CN117544386A - 基于深度学习的安全事件处理的方法和系统 - Google Patents
基于深度学习的安全事件处理的方法和系统 Download PDFInfo
- Publication number
- CN117544386A CN117544386A CN202311623931.2A CN202311623931A CN117544386A CN 117544386 A CN117544386 A CN 117544386A CN 202311623931 A CN202311623931 A CN 202311623931A CN 117544386 A CN117544386 A CN 117544386A
- Authority
- CN
- China
- Prior art keywords
- security event
- security
- network
- data
- network traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013135 deep learning Methods 0.000 title claims abstract description 29
- 238000003672 processing method Methods 0.000 title description 2
- 238000001514 detection method Methods 0.000 claims abstract description 102
- 238000000034 method Methods 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 31
- 238000012549 training Methods 0.000 claims abstract description 31
- 238000013528 artificial neural network Methods 0.000 claims abstract description 14
- 230000000306 recurrent effect Effects 0.000 claims abstract description 13
- 230000009471 action Effects 0.000 claims abstract description 9
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 238000011282 treatment Methods 0.000 claims description 14
- 238000005457 optimization Methods 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 5
- 230000004913 activation Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000011269 treatment regimen Methods 0.000 description 3
- 108010076504 Protein Sorting Signals Proteins 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000012935 Averaging Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000005316 response function Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了一种基于深度学习的安全事件处理的方法和系统,该方法包括:步骤一,接收网络流量数据;步骤二,采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并对安全事件检测模型进行训练;步骤三,若检测到安全事件,根据预设处理策略对安全事件进行处置。本发明基于递归神经网络RNN深度学习算法构建安全事件检测模型,能够利用该安全事件检测模型能够有效提高网络安全威胁的检测和处置效率,实现网络环境下的安全保障。
Description
技术领域
本发明实施例涉及互联网安全技术领域,特别是涉及一种基于深度学习的安全事件处理的方法和系统。
背景技术
随着互联网的不断发展和普及,网络安全威胁日益增多。攻击者不断寻找新的方式来入侵系统,并以各种方式进行攻击、传播病毒和窃取敏感信息。传统的安全事件检测方法已经不能满足对复杂网络环境中的威胁进行及时有效控制的需求,因此需要一种更高效、准确的安全事件检测与处置方法。
发明内容
本发明的目的在于提供一种基于深度学习的安全事件处理的方法和系统,来克服或至少减轻现有技术的上述缺陷中的至少一个。
为实现上述目的,本发明提供一种基于深度学习的安全事件处理的方法,包括:
步骤一,接收网络流量数据;
步骤二,采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
步骤三,若检测到安全事件,根据预设处理策略对安全事件进行处置。
优选的,该方法还包括:对安全事件检测模型进行训练,包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
优选的,安全事件检测模型包括三层结构:输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
优选的,该方法步骤二包括:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
优选的,步骤三包括:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
本发明还提供一种基于深度学习的安全事件处理的系统,包括:
接收模块,用于接收网络流量数据;
检测模块,用于采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
处置模块,用于检测模块检测到安全事件时,根据预设处理策略对安全事件进行处置。
优选的,该系统还包括:
训练模块,用于对安全事件检测模型进行训练,包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
优选的,安全事件检测模型包括输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
优选的,检测模块用于:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
优选的,处置模块用于:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
本发明由于采取以上技术方案,其具有以下优点:
本发明基于递归神经网络RNN深度学习算法构建安全事件检测模型,能够利用该安全事件检测模型能够有效提高网络安全威胁的检测和处置效率,实现网络环境下的安全保障。该方法适用于各种类型的网络环境,可广泛应用于网络安全领域,并有望在实际应用中取得良好的效果。
附图说明
图1为本发明实施例提供的一种基于深度学习的安全事件处理的方法的流程示意图。
图2为本发明一具体示例提供的基于深度学习的安全事件处理的方法的流程示意图。
图3为本发明实施例提供的一种基于深度学习的安全事件处理的方法的系统的结构示意图。
具体实施方式
在附图中,使用相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面结合附图对本发明的实施例进行详细说明。
在本发明的描述中,术语“中心”、“纵向”、“横向”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明保护范围的限制。
在不冲突的情况下,本发明各实施例及各实施方式中的技术特征可以相互组合,并不局限于该技术特征所在的实施例或实施方式中。
下面结合附图以及具体实施例对本发明做进一步的说明,需要指出的是,下面仅以一种最优化的技术方案对本发明的技术方案以及设计原理进行详细阐述,但本发明的保护范围并不仅限于此。
本文涉及下列术语,为便于理解,对其含义说明如下。本领域技术人员应当理解,下列术语也可能有其它名称,但在不脱离其含义的情形下,其它任何名称都应当被认为与本文所列术语一致。
针对网络及系统的安全事件处置和检测已有处置和自动化响应的方法,根据网络和系统的更新迭代,更多复杂的安全事件和网络漏洞层出不穷,存在处置策略不当不能准确有效的检测出未发现安全事件,事件的特性和特殊性也包含多种,为了准确和更有效的防护安全事件的发生,导致重要资产和信息的泄露,也要更快的做出解决方案,通过人工智能深度学习完善安全事件自主识别和解析,提高训练模型的准确与精度,更好的提供安全防护措施和方案,检测和处置方法还有待完善:
已有安全事件通过关键字匹配或安全设备固定已有策略识别安全事件,对于未知或者特殊的安全事件,不能有效处置和响应,面对网络攻击和安全事件的复杂性,应提高安全事件的检测能力和处置策略。对安全事件特征和存在特性记录不全面,处置方式存在弊端,针对多元安全事件的处置方式不能有效防护,完善此类弊端能有效规避安全事件的触发和规则的不完善性。
本发明实施例提供一种基于深度学习的安全事件处理的方法,如图1所示,包括:
步骤10,接收网络流量数据;
步骤20,采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
步骤30,若检测到安全事件,根据预设处理策略对安全事件进行处置。
优选的,该方法还包括:对安全事件检测模型进行训练,包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
优选的,安全事件检测模型包括三层结构:输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
优选的,该方法步骤二包括:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
优选的,步骤三包括:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
下面通过一具体示例对本发明提供的基于深度学习的安全事件处理的方法进行进一步说明。如图2所示,该方法包括:
步骤21,收集网络流量数据,并对数据进行去噪、过滤和归一化处理。
通过该处理,可以保证网络流量数据的质量和准确性。
其中,网络流量数据的属性可以包括下述一种或多种:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区、端口等信息。
例如,网络流量数据可以为:
可以通过下述方式对数据进行去噪、过滤和归一化处理。
1)数据去噪
公式:Y=X+N
X为原始数据,N为噪声,Y为去噪后的数据。
样例:假设有一个包含噪声的信号序列[5,7,6,10,12,9],可以采用平均值滤波器进行去噪,计算邻近数据的平均值并替换当前数据。例如,将第一个数据点5替换为(5+7)/2=6。
2)数据过滤
公式:Y=H*X
X为原始数据,H为滤波器的响应函数,Y为过滤后的数据。
样例:使用低通滤波器对频率较高的噪声进行滤除。假设有一个信号序列[12,15,18,25,20,16],可以采用移动平均滤波器进行过滤,计算邻近数据的平均值。例如,将第四个数据点25替换为(18+25+20)/3=21。
3)数据归一化
公式为:Y=(X-X_min)/(X_max-X_min)
X为原始数据,X_min为原始数据的最小值,X_max为原始数据的最大值,Y为归一化后的数据。
样例:假设有一个数据集[2,5,8,10],可以使用最小-最大归一化将数据缩放到[0,1]范围内。首先计算最小值和最大值,得到X_min=2和X_max=10,然后应用归一化公式进行计算,得到归一化后的:
第一个数据点:Y=(2-2)/(10-2)=0
第二个数据点:Y=(5-2)/(10-2)=0.375
第三个数据点:Y=(8-2)/(10-2)=0.75
第四个数据点:Y=(10-2)/(10-2)=1
步骤22,基于递归神经网络(RNN),通过深度学习算法建立安全事件检测模型。
其中,递归神经网络RNN的公式包括:
隐藏状态:ht=f(Whhht-1+Wxhxt)
输出:yt=g(Whyht)
其中:
t表示当前时间步(当前时间数据)
t-1表示上一时间步(上一时间数据)
ht表示时间t的隐藏状态或记忆状态;
f和g是激活函数,通常使用tanh或sigmoid函数;
Whh和Wxh是隐藏状态和输入之间的权重矩阵;
xt表示当前时间步t的输入向量;
Why是隐藏状态和输出之间的权重矩阵。
本发明引用的深度学习算法为递归神经网络(RNN),主要解决的问题在于处理序列数据和时间序列数据,具有记忆能力和动态处理能力。在处理序列数据时,RNN能够捕捉到数据中的前后关联关系,从而更好地学习并处理时序信息。
现有技术包括入侵检测系统、入侵防御系统、日志审计分析、网络安全态势感知、安全事件响应等诸多系统和平台,都是通过对网络流量和系统日志做采集分析,检测潜在的入侵行为和安全事件,但每种系统针对特定的进行日志采集分析,如入侵检测只针对签名匹配、统计分析、异常检测等行为做出处置和响应;入侵防御是在入侵检测的基础上,采取固定防御措施,阻止恶意流量进入网络。常见的防御技术有防火墙、入侵防护模块等处置和响应。
本发明方法是在现有技术上做更精准匹配和识别安全事件类型分类,多元化收集多个系统和平台的日志,通过深度学习算法匹配安全事件库,可以识别各种安全事件并做出处置和响应。
本发明中,安全事件库中可以包括现有的各种检测系统和平台中的安全事件,并通过检测检测网络流量数据的下述属性中的一种或多种:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口等信息,来判断网络流量数据是否数据安全事件。
安全事件检测模型包括输入层、隐藏层和输出层。输入层接收原始数据,处理数据格式,并传递给隐藏层;隐藏层作为核心部分,通过多个单元计算,通过学习数据中的特征不断完善数据的精度;输出层在检测到隐藏层的输出结果后,把结果分为不同的安全事件检测任务,每项任务通过函数得出预测结果或者分类标签。
输入层(Input Layer):输入层是模型接收原始数据的地方。它负责将输入的数据转换为神经网络能够处理的格式,并将其传递给隐藏层。在安全事件检测模型中,输入层可以是原始的网络流量数据、系统日志等。
隐藏层(Hidden Layer):隐藏层位于输入层和输出层之间,是神经网络模型的核心部分。它由多个神经元(节点)组成,每个神经元都执行一些计算操作,并将输出传递给下一层。隐藏层通过学习数据中的特征来提取数据的高级表示。隐藏层的数量和每个隐藏层中神经元的数量是根据模型复杂性和任务需求来确定的。
输出层(Output Layer):输出层是模型的最后一层,负责生成模型的预测结果或分类标签。输出层的结构和激活函数通常根据具体的安全事件检测任务而定。例如,在二元分类任务中,输出层可以使用Sigmoid激活函数来生成一个0到1之间的概率值,表示样本属于某个类别的概率。在多类分类任务中,输出层可以使用Softmax激活函数来生成每个类别的概率分布。
步骤23,利用已标记的网络流量数据进行模型训练,通过安全检测模型识别异常标记的异常网络数据,并利用提前定义的优化算法对参数进行调试。
本步骤中,通过对参数进行调试,提高模型的泛化能力和适应性。
利用已标记的网络流量数据进行模型训练,通过安全检测模型识别的异常标记的异常网络数据,提前定义的优化算法对参数进行调试,提高模型的泛化能力和适应性。例如,参数设定1-100之间,通过优化算法尝试进行调试,取出模型适配最高且稳定的检测模型,后期可通过多种检测模型匹配数据进行准确分类。
步骤24,采用训练好的深度神经网络模型对实时流量数据进行检测和分类。
本步骤中,通过步骤22和步骤23训练的深度神经网络模型对流量数据检测和分类,包括将网络流量数据的属性与安全事件库中的事件特征做匹配,匹配得到的结果做分类,包括已知安全事件、未知安全事件和多元安全事件。
以下为安全事件具体含义:
已知事件:已经发生并被确认的安全事件,其威胁对象、方式和后果等已被明确。
未知事件:尚未发生或无法确定具体情况的安全事件,可能是潜在的威胁或正在进行的攻击,但相关详细信息尚未被获取或确认。
多元事件:涉及多种类型安全问题同时存在的事件。这些事件可能包括网络安全、物理安全、人员安全等不同层面的安全威胁和挑战。
通过以上解释可以得知未知安全事件和多元安全事件的来源和介绍,判定未知安全事件的条件是通过检测安全事件库中的已有事件特征库(例如攻击特征库)是否存在数据的属性信息,匹配不存在时即可判定为未知安全事件,对于未知安全事件安全工作人员定期检测和测试是否存在威胁并维护到特征库和安全事件库;判定多元安全事件是通过已有的特征库对网络数据的属性进行匹配,若匹配到多个特征,则按已有特征判定对应的具体安全事件类型。
以下为安全事件库包含的安全事件类型:
网络安全事件类型、WEB安全事件类型、系统安全事件类型、信息安全事件类型、设备安全事件等类型,每种安全事件类型有不同的安全事件的分类,如WEB安全事件类型包含蠕虫事件、特洛伊木马事件、僵尸网络事件、SQL事件、XSS事件等安全事件类型。
针对未知安全事件和多元安全事件的处置分为通用用户和特殊用户制定两种策略,具体处置方式策略在步骤25中表明。
本发明针对多元安全事件和未知安全事件的检测匹配和处置,能有效解决现有技术对于特定安全事件类型检测匹配,不能检测多种安全事件类型的事件分类情况,对于这类情况在本发明安全事件收集现有已知安全事件类型和分类,融合检测多种安全事件类型的技术,适用于在更多领域针对安全事件检测的全面性,在保证检测效率的同时更加准确的识别每条网络数据是否存在安全事件行为,起到有效的解决。
步骤25,根据检测结果和用户设定的处理策略:处置策略分为通用用户和特殊用户制定,策略有三种阻断、拦截、记录,根据安全事件的威胁情况进行特定配置。
其中,对检测到的安全事件进行及时响应和处置:对安全事件及时处置,可通过邮件通知或日志告警等多种响应手段。
其中,处置策略分为通用用户和特殊用户制定,根据安全事件的威胁情况进行特定配置。
处置策略还可以分为以下三种:
阻断:采取措施来阻止安全事件的继续扩散或进一步影响,阻断攻击者的进一步入侵或数据泄露,例如安全事件库威胁等级属于严重的安全事件。
拦截:安全事件发生时,及时捕捉并分析事件的相关信息。使用检测模型,匹配威胁安全事件,拦截并及时报警或采取措施进行进一步分析和响应。
记录:安全事件发生时,对事件的关键信息进行记录和日志记录。这些信息可以用于事后的安全分析、溯源、取证和改进,默认开启记录功能。
本发明还提供一种用于实现上述实施例及其任意实施方式或示例中所提供的基于深度学习的安全事件处理的方法的系统。该系统可以集成于单个装置或设备中,也可以分散部署于不同装置或设备。
如图3所示,该系统包括:
接收模块31,用于接收网络流量数据;
检测模块32,用于采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
处置模块33,用于检测模块检测到安全事件时,根据预设处理策略对安全事件进行处置。
优选的,该系统还包括:
训练模块34,用于对安全事件检测模型进行训练,包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
优选的,安全事件检测模型包括输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
优选的,检测模块32用于:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
优选的,处置模块33用于:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
本发明基于递归神经网络RNN深度学习算法构建安全事件检测模型,能够利用该安全事件检测模型能够有效提高网络安全威胁的检测和处置效率,实现网络环境下的安全保障。该方法适用于各种类型的网络环境,可广泛应用于网络安全领域,并有望在实际应用中取得良好的效果。
最后需要指出的是:以上实施例仅用以说明本发明的技术方案,而非对其限制。本领域的普通技术人员应当理解:可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于深度学习的安全事件处理的方法,其特征在于,包括:
步骤一,接收网络流量数据;
步骤二,采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
步骤三,若检测到安全事件,根据预设处理策略对安全事件进行处置。
2.根据权利要求1所述的方法,其特征在于,包括:对安全事件检测模型进行训练包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
3.根据权利要求2所述的方法,其特征在于,安全事件检测模型包括三层结构:输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
4.根据权利要求1-3中任一项所述的方法,其特征在于,步骤二包括:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
5.根据权利要求4所述的方法,其特征在于,步骤三包括:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
6.一种基于深度学习的安全事件处理的系统,其特征在于,包括:
接收模块,用于接收网络流量数据;
检测模块,用于采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源IP地址、目标IP地址、URL、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络RNN深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
处置模块,用于检测模块检测到安全事件时,根据预设处理策略对安全事件进行处置。
7.根据权利要求6所述的系统,其特征在于,还包括:
训练模块,用于对安全事件检测模型进行训练,包括:
标记训练用网络流量数据中的异常网络数据;
训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
8.根据权利要求7所述的系统,其特征在于,安全事件检测模型包括输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
9.根据权利要求6-8中任一项所述的系统,其特征在于,检测模块用于:
将网络流量数据的属性与安全事件库中的事件特征进行匹配;
若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
10.根据权利要求9所述的系统,其特征在于,处置模块用于:
对于已知安全事件,进行阻拦或拦截处理;
对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311623931.2A CN117544386A (zh) | 2023-11-30 | 2023-11-30 | 基于深度学习的安全事件处理的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311623931.2A CN117544386A (zh) | 2023-11-30 | 2023-11-30 | 基于深度学习的安全事件处理的方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117544386A true CN117544386A (zh) | 2024-02-09 |
Family
ID=89785885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311623931.2A Pending CN117544386A (zh) | 2023-11-30 | 2023-11-30 | 基于深度学习的安全事件处理的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117544386A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117749535A (zh) * | 2024-02-21 | 2024-03-22 | 金数信息科技(苏州)有限公司 | 一种网络流量异常检测方法及装置 |
-
2023
- 2023-11-30 CN CN202311623931.2A patent/CN117544386A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117749535A (zh) * | 2024-02-21 | 2024-03-22 | 金数信息科技(苏州)有限公司 | 一种网络流量异常检测方法及装置 |
| CN117749535B (zh) * | 2024-02-21 | 2024-05-07 | 金数信息科技(苏州)有限公司 | 一种网络流量异常检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Khraisat et al. | Survey of intrusion detection systems: techniques, datasets and challenges | |
| Radford et al. | Network traffic anomaly detection using recurrent neural networks | |
| Lee et al. | An effective security measures for nuclear power plant using big data analysis approach | |
| AU2020102142A4 (en) | Technique for multilayer protection from quantifiable vulnerabilities in industrial cyber physical system | |
| Mustafa et al. | Multitask learning for security and privacy in IoV (Internet of Vehicles) | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| CN117544386A (zh) | 基于深度学习的安全事件处理的方法和系统 | |
| Masarat et al. | A novel framework, based on fuzzy ensemble of classifiers for intrusion detection systems | |
| Jabbar et al. | Intrusion detection system using bayesian network and feature subset selection | |
| David et al. | Zero day attack prediction with parameter setting using Bi direction recurrent neural network in cyber security | |
| Nagar et al. | Novel approach of intrusion detection classification deeplearning using SVM | |
| Juneja et al. | Artificial intelligence and cybersecurity: current trends and future prospects | |
| Tudosi et al. | Distributed Firewall Traffic Filtering and Intrusion Detection Using Snort on pfSense Firewalls with Random Forest Classification | |
| Agrawal et al. | A SURVEY ON ATTACKS AND APPROACHES OF INTRUSION DETECTION SYSTEMS. | |
| CN116545738A (zh) | Apt攻击处理方法、系统、电子设备及可读存储介质 | |
| Sekhar | Deep learning algorithms for intrusion detection systems: extensive comparison analysis | |
| Nagle et al. | Feature Extraction Based Classification Technique for Intrusion Detection System | |
| Hamdan et al. | A Two-Tier Anomaly-based Intrusion Detection Approach for IoT-Enabled Smart Cities | |
| Prajapati et al. | Network intrusion detection using machine learning | |
| Badde et al. | Cyber attack detection framework for cloud computing | |
| Rani | A Perspective for Intrusion Detection & Prevention in Cloud Environment | |
| Gurbani Kaur | Classification of Intrusion using Artificial Neural Network with GWO | |
| Wang et al. | Cyber Threat Analysis and Trustworthy Artificial Intelligence | |
| Bhandari et al. | AINIS: An Intelligent Network Intrusion System. | |
| Hussain et al. | From Machine Learning Based Intrusion Detection to Cost Sensitive Intrusion Response |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |