CN115987615A - 一种网络行为安全预警方法及系统 - Google Patents

一种网络行为安全预警方法及系统 Download PDF

Info

Publication number
CN115987615A
CN115987615A CN202211645263.9A CN202211645263A CN115987615A CN 115987615 A CN115987615 A CN 115987615A CN 202211645263 A CN202211645263 A CN 202211645263A CN 115987615 A CN115987615 A CN 115987615A
Authority
CN
China
Prior art keywords
behavior
network
network behavior
subsequent
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211645263.9A
Other languages
English (en)
Inventor
刘智文
张树贵
宋玮
李阳
崔泳
王江能
魏杪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Zhutai Technology Co ltd
Shenzhen Xinghuo Electronic Engineering Co
Original Assignee
Shenzhen Zhutai Technology Co ltd
Shenzhen Xinghuo Electronic Engineering Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Zhutai Technology Co ltd, Shenzhen Xinghuo Electronic Engineering Co filed Critical Shenzhen Zhutai Technology Co ltd
Priority to CN202211645263.9A priority Critical patent/CN115987615A/zh
Publication of CN115987615A publication Critical patent/CN115987615A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种网络行为安全预警方法及系统,涉及网络安全技术领域,其方法包括:获取攻击事件数据;对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;基于预测模型,预测后继网络行为;基于网络行为关联原则,确定预测的后继网络行为的风险值,当风险值不小于第一预设阈值,对预测的后继网络行为特征采集得到第二关键特征,将所述第二关键特征与网络异常行为特征集进行特征匹配,基于匹配度判断预测的后继行为是否将面临攻击事件,并进行安全预警。通过分析攻击事件数据,以及预测后继网络行为,来确定后继网络行为被攻击的风险值,实现安全预警。

Description

一种网络行为安全预警方法及系统
技术领域
本发明涉及网络安全技术领域,特别涉及一种网络行为安全预警方法及系统。
背景技术
计算机网络技术的不断进步与大规模普及,让社会真正意义地走进了信息化时代,不断提高着人们生产生活的效率以及生活水平。但是互联网不断发展的同时,网络安全威胁的风险也越来越高,出现许多因恶意网络行为而导致巨大失误和损失的情况,例如漏洞攻击、勒索软件攻击、病毒攻击等等。
目前,有关网络安全受到威胁的应对方式要么是在安全威胁产生后进行处理,要么要求客户拒绝访问未知文件或网站,极大影响用户体验。所以如何有效确保网络稳定运行的同时不影响用户体验就显得至关重要。
因此,本发明提出了一种网络行为安全预警方法及系统。
发明内容
本发明提供一种网络行为安全预警方法及系统,用以通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析;基于预测模型,预测得到后继网络行为;确定预测的后继网络行为被攻击的风险值,并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况,来有效判断后继行为是否会受到攻击,以实现安全预警。
本发明提供一种网络行为安全预警方法,包括:
步骤1:捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
步骤2:对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
步骤3:获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
步骤4:基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
步骤5:基于网络行为关联原则,确定预测的后继网络行为的风险值,若风险值小于第一预设阈值,继续进行网络行为安全监测;
否则,对预测的后继网络行为进行特征采集得到第二关键特征,将所述第二关键特征与网络异常行为特征集进行特征匹配,若匹配度大于第二预设阈值,确定预测的后继行为将面临攻击事件,并进行安全预警。
优选的,捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据,包括:
监听网络,获取目标用户的历史网络行为数据包;
检测所述目标用户的历史网络行为数据包,筛选得到存在安全隐患的非正常数据信息;
对非正常数据信息进行分析与过滤,获取有价值的数据作为攻击事件数据进行输出。
优选的,对所述攻击事件数据进行预处理和聚类,得到第一聚类结果,包括:
对所述攻击事件数据进行预处理,得到标准特征值;
将所述标准特征值输入到聚类分析模型中进行聚类,得到第一聚类结果,其步骤如下:
步骤01:将所述标准特征值作为样本构建的样本数据集合X输入到聚类模型中进行聚类;
步骤02:通过对每个初次聚类结果中的样本分布进行密度分析,得到初始聚类中心;
步骤03:计算每个初次聚类结果中的每个样本与对应初始聚类中心的第一距离;
步骤04:若所有第一距离都小于或等于预设阈值,将对应的第一样本划入本类中;
若存在第一距离大于预设阈值的第二样本,将所述第二样本从所属的类中排除,构建孤立点集,基于密度分析确定对应第二聚类中心;
步骤05:获取所述第二聚类中心到每个样本的第二距离,将第二距离小于预设阈值的同时小于第一距离的第三样本划入本类中;并将与第三样本一致的第一样本从原类中剔除,最后总结得到第一聚类结果。
优选的,所述网络异常行为特征集包括:每个网络异常行为对应的的数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例。
优选的,基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为,包括:
分析目标用户的当前网络行为和历史网络行为,以其相似性实现行为分类,得到目标用户的行为习惯序列;
针对行为习惯序列中的多次出现序列以及与出现序列对应的触发条件进行分析处理,得到行为习惯模式;
基于所述行为习惯模式,对神经网络模型进行训练生成预测模型,并基于当前网络行为的触发条件,来预测后继网络行为。
优选的,预测后继网络行为,包括:
步骤11:基于所述预测模型对所述当前网络行为以及相应的触发条件进行预测,获取得到若干后继行为模式;
步骤12:基于若干后继行为模式,且结合行为习惯模式以及每个行为习惯模式的触发条件,生成行为权值有向图,筛选出权值最大的后继行为作为第一待选行为进行输出;
步骤13:计算若干历史网络行为所对应后继行为的权值误差,并根据权值误差对行为权值有向图进行更新调整;其中,权值误差公式如下:
Figure BDA0004006625470000041
其中,M表示为权值误差;x′i表示为第i个历史网络行为的后继行为的真实权值;其中i∈(1,2,…,n);xi表示为第i个历史网络行为数据输入到预测模型中得到的对应后继行为的预测权值;n表示为输入预测模型中的历史网络行为个数;δ表示为当前网络行为带来的偏差影响因子,取值范围是(0,e-3);
步骤14:根据更新后的权值有向图,获取权值最大的第二待选行为,若第一待选行为与第二待选行为不一致,选取第二待选行为作为预测的后继网络行为输出。
优选的,基于网络行为关联原则,确定预测的后继网络行为的风险值,包括;
计算预测的后继网络行为受到攻击的风险值,公式如下:
Figure BDA0004006625470000042
其中,F表示为预测的后继网络行为受到攻击的风险值;b表示为当前网络行为对预测的后继网络行为的风险影响因子,取值范围内是(0,1);a1表示为当前网络行为的行为价值;β表示为历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败因子,取值范围是(0,1);w1表示为第一权重;w2表示为第二权重,且w1<w2
优选的,将所述第二关键特征与网络异常行为特征集进行特征匹配,包括:
对预测的后继网络行为进行主成分的分析处理,得到第二关键特征;
将所述第二关键特征中的误匹配特征值进行剔除,以实现粗剔除,得到第二关键特征值;
将所述第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比;
根据第j组第一匹配特征值与第二关键特征值,确定特征匹配度;
Figure BDA0004006625470000051
其中,j∈(1,2,…z),z表示为网络异常行为特征集中的网络异常行为个数;mk表示为第j组第一匹配特征值的个数;N表示为第二关键特征值的个数;sim(S0,Sj)表示第二关键特征值S0与第j组网络异常行为Sj的相似函数;
若pmax小于第二预设阈值,确定所述预测的后继网络行为不会受到攻击,此时,继续进行安全监测,其中,pmax表示为所有pj中的最大值;
若pmax不小于第二预设阈值,此时提取pmax对应的网络异常行为的攻击事件数据,采取针对性应急措施实现安全预警。
本发明提供一种网络行为安全预警系统,包括:
数据获取模块:用于捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
聚类分析模块:用于对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
特征获取模块:用于获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
预测行为模块:用于基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
安全预警模块:基于网络行为关联原则,确定预测的后继网络行为的风险值,并结合与网络异常特征的匹配情况来确定未来是否需要安全预警。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例中一种网络行为安全预警方法的流程图;
图2为本发明实施例中一种网络行为安全预警系统的结构图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明实施例提供一种网络行为安全预警方法,如图1所示,包括:
步骤1:捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
步骤2:对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
步骤3:获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
步骤4:基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
步骤5:基于网络行为关联原则,确定预测的后继网络行为的风险值,若风险值小于第一预设阈值,继续进行网络行为安全监测;
否则,对预测的后继网络行为进行特征采集得到第二关键特征,将所述第二关键特征与网络异常行为特征集进行特征匹配,若匹配度大于第二预设阈值,确定预测的后继行为将面临攻击事件,并进行安全预警。
该实施例中,历史网络行为数据包中含有网络节点数据、网络流量信息、操作数据、攻击事件数据、通信数据以及防御数据;攻击事件数据主要是指攻击来源数据、攻击链行为数据以及攻击的网络行为数据。
该实施例中,对攻击事件数据预处理是为了将对应的数据格式转化为特征值的规范格式,来为后续的聚类处理奠定基础。
该实施例中,网络异常行为特征集是由第一关键特征构成的,实际上是指每个网络异常行为的数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例;其中网络异常行为是指攻击事件对应的网络行为。
该实施例中,后继网络行为是指某一网络行为结束后的下一个网络行为;网络行为关联原则是指前后网络行为之前存在的依赖和影响的合理化现象。
该实施例中,第一预设阈值是提前设定好的标准值,一般取值为0.55,其目的是为了对预测的后继网络行为受到攻击概率是否达到临界值进行判定。
该实施例中,第二关键特征是指预测的后继网络行为的主要特征;第二预设阈值是提前设定好的,一般取值为0.6。
上述技术方案的有益效果是:通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析;基于预测模型,预测得到后继网络行为;确定预测的后继网络行为被攻击的风险值,并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况,来有效判断后继行为是否会受到攻击,以实现安全预警。
本发明实施例提供一种网络行为安全预警方法,捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据,包括:
监听网络,获取目标用户的历史网络行为数据包;
检测所述目标用户的历史网络行为数据包,筛选得到存在安全隐患的非正常数据信息;
对非正常数据信息进行分析与过滤,获取有价值的数据作为攻击事件数据进行输出。
该实施例中,安全隐患包括有网络节点漏洞、防御异常、操作日志异常以及通信异常;攻击事件数据是指攻击来源数据、攻击链行为数据以及攻击的网络行为数据。
上述技术方案的有益效果是:通过对目标用户的历史网络行为数据包获取与检测,得到存在安全隐患的非正常数据信息;对非正常信息进行过滤来有效得到攻击事件数据,为后续聚类分析提供数据支撑。
本发明实施例提供一种网络行为安全预警方法,对所述攻击事件数据进行预处理和聚类,得到第一聚类结果,包括:
对所述攻击事件数据进行预处理,得到标准特征值;
将所述标准特征值输入到聚类分析模型中进行聚类,得到第一聚类结果,其步骤如下:
步骤01:将所述标准特征值作为样本构建的样本数据集合X输入到聚类模型中进行聚类;
步骤02:通过对每个初次聚类结果中的样本分布进行密度分析,得到初始聚类中心;
步骤03:计算每个初次聚类结果中的每个样本与对应初始聚类中心的第一距离;
步骤04:若所有第一距离都小于或等于预设阈值,将对应的第一样本划入本类中;
若存在第一距离大于预设阈值的第二样本,将所述第二样本从所属的类中排除,构建孤立点集,基于密度分析确定对应第二聚类中心;
步骤05:获取所述第二聚类中心到每个样本的第二距离,将第二距离小于预设阈值的同时小于第一距离的第三样本划入本类中;并将与第三样本一致的第一样本从原类中剔除,最后总结得到第一聚类结果。
该实施例中,第一距离是指经计算得到的每个样本与初始聚类中心的距离,取值区间(0,1);预设阈值是提前设定好的,一般为0.6。
该实施例中,比如,存在初始聚类中心A与样本1、2、3对应的第一距离分别是0.3、0.6、0.7,此时确定样本1和2为第一样本,划入初始聚类中心对应的初始聚类中,样本3作为第二样本划出该类。
该实施例中,比如,存在初始聚类中心B、第二聚类中心C以及包含在初始聚类中心B对应类中的样本4、5;确定样本4、5到初始聚类中心B的第一距离分别是0.1、0.5,到第二聚类中心C的第二距离分别是0.2、0.4;
此时,因为样本5对应的第二距离小于预设阈值且小于第一距离,因此,样本5划入第二聚类中心C对应的类中,并从初始聚类中心B对应的类中剔除;而样本4对应的第二距离大于第一距离,故样本4仍应该从属于初始聚类中心B的对应类中。
上述技术方案的有益效果是:通过对攻击事件数据预处理得到能进行聚类分析的标准特征值;将标准特征值作为样本进行聚类处理,为有效获取同类结果中攻击事件对应的网络行为的关键特征,来构建网络异常行为特征集提供基础。
本发明实施例提供一种网络行为安全预警方法,基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为,包括:
分析目标用户的当前网络行为和历史网络行为,以其相似性实现行为分类,得到目标用户的行为习惯序列;
针对行为习惯序列中的多次出现序列以及与出现序列对应的触发条件进行分析处理,得到行为习惯模式;
基于所述行为习惯模式,对神经网络模型进行训练生成预测模型,并基于当前网络行为的触发条件,来预测后继网络行为。
该实施例中,行为习惯序列是通过充分应用网络行为数据,对用户的行为进行分析,基于相似性分类得到的;触发条件实际上是指目标用户的网络行为目的以及前一行为对当前行为的影响因素;行为习惯模式是以所有得到的行为习惯序列为基础分析总结得到的有规律的行为结构。
上述技术方案的有益效果是:通过基于目标用户的网络行为数据,对目标用户的网络行为相似性分类得到行为习惯序列;结合触发条件以及对行为习惯序列的总结得到行为习惯模式;根据行为习惯模式训练神经网络模型可以有效生成预测模型,实现对后继网络行为的预测,为网络行为安全预警提供基础。
本发明实施例提供一种网络行为安全预警方法,预测后继网络行为,包括:
步骤11:基于所述预测模型对所述当前网络行为以及相应的触发条件进行预测,获取得到若干后继行为模式;
步骤12:基于若干后继行为模式,且结合行为习惯模式以及每个行为习惯模式的触发条件,生成行为权值有向图,筛选出权值最大的后继行为作为第一待选行为进行输出;
步骤13:计算若干历史网络行为所对应后继行为的权值误差,并根据权值误差对行为权值有向图进行更新调整;其中,权值误差公式如下:
Figure BDA0004006625470000101
其中,M表示为权值误差;x′i表示为第i个历史网络行为的后继行为的真实权值;其中i∈(1,2,…,n);xi表示为第i个历史网络行为数据输入到预测模型中得到的对应后继行为的预测权值;n表示为输入预测模型中的历史网络行为个数;δ表示为当前网络行为带来的偏差影响因子,取值范围是(0,e-3);
步骤14:根据更新后的权值有向图,获取权值最大的第二待选行为,若第一待选行为与第二待选行为不一致,选取第二待选行为作为预测的后继网络行为输出。
该实施例中,后继行为模式是指后继行为的行为结构、内容以及有规律的行为系列;行为权值有向图是基于对行为模式的监测得到,主要由带有权值的行为构成,可以得到不同行为彼此之间的对应关系,有利于筛选得到可能性最高的后继行为。
该实施例中,比如,存在后继行为1、2、3,对应权值分别是x1、x2、x3;因为x1<x2<x3,故确定后继行为3是第一待选行为;接着,基于更新后的行为带权有向图得到权值最大的后继行为4,此时若后继行为3与后继行为4不一致,确定后继行为4是预测的后继网络行为。
该实施例中,对行为权值有向图进行更新调整是为了促使预测结果更加精确。
上述技术方案的有益效果是:通过预测模型获取后继行为模式;将后继行为模式、行为习惯模式与触发条件相结合可有利于得到行为带权有向图;基于对所述行为带权有向图的分析与更新优化,可有效筛选得到可能性最高的后继行为作为预测的后继行为输出,并提高了预测的精确性。
本发明实施例提供一种网络行为安全预警方法,基于网络行为关联原则,确定预测的后继网络行为的风险值,包括;
计算预测的后继网络行为受到攻击的风险值,公式如下:
Figure BDA0004006625470000111
其中,F表示为预测的后继网络行为受到攻击的风险值;b表示为当前网络行为对预测的后继网络行为的风险影响因子,取值范围内是(0,1);a1表示为当前网络行为的行为价值;β表示为历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败因子,取值范围是(0,1);w1表示为第一权重;w2表示为第二权重,且w1<w2
上述技术方案的有益效果是:通过将当前网络行为的行为价值和对预测的后继网络行为的风险影响,以及历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败进行权重分析计算,来得到预测的后继网络行为受到攻击的风险值,以保证后续安全预警的合理性。
本发明实施例提供一种网络行为安全预警方法,将所述第二关键特征与网络异常行为特征集进行特征匹配,包括:
对预测的后继网络行为进行主成分的分析处理,得到第二关键特征;
将所述第二关键特征中的误匹配特征值进行剔除,以实现粗剔除,得到第二关键特征值;
将所述第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比;
根据第j组第一匹配特征值与第二关键特征值,确定特征匹配度;
Figure BDA0004006625470000121
其中,j∈(1,2,…z),z表示为网络异常行为特征集中的网络异常行为个数;mj表示为第j组第一匹配特征值的个数;N表示为第二关键特征值的个数;sim(S0,Sj)表示第二关键特征值S0与第j组网络异常行为Sj的相似函数;
若pmax小于第二预设阈值,确定所述预测的后继网络行为不会受到攻击,此时,继续进行安全监测,其中,pmax表示为所有pj中的最大值;
若pmax不小于第二预设阈值,此时提取pmax对应的网络异常行为的攻击事件数据,采取针对性应急措施实现安全预警。
该实施例中,第二关键特征包括有数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例。
该实施例中,误匹配特征值是指可能导致匹配结果存在误差的特征值;粗剔除是为了保证匹配结果的精确性。
该实施例中,第二预设阈值是提前设定好的,一般取值为0.6。
该实施例中,比如,存在特征匹配度最大值pmax=0.7,确定大于预设第二预设阈值0.6,此时进入安全预警状态,提取pmax对应的网络异常行为的攻击事件数据,包括有攻击源数据、攻击链行为数据,来确定攻击企图、攻击类别、攻击的对象范围以及攻击可能造成的后果,来采取针对性应急措施,并做好记录日志以及及时上报。
上述技术方案的有益效果是:通过将剔除误匹配特征值后得到的第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比,得到特征匹配度;根据特征匹配度最大值与第二预设阈值之间的大小关系来有效判定预测的后继网络行为会受到攻击事件,进而确定是否进行安全预警以及针对性应急措施。
本发明实施例提供一种网络行为安全预警系统,如图2所示,包括:
数据获取模块:用于捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
聚类分析模块:用于对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
特征获取模块:用于获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
预测行为模块:用于基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
安全预警模块:基于网络行为关联原则,确定预测的后继网络行为的风险值,并结合与网络异常特征的匹配情况来确定未来是否需要安全预警。
上述技术方案的有益效果是:通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析;基于预测模型,预测得到后继网络行为;确定预测的后继网络行为被攻击的风险值,并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况,来有效判断后继行为是否会受到攻击,以实现安全预警。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (9)

1.一种网络行为安全预警方法,其特征在于,包括:
步骤1:捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
步骤2:对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
步骤3:获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
步骤4:基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
步骤5:基于网络行为关联原则,确定预测的后继网络行为的风险值,若风险值小于第一预设阈值,继续进行网络行为安全监测;
否则,对预测的后继网络行为进行特征采集得到第二关键特征,将所述第二关键特征与网络异常行为特征集进行特征匹配,若匹配度大于第二预设阈值,确定预测的后继行为将面临攻击事件,并进行安全预警。
2.如权利要求1所述的一种网络行为安全预警方法,其特征在于,捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据,包括:
监听网络,获取目标用户的历史网络行为数据包;
检测所述目标用户的历史网络行为数据包,筛选得到存在安全隐患的非正常数据信息;
对非正常数据信息进行分析与过滤,获取有价值的数据作为攻击事件数据进行输出。
3.如权利要求1所述的一种网络行为安全预警方法,其特征在于,对所述攻击事件数据进行预处理和聚类,得到第一聚类结果,包括:
对所述攻击事件数据进行预处理,得到标准特征值;
将所述标准特征值输入到聚类分析模型中进行聚类,得到第一聚类结果,其步骤如下:
步骤01:将所述标准特征值作为样本构建的样本数据集合X输入到聚类模型中进行聚类;
步骤02:通过对每个初次聚类结果中的样本分布进行密度分析,得到初始聚类中心;
步骤03:计算每个初次聚类结果中的每个样本与对应初始聚类中心的第一距离;
步骤04:若所有第一距离都小于或等于预设阈值,将对应的第一样本划入本类中;
若存在第一距离大于预设阈值的第二样本,将所述第二样本从所属的类中排除,构建孤立点集,基于密度分析确定对应第二聚类中心;
步骤05:获取所述第二聚类中心到每个样本的第二距离,将第二距离小于预设阈值的同时小于第一距离的第三样本划入本类中;并将与第三样本一致的第一样本从原类中剔除,最后总结得到第一聚类结果。
4.如权利要求1所述的一种网络行为安全预警方法,其特征在于,所述网络异常行为特征集包括:每个网络异常行为对应的的数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例。
5.如权利要求1所述的一种网络行为安全预警方法,其特征在于,基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为,包括:
分析目标用户的当前网络行为和历史网络行为,以其相似性实现行为分类,得到目标用户的行为习惯序列;
针对行为习惯序列中的多次出现序列以及与出现序列对应的触发条件进行分析处理,得到行为习惯模式;
基于所述行为习惯模式,对神经网络模型进行训练生成预测模型,并基于当前网络行为的触发条件,来预测后继网络行为。
6.如权利要求5所述的一种网络行为安全预警方法,其特征在于,预测后继网络行为,包括:
步骤11:基于所述预测模型对所述当前网络行为以及相应的触发条件进行预测,获取得到若干后继行为模式;
步骤12:基于若干后继行为模式,且结合行为习惯模式以及每个行为习惯模式的触发条件,生成行为权值有向图,筛选出权值最大的后继行为作为第一待选行为进行输出;
步骤13:计算若干历史网络行为所对应后继行为的权值误差,并根据权值误差对行为权值有向图进行更新调整;其中,权值误差公式如下:
Figure FDA0004006625460000031
其中,M表示为权值误差;xi 表示为第i个历史网络行为的后继行为的真实权值;其中i∈(1,2,…,n;xi表示为第i个历史网络行为数据输入到预测模型中得到的对应后继行为的预测权值;n表示为输入预测模型中的历史网络行为个数;δ表示为当前网络行为带来的偏差影响因子,取值范围是(0,e-3);
步骤14:根据更新后的权值有向图,获取权值最大的第二待选行为,若第一待选行为与第二待选行为不一致,选取第二待选行为作为预测的后继网络行为输出。
7.如权利要求1所述的一种网络行为安全预警方法,其特征在于,基于网络行为关联原则,确定预测的后继网络行为的风险值,包括;
计算预测的后继网络行为受到攻击的风险值,公式如下:
Figure FDA0004006625460000032
其中,F表示为预测的后继网络行为受到攻击的风险值;b表示为当前网络行为对预测的后继网络行为的风险影响因子,取值范围内是(0,1);a1表示为当前网络行为的行为价值;β表示为历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败因子,取值范围是(0,1);w1表示为第一权重;w2表示为第二权重,且w1<w2
8.如权利要求1所述的一种网络行为安全预警方法,其特征在于,将所述第二关键特征与网络异常行为特征集进行特征匹配,包括:
对预测的后继网络行为进行主成分的分析处理,得到第二关键特征;
将所述第二关键特征中的误匹配特征值进行剔除,以实现粗剔除,得到第二关键特征值;
将所述第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比;
根据第j组第一匹配特征值与第二关键特征值,确定特征匹配度;
Figure FDA0004006625460000041
其中,j∈(1,2,…z),z表示为网络异常行为特征集中的网络异常行为个数;mj表示为第j组第一匹配特征值的个数;N表示为第二关键特征值的个数;sim(S0,Sj)表示第二关键特征值S0与第j组网络异常行为Sj的相似函数;
若pmax小于第二预设阈值,确定所述预测的后继网络行为不会受到攻击,此时,继续进行安全监测,其中,pmax表示为所有pj中的最大值;
若pmax不小于第二预设阈值,此时提取pmax对应的网络异常行为的攻击事件数据,采取针对性应急措施实现安全预警。
9.一种网络行为安全预警系统,其特征在于,包括:
数据获取模块:用于捕获目标用户的历史网络行为数据包,并从历史网络行为数据包中筛选得到攻击事件数据;
聚类分析模块:用于对所述攻击事件数据进行预处理和聚类,得到第一聚类结果;
特征获取模块:用于获取同类结果中攻击事件对应的网络行为的第一关键特征,构建网络异常行为特征集;
预测行为模块:用于基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型,来预测后继网络行为;
安全预警模块:基于网络行为关联原则,确定预测的后继网络行为的风险值,并结合与网络异常特征的匹配情况来确定未来是否需要安全预警。
CN202211645263.9A 2022-12-19 2022-12-19 一种网络行为安全预警方法及系统 Pending CN115987615A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211645263.9A CN115987615A (zh) 2022-12-19 2022-12-19 一种网络行为安全预警方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211645263.9A CN115987615A (zh) 2022-12-19 2022-12-19 一种网络行为安全预警方法及系统

Publications (1)

Publication Number Publication Date
CN115987615A true CN115987615A (zh) 2023-04-18

Family

ID=85969387

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211645263.9A Pending CN115987615A (zh) 2022-12-19 2022-12-19 一种网络行为安全预警方法及系统

Country Status (1)

Country Link
CN (1) CN115987615A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116827697A (zh) * 2023-08-30 2023-09-29 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN116866069A (zh) * 2023-08-08 2023-10-10 四川企创未来科技服务有限责任公司 一种基于大数据的网络风险行为识别方法
CN116866086A (zh) * 2023-09-01 2023-10-10 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统
CN117221017A (zh) * 2023-11-09 2023-12-12 北京宏数科技有限公司 一种基于大数据的网络监测方法及系统
CN117240527A (zh) * 2023-09-06 2023-12-15 深圳市常行科技有限公司 一种网络安全风险防范系统及方法
CN117336055A (zh) * 2023-10-08 2024-01-02 深圳市马博士网络科技有限公司 一种网络异常行为检测方法、装置、电子设备及存储介质

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116866069A (zh) * 2023-08-08 2023-10-10 四川企创未来科技服务有限责任公司 一种基于大数据的网络风险行为识别方法
CN116866069B (zh) * 2023-08-08 2024-03-29 深圳市众志天成科技有限公司 一种基于大数据的网络风险行为识别方法
CN116827697A (zh) * 2023-08-30 2023-09-29 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN116827697B (zh) * 2023-08-30 2023-11-03 北京安天网络安全技术有限公司 网络攻击事件的推送方法、电子设备及存储介质
CN116866086A (zh) * 2023-09-01 2023-10-10 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统
CN116866086B (zh) * 2023-09-01 2024-01-30 华能信息技术有限公司 一种基于水印添加的数据安全控制方法及系统
CN117240527A (zh) * 2023-09-06 2023-12-15 深圳市常行科技有限公司 一种网络安全风险防范系统及方法
CN117336055A (zh) * 2023-10-08 2024-01-02 深圳市马博士网络科技有限公司 一种网络异常行为检测方法、装置、电子设备及存储介质
CN117221017A (zh) * 2023-11-09 2023-12-12 北京宏数科技有限公司 一种基于大数据的网络监测方法及系统

Similar Documents

Publication Publication Date Title
CN115987615A (zh) 一种网络行为安全预警方法及系统
CN106973038B (zh) 基于遗传算法过采样支持向量机的网络入侵检测方法
Mukkamala et al. Modeling intrusion detection systems using linear genetic programming approach
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
Alkasassbeh et al. Machine learning methods for network intrusion detection
CN112235283A (zh) 一种基于脆弱性描述攻击图的电力工控系统网络攻击评估方法
Tabash et al. Intrusion detection model using naive bayes and deep learning technique.
CN112905421A (zh) 基于注意力机制的lstm网络的容器异常行为检测方法
CN112910859B (zh) 基于c5.0决策树和时序分析的物联网设备监测预警方法
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
CN113378990A (zh) 基于深度学习的流量数据异常检测方法
CN112202718B (zh) 一种基于XGBoost算法的操作系统识别方法、存储介质及设备
Shakeela et al. Optimal ensemble learning based on distinctive feature selection by univariate ANOVA-F statistics for IDS
Abdulrazaq et al. Combination of multi classification algorithms for intrusion detection system
CN115795330A (zh) 一种基于ai算法的医疗信息异常检测方法及系统
Brandao et al. Log Files Analysis for Network Intrusion Detection
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN116684877A (zh) 一种基于gyac-lstm的5g网络流量异常检测方法及系统
Kaushik et al. Multi-class SVM based network intrusion detection with attribute selection using infinite feature selection technique
CN112287345A (zh) 基于智能风险检测的可信边缘计算系统
CN116545679A (zh) 一种工业情境安全基础框架及网络攻击行为特征分析方法
CN113132414B (zh) 一种多步攻击模式挖掘方法
CN110197066B (zh) 一种云计算环境下的虚拟机监控方法及监控系统
Sadioura et al. Selection of sub-optimal feature set of network data to implement Machine Learning models to develop an efficient NIDS
Naik et al. An Approach for Building Intrusion Detection System by Using Data Mining Techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination