CN117061241A - 一种基于深度学习的网络安全监控方法及系统 - Google Patents
一种基于深度学习的网络安全监控方法及系统 Download PDFInfo
- Publication number
- CN117061241A CN117061241A CN202311307711.9A CN202311307711A CN117061241A CN 117061241 A CN117061241 A CN 117061241A CN 202311307711 A CN202311307711 A CN 202311307711A CN 117061241 A CN117061241 A CN 117061241A
- Authority
- CN
- China
- Prior art keywords
- state
- network
- real
- access data
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 143
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000013135 deep learning Methods 0.000 title claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 239000013598 vector Substances 0.000 claims description 25
- 238000011156 evaluation Methods 0.000 claims description 23
- 238000012423 maintenance Methods 0.000 claims description 16
- 238000001914 filtration Methods 0.000 claims description 14
- 238000012549 training Methods 0.000 claims description 12
- 238000010606 normalization Methods 0.000 claims description 10
- 230000035515 penetration Effects 0.000 claims description 10
- 238000007781 pre-processing Methods 0.000 claims description 10
- 230000009191 jumping Effects 0.000 claims description 9
- 239000012466 permeate Substances 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 7
- 230000035772 mutation Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 claims description 3
- 238000013473 artificial intelligence Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 abstract description 3
- 230000008901 benefit Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及人工智能领域,特别是一种基于深度学习的网络安全监控方法及系统。通过获取待监控实时网络访问数据;建立目标DE‑XGBoost网络安全监控模型;将待监控实时网络访问数据输入至目标DE‑XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态;若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA‑CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控;若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。可以针对攻击过程多、隐蔽性强、攻击手段灵活多变的网络攻击手段进行监控和防护。
Description
技术领域
本发明涉及人工智能领域,特别是一种基于深度学习的网络安全监控方法及系统。
背景技术
随着互联网的全面普及,个人信息与网络之间的关系越来越密切。然而,随着信息技术的快速发展,网络安全问题变得更加突出。网络攻击手段日益繁复,黑客攻击、病毒木马、诈骗等现象层出不穷,不断发生各种网络攻击事件,其攻击方式愈发复杂多样,并呈现出更加隐蔽和危害更大的特点,也更难被发现和防范。现有网络安全通常是人为进行查找和在经受网络攻击后再进行补救,因此浪费大量的人力的同时,对网络安全的防护并不高,在人工智能快速发展的情况下,深度学习运用至各行业,如何利用人工智能对网络安全进行监控保护系统和数据安全的同时还能减少人力物力的浪费是现阶段丞待解决的技术问题。
发明内容
本发明的目的是为了解决上述问题,设计了一种基于深度学习的网络安全监控方法及系统。
实现上述目的本发明的技术方案为,进一步,在上述一种基于深度学习的网络安全监控方法中,所述网络安全监控方法包括以下步骤:
获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
进一步,在上述网络安全监控方法中,所述获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据,包括:
获取系统中的第一实时网络访问数据,所述第一实时网络访问数据包括CAN网络访问数据、LIN总线网络访问数据、FlexRay总线网络访问数据、MOST总线网络访问数据、局域网网络访问数据;
所述第一实时网络访问数据还包括网络攻击总类型、网络攻击类型、网络攻击因子、网络关联因子、网络攻击总数;
基于中值滤波算法对所述第一实时网络访问数据进行滤波处理,得到滤波实时网络访问数据;
利用归一化算法对滤波实时网络访问数据进行归一化处理,得到待监控实时网络访问数据。
进一步,在上述网络安全监控方法中,所述通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型,包括:
通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型;
利用DE差分进化算法根据预先设定的超参数范围,随机生成一组超参数向量,得到初始种群;
通过变异和交叉生成实验向量,利用实验向量和目标向量在训练数据集上训练两个初始XGBoost网络安全监控模型,得到第二初始XGBoost网络安全监控模型;
基于DE差分进化算法评估所述初始XGBoost网络安全监控模型的性能,获取性能最好的模型和对应的超参数向量,得到目标DE-XGBoost网络安全监控模型。
进一步,在上述网络安全监控方法中,所述将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态,包括:
设定所述目标DE-XGBoost网络安全监控模型中的目标函数维度=4,种群大小=6、迭代次数=400;
设定所述DE差分进化算法中的自变量上界=[0,1,0]、自变量下界=[2,3,2];
将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态;
所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态。
进一步,在上述网络安全监控方法中,所述若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,包括:
若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输;
所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;
所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;
实时获取服务器中的网络访问数据,得到第二实时网络访问数据,并对所述第二实时网络访问数据进行监控。
进一步,在上述网络安全监控方法中,所述每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估,包括:
每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估,得到第二网络安全实时状态;
若所述第二网络安全实时状态保持不变的时间为60min以上,则每隔120min获取第二实时网络访问数据;
若所述第二网络安全实时状态由一般危险状态或者中等危险状态转变为重度危险状态,则对管理人员进行预警。
进一步,在上述网络安全监控方法中,所述若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道,包括:
若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈;
根据服务器被攻击的历史维护措施,获得网络攻击维护数据库,根据所述网络攻击维护数据库生成所述高等危险状态的目标网络维护措施;
所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
若系统在1min内未收到预警反馈,则关闭服务器的访问通道;若系统在1min内收到预警反馈,则根据所述预警反馈做出服务器防护指令。
进一步,在上述一种基于深度学习的网络安全监控系统中,所述网络安全监控系统,包括:
数据获取模块,用于获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
模型建立模块,用于通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
状态识别模块,用于将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
网络监控模块,用于若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
安全评估模块,用于每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
安全预警模块,用于若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
进一步,在上述一种基于深度学习的网络安全监控系统中,所述数据获取模块包括以下子模块:
获取子模块,用于获取系统中的第一实时网络访问数据,所述第一实时网络访问数据包括CAN网络访问数据、LIN总线网络访问数据、FlexRay总线网络访问数据、MOST总线网络访问数据、局域网网络访问数据;
数据子模块,用于确定所述第一实时网络访问数据还包括网络攻击总类型、网络攻击类型、网络攻击因子、网络关联因子、网络攻击总数;
滤波子模块,用于基于中值滤波算法对所述第一实时网络访问数据进行滤波处理,得到滤波实时网络访问数据;
得到子模块,用于利用归一化算法对滤波实时网络访问数据进行归一化处理,得到待监控实时网络访问数据。
进一步,在上述一种基于深度学习的网络安全监控系统中,所述模型建立模块包括以下子模块:
建立子模块,用于通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型;
生成子模块,用于利用DE差分进化算法根据预先设定的超参数范围,随机生成一组超参数向量,得到初始种群;
训练子模块,用于通过变异和交叉生成实验向量,利用实验向量和目标向量在训练数据集上训练两个初始XGBoost网络安全监控模型,得到第二初始XGBoost网络安全监控模型;
评估子模块,用于基于DE差分进化算法评估所述初始XGBoost网络安全监控模型的性能,获取性能最好的模型和对应的超参数向量,得到目标DE-XGBoost网络安全监控模型。
其有益效果在于,通过获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控;每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估;若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。可以针对攻击过程多、隐蔽性强、攻击手段灵活多变的网络攻击手段进行监控和防护,确保系统和数据的安全可靠性;视化地分析模型的运行状态以及分析系统运行时的脆弱性,并针对脆弱点提出漏洞修复方案进行补丁修复,预防多种网络攻击,有效地维护了网络数据的安全。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。
图1为本发明实施例中一种基于深度学习的网络安全监控方法的第一个实施例示意图;
图2为本发明实施例中一种基于深度学习的网络安全监控方法的第二个实施例示意图;
图3为本发明实施例中一种基于深度学习的网络安全监控方法的第三个实施例示意图;
图4为本发明实施例中一种基于深度学习的网络安全监控系统的第一个实施例示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“所述”也可包括复数形式。应所述进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
下面结合附图对本发明进行具体描述,如图1所示,一种基于深度学习的网络安全监控方法,网络安全监控方法包括以下步骤:
步骤101、获取系统中的第一实时网络访问数据,对第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
具体的,本实施例中获取系统中的第一实时网络访问数据,第一实时网络访问数据包括CAN网络访问数据、LIN总线网络访问数据、FlexRay总线网络访问数据、MOST总线网络访问数据、局域网网络访问数据;第一实时网络访问数据还包括网络攻击总类型、网络攻击类型、网络攻击因子、网络关联因子、网络攻击总数;基于中值滤波算法对第一实时网络访问数据进行滤波处理,得到滤波实时网络访问数据;利用归一化算法对滤波实时网络访问数据进行归一化处理,得到待监控实时网络访问数据;
步骤102、通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
具体的,本实施例中通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型;利用DE差分进化算法根据预先设定的超参数范围,随机生成一组超参数向量,得到初始种群;通过变异和交叉生成实验向量,利用实验向量和目标向量在训练数据集上训练两个初始XGBoost网络安全监控模型,得到第二初始XGBoost网络安全监控模型基于DE差分进化算法评估初始XGBoost网络安全监控模型的性能,获取性能最好的模型和对应的超参数向量,得到目标DE-XGBoost网络安全监控模型。
步骤103、将待监控实时网络访问数据输入至目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;
具体的,本实施例中设定目标DE-XGBoost网络安全监控模型中的目标函数维度=4,种群大小=6、迭代次数=400;设定DE差分进化算法中的自变量上界=[0,1,0]、自变量下界=[2,3,2];将待监控实时网络访问数据输入至目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态;网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态。所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
步骤104、若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
具体的,本实施例中若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输;一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;实时获取服务器中的网络访问数据,得到第二实时网络访问数据,并对第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据。
步骤105、每隔3-5min获取第二实时网络访问数据,将第二实时网络访问数据输入至目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
具体的,本实施例中每隔3-5min获取第二实时网络访问数据,将第二实时网络访问数据输入至目标DE-XGBoost网络安全监控模型进行网络安全状态评估,得到第二网络安全实时状态;若第二网络安全实时状态保持不变的时间为60min以上,则每隔120min获取第二实时网络访问数据;若第二网络安全实时状态由一般危险状态或者中等危险状态转变为重度危险状态,则对管理人员进行预警。
步骤106、若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
具体的,本实施例中若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈;根据服务器被攻击的历史维护措施,获得网络攻击维护数据库,根据网络攻击维护数据库生成高等危险状态的目标网络维护措施;高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;若系统在1min内未收到预警反馈,则关闭服务器的访问通道;若系统在1min内收到预警反馈,则根据预警反馈做出服务器防护指令。
其有益效果在于,通过获取系统中的第一实时网络访问数据,对第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;将待监控实时网络访问数据输入至目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控;每隔3-5min获取第二实时网络访问数据,将第二实时网络访问数据输入至目标DE-XGBoost网络安全监控模型进行网络安全状态评估;若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。可以针对攻击过程多、隐蔽性强、攻击手段灵活多变的网络攻击手段进行监控和防护,确保系统和数据的安全可靠性;视化地分析模型的运行状态以及分析系统运行时的脆弱性,并针对脆弱点提出漏洞修复方案进行补丁修复,预防多种网络攻击,有效地维护了网络数据的安全。
本实施例中,请参阅图2,本发明实施例中一种基于深度学习的网络安全监控方法的第二个实施例,若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控包括以下步骤:
步骤201、若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输;
步骤202、一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;
步骤203、中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;
步骤204、实时获取服务器中的网络访问数据,得到第二实时网络访问数据,并对第二实时网络访问数据进行监控。
本实施例中,请参阅图3,本发明实施例中一种基于深度学习的网络安全监控方法的第三个实施例,若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道包括以下步骤:
步骤301、若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈;
步骤302、根据服务器被攻击的历史维护措施,获得网络攻击维护数据库,根据网络攻击维护数据库生成高等危险状态的目标网络维护措施;
步骤303、高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
步骤304、若系统在1min内未收到预警反馈,则关闭服务器的访问通道;若系统在1min内收到预警反馈,则根据预警反馈做出服务器防护指令。
上面对本发明实施例提供的一种基于深度学习的网络安全监控方法进行了描述,下面对本发明实施例的一种基于深度学习的网络安全监控系统进行描述,请参阅图4,本发明实施例中网络安全监控系统一个实施例包括:
数据获取模块,用于获取系统中的第一实时网络访问数据,对第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
模型建立模块,用于通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
状态识别模块,用于将待监控实时网络访问数据输入至目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
网络监控模块,用于若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
安全评估模块,用于每隔3-5min获取第二实时网络访问数据,将第二实时网络访问数据输入至目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
安全预警模块,用于若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应所述了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变和改进,这些变和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (10)
1.一种基于深度学习的网络安全监控方法,其特征在于,所述网络安全监控方法包括以下步骤:
获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
2.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据,包括:
获取系统中的第一实时网络访问数据,所述第一实时网络访问数据包括CAN网络访问数据、LIN总线网络访问数据、FlexRay总线网络访问数据、MOST总线网络访问数据、局域网网络访问数据;
所述第一实时网络访问数据还包括网络攻击总类型、网络攻击类型、网络攻击因子、网络关联因子、网络攻击总数;
基于中值滤波算法对所述第一实时网络访问数据进行滤波处理,得到滤波实时网络访问数据;
利用归一化算法对滤波实时网络访问数据进行归一化处理,得到待监控实时网络访问数据。
3.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型,包括:
通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型;
利用DE差分进化算法根据预先设定的超参数范围,随机生成一组超参数向量,得到初始种群;
通过变异和交叉生成实验向量,利用实验向量和目标向量在训练数据集上训练两个初始XGBoost网络安全监控模型,得到第二初始XGBoost网络安全监控模型;
基于DE差分进化算法评估所述初始XGBoost网络安全监控模型的性能,获取性能最好的模型和对应的超参数向量,得到目标DE-XGBoost网络安全监控模型。
4.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态,包括:
设定所述目标DE-XGBoost网络安全监控模型中的目标函数维度=4,种群大小=6、迭代次数=400;
设定所述DE差分进化算法中的自变量上界=[0,1,0]、自变量下界=[2,3,2];
将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态;
所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态。
5.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,包括:
若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输;
所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;
所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;
实时获取服务器中的网络访问数据,得到第二实时网络访问数据,并对所述第二实时网络访问数据进行监控。
6.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估,包括:
每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估,得到第二网络安全实时状态;
若所述第二网络安全实时状态保持不变的时间为60min以上,则每隔120min获取第二实时网络访问数据;
若所述第二网络安全实时状态由一般危险状态或者中等危险状态转变为重度危险状态,则对管理人员进行预警。
7.如权利要求1所述的一种基于深度学习的网络安全监控方法,其特征在于,所述若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道,包括:
若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈;
根据服务器被攻击的历史维护措施,获得网络攻击维护数据库,根据所述网络攻击维护数据库生成所述高等危险状态的目标网络维护措施;
所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
若系统在1min内未收到预警反馈,则关闭服务器的访问通道;若系统在1min内收到预警反馈,则根据所述预警反馈做出服务器防护指令。
8.一种基于深度学习的网络安全监控系统,其特征在于,所述网络安全监控系统包括以下模块:
数据获取模块,用于获取系统中的第一实时网络访问数据,对所述第一实时网络访问数据进行数据预处理,得到待监控实时网络访问数据;
模型建立模块,用于通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型,利用DE差分进化算法对所述初始XGBoost网络安全监控模型中的参数进行优化,得到目标DE-XGBoost网络安全监控模型;
状态识别模块,用于将所述待监控实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型中进行网络安全状态评估,得到网络安全实时状态,所述网络安全实时状态至少包括安全网络状态、一般危险网络状态、中等危险网络状态和高等危险网络状态;所述一般危险状态至少包括攻击方准备开始发动攻击状态、与被扫描主机成功建立联系状态;所述中等危险状态至少包括主机成功接收恶意数据包状态、被扫描主机可渗透成功状态、被扫描主机成为第一步跳板机;所述高等危险状态至少包括目标主机数据可泄露状态、内网主机可渗透成功状态、攻击成功状态;
网络监控模块,用于若网络安全实时状态为一般危险状态和中等危险状态,则通过RSA-CHAP传输协议对服务器中的网络访问数据进行传输,并对系统中的第二实时网络访问数据进行监控,所述第二实时网络访问数据为服务器处于一般危险状态和中等危险状态的网络访问数据;
安全评估模块,用于每隔3-5min获取所述第二实时网络访问数据,将所述第二实时网络访问数据输入至所述目标DE-XGBoost网络安全监控模型进行网络安全状态评估;
安全预警模块,用于若网络安全实时状态为高等危险状态,则对管理人员进行预警,并获取预警反馈,若系统在1min内未收到预警反馈,则关闭服务器的访问通道。
9.如权利要求8所述的一种基于深度学习的网络安全监控系统,其特征在于,所述数据获取模块包括以下子模块:
获取子模块,用于获取系统中的第一实时网络访问数据,所述第一实时网络访问数据包括CAN网络访问数据、LIN总线网络访问数据、FlexRay总线网络访问数据、MOST总线网络访问数据、局域网网络访问数据;
数据子模块,用于确定所述第一实时网络访问数据还包括网络攻击总类型、网络攻击类型、网络攻击因子、网络关联因子、网络攻击总数;
滤波子模块,用于基于中值滤波算法对所述第一实时网络访问数据进行滤波处理,得到滤波实时网络访问数据;
得到子模块,用于利用归一化算法对滤波实时网络访问数据进行归一化处理,得到待监控实时网络访问数据。
10.如权利要求8所述的一种基于深度学习的网络安全监控系统,其特征在于,所述模型建立模块包括以下子模块:
建立子模块,用于通过XGBoost极限梯度提升算法建立初始XGBoost网络安全监控模型;
生成子模块,用于利用DE差分进化算法根据预先设定的超参数范围,随机生成一组超参数向量,得到初始种群;
训练子模块,用于通过变异和交叉生成实验向量,利用实验向量和目标向量在训练数据集上训练两个初始XGBoost网络安全监控模型,得到第二初始XGBoost网络安全监控模型;
评估子模块,用于基于DE差分进化算法评估所述初始XGBoost网络安全监控模型的性能,获取性能最好的模型和对应的超参数向量,得到目标DE-XGBoost网络安全监控模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311307711.9A CN117061241B (zh) | 2023-10-11 | 2023-10-11 | 一种基于深度学习的网络安全监控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311307711.9A CN117061241B (zh) | 2023-10-11 | 2023-10-11 | 一种基于深度学习的网络安全监控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117061241A true CN117061241A (zh) | 2023-11-14 |
| CN117061241B CN117061241B (zh) | 2023-12-26 |
Family
ID=88655694
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311307711.9A Active CN117061241B (zh) | 2023-10-11 | 2023-10-11 | 一种基于深度学习的网络安全监控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117061241B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115296872A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种网络安全风险评估系统 |
| CN115913665A (zh) * | 2022-11-01 | 2023-04-04 | 国家管网集团北方管道有限责任公司 | 一种基于串口防火墙的网络安全预警方法及设备 |
| US20230115046A1 (en) * | 2021-10-07 | 2023-04-13 | Provallo, Inc. | Network security system for preventing unknown network attacks |
-
2023
- 2023-10-11 CN CN202311307711.9A patent/CN117061241B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230115046A1 (en) * | 2021-10-07 | 2023-04-13 | Provallo, Inc. | Network security system for preventing unknown network attacks |
| CN115174233A (zh) * | 2022-07-08 | 2022-10-11 | 广东瑞普科技股份有限公司 | 基于大数据的网络安全分析方法、设备、系统及介质 |
| CN115296872A (zh) * | 2022-07-26 | 2022-11-04 | 北京科能腾达信息技术股份有限公司 | 一种网络安全风险评估系统 |
| CN115913665A (zh) * | 2022-11-01 | 2023-04-04 | 国家管网集团北方管道有限责任公司 | 一种基于串口防火墙的网络安全预警方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117061241B (zh) | 2023-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107040517B (zh) | 一种面向云计算环境的认知入侵检测方法 | |
| CN114978770A (zh) | 基于大数据的物联网安全风险预警管控方法及系统 | |
| CN113596028B (zh) | 一种网络异常行为的处置方法及装置 | |
| CN110912882A (zh) | 一种基于智能算法的入侵检测方法及系统 | |
| CN108259498A (zh) | 一种基于人工蜂群优化的bp算法的入侵检测方法及其系统 | |
| Chen et al. | A Model-based Approach to {Self-Protection} in {SCADA} Systems | |
| CN117376031B (zh) | 基于数据分析的印控仪网络传输监管预警系统 | |
| CN116319061A (zh) | 一种智能控制网络系统 | |
| CN114826880A (zh) | 一种数据安全运行在线监测的方法及系统 | |
| Chen et al. | Defending malicious attacks in cyber physical systems | |
| CN115694928A (zh) | 全舰计算环境云端蜜罐、攻击事件感知和行为分析方法 | |
| Obeidat et al. | Smart approach for botnet detection based on Network Traffic analysis | |
| CN113709132A (zh) | 一种降低云端计算要求的安全检测方法及系统 | |
| CN117061241B (zh) | 一种基于深度学习的网络安全监控方法及系统 | |
| Garcia-Lebron et al. | A framework for characterizing the evolution of cyber attacker-victim relation graphs | |
| CN113079182B (zh) | 一种网络安全控制系统 | |
| Sindhwad et al. | Exploiting Control Device Vulnerabilities: Attacking Cyber-Physical Water System | |
| CN106993005A (zh) | 一种网络服务器的预警方法及系统 | |
| CN117278335B (zh) | 一种密码套件推选方法、装置、电子设备和存储介质 | |
| CN117879970B (zh) | 一种网络安全防护方法及系统 | |
| WO2023179467A1 (zh) | 一种漏洞评估方法以及分析设备 | |
| CN112637217B (zh) | 基于诱饵生成的云计算系统的主动防御方法及装置 | |
| CN111931168B (zh) | 一种基于警报关联的僵尸机检测方法 | |
| CN115865472A (zh) | 一种基于日志分析的请求拦截方法及系统 | |
| Gomathi et al. | Analysis and Classification of Network Security Attacks Using Domain Generation Algorithm |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |