CN114826783A - 一种基于大数据的预测方法及系统 - Google Patents

一种基于大数据的预测方法及系统 Download PDF

Info

Publication number
CN114826783A
CN114826783A CN202210738571.XA CN202210738571A CN114826783A CN 114826783 A CN114826783 A CN 114826783A CN 202210738571 A CN202210738571 A CN 202210738571A CN 114826783 A CN114826783 A CN 114826783A
Authority
CN
China
Prior art keywords
behavior data
network behavior
abnormal
network
abnormal network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210738571.XA
Other languages
English (en)
Inventor
毛玉姣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruizhi Technology Group Co ltd
Original Assignee
Ruizhi Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ruizhi Technology Group Co ltd filed Critical Ruizhi Technology Group Co ltd
Priority to CN202210738571.XA priority Critical patent/CN114826783A/zh
Publication of CN114826783A publication Critical patent/CN114826783A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • Pure & Applied Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Algebra (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Databases & Information Systems (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请涉及数据处理领域,尤其涉及一种基于大数据的预测方法及系统,包括:采集发生了网络安全事件的网络中的异常网络行为数据;将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;将合格的异常网络行为数据按照网络安全事件的类型进行分类;将分类后的同一种类的异常网络行为数据输入神经网络预测模型,得到预测结果。本申请可以通过网络安全的预测结果判定网络目前的安全性,通过判定的网络目前的安全性,可以提前为操作人员起到提醒作用,避免了因偶然事件或者恶意事件的发生而影响计算网络安全。

Description

一种基于大数据的预测方法及系统
技术领域
本申请涉及数据处理领域,尤其涉及一种基于大数据的预测方法及系统。
背景技术
网络安全,通常指计算机网络的安全,实际上也可以指计算机通信网络的安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输媒体互连起来,在通信软件的支持下,实现计算机间的信息传输与交换的系统。而计算机网络是指以共享资源为目的,利用通信手段把地域上相对分散的若干独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此,计算机网络是安全的,相应的计算机通信网络也必须是安全的,应该能为网络用户实现信息交换与资源共享。
网络安全既指计算机网络安全,又指计算机通信网络安全,网络安全(CyberSecurity)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然事件或者恶意事件而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
因此,如何避免因偶然事件或者恶意事件的发生而影响计算网络安全,是目前本领域技术人员急需解决的技术问题。
发明内容
本申请提供了一种基于大数据的预测方法及系统,以避免因偶然事件或者恶意事件的发生而影响计算网络安全。
为解决上述技术问题,本申请提供如下技术方案:
一种基于大数据的预测方法,包括如下步骤:步骤S110、采集发生了网络安全事件的网络中的异常网络行为数据;步骤S120、将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;步骤S130、将合格的异常网络行为数据按照网络安全事件的类型进行分类;步骤S140、将分类后的同一种类的异常网络行为数据输入神经网络预测模型,得到预测结果。
如上所述的基于大数据的预测方法,其中,优选的是,采集的异常网络行为数据是不同种类的数据。
如上所述的基于大数据的预测方法,其中,优选的是,计算每个异常网络行为数据的异常度,依靠异常度筛查出合格的异常网络行为数据,将不合格的异常网络行为数据舍弃。
如上所述的基于大数据的预测方法,其中,优选的是,通过
Figure 942384DEST_PATH_IMAGE001
计算每个异常网络行为数据的异常度,其中
Figure 603173DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 417545DEST_PATH_IMAGE003
为网络发生异常的第
Figure 643602DEST_PATH_IMAGE004
种异常源;
Figure 910636DEST_PATH_IMAGE005
为异常源的数量;
Figure 375115DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 309573DEST_PATH_IMAGE007
为异常序列
Figure 443882DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。
如上所述的基于大数据的预测方法,其中,优选的是,将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,以完成对合格的异常网络行为数据的分类。
一种基于大数据的预测系统,包括:采集单元、预处理单元、分类单元、输出单元、神经网络预测模和输出单元;采集单元采集发生了网络安全事件的网络中的异常网络行为数据;预处理单元将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;分类单元将合格的异常网络行为数据按照网络安全事件的类型进行分类;输出单元将分类后的同一种类的异常网络行为数据输入神经网络预测模型,输出单元输出神经网络预测模型得到的预测结果。
如上所述的基于大数据的预测系统,其中,优选的是,采集的异常网络行为数据是不同种类的数据。
如上所述的基于大数据的预测系统,其中,优选的是,计算每个异常网络行为数据的异常度,依靠异常度筛查出合格的异常网络行为数据,将不合格的异常网络行为数据舍弃。
如上所述的基于大数据的预测系统,其中,优选的是,通过
Figure 463791DEST_PATH_IMAGE001
计算每个异常网络行为数据的异常度,其中
Figure 466382DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 255346DEST_PATH_IMAGE003
为网络发生异常的第
Figure 685191DEST_PATH_IMAGE004
种异常源;
Figure 67761DEST_PATH_IMAGE005
为异常源的数量;
Figure 874043DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 251935DEST_PATH_IMAGE007
为异常序列
Figure 118260DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。
如上所述的基于大数据的预测系统,其中,优选的是,将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,以完成对合格的异常网络行为数据的分类。
相对上述背景技术, 本申请可以通过网络安全的预测结果判定网络目前的安全性,通过判定的网络目前的安全性,可以提前为操作人员起到提醒作用,避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的基于大数据的预测方法的流程图;
图2是本申请实施例提供的基于大数据的预测系统的示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
实施例一
请参阅图1,图1是本申请实施例提供的基于大数据的预测方法的流程图。
本申请提供了一种基于大数据的预测方法,包括如下步骤:
步骤S110、采集发生了网络安全事件的网络中的异常网络行为数据;
网络在运行时会产生很多网络行为数据,而发生网络安全事件时,网络中产生的网络行为数据会出现异常,这些出现异常的网络行为数据即异常网络行为数据。
为了预测网络安全事件的发生,需要采集发生了网络安全事件的网络中的异常网络行为数据。而网络安全事件具有很多不同类型,例如:拒绝服务攻击事件、后门攻击事件、网络扫描窃听事件等,在不同类型的网络安全事件中,会产生不同种类的异常网络行为数据,所以采集的异常网络行为数据也可能是不同种类的数据。
例如:拒绝服务攻击事件是利用信息系统缺陷或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,影响信息系统正常运行为目的的信息安全事件,因此在该种类型的网络安全事件发生时,CPU、内存、磁盘空间或网络带宽等资源的参数是异常网络行为数据。后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件,因此在该中类型的网络安全事件发生时,后门程序的参数是异常网络行为数据。网络扫描窃听事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口等特征而导致的信息安全事件,因此在该种类型的网络安全事件发生时,网络配置、端口特征的参数是异常网络行为数据。
步骤S120、将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;
采集的异常网络行为数据中可能存在一些干扰数据,而干扰数据的存在会对预测网络安全事件的发生产生影响,因此在采集了异常网络行为数据后,还计算每个异常网络行为数据的异常度,依靠异常度筛选出合格的异常网络行为数据,而将不合格的异常网络行为数据舍弃。
具体的,通过
Figure 847182DEST_PATH_IMAGE001
计算每个异常网络行为数据的异常度,其中
Figure 332521DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 830498DEST_PATH_IMAGE003
为网络发生异常的第
Figure 867724DEST_PATH_IMAGE004
种异常源,即网络发生异常的第
Figure 818363DEST_PATH_IMAGE004
种原因;
Figure 966447DEST_PATH_IMAGE005
为异常源的数量;
Figure 459877DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 668004DEST_PATH_IMAGE007
为异常序列
Figure 105939DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。将异常度
Figure 57714DEST_PATH_IMAGE002
大于第一预定值
Figure 530284DEST_PATH_IMAGE008
以及小于第二预定值
Figure 784679DEST_PATH_IMAGE009
(即:
Figure 975489DEST_PATH_IMAGE010
以及
Figure 465376DEST_PATH_IMAGE011
)的异常网络行为数据舍弃,而将异常度
Figure 792452DEST_PATH_IMAGE002
不大于第一预定值
Figure 76803DEST_PATH_IMAGE008
且异常度
Figure 630275DEST_PATH_IMAGE002
不小于第二预定值
Figure 923853DEST_PATH_IMAGE009
(即:
Figure 371015DEST_PATH_IMAGE012
)的异常网络行为数据作为合格的异常网络行为数据筛选出来,接下来通过这些合格的异常网络行为数据预测网络安全事件的发生。
步骤S130、将合格的异常网络行为数据按照网络安全事件的类型进行分类;
由于采集的异常网络行为数据可能是从不同类型的网络安全事件中获得的,所以进行筛选后的合格的异常网络行为数据可能也是不同种类的,因此将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,从而完成对合格的异常网络行为数据的分类。
具体的,该种类的异常网络行为数据集
Figure 826267DEST_PATH_IMAGE013
,其中,
Figure 726090DEST_PATH_IMAGE014
为第1时刻的第1个异常网络行为数据、
Figure 433146DEST_PATH_IMAGE015
为第1时刻的第
Figure 394DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 892126DEST_PATH_IMAGE017
为第1时刻的第
Figure 13666DEST_PATH_IMAGE018
个异常网络行为数据、
Figure 649047DEST_PATH_IMAGE019
为第
Figure 943237DEST_PATH_IMAGE020
时刻的第1个异常网络行为数据、
Figure 5871DEST_PATH_IMAGE021
为第
Figure 880286DEST_PATH_IMAGE020
时刻的第
Figure 788199DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 64460DEST_PATH_IMAGE022
为第
Figure 173361DEST_PATH_IMAGE020
时刻的第
Figure 535073DEST_PATH_IMAGE018
个异常网络行为数据、
Figure 512256DEST_PATH_IMAGE023
为第
Figure 377444DEST_PATH_IMAGE024
时刻的第1个异常网络行为数据、
Figure 781880DEST_PATH_IMAGE025
为第
Figure 506254DEST_PATH_IMAGE024
时刻的第
Figure 287128DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 272402DEST_PATH_IMAGE026
为第
Figure 847739DEST_PATH_IMAGE024
时刻的第
Figure 59409DEST_PATH_IMAGE018
个异常网络行为数据。例如:
Figure 378395DEST_PATH_IMAGE014
为第1时刻的CPU参数、
Figure 483754DEST_PATH_IMAGE015
为第1时刻的内存参数、
Figure 229993DEST_PATH_IMAGE017
为第1时刻的磁盘空间参数、
Figure 928959DEST_PATH_IMAGE019
为第
Figure 520477DEST_PATH_IMAGE020
时刻的CPU参数、
Figure 480343DEST_PATH_IMAGE021
为第
Figure 663063DEST_PATH_IMAGE020
时刻的内存参数、
Figure 708379DEST_PATH_IMAGE022
为第
Figure 244534DEST_PATH_IMAGE020
时刻的磁盘空间参数、
Figure 324485DEST_PATH_IMAGE023
为第
Figure 412527DEST_PATH_IMAGE024
时刻的CPU参数、
Figure 679560DEST_PATH_IMAGE025
为第
Figure 144040DEST_PATH_IMAGE024
时刻的内存参数、
Figure 953864DEST_PATH_IMAGE026
为第
Figure 212807DEST_PATH_IMAGE024
时刻的磁盘空间参数。
步骤S140、将分类后的同一种类的异常网络行为数据输入神经网络预测模型,得到预测结果;
具体的,神经网络预测模型
Figure 232715DEST_PATH_IMAGE027
;其中,
Figure 969727DEST_PATH_IMAGE028
为输入层到隐含层的权值,
Figure 758692DEST_PATH_IMAGE029
为隐含层到输出层的权值;
Figure 329481DEST_PATH_IMAGE030
为输入层到隐含层的阈值,
Figure 836686DEST_PATH_IMAGE031
为隐含层到输出层的阈值;
Figure 377389DEST_PATH_IMAGE032
为隐含层到输出层的函数,
Figure 286439DEST_PATH_IMAGE033
为输入层到隐含层的函数。
并且,上述神经网络预测模型是通过已经发生了的大量网络安全事件以及大量网络安全事件中的异常网络行为数据训练得到的。具体的,
Figure 759621DEST_PATH_IMAGE028
Figure 754122DEST_PATH_IMAGE029
Figure 98516DEST_PATH_IMAGE030
Figure 596493DEST_PATH_IMAGE031
均为通过训练得到的值;
Figure 633719DEST_PATH_IMAGE032
Figure 725303DEST_PATH_IMAGE033
均是通过训练得到的函数,
Figure 873388DEST_PATH_IMAGE034
Figure 491451DEST_PATH_IMAGE035
Figure 840524DEST_PATH_IMAGE036
为自然常数,
Figure 278458DEST_PATH_IMAGE037
是一个常数(
Figure 964655DEST_PATH_IMAGE037
=0.58)。
将已经进行了分类的该种类的异常网络行为数据集
Figure 702804DEST_PATH_IMAGE038
中的异常网络行为数据作为
Figure 81832DEST_PATH_IMAGE039
输入至上述神经网络预测模型中,将神经网络预测模型的输出
Figure 148008DEST_PATH_IMAGE040
作为网络安全的预测结果。
若网络安全的预测结果在预定范围内,则认为该网络目前安全,暂时不会发生网络安全事件;若网络安全的预测结果没有在预定范围内,则认为该网络目前不安全,最近可能会发生网络安全事件。此时,操作人员可以注意观察,从而可以提前为操作人员起到提醒作用,避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
实施例二
请参阅图2,图2是本申请实施例提供的基于大数据的预测系统的示意图。
本申请提供了一种基于大数据的预测系统200,包括:采集单元210、预处理单元220、分类单元230、输出单元240、神经网络预测模250和输出单元260。
采集单元210采集发生了网络安全事件的网络中的异常网络行为数据。
网络在运行时会产生很多网络行为数据,而发生网络安全事件时,网络中产生的网络行为数据会出现异常,这些出现异常的网络行为数据即异常网络行为数据。
为了预测网络安全事件的发生,需要采集发生了网络安全事件的网络中的异常网络行为数据。而网络安全事件具有很多不同类型,例如:拒绝服务攻击事件、后门攻击事件、网络扫描窃听事件等,在不同类型的网络安全事件中,会产生不同种类的异常网络行为数据,所以采集的异常网络行为数据也可能是不同种类的数据。
例如:拒绝服务攻击事件是利用信息系统缺陷或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,影响信息系统正常运行为目的的信息安全事件,因此在该种类型的网络安全事件发生时,CPU、内存、磁盘空间或网络带宽等资源的参数是异常网络行为数据。后门攻击事件是指利用软件系统、硬件系统设计过程中留下的后门或有害程序所设置的后门而对信息系统实施的攻击的信息安全事件,因此在该中类型的网络安全事件发生时,后门程序的参数是异常网络行为数据。网络扫描窃听事件是指利用网络扫描或窃听软件,获取信息系统网络配置、端口等特征而导致的信息安全事件,因此在该种类型的网络安全事件发生时,网络配置、端口特征的参数是异常网络行为数据。
预处理单元220将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据。
采集的异常网络行为数据中可能存在一些干扰数据,而干扰数据的存在会对预测网络安全事件的发生产生影响,因此在采集了异常网络行为数据后,还计算每个异常网络行为数据的异常度,依靠异常度筛选出合格的异常网络行为数据,而将不合格的异常网络行为数据舍弃。
具体的,通过
Figure 637896DEST_PATH_IMAGE001
计算每个异常网络行为数据的异常度,其中
Figure 964972DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 249323DEST_PATH_IMAGE003
为网络发生异常的第
Figure 927429DEST_PATH_IMAGE004
种异常源,即网络发生异常的第
Figure 96373DEST_PATH_IMAGE004
种原因;
Figure 543535DEST_PATH_IMAGE005
为异常源的数量;
Figure 998787DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 898610DEST_PATH_IMAGE007
为异常序列
Figure 730299DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。将异常度
Figure 172913DEST_PATH_IMAGE002
大于第一预定值
Figure 799067DEST_PATH_IMAGE008
以及小于第二预定值
Figure 451765DEST_PATH_IMAGE009
(即:
Figure 87146DEST_PATH_IMAGE010
以及
Figure 118687DEST_PATH_IMAGE011
)的异常网络行为数据舍弃,而将异常度
Figure 181321DEST_PATH_IMAGE002
不大于第一预定值
Figure 790156DEST_PATH_IMAGE008
且异常度
Figure 229228DEST_PATH_IMAGE002
不小于第二预定值
Figure 505489DEST_PATH_IMAGE009
(即:
Figure 614390DEST_PATH_IMAGE012
)的异常网络行为数据作为合格的异常网络行为数据筛选出来,接下来通过这些合格的异常网络行为数据预测网络安全事件的发生。
分类单元230将合格的异常网络行为数据按照网络安全事件的类型进行分类。
由于采集的异常网络行为数据可能是从不同类型的网络安全事件中获得的,所以进行筛选后的合格的异常网络行为数据可能也是不同种类的,因此将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,从而完成对合格的异常网络行为数据的分类。
具体的,该种类的异常网络行为数据集
Figure 976101DEST_PATH_IMAGE041
,其中,
Figure 953285DEST_PATH_IMAGE014
为第1时刻的第1个异常网络行为数据、
Figure 818472DEST_PATH_IMAGE015
为第1时刻的第
Figure 222909DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 944353DEST_PATH_IMAGE017
为第1时刻的第
Figure 459648DEST_PATH_IMAGE018
个异常网络行为数据、
Figure 710500DEST_PATH_IMAGE019
为第
Figure 285838DEST_PATH_IMAGE020
时刻的第1个异常网络行为数据、
Figure 497508DEST_PATH_IMAGE021
为第
Figure 816494DEST_PATH_IMAGE020
时刻的第
Figure 921853DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 668092DEST_PATH_IMAGE022
为第
Figure 101479DEST_PATH_IMAGE020
时刻的第
Figure 958576DEST_PATH_IMAGE018
个异常网络行为数据、
Figure 918442DEST_PATH_IMAGE023
为第
Figure 835582DEST_PATH_IMAGE024
时刻的第1个异常网络行为数据、
Figure 146478DEST_PATH_IMAGE025
为第
Figure 682633DEST_PATH_IMAGE024
时刻的第
Figure 497005DEST_PATH_IMAGE016
个异常网络行为数据、
Figure 850626DEST_PATH_IMAGE026
为第
Figure 383238DEST_PATH_IMAGE024
时刻的第
Figure 582139DEST_PATH_IMAGE018
个异常网络行为数据。例如:
Figure 126383DEST_PATH_IMAGE014
为第1时刻的CPU参数、
Figure 650906DEST_PATH_IMAGE015
为第1时刻的内存参数、
Figure 670814DEST_PATH_IMAGE017
为第1时刻的磁盘空间参数、
Figure 673405DEST_PATH_IMAGE019
为第
Figure 337736DEST_PATH_IMAGE020
时刻的CPU参数、
Figure 767580DEST_PATH_IMAGE021
为第
Figure 9206DEST_PATH_IMAGE020
时刻的内存参数、
Figure 815488DEST_PATH_IMAGE022
为第
Figure 724538DEST_PATH_IMAGE020
时刻的磁盘空间参数、
Figure 200650DEST_PATH_IMAGE023
为第
Figure 195151DEST_PATH_IMAGE024
时刻的CPU参数、
Figure 539544DEST_PATH_IMAGE025
为第
Figure 37522DEST_PATH_IMAGE024
时刻的内存参数、
Figure 809169DEST_PATH_IMAGE026
为第
Figure 166332DEST_PATH_IMAGE024
时刻的磁盘空间参数。
输出单元240将分类后的同一种类的异常网络行为数据输入神经网络预测模型250,输出单元260输出神经网络预测模型250得到的预测结果。
具体的,神经网络预测模型
Figure 314416DEST_PATH_IMAGE027
;其中,
Figure 932480DEST_PATH_IMAGE028
为输入层到隐含层的权值,
Figure 140607DEST_PATH_IMAGE029
为隐含层到输出层的权值;
Figure 578542DEST_PATH_IMAGE030
为输入层到隐含层的阈值,
Figure 137174DEST_PATH_IMAGE031
为隐含层到输出层的阈值;
Figure 875323DEST_PATH_IMAGE032
为隐含层到输出层的函数,
Figure 988773DEST_PATH_IMAGE033
为输入层到隐含层的函数。
并且,上述神经网络预测模型是通过已经发生了的大量网络安全事件以及大量网络安全事件中的异常网络行为数据训练得到的。具体的,
Figure 179583DEST_PATH_IMAGE028
Figure 544836DEST_PATH_IMAGE029
Figure 137491DEST_PATH_IMAGE030
Figure 687421DEST_PATH_IMAGE031
均为通过训练得到的值;
Figure 99948DEST_PATH_IMAGE032
Figure 127947DEST_PATH_IMAGE033
均是通过训练得到的函数,
Figure 450475DEST_PATH_IMAGE034
Figure 171306DEST_PATH_IMAGE035
Figure 336709DEST_PATH_IMAGE036
为自然常数,
Figure 168398DEST_PATH_IMAGE037
是一个常数(
Figure 345433DEST_PATH_IMAGE037
=0.58)。
将已经进行了分类的该种类的异常网络行为数据集
Figure 237166DEST_PATH_IMAGE038
中的异常网络行为数据作为
Figure 624285DEST_PATH_IMAGE039
输入至上述神经网络预测模型中,将神经网络预测模型的输出
Figure 994086DEST_PATH_IMAGE040
作为网络安全的预测结果。
若网络安全的预测结果在预定范围内,则认为该网络目前安全,暂时不会发生网络安全事件;若网络安全的预测结果没有在预定范围内,则认为该网络目前不安全,最近可能会发生网络安全事件。此时,操作人员可以注意观察,从而可以提前为操作人员起到提醒作用,避免了因偶然事件或者恶意事件的发生而影响计算网络安全。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。

Claims (10)

1.一种基于大数据的预测方法,其特征在于,包括如下步骤:
步骤S110、采集发生了网络安全事件的网络中的异常网络行为数据;
步骤S120、将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;
步骤S130、将合格的异常网络行为数据按照网络安全事件的类型进行分类;
步骤S140、将分类后的同一种类的异常网络行为数据输入神经网络预测模型,得到预测结果。
2.根据权利要求1所述的基于大数据的预测方法,其特征在于,采集的异常网络行为数据是不同种类的数据。
3.根据权利要求1或2所述的基于大数据的预测方法,其特征在于,计算每个异常网络行为数据的异常度,依靠异常度筛查出合格的异常网络行为数据,将不合格的异常网络行为数据舍弃。
4.根据权利要求3所述的基于大数据的预测方法,其特征在于,通过
Figure 284874DEST_PATH_IMAGE001
计算每个异常网络行为数据的异常度,其中
Figure 347508DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 221923DEST_PATH_IMAGE003
为网络发生异常的第
Figure 660995DEST_PATH_IMAGE004
种异常源;
Figure 671676DEST_PATH_IMAGE005
为异常源的数量;
Figure 43227DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 139359DEST_PATH_IMAGE007
为异常序列
Figure 850963DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。
5.根据权利要求1或2所述的基于大数据的预测方法,其特征在于,将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,以完成对合格的异常网络行为数据的分类。
6.一种基于大数据的预测系统,其特征在于,包括:采集单元、预处理单元、分类单元、输出单元、神经网络预测模和输出单元;
采集单元采集发生了网络安全事件的网络中的异常网络行为数据;
预处理单元将异常网络行为数据进行预处理,以筛查合格的异常网络行为数据;
分类单元将合格的异常网络行为数据按照网络安全事件的类型进行分类;
输出单元将分类后的同一种类的异常网络行为数据输入神经网络预测模型,输出单元输出神经网络预测模型得到的预测结果。
7.根据权利要求6所述的基于大数据的预测系统,其特征在于,采集的异常网络行为数据是不同种类的数据。
8.根据权利要求6或7所述的基于大数据的预测系统,其特征在于,计算每个异常网络行为数据的异常度,依靠异常度筛查出合格的异常网络行为数据,将不合格的异常网络行为数据舍弃。
9.根据权利要求8所述的基于大数据的预测系统,其特征在于,通过
Figure 247309DEST_PATH_IMAGE008
计算每个异常网络行为数据的异常度,其中
Figure 527112DEST_PATH_IMAGE002
为异常网络行为数据的异常度,
Figure 376119DEST_PATH_IMAGE003
为网络发生异常的第
Figure 891414DEST_PATH_IMAGE004
种异常源;
Figure 142267DEST_PATH_IMAGE005
为异常源的数量;
Figure 452026DEST_PATH_IMAGE006
为发生异常前在该网络中的检测时间窗口内的一个异常序列;
Figure 929274DEST_PATH_IMAGE007
为异常序列
Figure 982681DEST_PATH_IMAGE006
在所有网络中的检测时间窗口内出现的总次数。
10.根据权利要求6或7所述的基于大数据的预测系统,其特征在于,将同一种类的合格的异常网络行为数据集合在一起形成该种类的异常网络行为数据集,以完成对合格的异常网络行为数据的分类。
CN202210738571.XA 2022-06-28 2022-06-28 一种基于大数据的预测方法及系统 Pending CN114826783A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210738571.XA CN114826783A (zh) 2022-06-28 2022-06-28 一种基于大数据的预测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210738571.XA CN114826783A (zh) 2022-06-28 2022-06-28 一种基于大数据的预测方法及系统

Publications (1)

Publication Number Publication Date
CN114826783A true CN114826783A (zh) 2022-07-29

Family

ID=82523378

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210738571.XA Pending CN114826783A (zh) 2022-06-28 2022-06-28 一种基于大数据的预测方法及系统

Country Status (1)

Country Link
CN (1) CN114826783A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110650134A (zh) * 2019-09-20 2020-01-03 腾讯科技(深圳)有限公司 一种信号处理方法、装置、电子设备以及存储介质
US10685293B1 (en) * 2017-01-20 2020-06-16 Cybraics, Inc. Methods and systems for analyzing cybersecurity threats
CN113824745A (zh) * 2021-11-24 2021-12-21 武汉大学 一种基于循环神经网络模型的网络安全应急处置系统
CN113992333A (zh) * 2021-12-27 2022-01-28 广州敏行区块链科技有限公司 一种基于区块链的数据授权方法及系统
CN114091609A (zh) * 2021-11-25 2022-02-25 苏州颜滴湖信息科技有限公司 一种计算机网络信息安全事件处理方法
CN114143020A (zh) * 2021-09-06 2022-03-04 北京许继电气有限公司 一种基于规则的网络安全事件关联分析方法和系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10685293B1 (en) * 2017-01-20 2020-06-16 Cybraics, Inc. Methods and systems for analyzing cybersecurity threats
CN110650134A (zh) * 2019-09-20 2020-01-03 腾讯科技(深圳)有限公司 一种信号处理方法、装置、电子设备以及存储介质
CN114143020A (zh) * 2021-09-06 2022-03-04 北京许继电气有限公司 一种基于规则的网络安全事件关联分析方法和系统
CN113824745A (zh) * 2021-11-24 2021-12-21 武汉大学 一种基于循环神经网络模型的网络安全应急处置系统
CN114091609A (zh) * 2021-11-25 2022-02-25 苏州颜滴湖信息科技有限公司 一种计算机网络信息安全事件处理方法
CN113992333A (zh) * 2021-12-27 2022-01-28 广州敏行区块链科技有限公司 一种基于区块链的数据授权方法及系统

Similar Documents

Publication Publication Date Title
US11336669B2 (en) Artificial intelligence cyber security analyst
US20210273949A1 (en) Treating Data Flows Differently Based on Level of Interest
CN114584405B (zh) 一种电力终端安全防护方法及系统
CN107566163B (zh) 一种用户行为分析关联的告警方法及装置
Hu et al. A simple and efficient hidden Markov model scheme for host-based anomaly intrusion detection
EP4154143A1 (en) Cyber security for instant messaging across platforms
EP3465515B1 (en) Classifying transactions at network accessible storage
EP2936772B1 (en) Network security management
CN110365714A (zh) 主机入侵检测方法、装置、设备及计算机存储介质
CN116155581A (zh) 一种基于图神经网络的网络入侵检测方法与装置
CN114826783A (zh) 一种基于大数据的预测方法及系统
CN116827698B (zh) 一种网络关口流量安全态势感知系统及方法
CN114154160B (zh) 容器集群监测方法、装置、电子设备及存储介质
US20220391500A1 (en) Automated adjustment of security alert components in networked computing systems
CN115664821A (zh) 行为画像构建方法、装置、电子设备及存储介质
Wang Remote Data Security Monitoring Technology for Computer Networks Based on Machine Learning Algorithms
Adila et al. Analysis of Anomaly with Machine Learning Based Model for Detecting HTTP DDoS Attack
CN118018231A (zh) 隔离区的安全策略管理方法、装置、设备和存储介质
Mhamdi et al. Securing SDN: Hybrid autoencoder-random forest for intrusion detection and attack mitigation
CN115865472A (zh) 一种基于日志分析的请求拦截方法及系统
CN118214605A (zh) 一种跨地区集团公司网络安全管理方法及系统
Li et al. A Novel Threat-Driven Data Collection Method for Resource-Constrained Networks
Neumann Applicability of signature analysis in SIEM

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20220729

RJ01 Rejection of invention patent application after publication