CN115706671A - 网络安全防御方法、装置以及存储介质 - Google Patents
网络安全防御方法、装置以及存储介质 Download PDFInfo
- Publication number
- CN115706671A CN115706671A CN202110917907.4A CN202110917907A CN115706671A CN 115706671 A CN115706671 A CN 115706671A CN 202110917907 A CN202110917907 A CN 202110917907A CN 115706671 A CN115706671 A CN 115706671A
- Authority
- CN
- China
- Prior art keywords
- attack
- security defense
- security
- characteristic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007123 defense Effects 0.000 title claims abstract description 137
- 238000000034 method Methods 0.000 title claims abstract description 43
- 239000011159 matrix material Substances 0.000 claims abstract description 54
- 239000013598 vector Substances 0.000 claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000013507 mapping Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 abstract description 9
- 230000003044 adaptive effect Effects 0.000 abstract description 5
- 230000002159 abnormal effect Effects 0.000 abstract description 4
- 230000004044 response Effects 0.000 description 16
- 238000004458 analytical method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000005265 energy consumption Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000007711 solidification Methods 0.000 description 1
- 230000008023 solidification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种网络安全防御方法、装置以及存储介质,涉及网络安全技术领域,其中的方法包括:基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵;根据特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值;根据状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。本公开的方法、装置以及存储介质,能够动态调整防御策略,减少遍历标识和异常特征值所带来的计算量,可覆盖自适应防御全环节,能够使决策精准化、自动化。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种网络安全防御方法、装置以及存储介质。
背景技术
随着互联网承载的内容和形式越来越丰富,网络环境中安全威胁也越来越多。面临日益碎片化的安全市场与持续增加的高级持续定向攻击,自适应安全防护框架被越来越多地使用。与传统的安全服务模式相比,虽然自适应安全框架能够在一定程度上解决安全设备固化,应急响应能力弱等问题,但仍存在以下问题:1.决策准确性不高:仍然基于传统的入侵检测手段如模式匹配、协议分析、异常检测等方式完成防御与响应,数据没有经过前期的规则判断与预处理,仅依靠报文头部特征值完成匹配与检测,系统能耗大,同时无法根据系统当前情况动态调整,导致决策容易出现偏差。2.防御策略程式化:无法实现与业务的灵活适应,防御流程无法实现自动化。
发明内容
有鉴于此,本发明要解决的一个技术问题是提供一种网络安全防御方法、装置以及存储介质。
根据本公开的第一方面,提供一种网络安全防御方法,包括:基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵;根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值;根据所述状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。
可选地,所述基于各安全设备的告警信息建立特征向量矩阵包括:设置与所述告警信息相对应的特征字段;基于所述特征字段从所述告警信息中提取对应的特征字段值;根据所述特征字段值确定与网络攻击相对应的攻击类型以及攻击频率;基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵。
可选地,所述告警信息包括:安全日志数据;所述特征字段包括:时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件。
可选地,所述基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵包括:基于所述攻击类型生成攻击类型数据集;其中,所述攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型;基于所述攻击频率生成攻击频率数据集;其中,所述攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率;生成安全防御策略集;其中,所述安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略;基于所述攻击类型数据集、所述攻击频率数据集和所述安全防御策略集,生成所述特征向量矩阵。
可选地,所述攻击类型数据集中的an与所述安全防御策略集中的dn之间的关系包括:一一对应关系或一对多的映射关系。
可选地,所述根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值包括:将所述特征向量矩阵输入所述决策链确定模型,以使所述决策链确定与第i次攻击相对应的状态特征值;所述根据所述状态特征值选取与网络攻击相对应的有效安全防御策略包括:获取与全部安全防御策略相对应的状态特征值的绝对值;选取与所述状态特征值的绝对值的最小值相对应的安全防御策略,作为所述有效安全防御策略。
根据本公开的第二方面,提供一种网络安全防御装置,包括:特征获取模块,用于基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵;状态确定模块,用于根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值;策略选取模块,用于根据所述状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。
可选地,所述特征获取模块,用于设置与所述告警信息相对应的特征字段;基于所述特征字段从所述告警信息中提取对应的特征字段值;根据所述特征字段值确定与网络攻击相对应的攻击类型以及攻击频率;基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵。
可选地,所述告警信息包括:安全日志数据;所述特征字段包括:时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件。
可选地,所述特征获取模块,具体用于基于所述攻击类型生成攻击类型数据集;其中,所述攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型;基于所述攻击频率生成攻击频率数据集;其中,所述攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率;生成安全防御策略集;其中,所述安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略;基于所述攻击类型数据集、所述攻击频率数据集和所述安全防御策略集,生成所述特征向量矩阵。
可选地,所述攻击类型数据集中的an与所述安全防御策略集中的dn之间的关系包括:一一对应关系或一对多的映射关系。
可选地,所述状态确定模块,用于将所述特征向量矩阵输入所述决策链确定模型,以使所述决策链确定与第i次攻击相对应的状态特征值;所述策略选取模块,用于获取与全部安全防御策略相对应的状态特征值的绝对值;选取与所述状态特征值的绝对值的最小值相对应的安全防御策略,作为所述有效安全防御策略。
根据本公开的第三方面,提供一种网络安全防御装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如上所述的方法。
根据本公开的第四方面,提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行如上的方法。
本公开的网络安全防御方法、装置以及存储介质,对攻击进行识别和分析,并进行特征提取生成多维度的特征向量矩阵,通过决策链确定模型并根据特征向量矩阵确定状态特征值,选取有效安全防御策略,作为安全能力间协同和响应的决策依据;能够动态调整防御策略,减少遍历标识和异常特征值所带来的计算量,可覆盖自适应防御全环节,能够使决策精准化、自动化。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为根据本公开的网络安全防御方法的一个实施例的流程示意图;
图2为根据本公开的网络安全防御方法的另一个实施例的流程示意图;
图3为根据本公开的网络安全防御装置的一个实施例的模块示意图;
图4为根据本公开的网络安全防御装置的另一个实施例的模块示意图。
具体实施方式
下面参照附图对本公开进行更全面的描述,其中说明本公开的示例性实施例。下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。下面结合各个图和实施例对本公开的技术方案进行多方面的描述。
图1为根据本公开的网络安全防御方法的一个实施例的流程示意图,如图1所示:
步骤101,基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵。安全设备包括网关、服务器等。告警信息包括安全日志数据等。安全防御策略包括将某IP地址加入黑名单、确定某服务器为Dos攻击源等。
步骤102,根据特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值。
步骤103,根据状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。安全防御处理可以为防止网络定向攻击等。
在一个实施例中,建立特征向量矩阵可以采用多种方法。例如,设置与告警信息相对应的特征字段,基于特征字段从告警信息中提取对应的特征字段值。根据特征字段值确定与网络攻击相对应的攻击类型以及攻击频率,基于攻击类型、攻击频率以及安全防御策略,生成特征向量矩阵。特征字段包括时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件等。
对于告警信息以及针对单一攻击场景,可以采用现有方法进行智能识别和上下文关联分析,计算告警信息相似度,从而将攻击类别划分过程前置。根据攻击类型进行状态特征值匹配,能够减少遍历时间,系统能耗降低。例如,在确定攻击入侵时,对各个安全设备上的基础数据(例如告警信息等)进行关键字段(特征字段)的提取,关键字段包括:时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件等。
通过利用现有的神经网络算法和模糊聚类分析法计算信息相似度,对于多事件之间的告警信息进行上下文联动分析,并针对单一特定场景对特定攻击的特征向量进行分类,在时间轴上对系统状态、所受攻击进行记忆累加。例如,根据时间戳将系统安全日志转化为全局攻击序列,利用现有的模糊聚类分析算法根据安全日志之间的属性相似度,将同一场景下的攻击序列聚集在一起转化为攻击序列集,形成多维度特征向量值输出,生成特征向量矩阵作为决策链确定模型的输入。
在一个实施例中,生成特征向量矩阵可以采用多种方法。例如,基于攻击类型生成攻击类型数据集,攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型。基于攻击频率生成攻击频率数据集,攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率;生成安全防御策略集。安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略。基于攻击类型数据集、攻击频率数据集和安全防御策略集,生成特征向量矩阵。攻击类型数据集中的an与安全防御策略集中的dn之间的关系包括一一对应关系或一对多的映射关系。
确定与网络攻击相对应的状态特征值可以采用多种方法。例如,将特征向量矩阵输入决策链确定模型,以使决策链确定与第i次攻击相对应的状态特征值。选取与网络攻击相对应的有效安全防御策略可以采用多种方法。例如,获取与全部安全防御策略相对应的状态特征值的绝对值,选取与状态特征值的绝对值的最小值相对应的安全防御策略,作为有效安全防御策略。
在一个实施例中,基于对系统攻击的智能场景识别与分类结果,形成该攻击类型的微量化特征描述矩阵,即特征向量矩阵。在决策链确定模型中定义多种响应策略(安全防御策略)路径,可以采用多种方法以及模拟计算得到应用决策后的系统状态值Si,Si绝对值越小,系统状态越优,映射决策链确定模型中所对应的响应策略Dj即为最优响应策略(有效安全防御策略)。
如图2所示,对于系统安全设备的日志基础信息按照关键字段进行特征值拆解,根据上下文信息,通过相似度计算后提取分类。对攻击类型进行判断整合,形成描述该攻击的特征向量矩阵。系统初始状态下,将攻击的特征向量矩阵输入,形成决策链状态初始值,将其输入决策模型(决策链确定模型)得到状态特征值,用于作为判定依据。决策模型可以采用多种方法基于输入的特征向量矩阵,计算状态特征值。
判断此时采取的防御策略是否使系统达到最稳定状态,如果不是,则继续计算其他防御策略的有效值,直至找到最优解,即系统状态最小值。判断此时采取某防御策略可以使系统达到最稳定状态,即所采取的安全防御策略为最优策略,则决策完成,转换至下一状态。
在一个实施例中,形成的特征向量矩阵为{ai,fi,di},作为决策链确定模型的系统状态值输入:初始状态值为S0=0,S=(s1,s2,s3…sm)代表系统在经历第m次攻击时的系统状态,是一个数据集合。A=(a1,a2,a3…an)代表一定时间t内系统遭受的攻击类型数据集,攻击类型包括获取root权限、获取用户权限、Dos拒绝服务攻击、XSS跨站脚本攻击等,a1代表系统遭受的第一次攻击对应的攻击类型,a2代表系统第二次遭受攻击的类型,两次攻击类型可能相同,也可能不同;并且基于CVSS漏洞评分标准,按照攻击危害性依次赋予权重θj;CVSS(Common Vulnerability Scoring System,通用漏洞评分系统”)是一个行业公开标准,被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度。
F=(f1,f2,f3…fn)代表一定时间t内系统所遭受某种攻击的攻击频率,为数据集合,f1代表第一次遭受攻击时,该类攻击的频率,f2代表第二次遭受攻击时,该类攻击的频率,以此类推;攻击频率越高,f值越大;D=(d1,d2,d3…dn)代表对应的防御策略集,是一个数据集合,即在系统遭受某种攻击时所采取的安全防御策略,参数ξ代表策略有效性系数,策略有效性系数ξ为:
在场景理解模型中,攻击类型数据集A与安全防御策略集D存在一对多的映射关系,即一种攻击对应多种可行的防御策略。系统初始状态值s0=0,代表绝对安全状态,没有任何安全威胁与攻击行为。基于上述每一要素的特征向量值,对于任意第i次攻击,系统根据该攻击的特征向量对系统状态进行计算,系统当下状态Sn只与系统前一状态Sn-1有关,与其他时刻状态无关。决策链确定模型可以采用多种算法计算Si,例如:
Si=Si-1*(1+θj*Aj*Fj)-ξ*Dj。
其中,系统状态特征值的绝对值|Si|越小,即绝对值越接近于0,系统状态越稳定,安全性越高,即所对应的策略Dj防护性能越强,Dj即为特定状态下决策链选中的有效策略,决策完成。
基于对系统攻击的智能场景识别与分类,形成该攻击类型的微量化的特征向量矩阵,形成被攻击系统当前状态Si-1,作为决策链的输入,在决策链确定模型中定义多种响应的安全防御策略路径,通过模拟计算得到应用决策后的系统状态值Si,Si绝对值越小,系统状态越优,映射计算模型中所对应的响应策略Dj即为最优响应策略,从而形成基于状态迁移的决策链,作为安全能力间协同和响应的决策依据。
在一个实施例中,在外部数据输入预处理阶段,通过采用现有的神经网络等算法对攻击特征值进行关键字段提取,实现系统根据单一攻击场景对特征值进行理解并分类,对系统状态进行累加存储,形成特征向量矩阵,作为决策链初始输入值,完成攻击与被攻击对象的多维度向量化呈现。
在决策链确定模型中,通过输入特征向量矩阵的特征向量值,对系统下一状态进行计算评估,找到某一攻击行为下最优防御策略,减少特征匹配时的遍历计算量,提高防护系统的决策精准度,对攻击行为采取动态防御策略与响应,并根据防御结果将系统中所新学习的策略对状态特征库进行更新与迭代,整体上做到各环节联动,在自适应安全闭环上实现防护的自动化、灵活化、精准化。具有多种监测防护响应设备和多种攻击检测能力的防御系统,需要对各类攻击防御场景数据源进行预处理,同时对主动防御与持续响应有着高自动化、高精准度要求的各类安全防护场景均可应用。
上述实施例中的网络安全防御方法,基于对攻击场景的理解,完成攻击的识别和分析,并对攻击行为进行特征提取与向量化描述,将原有的仅以时间轴为顺序的攻击行为排列方式转变为多维度的向量化呈现,表述被攻击对象的状态;同时针对单一攻击场景形成防御模型,定义多种可选策略路径,通过计算被攻击对象应用策略后的状态值来选取最佳路径,从而形成基于状态迁移的决策链,作为安全能力间协同和响应的决策依据;能够减少为了遍历标识和异常特征值所带来的计算量,决策链的应用可覆盖自适应防御全环节,做到决策精准化、自动化。
在一个实施例中,如图3所示,本公开提供一种网络安全防御装置30,包括特征获取模块31、状态确定模块32和策略选取模块33。特征获取模块31基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵。状态确定模块32根据特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值。策略选取模块33根据状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。
在一个实施例中,特征获取模块31设置与告警信息相对应的特征字段,基于特征字段从告警信息中提取对应的特征字段值。特征获取模块31根据特征字段值确定与网络攻击相对应的攻击类型以及攻击频率,基于攻击类型、攻击频率以及安全防御策略,生成特征向量矩阵。
特征获取模块31基于攻击类型生成攻击类型数据集;其中,攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型。特征获取模块31基于攻击频率生成攻击频率数据集;其中,攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率。特征获取模块31生成安全防御策略集;其中,安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略。特征获取模块31基于攻击类型数据集、攻击频率数据集和安全防御策略集,生成特征向量矩阵。攻击类型数据集中的an与安全防御策略集中的dn之间的关系包括一一对应关系或一对多的映射关系。
状态确定模块32将特征向量矩阵输入决策链确定模型,以使决策链确定与第i次攻击相对应的状态特征值。策略选取模块33获取与全部安全防御策略相对应的状态特征值的绝对值,选取与状态特征值的绝对值的最小值相对应的安全防御策略,作为有效安全防御策略。
在一个实施例中,图4为根据本公开的网络安全防御装置的另一个实施例的模块示意图。如图4所示,该装置可包括存储器41、处理器42、通信接口43以及总线44。存储器41用于存储指令,处理器42耦合到存储器41,处理器42被配置为基于存储器41存储的指令执行实现上述的网络安全防御方法。
存储器41可以为高速RAM存储器、非易失性存储器(non-volatile memory)等,存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。处理器42可以为中央处理器CPU,或专用集成电路ASIC(Application SpecificIntegrated Circuit),或者是被配置成实施本公开的网络安全防御方法的一个或多个集成电路。
在一个实施例中,本公开提供一种计算机可读存储介质,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上任一个实施例中的网络安全防御方法。
上述实施例提供的网络安全防御方法、装置以及存储介质,对攻击进行识别和分析,并进行特征提取生成多维度的特征向量矩阵,通过决策链确定模型并根据特征向量矩阵确定状态特征值,选取有效安全防御策略,作为安全能力间协同和响应的决策依据;能够动态调整防御策略,减少遍历标识和异常特征值所带来的计算量,可覆盖自适应防御全环节,能够使决策精准化、自动化。
可能以许多方式来实现本公开的方法和系统。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本公开的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明,本公开的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本公开实施为记录在记录介质中的程序,这些程序包括用于实现根据本公开的方法的机器可读指令。因而,本公开还覆盖存储用于执行根据本公开的方法的程序的记录介质。
本公开的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本公开限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本公开的原理和实际应用,并且使本领域的普通技术人员能够理解本公开从而设计适于特定用途的带有各种修改的各种实施例。
Claims (14)
1.一种网络安全防御方法,包括:
基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵;
根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值;
根据所述状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。
2.如权利要求1所述的方法,所述基于各安全设备的告警信息建立特征向量矩阵包括:
设置与所述告警信息相对应的特征字段;
基于所述特征字段从所述告警信息中提取对应的特征字段值;
根据所述特征字段值确定与网络攻击相对应的攻击类型以及攻击频率;
基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵。
3.如权利要求2所述的方法,其中,
所述告警信息包括:安全日志数据;所述特征字段包括:时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件。
4.如权利要求2所述的方法,所述基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵包括:
基于所述攻击类型生成攻击类型数据集;其中,所述攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型;
基于所述攻击频率生成攻击频率数据集;其中,所述攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率;
生成安全防御策略集;其中,所述安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略;
基于所述攻击类型数据集、所述攻击频率数据集和所述安全防御策略集,生成所述特征向量矩阵。
5.如权利要求4所述的方法,其中,
所述攻击类型数据集中的an与所述安全防御策略集中的dn之间的关系包括:一一对应关系或一对多的映射关系。
6.如权利要求1所述的方法,所述根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值包括:
将所述特征向量矩阵输入所述决策链确定模型,以使所述决策链确定与第i次攻击相对应的状态特征值;
所述根据所述状态特征值选取与网络攻击相对应的有效安全防御策略包括:
获取与全部安全防御策略相对应的状态特征值的绝对值;
选取与所述状态特征值的绝对值的最小值相对应的安全防御策略,作为所述有效安全防御策略。
7.一种网络安全防御装置,包括:
特征获取模块,用于基于各安全设备的告警信息以及对应的安全防御策略,建立特征向量矩阵;
状态确定模块,用于根据所述特征向量矩阵并使用决策链确定模型,确定与网络攻击相对应的状态特征值;
策略选取模块,用于根据所述状态特征值选取与网络攻击相对应的有效安全防御策略,用以进行安全防御处理。
8.如权利要求7所述的装置,其中,
所述特征获取模块,用于设置与所述告警信息相对应的特征字段;基于所述特征字段从所述告警信息中提取对应的特征字段值;根据所述特征字段值确定与网络攻击相对应的攻击类型以及攻击频率;基于所述攻击类型、所述攻击频率以及所述安全防御策略,生成所述特征向量矩阵。
9.如权利要求8所述的装置,其中,
所述告警信息包括:安全日志数据;所述特征字段包括:
时间、源地址、源端口、目的地址、目的端口、事件类型、URL地址、Web shell事件。
10.如权利要求8所述的装置,其中,
所述特征获取模块,具体用于基于所述攻击类型生成攻击类型数据集;其中,所述攻击类型数据集A=(a1,a2,a3…an),an表征第n次网络攻击对应的攻击类型;基于所述攻击频率生成攻击频率数据集;其中,所述攻击频率数据集F=(f1,f2,f3…fn),fn表征与第n次网络攻击对应的频率;生成安全防御策略集;其中,所述安全防御策略集D=(d1,d2,d3…dn),dn表征遭受的第n次攻击时所采取的防御策略;基于所述攻击类型数据集、所述攻击频率数据集和所述安全防御策略集,生成所述特征向量矩阵。
11.如权利要求10所述的装置,其中,
所述攻击类型数据集中的an与所述安全防御策略集中的dn之间的关系包括:一一对应关系或一对多的映射关系。
12.如权利要求7所述的装置,其中,
所述状态确定模块,用于将所述特征向量矩阵输入所述决策链确定模型,以使所述决策链确定与第i次攻击相对应的状态特征值;
所述策略选取模块,用于获取与全部安全防御策略相对应的状态特征值的绝对值;选取与所述状态特征值的绝对值的最小值相对应的安全防御策略,作为所述有效安全防御策略。
13.一种网络安全防御装置,包括:
存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1-6中任一项所述的方法。
14.一种计算机可读存储介质,所述计算机可读存储介质非暂时性地存储有计算机指令,所述指令被处理器执行如权利要求1至6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110917907.4A CN115706671A (zh) | 2021-08-11 | 2021-08-11 | 网络安全防御方法、装置以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110917907.4A CN115706671A (zh) | 2021-08-11 | 2021-08-11 | 网络安全防御方法、装置以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115706671A true CN115706671A (zh) | 2023-02-17 |
Family
ID=85179726
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110917907.4A Pending CN115706671A (zh) | 2021-08-11 | 2021-08-11 | 网络安全防御方法、装置以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115706671A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170229A (zh) * | 2023-03-15 | 2023-05-26 | 广东英大信息技术有限公司 | 网络安全检测方法、装置、服务器及计算机可读存储介质 |
CN116996310A (zh) * | 2023-08-15 | 2023-11-03 | 广东中山网传媒信息科技有限公司 | 基于主动式防御的服务器网络安全保护方法 |
-
2021
- 2021-08-11 CN CN202110917907.4A patent/CN115706671A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116170229A (zh) * | 2023-03-15 | 2023-05-26 | 广东英大信息技术有限公司 | 网络安全检测方法、装置、服务器及计算机可读存储介质 |
CN116170229B (zh) * | 2023-03-15 | 2023-10-03 | 广东英大信息技术有限公司 | 网络安全检测方法、装置、服务器及计算机可读存储介质 |
CN116996310A (zh) * | 2023-08-15 | 2023-11-03 | 广东中山网传媒信息科技有限公司 | 基于主动式防御的服务器网络安全保护方法 |
CN116996310B (zh) * | 2023-08-15 | 2024-04-23 | 广东中山网传媒信息科技有限公司 | 基于主动式防御的服务器网络安全保护方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Moustafa et al. | A hybrid feature selection for network intrusion detection systems: Central points | |
US11201882B2 (en) | Detection of malicious network activity | |
El Sayed et al. | A flow-based anomaly detection approach with feature selection method against ddos attacks in sdns | |
Jiang et al. | An approach to detect remote access trojan in the early stage of communication | |
CN111107096A (zh) | 一种Web站点安全防护方法及装置 | |
US20230325497A1 (en) | Watermark protection of artificial intelligence model | |
CN115706671A (zh) | 网络安全防御方法、装置以及存储介质 | |
CN109951462B (zh) | 一种基于全息建模的应用软件流量异常检测系统及方法 | |
CN113079150B (zh) | 一种电力终端设备入侵检测方法 | |
CN111224973A (zh) | 一种基于工业云的网络攻击快速检测系统 | |
Ahuja et al. | Ascertain the efficient machine learning approach to detect different ARP attacks | |
CN117113262B (zh) | 网络流量识别方法及其系统 | |
Abdulrazaq et al. | Combination of multi classification algorithms for intrusion detection system | |
CN112351018A (zh) | Dns隐蔽信道检测方法、装置及设备 | |
Rajesh et al. | Evaluation of machine learning algorithms for detection of malicious traffic in scada network | |
CN114531283A (zh) | 入侵检测模型的鲁棒性测定方法、系统、存储介质及终端 | |
EP2112800B1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
EP4111660B1 (en) | Cyberattack identification in a network environment | |
Dhamor et al. | Dynamic approaches for detection of DDoS threats using machine learning | |
CN115225301B (zh) | 基于d-s证据理论的混合入侵检测方法和系统 | |
Fakirah et al. | A low-cost machine learning based network intrusion detection system with data privacy preservation | |
Murthy et al. | Hybrid intelligent intrusion detection system using bayesian and genetic algorithm (baga): comparitive study | |
CN113297582A (zh) | 基于信息安全大数据的安全画像生成方法及大数据系统 | |
Gottwalt et al. | Analysis of feature selection techniques for correlation-based network anomaly detection | |
CN117792681A (zh) | 网络流量的访问控制方法、装置以及存储介质和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |