CN117319090A - 一种网络安全智能防护系统 - Google Patents
一种网络安全智能防护系统 Download PDFInfo
- Publication number
- CN117319090A CN117319090A CN202311600678.9A CN202311600678A CN117319090A CN 117319090 A CN117319090 A CN 117319090A CN 202311600678 A CN202311600678 A CN 202311600678A CN 117319090 A CN117319090 A CN 117319090A
- Authority
- CN
- China
- Prior art keywords
- network traffic
- time sequence
- network
- feature
- topology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 claims abstract description 18
- 239000013598 vector Substances 0.000 claims description 79
- 239000011159 matrix material Substances 0.000 claims description 64
- 238000001514 detection method Methods 0.000 claims description 16
- 238000000605 extraction Methods 0.000 claims description 16
- 238000003062 neural network model Methods 0.000 claims description 15
- 238000012098 association analyses Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 claims description 8
- 230000011218 segmentation Effects 0.000 claims description 7
- 238000010219 correlation analysis Methods 0.000 claims description 6
- 238000005457 optimization Methods 0.000 claims description 6
- 238000013527 convolutional neural network Methods 0.000 claims description 3
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000004458 analytical method Methods 0.000 abstract description 16
- 230000000694 effects Effects 0.000 abstract description 13
- 238000012545 processing Methods 0.000 abstract description 10
- 238000012544 monitoring process Methods 0.000 abstract description 8
- 238000012300 Sequence Analysis Methods 0.000 abstract description 3
- 238000000034 method Methods 0.000 description 23
- 230000006399 behavior Effects 0.000 description 16
- 230000008859 change Effects 0.000 description 16
- 238000013528 artificial neural network Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 206010000117 Abnormal behaviour Diseases 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 3
- 238000012549 training Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 2
- 238000004220 aggregation Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000013136 deep learning model Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000036632 reaction speed Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络安全智能防护系统,其通过实时监测采集网络流量值,并在后端引入数据处理和分析算法来进行网络流量值的时序分析,以此判断网络流量是否存在异常,并对异常的网络流量进行拦截,通过这样的方式,能够实现对于网络流量的实时自动监测和分析,避免传统网络安全防护系统中的不及时性和漏报误报率较高的问题,以更好地应对复杂和多变的网络安全威胁,提高网络安全防护的效果和能力。
Description
技术领域
本申请涉及智能防护技术领域,并且更具体地,涉及一种网络安全智能防护系统。
背景技术
网络安全防护系统旨在保护计算机系统、网络设备和用户数据免受各种网络攻击的侵害,它涵盖了多个方面,包括网络防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、反病毒软件、加密通信等。
然而,传统的网络安全防护系统主要基于已知的攻击模式和特征进行检测和拦截,这种方法往往需要提前定义规则或特征。然而,随着网络攻击技术的不断演进,新型的攻击方式和未知的威胁不断涌现,导致传统的网络安全防护系统无法及时适应和应对这些新型和未知的攻击方式,容易被攻击者绕过。并且,传统的网络安全防护系统在检测过程中常常会产生大量的误报和漏报。误报是指将正常的网络流量错误地标记为异常,而漏报则是指无法正确识别真正的攻击行为,这种高误报率和漏报率给网络管理员带来了额外的工作负担,并且可能导致真正的攻击被忽视或延误响应。此外,传统的网络安全防护系统通常以批处理的方式进行网络流量的检测和响应,这意味着系统的响应时间较长,无法实时监测和应对网络攻击。在面对快速变化和持续性的攻击时,传统系统的反应速度不够敏捷,容易造成安全漏洞。
因此,期望一种优化的网络安全智能防护系统。
发明内容
为了解决上述技术问题,提出了本申请。本申请的实施例提供了一种网络安全智能防护系统,其通过实时监测采集网络流量值,并在后端引入数据处理和分析算法来进行网络流量值的时序分析,以此判断网络流量是否存在异常,并对异常的网络流量进行拦截,通过这样的方式,能够实现对于网络流量的实时自动监测和分析,避免传统网络安全防护系统中的不及时性和漏报误报率较高的问题,以更好地应对复杂和多变的网络安全威胁,提高网络安全防护的效果和能力。
第一方面,提供了一种网络安全智能防护系统,其包括:
网络流量数据采集模块,用于获取预定时间段内多个预定时间点的网络流量值;
网络流量时序排列模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
网络流量局部时序特征提取模块,用于对所述网络流量时序输入向量进行局部时序特征提取以得到网络流量局部时序特征向量的序列;
网络流量局部时序相似度关联分析模块,用于对所述网络流量局部时序特征向量的序列中的各个网络流量局部时序特征向量进行相似度关联分析以得到网络流量时序一致性拓扑特征矩阵;
图结构关联编码模块,用于对所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵进行基于图结构的关联编码以得到一致性拓扑网络流量全局时序特征;
网络流量拦截模块,用于基于所述一致性拓扑网络流量全局时序特征,确定是否进行网络流量拦截。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本申请实施例的网络安全智能防护系统的框图。
图2为根据本申请实施例的网络安全智能防护方法的流程图。
图3为根据本申请实施例的网络安全智能防护方法的架构示意图。
图4为根据本申请实施例的网络安全智能防护系统的场景示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
除非另有说明,本申请实施例所使用的所有技术和科学术语与本申请的技术领域的技术人员通常理解的含义相同。本申请中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本申请的范围。
在本申请实施例记载中,需要说明的是,除非另有说明和限定,术语“连接”应做广义理解,例如,可以是电连接,也可以是两个元件内部的连通,可以是直接相连,也可以通过中间媒介间接相连,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
需要说明的是,本申请实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换,以使这里描述的本申请的实施例可以除了在这里图示或描述的那些以外的顺序实施。
网络安全防护系统是一种用于保护计算机系统、网络设备和用户数据免受网络攻击的系统,采用一系列技术和措施来检测、阻止和响应各种网络威胁,以确保信息的机密性、完整性和可用性。
以下是网络安全防护系统的主要组成部分和功能:
网络防火墙(Firewall):网络防火墙是位于网络边界的第一道防线,通过策略规则过滤网络流量,阻止未经授权的访问和恶意流量进入受保护的网络。
入侵检测系统(Intrusion Detection System,IDS):IDS监测网络中的流量和事件,识别异常行为和潜在的入侵活动。基于已知的攻击模式和特征进行检测,并生成警报或触发相应的响应机制。
入侵防御系统(Intrusion Prevention System,IPS):IPS在IDS的基础上进一步加强了防御能力,可以主动拦截和阻止潜在的入侵行为,包括阻断恶意流量、禁用攻击者的访问等。
反病毒软件(Antivirus Software):反病毒软件用于检测、阻止和清除计算机系统中的恶意软件、病毒和恶意代码。通过病毒特征库和行为分析等技术来识别和消除威胁。
加密通信(Encryption):加密技术用于保护敏感数据在传输过程中的机密性,确保数据只能被授权的接收方解密和访问。可以防止数据被窃听、篡改或伪造。
访问控制(Access Control):访问控制技术用于限制对系统和网络资源的访问权限,确保只有授权用户或设备可以访问受保护的资源。包括身份验证、授权、权限管理等措施。
安全审计和日志管理(Security Audit and Log Management):安全审计和日志管理用于记录和分析系统和网络的安全事件和活动,以便及时发现和响应潜在的威胁和入侵行为。
安全策略和培训(Security Policies and Training):制定和执行安全策略,包括密码策略、访问控制策略等,并提供安全培训和意识教育,以提高用户和员工的安全意识和行为。
综合利用以上技术和措施,网络安全防护系统可以有效地保护计算机系统和网络环境,预防和应对各种网络攻击和威胁,确保信息安全和业务连续性。
传统的网络安全防护系统主要依赖于已知的攻击模式和特征进行检测和拦截,其优势在于成熟稳定、易于配置和管理。然而,传统系统在面对新型和未知的攻击方式时存在局限性,容易被攻击者绕过,并且常常产生误报和漏报的问题。随着网络攻击技术的不断演进,人们对于更智能、自适应的网络安全防护系统的需求也越来越迫切。
传统的网络安全防护系统在检测过程中常常会产生大量的误报和漏报,这是因为它们主要基于已知的攻击模式和特征进行检测,而对于新型和未知的攻击方式往往无法准确识别。
误报是指系统错误地将正常的网络流量或行为标记为潜在的攻击活动。这可能是由于系统规则设置不当、特定的网络流量模式被误解、或者系统无法正确解释某些复杂的行为模式等原因导致的。大量的误报会给网络管理员带来负担,他们需要花费大量的时间和精力来分析和处理这些误报,从而降低了系统的可用性和效率。
漏报是指系统无法检测到实际存在的攻击活动,将其错误地视为正常的网络流量或行为。这可能是由于攻击者使用了新的攻击技术、采取了隐蔽的行为模式、或者系统规则没有及时更新等原因导致的。漏报的存在意味着系统无法及时发现和应对真实的威胁,给网络安全带来潜在的风险和漏洞。
误报和漏报的存在主要是因为传统的网络安全防护系统缺乏对未知攻击的有效识别和应对能力,主要依赖于已知的攻击特征和模式进行检测,而对于新型和未知的攻击方式往往无法进行准确判断。此外,传统系统的规则和算法往往比较固定,无法及时适应和应对不断变化的网络威胁。
为了解决误报和漏报的问题,现代的网络安全防护系统趋向于采用更智能化的技术,如机器学习、行为分析和人工智能等,以提高检测的准确性和及时性。这些技术可以对网络流量进行实时监测和分析,识别出异常行为模式,并根据学习和适应能力不断优化和更新系统规则,从而提高网络安全防护的效果和能力。
在本申请的一个实施例中,图1为根据本申请实施例的网络安全智能防护系统的框图。如图1所示,一种网络安全智能防护系统100,包括:网络流量数据采集模块110,用于获取预定时间段内多个预定时间点的网络流量值;网络流量时序排列模块120,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;网络流量局部时序特征提取模块130,用于对所述网络流量时序输入向量进行局部时序特征提取以得到网络流量局部时序特征向量的序列;网络流量局部时序相似度关联分析模块140,用于对所述网络流量局部时序特征向量的序列中的各个网络流量局部时序特征向量进行相似度关联分析以得到网络流量时序一致性拓扑特征矩阵;图结构关联编码模块150,用于对所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵进行基于图结构的关联编码以得到一致性拓扑网络流量全局时序特征;网络流量拦截模块160,用于基于所述一致性拓扑网络流量全局时序特征,确定是否进行网络流量拦截。
在所述网络流量数据采集模块110中,确保能够准确地获取预定时间段内多个预定时间点的网络流量值,考虑数据采集的准确性和实时性。这样,提供了预定时间段内的网络流量数据,为后续的分析和处理提供了基础数据。
在所述网络流量时序排列模块120中,确保将多个预定时间点的网络流量值按照时间维度进行正确的排列,以保持时序的连续性和准确性。这样,将网络流量数据按照时间顺序排列,为后续的特征提取和分析提供了有序的输入。
在所述网络流量局部时序特征提取模块130中,选择适当的局部时序特征提取方法,确保能够准确地捕获网络流量的关键特征,例如流量的频率、持续时间、传输速率等。这样,提取了网络流量的局部时序特征,可以更好地描述流量的动态变化和行为模式。
在所述网络流量局部时序相似度关联分析模块140中,选择合适的相似度度量方法,确保能够准确地评估网络流量局部时序特征向量之间的相似度,以发现相关的流量模式和行为。通过相似度关联分析,可以识别出具有相似特征的网络流量,从而揭示潜在的相关性和异常行为。
在所述图结构关联编码模块150中,:设计合适的图结构关联编码方法,将局部时序特征向量和一致性拓扑特征矩阵进行编码,以捕捉全局时序特征和拓扑结构之间的关联关系。通过图结构关联编码,可以将局部时序特征和一致性拓扑特征融合起来,得到更全面和准确的网络流量全局时序特征表示。
在所述网络流量拦截模块160中,基于一致性拓扑网络流量全局时序特征,设计合适的判定策略和决策算法,以确定是否进行网络流量拦截,需要考虑准确性和实时性。通过基于全局时序特征的拦截决策,可以及时识别和阻止潜在的网络攻击和异常流量,提高网络的安全性和稳定性。针对上述技术问题,本申请的技术构思为通过实时监测采集网络流量值,并在后端引入数据处理和分析算法来进行网络流量值的时序分析,以此判断网络流量是否存在异常,并对异常的网络流量进行拦截,通过这样的方式,能够实现对于网络流量的实时自动监测和分析,避免传统网络安全防护系统中的不及时性和漏报误报率较高的问题,以更好地应对复杂和多变的网络安全威胁,提高网络安全防护的效果和能力。
具体地,在本申请的技术方案中,首先,获取预定时间段内多个预定时间点的网络流量值。获取预定时间段内多个预定时间点的网络流量值的作用是为后续的网络流量分析和处理提供数据基础。通过采集和记录网络流量数据,可以对网络的使用情况和流量变化进行监测和分析,从而发现异常行为和潜在的网络安全威胁。
最后确定是否进行网络流量拦截的作用是基于对网络流量的全局时序特征进行判断和决策。通过分析网络流量的全局时序特征,可以识别出异常的流量模式和行为,判断是否存在网络攻击、恶意行为或异常的网络流量情况。如果检测到异常或威胁,网络流量拦截模块可以采取相应的措施,如阻断恶意流量、限制访问、发送警报等,以保护网络的安全和稳定。
网络流量拦截的作用是实时响应和阻止潜在的网络攻击,减少网络风险和损失。通过及时拦截恶意流量,可以阻止攻击者进一步侵入系统、窃取敏感信息或破坏网络服务。网络流量拦截的决策依赖于全局时序特征的分析结果,以确保准确性和有效性。获取预定时间段内的网络流量值可以提供数据基础,而最后确定是否进行网络流量拦截则是基于全局时序特征的分析和决策,以保护网络安全并应对潜在的威胁。
接着,考虑到由于所述网络流量值在时间维度上是不断变化的,其在时序上具有着动态性的变化规律,并且由于所述网络流量值的波动性和不确定性,导致其在时序上的不同时间周期跨度下呈现出不同的时序变化特征,并且有些变化波动较为微弱,难以通过传统的特征提取方式进行有效地捕捉刻画。因此,在本申请的技术方案中,首先需要将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量,以此来整合所述网络流量值在时序上的分布信息。
在本申请的一个实施例中,所述网络流量局部时序特征提取模块130,包括:网络流量时序切分单元,用于对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;网络流量局部时序编码单元,用于通过基于深度神经网络模型的时序特征提取器分别对所述网络流量局部时序输入向量的序列中的各个网络流量局部时序输入向量进行特征提取以得到所述网络流量局部时序特征向量的序列。
其中,所述基于深度神经网络模型的时序特征提取器为基于一维卷积层的时序特征提取器。
首先,通过对网络流量时序输入向量进行向量切分,将其分解为多个局部时序输入向量的序列,这样做可以将网络流量的时序信息分割成更小的部分,有助于更细粒度地分析和处理网络流量,提高对网络攻击和异常行为的检测和识别能力。
然后,通过基于深度神经网络模型的时序特征提取器,对网络流量局部时序输入向量的序列中的每个局部时序输入向量进行特征提取。这样可以从每个局部时序输入向量中提取出重要的特征信息,例如流量的频率、持续时间、传输速率等。提取到的局部时序特征向量序列可以更好地描述网络流量的动态变化和行为模式,为后续的相似度关联分析和拦截决策提供更准确的输入。
网络流量时序切分单元将网络流量时序输入向量切分为局部时序输入向量的序列,而网络流量局部时序编码单元通过深度神经网络模型的时序特征提取器对每个局部时序输入向量进行特征提取,这些单元的协同作用有助于提取网络流量的局部时序特征,为后续的相似度关联分析、图结构编码和拦截决策提供更准确和全面的输入。
继而,在对于所述网络流量值的时序变化特征进行提取时,为了能够更充分和细致地捕捉到所述网络流量值在时间维度上的细微波动时序特征,在本申请的技术方案中,进一步对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列,以便于后续更好地捕捉和提取出不同时间段内的网络流量局部时序细节变化特征信息。
然后,将所述网络流量局部时序输入向量的序列通过基于一维卷积层的时序特征提取器中进行特征提取,以提取出所述网络流量值在时间维度上的各个局部时间片段内的局部时序细节变化特征信息,从而得到网络流量局部时序特征向量的序列。这样,能够更为充分地捕捉到所述网络流量值在时间维度上的细微波动特征,从而有利于后续更为准确地进行所述网络流量值的时序变化趋势分析和异常网络流量的检测。
在本申请的一个实施例中,所述网络流量局部时序相似度关联分析模块140,包括:网络流量局部时序特征相似度计算单元,用于计算所述网络流量局部时序特征向量的序列中任意两个网络流量局部时序特征向量之间的余弦相似度以得到网络流量时序一致性拓扑矩阵;一致性拓扑关联分析单元,用于将所述网络流量时序一致性拓扑矩阵通过基于卷积神经网络模型的一致性拓扑特征提取器以得到所述网络流量时序一致性拓扑特征矩阵。
进一步地,还考虑到由于所述网络流量值在各个局部时间片段中的时序细微变化特征之间在整个所述预定时间段中具有着基于时序整体的关联关系,并且,在实际进行网络流量的时序分布和变化趋势的特征表达以进行网络流量的异常检测时,关键在于对所述各个局部时间片段中的网络流量变化模式进行一致性对比分析,从而更好地进行网络流量的异常检测和拦截。因此,在本申请的技术方案中,进一步计算所述网络流量局部时序特征向量的序列中任意两个网络流量局部时序特征向量之间的余弦相似度以得到网络流量时序一致性拓扑矩阵。值得一提的是,这里,通过计算所述各个网络流量局部时序特征向量之间的余弦相似度,能够捕捉到所述各个局部时序片段之间有关于网络流量的时序变化模式的一致性关联特征信息,以便于后续的网络流量时序变化模式对比分析和异常检测。
在本申请的一个实施例中,所述图结构关联编码模块150,用于:将所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵通过图神经网络模型以得到一致性拓扑网络流量全局时序特征矩阵作为所述一致性拓扑网络流量全局时序特征。
接着,再将所述网络流量时序一致性拓扑矩阵通过基于卷积神经网络模型的一致性拓扑特征提取器中进行特征挖掘,以提取出所述网络流量在各个局部时序片段中的时序变化模式之间的一致性拓扑全局关联特征信息,从而得到网络流量时序一致性拓扑特征矩阵。
进而,以所述网络流量局部时序特征向量的序列中的各个网络流量局部时序特征向量作为节点的特征表示,而以所述网络流量时序一致性拓扑特征矩阵作为节点与节点之间的边的特征表示,将由所述多个网络流量局部时序特征向量经二维排列得到的网络流量全局时序特征矩阵和所述网络流量时序一致性拓扑特征矩阵通过图神经网络模型以得到一致性拓扑网络流量全局时序特征矩阵。具体地,所述图神经网络模型通过可学习的神经网络参数对所述网络流量全局时序特征矩阵和所述网络流量时序一致性拓扑特征矩阵进行图结构数据编码以得到包含不规则的网络流量局部时序模式一致性拓扑关联特征和所述各个局部时序片段中的网络流量局部时序特征信息的所述一致性拓扑网络流量全局时序特征矩阵。
其中,图神经网络(Graph Neural Network,GNN)是一类专门用于处理图数据的深度学习模型,可以有效地学习和表示图结构中节点之间的关系和信息传递。在网络安全领域,图神经网络被广泛应用于网络流量分析和威胁检测等任务。
图神经网络模型的基本思想是将图中的节点和边表示为向量,并通过多层神经网络进行信息传递和聚合。每个节点的表示是由其自身的特征以及邻居节点的信息共同决定的。通过迭代的信息传递和聚合过程,图神经网络可以捕捉到节点之间的复杂关系和全局结构。
在网络流量安全防护系统中,图神经网络模型可以用来处理网络流量的一致性拓扑特征矩阵和局部时序特征向量序列,可以将局部时序特征和一致性拓扑特征进行融合和编码,得到一致性拓扑网络流量全局时序特征矩阵。这样的特征矩阵可以更全面地描述网络流量的时序演化和全局结构,为后续的网络流量拦截和安全决策提供更准确和全面的信息。
图神经网络模型是一种适用于图数据处理的深度学习模型,可以用于将网络流量的局部时序特征和一致性拓扑特征进行编码和融合,得到一致性拓扑网络流量全局时序特征矩阵,能够更好地反映网络流量的全局特征和结构,提高网络安全防护系统的准确性和效果。
在本申请的一个实施例中,所述网络流量拦截模块160,包括:特征分布优化单元,用于对所述一致性拓扑网络流量全局时序特征矩阵进行特征尺度作为模仿掩码的秩排列分布软匹配以得到优化一致性拓扑网络流量全局时序特征矩阵;网络流量异常检测单元,用于将所述优化一致性拓扑网络流量全局时序特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络流量是否存在异常;以及,拦截控制单元,用于基于所述分类结果,确定是否进行网络流量拦截。
继而,再将所述优化一致性拓扑网络流量全局时序特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络流量是否存在异常。也就是说,利用所述网络流量的局部时序变化特征和所述网络流量局部时序模式一致性拓扑关联特征之间基于图结构的关联特征信息来进行分类处理,以此来判断网络流量是否存在异常,并对异常的网络流量进行拦截,通过这样的方式,能够实现对于网络流量的实时自动监测和分析,避免传统网络安全防护系统中的不及时性和漏报误报率较高的问题,以更好地应对复杂和多变的网络安全威胁,提高网络安全防护的效果和能力。
特别地,在本申请的技术方案中,每个网络流量局部时序特征向量表达网络流量的局部时序关联特征,由此,在将所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵通过图神经网络模型后,所述一致性拓扑网络流量全局时序特征矩阵的每个行特征向量可以表达相应的网络流量局部时序关联特征在局部时序间的网络流量相似度拓扑下的拓扑关联表示,由此,在将每个网络流量局部时序特征向量的局部时序关联特征表示作为前景对象特征表示的情况下,在进行网络流量相似度拓扑关联表达的同时,也会引入背景分布噪声,并且,在从所述网络流量局部时序特征向量的序列通过图神经网络模型得到所述一致性拓扑网络流量全局时序特征矩阵时,由于所述一致性拓扑网络流量全局时序特征矩阵通过进行向量-矩阵间高秩分布表示,也会引入各个网络流量局部时序特征向量的高维特征的空间异质分布,从而引起所述一致性拓扑网络流量全局时序特征矩阵相对于各个网络流量局部时序特征向量的局部时序关联特征的语义空间概率密度映射误差,影响了所述一致性拓扑网络流量全局时序特征矩阵通过分类器得到的分类结果的准确性。
基于此,本申请的申请人对所述一致性拓扑网络流量全局时序特征矩阵,例如记为进行特征尺度作为模仿掩码的秩排列分布软匹配,具体表示为:以如下优化公式对所述一致性拓扑网络流量全局时序特征矩阵进行特征尺度作为模仿掩码的秩排列分布软匹配以得到所述优化一致性拓扑网络流量全局时序特征矩阵;其中,所述优化公式为:其中,/>为所述一致性拓扑网络流量全局时序特征矩阵,/>是所述一致性拓扑网络流量全局时序特征矩阵的第/>位置的特征值,/>是所述一致性拓扑网络流量全局时序特征矩阵的尺度,/>表示所述一致性拓扑网络流量全局时序特征矩阵的Frobenius范数的平方,/>表示所述一致性拓扑网络流量全局时序特征矩阵的二范数,且/>是加权超参数,/>表示指数运算,/>是所述优化一致性拓扑网络流量全局时序特征矩阵的第/>位置的特征值。
这里,所述特征尺度作为模仿掩码的秩排列分布软匹配可以将高维特征映射到概率密度空间内时,将特征尺度作为用于映射的模仿掩码来聚焦于前景对象特征而忽略背景分布噪声,并通过所述一致性拓扑网络流量全局时序特征矩阵的不同范数进行的金字塔式秩排列分布的分布软匹配,来有效捕捉概率密度分布的中心区域和尾部区域之间的相关性,避免了由于所述一致性拓扑网络流量全局时序特征矩阵/>的高维特征的语义空间异质分布导致的概率密度映射偏差,从而提升所述一致性拓扑网络流量全局时序特征矩阵通过分类器得到的分类结果的准确性。这样,能够基于网络流量的时序变化判断网络流量是否存在异常,并对异常的网络流量进行拦截,以便于更好地应对复杂和多变的网络安全威胁,从而提高网络安全防护的效果和能力。
综上,基于本申请实施例的网络安全智能防护系统100被阐明,能够实现对于网络流量的实时自动监测和分析,避免传统网络安全防护系统中的不及时性和漏报误报率较高的问题,以更好地应对复杂和多变的网络安全威胁,提高网络安全防护的效果和能力。
如上所述,根据本申请实施例的网络安全智能防护系统100可以实现在各种终端设备中,例如用于网络安全智能防护的服务器等。在一个示例中,根据本申请实施例的网络安全智能防护系统100可以作为一个软件模块和/或硬件模块而集成到终端设备中。例如,该网络安全智能防护系统100可以是该终端设备的操作系统中的一个软件模块,或者可以是针对于该终端设备所开发的一个应用程序;当然,该网络安全智能防护系统100同样可以是该终端设备的众多硬件模块之一。
替换地,在另一示例中,该网络安全智能防护系统100与该终端设备也可以是分立的设备,并且网络安全智能防护系统100可以通过有线和/或无线网络连接到该终端设备,并且按照约定的数据格式来传输交互信息。
在本申请的一个实施例中,图2为根据本申请实施例的网络安全智能防护方法的流程图。图3为根据本申请实施例的网络安全智能防护方法的架构示意图。如图2和如图3所示,根据本申请实施例的网络安全智能防护方法,包括:210,获取预定时间段内多个预定时间点的网络流量值;220,将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;230,对所述网络流量时序输入向量进行局部时序特征提取以得到网络流量局部时序特征向量的序列;240,对所述网络流量局部时序特征向量的序列中的各个网络流量局部时序特征向量进行相似度关联分析以得到网络流量时序一致性拓扑特征矩阵;250,对所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵进行基于图结构的关联编码以得到一致性拓扑网络流量全局时序特征;260,基于所述一致性拓扑网络流量全局时序特征,确定是否进行网络流量拦截。
这里,本领域技术人员可以理解,上述网络安全智能防护方法中的各个单元和模块的具体功能和操作已经在上面参考图1的网络安全智能防护系统的描述中得到了详细介绍,并因此,将省略其重复描述。
图4为根据本申请实施例的网络安全智能防护系统的场景示意图。如图4所示,在该应用场景中,首先,获取预定时间段内多个预定时间点的网络流量值(例如,如图4中所示意的C);然后,将获取的网络流量值输入至部署有网络安全智能防护算法的服务器(例如,如图4中所示意的S)中,其中所述服务器能够基于网络安全智能防护算法对所述网络流量值进行处理,以确定是否进行网络流量拦截。
还需要指出的是,在本申请的装置、设备和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此,本申请不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (7)
1.一种网络安全智能防护系统,其特征在于,包括:
网络流量数据采集模块,用于获取预定时间段内多个预定时间点的网络流量值;
网络流量时序排列模块,用于将所述多个预定时间点的网络流量值按照时间维度排列为网络流量时序输入向量;
网络流量局部时序特征提取模块,用于对所述网络流量时序输入向量进行局部时序特征提取以得到网络流量局部时序特征向量的序列;
网络流量局部时序相似度关联分析模块,用于对所述网络流量局部时序特征向量的序列中的各个网络流量局部时序特征向量进行相似度关联分析以得到网络流量时序一致性拓扑特征矩阵;
图结构关联编码模块,用于对所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵进行基于图结构的关联编码以得到一致性拓扑网络流量全局时序特征;
网络流量拦截模块,用于基于所述一致性拓扑网络流量全局时序特征,确定是否进行网络流量拦截。
2.根据权利要求1所述的网络安全智能防护系统,其特征在于,所述网络流量局部时序特征提取模块,包括:
网络流量时序切分单元,用于对所述网络流量时序输入向量进行向量切分以得到网络流量局部时序输入向量的序列;
网络流量局部时序编码单元,用于通过基于深度神经网络模型的时序特征提取器分别对所述网络流量局部时序输入向量的序列中的各个网络流量局部时序输入向量进行特征提取以得到所述网络流量局部时序特征向量的序列。
3.根据权利要求2所述的网络安全智能防护系统,其特征在于,所述基于深度神经网络模型的时序特征提取器为基于一维卷积层的时序特征提取器。
4.根据权利要求3所述的网络安全智能防护系统,其特征在于,所述网络流量局部时序相似度关联分析模块,包括:
网络流量局部时序特征相似度计算单元,用于计算所述网络流量局部时序特征向量的序列中任意两个网络流量局部时序特征向量之间的余弦相似度以得到网络流量时序一致性拓扑矩阵;
一致性拓扑关联分析单元,用于将所述网络流量时序一致性拓扑矩阵通过基于卷积神经网络模型的一致性拓扑特征提取器以得到所述网络流量时序一致性拓扑特征矩阵。
5.根据权利要求4所述的网络安全智能防护系统,其特征在于,所述图结构关联编码模块,用于:将所述网络流量局部时序特征向量的序列和所述网络流量时序一致性拓扑特征矩阵通过图神经网络模型以得到一致性拓扑网络流量全局时序特征矩阵作为所述一致性拓扑网络流量全局时序特征。
6.根据权利要求5所述的网络安全智能防护系统,其特征在于,所述网络流量拦截模块,包括:
特征分布优化单元,用于对所述一致性拓扑网络流量全局时序特征矩阵进行特征尺度作为模仿掩码的秩排列分布软匹配以得到优化一致性拓扑网络流量全局时序特征矩阵;
网络流量异常检测单元,用于将所述优化一致性拓扑网络流量全局时序特征矩阵通过分类器以得到分类结果,所述分类结果用于表示网络流量是否存在异常;以及
拦截控制单元,用于基于所述分类结果,确定是否进行网络流量拦截。
7.根据权利要求6所述的网络安全智能防护系统,其特征在于,所述特征分布优化单元,用于:以如下优化公式对所述一致性拓扑网络流量全局时序特征矩阵进行特征尺度作为模仿掩码的秩排列分布软匹配以得到所述优化一致性拓扑网络流量全局时序特征矩阵;
其中,所述优化公式为:,其中,/>为所述一致性拓扑网络流量全局时序特征矩阵,/>是所述一致性拓扑网络流量全局时序特征矩阵的第/>位置的特征值,/>是所述一致性拓扑网络流量全局时序特征矩阵的尺度,表示所述一致性拓扑网络流量全局时序特征矩阵的Frobenius范数的平方,/>表示所述一致性拓扑网络流量全局时序特征矩阵的二范数,且/>是加权超参数,/>表示指数运算,/>是所述优化一致性拓扑网络流量全局时序特征矩阵的第/>位置的特征值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311600678.9A CN117319090A (zh) | 2023-11-28 | 2023-11-28 | 一种网络安全智能防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311600678.9A CN117319090A (zh) | 2023-11-28 | 2023-11-28 | 一种网络安全智能防护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117319090A true CN117319090A (zh) | 2023-12-29 |
Family
ID=89260756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311600678.9A Pending CN117319090A (zh) | 2023-11-28 | 2023-11-28 | 一种网络安全智能防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117319090A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117811844A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市飞思卓科技有限公司 | 一种分布式多点光纤通信信号异常监测方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116827656A (zh) * | 2023-07-10 | 2023-09-29 | 滁州小稻穗网络科技有限公司 | 网络信息安全防护系统及其方法 |
CN117040917A (zh) * | 2023-09-21 | 2023-11-10 | 深圳汉光电子技术有限公司 | 一种具有监测预警功能的智慧型交换机 |
CN117061322A (zh) * | 2023-09-27 | 2023-11-14 | 广东云百科技有限公司 | 物联网流量池管理方法及系统 |
CN117113262A (zh) * | 2023-10-23 | 2023-11-24 | 北京中科网芯科技有限公司 | 网络流量识别方法及其系统 |
-
2023
- 2023-11-28 CN CN202311600678.9A patent/CN117319090A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116827656A (zh) * | 2023-07-10 | 2023-09-29 | 滁州小稻穗网络科技有限公司 | 网络信息安全防护系统及其方法 |
CN117040917A (zh) * | 2023-09-21 | 2023-11-10 | 深圳汉光电子技术有限公司 | 一种具有监测预警功能的智慧型交换机 |
CN117061322A (zh) * | 2023-09-27 | 2023-11-14 | 广东云百科技有限公司 | 物联网流量池管理方法及系统 |
CN117113262A (zh) * | 2023-10-23 | 2023-11-24 | 北京中科网芯科技有限公司 | 网络流量识别方法及其系统 |
Non-Patent Citations (2)
Title |
---|
田益凡;洪征;潘;张洪泽;: "第5讲 基于网络流量的协议格式推断技术研究进展", 军事通信技术, no. 02 * |
许磊;王建新;: "基于模糊神经网络的异常网络数据挖掘算法", 计算机科学, no. 04 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117811844A (zh) * | 2024-02-29 | 2024-04-02 | 深圳市飞思卓科技有限公司 | 一种分布式多点光纤通信信号异常监测方法及系统 |
CN117811844B (zh) * | 2024-02-29 | 2024-05-07 | 深圳市飞思卓科技有限公司 | 一种分布式多点光纤通信信号异常监测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
Asif et al. | Network intrusion detection and its strategic importance | |
CN117319090A (zh) | 一种网络安全智能防护系统 | |
Devi et al. | Enhancing Cloud Security with Deep Learning-Based Intrusion Detection in Cloud Computing Environments | |
Bortolameotti et al. | Headprint: detecting anomalous communications through header-based application fingerprinting | |
Garg et al. | Analysis of machine learning algorithms for IoT botnet | |
CN116232770A (zh) | 一种基于sdn控制器的企业网络安全防护系统及方法 | |
CN118118258A (zh) | 网络安全监测与响应系统 | |
CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
Godwin Olaoye | Role of Machine learning and AI in cloud malware detection | |
Almomani et al. | Reconnaissance attack detection via boosting machine learning classifiers | |
Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
Kumari et al. | SmRM: Ensemble Learning Devised Solution for Smart Riskware Management in Android Machines | |
KR102443486B1 (ko) | 위협 경보 유형 디스플레이 장치 및 방법 | |
Arumugam et al. | Implementation of two class classifiers for hybrid intrusion detection | |
Yeshwanth et al. | Adoption and Assessment of Machine Learning Algorithms in Security Operations Centre for Critical Infrastructure | |
Badde et al. | Cyber attack detection framework for cloud computing | |
Prabu et al. | An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment | |
Saeed et al. | Machine learning based intrusion detection system in cloud environment | |
Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) | |
Hingane et al. | Intrusion detection techniques: A review | |
Rani | A Perspective for Intrusion Detection & Prevention in Cloud Environment | |
Tan | " AI-Driven Anomaly Detection in Network Security: A Comparative Study of Machine Learning Algorithms | |
Alqahtani et al. | A Taxonomy of IDS in IoTs: ML Classifiers, Feature Selection Models, Datasets and Future Directions. | |
Ranga et al. | A Study of IDS Technique Using Data Mining |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20231229 |