CN115277177B - 一种警务云安全数据的融合方法、系统、装置及存储介质 - Google Patents

一种警务云安全数据的融合方法、系统、装置及存储介质 Download PDF

Info

Publication number
CN115277177B
CN115277177B CN202210881209.8A CN202210881209A CN115277177B CN 115277177 B CN115277177 B CN 115277177B CN 202210881209 A CN202210881209 A CN 202210881209A CN 115277177 B CN115277177 B CN 115277177B
Authority
CN
China
Prior art keywords
attack
data
evidence
log
fusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210881209.8A
Other languages
English (en)
Other versions
CN115277177A (zh
Inventor
李伟
何明
徐兵
袁国栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Army Engineering University of PLA
Original Assignee
Army Engineering University of PLA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Army Engineering University of PLA filed Critical Army Engineering University of PLA
Priority to CN202210881209.8A priority Critical patent/CN115277177B/zh
Publication of CN115277177A publication Critical patent/CN115277177A/zh
Application granted granted Critical
Publication of CN115277177B publication Critical patent/CN115277177B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种警务云安全数据的融合方法、系统、装置及存储介质,其方法包括:获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;对每个日志集执行特征工程获取对应的特征数据集;将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;基于D‑S证据理论对每个攻击模式集进行融合分析并输出融合结果;本发明在安全数据集的基础上系统地对攻击技术机制和攻击目标的特征进行总结,建立一个可扩展的攻击行为模型,结合改进的D‑S证据理论进行多源数据融合,将以攻击模式为核心的多源异构安全数据常态化为威胁事件,进一步增强入侵检测的分类效果。

Description

一种警务云安全数据的融合方法、系统、装置及存储介质
技术领域
本发明涉及一种警务云安全数据的融合方法、系统、装置及存储介质,属于数据融合技术领域。
背景技术
大数据警务云系统能够运行警务专题、通用工具、社会服务、队伍管理等四大类几十种云应用,面向民警和各警种提供大数据一体化应用服务;目前,面对警务云存在的网络攻击,存在许多用于入侵检测的机器学习方法,例如支持向量机、神经网络、隐马尔可夫模型和模糊逻辑等,其只具有浅层学习架构,难以识别未知攻击,也无法处理大型数据集中常见的噪声,卷积神经网络相较于其他机器学习方法,能够提高入侵检测的精度和计算速度,在一定程度上能够提高网络环境的安全性,然而此类研究很少可以直接应用于多源日志的网络检测,单源日志将导致一定的检测缺失率。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种安全数据融合方法、装置及存储介质,解决目前多源安全日志无法直接应用于网络威胁检测中的技术问题。
为达到上述目的,本发明是采用下述技术方案实现的:
第一方面,本发明提供了一种警务云安全数据的融合方法,包括
获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
对每个日志集执行特征工程获取对应的特征数据集;
将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
其中,所述攻击识别模型的构建包括:
获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤;
对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型。
可选的,所述数据源包括网络安全设备、交换设备、操作系统和应用系统。
可选的,所述攻击模式包括:
攻击目标:目标类型、目标的产品技术、目标依托的运行环境;
攻击机制:初始条件、资源需求、攻击手段、攻击层次、时序特性、严重程度;
攻击意图:攻击阶段意图、预期攻击结果。
可选的,所述基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤包括:对所述历史日志集中的每一条日志数据基于预设的攻击模式进行匹配;若出现相同的匹配结果,则对匹配结果相同的日志数据进行聚合归并成一条日志数据。
可选的,所述对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集包括:对匹配过滤后的历史日志集中的日志数据进行分布均匀的样本抽样,对样本抽样结果进行均值归一化和One-Hot编码处理,将其缩放到[0,1]区间内,生成对应的历史特征数据集。
可选的,所述将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型包括:
将历史特征数据集按预设比例划分成训练数据集和测试数据集;
所述卷积神经网络模型采用1D-CNN网络模型;
训练过程:
将训练数据集中元素输入1D-CNN网络模型,获取训练预测的攻击模式;
根据预测的攻击模式和匹配的攻击模式计算损失;
采用Adam优化器对损失进行优化,更新1D-CNN网络模型的权值和偏置;
将测试数据集中元素输入更新后的1D-CNN网络模型,获取测试预测的攻击模式;
根据测试预测的攻击模式和匹配的攻击模式计算准确率;
若准确率满足预设要求,则训练完成;若准确率不满足预设要求,则重复所述训练过程。
可选的,所述基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果包括:
将每个攻击模式集作为一个证据源,攻击模式集中的元素作为证据,则任意两个证据源之间的距离表示为:
Figure BDA0003764238400000031
式中,SA,SB为第A、B个证据源;
证据源关联程度表示为:
Figure BDA0003764238400000032
关联证据源可信度表示为:
Figure BDA0003764238400000033
式中,M为证据源数量;
关联证据源融合程度的集合值表示为:
Figure BDA0003764238400000034
式中,m1(·)、m2(·)…mn(·)为括号内元素的分布概率,SA,a、SB,b…SL,l为第A、B…L个证据源中第a、b…l个证据;m(φ)=0;
Figure BDA0003764238400000041
式中,n为第A个证据源中证据数量;SA,1、SA,1…SA,n为第A个证据源中第1、2…n个证据;
融合结果表示为:
Figure BDA0003764238400000042
式中,
Figure BDA0003764238400000043
Figure BDA0003764238400000044
第二方面,本发明提供了一种警务云安全数据的融合系统,所述系统包括:
日志获取模块,用于获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
特征获取模块,用于对每个日志集执行特征工程获取对应的特征数据集;
攻击识别模块,用于将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
模式融合模块,用于基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
其中,所述攻击识别模型的构建包括:
获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤;
对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型。
第三方面,本发明提供了一种警务云安全数据的融合装置,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据上述方法的步骤。
第四方面,本发明提供了计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述方法的步骤。
与现有技术相比,本发明所达到的有益效果:
本发明提供了一种安全数据融合方法、装置及存储介质,1)日志集的来源具有多样性,包括网络安全设备、交换设备、操作系统和应用系统,解决单源日志检测结果不精确的问题。2)提出攻击识别模型,对经过特征工程的日志数据进行特征学习和重构,层次挖掘数据集中隐藏特征,解决现有决策层数据特征提取不足的缺点,并得到预测的攻击模式。3)结合改进的D-S证据理论对多源的攻击模式集进行融合,将以攻击模式为核心的多源异构安全数据常态化为威胁事件,根据融合结果能够获取多源的攻击模式,从而增强入侵检测的效果。
附图说明
图1是本发明实施例一提供的一种警务云安全数据的融合系统的流程图;
图2是本发明实施例一提供的1D-CNN网络模型的结构示意图;
图3是本发明实施例一提供的CIC-IDS-2017测试集上的ROC曲线示意图;
图4是本发明实施例一提供的改进D-S证据理论精度率对比示意图;
图5是本发明实施例一提供的改进D-S证据理论召回率对比示意图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
实施例一:
如图1所示,本发明实施例提供了一种警务云安全数据的融合方法,包括以下步骤:
1、获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
本实施例提供的数据源,主要包括网络安全设备、交换设备、操作系统和应用系统。
2、对每个日志集执行特征工程获取对应的特征数据集;
对日志集中的日志数据进行分布均匀的样本抽样,对样本抽样结果进行均值归一化和One-Hot编码处理,将其缩放到[0,1]区间内,生成对应的特征数据集。
3、将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
由于特征数据集来自于不同的数据源,因此需要针对不同的数据源设置不同的攻击识别模型,以任一个数据源的攻击识别模型的构建为例,包括:
S1、获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
S2、基于预设的攻击模式对历史日志集进行攻击模式的匹配过滤;
本实施例提供的攻击模式,主要包括攻击目标:目标类型、目标的产品技术、目标依托的运行环境;攻击机制:初始条件、资源需求、攻击手段、攻击层次、时序特性、严重程度;攻击意图:攻击阶段意图、预期攻击结果。
例如:嗅探攻击可以按上述三个维度描述为:攻击目标类型为网络设备,依托运行环境为广播型网络;攻击机制为网络链路流动的数据流分析,初始条件为较低安全的网络结构,资源需求为同一个网络段,攻击手段为渗透性流量分析,攻击层次为侦察,时间特性为长时高强度,严重程度为破坏信息的保密性;攻击阶段意图为实现数据流分析攻击,预期攻击结果为实施重放攻击。
基于预设的攻击模式对历史日志集进行攻击模式的匹配过滤包括:对历史日志集中的每一条日志数据基于预设的攻击模式进行匹配;若出现相同的匹配结果,则对匹配结果相同的日志数据进行聚合归并成一条日志数据,通过
匹配过滤的主要目的是不同数据源的日志数据打上统一的真实标签(攻击模式),规范化日志格式,利用定义的攻击模式对日志中的每条记录进行处理,将每条日志进行攻击模式匹配,如果单个或不同的设备日志中出现相同的匹配结果,即代表被处理的日志具有相同特性,即进行合并处理成单条数据,从而降低数据量,提升运算速度。
S3、对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
对匹配过滤后的历史日志集中的日志数据进行分布均匀的样本抽样,对样本抽样结果进行均值归一化和One-Hot编码处理,将其缩放到[0,1]区间内,生成对应的历史特征数据集。
S4、将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型;
将历史特征数据集按预设比例(一般为7:3或6:4)划分成训练数据集和测试数据集;
卷积神经网络模型采用1D-CNN网络模型;
训练过程:
将训练数据集中元素输入1D-CNN网络模型,获取训练预测的攻击模式;
根据预测的攻击模式和匹配的攻击模式计算损失;其采用的损失函数可以为:Loss=crossentropy(Y,Y′),Y,Y′为真实标签与预测标签;
采用Adam优化器对损失进行优化,更新1D-CNN网络模型的权值和偏置;
将测试数据集中元素输入更新后的1D-CNN网络模型,获取测试预测的攻击模式;
根据测试预测的攻击模式和匹配的攻击模式计算准确率;准确率可以取比值;
若准确率满足预设要求,则训练完成;若准确率不满足预设要求,则重复训练过程。
如图2所示,卷积神经网络模型采用1D-CNN网络模型;1D-CNN网络模型包括依次连接的第一卷积层、池化层、第二卷积层、全局池化层、全连接层以及softmax层,全局池化层包括全局平均池化层和全局最大池化层。
4、基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
将每个攻击模式集作为一个证据源,攻击模式集中的元素作为证据,则任意两个证据源之间的距离表示为:
Figure BDA0003764238400000081
/>
式中,SA,SB为第A、B个证据源;
证据源关联程度表示为:
Figure BDA0003764238400000082
关联证据源可信度表示为:
Figure BDA0003764238400000083
式中,M为证据源数量;
关联证据源融合程度的集合值表示为:
Figure BDA0003764238400000084
式中,m1(·)、m2(·)…mn(·)为括号内元素的分布概率,SA,a、SB,b…SL,l为第A、B…L个证据源中第a、b…l个证据;m(φ)=0;
Figure BDA0003764238400000091
式中,n为第A个证据源中证据数量;SA,1、SA,1…SA,n为第A个证据源中第1、2…n个证据;
融合结果表示为:
Figure BDA0003764238400000092
式中,
Figure BDA0003764238400000093
Figure BDA0003764238400000094
为了进一步验证的1D-CNN模型具有鲁棒性,在安全数据集CIC-IDS-2017上也进行了对比实验,结果如下表1,该方法在精度、召回率和F1分数方面表现良好,精度、召回率绝大多数都在0.97左右,F1值均在0.97以上,综合情况较好,ROC曲线如图3所示,实验证明,在数据集CIC-IDS-2017数据集上该模型也能取得较为理想的结果。
表1 CIC-IDS-2017数据集上精确率P、召回率R、F1分数
Figure BDA0003764238400000095
Figure BDA0003764238400000101
本文对不同类型的日志集进行了比较实验,以验证了多源日志的数据融合阶段采用改进D-S证据理论能够对检测模型的性能起到提升作用,基于1D-CNN模型做了有无改进D-S证据理论的对比试验,实验结果如表2所示。
表2不同融合模型的准确率、召回率对比结果
Methos P(训练集) P(测试集) R(训练集) R(测试集)
无改进D-S 0.973 0.947 0.975 0.958
基于改进D-S 0.989 0.982 0.987 0.979
实验表明改进的D-S证据理论比缺省数据融合的训练集准确率提升了1.6%,测试集的准确率提升了3.5%,比其余两种基于D-S证据理论的数据融合算法的准确率和召回率要高,该实验证明分类数据经过改进的D-S证据理论融合能够进一步提高检测模型的准确率。同时,数据融合阶段各类样本类型精确率和召回率对比如图4、5所示,改进D-S证据理论对警务云入侵检测数据集具有较强的分类效果,精确率和召回率均有所提高,与原有的DS证据理论方法相比,改进D-S证据理论在警务云威胁检测中能够确保安全检测较高的准确性,通过该方法可以结合多源攻击数据的可信度,提高告警识别率,减少误报事件,提高识别攻击行为的能力,能够为警务云快速变化的网络环境提供有力的支持,提高了警务云系统感知的准确性。
实施例二:
本发明实施例提供了一种警务云安全数据的融合系统,系统包括:
日志获取模块,用于获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
特征获取模块,用于对每个日志集执行特征工程获取对应的特征数据集;
攻击识别模块,用于将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
模式融合模块,用于基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
其中,攻击识别模型的构建包括:
获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
基于预设的攻击模式对历史日志集进行攻击模式的匹配过滤;
对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型。
实施例三:
基于实施例一,本发明实施例提供了一种安全数据融合装置,包括处理器及存储介质;
存储介质用于存储指令;
处理器用于根据指令进行操作以执行根据上述方法的步骤。
实施例四:
基于实施例一,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现上述方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (10)

1.一种警务云安全数据的融合方法,其特征在于,包括
获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
对每个日志集执行特征工程获取对应的特征数据集;
将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
其中,所述攻击识别模型的构建包括:
获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤;
对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型。
2.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述数据源包括网络安全设备、交换设备、操作系统和应用系统。
3.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述攻击模式包括:
攻击目标:目标类型、目标的产品技术、目标依托的运行环境;
攻击机制:初始条件、资源需求、攻击手段、攻击层次、时序特性、严重程度;
攻击意图:攻击阶段意图、预期攻击结果。
4.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤包括:对所述历史日志集中的每一条日志数据基于预设的攻击模式进行匹配;若出现相同的匹配结果,则对匹配结果相同的日志数据进行聚合归并成一条日志数据。
5.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集包括:对匹配过滤后的历史日志集中的日志数据进行分布均匀的样本抽样,对样本抽样结果进行均值归一化和One-Hot编码处理,将其缩放到[0,1]区间内,生成对应的历史特征数据集。
6.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型包括:
将历史特征数据集按预设比例划分成训练数据集和测试数据集;
所述卷积神经网络模型采用1D-CNN网络模型;
训练过程:
将训练数据集中元素输入1D-CNN网络模型,获取训练预测的攻击模式;
根据预测的攻击模式和匹配的攻击模式计算损失;
采用Adam优化器对损失进行优化,更新1D-CNN网络模型的权值和偏置;
将测试数据集中元素输入更新后的1D-CNN网络模型,获取测试预测的攻击模式;
根据测试预测的攻击模式和匹配的攻击模式计算准确率;
若准确率满足预设要求,则训练完成;若准确率不满足预设要求,则重复所述训练过程。
7.根据权利要求1所述的一种警务云安全数据的融合方法,其特征在于,所述基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果包括:
将每个攻击模式集作为一个证据源,攻击模式集中的元素作为证据,则任意两个证据源之间的距离表示为:
Figure FDA0003764238390000021
式中,SA,SB为第A、B个证据源;
证据源关联程度表示为:
Figure FDA0003764238390000031
关联证据源可信度表示为:
Figure FDA0003764238390000032
式中,M为证据源数量;
关联证据源融合程度的集合值表示为:
Figure FDA0003764238390000033
式中,m1(·)、m2(·)…mn(·)为括号内元素的分布概率,SA,a、SB,b…SL,l为第A、B…L个证据源中第a、b…l个证据;m(φ)=0;
Figure FDA0003764238390000034
式中,n为第A个证据源中证据数量;SA,1、SA,1…SA,n为第A个证据源中第1、2…n个证据;
融合结果表示为:
Figure FDA0003764238390000035
式中,
Figure FDA0003764238390000036
/>
Figure FDA0003764238390000037
Figure FDA0003764238390000041
8.一种警务云安全数据的融合系统,其特征在于,所述系统包括:
日志获取模块,用于获取多个数据源的网络攻击数据并进行解析,生成相应的日志集;
特征获取模块,用于对每个日志集执行特征工程获取对应的特征数据集;
攻击识别模块,用于将每个特征数据集输入相应的预构建的攻击识别模型,获取相应的攻击模式集;
模式融合模块,用于基于D-S证据理论对每个攻击模式集进行融合分析并输出融合结果;
其中,所述攻击识别模型的构建包括:
获取数据源的历史网络攻击数据并进行解析,生成相应的历史日志集;
基于预设的攻击模式对所述历史日志集进行攻击模式的匹配过滤;
对匹配过滤后的历史日志集执行特征工程获取对应的历史特征数据集;
将历史特征数据集输入初始化的卷积神经网络模型进行训练得到攻击识别模型。
9.一种警务云安全数据的融合装置,其特征在于,包括处理器及存储介质;
所述存储介质用于存储指令;
所述处理器用于根据所述指令进行操作以执行根据权利要求1-7任一项所述方法的步骤。
10.计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
CN202210881209.8A 2022-07-26 2022-07-26 一种警务云安全数据的融合方法、系统、装置及存储介质 Active CN115277177B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210881209.8A CN115277177B (zh) 2022-07-26 2022-07-26 一种警务云安全数据的融合方法、系统、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210881209.8A CN115277177B (zh) 2022-07-26 2022-07-26 一种警务云安全数据的融合方法、系统、装置及存储介质

Publications (2)

Publication Number Publication Date
CN115277177A CN115277177A (zh) 2022-11-01
CN115277177B true CN115277177B (zh) 2023-05-23

Family

ID=83769237

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210881209.8A Active CN115277177B (zh) 2022-07-26 2022-07-26 一种警务云安全数据的融合方法、系统、装置及存储介质

Country Status (1)

Country Link
CN (1) CN115277177B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法
CN111199279A (zh) * 2019-10-30 2020-05-26 山东浪潮人工智能研究院有限公司 一种警务行业云端边缘计算和人工智能融合方法及装置
CN113887807A (zh) * 2021-10-08 2022-01-04 天津大学 基于机器学习和证据理论的机器人博弈战术预测方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104539626A (zh) * 2015-01-14 2015-04-22 中国人民解放军信息工程大学 一种基于多源报警日志的网络攻击场景生成方法
CN111199279A (zh) * 2019-10-30 2020-05-26 山东浪潮人工智能研究院有限公司 一种警务行业云端边缘计算和人工智能融合方法及装置
CN113887807A (zh) * 2021-10-08 2022-01-04 天津大学 基于机器学习和证据理论的机器人博弈战术预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A multi-source data fusion scheme for intrusion detection in networks;Anjum N, etc.;《Sensors》;第21卷(第14期);全文 *
警务云数据安全删除技术及应用;何明等;《中国刑警学院学报》(第3期);第119-128页 *

Also Published As

Publication number Publication date
CN115277177A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
Li et al. LSTM-based SQL injection detection method for intelligent transportation system
CN106790256B (zh) 用于危险主机监测的主动机器学习系统
Park et al. An enhanced AI-based network intrusion detection system using generative adversarial networks
CN109902297B (zh) 一种威胁情报生成方法及装置
CN111475804A (zh) 一种告警预测方法及系统
CN110460458B (zh) 基于多阶马尔科夫链的流量异常检测方法
CN114915478B (zh) 基于多代理的分布式关联分析的智慧园区工控系统网络攻击场景识别方法、系统及存储介质
CN115544519A (zh) 对计量自动化系统威胁情报进行安全性关联分析的方法
CN112532652A (zh) 一种基于多源数据的攻击行为画像装置及方法
CN116915450A (zh) 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法
CN113961425B (zh) 一种告警消息的处理方法、装置及设备
CN115514558A (zh) 一种入侵检测方法、装置、设备及介质
Nuiaa et al. Evolving Dynamic Fuzzy Clustering (EDFC) to Enhance DRDoS_DNS Attacks Detection Mechnism.
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN117061254B (zh) 异常流量检测方法、装置和计算机设备
CN115277177B (zh) 一种警务云安全数据的融合方法、系统、装置及存储介质
CN112422546A (zh) 一种基于变邻域算法和模糊聚类的网络异常检测方法
CN117527295A (zh) 基于人工智能的自适应网络威胁检测系统
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN116668054A (zh) 一种安全事件协同监测预警方法、系统、设备及介质
KR102548321B1 (ko) 효율적인 악성 위협 탐지를 위한 valuable alert 선별 방법
CN115514581A (zh) 一种用于工业互联网数据安全平台的数据分析方法及设备
CN114385472A (zh) 一种异常数据的检测方法、装置、设备及存储介质
Chelak et al. Method of Computer System State Identification based on Boosting Ensemble with Special Preprocessing Procedure
Shao et al. Low-latency Dimensional Expansion and Anomaly Detection empowered Secure IoT Network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant