多年的发展与探索,国铁集团、路局、站段三级运维体系建设取得了一定的成效,但是仍然在很多方面存在不足,特别是在网络安全方面。比如,现有的运维体系难以满足数据中心的大规模运维需求,安全风险检测与识别的自动化程度需要进一步提高。
日志是指系统所指定对象的一些操作以及其操作的结果根据时间顺序排列而成的有序集合,其中每条日志记录都是对一次独立系统事件的描述,它由一个日志ID唯一标识,多条日志记录组成了一个日志文件。防火墙装置,路由器,交换机,Web服务器,应用程序,数据库这些常用的网络设备,安全设备,软件系统都具有对日志记录的存储功能。日志文件中的记录可用于监控系统资源,审计用户行为,进行可疑行为告警,确定入侵范围,恢复系统,生成调查报告。
深度学习是机器学习领域中一个新的研究方向。机器学习根据方法主要可以分为监督学习和无监督学习。监督学习主要由分类问题和回归问题组成,无监督学习主要由聚类和关联分析组成,深度学习则属于监督学习中的一种。深度学习主要学习的是样本数据内在的规律和表示层次,它的最终目标是让机器像人一样能够识别文字,图像,声音等各种形式的数据,具有学习和分析的能力。深度学习不需要人工进行特征提取,而是自动地完成对数据的筛选,自动提取高维数据特征。深度学习与传统机器学习中一般的监督学习方法相比,少了特征工程,节约了工程师大量的时间。最新的深度学习算法借助于GPU的并行架构完成大量的矩阵和卷积操作,远远超越了传统机器学习算法对于数据的预测和分类精度,被广泛应用于个性化推荐,数据分析,自然语言处理等多个领域中。
当前已有一些技术实现了对多源日志数据的综合分析,但是这些技术对多源日志进行聚合分析时主要使用将所有获取到的日志一起进行模糊聚类的方法来对日志告警严重程度的级别进行一定程度的划分,这会导致进行聚类的日志数据量巨大,计算代价大,效率低,同时这些工作也没有强调对告警风险级别粒度的粗细差异进行一定程度的区分。
因此,提出一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法具有十分重要的现实意义。
发明内容
本发明的实施例提供了一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,以对铁路系统运行行为的安全风险进行高效,快速的识别。
为了实现上述目的,本发明采取的技术方案是:
一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,包括以下步骤:
步骤1、从铁路信息系统中获取网络设备和安全设备的平均性能统计数据作为静态阈值,利用静态阈值对网络设备和安全设备的性能数据进行检测,筛选出大于静态阈值的设备性能项目,作为异常设备性能项目。
步骤2、由步骤1中得到的异常设备性能项目,基于网络攻击聚合规则判断网络攻击的类型,得到用于进一步分析的日志数据集合,根据网络攻击的类型为所得日志数据集合中的每条日志数据设置网络攻击权重q;
步骤3、根据步骤1中得到的异常设备性能项目,基于网络拓扑聚合规则得到用于进一步分析的日志数据集合,并给日志集合中每条日志设置网络攻击权重q,每条日志的网络攻击权重q都设置为固定值1。
步骤4、将步骤2基于网络攻击的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out1;
将步骤3基于网络拓扑的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out2。
步骤5、设置设备权重向量λ和方案权重向量μ,根据设备权重向量λ和方案权重向量μ对out1和out2进行加权平均化处理,得到风险等级预测数值pred。
步骤6、对风险等级预测数值pred进行判断,得到风险等级。
在上述方案的基础上,步骤1所述静态阈值基于网络设备和安全设备过去30天的平均性能数据统计数据得到,用于表示网络设备和安全设备在正常工作的状态下每种性能指标的平均数值。
在上述方案的基础上,步骤1所述网络设备包括:交换机、路由器、Web服务器、DNS服务器;所述安全设备用于提供日志数据,具体包括:防火墙装置和入侵检测装置;
所述设备性能项目包括:防火墙装置CPU占用率、路由器CPU占用率、交换机CPU占用率、Web服务器CPU占用率,路由器Ping状态、Web服务器Ping状态、DNS服务器Ping状态,防火墙装置温度信息和防火墙装置端口状态;
在上述方案的基础上,步骤2所述网络攻击聚合规则包括以下几类,出现任意一种攻击类型则表示存在攻击行为:
当出现路由器Ping状态异常和Web服务器CPU占用率高时;攻击类型为蠕虫病,需要聚合分析的日志包括:路由器日志、交换机日志和Web服务器操作系统日志;
当出现防火墙装置温度过高、防火墙装置端口状态异常和Web服务器CPU占用率高时;攻击类型为木马攻击,需要聚合分析的日志包括:防火墙装置日志和Web服务器操作系统日志;
当防火墙装置、路由器、交换机、Web服务器中任意一种设备出现CPU占用率高时;攻击类型为DoS攻击/DDoS攻击;需要聚合分析的日志包括:防火墙装置日志,路由器日志,交换机日志和Web服务器操作系统日志;
当出现Web服务器CPU占用率高和Web服务器Ping状态异常时,攻击类型为CC攻击;需要聚合分析的日志包括:防火墙装置日志,路由器日志,交换机日志和Web服务器操作系统日志;
当出现DNS服务器的Ping状态异常时;攻击类型为网络监听;需要聚合分析的日志包括:路由器日志、交换机日志和Web服务器操作系统日志;
在上述方案的基础上,步骤2所述的网络攻击权重q由网络攻击的潜在危害程度决定,q的数值越大,说明该种网络攻击对当前系统的危害性越大;其中,q是一个正整数;蠕虫病毒的网络攻击权重q值为1,木马攻击的网络攻击权重q值为2,DoS攻击/DDoS攻击的网络攻击权重q值为3,CC攻击的网络攻击权重q值为4,网络监听攻击的网络攻击权重q值为5。
网络攻击权重q值用于在步骤4中将神经网络输出的异常日志理论数量计为实际数量的q倍;
在上述方案的基础上,步骤3所述的网络拓扑聚合规则包括:
当出现交换机CPU占用率高时,需要聚合分析的日志包括:路由器日志、交换机日志、DNS服务器日志和Web服务器操作系统日志;
当出现路由器CPU占用率高时,需要聚合分析的日志包括:防火墙装置日志、路由器日志和交换机日志;
当出现防火墙装置CPU占用率高时,需要聚合分析的日志包括:防火墙装置日志和路由器日志;
在上述方案的基础上,步骤4所述的神经网络模型用于对输入的日志数据集合进行分析,判断出每种软件和硬件具有的异常日志条数,并且在考虑每条日志的网络攻击权重q之后汇总为向量的形式进行输出,所述硬件包括:网络设备和安全设备。
在上述方案的基础上,步骤5所述设备权重向量λ由人工经验得出,它表示了应用本方案的系统中各种软件和硬件的日志所具有的不同重要程度。
所述方案权重向量μ由人工经验结合历史记录得出,它表示了针对于应用本方案的特定系统,基于常见网络攻击行为特征的聚合规则和基于网络拓扑的聚合规则在衡量系统风险时所具有的不同重要程度。
在上述方案的基础上,步骤5所述加权平均化处理的具体计算方法为:
pred=μ1*(out1*λ)+μ2*(out2*λ) (1)
其中,pred表示风险等级预测数值,λ表示设备权重向量,μ1表示基于常见网络攻击行为特征的聚合规则在衡量本系统风险时的方案权重,μ2表示基于网络拓扑的聚合规则在衡量本系统风险时的方案权重,μ1+μ2=1。
在上述方案的基础上,步骤6具体包括:如果当前pred值小于等于过去30天平均pred值的10%则认为无风险,如果高于过去30天平均pred值的10%则认为存在低级别风险,若高于过去30天平均pred值的20%则认为存在中等级别风险,若高于过去30天平均pred值的50%则认为存在高级别风险。
当前风险等级预测数值pred与过去30天的平均风险等级预测值差距越大,说明当前系统所面临的网络安全风险越大,相应地,应该迅速采取防范措施,减少或避免相关损失。因此,pred的数值对于判断当前系统中存在的网络安全威胁严重程度具有十分重要的参考意义,有经验的运维工程师可以根据pred的数值快速地制定防御策略,以维护系统稳定运行。
本发明的有益效果:
本方法通过使用基于关联规则和基于神经网络模型相结合的方式,实现了多层次异粒度的智能聚合以进行安全风险识别,克服了单一使用关联规则的方法对人工经验的依赖,也弥补了单一使用神经网络模型的方法数据量巨大,计算成本高,效率低下的不足,本发明提出的安全风险识别方法先对神经网络要进行处理的日志数据通过关联规则进行一定程度的筛选,减少了数据量,提高了效率,层次特征明显。
附图说明
本发明有如下附图:
图1本发明的流程示意图一。
图2本发明的流程示意图二。
具体实施方式
以下结合附图1~2对本发明作进一步详细说明。
下面详细描述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样定义,不会用理想化或过于正式的含义来解释。
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
本发明实施例设计了一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,可以充分利用关联规则与深度神经网络模型的优势,弥补各自的不足,从而达到比单一依赖于关联规则或者深度神经网络模型训练更高的效率和更全面准确的评估效果。
本发明实施例提供的一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法处理流程如附图所示,包括如下的处理步骤:
步骤S1收集铁路信息系统的设备性能数据,设置静态阈值,进行粗粒度风险评估。
本发明选择采用层次化的方案设计,在第一层的实施过程中,首先根据应用本方案的铁路信息系统过去30天的平均性能数据建立用于判断各网络设备,安全设备性能数据指标是否异常的静态阈值。例如,系统在过去30天正常运行时路由器的CPU平均占用率为60%,则当路由器的CPU占用率达到90%时,可判断为路由器CPU占用率过高。根据静态阈值对来源于多个网络设备,安全设备的性能数据进行筛选,作为第二层实施过程中的依据,确定需要进行聚合分析的日志数据集合。
同时,由于第一层实施过程是建立在粗粒度风险级别判断的原则上,如果各项设备性能均符合预先设立的静态阈值范围,则很大概率上此系统当前不存在安全风险,这种情况下可以认为当前系统没有潜在的网络攻击威胁,而无需进行第二层次的日志数据聚合分析,以节约系统资源,提高效率。如果设备性能数据有一种或几种不在正常阈值范围内,则需要进入下面的聚合分析阶段。
步骤S2根据常见的网络攻击类型选择出可聚合分析的多源日志数据集合。
如果在S1阶段存在判断结果为异常的设备性能数据,则在确定了各个异常的性能项目之后,根据网络空间安全理论知识结合历史记录中铁路信息系统高频遇到的网络攻击类型,选取符合相应网络攻击行为特征的几种日志数据集合作为后面神经网络模型的输入。
假设在铁路信息系统的历史记录中,蠕虫病毒,木马攻击,DoS/DDoS攻击,所述DoS/DDoS攻击表示拒绝服务/分布式拒绝服务攻击,CC攻击,所述CC攻击表示挑战黑洞攻击,网络监听这五种类型的攻击发生的频率最高,表1以上述五种攻击类型为例说明了基于网络攻击规则聚合的一般性方法。
对于蠕虫病毒,由于蠕虫病毒会消耗内存和网络带宽,造成网络拥塞,同时导致服务器运行缓慢,因此当步骤S1的判断结果中出现路由器Ping状态异常,Web服务器CPU占用率高等状态时,需要考虑系统感染了蠕虫病毒,在此阶段需要聚合来源于路由器,交换机,Web服务器操作系统这三种不同类型的软硬件日志。
对于木马攻击,由于在攻击过程中,远程的木马客户端要和潜伏在被攻击机中的服务端建立网络通信链路,不断地发送数据包,占用被攻击机的系统资源,导致其CPU繁忙,同时木马会对防火墙装置的功能进行破坏,因此当S1阶段的判断结果中防火墙装置温度高于过去30天温度平均值,则防火墙装置端口状态异常,Web服务器的CPU占用率高等状态时,需要考虑系统遭受了木马攻击,在此阶段需要聚合来源于防火墙装置,Web服务器操作系统这两种不同类型的软硬件日志。
对于DoS/DDoS攻击,其发生时攻击者利用大量的攻击数据包对当前网络中的带宽或者是系统资源造成极大的消耗,因此当DoS/DDoS攻击发生时,将会造成当前系统中防火墙装置,路由器,交换机这些网络设备或安全设备中的一种或几种以及Web服务器出现CPU(即中央处理器)占用率过高的情况。则当S1阶段防火墙装置、路由器、交换机、Web服务器中任意设备的CPU占用率超过正常阈值范围时,需要考虑发生DoS/DDoS攻击的可能性,结合DoS/DDoS攻击的行为特征,在此阶段需要聚合来源于防火墙装置,路由器,交换机,Web服务器操作系统这四种不同类型的软硬件日志。
对于CC攻击,它属于DDoS攻击的一种,但是其主要针对于Web服务器,对Web服务器具有更大的危害性,因此单独列出。当S1阶段的判断结果中出现Web服务器CPU占用率高于正常阈值范围,Web服务器Ping状态异常等时,需要考虑系统遭受了CC攻击,在此阶段需要聚合来源于防火墙装置,路由器,交换机和Web服务器操作系统这四种不同类型的软硬件日志。
对于网络监听,由于许多网络监听软件都会进行地址反向解析,这就使得DNS系统中的解析请求会明显增多,系统繁忙,则当S1阶段检测出DNS服务器的Ping状态异常时,需要考虑当前网络中存在网络监听,在此阶段需要聚合来源于路由器,交换机,Web服务器操作系统这三种不同类型的软硬件日志。
基于常见网络攻击的聚合规则在表1中说明,需要注意表1列出的常见网络攻击类型在实际应用中可能会有所不同,下面仅是为了方法说明而列举的示例。
表1.基于常见网络攻击的聚合规则
由于不同类型的网络攻击对系统造成的危害严重程度是不同的,事先根据历史统计数据和人工经验为信息系统常见的每种攻击类型设置权重,权重由一个正整数q来表示,它将被附加在相应需要聚合分析的每条日志上,q的初始默认值是1。危害程度越大,q的数值就越大。例如,对于应用此方法的具体系统来说,DoS/DDoS攻击的破坏性大于网络监听,则由DoS/DDoS攻击而确定的日志数据集合中各日志的网络攻击权重q的数值将大于由网络监听而确定的日志数据集合中各日志q。
根据常见的网络攻击类型所确定的日志数据集合将作为后面流程中神经网络模型的输入,其中每条日志的网络攻击权重q将用于使神经网络判断为异常的日志条数相应地扩大为q倍。
步骤S3根据网络拓扑选择出可聚合分析的多源日志数据集合。
为了使日志数据聚合的依据更全面,在S2阶段之后,进行此阶段以根据系统采用的网络拓扑架构选取出相应关联的软硬件日志数据集合,以便于后面再次利用神经网络模型来计算,综合多因素进行分析。由于在不同的应用环境中,网络拓扑架构是不同的,下面仅是以一种网络拓扑架构为例子说明方法,具体应用时应根据实际采用的网络拓扑架构情况有所调整。
假设一种拓扑架构由外向内依次为:防火墙装置,路由器,交换机,其中交换机可以根据信息系统规模的大小设置多台。以交换机为中心形成星型网络,连接多台Web服务器,同时中心交换机还需要连接DNS服务器和负载均衡器。如果网络拓扑图中的一种/几种设备性能数据在S1阶段被判断为异常状态,则根据它/它们在网络拓扑图中所处的位置,结合网络数据包传播的方向,数据包在经过它/它们之前到达的最后一个节点与从它/它们离开时要经过的下一个节点相应的软硬件日志极有可能会记录一些异常行为信息。
表2以网络拓扑中几种设备的CPU占用率高为例说明此聚合规则的应用方法,需要注意实际应用时应根据具体系统的异常性能项目和网络拓扑来确定需要聚合分析的日志,表2仅是为了方法说明而列举的示例,不能适用于所有情况。
表2.基于网络拓扑的聚合规则
根据系统的网络拓扑所确定的日志数据集合将作为后面流程中第二次利用神经网络模型进行计算时的输入,基于网络拓扑的聚合规则确定的日志数据与网络攻击无关,但是为了保持计算方法上的一致性,在这里给基于网络拓扑的聚合规则所确定出的每条日志数据都同样设置一个网络攻击权重q,其值为默认值1。
步骤S4由现有神经网络模型分别对S2和S3阶段得到的多源日志数据集合进行进一步的分析。
此阶段使用预先训练好的深度神经网络模型对多源日志数据进行细粒度的聚合分析。
由于我们的工作主要是一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法的设计,神经网络模型不是我们关注的重点,因此这里对于神经网络模型不作过多描述。
此阶段先后使用神经网络模型完成两次计算,第一次计算时神经网络的输入是步骤S2得到的多源日志数据集合,第二次计算时神经网络的输入是步骤S3得到的多源日志数据集合。神经网络模型先是判断出各种不同的软件、硬件各自具有的每条异常日志,再根据每条异常日志的网络攻击权重q将这一条异常日志的理论数量计为q条,接下来,对于同一种软件、硬件的异常日志,将每条异常日志的理论数量进行求和,所得之和便是此种软/硬件异常日志的理论数量。
最终,神经网络每次计算之后的输出是一个向量,向量中的每个元素均代表一种特定软/硬件的异常日志理论数量。第一次利用神经网络进行计算得到的输出结果记为out1,第二次利用神经网络进行计算得到的输出结果记为out2。
步骤S5对深度神经网络的输出结果进行数据处理。
根据人工经验和铁路信息系统历史数据,分别设置好设备权重向量λ和方案权重向量μ。
其中,λ=(λ1,λ2……λn),向量λ中的每一个元素λi表示对于应用此方法的具体系统,由每种软件、硬件日志在判别网络攻击时的重要性所确定的设备权重,满足λi∈(0,1),并且各元素相加得到的和为1。例如,由于防火墙装置具有隔离内部网络和外部网络的作用,是入侵流量面对的第一道关,因此可以认为防火墙装置日志在判别网络攻击时的重要性要大于交换机日志,则可以设置防火墙装置日志的设备权重为0.3,而设置交换机日志的设备权重为0.1。
由于步骤S2和步骤S3分别是以两种不同聚合思路为依据的方案,因此引入方案权重向量μ,μ=(μ1,μ2),μ1是以常见网络攻击类型为依据的聚合规则所占的权重,μ2是以网络拓扑架构为依据的聚合规则所占的权重,并且满足μ1+μ2=1。
使用下面的公式对步骤S4得到的输出结果out1和out2进行加权平均处理,最终得到风险等级预测数值pred。
pred=μ1*(out1*λ)+μ2*(out2*λ)
由前面的处理过程可以看出,风险等级预测数值pred综合考虑了多方面因素,包括常见的网络攻击,具体系统的网络拓扑,不同种类网络攻击的危害程度,不同种类软/硬件日志在网络安全领域的重要性,同时也考虑了基于网络攻击和基于网络拓扑两种不同的聚合规则时各自分别的重要程度。这些因素均体现在了前面的计算过程以及权重的设置上。pred的数值越大,说明系统当前面临的网络安全风险越严重。有经验的运维工程师完全可以根据pred的数值大小来迅速地采取措施防范网络攻击,减少或避免损失,以及灵活调整当前系统的安全策略,以保证系统持续安全,稳定地运行。
综上所述,本发明实施例的多层异粒度智能聚合铁路系统运行行为安全风险识别方法通过使用基于关联规则与深度神经网络模型相结合的方式,弥补了单一基于规则进行判断时缺乏灵活性的不足,也弥补了单一基于深度学习方法进行预测的方式所面临的日志数据量巨大,效率低下,计算代价大的不足,在实用性和有效性方面达到了比现有相关技术方案更理想的效果。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
Claims (8)
1.一种多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,包括以下步骤:
步骤1、从铁路信息系统中获取网络设备和安全设备的平均性能统计数据作为静态阈值,利用静态阈值对网络设备和安全设备的性能数据进行检测,筛选出大于静态阈值的设备性能项目,作为异常设备性能项目;
步骤2、由步骤1中得到的异常设备性能项目,基于网络攻击聚合规则判断网络攻击的类型,得到用于进一步分析的日志数据集合,根据网络攻击的类型为所得日志数据集合中的每条日志数据设置网络攻击权重q;
步骤3、根据步骤1中得到的异常设备性能项目,基于网络拓扑聚合规则得到用于进一步分析的日志数据集合,并给日志集合中每条日志设置网络攻击权重q,每条日志的网络攻击权重q都设置为固定值1;
步骤4、将步骤2基于网络攻击的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out1;
将步骤3基于网络拓扑的聚合规则所得出的日志数据集合作为神经网络模型的输入,利用现有神经网络模型进行分析,神经网络的输出记为out2;
步骤5、设置设备权重向量λ和方案权重向量μ,根据设备权重向量λ对out1和out2进行加权平均化处理,得到风险等级预测数值pred;
所述步骤5的所述加权平均化处理的具体计算方法为:
pred=μ1*(out1*λ)+μ2*(out2*λ) (1)
其中,pred表示风险等级预测数值,λ表示设备权重向量,μ1表示基于常见网络攻击行为特征的聚合规则在衡量本系统风险时的方案权重,μ2表示基于网络拓扑的聚合规则在衡量本系统风险时的方案权重,μ1+μ2=1;
步骤6、对风险等级预测数值pred进行判断,得到风险等级;
所述步骤6具体包括:如果当前pred值小于等于过去30天平均pred值的10%则认为无风险,如果高于过去30天平均pred值的10%则认为存在低级别风险,若高于过去30天平均pred值的20%则认为存在中等级别风险,若高于过去30天平均pred值的50%则认为存在高级别风险。
2.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤1所述静态阈值基于网络设备和安全设备过去30天的平均性能数据统计数据得到,用于表示网络设备和安全设备在正常工作的状态下每种性能指标的平均数值。
3.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,所述网络设备包括:交换机、路由器、Web服务器、DNS服务器;所述安全设备用于提供日志数据,具体包括:防火墙装置和入侵检测装置;
所述设备性能项目包括:防火墙装置CPU占用率、路由器CPU占用率、交换机CPU占用率、Web服务器CPU占用率,路由器Ping状态、Web服务器Ping状态、DNS服务器Ping状态,防火墙装置温度信息和防火墙装置端口状态。
4.如权利要求3所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤2所述网络攻击聚合规则包括以下几类,出现任意一种攻击类型则表示存在攻击行为:
当出现路由器Ping状态异常和Web服务器CPU占用率高时;攻击类型为蠕虫病,需要聚合分析的日志包括:路由器日志、交换机日志和Web服务器操作系统日志;
当出现防火墙装置温度过高、防火墙装置端口状态异常和Web服务器CPU占用率高时;攻击类型为木马攻击,需要聚合分析的日志包括:防火墙装置日志和Web服务器操作系统日志;
当防火墙装置、路由器、交换机、Web服务器中任意一种设备出现CPU占用率高时;攻击类型为DoS攻击/DDoS攻击;需要聚合分析的日志包括:防火墙装置日志,路由器日志,交换机日志和Web服务器操作系统日志;
当出现Web服务器CPU占用率高和Web服务器Ping状态异常时,攻击类型为CC攻击;需要聚合分析的日志包括:防火墙装置日志,路由器日志,交换机日志和Web服务器操作系统日志;
当出现DNS服务器的Ping状态异常时;攻击类型为网络监听;需要聚合分析的日志包括:路由器日志、交换机日志和Web服务器操作系统日志。
5.如权利要求4所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤2所述的网络攻击权重q是一个正整数,其中,蠕虫病毒的网络攻击权重q值为1,木马攻击的网络攻击权重q值为2,DoS攻击/DDoS攻击的网络攻击权重q值为3,CC攻击的网络攻击权重q值为4,网络监听攻击的网络攻击权重q值为5。
6.如权利要求3所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,
步骤3所述的网络拓扑聚合规则包括:当出现交换机CPU占用率高时,需要聚合分析的日志包括:路由器日志、交换机日志、DNS服务器日志和Web服务器操作系统日志;
当出现路由器CPU占用率高时,需要聚合分析的日志包括:防火墙装置日志、路由器日志和交换机日志;
当出现防火墙装置CPU占用率高时,需要聚合分析的日志包括:防火墙装置日志和路由器日志。
7.如权利要求5所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤4所述的神经网络模型用于对输入的日志数据集合进行分析,判断出每种软件和硬件具有的异常日志条数,并且在考虑每条日志的网络攻击权重q之后汇总为向量的形式进行输出,所述硬件包括:网络设备和安全设备。
8.如权利要求1所述的多层异粒度的智能聚合铁路系统运行行为安全风险识别方法,其特征在于,步骤5所述设备权重向量λ由人工经验得出,用于表示各软件和硬件的日志所具有的不同重要程度;
所述方案权重向量μ由人工经验结合历史记录得出,用于表示基于常见网络攻击行为特征的聚合规则和基于网络拓扑的聚合规则在衡量系统风险时所具有的不同重要程度。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418689.6A CN114362994B (zh) | 2021-11-26 | 2021-11-26 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111418689.6A CN114362994B (zh) | 2021-11-26 | 2021-11-26 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114362994A CN114362994A (zh) | 2022-04-15 |
| CN114362994B true CN114362994B (zh) | 2023-01-06 |
Family
ID=81095530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111418689.6A Active CN114362994B (zh) | 2021-11-26 | 2021-11-26 | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114362994B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114679341B (zh) * | 2022-05-27 | 2022-08-16 | 江苏益柏锐信息科技有限公司 | 结合erp系统的网络入侵攻击分析方法、设备及介质 |
| CN115396212A (zh) * | 2022-08-26 | 2022-11-25 | 国科华盾(北京)科技有限公司 | 检测模型的训练方法、装置、计算机设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110072205A (zh) * | 2019-03-25 | 2019-07-30 | 南京邮电大学 | 一种用于无线传感网异常数据检测的分层聚合方法 |
| CN111259152A (zh) * | 2020-01-20 | 2020-06-09 | 刘秀萍 | 一种深度多层网络驱动的特征聚合类别划分器 |
| CN113489674A (zh) * | 2021-05-25 | 2021-10-08 | 南京邮电大学 | 一种面向物联网系统的恶意流量智能检测方法及应用 |
| CN113517076A (zh) * | 2021-07-30 | 2021-10-19 | 齐鲁工业大学 | 基于图神经网络与迁移学习的疾病病例数预测方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108040062B (zh) * | 2017-12-19 | 2020-10-13 | 湖北工业大学 | 一种基于证据推理规则的网络安全态势评估方法 |
| EP3565261B1 (en) * | 2018-05-02 | 2020-05-27 | Spotify AB | Predictive caching |
| US10924460B2 (en) * | 2019-12-13 | 2021-02-16 | TripleBlind, Inc. | Systems and methods for dividing filters in neural networks for private data computations |
| CN112822153A (zh) * | 2020-12-18 | 2021-05-18 | 国家计算机网络与信息安全管理中心 | 基于dns日志的可疑威胁发现方法和系统 |
| CN113298221B (zh) * | 2021-04-26 | 2023-08-22 | 上海淇玥信息技术有限公司 | 基于逻辑回归和图神经网络的用户风险预测方法及装置 |
-
2021
- 2021-11-26 CN CN202111418689.6A patent/CN114362994B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110072205A (zh) * | 2019-03-25 | 2019-07-30 | 南京邮电大学 | 一种用于无线传感网异常数据检测的分层聚合方法 |
| CN111259152A (zh) * | 2020-01-20 | 2020-06-09 | 刘秀萍 | 一种深度多层网络驱动的特征聚合类别划分器 |
| CN113489674A (zh) * | 2021-05-25 | 2021-10-08 | 南京邮电大学 | 一种面向物联网系统的恶意流量智能检测方法及应用 |
| CN113517076A (zh) * | 2021-07-30 | 2021-10-19 | 齐鲁工业大学 | 基于图神经网络与迁移学习的疾病病例数预测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114362994A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar et al. | A Distributed framework for detecting DDoS attacks in smart contract‐based Blockchain‐IoT Systems by leveraging Fog computing | |
| CN113168470B (zh) | 用于行为威胁检测的系统及方法 | |
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| KR101814368B1 (ko) | 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법 | |
| CN114362994B (zh) | 多层异粒度智能聚合铁路系统运行行为安全风险识别方法 | |
| Xu et al. | Data-driven network intelligence for anomaly detection | |
| CN110445801B (zh) | 一种物联网的态势感知方法和系统 | |
| Ortet Lopes et al. | Towards effective detection of recent DDoS attacks: A deep learning approach | |
| CN113168469B (zh) | 用于行为威胁检测的系统及方法 | |
| CN113269389A (zh) | 基于深度信念网的网络安全态势评估和态势预测建模方法 | |
| Jabbar et al. | Intelligent network intrusion detection using alternating decision trees | |
| CN113162930A (zh) | 一种基于电力cps的网络安全态势感知方法 | |
| Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
| CN112839017A (zh) | 一种网络攻击检测方法及其装置、设备和存储介质 | |
| Dalmazo et al. | Expedite feature extraction for enhanced cloud anomaly detection | |
| CN110188015A (zh) | 一种主机访问关系异常行为自适应检测装置及其监测方法 | |
| Yu et al. | Data-adaptive clustering analysis for online botnet detection | |
| CN118200019B (zh) | 一种网络事件安全监测方法及系统 | |
| Teixeira et al. | Flow‐based intrusion detection algorithm for supervisory control and data acquisition systems: A real‐time approach | |
| Mughaid et al. | Utilizing machine learning algorithms for effectively detection iot ddos attacks | |
| Bilakanti et al. | Anomaly detection in IoT environment using machine learning | |
| CN110493217B (zh) | 一种分布式的态势感知方法和系统 | |
| CN110471975B (zh) | 一种物联网态势感知调用方法和装置 | |
| Kholidy | State compression and quantitative assessment model for assessing security risks in the oil and gas transmission systems | |
| Anwar et al. | Improving anomaly detection in SCADA network communication with attribute extension |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |