CN117319047A - 一种基于网络安全异常检测的网络路径分析方法及系统 - Google Patents
一种基于网络安全异常检测的网络路径分析方法及系统 Download PDFInfo
- Publication number
- CN117319047A CN117319047A CN202311301020.8A CN202311301020A CN117319047A CN 117319047 A CN117319047 A CN 117319047A CN 202311301020 A CN202311301020 A CN 202311301020A CN 117319047 A CN117319047 A CN 117319047A
- Authority
- CN
- China
- Prior art keywords
- data
- abnormal
- hardware equipment
- access
- threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 42
- 238000001514 detection method Methods 0.000 title claims abstract description 22
- 230000002159 abnormal effect Effects 0.000 claims abstract description 126
- 238000012216 screening Methods 0.000 claims abstract description 13
- 238000012417 linear regression Methods 0.000 claims abstract description 11
- 238000012544 monitoring process Methods 0.000 claims description 42
- 230000006399 behavior Effects 0.000 claims description 26
- 230000005856 abnormality Effects 0.000 claims description 20
- 238000000034 method Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 14
- 238000010801 machine learning Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 6
- 238000012549 training Methods 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 5
- 230000001419 dependent effect Effects 0.000 claims description 4
- 238000010606 normalization Methods 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000007547 defect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于网络安全异常检测的网络路径分析方法及系统,涉及网络安全技术领域,由数据访问集生成访问风险系数Fw(w,v),若其超过风险阈值,建立数据交换特征集,并进而建立硬件设备的网络行为模型;获取异常系数Yx(b,s),若其超过对应的异常阈值,做多重线性回归分析并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v),并为硬件设备的异常路径采取相应的保护策略。对硬件设备内的敏感数据的安全性形成保障,并对保护策略是否有效进行反馈。
Description
技术领域
本发明涉及网络安全技术领域,具体为一种基于网络安全异常检测的网络路径分析方法及系统。
背景技术
网络安全是关于保护计算机系统、网络设施、数据和信息不受未经授权的访问、损害或泄露的一系列措施和实践。随着现代社会越来越依赖于计算机网络和信息技术,网络安全变得尤为重要。
在申请号202310042311.3的中国发明专利中,公开了一种基于访问请求路径分析的网络节点异常识别方法,包括:对待检测请求访问路径在状态观测空间中的观测状态序列进行数据处理,获得局部趋势序列,基于观测状态序列和局部趋势序列,确定二维聚类空间以及二维聚类空间中每个数据点的INFLO值,进而确定每个数据点对应的聚类影响因子,利用聚类影响因子确定优化聚类目标函数;基于优化聚类目标函数获得待检测请求访问路径对应的各个簇类,进而识别网络节点异常状态。
上述申请记载的技术方案提高了网络节点异常状态识别的准确性,解决了现有方法L-DDoS攻击信息丢失所导致的漏检缺陷。
但是除此之外,储存有数据的硬件设备在运行时,其中的敏感数据经常会存在较大的泄露的风险,而现有方法中,在对异常路径进行分析时,通常并未考虑其异常性对敏感风险的影响程度,也并未对敏感数据做出针对性的保护,导致敏感数据的泄露风险较大。
为此,本发明提供了一种基于网络安全异常检测的网络路径分析方法及系统.
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供了一种基于网络安全异常检测的网络路径分析方法及系统,通过由数据访问集生成访问风险系数Fw(w,v),若其超过风险阈值,建立数据交换特征集,并进而建立硬件设备的网络行为模型;获取异常系数Yx(b,s),若其超过对应的异常阈值,做多重线性回归分析并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v),并为硬件设备的异常路径采取相应的保护策略。对硬件设备内的敏感数据的安全性形成保障,并对保护策略是否有效进行反馈,以解决背景中记载的,现有方法并未考虑网络路径的异常性对敏感风险的影响程度,也并未对敏感数据做出针对性的保护,导致敏感数据的泄露风险较大的问题。
(二)技术方案
为实现以上目的,本发明通过以下技术方案予以实现:一种基于网络安全异常检测的网络路径分析方法,包括如下步骤:
对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
进一步的,在储存有数据的硬件设备处于持续运行状态下时,对其运行状态进行持续性监测;所述的监测方法如下:在硬件设备内限定出敏感数据和非敏感数据,并分别进行标记;设置访问周期,在所述访问周期内,对硬件设备的数据访问状态进行记录,生成访问记录;
从访问记录中查询获取敏感数据当前的访问频率,以及每次访问时的访问时长,进而分别生成访问频率Pw及访问时长Pv;沿着时间轴连续获取若干个访问频率Pw及访问时长Pv,汇总后建立硬件设备的数据访问集。
进一步的,由数据访问集生成访问风险系数Fw(w,v),其具体生成方式如下:对访问频率Pw及访问时长Pv均做线性归一化处理,将对应的数据值投射到[0,1]内,依照如下公式:
其中,所述Pw为访问频率的历史均值,Pv为访问时长的历史均值,n为大于1的正整数;若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息。
进一步的,沿着时间轴对硬件设备与外部的数据交换状态进行监测及采集,所采集的数据包括:数据交换量、请求发送频率、数据延迟量;至少还包括:源IP地址、目标IP地址、源端口、目标端口、协议类型、数据包大小;对以上参数进行特征提取,生成流量特征,并在汇总后建立数据交换特征集;
在数据交换特征集中抽取部分流量特征,分别建立测试集和训练集,使用机器学习模型,在经过训练和测试后,建立硬件设备的网络行为模型,在将其输出后,对涉及数据传输的各个数据节点进行标注。
进一步的,在监测周期内对硬件设备数据交换状态进行监控,获取监控数据,并在对其完成特征提取后,获取流量特征;将获取的流量特征与网络行为模型内常规的流量特征进行比对,判断两者之间的差异性;
所述差异性的判断方法至少包括:从流量特征中筛选出可量化的部分,并依据其数据节点的归属进行分类;在确定产生该流量特征的数据节点后,判断出其超过异常阈值的比例并生成异常比Yb,及由产生异常的数据节点的数量生成异常数Ys。
进一步的,依照如下公式获取异常系数Yx(b,s):
其中,Yb为异常比的历史均值,Ys为异常数的历史均值,n为大于1的正整数,0≤β≤1,0≤α≤1,且α+β=1,其具体值由用户调整设置;若获取的异常系数Yc(q,s)超过对应的异常阈值,向外部发出第二预警信息。
进一步的,以异常比Yb及异常数Ys作为自变量,以风险系数Fw(w,v)作为因变量,做多重线性回归分析并获取对应的回归方程;从回归方程中分别获取与异常比Yb及异常数Ys相对应的回归系数δ1及δ2,依照如下方式获取影响度Yv(δ12):
其中,参数意义为:0≤F1≤1,0≤F2≤1,且F2+F1=1,其具体值由用户调整设置;若影响度Yv(δ12)超过影响度阈值,对若干个传输中的数据包做标记,在数据包经过异常节点时,将包含该异常节点的网络路径标记为异常路径。
进一步的,在异常路径不少于一个时,分别获取异常路径的长度并生成路径长度Lr,获取监测周期内各个异常路径上经过的数据量,生成数据量Sv,将以上数据汇总,建立异常数据集;由异常数据集生成影响系数Gz(r,v),其生成方式如下:
其中,参数的意义为:0≤ρ≤1,0≤ζ≤1,且0.6≤ρ+ζ≤1.2,ρ、ζ为权重系数。
进一步的,预先设置第一故障阈值及第二故障阈值,其中,所述的第一阈值故障大于第二故障阈值;若异常路径多于一个,则将影响系数Gz(r,v)加总以获取总影响系数ZGz(r,v);
若总影响系数ZGz(r,v)在第二故障阈值之下时,对相应的异常路径上的异常节点进行隔离;若总影响系数ZGz(r,v)在第一故障阈值和第二故障阈值之间,对相应的异常路径进行隔离;若总影响系数ZGz(r,v)高于第一故障阈值时,为硬件设备匹配安全防护系统;
在对硬件设备及其异常路径进行保护后,沿着时间轴,连续获取若干个风险系数Fw(w,v),在进行趋势分析后,若风险系数Fw(w,v)不存在下降或下降趋势,向外部发出报警信息。
一种基于网络安全异常检测的网络路径分析系统,包括:
监测单元、对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
建模单元、对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
评估单元、在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
分析单元、对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
执行单元、预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
(三)有益效果
本发明提供了基于网络安全异常检测的网络路径分析方法及系统,具备以下有益效果:
1、在建立硬件设备的网络行为模型后,所述网络行为模型能够用于对数据的传输及交换状态进行模拟和仿真,同时也能够通过特征比对,对硬件设备当前的数据交换状态的进行判断,确认当前数据交换状态是否存在异常,若存在异常,则可以及时进行处理。
2、依据其异常特征的差异性,依次获取数据节点的异常比Yb及异常数Ys,在结合其历史数据后,生成异常系数Yc(q,s),由此对硬件设备的工作状态进行评估,判断硬件设备当前的状态是否能够达到使用预期,若是不能达到使用预期,需要及时的进行处理,以对硬件设备的工作状态的进行调整,以避免硬件设备运行产生意外,对数据安全形成保障。
3、依据该异常路径的长度和传输数据量生成影响系数Gz(r,v),在依据生成的影响系数Gz(r,v)完成对异常路径的筛选后,对各个异常路径的异常性对数据安全带来的影响程度进行评估,以便于对异常路径做出进一步的处理。
4、依据总影响系数ZGz(r,v)对异常路径带来的影响性进行评估,依据此做出针对性的保护策略,对硬件设备内的敏感数据的安全性形成保障,依据风险系数Fw(w,v)的变化,对所采取的保护策略是否有效进行反馈,以利于对保护策略进行调整,可以进一步的保障数据安全。
附图说明
图1为本发明网络安全异常检测的网络路径分析方法流程示意图;
图2为本发明网络安全异常检测的网络路径分析系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明提供一种基于网络安全异常检测的网络路径分析方法,所述方法包括如下步骤:
步骤一、对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
所述步骤一包括如下内容:
步骤101、在储存有数据的硬件设备,例如,计算机和服务器等,处于持续运行状态下时,对其运行状态进行持续性监测;所述的监测方法如下:
在硬件设备内限定出敏感数据和非敏感数据,并分别进行标记;设置访问周期,例如以5分钟或者10分钟为一个访问周期;在所述访问周期内,对硬件设备的数据访问状态进行记录,生成访问记录;
从访问记录中查询获取敏感数据当前的访问频率,以及每次访问时的访问时长,进而分别生成访问频率Pw及访问时长Pv;沿着时间轴连续获取若干个访问频率Pw及访问时长Pv,汇总后建立硬件设备的数据访问集;
步骤102、由数据访问集生成访问风险系数Fw(w,v),其具体生成方式如下:对访问频率Pw及访问时长Pv均做线性归一化处理,将对应的数据值投射到[0,1]内,依照如下公式:
其中,所述Pw为访问频率的历史均值,Pv为访问时长的历史均值,n为大于1的正整数;依据敏感数据的历史访问情况,在确保敏感数据的安全性的条件下,设置风险阈值;若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,则说明当前敏感数据存在访问风险,此时,向外部发出第一预警信息。
使用时,结合步骤101及102中的内容:
在硬件设备处于运行状态下时生成风险系数Fw(w,v),若硬件设备中当前的风险系数Fw(w,v)高于风险阈值,则说明当前访问风险当前较高,需要及时的当前的敏感数据采取相应的保护措施,以保障敏感数据的安全。
步骤二、对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
所述步骤二包括如下内容:
步骤201、沿着时间轴对硬件设备与外部的数据交换状态进行监测及采集,所采集的数据包括:数据交换量、请求发送频率、数据延迟量;更进一步的,所采集的数据至少还包括:例如,源IP地址、目标IP地址、源端口、目标端口、协议类型、数据包大小;对以上参数进行特征提取,生成流量特征,并在汇总后建立数据交换特征集;
步骤202、在数据交换特征集中抽取部分流量特征,分别建立测试集和训练集,使用机器学习模型,在经过训练和测试后,建立硬件设备的网络行为模型,在将其输出后,对涉及到数据传输的各个数据节点进行标注。
使用时,通过对硬件设备的数据交换及传输的状态进行采集,并进行特征提取,在建立硬件设备的网络行为模型后,所述网络行为模型能够用于对数据的传输及交换状态进行模拟和仿真,同时也能够通过特征比对,对硬件设备当前的数据交换状态的进行判断,确认当前数据交换状态是否存在异常,若存在异常,则可以及时进行处理。
步骤三、在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
所述步骤三包括如下内容:
步骤301、在硬件设备进入数据交换状态时,在监测周期内对硬件设备数据交换状态进行监控,获取监控数据,并在对其完成特征提取后,获取流量特征;将获取的流量特征与网络行为模型内常规的流量特征进行比对,判断两者之间的差异性;其中需要说明的是,所述常规的流量特征是指硬件设备正常的运行状态下的流量特征;
步骤302、结合历史数据,在使硬件设备处于正常的运行状态的前提下,预先设置异常阈值;所述差异性的判断方法至少包括:从流量特征中筛选出可量化的部分,并依据其数据节点的归属进行分类;例如:筛选出数据交换量、请求发送频率、数据延迟量等参数;
在确定产生该流量特征的数据节点后,判断出其超过异常阈值的比例并生成异常比Yb,及由产生异常的数据节点的数量生成异常数Ys,再依照如下公式获取异常系数Yx(b,s):
其中,Yb为异常比的历史均值,Ys为异常数的历史均值,n为大于1的正整数,0≤β≤1,0≤α≤1,且α+β=1,其具体值由用户调整设置;
若获取的异常系数Yc(q,s)超过对应的异常阈值,此时,说明当前硬件设备的运行状态难以达到预期,向外部发出第二预警信息。
使用时,结合步骤301及302中的内容:
在硬件设备进入交换状态时,提取流量特征并依据其特征的差异性,依次获取数据节点的异常比Yb及异常数Ys,在结合其历史数据后,生成异常系数Yc(q,s),由此对硬件设备的工作状态进行评估,判断硬件设备当前的状态是否能够达到使用预期,若是不能达到使用预期,则需要及时的进行处理,以对硬件设备的工作状态的进行调整,以避免硬件设备运行产生意外,对数据安全形成保障。
步骤四、对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
所述步骤四包括如下内容:
步骤401、以异常比Yb及异常数Ys作为自变量,以风险系数Fw(w,v)作为因变量,做多重线性回归分析并获取对应的回归方程;从回归方程中分别获取与异常比Yb及异常数Ys相对应的回归系数δ1及δ2,在预先设置比例系数后,依照如下方式获取影响度Yv(δ12):
其中,参数意义为:0≤F1≤1,0≤F2≤1,且F2+F1=1,其具体值由用户调整设置;在预先设置影响度阈值后,若影响度Yv(δ12)超过影响度阈值,在硬件设备进行处于数据交换的情况下,对若干个传输中的数据包做标记,在数据包经过异常节点时,将包含该异常节点的网络路径标记为异常路径;
步骤402、在异常路径不少于一个时,分别获取异常路径的长度并生成路径长度Lr,设置监测周期,例如5分钟为一个监测周期,获取监测周期内各个异常路径上经过的数据量,生成数据量Sv,将以上数据汇总,建立异常数据集;
由异常数据集生成影响系数Gz(r,v),其生成方式如下:
其中,参数的意义为:0≤ρ≤1,0≤ζ≤1,且0.6≤ρ+ζ≤1.2,ρ、ζ为权重系数,其具体值可由用户调整设置,或由数学分析软件通过模拟分析获取;由于路径较长且传输的数据量较大,则说明对应的异常路径在产生故障时,带来负面影响较大,则需要及时对异常数据进行及时处理。
使用时,结合步骤401至402中的内容:
在确认出硬件设备内当前的异常路径后,依据该异常路径的长度和传输数据量生成影响系数Gz(r,v),在依据生成的影响系数Gz(r,v)完成对异常路径的筛选后,对各个异常路径的异常性对数据安全带来的影响程度进行评估,以便于对异常路径做出进一步的处理。
步骤五、预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
所述步骤五包括如下内容:
步骤501、预先设置第一故障阈值及第二故障阈值,其中,所述的第一阈值故障大于第二故障阈值;若异常路径多于一个,则将影响系数Gz(r,v)加总以获取总影响系数ZGz(r,v);
若总影响系数ZGz(r,v)在第二故障阈值之下时,说明当前异常路径的故障程度较低,对相应的异常路径上的异常节点进行隔离;
若总影响系数ZGz(r,v)在第一故障阈值和第二故障阈值之间,说明当前异常的故障带来的负面影响已经较大,可能会导致敏感信息的丢失和泄露,此时,对相应的异常路径进行隔离;
若总影响系数ZGz(r,v)高于第一故障阈值时,说明该异常路径一旦实际产生故障,可能会产生大量的敏感数据丢失,此时,为了保障敏感数据的安全性,为硬件设备匹配安全防护系统,以便于对异常访问及异常流量进行隔离;
步骤502、设置评估周期,在对硬件设备及其异常路径进行保护后,以所述设置评估周期作为间隔,沿着时间轴连续获取若干个关于敏感信息泄露的风险系数Fw(w,v),在进行趋势分析后,若风险系数Fw(w,v)存在下降或下降趋势,则说明所采取的保护策略是有效的,若反之,则需要做进一步的处理,向外部发出报警信息。
使用时,结合步骤501及502中的内容:
在确定出硬件设备当前存在的异常路径后,获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)对异常路径带来的影响性进行评估,依据此做出针对性的保护策略,对硬件设备内的敏感数据的安全性形成保障,同时,依据风险系数Fw(w,v)的变化,能够对所采取的保护策略是否有效进行反馈,以利于对保护策略进行调整,可以进一步的保障数据安全。
请参阅图2,本发明提供一种基于网络安全异常检测的网络路径分析系统,包括:
监测单元、对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
建模单元、对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
评估单元、在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
分析单元、对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
执行单元、预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。
Claims (10)
1.一种基于网络安全异常检测的网络路径分析方法,其特征在于:包括如下步骤:
对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
2.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
在储存有数据的硬件设备处于持续运行状态下时,对其运行状态进行持续性监测;所述的监测方法如下:在硬件设备内限定出敏感数据和非敏感数据,并分别进行标记;设置访问周期,在所述访问周期内,对硬件设备的数据访问状态进行记录,生成访问记录;
从访问记录中查询获取敏感数据当前的访问频率,以及每次访问时的访问时长,进而分别生成访问频率Pw及访问时长Pv;沿着时间轴连续获取若干个访问频率Pw及访问时长Pv,汇总后建立硬件设备的数据访问集。
3.根据权利要求2所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
由数据访问集生成访问风险系数Fw(w,v),其具体生成方式如下:对访问频率Pw及访问时长Pv均做线性归一化处理,将对应的数据值投射到[0,1]内,依照如下公式:
其中,所述为访问频率的历史均值,/>为访问时长的历史均值,n为大于1的正整数;若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息。
4.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
沿着时间轴对硬件设备与外部的数据交换状态进行监测及采集,所采集的数据包括:数据交换量、请求发送频率、数据延迟量;
至少还包括:源IP地址、目标IP地址、源端口、目标端口、协议类型、数据包大小;对以上参数进行特征提取,生成流量特征,并在汇总后建立数据交换特征集;
在数据交换特征集中抽取部分流量特征,分别建立测试集和训练集,使用机器学习模型,在经过训练和测试后,建立硬件设备的网络行为模型,在将其输出后,对涉及数据传输的各个数据节点进行标注。
5.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
在监测周期内对硬件设备数据交换状态进行监控,获取监控数据,并在对其完成特征提取后,获取流量特征;将获取的流量特征与网络行为模型内常规的流量特征进行比对,判断两者之间的差异性;
所述差异性的判断方法至少包括:从流量特征中筛选出可量化的部分,并依据其数据节点的归属进行分类;
在确定产生该流量特征的数据节点后,判断出其超过异常阈值的比例并生成异常比Yb,及由产生异常的数据节点的数量生成异常数Ys。
6.根据权利要求5所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
依照如下公式获取异常系数Yx(b,s):
其中,Yb为异常比的历史均值,Ys为异常数的历史均值,n为大于1的正整数,0≤β≤1,0≤α≤1,且α+β=1,其具体值由用户调整设置;若获取的异常系数Yc(q,s)超过对应的异常阈值,向外部发出第二预警信息。
7.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
以异常比Yb及异常数Ys作为自变量,以风险系数Fw(w,v)作为因变量,做多重线性回归分析并获取对应的回归方程;从回归方程中分别获取与异常比Yb及异常数Ys相对应的回归系数δ1及δ2,依照如下方式获取影响度Yv(δ12):
其中,参数意义为:0≤F1≤1,0≤F2≤1,且F2+F1=1,其具体值由用户调整设置;若影响度Yv(δ12)超过影响度阈值,对若干个传输中的数据包做标记,在数据包经过异常节点时,将包含该异常节点的网络路径标记为异常路径。
8.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
在异常路径不少于一个时,分别获取异常路径的长度并生成路径长度Lr,获取监测周期内各个异常路径上经过的数据量,生成数据量Sv,将以上数据汇总,建立异常数据集;由异常数据集生成影响系数Gz(r,v),其生成方式如下:
其中,参数的意义为:0≤ρ≤1,0≤ζ≤1,且0.6≤ρ+ζ≤1.2,ρ、ζ为权重系数。
9.根据权利要求1所述的基于网络安全异常检测的网络路径分析方法,其特征在于:
预先设置第一故障阈值及第二故障阈值,其中,所述的第一阈值故障大于第二故障阈值;若异常路径多于一个,则将影响系数Gz(r,v)加总以获取总影响系数ZGz(r,v);
若总影响系数ZGz(r,v)在第二故障阈值之下时,对相应的异常路径上的异常节点进行隔离;若总影响系数ZGz(r,v)在第一故障阈值和第二故障阈值之间,对相应的异常路径进行隔离;若总影响系数ZGz(r,v)高于第一故障阈值时,为硬件设备匹配安全防护系统;
在对硬件设备及其异常路径进行保护后,沿着时间轴,连续获取若干个风险系数Fw(w,v),在进行趋势分析后,若风险系数Fw(w,v)不存在下降或下降趋势,向外部发出报警信息。
10.一种基于网络安全异常检测的网络路径分析系统,其特征在于:包括:
监测单元、对储存有数据的硬件设备的运行状态进行持续性监测,在记录后建立硬件设备的数据访问集,由数据访问集生成访问风险系数Fw(w,v),若所获取的风险系数Fw(w,v)超过预先设置的风险阈值,向外部发出第一预警信息;
建模单元、对硬件设备与外部的数据交换状态进行监测及采集,并在完成特征提取后,建立数据交换特征集,使用机器学习模型,结合数据交换特征集内的数据,建立硬件设备的网络行为模型;
评估单元、在监测周期内对硬件设备数据交换状态进行监控,依据硬件设备当前的流量特征与网络行为模型内常规的流量特征的差异性,生成并获取异常系数Yx(b,s),若所获取的异常系数Yc(q,s)超过对应的异常阈值,则向外部发出第二预警信息;
分析单元、对风险系数Fw(w,v)做多重线性回归分析,并获取回归方程及其相对应的影响度Yv(δ12),若影响度Yv(δ12)超过影响度阈值,则筛选出硬件设备中的异常路径,在标记后分析获取各个异常路径的影响系数Gz(r,v);
执行单元、预先设置第一阈值故障及第二故障阈值,并将影响系数Gz(r,v)加总,以获取总影响系数ZGz(r,v),依据总影响系数ZGz(r,v)与两者的关系,为硬件设备的异常路径采取相应的保护策略,并在执行后,若总影响系数ZGz(r,v)不存在下降或下降趋势,则向外部发出报警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311301020.8A CN117319047A (zh) | 2023-10-09 | 2023-10-09 | 一种基于网络安全异常检测的网络路径分析方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311301020.8A CN117319047A (zh) | 2023-10-09 | 2023-10-09 | 一种基于网络安全异常检测的网络路径分析方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117319047A true CN117319047A (zh) | 2023-12-29 |
Family
ID=89280801
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311301020.8A Pending CN117319047A (zh) | 2023-10-09 | 2023-10-09 | 一种基于网络安全异常检测的网络路径分析方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117319047A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117539727A (zh) * | 2024-01-10 | 2024-02-09 | 深圳市网时云计算有限公司 | 一种计算机运行状态监测方法及监测系统 |
CN117792798A (zh) * | 2024-02-27 | 2024-03-29 | 常州银杉信息技术有限公司 | 一种即时通讯信息交互系统及方法 |
CN117811841A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市常行科技有限公司 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
CN112685711A (zh) * | 2021-02-02 | 2021-04-20 | 杭州宁达科技有限公司 | 基于用户风险评估的新型信息安全访问控制系统及方法 |
WO2021093051A1 (zh) * | 2019-11-15 | 2021-05-20 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
CN115328975A (zh) * | 2022-10-18 | 2022-11-11 | 北京珞安科技有限责任公司 | 基于工业日常巡查的巡查数据上传系统及方法 |
CN115759748A (zh) * | 2022-11-22 | 2023-03-07 | 京东城市(北京)数字科技有限公司 | 风险检测模型生成方法和装置、风险个体识别方法和装置 |
CN115865779A (zh) * | 2023-03-02 | 2023-03-28 | 北京天维信通科技有限公司 | 一种通讯路径选择方法、系统、终端设备及存储介质 |
CN116192888A (zh) * | 2022-12-19 | 2023-05-30 | 深圳市星火电子工程公司 | 一种基于物联网的网络状态监控管理方法及系统 |
-
2023
- 2023-10-09 CN CN202311301020.8A patent/CN117319047A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
WO2021093051A1 (zh) * | 2019-11-15 | 2021-05-20 | 网宿科技股份有限公司 | 一种ip地址的评估方法、系统及设备 |
CN112685711A (zh) * | 2021-02-02 | 2021-04-20 | 杭州宁达科技有限公司 | 基于用户风险评估的新型信息安全访问控制系统及方法 |
CN115328975A (zh) * | 2022-10-18 | 2022-11-11 | 北京珞安科技有限责任公司 | 基于工业日常巡查的巡查数据上传系统及方法 |
CN115759748A (zh) * | 2022-11-22 | 2023-03-07 | 京东城市(北京)数字科技有限公司 | 风险检测模型生成方法和装置、风险个体识别方法和装置 |
CN116192888A (zh) * | 2022-12-19 | 2023-05-30 | 深圳市星火电子工程公司 | 一种基于物联网的网络状态监控管理方法及系统 |
CN115865779A (zh) * | 2023-03-02 | 2023-03-28 | 北京天维信通科技有限公司 | 一种通讯路径选择方法、系统、终端设备及存储介质 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117539727A (zh) * | 2024-01-10 | 2024-02-09 | 深圳市网时云计算有限公司 | 一种计算机运行状态监测方法及监测系统 |
CN117792798A (zh) * | 2024-02-27 | 2024-03-29 | 常州银杉信息技术有限公司 | 一种即时通讯信息交互系统及方法 |
CN117811841A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市常行科技有限公司 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN117319047A (zh) | 一种基于网络安全异常检测的网络路径分析方法及系统 | |
KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
US7779467B2 (en) | N grouping of traffic and pattern-free internet worm response system and method using N grouping of traffic | |
US20150346066A1 (en) | Asset Condition Monitoring | |
US9680693B2 (en) | Method and apparatus for network anomaly detection | |
KR100561628B1 (ko) | 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 | |
US8869276B2 (en) | Method and apparatus for whole-network anomaly diagnosis and method to detect and classify network anomalies using traffic feature distributions | |
KR100617310B1 (ko) | 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 | |
CN103095728B (zh) | 一种基于行为数据融合的网络安全评分系统和方法 | |
US7594014B2 (en) | Abnormality detection system, abnormality management apparatus, abnormality management method, probe and program | |
CN111181971B (zh) | 一种自动检测工业网络攻击的系统 | |
CN113562562A (zh) | 一种电梯安全预警监测系统及其判断方法 | |
CN111970229B (zh) | 一种针对多种攻击方式的can总线数据异常检测方法 | |
US11501106B2 (en) | Anomaly factor estimation device, anomaly factor estimation method, and storage medium | |
CN110460622A (zh) | 一种基于态势感知预测方法的网络异常检测方法 | |
CN112671767B (zh) | 一种基于告警数据分析的安全事件预警方法及装置 | |
CN114143037A (zh) | 一种基于进程行为分析的恶意加密信道检测方法 | |
CN113055335A (zh) | 用于检测通信异常的方法、装置、网络系统和存储介质 | |
CN111611146A (zh) | 一种微服务故障预测方法和装置 | |
CN116894247B (zh) | 一种保护计算机系统安全的方法及系统 | |
CN113676343A (zh) | 电力通信网故障源定位方法及装置 | |
CN117336055A (zh) | 一种网络异常行为检测方法、装置、电子设备及存储介质 | |
CN114997804A (zh) | 复杂配电网信息物理系统运行状态协同感知方法和系统 | |
CN114301796A (zh) | 预测态势感知的验证方法、装置及系统 | |
CN112291213A (zh) | 一种基于智能终端的异常流量分析方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |