CN117650949B - 一种基于rpa机器人数据分析的网络攻击拦截方法及系统 - Google Patents

一种基于rpa机器人数据分析的网络攻击拦截方法及系统 Download PDF

Info

Publication number
CN117650949B
CN117650949B CN202410121465.6A CN202410121465A CN117650949B CN 117650949 B CN117650949 B CN 117650949B CN 202410121465 A CN202410121465 A CN 202410121465A CN 117650949 B CN117650949 B CN 117650949B
Authority
CN
China
Prior art keywords
network
attack
rpa robot
interception
network attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410121465.6A
Other languages
English (en)
Other versions
CN117650949A (zh
Inventor
张志强
娄海凤
伊晓峰
王强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Lushang Technology Group Co ltd
Original Assignee
Shandong Lushang Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Lushang Technology Group Co ltd filed Critical Shandong Lushang Technology Group Co ltd
Priority to CN202410121465.6A priority Critical patent/CN117650949B/zh
Publication of CN117650949A publication Critical patent/CN117650949A/zh
Application granted granted Critical
Publication of CN117650949B publication Critical patent/CN117650949B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • G06F18/24155Bayesian classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络防护技术领域,尤其是涉及一种基于RPA机器人数据分析的网络攻击拦截方法及系统。一种基于RPA机器人数据分析的网络攻击拦截方法,包括获取网络数据;对获取的网络数据进行预处理,包括数据去重、异常值处理和缺失值填充;对预处理后的网络数据进行特征提取,对提取的特征利用主成分分析进行特征变量降维;将降维后的网络数据构成训练集和测试集;构建贝叶斯网络模型的网络架构。通过RPA机器人的自动化辅助拦截功能,可以快速响应具有特定攻击行为的网络攻击事件,提高网络安全响应的整体效率。

Description

一种基于RPA机器人数据分析的网络攻击拦截方法及系统
技术领域
本发明涉及网络防护技术领域,尤其是涉及一种基于RPA机器人数据分析的网络攻击拦截方法及系统。
背景技术
目前网络攻击监测及防护主要是通过网络安全预警监测系统、网络安全防护系统及人工干预方式完成网络攻击的拦截,已实现网络安全被动式防御。
在此过程中主要存在以下问题或缺陷:
(1)被动式网络安全防护工作难以快速的处理网络安全攻击事件,尤其是在当前互联网时代,网络攻击的隐蔽性、分散性、全天候性给网络安全管理人员带来了巨大挑战,企业很难实现全天候24小时监测及处理;
(2)目前市面上主流的网络安全预警监测系统技术相对封闭,产品功能结构相对固化,企业很难通过产品底层技术实现一些特性化的网络预警规则设置,如按照针对某一类业务场景的网络攻击;
(3)目前常规的网络安全防护系统(如WAF应用防火墙、IDS入侵防护)都有各自产品特性和配置规则,在日常工作中网络安全运维人员需要适配不同的安全产品的操作规则,这对于产品的适配性和员工的专业技能提出更高的要求,同时也增加了操作得出错率。
当前机器学习算法如朴素贝叶斯、决策树、支持向量机等,已经在预测网络攻击方面得到了较为广泛的应用。尽管都能通过学习历史攻击行为数据,构建攻击行为模型,但是随着数据规模及攻击复杂度、隐蔽性的升级,上述算法构建的分类预测模型已经无法更准确、高效地识别网络攻击行为,且对于新攻击行为的学习代价较高。
因此亟需一种新的网络攻击辅助拦截方法。
发明内容
名词解释:
RPA:即机器人流程自动化(Robotic Process Automation),它是一种基于软件的自动化技术,旨在模拟人类操作计算机的行为,以执行重复性高、规则性强的工作。
为了解决定制化网络攻击行为规则,弥补现有网络安全监测产品的功能缺失,本发明提供一种基于RPA机器人数据分析的网络攻击拦截方法及系统,可减轻企业网络安全运维人员工作强度和压力,降低企业用工成本,并且通过当前较为成熟的RPA机器人技术实现主动式网络攻击防护拦截行为,为传统的人工操作为主的网络安全防护提供自动化辅助功能
第一方面,本发明提供的一种基于RPA机器人数据分析的网络攻击拦截方法,采用如下的技术方案:
一种基于RPA机器人数据分析的网络攻击拦截方法,包括:
获取网络访问日志和网络攻击行为规则;
基于网络攻击行为规则得到网络访问日志中的可疑网络;
对可疑网络的网络数据进行特征提取,得到特征因子;
利用主成分分析对特征因子进行降维处理;
构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;
利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
基于拦截策略,利用RPA机器人进行网络攻击辅助拦截。
进一步地,所述获取网络访问日志和网络攻击行为规则,包括获取企业边界交换机、防火墙的访问日志信息,并结合业务常识及经验自定义多种类型的网络攻击行为规则。
进一步地,所述对可疑网络的网络数据进行特征提取,得到特征因子,包括提取可疑网络的访问时间、源区域、源IP地址、源端口、协议类型、方法、目的区域、目的IP地址、目的端口、访问顺序是否是WAN到LAN、威胁类型和威胁等级。
进一步地,所述利用主成分分析对特征因子进行降维处理,包括根据特征因子计算特征向量的相关系数矩阵,根据相关系数矩阵的特征根、方差占比和成分系数,结合碎石图得到主成分特征,将主成分特征作为数据集。
进一步地,所述构建贝叶斯网络模型的网络架构,包括基于特征向量构建多分类贝叶斯网络结构图,定义贝叶斯网络结构图节点之间的概率依赖关系,初始化贝叶斯网络结构时限定根节点,其中,所有可能的网络结构都有相同的根节点,不同的是下属分支节点的划分。
进一步地,所述对贝叶斯网络模型进行训练优化,包括将数据集划分为训练集和测试集,利用训练集计算贝叶斯网络模型结构下的每个节点对应的条件概率表,得到完整的贝叶斯网络模型,利用测试集对贝叶斯网络模型的准确性进行验证,其中,G为定义在上的一个贝叶斯网络,其联合概率分布表示为各个节点的条件概率分布的乘积,即:/>,
其中,为贝叶斯网络的节点,/>为节点/>的父节点,/>为节点条件概率表。
进一步地,所述对贝叶斯网络模型进行训练优化,还包括分别计算贝叶斯网络模型的准确率、精准率、召回率和F1分值,其中,F1分值是精确率和召回率的加权调和平均数。
第二方面,一种基于RPA机器人数据分析的网络攻击拦截系统,包括:
数据获取模块,被配置为,获取网络访问日志和网络攻击行为规则;基于网络攻击行为规则得到网络访问日志中的可疑网络;
特征分析模块,被配置为,对可疑网络的网络数据进行特征提取,得到特征因子;利用主成分分析对特征因子进行降维处理;
模型模块,被配置为,构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
拦截模块,被配置为,基于拦截策略,利用RPA机器人进行网络攻击辅助拦截。
第三方面,本发明提供一种计算机可读存储介质,其中存储有多条指令,所述指令适于由终端设备的处理器加载并执行所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
第四方面,本发明提供一种终端设备,包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,所述指令适于由处理器加载并执行所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
综上所述,本发明具有如下的有益技术效果:
1、通过辅助拦截提高网络攻击响应效率。传统的被动式网络攻击防御措施存在响应的滞后性,给网络安全、信息安全带来了较大的安全隐患,通过RPA机器人的自动化辅助拦截功能,可以快速响应具有特定攻击行为的网络攻击事件,提高网络安全响应的整体效率。
2、扩展传统网络安全拦截规则库封闭性。传统的网络安全产品自带技术封闭性特征,个性化的攻击特征规则开发依赖于安全厂商的配合力度,对企业而言会面临开发周期的不确定性和开发费用支出,通过采集日志、外部特征算法的方式,可以有效的规避安全厂商的制约,同时可以根据企业业务场景定制化自有的攻击防护规则库。
3、降低企业用工成本,减轻相关从业人员工作压力。由于网络安全攻击的隐蔽性、攻击时间的随机性,要提高网络安全防护的效率就需要投入更多的人力、全天候的开展网络安全监测及应用处理工作,通过RPA机器人的网络攻击辅助拦截方法,可以有效减少人员投入,同时适当缓解从业人员工作压力。
4、提升网络安全拦截误操作率。在流程化、重复性的操作场景下,人为操作的准确性由诸多因素影响,如员工的技术能力、从业经验、责任心、工作状态等,各方因素都会影响到操作准确性,而通过PRA机器人脚本录制及自动执行的方式基本可以规避上述各类因素造成的出错情况,提高准确度。
附图说明
图1是本发明实施例1的一种基于RPA机器人数据分析的网络攻击拦截方法的示意图。
图2是本发明实施例的一种基于RPA机器人数据分析的网络攻击拦截系统的示意图。
图3是本发明实施例的贝叶斯网络模型示意图。
具体实施方式
以下结合附图对本发明作进一步详细说明。
实施例1
参照图1,本实施例的一种基于RPA机器人数据分析的网络攻击拦截方法,包括:
获取网络访问日志和网络攻击行为规则;
基于网络攻击行为规则得到网络访问日志中的可疑网络;
对可疑网络的网络数据进行特征提取,得到特征因子;
利用主成分分析对特征因子进行降维处理;
构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;
利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
基于拦截策略,利用RPA机器人进行网络攻击辅助拦截。
所述获取网络访问日志和网络攻击行为规则,包括获取企业边界交换机、防火墙的访问日志信息,并结合业务常识及经验自定义多种类型的网络攻击行为规则。
所述对获取的访问日志信息进行特征提取,得到特征向量作为特征因子,包括提取可疑网络的访问时间、源区域、源IP地址、源端口、协议类型、方法、目的区域、目的IP地址、目的端口、访问顺序是否是WAN到LAN、威胁类型和威胁等级。
所述利用主成分分析对特征因子进行降维处理,包括根据特征因子计算特征向量的相关系数矩阵,根据相关系数矩阵的特征根、方差占比和成分系数,结合碎石图得到主成分特征,将主成分特征作为数据集。
所述构建贝叶斯网络模型的网络架构,包括基于特征向量构建多分类贝叶斯网络结构图,定义贝叶斯网络结构图节点之间的概率依赖关系,初始化贝叶斯网络结构时限定根节点,其中,所有可能的网络结构都有相同的根节点,不同的是下属分支节点的划分。
所述对贝叶斯网络模型进行训练优化,包括将数据集划分为训练集和测试集,利用训练集计算贝叶斯网络模型结构下的每个节点对应的条件概率表,得到完整的贝叶斯网络模型,利用测试集对贝叶斯网络模型的准确性进行验证,其中,G为定义在上的一个贝叶斯网络,其联合概率分布表示为各个节点的条件概率分布的乘积,即:,其中,/>为贝叶斯网络的节点,/>为节点/>的父节点,/>为节点条件概率表。
所述对贝叶斯网络模型进行训练优化,还包括分别计算贝叶斯网络模型的准确率、精准率、召回率和F1分值,其中,F1分值是精确率和召回率的加权调和平均数。
具体地,本实施例的一种基于RPA机器人数据分析的网络攻击拦截方法,包括以下步骤:
S1. 获取网络访问日志和网络攻击行为规则;
其中,获取企业边界交换机、防火墙的访问日志信息,并结合业务常识及经验自定义多种类型的网络攻击行为规则。
S2.基于网络攻击行为规则得到网络访问日志中的可疑网络;
其中,结合业务常识及专家经验自定义多种类型网络攻击行为规则,包括一定时间范围内相同IP地址的访问频次、周期;根据产业地址规划表,是否是同一产业的、是否是正常业务访问时间,如线上业务属于24小时允许访问,常规线下任务7~22点可以访问,活动大促等特殊业务场景时7~24点等;是否属于因开发不规范或常规设置等原因所致的触发规则;访问行为是否属于拦截规则库;目的业务单元的日常访问量是否属于正常范围,以及访问量暴增暴跌的正常阈值范围等。
S3.对可疑网络的网络数据进行特征提取,得到特征因子;
其中,对获取的网络数据进行预处理,提取可疑网络攻击IP及日志特征等,包括提取可疑网络攻击的访问时间、源区域、源IP地址、源端口、协议类型、方法、目的区域、目的IP地址、目的端口、访问顺序是否是WAN→LAN、威胁类型、威胁等级等。
S4.利用主成分分析对特征因子进行降维处理;
其中,对获取的网络攻击行为影响因子进行数据处理,并利用主成分分析对网络攻击行为特征因子进行降维处理。经过上述两个步骤获取的网络攻击行为可能的影响特征,首先进行缺失值测算,对于访问时间、源区域、源IP地址、源端口、协议类型、方法、目的区域、目的IP地址、目的端口等关键特征缺失的日志数据进行删除处理,对于其他特征的缺失值概率小于95%的进行保留并以均值进行缺失值的填充,大于95%的予以删除;对于威胁类型、威胁等级、是否类特征等离散数据进行独热编码处理等,最终形成n个特征变量,以及一个因变量Y,即网络威胁类型。
为了降低预测模型的复杂性,提高预测结果的准确性及稳定性,对上述提取的特征利用主成分分析进行特征变量降维,包括:
步骤1、获取一定时间范围内的日志及规则数据集D1,其中D1为m*n维矩阵,(i=0,1,...m,j=0,1,...n)为其矩阵元素.对IP地址这一特殊数据进行二进制转换,并对其他特征进行最大值在最小值标准化处理,即
;
其中,是/>所在列的最小值,/>是/>所在列的最大值。标准化后的矩阵记为/>,其中/>为m*1阶矩阵。
步骤2、计算特征向量之间的相关系数矩阵R;因为Z中的变量已经标准化变量,Z的列变量的协方差矩阵就是相关系数矩阵R;
其中,为第i与第j个特征向量的相关系数,/>,R中已省略部分系数。
步骤3、根据相关系数矩阵的特征根、贡献率占比和累计贡献率,以贡献占比90%的特征作为主成分特征,确定主成分特征个数及权重;
矩阵R是阶方阵,/>是一个数,若存在非零向量x,使得/>,则称数/>为矩阵R的特征值,非零向量x为矩阵R的特征向量。那么其系数行列式/>,即,那么就转换为满足/>的数/>为特征值,方程组/>的非零解为特征向量。
=/>+/>++...-/>-/>...-/>=0
求解上述等式即可求出特征值,分别定义为/>,并将其按大小排列。将各个特征值/>分别代入/>,求得其对应的特征向量/>。以特征向量的分量值为权数,将标准化的指标进行加权就得到第i个主成分:
相关矩阵R的特征值就等于对应的主成分的方差,其大小反映了第i个主成分所包含原始数据的全部信息的比重,也反映了各主成分贡献的大小,定义第i个主成分的方差贡献率是,累计方差贡献率是/>
步骤4、获得主成分特征及权重,
选定特征值大于1,且累计方差贡献率90%的主成分作为本样本主成分特征,本研究中选定,/>。将主成分矩阵系数除以对应开根号的特征值,获得主成分表达式:
再根据相对应的方差贡献率是,求得每个特征因子的综合权重,根据特征因子的权重大小进行排序,根据排序结果及专家经验, 筛选掉不用的特征因子,保留进入下一步模型分析的特征因子集合。
将其作为后续分析计算的原始数据集合,其中D1为m*维矩阵,是降维后 的数据维度,根据数据分析结果,选定的特征因子对可疑网络攻击的指证贡献较为分散,选 定如下特征因子作为后续模型分析,如表1所示为降维后的特征因子表。
表1
S5.构建贝叶斯网络模型
其中,以威胁类型y作为因变量,通过对数据集的多个预测模型的测算,采用贝叶斯网络模型对可疑的网络攻击行为进行预测,并通过模型训练、测试及优化,达到较好的预测效果,包括:
步骤1、数据集的多个预测模型的测算,采用贝叶斯网络模型对可疑的网络攻击行为进行预测,并通过模型训练、测试及优化,达到较好的预测效果,包括:
步骤1、数据集中的每一样本/>对应着一个因变量/>,即每一日志数据记录对应着其是否为网络攻击行为,是哪种网络攻击类型。
步骤2、定义贝叶斯网络节点节点之间的概率依赖关系。网络安全专家结合工作经 验及相关原理,利用个特征向量构建多分类贝叶斯网络结构图,其中节点是通过特 征工程提取获得的随机变量因子,节点间的指向代表了不同节点之间的依赖关系或因果关 系,如图3所示。
在本研究中为了简化网络结构构件过程,初始化网络结构时限定根节点,即所有可能的网络结构都有相同的根节点,不同的是下属分支节点的划分。设定源IP,/>源IP,/>访问时间间隔,/>是否常见拦截规则库白名单四个节点作为网络结构的根节点,为网络攻击威胁类型(包括无威胁、SQL注入,提权,非授权访问等),其他/>作为贝叶斯网络机构的中间节点,节点间的依赖关系可以调整。
步骤3、将数据集划分为训练集、测试集,训练集与测试集的占比为8:2。
步骤4、利用训练集样本计算所构件的贝叶斯网络模型结构下的条件概率表。定义G为定义在上的一个贝叶斯网络,其联合概率分布可以表示为各个节点的条件概率分布的乘积:
其中,为节点/>为节点/>为节点条件概率表。每一个节点的条件概率表的计算,一般是以其父节点的条件概率为依据,没有父节点的用先验概率进行数据表示。
每个节点可能的取值个数有多个,如“源iP区域”取值可能有成百上千个,“是否属于拦截规则库”有是和否两个结果值,如果用枚举法进行概率测算,那么模型的整体参数个数将以幂级的体量增加。假设n个二元随机变量的联合概率分布,表示该分布需要2n-1个参数,如果用贝叶斯网络建模,假设每个节点最多有k个父节点,所需要的参数最多为n*2k,一般地每个变量局部依赖于少数变量。为了降低参数个数及模型计算复杂度,利用联合概率分布结构化分解方法进行拆解。
假设以图3为贝叶斯网络结构,那么节点yj的最终取值为:
P(yj)=p(x1)*p(x2)*p(x3)*p(x10)*p(x4|x1)*p(x5|x1)*p(x6|x1,x2)*p(x7|x2)
*p(x8|x2,x3)*p(x9|x3)*p(x11|x4,x10)*p(x12|x5,x6,x8)*p(x13|x7,x9))
每一个节点的条件概率表计算完成之后,即完成了基于贝叶斯网络结构模型的构建,如图3所示。
S6.对贝叶斯网络模型进行训练优化;
其中,重复步骤3及步骤4,构建M个不同的贝叶斯网络模型,作为一种概率图模型,利用测试集对其进行准确性的验证测试。分别计算各个贝叶斯网络模型的准确率A、精准率P、召回率R及F1分值。因为本研究为多分类预测模型,即预测结果为可疑网络攻击行为时,不同贝叶斯网络模型对同类型网络攻击类型的预测准确率不同,本研究考虑对所有可疑攻击类型的整体识别能力。定义TP为“是某类威胁,且准确预测其为某类威胁”,TN为“非某类威胁,且准确预测其非某类威胁”,FP为“非某类威胁,但预测其为某类威胁”,FN为“是某类威胁,但预测其为某类威胁”。
准确率是指预测分类正确的样本占总样本个数的比例,即Accuracy=(TP+PN)/(TP+FP+FN+TN);
精确率是指模型中正确的正样本个数占预测分类器判定为正样本的样本个数的比例。精确率容易与准确率混淆,精确率只针对预测正确的正样本而不是所有预测正确的样本。即Precision=TP/(TP+FP);
召回率是指分类正确的正样本个数占真正的正样本个数的比例。即Recall=TP/(TP+FN);
F1值是精确率和召回率的加权调和平均数,精确率和召回率都是越高越好,但两者往往是矛盾的,F1-score可以综合评价预测分类器的效果,它的取值范围为0到1,越接近1效果越好。F1=2*Precision*Recall/(Precision+Recall)。将不同分类器的评估结果填入表2,综合评估选定最佳分类器,如表2所示为不同预测分类器的评估结果表。
表2
模型的评估和选定,不仅仅依赖于以上量化的评估指标,应充分结合网络安全专家实际运维经验和实际应用场景进行选定,并根据环境的变化进行调整,调整后的模型需进一步的验证评估后,应用于访问日志的实时数据分析。
S7.利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;基于拦截策略,利用RPA机器人进行网络攻击辅助拦截。
如图2所示,步骤1、确定需要RPA机器人进行辅助拦截的可疑网络攻击类型,如SQL注入,提权,非授权访问,命令执行,文件上传,漏洞攻击,Webshell,代码执行,XSS,可疑工具,冰蝎,蚁剑,哥斯拉,一句话木马,反弹shell,信息泄露,溢出攻击,勒索,0DAY漏洞,文件下载等;
步骤2、针对每一类型地不同等级的网络攻击行为或可疑网络攻击行为,利用RPA机器人录制人工处理时的处理方法、步骤脚本。制定不同场景下,RPA机器人操作及网络安全管理人员操作的优先顺序;
步骤3、模拟攻击行为,测试RPA执行情况。
实施例2
本实施例提供一种基于RPA机器人数据分析的网络攻击拦截系统,包括:
数据获取模块,被配置为,获取网络访问日志和网络攻击行为规则;基于网络攻击行为规则得到网络访问日志中的可疑网络;
特征分析模块,被配置为,对可疑网络的网络数据进行特征提取,得到特征因子;利用主成分分析对特征因子进行降维处理;
模型模块,被配置为,构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
拦截模块,被配置为,基于拦截策略,利用RPA机器人进行网络攻击辅助拦截。
一种计算机可读存储介质,其中存储有多条指令,所述指令适于由终端设备的处理器加载并执行所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
一种终端设备,包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,所述指令适于由处理器加载并执行所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
以上均为本发明的较佳实施例,并非依此限制本发明的保护范围,故:凡依本发明的结构、形状、原理所做的等效变化,均应涵盖于本发明的保护范围之内。

Claims (7)

1.一种基于RPA机器人数据分析的网络攻击拦截方法,其特征在于,包括:
获取网络访问日志和网络攻击行为规则;
基于网络攻击行为规则得到网络访问日志中的可疑网络;
对可疑网络的网络数据进行特征提取,得到特征因子;
利用主成分分析对特征因子进行降维处理;
构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;
利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
基于拦截策略,利用RPA机器人进行网络攻击辅助拦截;
所述构建贝叶斯网络模型包括:
步骤1、数据集中的每一样本对应着一个因变量,即每一日志数据记录对应着其是否为网络攻击行为,是哪种网络攻击类型;
步骤2、定义贝叶斯网络节点之间的概率依赖关系,利用个特征向量构建多分类贝叶斯网络结构图;
为简化网络结构构建过程,初始化网络结构时限定根节点,即所有可能的网络结构都有相同的根节点,不同的是下属分支节点的划分;
步骤3、将数据集划分为训练集、测试集,训练集与测试集的占比为8:2;
步骤4、利用训练集样本计算所构建的贝叶斯网络模型结构下的条件概率表;
所述对贝叶斯网络模型进行训练优化,包括:
重复步骤3与步骤4,构建M个不同的贝叶斯网络模型,作为一种概率图模型,利用测试集对其进行准确性的验证测试;分别计算各个贝叶斯网络模型的准确率A、精准率P、召回率R及F1分值,所述贝叶斯网络模型为多分类预测模型,预测结果为可疑网络攻击行为时,不同贝叶斯网络模型对同类型网络攻击类型的预测准确率不同,考虑对所有可疑攻击类型的整体识别能力,定义TP为“是某类威胁,且准确预测其为某类威胁”,TN为“非某类威胁,且准确预测其非某类威胁”,FP为“非某类威胁,但预测其为某类威胁”,FN为“是某类威胁,但预测其为某类威胁”;综合评估选定最佳贝叶斯网络模型;
所述基于拦截策略利用RPA机器人进行网络攻击辅助拦截,包括:
确定需要RPA机器人进行辅助拦截的可疑网络攻击类型;
针对每一类型不同等级的网络攻击行为,利用RPA机器人录制人工处理时的处理方法、步骤脚本,制定不同场景下,RPA机器人操作及网络安全管理人员操作的优先顺序。
2.根据权利要求1所述的一种基于RPA机器人数据分析的网络攻击拦截方法,其特征在于,所述获取网络访问日志和网络攻击行为规则,包括获取企业边界交换机、防火墙的访问日志信息,并结合业务常识及经验自定义多种类型的网络攻击行为规则。
3.根据权利要求2所述的一种基于RPA机器人数据分析的网络攻击拦截方法,其特征在于,所述对可疑网络的网络数据进行特征提取,得到特征因子,包括提取可疑网络的访问时间、源区域、源IP地址、源端口、协议类型、方法、目的区域、目的IP地址、目的端口、访问顺序是否是WAN到LAN、威胁类型和威胁等级。
4.根据权利要求3所述的一种基于RPA机器人数据分析的网络攻击拦截方法,其特征在于,所述利用主成分分析对特征因子进行降维处理,包括根据特征因子计算特征向量的相关系数矩阵,根据相关系数矩阵的特征根、方差占比和成分系数,结合碎石图得到主成分特征,将主成分特征作为数据集。
5.一种基于RPA机器人数据分析的网络攻击拦截系统,其特征在于,包括:
数据获取模块,被配置为,获取网络访问日志和网络攻击行为规则;基于网络攻击行为规则得到网络访问日志中的可疑网络;
特征分析模块,被配置为,对可疑网络的网络数据进行特征提取,得到特征因子;利用主成分分析对特征因子进行降维处理;
模型模块,被配置为,构建贝叶斯网络模型,并对贝叶斯网络模型进行训练优化;利用优化的贝叶斯网络模型对可疑网络进行监测,并将相应的拦截策略推送至RPA机器人;
拦截模块,被配置为,基于拦截策略,利用RPA机器人进行网络攻击辅助拦截;
所述构建贝叶斯网络模型包括:
步骤1、数据集中的每一样本对应着一个因变量,即每一日志数据记录对应着其是否为网络攻击行为,是哪种网络攻击类型;
步骤2、定义贝叶斯网络节点之间的概率依赖关系,利用个特征向量构建多分类贝叶斯网络结构图;
为了简化网络结构构建过程,初始化网络结构时限定根节点,即所有可能的网络结构都有相同的根节点,不同的是下属分支节点的划分;
步骤3、将数据集划分为训练集、测试集,训练集与测试集的占比为8:2;
步骤4、利用训练集样本计算所构件的贝叶斯网络模型结构下的条件概率表;
所述对贝叶斯网络模型进行训练优化,包括:
重复上述步骤3及步骤4,构建M个不同的贝叶斯网络模型,作为一种概率图模型,利用测试集对其进行准确性的验证测试;分别计算各个贝叶斯网络模型的准确率A、精准率P、召回率R及F1分值,所述贝叶斯网络模型为多分类预测模型,即预测结果为可疑网络攻击行为时,不同贝叶斯网络模型对同类型网络攻击类型的预测准确率不同,考虑对所有可疑攻击类型的整体识别能力,定义TP为“是某类威胁,且准确预测其为某类威胁”,TN为“非某类威胁,且准确预测其非某类威胁”,FP为“非某类威胁,但预测其为某类威胁”,FN为“是某类威胁,但预测其为某类威胁”,综合评估选定最佳贝叶斯网络模型;
所述基于拦截策略利用RPA机器人进行网络攻击辅助拦截,包括:
确定需要RPA机器人进行辅助拦截的可疑网络攻击类型;
针对每一类型不同等级的网络攻击行为,利用RPA机器人录制人工处理时的处理方法、步骤脚本,制定不同场景下,RPA机器人操作及网络安全管理人员操作的优先顺序。
6.一种计算机可读存储介质,其中存储有多条指令,其特征在于,所述指令适于由终端设备的处理器加载并执行如权利要求1所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
7.一种终端设备,包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,其特征在于,所述指令适于由处理器加载并执行如权利要求1所述的一种基于RPA机器人数据分析的网络攻击拦截方法。
CN202410121465.6A 2024-01-30 2024-01-30 一种基于rpa机器人数据分析的网络攻击拦截方法及系统 Active CN117650949B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410121465.6A CN117650949B (zh) 2024-01-30 2024-01-30 一种基于rpa机器人数据分析的网络攻击拦截方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410121465.6A CN117650949B (zh) 2024-01-30 2024-01-30 一种基于rpa机器人数据分析的网络攻击拦截方法及系统

Publications (2)

Publication Number Publication Date
CN117650949A CN117650949A (zh) 2024-03-05
CN117650949B true CN117650949B (zh) 2024-05-14

Family

ID=90045439

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410121465.6A Active CN117650949B (zh) 2024-01-30 2024-01-30 一种基于rpa机器人数据分析的网络攻击拦截方法及系统

Country Status (1)

Country Link
CN (1) CN117650949B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
CN106411921A (zh) * 2016-10-31 2017-02-15 中国人民解放军信息工程大学 基于因果贝叶斯网络的多步攻击预测方法
CN108632278A (zh) * 2018-05-08 2018-10-09 北京理工大学 一种基于pca与贝叶斯相结合的网络入侵检测方法
CN111126781A (zh) * 2019-11-29 2020-05-08 苏宁云计算有限公司 Rpa业务流程的创建方法及系统
CN116781330A (zh) * 2023-05-29 2023-09-19 广西电网有限责任公司电力科学研究院 一种改进型贝叶斯理论的sql注入检测方法和电子设备
KR20230166610A (ko) * 2022-05-31 2023-12-07 (주)디엘정보기술 Rpa 컴퓨팅 디바이스의 전산업무 자동화 서비스 제공방법
CN117411703A (zh) * 2023-11-02 2024-01-16 上海电力大学 一种面向Modbus协议的工业控制网络异常流量检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11592804B2 (en) * 2020-10-14 2023-02-28 UiPath, Inc. Task automation by support robots for robotic process automation (RPA)

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104394015A (zh) * 2014-11-13 2015-03-04 河南理工大学 一种网络安全态势评估方法
CN106411921A (zh) * 2016-10-31 2017-02-15 中国人民解放军信息工程大学 基于因果贝叶斯网络的多步攻击预测方法
CN108632278A (zh) * 2018-05-08 2018-10-09 北京理工大学 一种基于pca与贝叶斯相结合的网络入侵检测方法
CN111126781A (zh) * 2019-11-29 2020-05-08 苏宁云计算有限公司 Rpa业务流程的创建方法及系统
KR20230166610A (ko) * 2022-05-31 2023-12-07 (주)디엘정보기술 Rpa 컴퓨팅 디바이스의 전산업무 자동화 서비스 제공방법
CN116781330A (zh) * 2023-05-29 2023-09-19 广西电网有限责任公司电力科学研究院 一种改进型贝叶斯理论的sql注入检测方法和电子设备
CN117411703A (zh) * 2023-11-02 2024-01-16 上海电力大学 一种面向Modbus协议的工业控制网络异常流量检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
余凡.《主被动遥感协同反演地表土壤水分方法》》.测绘出版社,2017,119-121页. *
郝志峰.《数据科学与数学建模》.华中科技大学出版社,2019,第120页-125页. *

Also Published As

Publication number Publication date
CN117650949A (zh) 2024-03-05

Similar Documents

Publication Publication Date Title
CN110688288B (zh) 基于人工智能的自动化测试方法、装置、设备及存储介质
CN108494810B (zh) 面向攻击的网络安全态势预测方法、装置及系统
CN110070461B (zh) 一种电力信息系统健康度评估方法及其评估系统
CN111614491B (zh) 一种面向电力监控系统安全态势评估指标选取方法及系统
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN109885907A (zh) 一种基于云模型的卫星姿控系统健康状态评估和预测方法
CN117494292A (zh) 一种基于bim和ai大模型的工程进度管理方法及系统
CN104978612A (zh) 基于ahp-rbf的分布式大数据系统风险预测方法
CN117220978B (zh) 一种网络安全运营模型量化评估系统及评估方法
CN104850727A (zh) 基于云重心理论的分布式大数据系统风险评估方法
CN115705322A (zh) 一种数据库管理系统、数据处理方法及设备
CN117527622B (zh) 网络交换机的数据处理方法及系统
CN116112283A (zh) 一种基于cnn-lstm的电力系统网络安全态势预测方法及系统
CN117580046A (zh) 一种基于深度学习的5g网络动态安全能力调度方法
CN117650949B (zh) 一种基于rpa机器人数据分析的网络攻击拦截方法及系统
CN111221704B (zh) 一种确定办公管理应用系统运行状态的方法及系统
CN111737319B (zh) 用户集群的预测方法、装置、计算机设备和存储介质
KR20210059289A (ko) 군장비 수리부속 품목 수요예측의 고도화를 위한 강화학습 적용
Mai et al. Choices are not independent: Stackelberg security games with nested quantal response models
CN117332923B (zh) 一种网状指标体系的赋权方法及系统
CN117235477B (zh) 基于深度神经网络的用户群组评估方法和系统
Li et al. On Testing and Evaluation of Artificial Intelligence Models
CN118332034B (zh) 一种基于机器学习的数据挖掘模型构建方法及系统
CN118432952B (zh) 一种零信任环境下的异常检测方法、电子设备及存储介质
CN118093206B (zh) 面向企业应用服务的信息处理方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant