CN117579384B - 基于实战化的网络安全运营与指挥系统 - Google Patents
基于实战化的网络安全运营与指挥系统 Download PDFInfo
- Publication number
- CN117579384B CN117579384B CN202410056770.1A CN202410056770A CN117579384B CN 117579384 B CN117579384 B CN 117579384B CN 202410056770 A CN202410056770 A CN 202410056770A CN 117579384 B CN117579384 B CN 117579384B
- Authority
- CN
- China
- Prior art keywords
- network
- attack
- training
- real
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012549 training Methods 0.000 claims abstract description 100
- 239000013598 vector Substances 0.000 claims abstract description 50
- 230000002159 abnormal effect Effects 0.000 claims abstract description 24
- 238000013480 data collection Methods 0.000 claims abstract description 9
- 238000012216 screening Methods 0.000 claims description 44
- 238000000034 method Methods 0.000 claims description 43
- 238000012544 monitoring process Methods 0.000 claims description 26
- 230000015654 memory Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 238000007789 sealing Methods 0.000 description 2
- ORILYTVJVMAKLC-UHFFFAOYSA-N Adamantane Natural products C1C(C2)CC3CC1CC2C3 ORILYTVJVMAKLC-UHFFFAOYSA-N 0.000 description 1
- 241000408659 Darpa Species 0.000 description 1
- 206010033799 Paralysis Diseases 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011478 gradient descent method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2411—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/27—Regression, e.g. linear or logistic regression
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/092—Reinforcement learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于实战化的网络安全运营与指挥系统,涉及网络端口安全控制技术领域,通过设置训练数据收集模块预先收集训练样本数据,设置攻击识别模型训练模块训练识别网络攻击类型的攻击识别模型,设置规则引擎初筛模块使用预设的初筛选规则判断是否存在网络攻击的异常表现;若存在网络攻击,收集实时流量特征向量,设置实时流量判别模块识别所受到的网络攻击类型,设置端口流量控制模块根据待保护服务器所受到的网络攻击类型,使用Actor‑Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练;避免了过度调整导致的服务器性能下降,和调整不足导致的服务器遭受网络攻击的问题。
Description
技术领域
本发明涉及网络端口安全控制技术领域,具体是基于实战化的网络安全运营与指挥系统。
背景技术
网络端口是计算机和网络设备上的软件程序用于接收和发送数据的接口。每个网络端口都有一个唯一的端口号,用于标识特定的应用程序或服务。例如,HTTP协议通常使用80端口,HTTPS协议通常使用443端口。
然而,网络端口也是网络攻击的主要目标。许多常见的网络攻击,如、端口扫描、僵尸网络攻击等,都是通过攻击或扫描网络端口来实施的。例如,DDoS攻击通常会利用大量的僵尸网络对目标系统的特定端口进行洪水般的请求,从而导致目标系统瘫痪;
因此,为了防止网络攻击,我们需要对网络端口的流量进行监控和管理,例如可以使用流量控制技术,如限流器或令牌桶算法,来限制特定网络端口的流量。这可以防止网络攻击导致的流量激增,从而保护我们的网络系统和应用程序;
而目前对网络端口的流量限制程度一般是采用固定比例的,例如直接关闭某个网络端口,从而限制所有流量均无法流入,然而这种方法缺乏灵活性,往往会导致过度封闭或封闭不足的问题;
申请公开号为CN114363053A的中国发明公开了一种攻击识别方法,包括:对目标IP的预设端口进行信息采集,获得所述预设端口对应的特征信息;其中,所述特征信息包括C2服务器行为特征;根据所述特征信息确定所述目标IP对应的网络设备是否存在网络攻击。应用本申请所提供的技术方案,直接基于网络设备的网络端口进行特征信息采集,进而实现网络攻击识别,然而该方法仅能识别网络攻击,却不能进一步的对网络端口流量进行自适应限制;
为此,本发明提出基于实战化的网络安全运营与指挥系统。
发明内容
本发明旨在至少解决现有技术中存在的技术问题之一。为此,本发明提出基于实战化的网络安全运营与指挥系统,该基于实战化的网络安全运营与指挥系统动态的调整对网络端口的流量筛选机制,避免了过度调整导致的服务器性能下降,和调整不足导致的服务器遭受网络攻击的问题。
为实现上述目的,提出基于实战化的网络安全运营与指挥系统,包括训练数据收集模块、攻击识别模型训练模块、规则引擎初筛模块、实时流量判别模块以及端口流量控制模块;其中,各个模块之间通过电性方式连接;
训练数据收集模块,用于预先收集训练攻击识别模型所需要的训练样本数据;
所述预先收集训练攻击识别模型所需要的训练样本数据的方式为:
收集各个已知网络攻击类型的流量训练样本数据和网络攻击类型标签数据;
所述流量训练样本数据包括N组流量特征向量,N为选择的流量特征向量的条数;
所述流量特征向量的收集方式为:
每隔预设的监测时长,收集一次服务器中各个网络端口所接收到的数据包,并统计该段监测时长内的各项流量特征,该段监测时长内的各项流量特征组成一组流量特征向量;
所述网络攻击类型标签数据包括每组流量特征向量对应的攻击类型标签;
所述训练数据收集模块将训练样本数据发送至攻击识别模型训练模块;
攻击识别模型训练模块,用于基于训练样本数据训练识别网络攻击类型的攻击识别模型;
所述基于训练样本数据训练识别网络攻击类型的攻击识别模型的方式为:
将流量训练样本数据中,每组流量特征向量作为攻击识别模型的输入,所述攻击识别模型以对每组流量特征向量对应的攻击类型标签预测值作为输出,以网络攻击类型标签数据中的每组流量特征向量对应的攻击类型标签作为预测目标,以攻击类型标签预测值和攻击类型标签之间的差值作为预测误差,以最小化预测误差之和作为训练目标;对攻击识别模型进行训练,直至预测误差之和达到收敛时停止训练;
所述攻击识别模型训练模块将训练完成的攻击识别模型发送至实时流量判别模块;
规则引擎初筛模块,用于对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现;
所述对待保护服务器所接收到的实时流量使用预设的初筛选规则集合判断是否存在网络攻击的异常表现的方式为:
预先设置初筛选规则集合,所述初筛选规则集合包括K个初筛选规则,每个初筛选规则对应一个流量特征的范围或任意数量的流量特征的范围组合;K为选择的初筛选规则的数量;
每隔预设的监测时长,统计最近监测时长内各项流量特征的值,并根据各项流量特征的值判断初筛选规则集合中的每条初筛选规则是否满足,若存在任意一条初筛选规则不满足,则判断为存在网络攻击的异常表现,并将最近监测时长内各项流量特征的值组成实时流量特征向量发送至实时流量判别模块;
实时流量判别模块,用于基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;
所述识别出待保护服务器所受到的网络攻击类型的方法为:
在待保护服务器后台载入训练完成的攻击识别模型;
将实时流量特征向量输入至攻击识别模型中,获得攻击识别模型输出的攻击类型标签预测值,将输出的攻击类型标签预测值对应的网络攻击类型作为待保护服务器所受到的网络攻击类型;
所述实时流量判别模块将待保护服务器所受到的网络攻击类型发送至端口流量控制模块中;
端口流量控制模块,用于根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率;
所述使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练的方式为:
初始化Actor网络和Critic网络的网络参数;
在接收到实时流量判别模块发送的待保护服务器所受到的网络攻击类型时,执行以下步骤:
步骤11:将最近监测时长内的各项流量特征作为当前状态;
步骤12:Actor网络输出待保护服务器的端口流量丢弃率;
以下一个监测时长内的各项流量特征作为下一个状态;
步骤13:计算实际的奖励值Q;所述实际的奖励值Q为每次在对端口流量丢弃率进行调整后,根据服务器的表现而计算出的奖励;
所述实际的奖励值Q的计算方式为:
将网络攻击类型的类型的编号标记为i;
将端口流量丢弃率标记为X;
则实际的奖励值Q的计算公式为;其中ai、bi和ci分别为预设的对应第i种网络攻击类型的比例系数;
其中,,其中,e为自然常数,p为攻击识别模型输出的攻击类型标签预测值的准确度;
其中,Q2为网络服务的可用度;Q3为系统性能的调整幅度;
步骤14:使用Critic网络的更新公式更新奖励值函数的值,以调整对决策结果的实际奖励值Q的估计;
步骤15:使用Actor网络的更新公式更新Actor网络的参数,以提高在给定状态下选择高奖励决策结果的概率。
提出基于实战化的网络安全运营与指挥方法,包括以下步骤:
步骤一:预先收集训练攻击识别模型所需要的训练样本数据;
步骤二:基于训练样本数据训练识别网络攻击类型的攻击识别模型;
步骤三:对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现,在判断为网络攻击的异常表现时,收集实时流量特征向量,并转至步骤四;
步骤四:基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;
步骤五:根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率。
根据本发明的实施例3提出的一种电子设备,包括:处理器和存储器,其中,所述存储器中存储有可供处理器调用的计算机程序;
所述处理器通过调用所述存储器中存储的计算机程序,执行上述的基于实战化的网络安全运营与指挥方法。
根据本发明的实施例4提出的一种计算机可读存储介质,其上存储有可擦写的计算机程序;
当所述计算机程序在计算机设备上运行时,使得所述计算机设备执行上述的基于实战化的网络安全运营与指挥方法。
与现有技术相比,本发明的有益效果是:
本发明通过预先收集训练攻击识别模型所需要的训练样本数据,基于训练样本数据训练识别网络攻击类型的攻击识别模型,对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现,在判断为网络攻击的异常表现时,收集实时流量特征向量,基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型,根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率。通过训练攻击识别模型对监测时长内的网络流量特征进行网络攻击类型的识别,在判断出现网络攻击时,基于网络攻击类型,使用深度强化学习模型来自适应输出端口流量丢弃率,从而动态的调整对网络端口的流量筛选机制,避免了过度调整导致的服务器性能下降,和调整不足导致的服务器遭受网络攻击。
附图说明
图1为本发明的实施例1中基于实战化的网络安全运营与指挥系统的模块连接关系图;
图2为本发明的实施例2中基于实战化的网络安全运营与指挥方法的流程图;
图3为本发明实施例3中的电子设备结构示意图;
图4为本发明实施例4中的计算机可读存储介质结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1
如图1所示,基于实战化的网络安全运营与指挥系统,包括训练数据收集模块、攻击识别模型训练模块、规则引擎初筛模块、实时流量判别模块以及端口流量控制模块;其中,各个模块之间通过电性方式连接;
其中,所述训练数据收集模块主要用于预先收集训练攻击识别模型所需要的训练样本数据;
在一个优选的实施例中,所述预先收集训练攻击识别模型所需要的训练样本数据的方式为:
收集各个已知网络攻击类型的流量训练样本数据和网络攻击类型标签数据;具体的,所述已知网络攻击类型包括对网络端口进行攻击的攻击类型,包括但不限于DDos攻击、端口扫描、僵尸网络攻击、异常协议或书包攻击等;
所述流量训练样本数据包括N组流量特征向量,N为选择的流量特征向量的条数;
所述流量特征向量的收集方式为:
每隔预设的监测时长,收集一次服务器中各个网络端口所接收到的数据包,并统计该段监测时长内的各项流量特征,该段监测时长内的各项流量特征组成一组流量特征向量;
所述流量特征包括但不限于网络流量、连接数、连接频率、端口状态分布、源IP地址分布、异常连接数量、非法协议数据包占比、非法格式数据包占比、登录尝试频率以及登录失败次数等;其中,网络流量为入站和出站网络流量的数据,包括带宽使用情况和流量的频率;连接数为连接到服务器的数量;连接频率为连接到各个网络端口的频率的最大值或平均值;端口状态分布为开启的网络端口数量;异常连接数量为短暂而频繁的连接数量;
所述网络攻击类型标签数据包括每组流量特征向量对应的攻击类型标签;具体的,每种网络攻击类型对应一个正整数标签,例如,DDos攻击可以使用1作为攻击类型标签;
而流量训练样本数据可以是从网络收集的现有的入侵数据集,例如DARPA入侵检测数据集、Honeynet数据集等,也可以是在实际网络攻击对抗过程中所积累的历史数据;
所述训练数据收集模块将训练样本数据发送至攻击识别模型训练模块;
其中,所述攻击识别模型训练模块主要用于基于训练样本数据训练识别网络攻击类型的攻击识别模型;
在一个优选的实施例中,所述基于训练样本数据训练识别网络攻击类型的攻击识别模型的方式为:
将流量训练样本数据中,每组流量特征向量作为攻击识别模型的输入,所述攻击识别模型以对每组流量特征向量对应的攻击类型标签预测值作为输出,以网络攻击类型标签数据中的每组流量特征向量对应的攻击类型标签作为预测目标,以攻击类型标签预测值和攻击类型标签之间的差值作为预测误差,以最小化预测误差之和作为训练目标;对攻击识别模型进行训练,直至预测误差之和达到收敛时停止训练,训练出根据流量特征向量,输出预测服务器接收到的流量所对应的网络攻击类型的攻击识别模型;所述攻击识别模型是多项式回归模型或SVR模型中的任意一个;所述预测误差之和是均方误差;
所述攻击识别模型训练模块将训练完成的攻击识别模型发送至实时流量判别模块;
其中,所述规则引擎初筛模块主要用于对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现;
在一个优选的实施例中,所述对待保护服务器所接收到的实时流量使用预设的初筛选规则集合判断是否存在网络攻击的异常表现的方式为:
预先设置初筛选规则集合,所述初筛选规则集合包括K个初筛选规则,每个初筛选规则对应一个流量特征的范围或任意数量的流量特征的范围组合;例如,一个初筛选规则可以是网络流量中带宽占比范围为0%-80%,另一个初筛选规则可以是非法协议数据包占比的范围为0-5%,且非法格式数据包占比的范围为0-5%;K为选择的初筛选规则的数量;
每隔预设的监测时长,统计最近监测时长内各项流量特征的值,并根据各项流量特征的值判断初筛选规则集合中的每条初筛选规则是否满足,若存在任意一条初筛选规则不满足,则判断为存在网络攻击的异常表现,并将最近监测时长内各项流量特征的值组成实时流量特征向量发送至实时流量判别模块;若所有初筛选规则均满足,则不做处理;
进一步的,所述实时流量判别模块主要用于基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;
在一个优选的实施例中,所述基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型的方法为:
在待保护服务器后台载入训练完成的攻击识别模型;
将实时流量特征向量输入至攻击识别模型中,获得攻击识别模型输出的攻击类型标签预测值,将输出的攻击类型标签预测值对应的网络攻击类型作为待保护服务器所受到的网络攻击类型;
所述实时流量判别模块将待保护服务器所受到的网络攻击类型发送至端口流量控制模块中;
其中,所述端口流量控制模块主要用于根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率;
在一个优选的实施例中,所述使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练的方式为:
初始化Actor网络和Critic网络的网络参数;网络参数包括但不限于Actor网络的状态输入层的维度、隐藏层数量和大小、动作输出层的维度、Critic网络的状态输入层的维度、隐藏层的数量和大小和奖励值函数输出层的维度、学习率、折扣因子以及网络优化算法(梯度下降法或Adam优化算法等);
在接收到实时流量判别模块发送的待保护服务器所受到的网络攻击类型时,执行以下步骤:
步骤11:将最近监测时长内的各项流量特征作为当前状态;
步骤12:Actor网络输出待保护服务器的端口流量丢弃率;需要说明的是,所述端口流量丢弃率是指服务器对接下来的各个网络端口接收到的数据包的丢弃概率,通过对数据包进行概率丢弃来降低网络攻击对服务器的安全风险;
以下一个监测时长内的各项流量特征作为下一个状态;
步骤13:计算实际的奖励值Q;所述实际的奖励值Q为每次在对端口流量丢弃率进行调整后,根据服务器的表现而计算出的奖励;
具体的,所述实际的奖励值Q的计算方式为:
将网络攻击类型的类型的编号标记为i;
将端口流量丢弃率标记为X;
则实际的奖励值Q的计算公式为;其中ai、bi和ci分别为预设的对应第i种网络攻击类型的比例系数,需要说明的是,对不同网络攻击类型所采用的比例系数不同的原因在于不同网络攻击的风险不同,对服务器的影响也有所不同;
其中,,其中,e为自然常数,p为攻击识别模型输出的攻击类型标签预测值的准确度;所述攻击类型标签预测值的准确性可以通过人工复盘当前监测时长内的网络日志判断,也可以通过对网络日志使用人工智能模型进行自动判断,对网络日志使用人工智能模型进行自动判断的方式为本领域的常规技术手段,本发明在此不再赘述;显然,当攻击类型标签预测值的准确度越高时,/>越小,从而为了获得更高的奖励值Q,需要提高端口流量丢弃率X;
其中,Q2为网络服务的可用度;所述网络服务的可用度可以统计经过调整端口流量丢弃率后,待保护服务器中各个可用网络端口占所有网络端口的比例获得,也可以是经过调整端口流量丢弃率后的网络带宽占比;
其中,Q3为系统性能的调整幅度,所述系统性能的调整幅度可以统计经过调整端口流量丢弃率后,待保护服务器中各项可用网络服务占所有网络服务的比例;具体的,网络服务的可用度和系统性能的调整幅度需要根据待保护服务器的具体功能和服务,并基于实际经验来进行实际设计,本发明在此不再赘述;
步骤14:使用Critic网络的更新公式更新奖励值函数的值,以调整对决策结果的实际奖励值Q的估计;需要说明的是,所述更新公式可以为本领域技术人员的常用更新公式,例如:,其中,/>是当前状态a的奖励值函数估计;/>是学习率,控制更新的步长;/>是折扣因子,用于衡量未来奖励的重要性;/>是下一个状态;
步骤15:使用Actor网络的更新公式更新Actor网络的参数,以提高在给定状态下选择高奖励决策结果的概率。
实施例2
如图2所示,基于实战化的网络安全运营与指挥方法,包括以下步骤:
步骤一:预先收集训练攻击识别模型所需要的训练样本数据;
步骤二:基于训练样本数据训练识别网络攻击类型的攻击识别模型;
步骤三:对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现,在判断为网络攻击的异常表现时,收集实时流量特征向量,并转至步骤四;
步骤四:基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;
步骤五:根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率。
实施例3
图3是本申请一个实施例提供的电子设备结构示意图。如图3所示,根据本申请的又一方面还提供了一种电子设备100。该电子设备100可包括一个或多个处理器以及一个或多个存储器。其中,存储器中存储有计算机可读代码,当计算机可读代码由一个或多个处理器运行时,可以执行如上所述的基于实战化的网络安全运营与指挥方法。
根据本申请实施方式的方法或装置也可以借助于图3所示的电子设备的架构来实现。如图3所示,电子设备100可包括总线101、一个或多个CPU102、只读存储器(ROM)103、随机存取存储器(RAM)104、连接到网络的通信端口105、输入/输出组件106、硬盘107等。电子设备100中的存储设备,例如ROM103或硬盘107可存储本申请提供的基于实战化的网络安全运营与指挥方法。基于实战化的网络安全运营与指挥方法可例如包括以下步骤:步骤一:预先收集训练攻击识别模型所需要的训练样本数据;步骤二:基于训练样本数据训练识别网络攻击类型的攻击识别模型;步骤三:对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现,在判断为网络攻击的异常表现时,收集实时流量特征向量,并转至步骤四;步骤四:基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;步骤五:根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率;
进一步地,电子设备100还可包括用户界面108。当然,图3所示的架构只是示例性的,在实现不同的设备时,根据实际需要,可以省略图3示出的电子设备中的一个或多个组件。
实施例4
图4是本申请一个实施例提供的计算机可读存储介质结构示意图。如图4所示,是根据本申请一个实施方式的计算机可读存储介质200。计算机可读存储介质200上存储有计算机可读指令。当计算机可读指令由处理器运行时,可执行参照以上附图描述的根据本申请实施方式的基于实战化的网络安全运营与指挥方法。计算机可读存储介质200包括但不限于例如易失性存储器和/或非易失性存储器。易失性存储器例如可包括随机存取存储器(RAM)和高速缓冲存储器(cache)等。非易失性存储器例如可包括只读存储器(ROM)、硬盘、闪存等。
另外,根据本申请的实施方式,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请提供了一种非暂时性机器可读存储介质,所述非暂时性机器可读存储介质存储有机器可读指令,所述机器可读指令能够由处理器运行以执行与本申请提供的方法步骤对应的指令,在该计算机程序被中央处理单元(CPU)执行时,执行本申请的方法中限定的上述功能。
可能以许多方式来实现本申请的方法和装置、设备。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本申请的方法和装置、设备。用于方法的步骤的上述顺序仅是为了进行说明,本申请的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本申请实施为记录在记录介质中的程序,这些程序包括用于实现根据本申请的方法的机器可读指令。因而,本申请还覆盖存储用于执行根据本申请的方法的程序的记录介质。
另外,本申请的实施方式中提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
如上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明。应理解的是,以上所述仅为本发明的具体实施方式,并不用于限制本发明。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等均应包含在本发明的保护范围之内。
以上的预设的参数或预设的阈值均由本领域的技术人员根据实际情况设定或者大量数据模拟获得。
以上实施例仅用以说明本发明的技术方法而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方法进行修改或等同替换,而不脱离本发明技术方法的精神和范围。
Claims (9)
1.基于实战化的网络安全运营与指挥系统,其特征在于,包括训练数据收集模块、攻击识别模型训练模块、规则引擎初筛模块、实时流量判别模块以及端口流量控制模块;其中,各个模块之间通过电性方式连接;
训练数据收集模块,用于预先收集训练攻击识别模型所需要的训练样本数据,并将训练样本数据发送至攻击识别模型训练模块;
攻击识别模型训练模块,用于基于训练样本数据训练识别网络攻击类型的攻击识别模型,并将训练完成的攻击识别模型发送至实时流量判别模块;
规则引擎初筛模块,用于对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现;在存在网络攻击的异常表现时,收集实时流量特征向量,并将实时流量特征向量发送至实时流量判别模块;
实时流量判别模块,用于基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型,并将待保护服务器所受到的网络攻击类型发送至端口流量控制模块中;
端口流量控制模块,用于根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率;
所述使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练的方式为:
初始化Actor网络和Critic网络的网络参数;
在接收到实时流量判别模块发送的待保护服务器所受到的网络攻击类型时,执行以下步骤:
步骤11:将最近监测时长内的各项流量特征作为当前状态;
步骤12:Actor网络输出待保护服务器的端口流量丢弃率;
以下一个监测时长内的各项流量特征作为下一个状态;
步骤13:计算实际的奖励值Q;所述实际的奖励值Q为每次在对端口流量丢弃率进行调整后,根据服务器的表现而计算出的奖励;
步骤14:使用Critic网络的更新公式更新奖励值函数的值,以调整对决策结果的实际奖励值Q的估计;
步骤15:使用Actor网络的更新公式更新Actor网络的参数,以提高在给定状态下选择高奖励决策结果的概率。
2.根据权利要求1所述的基于实战化的网络安全运营与指挥系统,其特征在于,所述预先收集训练攻击识别模型所需要的训练样本数据的方式为:
收集各个已知网络攻击类型的流量训练样本数据和网络攻击类型标签数据;
所述流量训练样本数据包括N组流量特征向量,N为选择的流量特征向量的条数;
所述流量特征向量的收集方式为:
每隔预设的监测时长,收集一次服务器中各个网络端口所接收到的数据包,并统计该段监测时长内的各项流量特征,该段监测时长内的各项流量特征组成一组流量特征向量;
所述网络攻击类型标签数据包括每组流量特征向量对应的攻击类型标签。
3.根据权利要求2所述的基于实战化的网络安全运营与指挥系统,其特征在于,所述基于训练样本数据训练识别网络攻击类型的攻击识别模型的方式为:
将流量训练样本数据中,每组流量特征向量作为攻击识别模型的输入,所述攻击识别模型以对每组流量特征向量对应的攻击类型标签预测值作为输出,以网络攻击类型标签数据中的每组流量特征向量对应的攻击类型标签作为预测目标,以攻击类型标签预测值和攻击类型标签之间的差值作为预测误差,以最小化预测误差之和作为训练目标;对攻击识别模型进行训练,直至预测误差之和达到收敛时停止训练。
4.根据权利要求3所述的基于实战化的网络安全运营与指挥系统,其特征在于,所述对待保护服务器所接收到的实时流量使用预设的初筛选规则集合判断是否存在网络攻击的异常表现的方式为:
预先设置初筛选规则集合,所述初筛选规则集合包括K个初筛选规则,每个初筛选规则对应一个流量特征的范围或任意数量的流量特征的范围组合;K为选择的初筛选规则的数量;
每隔预设的监测时长,统计最近监测时长内各项流量特征的值,并根据各项流量特征的值判断初筛选规则集合中的每条初筛选规则是否满足,若存在任意一条初筛选规则不满足,则判断为存在网络攻击的异常表现,并将最近监测时长内各项流量特征的值组成实时流量特征向量。
5.根据权利要求4所述的基于实战化的网络安全运营与指挥系统,其特征在于,所述识别出待保护服务器所受到的网络攻击类型的方法为:
在待保护服务器后台载入训练完成的攻击识别模型;
将实时流量特征向量输入至攻击识别模型中,获得攻击识别模型输出的攻击类型标签预测值,将输出的攻击类型标签预测值对应的网络攻击类型作为待保护服务器所受到的网络攻击类型。
6.根据权利要求1所述的基于实战化的网络安全运营与指挥系统,其特征在于,所述实际的奖励值Q的计算方式为:
将网络攻击类型的类型的编号标记为i;
将端口流量丢弃率标记为X;
则实际的奖励值Q的计算公式为;其中ai、bi和ci分别为预设的对应第i种网络攻击类型的比例系数;
其中,,其中,e为自然常数,p为攻击识别模型输出的攻击类型标签预测值的准确度;
其中,Q2为网络服务的可用度;Q3为系统性能的调整幅度。
7.基于实战化的网络安全运营与指挥方法,其基于权利要求1-6中任意一项所述的基于实战化的网络安全运营与指挥系统实现,其特征在于,包括以下步骤:
步骤一:预先收集训练攻击识别模型所需要的训练样本数据;
步骤二:基于训练样本数据训练识别网络攻击类型的攻击识别模型;
步骤三:对待保护服务器所接收到的实时流量使用预设的初筛选规则判断是否存在网络攻击的异常表现,在判断为网络攻击的异常表现时,收集实时流量特征向量,并基于实时流量特征向量和攻击识别模型,识别出待保护服务器所受到的网络攻击类型;
步骤四:根据待保护服务器所受到的网络攻击类型,使用Actor-Critic网络模型中的Actor网络输出端口流量丢弃率,并对Critic网络模型进行训练,以优化Actor网络输出端口流量丢弃率。
8.一种电子设备,其特征在于,包括:处理器和存储器,其中,
所述存储器中存储有可供处理器调用的计算机程序;
所述处理器通过调用所述存储器中存储的计算机程序,在后台中执行权利要求7所述的基于实战化的网络安全运营与指挥方法。
9.一种计算机可读存储介质,其特征在于,其上存储有可擦写的计算机程序;
当所述计算机程序在计算机设备上运行时,使得所述计算机设备执行权利要求7所述的基于实战化的网络安全运营与指挥方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410056770.1A CN117579384B (zh) | 2024-01-16 | 2024-01-16 | 基于实战化的网络安全运营与指挥系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410056770.1A CN117579384B (zh) | 2024-01-16 | 2024-01-16 | 基于实战化的网络安全运营与指挥系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117579384A CN117579384A (zh) | 2024-02-20 |
| CN117579384B true CN117579384B (zh) | 2024-03-29 |
Family
ID=89862716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410056770.1A Active CN117579384B (zh) | 2024-01-16 | 2024-01-16 | 基于实战化的网络安全运营与指挥系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117579384B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404911A (zh) * | 2020-03-11 | 2020-07-10 | 国网新疆电力有限公司电力科学研究院 | 一种网络攻击检测方法、装置及电子设备 |
| CN114513340A (zh) * | 2022-01-21 | 2022-05-17 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
| CN114866291A (zh) * | 2022-04-18 | 2022-08-05 | 浙江大学 | SDN下基于深度强化学习的DDoS防御系统及方法 |
| CN115802358A (zh) * | 2022-09-27 | 2023-03-14 | 东华大学 | 一种基于强化学习的多步DDoS预测中毒攻击及其防御方法 |
| CN115883152A (zh) * | 2022-11-23 | 2023-03-31 | 杭州安恒信息技术股份有限公司 | 基于联邦学习的网络流量攻击检测方法、系统及存储介质 |
| CN116248346A (zh) * | 2022-12-28 | 2023-06-09 | 齐鲁工业大学 | 面向智慧城市的cps网络安全态势感知建立方法和系统 |
| CN116723058A (zh) * | 2023-08-10 | 2023-09-08 | 井芯微电子技术(天津)有限公司 | 网络攻击检测和防护方法和装置 |
| CN117336033A (zh) * | 2023-09-21 | 2024-01-02 | 苏州元脑智能科技有限公司 | 流量的拦截方法、装置、存储介质及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230049886A1 (en) * | 2021-08-16 | 2023-02-16 | Hewlett Packard Enterprise Development Lp | IoT MALWARE CLASSIFICATION AT A NETWORK DEVICE |
-
2024
- 2024-01-16 CN CN202410056770.1A patent/CN117579384B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404911A (zh) * | 2020-03-11 | 2020-07-10 | 国网新疆电力有限公司电力科学研究院 | 一种网络攻击检测方法、装置及电子设备 |
| CN114513340A (zh) * | 2022-01-21 | 2022-05-17 | 华中科技大学 | 一种软件定义网络中的两级DDoS攻击检测与防御方法 |
| CN114866291A (zh) * | 2022-04-18 | 2022-08-05 | 浙江大学 | SDN下基于深度强化学习的DDoS防御系统及方法 |
| CN115802358A (zh) * | 2022-09-27 | 2023-03-14 | 东华大学 | 一种基于强化学习的多步DDoS预测中毒攻击及其防御方法 |
| CN115883152A (zh) * | 2022-11-23 | 2023-03-31 | 杭州安恒信息技术股份有限公司 | 基于联邦学习的网络流量攻击检测方法、系统及存储介质 |
| CN116248346A (zh) * | 2022-12-28 | 2023-06-09 | 齐鲁工业大学 | 面向智慧城市的cps网络安全态势感知建立方法和系统 |
| CN116723058A (zh) * | 2023-08-10 | 2023-09-08 | 井芯微电子技术(天津)有限公司 | 网络攻击检测和防护方法和装置 |
| CN117336033A (zh) * | 2023-09-21 | 2024-01-02 | 苏州元脑智能科技有限公司 | 流量的拦截方法、装置、存储介质及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 李小剑 ; 谢晓尧 ; 徐洋 ; .网络流量异常检测方法:SSAE-IWELM-AdaBoost.武汉大学学报(理学版).(02),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117579384A (zh) | 2024-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11201882B2 (en) | Detection of malicious network activity | |
| US10044751B2 (en) | Using recurrent neural networks to defeat DNS denial of service attacks | |
| KR102135024B1 (ko) | IoT 디바이스에 대한 사이버 공격의 종류를 식별하는 방법 및 그 장치 | |
| Blazek et al. | A novel approach to detection of “denial–of–service” attacks via adaptive sequential and batch–sequential change–point detection methods | |
| AU2011305214B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| CN109194684B (zh) | 一种模拟拒绝服务攻击的方法、装置及计算设备 | |
| CN109587156B (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| CN113067804B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| US20130269033A1 (en) | Method and system for classifying traffic | |
| CN114465962B (zh) | 一种数据流类型识别方法及相关设备 | |
| WO2005048022A2 (en) | Method and system for addressing intrusion attacks on a computer system | |
| US10931706B2 (en) | System and method for detecting and identifying a cyber-attack on a network | |
| Grechishnikov et al. | Algorithmic model of functioning of the system to detect and counter cyber attacks on virtual private network | |
| CN115396204A (zh) | 一种基于序列预测的工控网络流量异常检测方法及装置 | |
| CN113452676A (zh) | 一种检测器分配方法和物联网检测系统 | |
| US20190124094A1 (en) | Active prioritization of investigation targets in network security | |
| CN115706671A (zh) | 网络安全防御方法、装置以及存储介质 | |
| CN117579384B (zh) | 基于实战化的网络安全运营与指挥系统 | |
| EP2112800B1 (en) | Method and system for enhanced recognition of attacks to computer systems | |
| KR102354094B1 (ko) | 머신러닝 기반 보안관제 장치 및 방법 | |
| US8904533B2 (en) | Determining heavy distinct hitters in a data stream | |
| CN111669411B (zh) | 一种工控设备异常检测方法及系统 | |
| KR20200014139A (ko) | 이종 사물인터넷(H-IoT) 네트워크 상에서 분산 서비스 거부 공격으로부터의 방어방법 및 그 시스템 | |
| CN114866310A (zh) | 一种恶意加密流量检测方法、终端设备及存储介质 | |
| EP3910889A1 (en) | Communication terminal device, communication control method, and communication control program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |