CN116319427A - 基于装备网络的安全性评估方法、装置、电子设备和介质 - Google Patents
基于装备网络的安全性评估方法、装置、电子设备和介质 Download PDFInfo
- Publication number
- CN116319427A CN116319427A CN202310575293.5A CN202310575293A CN116319427A CN 116319427 A CN116319427 A CN 116319427A CN 202310575293 A CN202310575293 A CN 202310575293A CN 116319427 A CN116319427 A CN 116319427A
- Authority
- CN
- China
- Prior art keywords
- data
- target
- feature
- processing result
- redundant
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S10/00—Systems supporting electrical power generation, transmission or distribution
- Y04S10/50—Systems or methods supporting the power network operation or management, involving a certain degree of interaction with the load-side end user applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及计算机技术领域,提供了基于装备网络的安全性评估方法、装置、电子设备和介质。该方法包括:获取目标设备的目标数据;确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;基于目标特征数据进行表征学习处理,得到处理结果;基于处理结果确定是否存在异常。该实施方式可以获取目标设备的目标数据,基于目标数据,提取得到目标特征数据,基于目标特征数据进行表征学习处理,得到处理结果,基于处理结果确定是否存在异常,由于对目标数据进行了特征数据的提取,去除了冗余数据的影响,提高了对异常的感知能力。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种基于装备网络的安全性评估方法、装置、电子设备和介质。
背景技术
近些年来,人工智能AI、物联网IOT等新技术的爆发式应用,使得装备网络变得更加智能、信息化。然而,这也增加了装备网络的攻击面,导致其对网络威胁的脆弱性。入侵检测系统(IDS)是监控计算机网络活动并将其分类为正常或异常的关键组件,与防火墙结合可以有效地处理各种类型的安全攻击,可为拥有IT组织及其客户的计算机网络提供更安全的场所。因此,入侵检测系统(IDS)成为保护现代智能装备网络免受网络攻击的必要手段。
IDS方案主要分为误用检测(misuse detection)方案和异常检测(anomalydetection)方案。基于误用检测的IDS定义一个已知攻击特征的特征库,若是检测到网络流量或系统中有与库中任何攻击特征匹配的行为时发出警报。特征库由管理员预先定义,试图精确列出并保留所有可能的异常网络和系统行为,而其他已知和未知行为均视为正常。因此,误用检测系统可以有效地发现已经确定的攻击方法。然而,无法检测到新的攻击。另一方面,基于异常检测的IDS首先需要根据用户或系统正常时的行为信息建立它们的正常行为模型,若是检测到当前的行为偏离了基准模型,则认为发生了异常。
深度学习相比传统的机器学习方法具有更高的性能,它旨在利用分层结构从原始输入数据中找到合适的高级特征,而不是使用手动特征。所以深度学习在入侵检测环境中得到了广泛的关注。其中,无监督的异常检测是仅在给定正常数据的情况下学习正常文件,然后将不符合正常文件的样本识别为异常,由于缺乏人为监督,且数据为高维时,这具有挑战性。深度自动编码器(AE)是对无监督中的高维数据进行建模的有力工具。它由从输入获得压缩编码的编码器和可以从编码重建数据的解码器组成。编码本质上是一个信息瓶颈,使网络提取高维数据的典型模式。在异常检测方面,AE通常是通过最小化正常数据上的重建误差来训练的,然后将重建误差作为异常的指示器。通常假设正常输入的重建误差较低,因为它们接近训练数据,而非正常输入的重建误差变高。
然而,随着网络基础设施和体系结构的发展,网络环境日益复杂,特征之间的异构性将越来越强,传统的神经网络仅利用有限的特征类型,不能充分利用网络流量数据中丰富的信息以及装备平台上与安全有关的日志信息。
发明内容
有鉴于此,本公开实施例提供了一种基于装备网络的安全性评估方法、装置、电子设备和介质。
本公开实施例的第一方面,提供了一种基于装备网络的安全性评估方法,包括:获取目标设备的目标数据;确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;基于上述目标特征数据进行表征学习处理,得到处理结果;基于上述处理结果确定是否存在异常。
在一些实施例的一些可选的实现方式中,上述获取目标设备的目标数据,包括:获取目标设备的流量数据以及日志数据。
在一些实施例的一些可选的实现方式中,上述确定上述目标数据中的冗余数据,包括:对上述目标数据进行聚类,确定上述目标数据的目标特征;基于上述目标特征,确定目标数据中的冗余数据。
在一些实施例的一些可选的实现方式中,确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据,包括:去除上述目标数据中的上述冗余数据得到目标特征数据。
在一些实施例的一些可选的实现方式中,上述基于上述目标特征数据进行表征学习处理,得到处理结果,包括:通过预设融合规则将上述目标特征数据进行融合,得到融合特征;将上述融合特征输入异常得分模型,确定处理结果。
在一些实施例的一些可选的实现方式中,上述通过预设融合规则将上述目标特征数据进行融合,得到融合特征,包括:将不同模态的目标特征数据转化为目标模态的特征数据;将上述目标模态的特征数据相加得到叠加特征数据;基于上述叠加特征数据得到融合特征。
在一些实施例的一些可选的实现方式中,上述基于上述处理结果确定是否存在异常,包括:将上述处理结果与结果判定阈值进行比较,确定是否存在异常。
本公开实施例的第二方面,提供了一种基于装备网络的安全性评估装置,包括:数据获取单元,被配置成获取目标设备的目标数据;确定单元,被配置成确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;特征处理单元,被配置成基于上述目标特征数据进行表征学习处理,得到处理结果;异常检测单元,被配置成基于上述处理结果确定是否存在异常。
本公开实施例的第三方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并且可以在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
本公开实施例的第四方面,提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先,获取目标设备的目标数据;然后,确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;之后,基于上述目标特征数据进行表征学习处理,得到处理结果;最后,基于上述处理结果确定是否存在异常。本公开提供的方法通过对目标数据进行了特征数据的提取,去除了冗余数据的影响,提高了对异常的感知能力。
附图说明
为了更清楚地说明本公开实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是根据本公开的一些实施例的基于装备网络的安全性评估方法的一个应用场景的示意图;
图2是根据本公开的基于装备网络的安全性评估方法的一些实施例的流程图;
图3是根据本公开的基于装备网络的安全性评估方法的一些实施例的数据处理示意图;
图4是根据本公开的基于装备网络的安全性评估方法的一些实施例的特征融合示意图;
图5是根据本公开的基于装备网络的安全性评估方法的一些实施例的异常判断示意图;
图6是根据本公开的基于装备网络的安全性评估装置的一些实施例的结构示意图;
图7是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例。相反,提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
以下对本公开中出现的名词进行解释。
AE:自编码器(autoencoder, AE)是一类在半监督学习和非监督学习中使用的人工神经网络(Artificial Neural Networks, ANNs),其功能是通过将输入信息作为学习目标,对输入信息进行表征学习(representation learning)。
K-means: k均值聚类算法(k-means clustering algorithm)是一种迭代求解的聚类分析算法,其步骤是,预将数据分为K组,则随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。每分配一个样本,聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件。终止条件可以是没有(或最小数目)对象被重新分配给不同的聚类,没有(或最小数目)聚类中心再发生变化,误差平方和局部最小。
F1-score: F1分数(F1 Score),是统计学中用来衡量二分类模型精确度的一种指标。它同时兼顾了分类模型的精确率和召回率。F1分数可以看作是模型精确率和召回率的一种调和平均,它的最大值是1,最小值是0。
CNN: 卷积神经网络(Convolutional Neural Networks, CNN)是一类包含卷积计算且具有深度结构的前馈神经网络(Feedforward Neural Networks),是深度学习(deeplearning)的代表算法之一 [1-2] 。卷积神经网络具有表征学习(representationlearning)能力,能够按其阶层结构对输入信息进行平移不变分类(shift-invariantclassification),因此也被称为“平移不变人工神经网络(Shift-Invariant ArtificialNeural Networks, SIANN)”。
互信息分数,取值范围在(0,1)中,越接近1,聚类效果越好,在随机均匀聚类下产生0分。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
图1是根据本公开的一些实施例的基于装备网络的安全性评估方法的一个应用场景的示意图。
在图1的应用场景中,计算设备101可以获取目标设备的目标数据102。然后,计算设备101可以根确定上述目标数据102中的冗余数据103,以及基于上述冗余数据103得到目标特征数据104。之后,计算设备101可以对上述目标特征数据104进行表征学习处理,得到处理结果105。最后,计算设备101可以基于上述处理结果105,确定是否存在异常,如附图标记106所示。
需要说明的是,上述计算设备101可以是硬件,也可以是软件。当计算设备101为硬件时,可以实现成多个服务器或终端设备组成的分布式集群,也可以实现成单个服务器或单个终端设备。当计算设备101体现为软件时,可以安装在上述所列举的硬件设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的计算设备的数目仅仅是示意性的。根据实现需要,可以具有任意数目的计算设备。
图2是根据本公开的基于装备网络的安全性评估方法的一些实施例的流程图。图2的基于装备网络的安全性评估方法可以由图1的计算设备101执行。如图2所示,该基于装备网络的安全性评估方法包括:
步骤S201,获取目标设备的目标数据。
在一些实施例中,基于装备网络的安全性评估方法的执行主体(如图1所示的计算设备101)可以获取目标设备的流量数据以及日志数据。具体地,日志用于记录系统、程序运行时发生的各种事件,通过阅读日志,可以有效诊断和解决系统故障,日志是审计的基础。在系统和软件的开发、维护过程中,日志都起到非常重要的作用。日志中详细的记录了系统和软件运行时的信息,使开发、运维人员能够根据日志提供的信息了解系统和软件运行时的行为并追踪它们可能出现的问题。
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出需要的信息。Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录 /var/log/ 下,不同的 Linux 发行版本日志文件名会有一定的差异。Linux日志可以分类为:
1.内核及系统日志:日志格式基本相似,主要程序:/sbin/rsyslogd,内核及系统日志由系统服务 rsyslog 统一管理,主配置文件/etc/rsyslog.conf。Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录 /var/log/ 下。linux 系统内核日志消息的优先级别数字等级越小,优先级越高,消息越重要。
2.用户日志:记录系统用户登录及退出系统的相关信息。
有关当前登录用户的信息记录在文件utmp中,utmp文件被各种命令使用,包括who\w\user和finder,登录和退出记录在文件wtmp中,数据交换、关机以及重启的信息也都记录在wtmp文件中,wtmp文件被命令last和ac使用,所有的记录都包含时间戳,时间戳对于日志来说非常重要,因为很多攻击行为分析都是与时间有极大关系的。
3.程序日志:由相应的应用程序进行独立管理。如web,ftp服务。由相应的应用程序独立进行管理。
其中最常见的日志文件如表1所示。
表1
装备网络中的任何网络行为都产生流量数据,流量数据十分庞大且维数较高,其中所包含的特征也非常丰富,因此选择其中部分特征来进行实验。通过相关实验研究,最终选择流量中的报文数目、当前时刻的上行速率,下行速率、所存在的活跃点个数、从源主机到目标主机的数据的字节数、在与当前连接具有相同目标主机的连接中与当前连接具有不同服务的连接的百分比、与当前连接具有相同目标主机的连接中与当前连接具有相同服务的连接的百分比、从目标主机到源主机的数据的字节数、连接正常或错误的状态SF、与当前连接具有相同服务的连接数等具有较大互信息的特征以及基础五元组信息进行分析。
步骤S202,确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据。
在一些实施例中,上述执行主体可以对上述目标数据进行聚类,然后确定上述目标数据的目标特征。之后,基于上述目标特征确定目标数据中的冗余数据,上述执行主体可以去除上述冗余数据得到目标特征数据。
具体的,为了实现特征融合,需要对两种模态的信息进行预处理去除其中的冗余信息。网络流量中包含一些不重要的特征会导致额外的训练时间。IG方法可以去除这些不重要的特征。以提高训练效率。由于IG的计算复杂度为O(N),因此它可以快速地获得每个特征的重要性分数:
在特征选择的算法实现部分,可以直接调用 Python Scikit-learn 模块的互信息函数mic进行计算,计算各特征与标记之间的最大互信息系数,通过绝对值的大小反映特征与标记之间相关性的强弱,并按照互信息值的大小对各特征进行排名,之后再利用Select Percentile函数,选择一定比例的特征,以此来分析每个特征与标签之间的关系。但是在这一步必须选择较多数量的特征,因为如果在第一步使用互信息法筛除掉过多的特征,可能会导致很多有用特征被删除掉,影响后续递归特征选择性能。经过大量实验,确定选择 75%的特征,作为初步的候选特征集K1。互信息特征选择方法具备高效且快速的优点,能够弥补未考虑特征依赖性的不足,适用于本公开所选择的混合模型的初次特征筛选。有效降低二次特征选择阶段的复杂度,且在该阶段能实现组合特征能力及分类效果。
某些特征是冗余的,因为它们包含非常相似的信息。FCBF通过计算每对特征之间的相关性来去除冗余特征,提高了模型准确度和训练效率。
基于FCBF的算法在高维数据集上表现出了很好的性能,在保留信息特征的同时有效地去除了冗余特征,并且具有低时间复杂度。在FCBF中,通过归一化IG值来计算对称不确定度(SU)来测量特征之间的相关性:
具体的,参见图3,由于去除的数据大多是冗余数据,k-均值聚类抽样方法可以生成具有更高代表性的子集,提高模型训练效率。聚类抽样(Cluster Sampling)是一种常用的数据抽样方法,也叫整群抽样,它将原始数据点分组为多个聚类,这些聚类中的每一个都具有与总体相似的特征,然后,从每个聚类中抽取一定比例的数据,形成一个具有代表性的子集。
K-means算法思想大致为:先从样本集中随机选取k个样本作为簇中心,并计算所有样本与这k个“簇中心”的距离,对于每一个样本,将其划分到与其距离最近的“簇中心”所在的簇中,对于新的簇计算各个簇的新的“簇中心”。
在选择出具有代表性的特征后,由于不同的特征往往有不同的范围,这可能会对模型训练产生偏差。Z-Score方法可以将要素归一化到类似的比例,并处理离群值。
Z值(z-score,z-values, normal score)又称标准分数(standard score,standardized variable),是一个实测值与平均数的差再除以标准差的过程。
用公式表示为:z=(x-μ)/σ。
其中x为某实测值,μ为平均数,σ为标准差。
Z值的量代表着实测值和总体平均值之间的距离,是以标准差为单位计算。大于平均数的实测值会得到一个正数的Z值,小于平均数的实测值会得到一个负数的Z值。
网络流量数据通常是不平衡数据,因为大多数数据样本都是在真实车辆系统的正常条件下收集的,SMOTE可以为少数类创建高质量的样本,以提高检测率。
过采样技术用来减少类别不平衡,最常见的是随机过采样和SMOTE(合成少数类过采样技术),随机过采样通过简单复制样本的方式来增加少数样本,容易产生模型过拟合的问题。SMOTE的基本思想是对少数类样本进行分析并人工合成新样本。
步骤S203,基于上述目标特征数据进行表征学习处理,得到处理结果。
在一些实施例中,基于上述目标特征数据进行表征学习处理,得到处理结果,包括:通过预设融合规则将上述目标特征数据进行融合,得到融合特征,将上述融合特征输入异常得分模型,确定处理结果。
多模态表征是以一种利用多种模式的互补性和冗余的方式表示多模态数据,表征学习是多模态任务的基础。现有多模态表征学习可分为两类:Joint(联合,也称为单塔结构)和Coordinated(协作,双塔结构)。
这里使用的是联合表征(Joint Representation):将多个模态的信息映射到同一个多模态空间中。Joint结构注重捕捉多模态的互补性,融合多个输入模态获得多模态表征,进而使用表征完成某种预测任务。网络优化目标是某种预测任务的性能。
在一些实施例中,通过预设融合规则将上述目标特征数据进行融合,得到融合特征,包括:将不同模态的目标特征数据转化为目标模态的特征数据,将上述目标模态的特征数据相加得到叠加特征数据,基于上述叠加特征数据得到融合特征。
在实际应用中,多模态特征融合的方法大体分为三种:前端融合、中间融合和后端融合。前端融合指的是将多个独立的数据集融合成一个单一的特征向量,然后输入到机器学习分类器中。多模态前端融合方法常常与特征提取方法相结合以剔除冗余信息,如主成分分析(PCA)、最大相关最小冗余算法(mRMR)、自动解码器(Autoencoders)等。这里使用深层联合自编码模型,参见图4,将两种模态的特征使用三层卷积层将维度转化为同一维度,然后相加,最后将两者进行还原回去。中间融合指的是将不同的模态数据先转化为高维特征表达,再于模型的中间层进行融合。以神经网络为例,中间融合首先利用神经网络将原始数据转化成高维 特征表达,然后获取不同模态数据在高维空间上的共性。后端融合指的是将不同模态数据分别训练好的分类器输出打分(决策)进行融合。常见的后端融合方式包括最大值融合(max-fusion)、平均值融合(averaged-fusion)、贝叶斯规则融合(Bayes’rulebased)以及集成学习(ensemble learning)等。
步骤S204,基于上述处理结果确定是否存在异常
无监督的异常检测由于缺乏人的监督很有挑战性,另外高维的数据增加了建模的难度。Autoencoder是在无监督学习中对高维数据建模的强大工具。Autoencoder结构如图5所示。自动编码器AE由编码器和解码器组成。编码器将原始数据映射到低维特征空间,解码器尝试从投影的低维空间恢复数据。这两个网络的参数都是通过重构损失函数来学习的。bottleneck 网络体系结构通常用于获得比原始数据低维的表示,这迫使模型保留重构数据样本时重要的信息。为了最小化总体重构错误,需要保留的信息尽可能与主要样本(即占比最大的样本,也就是正常样本)相关。因此,偏离大多数数据的异常等样本很难被重构。因此,数据重构误差可以直接作为异常评分。
在一些实施例中,基于上述处理结果确定是否存在异常,包括:将上述处理结果与结果判定阈值进行比较,确定是否存在异常。
具体的,对于待测的流量进行与训练样本相同的数据预处理,计算异常评分,设定阈值为0.9,若样本异常分数超过0.9就判断为异常,反之,则为正常。
本公开的上述各个实施例中的一个实施例具有如下有益效果:首先,获取目标设备的目标数据;然后,确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;之后,基于上述目标特征数据进行表征学习处理,得到处理结果;最后,基于上述处理结果确定是否存在异常。本公开提供的方法对入侵检测系统、多模态特征融合进行了研究;对linux系统的日志文件和网络流量数据进行数据预处理,使用信息增益(IG)、快速相关滤波(FCBF)和核主成分分析(KPCA)算法的特征工程模型,去除不相关、冗余和噪声特征,同时保留重要特征;针对数据为多源异构的,采用多模态特征融合的前端融合,对进行表征学习后的数据进行融合,得到联合特征;针对装备网络数据根据实际情况进行了阈值设定,定义了装备网络终端异常检测的标准。提出的模型所依赖的信息更多源,所以这种方法给的分数更具有代表性,另外该方法更灵敏,一种攻击行为可能刚刚引起了流量、日志等方面特征中某一方面的单方面变化,比单纯依赖流量、单纯依赖日志的方法能更早捕获攻击行为。
进一步的,本公开的实施例对入侵检测系统、多模态特征融合进行了设计,对linux系统的日志文件和网络流量数据进行数据预处理,使用信息增益(IG)、快速相关滤波(FCBF)和核主成分分析(KPCA)算法的特征工程模型,去除不相关、冗余和噪声特征,同时保留重要特征,针对数据为多源异构的,采用多模态特征融合的前端融合,对进行表征学习后的数据进行融合,得到联合特征,针对装备网络数据根据实际情况进行了阈值设定,定义了装备网络终端异常检测的标准。提出的模型所依赖的信息更多源,所以这种方法给的分数更具有代表性,另外该方法更灵敏,一种攻击行为可能刚刚引起了流量、日志等方面特征中某一方面的单方面变化,比单纯依赖流量、单纯依赖日志的方法能更早捕获攻击行为。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图6是根据本公开的基于装备网络的安全性评估装置的一些实施例的结构示意图。如图6所示,该基于装备网络的安全性评估装置包括:数据获取单元601、确定单元602、特征处理单元603和异常检测单元604。其中,数据获取单元601,被配置成获取目标设备的目标数据;特征提取单元602,被配置成确定上述目标数据中的冗余数据,以及基于上述冗余数据得到目标特征数据;特征处理单元603,被配置成基于上述目标特征数据进行表征学习处理,得到处理结果;异常检测单元604,被配置成基于上述处理结果确定是否存在异常。
在一些实施例的一些可选的实现方式中,基于装备网络的安全性评估装置的数据获取单元601被进一步配置成:获取目标设备的流量数据以及日志数据。
在一些实施例的一些可选的实现方式中,上述确定上述目标数据中的冗余数据,包括:确定上述目标数据中的冗余数据,并去除上述冗余数据得到目标特征数据。
在一些实施例的一些可选的实现方式中,基于装备网络的安全性评估装置的确定单元602被进一步配置成:去除上述目标数据中的上述冗余数据得到目标特征数据。
在一些实施例的一些可选的实现方式中,基于装备网络的安全性评估装置的特征处理单元603被进一步配置成:通过预设融合规则将上述目标特征数据进行融合,得到融合特征,将上述融合特征输入异常得分模型,确定处理结果。
在一些实施例的一些可选的实现方式中,基于装备网络的安全性评估装置的特征处理单元603被进一步配置成:将不同模态的目标特征数据转化为目标模态的特征数据,将上述目标模态的特征数据相加得到叠加特征数据,基于上述叠加特征数据得到融合特征。
在一些实施例的一些可选的实现方式中,基于装备网络的安全性评估装置的异常检测单元604被进一步配置成:将上述处理结果与结果判定阈值进行比较,确定是否存在异常。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本公开实施例的实施过程构成任何限定。
图7是本公开实施例提供的计算机设备7的示意图。如图7所示,该实施例的计算机设备7包括:处理器701、存储器702以及存储在该存储器702中并且可以在处理器701上运行的计算机程序703。处理器701执行计算机程序703时实现上述各个方法实施例中的步骤。或者,处理器701执行计算机程序703时实现上述各装置实施例中各模块/单元的功能。
示例性地,计算机程序703可以被分割成一个或多个模块/单元,一个或多个模块/单元被存储在存储器702中,并由处理器701执行,以完成本公开。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序703在计算机设备7中的执行过程。
计算机设备7可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算机设备。计算机设备7可以包括但不仅限于处理器701和存储器702。本领域技术人员可以理解,图7仅仅是计算机设备7的示例,并不构成对计算机设备7的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如,计算机设备还可以包括输入输出设备、网络接入设备、总线等。
处理器701可以是中央处理单元(Central Processing Unit,CPU),也可以是其它通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器702可以是计算机设备7的内部存储单元,例如,计算机设备7的硬盘或内存。存储器702也可以是计算机设备7的外部存储设备,例如,计算机设备7上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器702还可以既包括计算机设备7的内部存储单元也包括外部存储设备。存储器702用于存储计算机程序以及计算机设备所需的其它程序和数据。存储器702还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本公开的范围。
在本公开所提供的实施例中,应该理解到,所揭露的装置/计算机设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/计算机设备实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本公开实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,计算机程序可以存储在计算机可读存储介质中,该计算机程序在被处理器执行时,可以实现上述各个方法实施例的步骤。计算机程序可以包括计算机程序代码,计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如,在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的精神和范围,均应包含在本公开的保护范围之内。
Claims (10)
1.一种基于装备网络的安全性评估方法,其特征在于,包括:
获取目标设备的目标数据;
确定所述目标数据中的冗余数据,以及基于所述冗余数据得到目标特征数据;
基于所述目标特征数据进行表征学习处理,得到处理结果;
基于所述处理结果确定是否存在异常。
2.根据权利要求1所述的基于装备网络的安全性评估方法,其特征在于,所述获取目标设备的目标数据,包括:
获取目标设备的流量数据以及日志数据。
3.根据权利要求1所述的基于装备网络的安全性评估方法,其特征在于,所述确定所述目标数据中的冗余数据,包括:
对所述目标数据进行聚类,确定所述目标数据的目标特征;
基于所述目标特征,确定目标数据中的冗余数据。
4.根据权利要求3所述的基于装备网络的安全性评估方法,其特征在于,所述确定所述目标数据中的冗余数据,以及基于所述冗余数据得到目标特征数据,包括:
去除所述目标数据中的所述冗余数据得到目标特征数据。
5.根据权利要求1所述的基于装备网络的安全性评估方法,其特征在于,所述基于所述目标特征数据进行表征学习处理,得到处理结果,包括:
通过预设融合规则将所述目标特征数据进行融合,得到融合特征;
将所述融合特征输入异常得分模型,确定处理结果。
6.根据权利要求5所述的基于装备网络的安全性评估方法,其特征在于,所述通过预设融合规则将所述目标特征数据进行融合,得到融合特征,包括:
将不同模态的目标特征数据转化为目标模态的特征数据;
将所述目标模态的特征数据相加得到叠加特征数据;
基于所述叠加特征数据得到融合特征。
7.根据权利要求1所述的基于装备网络的安全性评估方法,其特征在于,所述基于所述处理结果确定是否存在异常,包括:
将所述处理结果与结果判定阈值进行比较,确定是否存在异常。
8.一种基于装备网络的安全性评估装置,其特征在于,包括:
数据获取单元,被配置成获取目标设备的目标数据;
确定单元,被配置成确定所述目标数据中的冗余数据,以及基于所述冗余数据得到目标特征数据;
特征处理单元,被配置成基于所述目标特征数据进行表征学习处理,得到处理结果;
异常检测单元,被配置成基于所述处理结果确定是否存在异常。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器中并且可以在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310575293.5A CN116319427A (zh) | 2023-05-22 | 2023-05-22 | 基于装备网络的安全性评估方法、装置、电子设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310575293.5A CN116319427A (zh) | 2023-05-22 | 2023-05-22 | 基于装备网络的安全性评估方法、装置、电子设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116319427A true CN116319427A (zh) | 2023-06-23 |
Family
ID=86798196
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310575293.5A Pending CN116319427A (zh) | 2023-05-22 | 2023-05-22 | 基于装备网络的安全性评估方法、装置、电子设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116319427A (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9923757B1 (en) * | 2017-10-03 | 2018-03-20 | Akamai Technologies, Inc. | Reducing data sets related to network security events |
CN113255733A (zh) * | 2021-04-29 | 2021-08-13 | 西安交通大学 | 多模态数据缺失下的无监督异常检测方法 |
CN113660273A (zh) * | 2021-08-18 | 2021-11-16 | 国家电网公司东北分部 | 超融合架构下基于深度学习的入侵检测方法及装置 |
CN115412324A (zh) * | 2022-08-22 | 2022-11-29 | 北京鹏鹄物宇科技发展有限公司 | 基于多模态条件对抗领域适应的空天地网络入侵检测方法 |
CN115600194A (zh) * | 2022-11-08 | 2023-01-13 | 广东技术师范大学(Cn) | 一种基于XGBoost和LGBM的入侵检测方法、存储介质及设备 |
CN115664784A (zh) * | 2022-10-20 | 2023-01-31 | 北京国信蓝盾科技有限公司 | 一种采用多模组学习的网络攻击免疫防御方法及系统 |
-
2023
- 2023-05-22 CN CN202310575293.5A patent/CN116319427A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9923757B1 (en) * | 2017-10-03 | 2018-03-20 | Akamai Technologies, Inc. | Reducing data sets related to network security events |
CN113255733A (zh) * | 2021-04-29 | 2021-08-13 | 西安交通大学 | 多模态数据缺失下的无监督异常检测方法 |
CN113660273A (zh) * | 2021-08-18 | 2021-11-16 | 国家电网公司东北分部 | 超融合架构下基于深度学习的入侵检测方法及装置 |
CN115412324A (zh) * | 2022-08-22 | 2022-11-29 | 北京鹏鹄物宇科技发展有限公司 | 基于多模态条件对抗领域适应的空天地网络入侵检测方法 |
CN115664784A (zh) * | 2022-10-20 | 2023-01-31 | 北京国信蓝盾科技有限公司 | 一种采用多模组学习的网络攻击免疫防御方法及系统 |
CN115600194A (zh) * | 2022-11-08 | 2023-01-13 | 广东技术师范大学(Cn) | 一种基于XGBoost和LGBM的入侵检测方法、存储介质及设备 |
Non-Patent Citations (1)
Title |
---|
黄春虎;努尔布力;解男男;胡亮;: "基于Re-FCBF的入侵特征选择算法研究", 激光杂志, vol. 37, no. 01, pages 103 - 107 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111565205B (zh) | 网络攻击识别方法、装置、计算机设备和存储介质 | |
CN113949577A (zh) | 一种应用于云服务的数据攻击分析方法及服务器 | |
CN117220978B (zh) | 一种网络安全运营模型量化评估系统及评估方法 | |
Dou et al. | Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model | |
CN116070206B (zh) | 一种异常行为检测方法、系统、电子设备及存储介质 | |
CN115484112B (zh) | 支付大数据安全防护方法、系统及云平台 | |
CN111935064A (zh) | 一种工控网络威胁自动隔离方法及系统 | |
CN117094184B (zh) | 基于内网平台的风险预测模型的建模方法、系统及介质 | |
CN113722719A (zh) | 针对安全拦截大数据分析的信息生成方法及人工智能系统 | |
CN111726351A (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
CN117349618A (zh) | 网络信息系统的恶意加密流量检测模型的构建方法及介质 | |
CN116956148A (zh) | 一种电力系统数据交互安全威胁信息分析方法 | |
CN115033893B (zh) | 一种改进型聚类算法的信息漏洞数据分析方法 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN116319427A (zh) | 基于装备网络的安全性评估方法、装置、电子设备和介质 | |
CN114866297A (zh) | 网络数据检测方法、装置、电子设备及存储介质 | |
CN117527622B (zh) | 网络交换机的数据处理方法及系统 | |
CN115563657B (zh) | 一种数据信息安全处理方法、系统及云平台 | |
CN117978545B (zh) | 基于大模型的网络安全风险评估方法、系统、设备及介质 | |
US11914461B1 (en) | Organization segmentation for anomaly detection | |
CN115913769B (zh) | 基于人工智能的数据安全存储方法及系统 | |
CN117574135B (zh) | 一种电网攻击事件检测方法、装置、设备及存储介质 | |
CN115577353B (zh) | 基于脑计算机制的网络安全防护方法和系统 | |
CN118041587A (zh) | 一种网络安全测试评估系统及方法 | |
Sun et al. | Anomaly detection in grid computing based on vector quantization |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |