CN117811841A - 一种针对内部网络的威胁监测防御系统、方法及设备 - Google Patents
一种针对内部网络的威胁监测防御系统、方法及设备 Download PDFInfo
- Publication number
- CN117811841A CN117811841A CN202410226268.0A CN202410226268A CN117811841A CN 117811841 A CN117811841 A CN 117811841A CN 202410226268 A CN202410226268 A CN 202410226268A CN 117811841 A CN117811841 A CN 117811841A
- Authority
- CN
- China
- Prior art keywords
- data
- threat
- feature
- network
- data set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007123 defense Effects 0.000 title claims abstract description 31
- 238000012544 monitoring process Methods 0.000 title claims abstract description 30
- 238000000034 method Methods 0.000 title claims abstract description 18
- 238000012216 screening Methods 0.000 claims abstract description 35
- 238000001514 detection method Methods 0.000 claims abstract description 18
- 238000012545 processing Methods 0.000 claims abstract description 15
- 239000011159 matrix material Substances 0.000 claims description 28
- 239000013598 vector Substances 0.000 claims description 19
- 238000010606 normalization Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 9
- 238000007637 random forest analysis Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000004913 activation Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000004927 fusion Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011176 pooling Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- General Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Hardware Design (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术,揭露了一种针对内部网络的威胁监测防御系统、方法及设备,该系统包括数据特征分类模块、特征筛选模块、威胁概率检测模块、威胁数据确定模块及访问控制模块,对内部网络据集进行数值规范化处理及特征分类,得到特征数据集;计算特征数据集每个特征数据的嵌入特征,根据嵌入特征进行特征筛选,得到目标特征集;提取目标特征集的目标数据集,根据目标数据集进行威胁数据检测,得到每个目标数据的威胁概率;根据威胁概率计算威胁严重度,根据威胁严重度确定网络数据集中的威胁数据;根据威胁数据对内部网络进行链路调整,根据链路调整的结果对内部网络进行访问控制。本发明可以提高内部网络的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种针对内部网络的威胁监测防御系统、方法及设备。
背景技术
网络技术的发展及其管理和使用方式,计算机网络的使用越来越频繁,从根本上改变了人们的传统生活方式,推动着人们生活品质的持续提升。然而,网络本身的开放性、发展性和不完善性,暴露越来越多的安全风险和安全问题,在网络使用过程中,各种漏洞和一些其他因素导致网络安全问题时有发生,因此,如何使网络为人们提供高效、快速的服务,提高网络使用的安全性是现阶段网络发展的重要挑战。
传统的网络安全防御手段包括防火墙、网络入侵检测系统(Networkintrusiondetection system,NIDS)等,但这些方法仍然存在缺陷。比如防火墙只能根据据预定义的安全规则阻止一些已知的攻击,而不能识别新的攻击;NIDS 是用于检测计算机系统中的入侵行为的网络安全系统,可以增强网络的安全性,使现有的安防体系更完善,并且能够追踪攻击者的攻击线路,抓住肇事者,但 NIDS 通常基于规则和签名来检测恶意流量,无法适应新的攻击类型和变化,可能会漏报或误报入侵事件,特别是网络攻击者会使用更加隐蔽的方式来绕过传统的网络安全防御手段,导致安全事件层出不穷,网络的安全性较差。
发明内容
本发明提供一种针对内部网络的威胁监测防御系统、方法及设备,其主要目的在于解决内部网络的安全性较差的问题。
为实现上述目的,本发明提供的一种针对内部网络的威胁监测防御系统,所述系统包括数据特征分类模块、特征筛选模块、威胁概率检测模块、威胁数据确定模块及访问控制模块,其中:
所述数据特征分类模块,用于获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集;
所述特征筛选模块,用于根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集;
所述威胁概率检测模块,用于在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率;
所述威胁数据确定模块,用于根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据;
所述访问控制模块,用于根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
可选地,所述数据特征分类模块在对所述网络数据集进行数值规范化处理,得到规范数据集时,具体用于:
提取所述网络数据集中的符号型数据,对所述符号型数据进行数据源分类,得到多个数据源数据集;
分别对每个所述数据源数据集进行数据编码,得到每个所述数据源数据集的编码数据集;
对所述编码数据集进行数据归一化,得到所述网络数据集的规范数据集。
可选地,所述特征筛选模块在根据所述特征数据集构建数据邻接图时,具体用于:
计算所述特征数据集中每个特征数据预设数量的最近邻数据;
根据所述最近邻数据构建所述特征数据集的数据邻接图。
可选地,所述特征筛选模块在根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征时,具体用于:
计算所述数据邻接图中数据节点之间的节点权重;
利用如下的节点权重公式计算所述数据邻接图中数据节点之间的节点权重:其中,/>表示第/>个数据节点与第/>个数据节点之间的节点权重,/>表示第/>个数据节点,/>表示第/>个数据节点,/>表示预设的固定参数,/>表示自然常数;
根据所述节点权重构建节点权重矩阵及嵌入矩阵;
根据所述节点权重矩阵及所述嵌入矩阵生成所述数据邻接图的嵌入方程;
所述嵌入方程表示为:其中,/>表示所述嵌入矩阵,/>表示所述节点权重矩阵,/>表示矩阵/>的特征值,/>是特征值对应的特征向量;
求解所述嵌入方程的特征向量,根据所述特征向量计算所述特征数据集中每个特征数据的嵌入特征。
可选地,所述特征筛选模块在根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集时,具体用于:
利用预构建的随机森林模型计算每个嵌入特征的基尼系数;
根据所述基尼系数计算每个嵌入特恒的贡献平均度;
根据所述贡献平均度确定所述网络特征集的贡献程度,根据所述贡献程度进行特征筛选,得到目标特征集。
可选地,所述威胁数据确定模块在根据所述威胁概率计算每个所述目标数据的威胁严重度时,具体用于:
根据所述威胁概率在预设的威胁指标表中确定每个威胁指标对应的指标数据;
根据所述指标数据计算每个所述目标数据的指标影响度;
根据所述指标影响度及所述威胁概率计算每个所述目标数据的威胁严重度。
可选地,所述威胁数据确定模块在根据所述指标数据计算每个所述目标数据的指标影响度时,具体用于:
利用预设的指标影响度公式根据所述指标数据计算每个所述目标数据的指标影响度;其中,所述指标影响度公式表示为:其中,表示指标影响度,/>、/>、/>分别表示不同的指标数据,/>、/>、/>分别表示预设的权重系数。
可选地,所述访问控制模块在根据所述威胁数据对所述内部网络进行链路调整时,具体用于:
获取所述威胁数据所在数据链路的数据访问次数,根据所述数据访问记录计算所述数据链路的信任度;
利用如下的公式计算所述数据链路的信任度:其中,/>表示信任度,/>表示预设的初始信任度,/>表示预设的信任度权重,/>表示数据访问次数,表示内部网络中数据访问的总次数;
根据所述信任度确定所述数据链路的调整策略;
根据所述调整策略对所述内部网络进行链路调整。
为了解决上述问题,本发明还提供一种针对内部网络的威胁监测防御方法,所述方法包括:
获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集;
根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集;
在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率;
根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据;
根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的针对内部网络的威胁监测防御系统的功能。
本发明实施例通过对内部网络的网络数据集进行规范化处理,可以提高网络数据的数据一致性;对规范数据集进行特征分类,得到特征数据集;根据特征数据集进行特征筛选,得到目标特征集,可以删除网络特征集中不重要的网络特征,避免无关的特征数据对后续威胁数据检测的影响,提高检测的准确度,同时减小数据量,提高威胁数据检测的效率;根据目标特征集的目标数据集进行威胁数据检测,以识别出内部网络中构成威胁数据的概率,从而可以根据威胁数据对内部网络进行链路调整,根据链路调整的结果对内部网络进行访问控制,避免数据链路对内部网络进行非法数据访问,进一步地提高内部网络的安全性。因此本发明提出的针对内部网络的威胁监测防御系统、方法及设备,可以提高内网网络的安全性。
附图说明
图1为本发明一实施例提供的针对内部网络的威胁监测防御系统的系统架构图;
图2为本发明一实施例提供的特征筛选模块在根据数据邻接图计算特征数据集中每个特征数据的嵌入特征的系统架构图;
图3为本发明一实施例提供的威胁数据确定模块根据威胁概率计算每个目标数据的威胁严重度的系统架构图;
图4为本发明一实施例提供的针对内部网络的威胁监测防御方法的流程示意图;
图5为本发明一实施例提供的针对内部网络的威胁监测防御方法的电子设备图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,是本发明一实施例提供的针对内部网络的威胁监测防御系统的系统架构图。
本发明所述针对内部网络的威胁监测防御系统100可以设置于云端服务器中,在实现形式上,可以作为一个或多个服务设备,也可以作为一应用安装于云端(例如移动服务运营方的服务器、服务器集群等)上,或者也可以开发为网站。根据实现的功能,所述针对内部网络的威胁监测防御系统100可以包括数据特征分类模块101、特征筛选模块102、威胁概率检测模块103、威胁数据确定模块104及访问控制模块105。本发明所述模块也可以称之为单元,能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
下面结合具体实施例,分别针对针对内部网络的威胁监测防御系统的各个组成部分以及具体工作流程进行说明:
所述数据特征分类模块101,用于获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集。
本发明实施例中,内部网络也可称为局域网,是指在某一区域内由多台计算机互联成的计算机组,内网数据集是在内部网络进行数据传输时的网络数据,例如,内部网络中每个数据链的数据流、数据流的发送速率、访问数据等。
在一个实施例中,数据规范是将网络数据集中的数据规范为统一的数据格式,例如,将数据流中HTTP请求的符号型数据转换为数值数据。
在一个实施例中,所述数据特征分类模块101在对所述网络数据集进行数值规范化处理,得到规范数据集时,具体用于:
提取所述网络数据集中的符号型数据,对所述符号型数据进行数据源分类,得到多个数据源数据集;
分别对每个所述数据源数据集进行数据编码,得到每个所述数据源数据集的编码数据集;
对所述编码数据集进行数据归一化,得到所述网络数据集的规范数据集。
在一个实施例中,网络数据集中包括多种数据请求,即不同数据源,例如,Protocal请求、pragma请求、cacheControl、POST请求和PUT请求等多个HTTP请求的数据源以及Web应用程序的URL(Uniform Resource Locator,统一资源定位符)扩展,通过对不同数据请求中的符号型数据进行数据规范,可以提高数据规范化的准确度。
在一个实施例中,可以将Protocal请求、pragma请求等请求的作为一个数据源,将POST请求和PUT请求作为一个数据源,Web应用程序的URL扩展作为一个数据源,分别对不同的数据源进行不同形式的数据独热编码,例如,Protocal请求、pragma请求对应的数据源数据集通过独热编码转换为0至1之间的数值向量,将POST请求和PUT请求以及Web应用程序的URL扩展对应的数据源数据集编码为二进制的数据向量,因此,通过不同的数据编码,对网络数据集中的数据进行规范,可以提高网络数据的数据一致性,便于检测网络数据集中的请求攻击,提高威胁数据检测的准确度。
本发明实施例中,网络特征集是用于描述网络数据传播特性的数据集,包括但不限于数据包大小分布、数据包到达时间间隔分布、目的IP地址、目的端口、数据包的到达率、数据包的数量、业务流持续时间与平均流速率等特征,对规范数据集进行特征分类,得到每个网络特征对应的特征数据集。
具体地,可以提取每个网络特征集中每个网络特征的特征数据,得到每个网络特征对应的特征数据集,以对规范数据集进行特征分类,其中,可以根据规范数据集中每个数据的数据类别确定数据特征,例如,数据A的数据类别为目的IP地址的数据,则数据A的数据特征为目的IP地址,进而可以根据每个数据的数据特征提取每个网络特征的特征数据,得到特征数据集。
所述特征筛选模块102,用于根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集。
本发明实施例中,数据邻接图数根据特征数据集中每个特征数据的近邻数据构建节点图,通过数据邻接图分析特征数据集中数据分布的几何分布特征以及近邻数据之间的权重,进而可以根据数据邻接图计算每个特征数据的嵌入特征。
本发明实施例中,根据嵌入特征对网络特征集中的网络特征进行筛选,剔除不重要的网络特征,避免无关特征数据对后续威胁数据检测的准确度,同时可以提高威胁数据检测的效率。
本发明实施例中,所述特征筛选模块102在根据所述特征数据集构建数据邻接图时,具体用于:
计算所述特征数据集中每个特征数据预设数量的最近邻数据;
根据所述最近邻数据构建所述特征数据集的数据邻接图。
具体地,可以根据k-近邻算法计算预设数量的最近邻数据,最近邻数据是k个最近的数据,即每个特征数据都可以用它最接近的k个最近邻数据来代表,其中,可以预设数字k来选取最近邻数据,例如,可以用数据距离、数据向量相似度等方法计算最近邻数据,将每个最近邻数据以及特征数据作为数据节点构建特征数据集的数据邻接图。
本发明实施例中,所述特征筛选模块102中包括节点权重计算模块201、矩阵构建模块202、嵌入方程生成模块203及嵌入特征计算模块204。
本发明实施例中,所述特征筛选模块102在根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征时,具体用于:
所述节点权重计算模块201,用于计算所述数据邻接图中数据节点之间的节点权重;
所述矩阵构建模块202,用于根据所述节点权重构建节点权重矩阵及嵌入矩阵;
所述嵌入方程生成模块203,用于根据所述节点权重矩阵及所述嵌入矩阵生成所述数据邻接图的嵌入方程;
所述嵌入特征计算模块204,用于求解所述嵌入方程的特征向量,根据所述特征向量计算所述特征数据集中每个特征数据的嵌入特征。
具体地,利用预设的节点权重公式计算所述数据邻接图中数据节点之间的节点权重;其中,所述节点权重公式表示为:其中,/>表示第/>个数据节点与第/>个数据节点之间的节点权重,/>表示第/>个数据节点,/>表示第/>个数据节点,/>表示预设的固定参数,/>表示自然常数。
具体地,将每个数据节点与其他数据节点之间的节点权重作为行向量构建节点权重矩阵,即节点权重矩阵中第行的行向量为第/>个数据节点与其他数据节点之间的节点权重。将每个数据节点与其他数据节点之间的节点权重之和作为对角矩阵的矩阵元素构建嵌入矩阵。
详细地,通过节点权重可以得到结构一致的节点权重矩阵及嵌入矩阵,从而可以根据节点权重矩阵及嵌入矩阵生成嵌入方程。
具体地,所述嵌入方程表示为:其中,/>表示所述嵌入矩阵,/>表示所述节点权重矩阵,/>表示矩阵/>的特征值,/>是特征值/>对应的特征向量。
详细地,矩阵可以表示为拉普拉斯矩阵,通过对嵌入方程进行求解,得到特征值/>以及对应的特征向量/>,将特征值对应的特征向量/>作为任意一个特征数据的嵌入特征。
具体地,根据嵌入特征可以表示特征数据集中每个特征数据的数据分布特征以及邻接数据特征分布,能够计算特征数据集对应的网络特征的重要程度,以对网络特征进行特征筛选。
本发明实施例中,所述特征筛选模块102在根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集时,具体用于:
利用预构建的随机森林模型计算每个嵌入特征的基尼系数;
根据所述基尼系数计算每个嵌入特恒的贡献平均度;
根据所述贡献平均度确定所述网络特征集的贡献程度,根据所述贡献程度进行特征筛选,得到目标特征集。
具体地,随机森林模型是一种继承学习算法,通过特定的规则将若干个分类回归树(CART)进行组合,形成一个由分类回归树组成的森林,其中,随机森林模型中对每一个输入的嵌入变量,每一棵分类回归树都会行使投票权,每棵分类回归树都会对输入的嵌入向量进行各自的分类,最后根据投票的多少输出票数多的结果得到每个嵌入特征的贡献平均度。本发明实施例通过随机森林模型对每个嵌入特征的特征重要性进行评分,得到每个嵌入特征的基尼系数,通过基尼系数进行特征筛选,对网络特征集中的网络特征进行删减,得到目标特征集。
本发明实施例中,可以通过随机森林中在每个分类回归树节点的基尼系数以及分类回归树节点分支前后的基尼指数计算每个嵌入特征的贡献平均度,例如,在分类回归树节点1的基尼系数减去分类回归树节点1左右分支的基尼系数,得到每个嵌入特征的贡献平均度。
具体地,通过每个嵌入特征的贡献平均度可以计算对应网络特征集中贡献平均度的贡献均值,通过贡献均值确定网络特征集的贡献程度,贡献程度越大,对应的网络特征就越重要,能够根据贡献程度筛选出预设数量的网络特征作为目标特征集。
本发明实施例中,通过特征筛选可以删除网络特征集中不重要的网络特征,避免无关的特征数据对后续威胁数据检测的影响,提高检测的准确度,同时减小数据量,提高威胁数据检测的效率。
所述威胁概率检测模块103,用于在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率。
本发明实施例中,可以利用预训练完成的卷积神经网络中不同卷积尺度的卷积层提取不同不同尺度的数据特征,再通过全局池化对数据特征进行特征压缩,得到池化特征,其中,池化特征可以两个不同尺度的数据特征全局池化后得到的。
本发明实施例中,将池化特征进行向量拼接后,通过激活函数进行非线性激活,得到每个目标数据的融合特征,以对不同尺度的数据特征进行融合,得到特征信息更丰富的融合特征,从而可以更精确地计算每个目标数据的威胁概率,具体地,可以利用softmax激活函数计算每个目标数据的威胁概率。
本发明实施例中,通过威胁概率可以检测内部网络中出现威胁数据的概率,可以根据威胁概率识别出威胁数据,以针对威胁数据进行对内部网络进行方位控制,提高内部网络的安全性。
所述威胁数据确定模块104,用于根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据。
本发明实施例中,威胁严重度是每个目标数据对内网网络的威胁程度,威胁严重度越大,表示对应目标数据越可能是威胁数据,表示目标数据的来源可能是对内部网络的网络攻击,需要进行相应地访问控制。
本发明实施例中,所述威胁数据确定模块104中包括指标数据确定模块301、指标影响度计算模块302及威胁严重度计算模块303。
本发明实施例中,所述威胁数据确定模块104在根据所述威胁概率计算每个所述目标数据的威胁严重度时,具体用于:
所述指标数据确定模块301,用于根据所述威胁概率在预设的威胁指标表中确定每个威胁指标对应的指标数据;
所述指标影响度计算模块302,用于根据所述指标数据计算每个所述目标数据的指标影响度;
所述威胁严重度计算模块303,用于根据所述指标影响度及所述威胁概率计算每个所述目标数据的威胁严重度。
详细地,威胁指标表是不同的网络安全指标在不同的威胁概率区间对应的指标数据,例如,网络安全指标可以包括网络机密性、网络完整性以及网络可用性等,每个网络安全指标在不同的威胁概率区间下具有不同的指标数据,例如,威胁概率在0.00~0.40时,是威胁数据的概率较小,指标数据均0,威胁概率在0.41~0.80,指标数据均为0.25,在其他的概率区间时,指标数据均为0.53,则根据不同的指标数据可以计算指标影响度。
具体地,利用预设的指标影响度公式根据所述指标数据计算每个所述目标数据的指标影响度;其中,所述指标影响度公式表示为:其中,/>表示指标影响度,/>、/>、/>分别表示不同的指标数据,/>、/>、/>分别表示预设的权重系数。
本发明实施例中,通过将威胁概率与指标影响度相乘,得到威胁严重度,将威胁严重度大于预设阈值的目标数据作为威胁数据。
本发明实施例中,通过威胁数据可以识别出内部网络中构成威胁的数据,例如,非法访问、漏洞攻击等行为的威胁数据,有效地对内部网络进行安全防护,提高内部网络的安全。
所述访问控制模块105,用于根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
本发明实施例中,通过对威胁数据的数据链路进行调整,控制威胁数据的链路在内网网络的访问,实现对内网网络的访问控制。
其中,链路调整是调整威胁数据对内部网络的访问,例如,直接禁止访问、禁止长期访问或允许长期的访问,通过链路调整进一步对威胁数据的链路访问安全性进行分析,可以更精确地对内部网络进行访问控制。
本发明实施例中,所述访问控制模块105在根据所述威胁数据对所述内部网络进行链路调整时,具体用于:
获取所述威胁数据所在数据链路的数据访问次数,根据所述数据访问记录计算所述数据链路的信任度;
根据所述信任度确定所述数据链路的调整策略;
根据所述调整策略对所述内部网络进行链路调整。
本发明实施例中,利用预设的信任度计算公式根据所述数据访问次数计算所述数据链路的信任度;所述信任度计算公式表示为:其中,/>表示信任度,/>表示预设的初始信任度,/>表示预设的信任度权重,/>表示数据访问次数,/>表示内部网络中数据访问的总次数。
本发明实施例中,可以根据信任度在预设的策略阈值中的范围确定调整策略,例如,信任度在0到第一阈值时,禁止威胁数据所在的数据链路对内部网络的访问,信任度在第一阈值到第二阈值时,调整数据链路的数据访问效率,信任度大于第二阈值时,允许进行访问,已全面地对威胁数据的数据链路进行调整。
进一步地,可以根据威胁数据所在数据链路的访问丢包率对数据访问速率进行链路调整,例如,利用预设的链路调整公式根据访问丢包率对数据访问速率进行链路调整;其中,所述链路调整公式表示为:其中,/>表示在/>时刻的数据访问速率,/>表示在/>时刻的访问丢包率,/>表示预设的内部网络的数据最大发送速率,/>、/>分别表示预设的调整向量。
本发明实施例中,通过链路调整的结果对内部网络中数据链路的数据访问速率进行访问控制,避免非法数据链路对内部网络进行数据访问,有效保证内部网络的安全性。
参照图4所示,为本发明一实施例提供的针对内部网络的威胁监测防御方法的流程示意图。在本实施例中,所述针对内部网络的威胁监测防御方法包括:
S1、获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集;
S2、根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集;
S3、在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率;
S4、根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据;
S5、根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
如图5所示,是本发明一实施例提供的针对内部网络的威胁监测防御系统的电子设备500的结构示意图。
所述电子设备500可以包括处理器501、存储器502、通信总线503以及通信接口504,还可以包括存储在所述存储器502中并可在所述处理器501上运行的计算机程序,如针对内部网络的威胁监测防御程序。
其中,所述处理器501在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing Unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。
所述存储器502至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器502在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。
所述通信总线503可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器502以及至少一个处理器501等之间的连接通信。
所述通信接口504用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。
在本发明所提供的几个实施例中,应该理解到,所揭露的电子设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种针对内部网络的威胁监测防御系统,其特征在于,所述系统包括数据特征分类模块、特征筛选模块、威胁概率检测模块、威胁数据确定模块及访问控制模块,其中:
所述数据特征分类模块,用于获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集;
所述特征筛选模块,用于根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集;
所述威胁概率检测模块,用于在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率;
所述威胁数据确定模块,用于根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据;
所述访问控制模块,用于根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
2.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于,所述数据特征分类模块在对所述网络数据集进行数值规范化处理,得到规范数据集时,具体用于:
提取所述网络数据集中的符号型数据,对所述符号型数据进行数据源分类,得到多个数据源数据集;
分别对每个所述数据源数据集进行数据编码,得到每个所述数据源数据集的编码数据集;
对所述编码数据集进行数据归一化,得到所述网络数据集的规范数据集。
3.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于,所述特征筛选模块在根据所述特征数据集构建数据邻接图时,具体用于:
计算所述特征数据集中每个特征数据预设数量的最近邻数据;
根据所述最近邻数据构建所述特征数据集的数据邻接图。
4.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于,所述特征筛选模块在根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征时,具体用于:
计算所述数据邻接图中数据节点之间的节点权重;
利用如下的节点权重公式计算所述数据邻接图中数据节点之间的节点权重:其中,/>表示第/>个数据节点与第/>个数据节点之间的节点权重,/>表示第/>个数据节点,/>表示第/>个数据节点,/>表示预设的固定参数,/>表示自然常数;
根据所述节点权重构建节点权重矩阵及嵌入矩阵;
根据所述节点权重矩阵及所述嵌入矩阵生成所述数据邻接图的嵌入方程;
所述嵌入方程表示为:其中,/>表示所述嵌入矩阵,/>表示所述节点权重矩阵,/>表示矩阵/>的特征值,/>是特征值/>对应的特征向量;
求解所述嵌入方程的特征向量,根据所述特征向量计算所述特征数据集中每个特征数据的嵌入特征。
5.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于,所述特征筛选模块在根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集时,具体用于:
利用预构建的随机森林模型计算每个嵌入特征的基尼系数;
根据所述基尼系数计算每个嵌入特恒的贡献平均度;
根据所述贡献平均度确定所述网络特征集的贡献程度,根据所述贡献程度进行特征筛选,得到目标特征集。
6.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于, 所述威胁数据确定模块在根据所述威胁概率计算每个所述目标数据的威胁严重度时,具体用于:
根据所述威胁概率在预设的威胁指标表中确定每个威胁指标对应的指标数据;
根据所述指标数据计算每个所述目标数据的指标影响度;
根据所述指标影响度及所述威胁概率计算每个所述目标数据的威胁严重度。
7.如权利要求6所述的针对内部网络的威胁监测防御系统,其特征在于,所述威胁数据确定模块在根据所述指标数据计算每个所述目标数据的指标影响度时,具体用于:
利用预设的指标影响度公式根据所述指标数据计算每个所述目标数据的指标影响度;其中,所述指标影响度公式表示为:其中,/>表示指标影响度,/>、/>、/>分别表示不同的指标数据,/>、/>、/>分别表示预设的权重系数。
8.如权利要求1所述的针对内部网络的威胁监测防御系统,其特征在于,所述访问控制模块在根据所述威胁数据对所述内部网络进行链路调整时,具体用于:
获取所述威胁数据所在数据链路的数据访问次数,根据所述数据访问记录计算所述数据链路的信任度;
利用如下的公式计算所述数据链路的信任度:其中,/>表示信任度,/>表示预设的初始信任度,/>表示预设的信任度权重,/>表示数据访问次数,/>表示内部网络中数据访问的总次数;
根据所述信任度确定所述数据链路的调整策略;
根据所述调整策略对所述内部网络进行链路调整。
9.一种针对内部网络的威胁监测防御方法,其特征在于,所述方法包括:
获取内部网络的网络数据集,对所述网络数据集进行数值规范化处理,得到规范数据集,利用预设的网络特征集对所述规范数据集进行特征分类,得到特征数据集;
根据所述特征数据集构建数据邻接图,根据所述数据邻接图计算所述特征数据集中每个特征数据的嵌入特征,根据所述嵌入特征对所述网络特征集进行特征筛选,得到目标特征集;
在所述网络数据集中提取所述目标特征集的目标数据集,根据所述目标数据集对所述内部网络进行威胁数据检测,得到所述目标数据集中每个目标数据的威胁概率;
根据所述威胁概率计算每个所述目标数据的威胁严重度,根据所述威胁严重度确定所述网络数据集中的威胁数据;
根据所述威胁数据对所述内部网络进行链路调整,根据链路调整的结果对所述内部网络进行访问控制。
10.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1所述的针对内部网络的威胁监测防御系统的功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410226268.0A CN117811841B (zh) | 2024-02-29 | 2024-02-29 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410226268.0A CN117811841B (zh) | 2024-02-29 | 2024-02-29 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117811841A true CN117811841A (zh) | 2024-04-02 |
| CN117811841B CN117811841B (zh) | 2024-07-12 |
Family
ID=90433770
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410226268.0A Active CN117811841B (zh) | 2024-02-29 | 2024-02-29 | 一种针对内部网络的威胁监测防御系统、方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117811841B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| CN110737890A (zh) * | 2019-10-25 | 2020-01-31 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| CN112291260A (zh) * | 2020-11-12 | 2021-01-29 | 福建奇点时空数字科技有限公司 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
| CN112637215A (zh) * | 2020-12-22 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全检测方法、装置、电子设备及可读存储介质 |
| CN113780443A (zh) * | 2021-09-16 | 2021-12-10 | 中国民航大学 | 一种面向威胁检测的网络安全态势评估方法 |
| US20210409428A1 (en) * | 2020-06-25 | 2021-12-30 | VocaLink Limited | Forensically Analysing and Determining a Network Associated with a Network Security Threat |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及系统 |
| US20220038490A1 (en) * | 2020-07-28 | 2022-02-03 | The Boeing Company | Cybersecurity threat modeling and analysis with text miner and data flow diagram editor |
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| WO2023064007A1 (en) * | 2021-10-11 | 2023-04-20 | Sophos Limited | Augmented threat investigation |
| CN116192530A (zh) * | 2023-03-13 | 2023-05-30 | 电子科技大学 | 一种基于欺骗性防御的未知威胁自适应检测方法 |
| CN117319047A (zh) * | 2023-10-09 | 2023-12-29 | 北京易财花科技有限公司 | 一种基于网络安全异常检测的网络路径分析方法及系统 |
| CN117579332A (zh) * | 2023-11-15 | 2024-02-20 | 西安四叶草信息技术有限公司 | 网络威胁检测方法和装置 |
-
2024
- 2024-02-29 CN CN202410226268.0A patent/CN117811841B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| CN110737890A (zh) * | 2019-10-25 | 2020-01-31 | 中国科学院信息工程研究所 | 一种基于异质时序事件嵌入学习的内部威胁检测系统及方法 |
| CN111294332A (zh) * | 2020-01-13 | 2020-06-16 | 交通银行股份有限公司 | 一种流量异常检测与dns信道异常检测系统及方法 |
| US20210409428A1 (en) * | 2020-06-25 | 2021-12-30 | VocaLink Limited | Forensically Analysing and Determining a Network Associated with a Network Security Threat |
| US20220038490A1 (en) * | 2020-07-28 | 2022-02-03 | The Boeing Company | Cybersecurity threat modeling and analysis with text miner and data flow diagram editor |
| CN112291260A (zh) * | 2020-11-12 | 2021-01-29 | 福建奇点时空数字科技有限公司 | 一种面向apt攻击的网络安全威胁隐蔽目标识别方法 |
| CN112637215A (zh) * | 2020-12-22 | 2021-04-09 | 北京天融信网络安全技术有限公司 | 网络安全检测方法、装置、电子设备及可读存储介质 |
| CN114006722A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 发现威胁的态势感知验证方法、装置及系统 |
| CN113780443A (zh) * | 2021-09-16 | 2021-12-10 | 中国民航大学 | 一种面向威胁检测的网络安全态势评估方法 |
| WO2023064007A1 (en) * | 2021-10-11 | 2023-04-20 | Sophos Limited | Augmented threat investigation |
| CN114124516A (zh) * | 2021-11-19 | 2022-03-01 | 上海纽盾科技股份有限公司 | 态势感知预测方法、装置及系统 |
| CN116192530A (zh) * | 2023-03-13 | 2023-05-30 | 电子科技大学 | 一种基于欺骗性防御的未知威胁自适应检测方法 |
| CN117319047A (zh) * | 2023-10-09 | 2023-12-29 | 北京易财花科技有限公司 | 一种基于网络安全异常检测的网络路径分析方法及系统 |
| CN117579332A (zh) * | 2023-11-15 | 2024-02-20 | 西安四叶草信息技术有限公司 | 网络威胁检测方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| 杨宏宇;王峰岩;吕伟力;: "基于无监督生成推理的网络安全威胁态势评估方法", 《清华大学学报(自然科学版)》, vol. 60, no. 06, 9 December 2019 (2019-12-09), pages 474 - 484 * |
| 赵灿明;李祝红;: ""基于数据挖掘及数据分析的局域网用户网络访问行为审计系统"", 《通讯世界》, no. 01, 12 January 2015 (2015-01-12), pages 41 - 43 * |
| 郭世泽, 等;: ""内部威胁发现检测方法研究综述"", 《数据采集与处理》, vol. 37, no. 03, 15 May 2022 (2022-05-15), pages 488 - 501 * |
| 黄光发;: "防内部网络攻击研究", 信息与电脑(理论版), no. 06, 15 June 2013 (2013-06-15), pages 45 - 46 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117811841B (zh) | 2024-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380896B (zh) | 基于攻击图的网络安全态势感知系统和方法 | |
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN108156131B (zh) | Webshell检测方法、电子设备和计算机存储介质 | |
| CN116647411B (zh) | 游戏平台网络安全的监测预警方法 | |
| CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
| CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
| CN112235288B (zh) | 一种基于gan的ndn网络入侵检测方法 | |
| Taylor et al. | Detecting malicious exploit kits using tree-based similarity searches | |
| CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
| CN114422211B (zh) | 基于图注意力网络的http恶意流量检测方法及装置 | |
| CN112839017A (zh) | 一种网络攻击检测方法及其装置、设备和存储介质 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| Sree et al. | HADM: detection of HTTP GET flooding attacks by using Analytical hierarchical process and Dempster–Shafer theory with MapReduce | |
| CN115987544A (zh) | 一种基于威胁情报的网络安全威胁预测方法及系统 | |
| CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
| Hong et al. | [Retracted] Abnormal Access Behavior Detection of Ideological and Political MOOCs in Colleges and Universities | |
| CN113886817A (zh) | 主机入侵检测方法及装置、电子设备、存储介质 | |
| CN110086788A (zh) | 基于云WAF的深度学习WebShell防护方法 | |
| CN111832661B (zh) | 分类模型构建方法、装置、计算机设备及可读存储介质 | |
| CN111709021B (zh) | 一种基于海量告警的攻击事件识别方法及电子装置 | |
| CN117811841B (zh) | 一种针对内部网络的威胁监测防御系统、方法及设备 | |
| Li et al. | Web application-layer DDOS attack detection based on generalized Jaccard similarity and information entropy | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| Meng et al. | Hidden service website response fingerprinting attacks based on response time feature |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |