CN117176478A - 基于用户操作行为的网络安全实训平台构建方法及系统 - Google Patents
基于用户操作行为的网络安全实训平台构建方法及系统 Download PDFInfo
- Publication number
- CN117176478A CN117176478A CN202311448812.8A CN202311448812A CN117176478A CN 117176478 A CN117176478 A CN 117176478A CN 202311448812 A CN202311448812 A CN 202311448812A CN 117176478 A CN117176478 A CN 117176478A
- Authority
- CN
- China
- Prior art keywords
- user
- representing
- security
- learning
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 109
- 238000012549 training Methods 0.000 title claims abstract description 57
- 238000010276 construction Methods 0.000 title claims abstract description 23
- 238000004458 analytical method Methods 0.000 claims abstract description 60
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 14
- 238000012360 testing method Methods 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims abstract description 10
- 238000013135 deep learning Methods 0.000 claims abstract description 5
- 238000012502 risk assessment Methods 0.000 claims abstract description 5
- 238000000034 method Methods 0.000 claims description 80
- 230000008569 process Effects 0.000 claims description 29
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 230000003044 adaptive effect Effects 0.000 claims description 11
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 6
- 238000011897 real-time detection Methods 0.000 claims description 6
- 230000002787 reinforcement Effects 0.000 claims description 6
- 230000035945 sensitivity Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 239000000284 extract Substances 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 7
- 238000013480 data collection Methods 0.000 abstract description 5
- 238000010223 real-time analysis Methods 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 10
- 238000012545 processing Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000000586 desensitisation Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000009916 joint effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000001483 mobilizing effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及网络安全技术领域,公开了一种基于用户操作行为的网络安全实训平台构建方法,通过收集用户操作行为的数据,生成数据集并对其进行分析,构建基于深度学习的用户行为模型,提高了对异常行为和潜在威胁的检测能力,结合用户行为模型和对数据集实时分析,实时检测并警报异常行为,构建高交互性的实践环境,保护了真实网络的安全性,让用户在实践环境中进行模拟攻击和漏洞测试,并生成安全分析结果,根据用户操作行为和安全分析结果提供自适应学习路径,根据自适应学习路径为用户提供风险评估报告并制定相应安全策略,对改善数据收集难度、提高用户的学习效果和提升用户的学习积极性有非常重大的现实意义。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于用户操作行为的网络安全实训平台构建方法及系统。
背景技术
随着科学技术的发展,通过虚拟网络环境和模拟攻击,各大网络安全实训平台提供了近乎真实的网络安全演练体验,帮助用户在实战中学习和提高技能,而且基于虚拟环境进行实训,减少了对真实网络的影响和风险。现阶段大多只关注怎么构建网络安全实训平台和虚拟环境的网络配置,没有关注到一些数据收集时的难度,并且没有关注到学习效果的提升还是依赖于用户本身。
如申请公开号为CN114584354A公开了一种网络安全实训平台的构建方法及系统,该方法包括:根据交互界面上的用户操作动作从设备信息库中获取多个设备信息,并根据多个设备信息生成网络拓扑配置信息;对网络拓扑配置信息进行解析得到拓扑连接信息,并根据拓扑连接信息以及环境配置库中存储的物理设备端口与全连接交换机端口的对应连接信息生成各个设备的网络配置文件和终端生成的脚本命令;根据各个设备的网络配置文件生成网络拓扑以构建网络安全实训平台的网络环境;根据终端生成的脚本命令生成相应的虚拟机以构建所述网络安全实训平台的终端环境;检测所述网络环境与所述终端环境的连通性,该方法提高网络安全实训平台构建过程中的直观性、逼真性和完整性。
如申请公开号为CN109901839A公开了一种广播电视关键信息基础设施网络安全攻防实训平台构建方法,包括以下步骤:任务并行:根据任务问题的求解过程,把任务分成若干子任务;数据并行:根据处理数据的方式,形成多个相对独立的数据区,由不同的处理器分别处理;并行编程:选择并行编程环境,进行CPU的并行程序设计;结果的并行编译:对进行CPU的并行程序设计进行编译;采用上述方法后,CPU核心利用率较高,电力系统数据任务处理更快;当系统中有一个CPU内核空闲时,便从该核心的任务等待队列中选取恰当的任务执行,这种方法的优点是任务基本上无需在多个CPU核心间切换,有利于提高CPU核心局部Cache命中率。
以上专利存在本背景技术提出的问题:没有关注到一些数据收集时候的难度,并且没有关注到学习效果的提升还是依赖于用户本身。为解决这一问题,本发明提出基于用户操作行为的网络安全实训平台构建方法及系统。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有基于用户操作行为的网络安全实训平台构建方法及系统存在的问题,提出了本发明。
因此,本发明目的是提供基于用户操作行为的网络安全实训平台构建方法及系统。
为解决上述技术问题,本发明提供基于用户操作行为的网络安全实训平台构建方法:收集用户操作行为的数据,生成数据集,并对所述数据集进行分析,得到对所述数据集的分析结果;
构建基于深度学习的用户行为模型;
结合所述用户行为模型和对所述数据集的分析结果,实时检测并警报异常行为;
构建高交互性的实践环境;
让用户在所述实践环境中进行模拟攻击和漏洞测试,并生成安全分析结果;
根据所述用户操作行为和所述安全分析结果提供自适应学习路径;
根据所述自适应学习路径为用户提供风险评估报告并制定相应安全策略。
作为本发明所述基于用户操作行为的网络安全实训平台构建方法的一种优选方案,其中:所述数据集包括登录操作、浏览器操作、文件操作、远程操作、数据库操作和网络操作;
分析所述数据集的函数表达式如下所示:
;
式中,表示所述数据集的分析结果,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示远程操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性,/>表示浏览器操作安全性,/>表示文件操作安全性,表示远程操作安全性,/>表示数据库操作安全性,/>表示网络操作安全性;
其中,登录操作安全性的计算公式为:
;
式中,表示登录操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,/>表示登录频次的得分,/>表示登录地址的得分,/>表示密码验证的得分;
所述远程操作的安全性的计算公式为:
;
式中,表示远程操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,/>表示使用安全的得分,/>表示被连接设备安全性的得分,/>表示用户控制敏感度的得分;
则分析所述数据集的规则具体如下:
若,则表示所述数据集的分析结果等级为等级一;
若,则表示所述数据集的分析结果等级为等级二;
若,则表示所述数据集的分析结果等级为等级三。
作为本发明所述基于用户操作行为的网络安全实训平台构建方法的一种优选方案,其中:所述用户行为模型是利用强化学习算法进行构建并不断迭代,迭代出更优策略,迭代策略的函数表达式如下所示;
;
式中,表示当前策略,/>表示求括号内的最大值,/>表示迭代过程中的学习率,/>表示损失系数,/>表示下一个策略;
所述迭代策略的规则如下所示:
若所述数据集的分析结果等级为等级一,则执行策略一;
若所述数据集的分析结果等级为等级二,则执行策略二;
若所述数据集的分析结果等级为等级三,则执行策略三。
作为本发明所述基于用户操作行为的网络安全实训平台构建方法的一种优选方案,其中:所述策略一的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
所述策略二的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
所述策略三的函数表达式如下所示;
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数。
作为本发明所述基于用户操作行为的网络安全实训平台构建方法的一种优选方案,其中:所述实时检测并警报的流程如下所示:
若执行所述策略一,则发出警报一;
若执行所述策略二,则发出警报二;
若执行所述策略三,则发出警报三。
作为本发明所述基于用户操作行为的网络安全实训平台构建方法的一种优选方案,其中:所述自适应学习路径生成流程如下所示:
用户在进入网络安全实训平台时,平台自动对所述用户操作行为的数据进行收集,分析所述用户操作行为的数据并提取所述用户操作行为的特征,构建所述用户行为模型,再根据所述安全分析结果总结用户的学习风格、知识水平、基本特征和学习态度,生成用户学习模型,将所述用户学习模型和网络安全知识模型相结合传输到自适应引擎中,分别对用户的学习方式和学习内容进行自适应推荐;
所述自适应推荐的规则如下所示:
若用户没有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为甲等,则执行推荐一;
若用户没有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为乙等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为甲等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为乙等,则执行推荐三。
基于用户操作行为的网络安全实训平台构建系统,包括:
采集分析模块、检测警报模块、安全实践模块和自适应模块;
所述采集分析模块采集用户操作行为的数据,生成数据集,并对所述数据集进行分析,得到对所述数据集的分析结果;
所述检测警报模块利用所述用户行为模型和对所述数据集的分析结果,实现用户操作行为实时检测并警报;
所述安全实践模块基于高交互性的实践环境进行网络安全实训;
所述自适应模块根据所述用户操作行为和所述网络安全实训的结果生成自适应学习路径并给予安全报告。
一种计算机设备,包括,存储器,用于存储指令;处理器,用于执行所述指令,使得所述设备执行实现基于用户操作行为的网络安全实训平台构建方法。
一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,实现基于用户操作行为的网络安全实训平台构建方法。
本发明的有益效果:本发明通过收集用户操作行为的数据,生成数据集并对其进行分析,得到对数据集的分析结果,改善了数据收集难度,构建基于深度学习的用户行为模型,提高了对异常行为和潜在威胁的检测能力,结合用户行为模型和对数据集的分析结果,实时检测并警报异常行为,构建高交互性的实践环境,减少了真实网络的影响和风险,保护了真实网络的安全性,让用户在实践环境中进行模拟攻击和漏洞测试,并生成安全分析结果,帮助用户在实战中学习和提高技能,根据用户操作行为和安全分析结果提供自适应学习路径,提高了用户的学习效果并提升用户的学习积极性,根据自适应学习路径为用户提供风险评估报告并制定相应安全策略,帮助用户及时纠正错误和改进安全策略。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明基于用户操作行为的网络安全实训平台构建方法的方法流程图;
图2为本发明基于用户操作行为的网络安全实训平台构建方法所述的强化学习决策过程图;
图3为本发明基于用户操作行为的网络安全实训平台构建方法所述的自适应学习路径生成流程图;
图4为本发明基于用户操作行为的网络安全实训平台构建系统的系统结构图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
再其次,本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
实施例1
本实施例中,参照图1,提供了基于用户操作行为的网络安全实训平台构建方法的方法流程图,如图1所示,基于用户操作行为的网络安全实训平台构建方法包括:
S1、收集用户操作行为的数据,生成数据集,并对数据集进行分析,得到对数据集的分析结果。
数据集包括登录操作、浏览器操作、文件操作、远程操作、数据库操作和网络操作;
可以通过日志记录和网络流量分析进行数据采集,改善了数据收集难度,登录操作记录包括用户登录的间隔、IP地址和密码验证,判断用户的登录频次是否正常、用户的登录地址是否正常、是否是用户本人登录;浏览器操作记录包括用户浏览的频次和网址,判断用户的浏览频次是否正常、用户有无点击恶意链接;文件操作记录包括用户传输文件的时间、内容和接收者,判断用户的传输频次是否正常、用户的传输内容是否敏感、传输的接收者是否异常;远程操作记录包括远程连接的使用工具、被连接设备和控制内容,判断用户的远程使用安全、被连接设备的安全性、用户的控制敏感度;数据库操作记录包括用户处理数据库的时长、形式,判断用户的数据处理频次、用户的数据处理安全;网络操作记录包括网络环境配置,记录用户根据实际情况进行的网络配置,判断用户是否有破坏环境的行为;
分析数据集的函数表达式如下所示:
;
式中,表示数据集的分析结果,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示远程操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性,/>表示浏览器操作安全性,/>表示文件操作安全性,/>表示远程操作安全性,/>表示数据库操作安全性,/>表示网络操作安全性;
其中,登录操作安全性的计算公式为:
;
式中,表示登录操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,/>表示登录频次的得分,/>表示登录地址的得分,/>表示密码验证的得分;
远程操作的安全性的计算公式为:
;
式中,表示远程操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,/>表示使用安全的得分,/>表示被连接设备安全性的得分,/>表示用户控制敏感度的得分;
则分析数据集的规则具体如下:
若,则表示数据集的分析结果等级为等级一;
若,则表示数据集的分析结果等级为等级二;
若,则表示数据集的分析结果等级为等级三;
需要解释的是:等级一表示数据集中每个操作安全性相对较强,用户做出了一些异常或者敏感的行为,但没有到影响主机和虚拟环境的程度,等级二表示数据集中每个操作安全性中等,用户做出了一些异常或者敏感的行为,且到了轻微影响主机和虚拟环境的程度,等级三表示数据集中每个操作安全性相对较弱,用户做出了一些异常或者敏感的行为,且到了严重影响主机和虚拟环境的程度。
具体应用中,数据集中每个操作安全性的权重各不相同,这里定义登录操作安全性的权重为0.3,浏览器操作安全性的权重为0.1,文件操作安全性的权重为0.2,远程操作安全性的权重为0.1,数据库操作安全性的权重为0.1,网络操作安全性的权重为0.2;
对每个操作安全性中的内容进行打分,最高为1,最低为0,该数据集的等级定义为等级一;
其中,涉及到每个操作安全性的具体定义,登录操作中登录频次的系数为0.3、登录地址的系数为0.2、密码验证的系数为0.5,浏览器操作中计算点击恶意链接的频次占总频次的比率,文件操作中计算传输内容敏感的频次和接收者异常的频次占总频次的比率,远程操作中使用安全的系数为0.2、被连接设备安全性的系数为0.2、用户控制敏感度的系数为0.6,数据库操作中计算数据处理不安全次数占总数据处理次数的比率,网络操作中若有破坏环境的行为,则将网络操作的安全性记为0,若没有破坏环境的行为,则记为1。
S2、构建基于深度学习的用户行为模型。
用户行为模型是利用强化学习算法进行构建并不断迭代,迭代出更优策略,迭代策略的函数表达式如下所示;
;
式中,表示当前策略,/>表示求括号内的最大值,/>表示迭代过程中的学习率,/>表示损失系数,/>表示下一个策略;
迭代策略的规则如下所示:
若数据集的分析结果等级为等级一,则执行策略一;
若数据集的分析结果等级为等级二,则执行策略二;
若数据集的分析结果等级为等级三,则执行策略三;
策略一的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
策略二的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
策略三的函数表达式如下所示;
;
式中,表示当前策略梯度,/>表示数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
由于用户操作行为是一直在变化的,这里使用强化学习算法构建用户行为模型,提高了对异常行为和潜在威胁的检测能力,需要与环境不断地交互,通过试错的方式去总结每一步的最佳行为决策,训练模型能够伴随着时间的不停变化给予一个更优的策略,从而指导训练者在不同的用户操作行为下如何决策,采用什么样的动作去应对不同用户操作行为下产生的各种影响,这样当前策略的状态和所采取的动作将会影响到下一个策略的抉择,数据和数据之间存在一定的关联性,强化学习决策过程如图2所示,例如多个用户做出的联合动作与环境不断地进行交互,再通过环境反馈给每个用户相应的状态和回报,进而指导每个用户做出相应的动作,再通过每个用户采取的动作进行联合,再与环境进行交互,这样不断迭代,进而生成最优的决策策略。
具体应用中,因为数据集的分析结果等级为等级一时,用户做出的异常或者敏感行为并没有影响到主机和虚拟环境的安全,所以对学习率和损失系数的利用可以相对不多,当数据集的分析结果等级为等级三时,用户做出的异常或者敏感行为会严重影响到主机和虚拟环境的安全,所以需要对学习率和损失系数的利用较多,并且较小的学习率和损失系数能够更好地优化用户行为模型,迭代出更优的策略,因为上述该数据集的分析结果等级的等级为等级一,所以执行策略一。
S3、结合用户行为模型和对数据集的分析结果,实时检测并警报异常行为。
实时检测并警报的流程如下所示:
若执行策略一,则发出警报一;
若执行策略二,则发出警报二;
若执行策略三,则发出警报三;
需要说明的是:警报一是指用户并没有做出影响到主机和虚拟环境正常使用的,只需要警报相关人员在该用户实战结束后进行例行的系统检查即可,警报二是指用户的操作行为轻微影响了主机和虚拟环境的正常使用,需要警报给相关人员在该用户实战结束后对出现的问题进行系统修复,警报三是指用户的操作行为严重影响了主机和虚拟环境的正常使用,需要立刻截断主机和虚拟环境的连接通道,并警报给相关人员紧急修复。
具体应用中,该用户的操作行为被执行了策略一,所以需要发出警报一,只需要警报给相关人员在该用户实战结束后进行例行的系统检查即可。
S4、构建高交互性的实践环境。
该高交互性的实践环境是基于虚拟化技术构建的,利用虚拟化技术通过划分不同的操作系统、网络设备和攻击场景,真实地重现现实中的未授权攻击和恶意活动以及漏洞测试的场景,这样不仅可以完全地展示出攻击和测试时操作系统的状态,还可以将实践环境隔离起来,以防造成对主机的损坏。
具体应用中,该实践环境可以加上单向网闸,确保该实践环境只能主动接收主机的信息,而不能主动传送信息给主机,更加降低了执行未授权攻击和恶意活动以及漏洞测试时对主机的损坏。
S5、让用户在实践环境中进行模拟攻击和漏洞测试,并生成安全分析结果。
用户在该实践环境中进行模拟攻击和漏洞测试时,利用虚拟化技术中的网络监控功能对用户操作行为进行监控,出现异常行为及时报警,对于用户的每一次实战进行全面分析,结束后生成安全分析结果,该安全分析结果包括用户在实战中的操作行为、实战的最终结果、最优操作和行为分析,同时生成相应的修复方法和防御策略,给予用户一些实战上的指导,让用户能够在每一次的实战中既能了解攻击和测试过程,又能学到相对比较前沿的漏洞修复方法和防御策略。
具体应用中,用户模拟了在视频会议平台中的未授权访问攻击,该用户可以进入他人的视频会议中,在该视频会议中执行代码、共享文件等操作,在该实战结束后平台记录了该用户攻击的整个过程行为,发现该用户在实战过程中的攻击行为比较保守,虽然实战的结果是成功的,但是相对于最优操作来说该用户的操作略显多余,直接生成一个木马病毒发送到会议成员的手机上,利用木马病毒对视频会议进行监听和操控,根据该用户的操作行为可以得知并没有很多的实战经验,而且有很多的行为对本身的系统环境造成了一些影响,对于该未授权攻击的修复和防御策略,可以利用防火墙的白名单功能并且利用单点登录的方法进行防御。
S6、根据用户操作行为和安全分析结果提供自适应学习路径。
自适应学习路径是根据每个用户的操作行为和实战结果生成的个性化学习方式和内容,对用户的操作行为数据、学习成果和反馈信息等大数据进行学习和不断分析,并结合学习进度和相关能力表现给予用户一条最适应该用户学习成长的路径,生动地诠释了网络安全实训平台的个性化学习优点,提高了用户的学习效果并提升用户的学习积极性;
自适应学习路径生成流程图如图3所示,具体解释如下所示:
用户在进入网络安全实训平台时,平台自动对用户操作行为的数据进行收集,分析用户操作行为的数据并提取用户操作行为的特征,构建用户行为模型,再根据安全分析结果总结用户的学习风格、知识水平、基本特征和学习态度,生成用户学习模型,将用户学习模型和网络安全知识模型相结合传输到自适应引擎中,分别对用户的学习方式和学习内容进行自适应推荐;
网络安全知识模型是根据现阶段很成熟的网络安全知识整合而成的模型;
自适应推荐的规则如下所示:
若用户没有做出威胁主机和虚拟环境的异常行为且用户学习模型为甲等,则执行推荐一;
若用户没有做出威胁主机和虚拟环境的异常行为且用户学习模型为乙等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且用户学习模型为甲等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且用户学习模型为乙等,则执行推荐三;
需要解释的是:用户学习模型为甲等说明该用户的学习风格比较多元化、知识水平比较全面且学习态度比较积极,用户学习模型为乙等说明该用户的学习风格比较单一、知识水平不够全面且学习态度不积极,推荐一是指生成比较高级、促进成长的实战内容,推荐二是指生成相对相对高阶、寓教于乐的实战内容和小贴士,推荐三是指生成相对比较基础但很有趣的理论知识和实战内容。
具体应用中,每位用户都有自己的学习偏好,对于多个实战内容会有指向性的进行选择,而且每位用户的知识水平不一样,这也导致了对每个实战内容的理解和掌握的程度不一样,然后每位用户的学习态度也各不相同,该用户除了对派发任务的简单完成,并没有进行实战后的技术理解和项目反思,也没有进行额外的实战拓展,学习风格单一、知识水平不够全面且学习态度不积极,所以根据自适应推荐的规则可知,对于该用户的平台界面应该生成相对高阶、寓教于乐的实战内容和小贴士。
S7、根据自适应学习路径为用户提供风险评估报告并制定相应安全策略。
根据用户生成的学习方式和内容给予用户一些关于网络安全的小贴士,对于已经实战过的内容生成教学视频供用户进行学习和对比,并给予一些对抗非授权攻击的方法和漏洞测试的相关提示,从而生成相应安全策略,帮助用户及时纠正错误和改进安全策略。
具体应用中,该用户的平台界面是相对高阶、寓教于乐的实战内容和小贴士,且用户在完成视频会议攻击之后,生成了相应安全策略:首先对视频会议平台设置强密码进入机制,其次限制除视频会议管理员外其他人的权限,然后对于每一个参加视频会议的人都有一个独特的进入密码,最后对于必须参加视频会议的员工添加到白名单中。
实施例2
本实施例中,参照图4,提供了基于用户操作行为的网络安全实训平台构建系统的系统结构图,如图4所示,基于用户操作行为的网络安全实训平台构建系统包括:采集分析模块、检测警报模块、安全实践模块和自适应模块。
采集分析模块采集用户操作行为的数据,生成数据集,并对数据集进行分析,得到对数据集的分析结果;
在采集分析模块中添加一个监控机制,读取日志记录来监控用户的操作行为是否触及到敏感操作,包括登录操作、浏览器操作、文件操作、网络请求、远程操作、虚拟机操作、数据库操作和环境配置,其中为了保护数据隐私,需要对采集的数据进行匿名化和去敏感化处理,去除关键信息并对敏感信息进行加密、替换、偏移等脱敏操作,并明确告知用户数据采集的目的、方式和使用范围,提供明确的隐私政策和可信的渠道供用户参考和留言。
检测警报模块利用用户行为模型和对数据集的分析结果,实现用户操作行为实时检测并警报;
在检测警报模块中除了虚拟化技术中的网络监控功能,还应该设置一个额外的监控探头,对出现的异常或者敏感行为进行及时的报警操作。
安全实践模块基于高交互性的实践环境进行网络安全实训;
在安全实践模块中多设计几个单向网闸,以确保主机和虚拟环境的安全。
自适应模块根据用户操作行为和网络安全实训的结果生成自适应学习路径并给予安全报告;
在自适应模块中设置一个奖励制度,将及时完成自适应学习路径中的学习进度和相关实战成绩转化成积分,再将积分划分等级,调动用户的学习态度,使其能够主动参与该网络安全实训平台,比如说,完成一项学习进度会给予两分的积分奖励,每次实战成绩的10%转化成积分奖励,积分在100分以内是一级,每次登录可获得10个积点,积分在101到200是二级,每次登录可获得20个积点,积分在201到300是三级,每次登录可获得30个积点,积分在301到400是四级,每次登录可获得40个积点,积分在401到500是五级,每次登录可获得50个积点,积分在501到600是六级,每次登录可获得60个积点,积分在601到700是七级,每次登录可获得70个积点,积分在701到800是八级,每次登录可获得80个积点,积分在801到900是九级,每次登录可获得90个积点,积分在901到1000是十级,每次登录可获得100个积点,积分在1001以上是葭级,每次登录可获得200个积点,通过积分和等级限制可以控制得到的积点数,再通过积点可以兑换不等额的免费教学套餐。
实施例3
本实施例中,提供了一种计算机设备,包括存储器和处理器,存储器用于存储指令,处理器用于执行上述指令,使得计算机设备执行实现上述基于用户操作行为的网络安全实训平台构建方法的步骤。
实施例4
本实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,计算机程序被处理器执行时实现上述基于用户操作行为的网络安全实训平台构建方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1.基于用户操作行为的网络安全实训平台构建方法,其特征在于:包括,
收集用户操作行为的数据,生成数据集,并对所述数据集进行分析,得到对所述数据集的分析结果;
构建基于深度学习的用户行为模型;
结合所述用户行为模型和对所述数据集的分析结果,实时检测并警报异常行为;
构建高交互性的实践环境;
让用户在所述实践环境中进行模拟攻击和漏洞测试,并生成安全分析结果;
根据所述用户操作行为和所述安全分析结果提供自适应学习路径;
根据所述自适应学习路径为用户提供风险评估报告并制定相应安全策略。
2.如权利要求1所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:所述数据集包括登录操作、浏览器操作、文件操作、远程操作、数据库操作和网络操作;
分析所述数据集的函数表达式如下所示:
;
式中,表示所述数据集的分析结果,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示远程操作安全性的权重占比,/>表示登录操作安全性的权重占比,/>表示登录操作安全性的权重占比,表示登录操作安全性,/>表示浏览器操作安全性,/>表示文件操作安全性,/>表示远程操作安全性,/>表示数据库操作安全性,/>表示网络操作安全性;
其中,登录操作安全性的计算公式为:
;
式中,表示登录操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,表示登录频次的得分,/>表示登录地址的得分,/>表示密码验证的得分;
所述远程操作的安全性的计算公式为:
;
式中,表示远程操作安全性,/>为集合,该集合包括/>、/>、/>,/>表示/>的系数占比,/>表示使用安全的得分,/>表示被连接设备安全性的得分,/>表示用户控制敏感度的得分;
则分析所述数据集的规则具体如下:
若,则表示所述数据集的分析结果等级为等级一;
若,则表示所述数据集的分析结果等级为等级二;
若,则表示所述数据集的分析结果等级为等级三。
3.如权利要求1所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:所述用户行为模型是利用强化学习算法进行构建并不断迭代,迭代出更优策略,迭代策略的函数表达式如下所示;
;
式中,表示当前策略,/>表示求括号内的最大值,/>表示迭代过程中的学习率,/>表示损失系数,/>表示下一个策略;
所述迭代策略的规则如下所示:
若所述数据集的分析结果等级为等级一,则执行策略一;
若所述数据集的分析结果等级为等级二,则执行策略二;
若所述数据集的分析结果等级为等级三,则执行策略三。
4.如权利要求3所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:所述策略一的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
所述策略二的函数表达式如下所示:
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数;
所述策略三的函数表达式如下所示;
;
式中,表示当前策略梯度,/>表示所述数据集的总个数,/>表示迭代过程中的学习率,/>表示损失系数。
5.如权利要求1所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:所述实时检测并警报的流程如下所示:
若执行所述策略一,则发出警报一;
若执行所述策略二,则发出警报二;
若执行所述策略三,则发出警报三。
6.如权利要求1所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:所述自适应学习路径生成流程如下所示:
用户在进入网络安全实训平台时,平台自动对所述用户操作行为的数据进行收集,分析所述用户操作行为的数据并提取所述用户操作行为的特征,构建所述用户行为模型,再根据所述安全分析结果总结用户的学习风格、知识水平、基本特征和学习态度,生成用户学习模型,将所述用户学习模型和网络安全知识模型相结合传输到自适应引擎中,分别对用户的学习方式和学习内容进行自适应推荐;
所述自适应推荐的规则如下所示:
若用户没有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为甲等,则执行推荐一;
若用户没有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为乙等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为甲等,则执行推荐二;
若用户有做出威胁主机和虚拟环境的异常行为且所述用户学习模型为乙等,则执行推荐三。
7.基于用户操作行为的网络安全实训平台构建系统,其基于权利要求1-6中任一项所述的基于用户操作行为的网络安全实训平台构建方法,其特征在于:包括,
采集分析模块、检测警报模块、安全实践模块和自适应模块;
所述采集分析模块采集用户操作行为的数据,生成数据集,并对所述数据集进行分析,得到对所述数据集的分析结果;
所述检测警报模块利用所述用户行为模型和对所述数据集的分析结果,实现用户操作行为实时检测并警报;
所述安全实践模块基于高交互性的实践环境进行网络安全实训;
所述自适应模块根据所述用户操作行为和所述网络安全实训的结果生成自适应学习路径并给予安全报告。
8.一种计算机设备,其特征在于:包括,
存储器,用于存储指令;
处理器,用于执行所述指令,使得所述设备执行实现如权利要求1-6中任一项所述的基于用户操作行为的网络安全实训平台构建方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:该计算机程序被处理器执行时,实现如权利要求1-6中任一项所述的基于用户操作行为的网络安全实训平台构建方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311448812.8A CN117176478B (zh) | 2023-11-02 | 2023-11-02 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311448812.8A CN117176478B (zh) | 2023-11-02 | 2023-11-02 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117176478A true CN117176478A (zh) | 2023-12-05 |
CN117176478B CN117176478B (zh) | 2024-02-02 |
Family
ID=88930244
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311448812.8A Active CN117176478B (zh) | 2023-11-02 | 2023-11-02 | 基于用户操作行为的网络安全实训平台构建方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117176478B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
WO2019228011A1 (en) * | 2018-05-31 | 2019-12-05 | Beijing Didi Infinity Technology And Development Co., Ltd. | Methods and apparatuses for obtaining user behavior paths |
CN110598397A (zh) * | 2019-08-15 | 2019-12-20 | 广东工业大学 | 一种基于深度学习的Unix系统用户恶意操作检测方法 |
CN111428231A (zh) * | 2020-06-12 | 2020-07-17 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
US20220050697A1 (en) * | 2020-08-11 | 2022-02-17 | Ut-Battelle, Llc | Data driven computer user emulation |
CN114553523A (zh) * | 2022-02-21 | 2022-05-27 | 平安普惠企业管理有限公司 | 基于攻击检测模型的攻击检测方法及装置、介质、设备 |
CN114584354A (zh) * | 2022-02-23 | 2022-06-03 | 中国人民解放军国防科技大学 | 一种网络安全实训平台的构建方法及系统 |
CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
CN116545687A (zh) * | 2023-05-04 | 2023-08-04 | 上海螣龙科技有限公司 | 基于攻击树与深度强化学习的自动化网络模拟攻击框架 |
WO2023166614A1 (ja) * | 2022-03-02 | 2023-09-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 |
-
2023
- 2023-11-02 CN CN202311448812.8A patent/CN117176478B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019228011A1 (en) * | 2018-05-31 | 2019-12-05 | Beijing Didi Infinity Technology And Development Co., Ltd. | Methods and apparatuses for obtaining user behavior paths |
CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
CN110598397A (zh) * | 2019-08-15 | 2019-12-20 | 广东工业大学 | 一种基于深度学习的Unix系统用户恶意操作检测方法 |
CN111428231A (zh) * | 2020-06-12 | 2020-07-17 | 完美世界(北京)软件科技发展有限公司 | 基于用户行为的安全处理方法、装置及设备 |
US20220050697A1 (en) * | 2020-08-11 | 2022-02-17 | Ut-Battelle, Llc | Data driven computer user emulation |
CN114553523A (zh) * | 2022-02-21 | 2022-05-27 | 平安普惠企业管理有限公司 | 基于攻击检测模型的攻击检测方法及装置、介质、设备 |
CN114584354A (zh) * | 2022-02-23 | 2022-06-03 | 中国人民解放军国防科技大学 | 一种网络安全实训平台的构建方法及系统 |
WO2023166614A1 (ja) * | 2022-03-02 | 2023-09-07 | 日本電気株式会社 | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 |
CN116545687A (zh) * | 2023-05-04 | 2023-08-04 | 上海螣龙科技有限公司 | 基于攻击树与深度强化学习的自动化网络模拟攻击框架 |
CN116232770A (zh) * | 2023-05-08 | 2023-06-06 | 中国石油大学(华东) | 一种基于sdn控制器的企业网络安全防护系统及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN117176478B (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Hu et al. | Automated penetration testing using deep reinforcement learning | |
CN107659543B (zh) | 面向云平台apt攻击的防护方法 | |
Kumar et al. | Practical machine learning for cloud intrusion detection: Challenges and the way forward | |
Sommestad et al. | Cyber security exercises and competitions as a platform for cyber security experiments | |
US20140157415A1 (en) | Information security analysis using game theory and simulation | |
CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
US11677776B2 (en) | Dynamic attack path selection during penetration testing | |
US11765196B2 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
Happe et al. | Getting pwn’d by ai: Penetration testing with large language models | |
Li et al. | Network security situation assessment method based on Markov game model | |
CN116996286A (zh) | 一种基于大数据分析的网络攻击和安全漏洞治理框架平台 | |
Scherb et al. | A cyber attack simulation for teaching cybersecurity | |
Zhang et al. | Psysafe: A comprehensive framework for psychological-based attack, defense, and evaluation of multi-agent system safety | |
Zheng et al. | WMDefense: Using watermark to defense Byzantine attacks in federated learning | |
CN117176478B (zh) | 基于用户操作行为的网络安全实训平台构建方法及系统 | |
Gaurav et al. | Cybersecurity training for web applications through serious games | |
Whitaker | Generating cyberattack model components from an attack pattern database | |
WO2023166614A1 (ja) | 情報処理装置、情報処理方法、及びコンピュータ読み取り可能な記録媒体 | |
Budynek et al. | Evolving computer intrusion scripts for vulnerability assessment and log analysis | |
Cantrell | Verification and validation methods for extended petri nets modeling cyberattacks | |
Gjerstad | Generating labelled network datasets of APT with the MITRE CALDERA framework | |
Wang et al. | DQfD‐AIPT: An Intelligent Penetration Testing Framework Incorporating Expert Demonstration Data | |
Huang et al. | An Introduction of System-Scientific Approaches to Cognitive Security | |
CN111698199A (zh) | 防火墙监控方法及装置 | |
Bearss | Extending Machine Learning of Cyberattack Strategies with Continuous Transition Rates |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |