CN117014224B - 基于高斯过程回归的网络攻击防御方法及系统 - Google Patents
基于高斯过程回归的网络攻击防御方法及系统 Download PDFInfo
- Publication number
- CN117014224B CN117014224B CN202311172064.5A CN202311172064A CN117014224B CN 117014224 B CN117014224 B CN 117014224B CN 202311172064 A CN202311172064 A CN 202311172064A CN 117014224 B CN117014224 B CN 117014224B
- Authority
- CN
- China
- Prior art keywords
- access
- user
- vector
- gaussian process
- process regression
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 155
- 230000008569 process Effects 0.000 title claims abstract description 89
- 230000007123 defense Effects 0.000 title claims abstract description 34
- 230000006399 behavior Effects 0.000 claims abstract description 169
- 239000013598 vector Substances 0.000 claims abstract description 94
- 238000012545 processing Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 9
- 238000007476 Maximum Likelihood Methods 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 claims description 3
- 230000002159 abnormal effect Effects 0.000 abstract description 10
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 5
- 230000001105 regulatory effect Effects 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/1396—Protocols specially adapted for monitoring users' activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Computational Mathematics (AREA)
- Mathematical Optimization (AREA)
- Quality & Reliability (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Computational Biology (AREA)
- Algebra (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于高斯过程回归的网络攻击防御方法及系统,包括:收集用户的访问日志记录并形成访问日志记录集;对访问日志记录集进行整理,得到访问行为向量和与之对应的访问次数向量;利用高斯过程回归进行分析,预测用户发生某一访问行为的概率次数;判断用户是否具有攻击风险,若判断具有攻击风险则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和频率次数,利用高斯过程回归对后续访问行为做出预测,并在判断具有攻击风险时提前告警并限制访问,如此能够有效发现用户的异常行为,并迅速准确地针对单个异常活动做出防御行为,解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种基于高斯过程回归的网络攻击防御方法及系统。
背景技术
随着计算机网络技术的发展,很多数据资料都采用电子的形式进行交互、储存,这便对网络通信安全提出了严格要求。然而,当前的网络安全环境愈发恶劣,出现了各式各样的网络攻击手段,严重影响了网络信息通信安全。
目前,防御网络攻击的措施基本集中在构建防火墙、流量监控、多因素身份验证和漏洞扫描等方式上。这些防御措施能够相对有效地阻止外部攻击者对于内部网络的渗透,通过预定规则拦截和阻断恶意数据包,有效保护信息资产。
然而随着云计算、大数据、工业互联网等新兴领域崛起,对于更加灵活的攻击和0day漏洞,这些传统的防御手段就显得捉襟见肘,缺乏强有力的抵御手段,无法满足现在及未来的安全防护需求。
发明内容
本发明的目的在于提供一种基于高斯过程回归的网络攻击防御方法及系统,以解决现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
为解决上述技术问题,本发明提供一种基于高斯过程回归的网络攻击防御方法,包括:
收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;
对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;
利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;
根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法包括:
在需要构建防御措施的网络资源的控制部分和网关处,收集网络内用户在预设时间段内的访问日志记录,所述访问日志记录包括资源访问者Vs、访问时间Vt、访问协议Vr、目标资源端口Vp和目标资源地址Vip;
对每一用户的所有所述访问日志记录进行汇总,得到每一用户的访问日志记录集:
Li={Vs,Vt,Vr,Vp,Vip}m
其中,i表示不同的用户,m为每一用户所产生的访问日志记录总数。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法还包括:
若用户的此次访问为短连接,则采用单次记录;
若用户的此次访问为长连接,则每间隔一预设周期记录一次。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括:
利用访问协议Vr、目标资源端口Vp和目标资源地址Vip构建第一变量Xi={Vr,Vp,Vip};
利用所述第一变量对用户的访问行为进行统计,以得到访问行为向量和访问次数向量/>其中,yi为访问行为Xi发生的次数。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括:
对所述访问行为向量建立数值映射{xi}→{Xi},其中,映射的数值取值范围为(0,1)。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数的方法包括:
利用所述访问行为向量和所述访问行为向量建立样本集合
根据所述样本集合D建立访问次数yi关于访问行为xi的函数关系f:
yi=f(xi)+ξi
其中,ξi为高斯噪声干扰;
对所述样本集合D进行高斯过程回归处理,目标为使取最小值,以预测用户发生访问行为/>对应的概率次数
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述对所述样本集合D进行高斯过程回归处理的方法包括:
设f的均值函数为0,方差函数为κ(x,x),方差为σ2=0,计算访问次数向量和概率次数/>的联合概率分布:
其中,(K)ij=κ(xi,xj),
其中,σf和l为超参数,通过最大似然估计求解;
通过贝叶斯后验概率,得到:
联合求得的预测值即为用户发生某一访问行为的概率次数。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述根据访问行为的概率次数,判断用户是否具有攻击风险的方法包括:
获取用户访问行为Xi所对应的访问次数yi;
将访问次数yi与高斯过程回归预测的概率次数进行比较,若比较结果满足预设条件,则判断用户具有攻击风险。
可选的,在所述的基于高斯过程回归的网络攻击防御方法中,所述预设条件包括:
设定误差标准阈值εt;
若则判断用户具有攻击风险。
为解决上述技术问题,本发明还提供一种基于高斯过程回归的网络攻击防御系统,用于进行如上任一项所述的基于高斯过程回归的网络攻击防御方法,所述基于高斯过程回归的网络攻击防御系统包括:
日志收集模块,用于收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;
日志整理模块,用于对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;
数据处理模块,用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;
决策判断模块,用于根据访问行为的概率次数,判断用户是否具有攻击风险,并在判断用户具有攻击风险时,提前告警并对该用户的访问行为进行限制。
本发明提供的基于高斯过程回归的网络攻击防御方法及系统,包括:收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和访问频率次数,利用高斯过程回归对用户发生的后续网络访问行为做出预测,并据此判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制,如此,能够更加有效、灵活和及时发现用户的异常行为,并迅速、敏捷、准确地针对单个异常活动调整,做出防御行为,将损失和影响降到最低,解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
附图说明
图1为本实施例提供的基于高斯过程回归的网络攻击防御方法的流程图;
图2为本实施例提供的基于高斯过程回归的网络攻击防御方法的逻辑示意图;
图3为本实施例提供的基于高斯过程回归的网络攻击防御系统的结构示意图。
具体实施方式
以下结合附图和具体实施例对本发明提出的基于高斯过程回归的网络攻击防御方法及系统作进一步详细说明。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。此外,附图所展示的结构往往是实际结构的一部分。特别的,各附图需要展示的侧重点不同,有时会采用不同的比例。
需要说明的是,本发明的说明书和权利要求书及附图说明中的“第一”、“第二”等是用于区别类似的对象,以便描述本发明的实施例,而不用于描述特定的顺序或先后次序,应该理解这样使用的结构在适当情况下可以互换。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
高斯过程回归(Gaussian Process Regression,简称GPR)是一种非参数的回归方法,它基于高斯过程模型来建立输入变量和输出变量之间的映射关系,可以用于解决各种回归问题,并提供了对预测结果的不确定性评估,适用于各种类型的数据集和问题领域。
有基于此,本实施例提供一种基于高斯过程回归的网络攻击防御方法,如图1所示,所述基于高斯过程回归的网络攻击防御方法包括:
S1,收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;
S2,对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;
S3,利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;
S4,根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制。
本实施例提供的基于高斯过程回归的网络攻击防御方法,通过访问日志获取用户的访问行为和访问频率次数,利用高斯过程回归对用户发生的后续网络访问行为做出预测,并据此判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制,如此,能够更加有效、灵活和及时发现用户的异常行为,并迅速、敏捷、准确地针对单个异常活动调整,做出防御行为,将损失和影响降到最低,解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
需要说明的是,本实施例提供的上述网络攻击防御方法为实现其灵活高效防御网络攻击所必备的基本步骤,在具体应用过程中,还可以根据实际情况在各个步骤之间增加其他步骤,以进一步提升或增加功能。在不违背本申请主旨前提下的具有其他步骤的网络攻击防御方法也应当属于本申请的保护范围。
进一步的,在本实施例中,步骤S1,收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法包括:
S11,在需要构建防御措施的网络资源的控制部分和网关处,收集网络内用户在预设时间段内的访问日志记录,所述访问日志记录包括但不限于资源访问者Vs、访问时间Vt、访问协议Vr、目标资源端口Vp和目标资源地址Vip;
S12,对每一用户的所有所述访问日志记录进行汇总,得到每一用户的访问日志记录集:
Li={Vs,Vt,Vr,Vp,Vip}m
其中,i表示不同的用户,m为每一用户所产生的访问日志记录总数。
如此,便可以收集到多个用户的访问日志记录集,以便于作为分析样本。
较佳的,为了减少系统的运行负荷,在本实施例中,S1,收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法还包括:
若用户的此次访问为短连接,则采用单次记录;
若用户的此次访问为长连接,则每间隔一预设周期记录一次。
具体的,可以根据访问时长来划分短连接和长连接,例如,设置访问时长阈值,当访问时长未超过访问时长阈值,则将该访问判定为短连接,否则为长连接。访问时长阈值的具体数值可以根据应用环境进行个性化设定,如设置半小时。如此,可以在一定程度上减少访问日志所产生的数据量,提高系统运行效率。以及,预设周期也可以根据实际情况进行设定,如每隔10分钟记录一次。
在具体实施例中,可以以天为单位,来收集用户的访问日志记录,并按日期形成访问日志记录集。
再进一步的,在本实施例中,步骤S2,对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括:
S21,利用访问协议Vr、目标资源端口Vp和目标资源地址Vip构建第一变量Xi={Vr,Vp,Vip}。
具体的,访问协议Vr一般包含TCP、UDP、ICMP、ARP等;目标资源端口Vp为1~65535中的任一数值;目标资源地址Vip为资源的IP地址。对访问协议Vr、目标资源端口Vp和目标资源地址Vip构建第一变量Xi,使得用户的访问行为被简化为一个三元组变量,且该变量的个数上限是确定的(即三个元素的组合方式的数量是固定的,也即访问行为的种类是固定的)。
S22,利用所述第一变量对用户的访问行为进行统计,以得到访问行为向量和访问次数向量/>其中,yi为访问行为Xi发生的次数。
假设第一变量Xi(三元组变量)的数量共有n个,则在本实施例中,得到访问行为向量其中访问行为向量/>中的每一个元素(代表一种访问行为)都应当不同。以及,访问次数向量/>中的每一个元素与访问行为向量/>中的每一个元素一一对应,表示每一访问行为所对应的访问次数。例如,/>表示第一种访问行为X1在预设时间段(一天)内的访问次数为3次,第二种访问行为X2在预设时间段(一天)内的访问次数为2次,第三种访问行为X3在预设时间段(一天)内的访问次数为5次,……第i种访问行为Xi在预设时间段(一天)内的访问次数为0次。
较佳的,考虑到访问行为向量中的元素值包括访问协议Vr、目标资源端口Vp和目标资源地址Vip等,而访问协议Vr和目标资源地址Vip并非是数值,无法直接对其进行高斯过程回归处理,因此,在本实施例中,步骤S2,对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括:
S23,对所述访问行为向量建立数值映射{xi}→{Xi},其中,映射的数值取值范围为(0,1)。
由于三元组变量的个数上限是确定的,即三个元素的组合方式的数量是固定的,也即访问行为的种类是固定的,因此可以对其类型建立数值的映射。例如,设定通过TCP协议访问192.168.0.2的80端口,这个行为所对应的映射的数值为0.5;通过UDP协议访问192.168.0.122的3479端口,这个行为所对应的映射的数值为0.8等等。如此,通过映射关系,可以将不同访问行为通过不同的数值进行替代。
在本实施例中,为了方便后续运算,映射的数值的取值范围为(0,1),且可以根据访问行为的种类数量,对取值区间进行均分,每一个点对应的数值代表一个访问行为。当然,各个访问行为所映射的数值是预先进行设定的,在不同的实施例中,同样的访问行为可能具有不同的数值。以及,对取值的范围及方式的设定也可以有其他选择,本申请对此不做限制。
而对于访问次数向量由于其元素均为次数,即数值,因此无需通过数值映射便可以直接用于后续的高斯过程回归处理。
进一步的,在本实施例中,步骤S3,利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数的方法包括:
S31,利用所述访问行为向量和所述访问次数向量建立样本集合D=
S32,根据所述样本集合D建立访问次数yi关于访问行为xi的函数关系f:
yi=f(xi)+ξi
其中,ξi为高斯噪声干扰;
S33,对所述样本集合D进行高斯过程回归处理,目标为使取最小值,以预测用户发生访问行为/>对应的概率次数
具体的,在本实施例中,对所述样本集合D进行高斯过程回归处理的方法包括:
假定将f看做一个高斯过程,从考虑单个函数的视角转换到考虑函数的分布;
设f的均值函数为0,方差函数为κ(x,x),方差为σ2=0(基于f是高斯过程的假设,因此此处假定方差为0),计算访问次数向量和概率次数/>的联合概率分布:
其中,(K)ij=κ(xi,xj),
协方差函数:
其中,σf和l为超参数,通过最大似然估计求解;
通过贝叶斯后验概率,得到预测值的表达式为:
其中,为均值,var(y*)为方差;
联合求得的预测值即为用户发生某一访问行为的概率次数。
需要说明的是,本实施例采用的高斯过程回归方法为本领域技术人员所熟知的,以及最大似然估计和贝叶斯后验概率均为本领域技术人员所熟知的,此处不再赘述。利用本申请提供的上述内容,应用高斯过程回归、最大似然估计和贝叶斯后验概率进行求解,便可以获得用户发生某一访问行为的概率次数。
通过高斯过程回归得到用户发生某一访问行为的概率次数后,便可以得到该用户访问行为和该访问行为对应的频率次数的大致关系。对于该用户,在数据样本(获取的访问日志记录)量较大的情况下,则可以实现对该用户的访问行为做出是否具有攻击风险(即访问行为是否存在异常)的分析。
在本实施例中,步骤S4,根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制的方法包括:
S41,获取用户访问行为Xi所对应的访问次数yi;
S42,将访问次数yi与高斯过程回归预测的概率次数进行比较,若比较结果满足预设条件,则判断用户具有攻击风险。
判断采用的预设条件可以有多种,例如访问次数yi与概率次数之间的差值大于一定值时,则判断用户的访问出现了异常,即具有攻击风险。如此判断的原理是:高斯过程回归提供的概率次数/>能够较为准确地预测用户在未来时间段内的访问行为及该访问行为对应的访问次数,若用户实际对于某一访问行为的访问次数与高斯过程回归预测的概率次数之间的偏差较大,则认为该用户的访问行为不符合高斯过程回归的规律,即判断用户的访问行为出现了异常。
当然,基于高斯过程回归提供的预测的概率次数来对用户访问行为进行判断时,需要数据样本量较大,即,当数据样本量越大时,其提供的概率次数/>结果越准确,也就是说能够更好地反映和预测用户的访问行为。
本实施例给出一种具体的预设条件,包括:设定误差标准阈值εt;若则判断用户具有攻击风险。
误差标准阈值εt可以根据具体应用环境进行设定,误差标准阈值εt的设定还可能依据于历史异常判断的经验。
S43,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制。
具体的,在本实施例中,可以通过预设的告警路径对相关技术人员发送信息,以使技术人员及时获知该用户的相关信息,如所述访问日志记录包括资源访问者Vs、访问时间Vt、访问协议Vr、目标资源端口Vp和目标资源地址Vip等;然后技术人员可以根据实际情况对该用户的访问行为进行限制。
当然,在其他实施例中,还可以预先在系统中设置有多种攻击防御策略,以对应不同的异常访问行为。当判断具有攻击风险时,系统自动根据异常访问行为调取对应的攻击防御策略,从而自动对该用户的访问行为进行限制。
较佳的,还可以对判断存在攻击风险的用户建立黑名单。如该用户被判定存在攻击风险的次数超出一定次数后,将该用户拉入黑名单并进行管理。
对于具有攻击风险的访问行为的告警和限制策略可以有多种,本实施例仅以上述示例说明可以实现的若干方案,但本申请的保护范围不应当以此为限。本领域技术人员在不违背本申请主旨前提下采用的其他告警和限制策略也应当属于本申请的保护范围。
以下,参考图2,对本申请提供的基于高斯过程回归的网络攻击防御方法进行简要说明:
首先,收集用户的访问日志记录,并对用户访问日志进行整理;然后,对访问日志记录中的数据进行清洗,得到访问行为向量和与之相对应的访问次数向量(频率次数向量)/>之后,进行高斯过程回归,得到用户行为预测模型;接着,利用用户行为预测模型检测用户访问行为频次是否超出允许误差阈值,若超出允许误差阈值,则判定用户具有攻击风险,则提前告警并对该用户的访问行为进行限制。
本实施例还提供一种基于高斯过程回归的网络攻击防御系统,用于进行如上所述的基于高斯过程回归的网络攻击防御方法,如图3所示,所述基于高斯过程回归的网络攻击防御系统包括:日志收集模块,用于收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;日志整理模块,用于对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;数据处理模块,用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;决策判断模块,用于根据访问行为的概率次数,判断用户是否具有攻击风险,并在判断用户具有攻击风险时,提前告警并对该用户的访问行为进行限制。
本实施例提供的基于高斯过程回归的网络攻击防御系统,通过访问日志获取用户的访问行为和访问频率次数,利用高斯过程回归对用户发生的后续网络访问行为做出预测,并据此判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制,如此,能够更加有效、灵活和及时发现用户的异常行为,并迅速、敏捷、准确地针对单个异常活动调整,做出防御行为,将损失和影响降到最低,解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
在具体应用过程中,基于高斯过程回归的网络攻击防御系统中的各个功能模块还可以具有更具体的子单元,以实现具体的工作内容分工。例如,日志收集模块包括数据接口、数据采集单元和数据存储单元,数据接口与用户对接,以使访问日志数据通过数据接口到达数据采集单元,经过数据采集单元初步整理后放入数据存储单元进行存储。日志整理模块包括数据调用单元、数据整理单元和向量生成单元,通过数据调用单元将数据存储单元内存储的访问日志数据进行调取,然后通过数据整理单元对同一用户的访问日志数据进行整理,最后通过向量生成单元生成访问行为向量和访问次数向量。数据处理模块包括高斯过程模型,通过高斯过程模型对访问行为向量和访问次数向量进行分析处理,得到用户发生某一访问行为的概率次数的预测值。决策判断模块包括风险判断单元和决策告警单元,风险判断单元将访问行为的次数与高斯过程模型计算的概率次数进行对比,判断用户是否具有攻击风险,决策告警单元在判断用户具有攻击风险时进行提前告警并对该用户的访问行为进行限制。
当然,在其他具体实施例中,基于高斯过程回归的网络攻击防御系统中的各个功能模块还可以有不同的设计,本申请在此不再赘述。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可,此外,各个实施例之间不同的部分也可互相组合使用,本发明对此不作限定。
本实施例提供的基于高斯过程回归的网络攻击防御方法及系统,包括:收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制。通过访问日志获取用户的访问行为和访问频率次数,利用高斯过程回归对用户发生的后续网络访问行为做出预测,并据此判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制,如此,能够更加有效、灵活和及时发现用户的异常行为,并迅速、敏捷、准确地针对单个异常活动调整,做出防御行为,将损失和影响降到最低,解决了现有防御网络攻击的方法无法灵活、有效地防御各类网络攻击的问题。
上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。
Claims (8)
1.一种基于高斯过程回归的网络攻击防御方法,其特征在于,包括:
收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;
对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;
利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;
根据访问行为的概率次数,判断用户是否具有攻击风险,若判断具有攻击风险,则提前告警并对该用户的访问行为进行限制;
其中,利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数的方法包括:
利用所述访问行为向量和所述访问次数向量建立样本集合n为访问行为Xi的总数;
根据所述样本集合D建立访问次数yi关于访问行为xi的函数关系f:
yi=f(xi)+ξi
其中,ξi为高斯噪声干扰;
对所述样本集合D进行高斯过程回归处理,目标为使取最小值,以预测用户发生访问行为/>对应的概率次数设f的均值函数为0,方差函数为κ(x,x),方差为σ2=0,计算访问次数向量/>和概率次数/>的联合概率分布:
其中,(K)ij=κ(xi,xj),
其中,σf和l为超参数,通过最大似然估计求解;
通过贝叶斯后验概率,得到:
其中,为均值,var(y*)为方差;
联合求得的预测值即为用户发生某一访问行为的概率次数。
2.根据权利要求1所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法包括:
在需要构建防御措施的网络资源的控制部分和网关处,收集网络内用户在预设时间段内的访问日志记录,所述访问日志记录包括资源访问者Vs、访问时间Vt、访问协议Vr、目标资源端口Vp和目标资源地址Vip;
对每一用户的所有所述访问日志记录进行汇总,得到每一用户的访问日志记录集:
Li={Vs,Vt,Vr,Vp,Vip}m
其中,i表示不同的用户,m为每一用户所产生的访问日志记录总数。
3.根据权利要求2所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述收集用户在预设时间段内的访问日志记录,以形成访问日志记录集的方法还包括:
若用户的此次访问为短连接,则采用单次记录;
若用户的此次访问为长连接,则每间隔一预设周期记录一次。
4.根据权利要求2所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法包括:
利用访问协议Vr、目标资源端口Vp和目标资源地址Vip构建第一变量
Xi={Vr,Vp,Vip};
利用所述第一变量对用户的访问行为进行统计,以得到访问行为向量和访问次数向量/>其中,yi为访问行为Xi发生的次数,n为访问行为Xi的总数。
5.根据权利要求4所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量的方法还包括:
对所述访问行为向量建立数值映射{xi}→{Xi},其中,映射的数值取值范围为(0,1)。
6.根据权利要求1所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述根据访问行为的概率次数,判断用户是否具有攻击风险的方法包括:
获取用户访问行为Xi所对应的访问次数yi;
将访问次数yi与高斯过程回归预测的概率次数进行比较,若比较结果满足预设条件,则判断用户具有攻击风险。
7.根据权利要求6所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述预设条件包括:
设定误差标准阈值εt;
若则判断用户具有攻击风险。
8.一种基于高斯过程回归的网络攻击防御系统,用于进行如权利要求1~7任一项所述的基于高斯过程回归的网络攻击防御方法,其特征在于,所述基于高斯过程回归的网络攻击防御系统包括:
日志收集模块,用于收集用户在预设时间段内的访问日志记录,以形成访问日志记录集;
日志整理模块,用于对所述访问日志记录集进行整理,以得到访问行为向量和与所述访问行为向量对应的访问次数向量;
数据处理模块,用于利用高斯过程回归对所述访问行为向量和所述访问次数向量进行分析,以预测用户发生某一访问行为的概率次数;
决策判断模块,用于根据访问行为的概率次数,判断用户是否具有攻击风险,并在判断用户具有攻击风险时,提前告警并对该用户的访问行为进行限制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311172064.5A CN117014224B (zh) | 2023-09-12 | 2023-09-12 | 基于高斯过程回归的网络攻击防御方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311172064.5A CN117014224B (zh) | 2023-09-12 | 2023-09-12 | 基于高斯过程回归的网络攻击防御方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117014224A CN117014224A (zh) | 2023-11-07 |
CN117014224B true CN117014224B (zh) | 2024-01-30 |
Family
ID=88571100
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311172064.5A Active CN117014224B (zh) | 2023-09-12 | 2023-09-12 | 基于高斯过程回归的网络攻击防御方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117014224B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117614746B (zh) * | 2024-01-23 | 2024-04-05 | 湖南恒茂信息技术有限公司 | 一种基于历史统计判定偏差行为的交换机防御攻击方法 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243408A (zh) * | 2013-06-14 | 2014-12-24 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
CN108650614A (zh) * | 2018-03-19 | 2018-10-12 | 复旦大学 | 一种自动推断社会关系的移动用户位置预测方法与装置 |
KR20190067355A (ko) * | 2017-12-07 | 2019-06-17 | 삼성전자주식회사 | 서버 및 이를 이용한 악성 코드 방어 방법 |
CN110750786A (zh) * | 2019-10-30 | 2020-02-04 | 上海观安信息技术股份有限公司 | 一种账号异常访问敏感数据行为的检测方法及系统 |
CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
CN111967688A (zh) * | 2020-09-02 | 2020-11-20 | 沈阳工程学院 | 一种基于卡尔曼滤波器与卷积神经网络的电力负荷预测方法 |
CN112116138A (zh) * | 2020-09-09 | 2020-12-22 | 山东科技大学 | 基于数据驱动的电力系统预测状态估计方法及系统 |
CN113765880A (zh) * | 2021-07-01 | 2021-12-07 | 电子科技大学 | 一种基于时空关联性的电力系统网络攻击检测方法 |
CN114124517A (zh) * | 2021-11-22 | 2022-03-01 | 码客工场工业科技(北京)有限公司 | 一种基于高斯过程的工业互联网入侵检测方法 |
CN115102166A (zh) * | 2022-07-27 | 2022-09-23 | 南京邮电大学 | 一种基于博弈论的有源配电网动态防御性能优化方法 |
CN115983029A (zh) * | 2023-01-14 | 2023-04-18 | 北京航空航天大学 | 一种航空装备可靠性仿真数字孪生模型构建方法、设备、介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130246017A1 (en) * | 2012-03-14 | 2013-09-19 | Microsoft Corporation | Computing parameters of a predictive model |
CN104852883A (zh) * | 2014-02-14 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 保护账号信息安全的方法和系统 |
EP3944159A1 (en) * | 2020-07-17 | 2022-01-26 | Tata Consultancy Services Limited | Method and system for defending universal adversarial attacks on time-series data |
-
2023
- 2023-09-12 CN CN202311172064.5A patent/CN117014224B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243408A (zh) * | 2013-06-14 | 2014-12-24 | 中国移动通信集团公司 | 域名解析服务dns系统中监控报文的方法、装置及系统 |
CN107241352A (zh) * | 2017-07-17 | 2017-10-10 | 浙江鹏信信息科技股份有限公司 | 一种网络安全事件分类与预测方法及系统 |
KR20190067355A (ko) * | 2017-12-07 | 2019-06-17 | 삼성전자주식회사 | 서버 및 이를 이용한 악성 코드 방어 방법 |
CN108650614A (zh) * | 2018-03-19 | 2018-10-12 | 复旦大学 | 一种自动推断社会关系的移动用户位置预测方法与装置 |
CN110750786A (zh) * | 2019-10-30 | 2020-02-04 | 上海观安信息技术股份有限公司 | 一种账号异常访问敏感数据行为的检测方法及系统 |
CN111885040A (zh) * | 2020-07-17 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 分布式网络态势感知方法、系统、服务器及节点设备 |
CN111967688A (zh) * | 2020-09-02 | 2020-11-20 | 沈阳工程学院 | 一种基于卡尔曼滤波器与卷积神经网络的电力负荷预测方法 |
CN112116138A (zh) * | 2020-09-09 | 2020-12-22 | 山东科技大学 | 基于数据驱动的电力系统预测状态估计方法及系统 |
CN113765880A (zh) * | 2021-07-01 | 2021-12-07 | 电子科技大学 | 一种基于时空关联性的电力系统网络攻击检测方法 |
CN114124517A (zh) * | 2021-11-22 | 2022-03-01 | 码客工场工业科技(北京)有限公司 | 一种基于高斯过程的工业互联网入侵检测方法 |
CN115102166A (zh) * | 2022-07-27 | 2022-09-23 | 南京邮电大学 | 一种基于博弈论的有源配电网动态防御性能优化方法 |
CN115983029A (zh) * | 2023-01-14 | 2023-04-18 | 北京航空航天大学 | 一种航空装备可靠性仿真数字孪生模型构建方法、设备、介质 |
Non-Patent Citations (1)
Title |
---|
基于高斯过程模型的异常检测算法;于冰洁;夏战国;王久龙;;《计算机工程与设计》(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117014224A (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shameli-Sendi et al. | Taxonomy of intrusion risk assessment and response system | |
Huang et al. | Reinforcement learning for feedback-enabled cyber resilience | |
Alrashdi et al. | FBAD: Fog-based attack detection for IoT healthcare in smart cities | |
Kholidy et al. | A finite state hidden markov model for predicting multistage attacks in cloud systems | |
US20230336581A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
WO2023283357A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
Natarajan | Cyber secure man-in-the-middle attack intrusion detection using machine learning algorithms | |
Jadidi et al. | A threat hunting framework for industrial control systems | |
CN117014224B (zh) | 基于高斯过程回归的网络攻击防御方法及系统 | |
David et al. | Zero day attack prediction with parameter setting using bi direction recurrent neural network in cyber security | |
Feizollah et al. | Anomaly detection using cooperative fuzzy logic controller | |
Berenjian et al. | Intelligent automated intrusion response system based on fuzzy decision making and risk assessment | |
Hasan et al. | Artificial intelligence empowered cyber threat detection and protection for power utilities | |
Leite et al. | A hybrid and learning agent architecture for network intrusion detection | |
Chen et al. | Towards realizing self-protecting SCADA systems | |
Shankar et al. | Deep analysis of risks and recent trends towards network intrusion detection system | |
Subramani et al. | Comprehensive review on distributed denial of service attacks in wireless sensor networks | |
Graf et al. | A decision support model for situational awareness in national cyber operations centers | |
Melo et al. | A novel immune detection approach enhanced by attack graph based correlation | |
Qassim et al. | Strategy to Reduce False Alarms in Intrusion Detection and Prevention Systems. | |
Bou-Harb et al. | Passive inference of attacks on CPS communication protocols | |
Pontes et al. | Applying multi-correlation for improving forecasting in cyber security | |
Sivasakthi et al. | HybridRobustNet: enhancing detection of hybrid attacks in IoT networks through advanced learning approach | |
Gurin et al. | Intrusion detection system on the basis of data mining algorithms in the industrial network | |
Cazorla et al. | Awareness and reaction strategies for critical infrastructure protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |