CN114900335B - 一种基于机器学习的内网攻击检测系统 - Google Patents

一种基于机器学习的内网攻击检测系统 Download PDF

Info

Publication number
CN114900335B
CN114900335B CN202210398784.2A CN202210398784A CN114900335B CN 114900335 B CN114900335 B CN 114900335B CN 202210398784 A CN202210398784 A CN 202210398784A CN 114900335 B CN114900335 B CN 114900335B
Authority
CN
China
Prior art keywords
network
information
central control
control module
performance index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210398784.2A
Other languages
English (en)
Other versions
CN114900335A (zh
Inventor
牛耕
张倚榕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Guoxin Wanglian Technology Co ltd
Original Assignee
Beijing Guoxin Wanglian Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Guoxin Wanglian Technology Co ltd filed Critical Beijing Guoxin Wanglian Technology Co ltd
Priority to CN202210398784.2A priority Critical patent/CN114900335B/zh
Publication of CN114900335A publication Critical patent/CN114900335A/zh
Application granted granted Critical
Publication of CN114900335B publication Critical patent/CN114900335B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/122Avoiding congestion; Recovering from congestion by diverting traffic away from congested entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/80Actions related to the user profile or the type of traffic
    • H04L47/808User-type aware
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于机器学习的内网攻击检测系统,包括:信息检索模块,用以检索网络信息;信息储存模块,用以储存检索需要的信息;传输模块,用以传输网络信息;碰撞分析测试模块,用以对传输过程中的网络信息的碰撞率进行测试以得到网络碰撞率P;流量统计模块,用以统计传输过程中的网络传输总流量以确定网络利用率Q;中控模块,用以对内网攻击检测过程进行控制;网络安全模块,用以根据中控模块的指示切断信息传输方式;从而能够通过网络利用率和网络碰撞率确定实际网络性能指数进而确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。

Description

一种基于机器学习的内网攻击检测系统
技术领域
本发明涉及网络安全检测领域,尤其涉及一种基于机器学习的内网攻击检测系统。
背景技术
随着互联网规模的迅猛发展,大量的公司、团队或个人将网络服务部署在服务器上。尤其是云服务的发展,使得网络资源的分配更加快捷方便,个人用户即便不精通计算机网络应用技术,也可以迅速简便地搭建个人网络服务。定义上,网络服务(Web服务)代指一种软件系统,借助网络相互连接,通过网络间不同机器的交互实现特定的服务。随着现代互联网的发展,网络安全问题越来越凸显,网络上潜在的安全攻击越来越多,随着大量的攻击工具被发布,攻击者可以使用简单的攻击工具就对目标网络造成危害。手段高明的攻击者更是利用系统漏洞对信息系统进行深入攻击,给人们的生活带来了很多影响。
中国专利CN201911155283.6公开了一种面向内网的漏洞攻击检测系统,所述检测系统包括信息搜集模块、漏洞检测模块和漏洞分析模块;所述信息搜集模块利用爬虫技术从互联网上拉取以PoC为主的与漏洞相关的信息,再对所述信息进行格式预处理和重组,最后存入数据库;所述漏洞检测模块使用搜集到的PoC资源,有优先级地对目标主机执行漏洞检测,生成漏洞检测报告;所述漏洞分析模块进行漏洞信息综合和漏洞攻击签名提取,将所述漏洞攻击签名组合成I DS规则并将检测规则部署到主机上实现主动的防御;所述检测系统的输入为与漏洞相关的网页文本、PoC文件和HTTP流量;所述检测系统的输出为漏洞检测报告以及以所述I DS规则为表现形式的防御策略。
目前,已经有一些基于机器学习的内网攻击检测系统,但普遍不能通过网络利用率和网络碰撞率确定实际网络性能指数,也不能通过实际网络性能指数确定网络速度的异常情况,更不能通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,网络信息安全指数低,容易被泄露。
发明内容
为此,本发明提供一种基于机器学习的内网攻击检测系统,可以有效解决现有技术中不能通过网络利用率和网络碰撞率确定实际网络性能指数进而确定网络速度的异常情况以通过检索信息量确定网络信息的安全情况以致网络信息容易被泄露的技术问题。
为实现上述目的,本发明提供一种基于机器学习的内网攻击检测系统,包括:
信息检索模块,用以检索网络信息;
信息储存模块,其与所述信息检索模块连接,用以储存检索需要的信息;
传输模块,其分别与所述信息检索模块和所述信息储存模块连接,用以传输网络信息;
碰撞分析测试模块,其与所述传输模块连接,用以对传输过程中的网络信息的碰撞率进行测试以得到网络碰撞率P;
流量统计模块,其与所述传输模块连接,用以统计传输过程中的网络传输总流量以确定网络利用率Q;
中控模块,其分别与所述信息检索模块、所述信息储存模块、所述传输模块、所述碰撞分析测试模块和所述流量统计模块连接,用以对所述内网攻击检测过程进行控制;
网络安全模块,其与所述中控模块连接,用以根据中控模块的指示切断信息传输方式;
所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,中控模块将检索信息量A与传输信息量进行比较以确定网络信息是否安全,若不安全,则启动网络安全模块以使网络信息安全;
其中,所述检索需要的信息为检索所述网络信息时输入的关键词。
进一步地,所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,其计算公式如下:
R=α×Q×P;
其中,α表示网络性能计算参数,0<α<1,通过中控模块设置。
进一步地,所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常;
其中,所述中控模块设置有标准网络性能指数,包括第一标准网络性能指数R1和第二标准网络性能指数R2,其中,R1<R2;
若R<R1,所述中控模块判定网络速度异常;
若R1≤R<R2,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常;
若R≥R2,所述中控模块判定网络速度正常。
进一步地,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块计算网络性能指数差值△R,计算完成时,中控模块将网络性能指数差值△R与网络性能指数标准差值△R0进行比较以确定网络速度是否异常;
若△R<△R0,所述中控模块判定网络速度异常;
若△R≥△R0,所述中控模块判定网络速度正常;
其中,网络性能指数标准差值△R0通过所述中控模块设置得到。
进一步地,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块计算网络性能指数差值△R,其计算公式如下:
△R=(R2-R1)×[(R2-R)/(R-R1)];
其中,R表示实际网络性能指数,R1表示第一标准网络性能指数,R2表示第二标准网络性能指数。
进一步地,所述中控模块判定网络速度异常时,中控模块获取所述信息检索模块检索信息的信息量并将其设置为检索信息量A,设置完成时,中控模块将检索信息量A与传输信息量进行比较以确定网络信息是否安全;
其中,所述中控模块还设置有传输信息量,包括第一传输信息量C1和第二传输信息量C2,其中,C1<C2;
若A<C1,所述中控模块判定网络信息安全;
若C1≤A<C2,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全;
若A≥C2,所述中控模块判定网络信息不安全。
进一步地,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全时,中控模块计算传输信息量差值△C,计算完成时,中控将传输信息量差值△C与标准传输信息量差值△C0进行比较以确定网路信息是否安全;
若△C<△C0,所述中控模块判定网络信息安全;
若△C≥△C0,所述中控模块判定网络信息不安全;
其中,标准传输信息量差值△C0通过中控模块设置得到。
进一步地,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全时,中控模块计算传输信息量差值△C,其计算公式如下:
△C=[(C2-A)2+(A-C1)2]/(C2-C1);
其中,A表示检索信息量,C1表示第一传输信息量,C2表示第二传输信息量。
进一步地,所述中控模块判定网络信息不安全时,所述中控模块启动所述网络安全模块以切断网络信息的传输,所述中控模块判定网络信息安全时,所述传输模块继续传输网络信息。
与现有技术相比,本发明的有益效果在于,本发明的基于机器学习的内网攻击检测系统通过设置碰撞分析检测模块确定网络碰撞率,通过设置流量统计模块确定网络利用率,进而确定实际网络性能指数,在检测时,通过将实际网络性能指数与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,将检索信息量与传输信息量进行比较以确定网络信息是否安全,若不安全,则切断网络信息传输以使网络信息安全。从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,中控模块将检索信息量A与传输信息量进行比较以确定网络信息是否安全,若不安全,则启动网络安全模块以使网络信息安全。从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过网络利用率Q和网络碰撞率P确定实际网络性能指数R,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过将网络性能指数差值△R与网络性能指数标准差值△R0进行比较以确定网络速度是否异常,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过将检索信息量A与传输信息量进行比较以确定网络信息是否安全,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
进一步地,本发明通过将传输信息量差值△C与标准传输信息量差值△C0进行比较以确定网路信息是否安全,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
附图说明
图1为本发明实施例基于机器学习的内网攻击检测系统的结构框图示意图;
图中标记说明:1、信息检索模块;2、信息储存模块;3、传输模块;4、碰撞分析测试模块;5、流量统计模块;6、中控模块;7、网络安全模块;8、警报模块。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,其为本发明实施例基于机器学习的内网攻击检测系统的结构框图示意图,本发明提供一种基于机器学习的内网攻击检测系统,包括:
信息检索模块1,用以检索网络信息;
信息储存模块2,其与所述信息检索模块1连接,用以储存检索需要的信息;
传输模块3,其分别与所述信息检索模块1和所述信息储存模块2连接,用以传输网络信息;
碰撞分析测试模块4,其与所述传输模块3连接,用以对传输过程中的网络信息的碰撞率进行测试以得到网络碰撞率P;
流量统计模块5,其与所述传输模块3连接,用以统计传输过程中的网络传输总流量以确定网络利用率Q;
中控模块6,其分别与所述信息检索模块1、所述信息储存模块2、所述传输模块3、所述碰撞分析测试模块4和所述流量统计模块5连接,用以对所述内网攻击检测过程进行控制;本实施例中,中控模块6内设置有PLC控制板。
网络安全模块7,其与所述中控模块6连接,用以根据中控模块6的指示切断信息传输方式;
警报模块8,其与所述中控模块6连接,用以在网络信息不安全时发出警报;
所述内网攻击检测系统在进行检测时,所述中控模块6根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块6将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,中控模块6将检索信息量A与传输信息量进行比较以确定网络信息是否安全,若不安全,则启动网络安全模块7以使网络信息安全。
本发明实施例中,检索需要的信息为检索网络信息时输入的关键词。
具体而言,本发明通过网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块6将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,中控模块6将检索信息量A与传输信息量进行比较以确定网络信息是否安全,若不安全,则启动网络安全模块7以使网络信息安全。从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述内网攻击检测系统在进行检测时,所述中控模块6根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,其计算公式如下:
R=α×Q×P;
其中,α表示网络性能计算参数,0<α<1,通过中控模块6设置。本实施例中,通过设置网络性能计算参数α使网络利用率Q和网络碰撞率P联系在一起,而且提高了实际网络性能指数R计算的准确率。
具体而言,本发明通过网络利用率Q和网络碰撞率P确定实际网络性能指数R,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述内网攻击检测系统在进行检测时,所述中控模块6根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块6将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常;本实施例中,确定网络速度是否正常主要是看网络是否变慢,若变慢,这表示网络不正常。
其中,所述中控模块6设置有标准网络性能指数,包括第一标准网络性能指数R1和第二标准网络性能指数R2,其中,R1<R2;
若R<R1,所述中控模块6判定网络速度异常;
若R1≤R<R2,所述中控模块6判定需要结合网络性能指数差值确定网络速度是否异常;
若R≥R2,所述中控模块6判定网络速度正常。
具体而言,本发明通过将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述中控模块6判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块6计算网络性能指数差值△R,计算完成时,中控模块6将网络性能指数差值△R与网络性能指数标准差值△R0进行比较以确定网络速度是否异常;
若△R<△R0,所述中控模块6判定网络速度异常;
若△R≥△R0,所述中控模块6判定网络速度正常;
其中,网络性能指数标准差值△R0通过所述中控模块6设置得到。
具体而言,本发明通过将网络性能指数差值△R与网络性能指数标准差值△R0进行比较以确定网络速度是否异常,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述中控模块6判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块6计算网络性能指数差值△R,其计算公式如下:
△R=(R2-R1)×[(R2-R)/(R-R1)];
其中,R表示实际网络性能指数,R1表示第一标准网络性能指数,R2表示第二标准网络性能指数。
具体而言,所述中控模块6判定网络速度异常时,中控模块6获取所述信息检索模块1检索信息的信息量并将其设置为检索信息量A,设置完成时,中控模块6将检索信息量A与传输信息量进行比较以确定网络信息是否安全;
其中,所述中控模块6还设置有传输信息量,包括第一传输信息量C1和第二传输信息量C2,其中,C1<C2;
若A<C1,所述中控模块6判定网络信息安全;
若C1≤A<C2,所述中控模块6判定需要结合传输信息量差值确定网络信息是否安全;
若A≥C2,所述中控模块6判定网络信息不安全。
具体而言,本发明通过将检索信息量A与传输信息量进行比较以确定网络信息是否安全,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述中控模块6判定需要结合传输信息量差值确定网络信息是否安全时,中控模块6计算传输信息量差值△C,计算完成时,中控将传输信息量差值△C与标准传输信息量差值△C0进行比较以确定网路信息是否安全;
若△C<△C0,所述中控模块6判定网络信息安全;
若△C≥△C0,所述中控模块6判定网络信息不安全;
其中,标准传输信息量差值△C0通过中控模块6设置得到。
具体而言,本发明通过将传输信息量差值△C与标准传输信息量差值△C0进行比较以确定网路信息是否安全,从而能够通过网络利用率和网络碰撞率确定实际网络性能指数,进而通过实际网络性能指数确定网络速度的异常情况,最终通过检索信息量确定网络信息的安全情况并根据实际情况进行及时处理,有效保护了网络信息安全,避免了信息被泄露。
具体而言,所述中控模块6判定需要结合传输信息量差值确定网络信息是否安全时,中控模块6计算传输信息量差值△C,其计算公式如下:
△C=[(C2-A)2+(A-C1)2]/(C2-C1);
其中,A表示检索信息量,C1表示第一传输信息量,C2表示第二传输信息量。
具体而言,所述中控模块6判定网络信息不安全时,所述中控模块6启动所述网络安全模块7以切断网络信息的传输,所述中控模块6判定网络信息安全时,所述传输模块3继续传输网络信息。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

Claims (9)

1.一种基于机器学习的内网攻击检测系统,其特征在于,包括:
信息检索模块,用以检索网络信息;
信息储存模块,其与所述信息检索模块连接,用以储存检索需要的信息;
传输模块,其分别与所述信息检索模块和所述信息储存模块连接,用以传输网络信息;
碰撞分析测试模块,其与所述传输模块连接,用以对传输过程中的网络信息的碰撞率进行测试以得到网络碰撞率P;
流量统计模块,其与所述传输模块连接,用以统计传输过程中的网络传输总流量以确定网络利用率Q;
中控模块,其分别与所述信息检索模块、所述信息储存模块、所述传输模块、所述碰撞分析测试模块和所述流量统计模块连接,用以对所述内网攻击检测过程进行控制;
网络安全模块,其与所述中控模块连接,用以根据中控模块的指示切断信息传输方式;
所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常,若网络速度异常,中控模块将检索信息量A与传输信息量进行比较以确定网络信息是否安全,若不安全,则启动网络安全模块以使网络信息安全;
其中,所述检索需要的信息为检索所述网络信息时输入的关键词。
2.根据权利要求1所述的基于机器学习的内网攻击检测系统,其特征在于,所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,其计算公式如下:
R=α×Q×P;
其中,α表示网络性能计算参数,0<α<1,通过中控模块设置。
3.根据权利要求2所述的基于机器学习的内网攻击检测系统,其特征在于,所述内网攻击检测系统在进行检测时,所述中控模块根据网络利用率Q和网络碰撞率P确定实际网络性能指数R,确定完成时,中控模块将实际网络性能指数R与标准网络性能指数进行比较以确定网络速度是否异常;
其中,所述中控模块设置有标准网络性能指数,包括第一标准网络性能指数R1和第二标准网络性能指数R2,其中,R1<R2;
若R<R1,所述中控模块判定网络速度异常;
若R1≤R<R2,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常;
若R≥R2,所述中控模块判定网络速度正常。
4.根据权利要求3所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块计算网络性能指数差值△R,计算完成时,中控模块将网络性能指数差值△R与网络性能指数标准差值△R0进行比较以确定网络速度是否异常;
若△R<△R0,所述中控模块判定网络速度异常;
若△R≥△R0,所述中控模块判定网络速度正常;
其中,网络性能指数标准差值△R0通过所述中控模块设置得到。
5.根据权利要求4所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定需要结合网络性能指数差值确定网络速度是否异常时,中控模块计算网络性能指数差值△R,其计算公式如下:
△R=(R2-R1)×[(R2-R)/(R-R1)];
其中,R表示实际网络性能指数,R1表示第一标准网络性能指数,R2表示第二标准网络性能指数。
6.根据权利要求4所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定网络速度异常时,中控模块获取所述信息检索模块检索信息的信息量并将其设置为检索信息量A,设置完成时,中控模块将检索信息量A与传输信息量进行比较以确定网络信息是否安全;
其中,所述中控模块还设置有传输信息量,包括第一传输信息量C1和第二传输信息量C2,其中,C1<C2;
若A<C1,所述中控模块判定网络信息安全;
若C1≤A<C2,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全;
若A≥C2,所述中控模块判定网络信息不安全。
7.根据权利要求6所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全时,中控模块计算传输信息量差值△C,计算完成时,中控将传输信息量差值△C与标准传输信息量差值△C0进行比较以确定网路信息是否安全;
若△C<△C0,所述中控模块判定网络信息安全;
若△C≥△C0,所述中控模块判定网络信息不安全;
其中,标准传输信息量差值△C0通过中控模块设置得到。
8.根据权利要求6所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定需要结合传输信息量差值确定网络信息是否安全时,中控模块计算传输信息量差值△C,其计算公式如下:
△C=[(C2-A)2+(A-C1)2]/(C2-C1);
其中,A表示检索信息量,C1表示第一传输信息量,C2表示第二传输信息量。
9.根据权利要求7所述的基于机器学习的内网攻击检测系统,其特征在于,所述中控模块判定网络信息不安全时,所述中控模块启动所述网络安全模块以切断网络信息的传输,所述中控模块判定网络信息安全时,所述传输模块继续传输网络信息。
CN202210398784.2A 2022-04-02 2022-04-02 一种基于机器学习的内网攻击检测系统 Active CN114900335B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210398784.2A CN114900335B (zh) 2022-04-02 2022-04-02 一种基于机器学习的内网攻击检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210398784.2A CN114900335B (zh) 2022-04-02 2022-04-02 一种基于机器学习的内网攻击检测系统

Publications (2)

Publication Number Publication Date
CN114900335A CN114900335A (zh) 2022-08-12
CN114900335B true CN114900335B (zh) 2023-04-18

Family

ID=82716790

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210398784.2A Active CN114900335B (zh) 2022-04-02 2022-04-02 一种基于机器学习的内网攻击检测系统

Country Status (1)

Country Link
CN (1) CN114900335B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101030897B (zh) * 2007-02-07 2011-09-14 华为技术有限公司 一种入侵检测中模式匹配的方法
CN107277137B (zh) * 2017-06-21 2019-07-30 常熟理工学院 基于服务质量感知的大数据自主感应防碰撞控制方法
CA3016392C (en) * 2017-09-06 2023-04-11 Rank Software Inc. Systems and methods for cyber intrusion detection and prevention
CN113313421A (zh) * 2021-06-24 2021-08-27 国网辽宁省电力有限公司电力科学研究院 一种电力物联网感知层安全风险状态分析方法及系统
CN113852633A (zh) * 2021-09-26 2021-12-28 苏州猛志信息科技有限公司 一种信息安全评估的实施用例的生成方法

Also Published As

Publication number Publication date
CN114900335A (zh) 2022-08-12

Similar Documents

Publication Publication Date Title
CN112235283B (zh) 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
CN103428196B (zh) 一种基于url白名单的web应用入侵检测方法
CN100463409C (zh) 网络安全系统和方法
CN112039862B (zh) 一种面向多维立体网络的安全事件预警方法
CN111404914A (zh) 一种特定攻击场景下泛在电力物联网终端安全防护方法
CN112491805A (zh) 一种应用于云平台的网络安全设备管理系统
CN114567463B (zh) 一种工业网络信息安全监测与防护系统
CN106886202A (zh) 控制装置、综合生产系统及其控制方法
CN111786986B (zh) 一种数控系统网络入侵防范系统及方法
CN115766189B (zh) 一种多通道隔离安全防护方法及系统
CN115086064A (zh) 基于协同入侵检测的大规模网络安全防御系统
CN114900335B (zh) 一种基于机器学习的内网攻击检测系统
Schütte et al. Model-based security event management
CN112596984A (zh) 业务弱隔离环境下的数据安全态势感知系统
CN109309649A (zh) 一种攻击预警方法及系统
KR100432168B1 (ko) 다중 침입탐지 객체를 이용한 보안 게이트웨이 시스템 및침입 탐지방법
CN117033501A (zh) 大数据采集分析系统
CN114844766A (zh) 工业信息安全保障体系建设的方法及装置
CN113094715A (zh) 一种基于知识图谱的网络安全动态预警系统
Pryshchepa et al. Modern IT problems and ways to solve them
CN115150202B (zh) 一种互联网it信息资产搜集及攻击探测的方法
Xiang et al. Network Intrusion Detection Method for Secondary System of Intelligent Substation based on Semantic Enhancement
CN112887288B (zh) 基于互联网的电商平台入侵检测的前端计算机扫描系统
CN118245288A (zh) 一种用于数据备份的数据安全监控系统
Zhang et al. Design and implementation of marine information management network security system based on artificial intelligence embedded technology

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant