CN118101250A - 一种网络安全检测方法及系统 - Google Patents
一种网络安全检测方法及系统 Download PDFInfo
- Publication number
- CN118101250A CN118101250A CN202410138198.3A CN202410138198A CN118101250A CN 118101250 A CN118101250 A CN 118101250A CN 202410138198 A CN202410138198 A CN 202410138198A CN 118101250 A CN118101250 A CN 118101250A
- Authority
- CN
- China
- Prior art keywords
- network
- behavior
- security
- data
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 92
- 230000006399 behavior Effects 0.000 claims abstract description 135
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 53
- 230000001149 cognitive effect Effects 0.000 claims abstract description 31
- 230000002159 abnormal effect Effects 0.000 claims abstract description 26
- 230000007246 mechanism Effects 0.000 claims abstract description 20
- 230000007123 defense Effects 0.000 claims abstract description 17
- 230000002787 reinforcement Effects 0.000 claims abstract description 12
- 238000010223 real-time analysis Methods 0.000 claims abstract description 7
- 238000011897 real-time detection Methods 0.000 claims abstract description 7
- 238000012163 sequencing technique Methods 0.000 claims abstract description 6
- 238000000034 method Methods 0.000 claims description 35
- 230000000694 effects Effects 0.000 claims description 24
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 23
- 238000004458 analytical method Methods 0.000 claims description 19
- 230000003044 adaptive effect Effects 0.000 claims description 18
- 238000005516 engineering process Methods 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 11
- 238000011156 evaluation Methods 0.000 claims description 11
- 230000004927 fusion Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 8
- 238000012098 association analyses Methods 0.000 claims description 7
- 230000002452 interceptive effect Effects 0.000 claims description 7
- 238000005065 mining Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 6
- 230000001960 triggered effect Effects 0.000 claims description 6
- 238000010219 correlation analysis Methods 0.000 claims description 5
- 238000012423 maintenance Methods 0.000 claims description 5
- 230000002085 persistent effect Effects 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 claims description 4
- 238000010276 construction Methods 0.000 claims description 4
- 238000005336 cracking Methods 0.000 claims description 3
- 238000009826 distribution Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 claims description 3
- 238000002955 isolation Methods 0.000 claims description 3
- 238000004519 manufacturing process Methods 0.000 claims description 3
- 238000013507 mapping Methods 0.000 claims description 3
- 238000012502 risk assessment Methods 0.000 claims description 3
- 238000012216 screening Methods 0.000 claims description 3
- 230000002194 synthesizing effect Effects 0.000 claims description 3
- 230000002123 temporal effect Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 238000012549 training Methods 0.000 claims description 2
- 239000004065 semiconductor Substances 0.000 claims 1
- 230000001360 synchronised effect Effects 0.000 abstract description 3
- 238000002347 injection Methods 0.000 description 7
- 239000007924 injection Substances 0.000 description 7
- 238000004088 simulation Methods 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000013179 statistical model Methods 0.000 description 2
- 238000012300 Sequence Analysis Methods 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000008649 adaptation response Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000008713 feedback mechanism Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 238000011867 re-evaluation Methods 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全检测方法及系统,涉及网络安全技术领域,包括通过自适应算法学习网络行为的认知标准;结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。通过模仿攻击行为和应用强化学习,本发明能够自动更新安全策略,确保安全措施与最新的威胁情报和网络状态保持同步,提高了整体安全防御的智能化和自适应能力。
Description
技术领域
本发明涉及网络安全技术领域,特别是一种网络安全检测方法及系统。
背景技术
在现有的网络安全检测方法和系统中,主要依赖于静态规则和签名匹配技术来识别已知的威胁。这些系统往往包括入侵检测系统(IDS)、防火墙、以及基于规则的行为分析工具等。它们通过比对网络流量和用户行为与已知攻击模式的特征,来识别潜在的安全威胁。此外,一些系统还运用简单的异常检测技术,基于网络行为的统计模型来识别异常行为。这些方法在检测传统类型的网络攻击,如病毒、蠕虫和基本的拒绝服务攻击等方面表现良好。
然而,这些传统的网络安全检测方法在应对新兴和复杂的网络安全威胁方面存在显著局限性。首先,它们大多数依赖于已知威胁的签名和行为模式,因此难以有效识别零日攻击和高级持续性威胁(APT)。这些攻击通常使用未被现有安全系统记录的技术和策略,使得传统的基于签名的检测方法无效。其次,现有的异常检测系统往往产生较高的误报率,因为它们通常基于静态的统计模型,这些模型未能充分考虑网络行为的复杂性和动态性。最后,现有系统在数据融合、智能化分析和自适应响应机制方面也存在不足,这限制了它们在快速演变的网络环境中的有效性。
发明内容
鉴于现有的网络安全检测方法在应对新兴和复杂的网络安全威胁方面存在的问题,提出了本发明。
因此,本发明所要解决的问题在于如何有效识别和应对新兴及复杂的网络安全威胁,特别是针对难以检测的零日攻击和高级持续性威胁。
为解决上述技术问题,本发明提供如下技术方案:
第一方面,本发明实施例提供了一种网络安全检测方法,其包括通过自适应算法学习网络行为的认知标准,以识别网络行为模式;结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;将跨联网设备和系统数据进行融合,以形成网络环境全景的安全状况视图;引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
作为本发明所述网络安全检测方法的一种优选方案,其中:通过自适应算法学习网络行为的认知标准包括以下步骤:选择和设计自适应算法架构,以适应不同网络环境和行为模式;引入关联规则挖掘技术深入分析网络行为,以提取频繁项集和高置信度规则;利用规则识别正常行为模式和异常行为线索,以形成认知标准;通过模拟不同的网络环境对自适应算法进行训练和测试,以适应真实世界中的复杂网络行为;引入元学习机制,通过学习在不同任务和数据分布上的模式和规律,提升自适应算法对新场景的适应能力;定期复审和验证网络行为的认知标准,使其准确反映最新的网络行为模式。
作为本发明所述网络安全检测方法的一种优选方案,其中:频繁项集的识别包括以下流程:根据分析目标和数据特征确定最小支持度以筛选项集;从单个元素出发,递增地合成更大的项集组合以生成候选项集;为每个候选项集计算支持度以评估候选项集在数据集中的频繁程度,并淘汰低于最小支持度的项集;基于现有频繁项集迭代生成新的候选项集,直至无更多新项集;为每个频繁项集构建潜在的关联规则,并对每条规则进行置信度评估以确定其预测力度;进行规则筛选,仅保留满足最小置信度要求的高质量规则;支持度Supc(X→Y)的计算公式如下:
其中,T表示所有网络事务的集合,ft表示事务t的频率因子,gt表示事务t的关联度因子,X∪Y表示频繁项集,X、Y均表示项集,表示指示函数。
置信度Con(X→Y)的具体公式如下:
其中,X、Y均表示项集,Supc(X→Y)表示项集X和Y联合出现的支持度,Supc(X)表示项集X的支持度,H(X,Y)表示一个基于网络行为之间动态关系的加权因子。
作为本发明所述网络安全检测方法的一种优选方案,其中:利用规则识别正常行为模式和异常行为线索包括以下步骤:整合关联规则形成综合规则集,并将综合规则集划分为两类,一类用于识别正常行为模式,另一类用于识别异常行为线索;将实时或历史的网络行为数据映射到关联规则上,并在数据集上执行规则匹配以检查每条记录是否符合已有的规则;若数据满足某个规则的条件时,执行规则触发,将其标记为对应的行为模式;对于每个触发的规则,计算其在此规则条件下出现预测行为的置信度,并通过设定概率阈值区分正常和异常行为;将符合常规预期且置信度高于概率阈值的行为标定为正常行为模式,将不符合常规预期且置信度低于概率阈值的行为标定为异常行为线索;基于识别出的行为模式,形成网络行为的认知标准;开发条件交互式的机制,在特征选择阶段根据算法的反馈动态调整认知标准。
作为本发明所述网络安全检测方法的一种优选方案,其中:通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型包括以下步骤:利用时间序列对网络流量数据进行分析,并提取时序特征以捕捉在不同时间窗口内行为的动态变化;采用多变量关联分析技术对不同维度的数据特征进行关联,以发现潜在的复杂攻击模式;融合认知标准和多变量关联分析结果,应用异常检测算法对网络流量进行行为模式分析,以识别不符合正常行为模式的流量;通过整合多种数据和分析结果构建多维度异常检测模型,进行全面的安全评估。
作为本发明所述网络安全检测方法的一种优选方案,其中:采用多变量关联分析技术对不同维度的数据特征进行关联包括以下步骤:进行多条件异常行为检测,若某IP地址在过去的一定时间窗口内尝试登录并失败的次数超过预设阈值σ,且这些登录尝试涉及超过σ/5个不同用户账户,或此IP地址与任何已知的安全管理员或常用IP不匹配,则判断为潜在的暴力破解攻击,并触发额外的安全审查;进行时间和行为关联性分析,若一个用户在短时间内从国外的IP地址登录,且在登录后立即尝试访问受保护的资源或敏感数据,则判断为潜在的账户劫持或非授权访问,并启动即时的用户身份验证过程;进行上下文敏感的异常检测,若检测到与高级持续性威胁相关的行为模式,且这些行为与最近的安全补丁发布或网络维护活动有时间上的重叠,或在其他安全系统接收到相似的警报,则将此情况评估为高风险事件,并立即启动应急响应程序;进行综合外部情报和内部检测,若网络活动与已知的恶意软件特征匹配,且最近的威胁情报报告中提到了类似的恶意软件活动,或系统内部检测到与该恶意软件相关的异常数据流或可疑文件行为,则将这一事件分类为紧急安全事件,并立即进行深入的恶意软件分析和清除程序;进行多层次的行为分析和自适应响应,若系统通过自适应算法检测到某个网络行为与建立的正常行为认知标准显著不符,且此行为与关联规则挖掘技术识别出的高置信度异常行为规则相匹配,则系统判断此行为是潜在的安全威胁,并启动相应的安全响应措施包括用户验证、流量限制或自动隔离。
作为本发明所述网络安全检测方法的一种优选方案,其中:建立动态的漏洞评估模型包括设计智能算法根据漏洞的利用难度、影响范围和安全级别对漏洞进行优先级排序,若漏洞存在于多个版本或多个产品中,且这些产品在关键业务系统中广泛使用,则将漏洞的基础优先级设为高;若网络上出现漏洞的利用代码,且这些代码易于获取和执行,则自动提升漏洞的优先级;若漏洞能被远程直接利用,且在利用过程中不需要依赖于复杂的环境设置或用户的交互操作,则将漏洞标记为极高风险;若漏洞与已知攻击活动或恶意软件活动相关联,且此活动目前处于活跃状态,则漏洞优先级被判定为紧急处理;若最新的威胁情报表明漏洞的风险评估有所改变,或新出现的相关漏洞可能与此漏洞协同作用,则立即重新评估漏洞优先级,并调整响应策略;若对漏洞的修复措施实施后,检测到新的或持续的异常行为,则对漏洞的处理状态和修复效果进行重新评估。
第二方面,本发明实施例提供了网络安全检测系统,其包括认知标准模块,用于通过自适应算法学习网络行为的认知标准,以识别网络行为模式;模型构建模块,用于结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;融合模块,用于将跨联网设备和系统数据进行融合,以形成网络环境全景的安全状况视图;漏洞评估模块,用于引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;策略制定模块,用于通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;循环模块,用于建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
第三方面,本发明实施例提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其中:所述计算机程序指令被处理器执行时实现如本发明第一方面所述的网络安全检测方法的步骤。
第四方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其中:所述计算机程序指令被处理器执行时实现如本发明第一方面所述的网络安全检测方法的步骤。
本发明的有益效果为:本发明通过融合自适应算法和多维度数据分析,能准确识别和分类包括新兴和复杂威胁在内的多变网络行为;结合多种算法构建的多维度异常检测模型能够全面分析网络流量,有效地识别各类安全威胁,特别是复杂和隐蔽的攻击模式;结合实时威胁情报和机器学习技术,实现了一种动态的漏洞评估和优先级排序机制,确保快速和有效地应对新出现的安全漏洞;通过模仿攻击行为和应用强化学习,本发明能够自动更新安全策略,确保安全措施与最新的威胁情报和网络状态保持同步,提高了整体安全防御的智能化和自适应能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见的,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为网络安全检测方法的框架流程图。
图2为网络安全检测方法的算法流程图。
图3为网络安全检测方法的计算机设备图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于此描述的其他方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
实施例1
参照图1~图3,为本发明第一个实施例,该实施例提供了一种网络安全检测方法,包括,
S1:通过自适应算法学习网络行为的认知标准,以识别网络行为模式。
具体的,包括以下步骤:
S1.1:选择和设计自适应算法架构,以适应不同网络环境和行为模式。
优选的,自适应算法架构包括分层结构、模块化设计和参数自调整机制。
S1.2:引入关联规则挖掘技术深入分析网络行为,以提取频繁项集和高置信度规则。
具体的,收集网络行为日志数据包括用户行为、时间戳和行为类型,并对日志数据进行清洗和规范化;将清洗和规范化后的日志数据转换为适配关联规则挖掘的项集格式;应用Apriori算法,定义并计算支持度和置信度以评估项集的普遍性和规则的强度;执行频繁项集的识别流程,并根据识别的频繁项集生成关联规则并计算置信度,以筛选出强规则;对通过Apriori算法获得的频繁项集和关联规则进行验证和解读,以理解网络行为模式;根据不同的应用场景调整算法参数或数据特征,以确保提取的规则在特定网络行为识别任务中的相关性和有效性。
具体的,频繁项集的识别流程包括以下步骤:根据分析目标和数据特征确定最小支持度以筛选项集;从单个元素出发,递增地合成更大的项集组合以生成候选项集;为每个候选项集计算支持度,以评估其在数据集中的频繁程度;淘汰低于最小支持度的项集,保留潜在有用的项集;基于现有频繁项集迭代生成新的候选项集,直至无更多新项集;为每个频繁项集构建潜在的关联规则,并对每条规则进行置信度评估以确定其预测力度;进行规则筛选,仅保留满足最小置信度要求的高质量规则。
需要说明的是,支持度Supc(X→Y)的计算公式如下:
其中,T表示所有网络事务的集合,ft表示事务t的频率因子(基于事务发生的频率或在特定时间窗口内的重复性),gt表示事务t的关联度因子(衡量事务与特定网络行为模式的关联程度),X∪Y表示频繁项集,X、Y均表示项集,表示一个指示函数,当X∪Y是事务t的子集时取值为1,否则为0。
需要说明的是,置信度Con(X→Y)的具体公式如下:
其中,X、Y均表示项集,Supc(X→Y)表示项集X和Y联合出现的支持度,Supc(X)表示项集X的支持度,H(X,Y)表示一个基于网络行为之间动态关系的加权因子(在网络安全上的相互依赖性或影响力)。
S1.3:利用规则识别正常行为模式和异常行为线索,以形成认知标准。
具体的,整合步骤S1.2中提取的关联规则形成综合规则集,并将综合规则集分为两类,一类用于识别正常行为模式,另一类用于识别异常行为线索;将实时或历史的网络行为数据映射到关联规则上,并在数据集上执行规则匹配以检查每条记录是否符合已有的规则;若数据满足某个规则的条件时,执行规则触发,将其标记为对应的行为模式;对于每个触发的规则,计算其在此规则条件下出现预测行为的概率(即置信度),并通过设定概率阈值区分正常和异常行为;将符合常规预期且置信度高于概率阈值的行为标定为正常行为模式,将不符合常规预期且置信度低于概率阈值的行为标定为异常行为线索;基于识别出的行为模式,形成网络行为的认知标准;开发条件交互式的机制,在特征选择阶段根据算法的反馈动态调整认知标准。
S1.4:通过模拟不同的网络环境对自适应算法进行训练和测试,以适应真实世界中的复杂网络行为。
S1.5:引入元学习机制,通过学习在不同任务和数据分布上的模式和规律,提升自适应算法对新场景的适应能力。
S1.6:定期复审和验证网络行为的认知标准,使其准确反映最新的网络行为模式。
S2:采用混合式算法策略,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型。
具体的,包括以下步骤:
S2.1:利用时间序列对网络流量数据进行分析,并提取时序特征以捕捉在不同时间窗口内行为的动态变化。
S2.2:采用多变量关联分析技术对不同维度的数据特征进行关联,以发现潜在的复杂攻击模式。
具体的,进行多条件异常行为检测,若某IP地址在过去的一定时间窗口内(如24小时)尝试登录并失败的次数超过预设阈值σ,且这些登录尝试涉及超过σ/5个不同用户账户,或此IP地址与任何已知的安全管理员或常用IP不匹配,则判断为潜在的暴力破解攻击,并触发额外的安全审查;进行时间和行为关联性分析,若一个用户在短时间内从国外的IP地址登录,且在登录后立即尝试访问受保护的资源或敏感数据,则判断为潜在的账户劫持或非授权访问,并启动即时的用户身份验证过程;进行上下文敏感的异常检测,若检测到与高级持续性威胁(APT)相关的行为模式(如横向移动或数据渗透),且这些行为与最近的安全补丁发布或网络维护活动有时间上的重叠,或从其他安全系统(如防火墙或入侵监测系统)接收到相似的警报,则将此情况评估为高风险事件,并立即启动应急响应程序;进行综合外部情报和内部检测,若网络活动与已知的恶意软件特征匹配,且最近的威胁情报报告中提到了类似的恶意软件活动,或系统内部检测到与该恶意软件相关的异常数据流或可疑文件行为,则将这一事件分类为紧急安全事件,并立即进行深入的恶意软件分析和清除程序;进行多层次的行为分析和自适应响应,若系统通过自适应算法检测到某个网络行为(如频繁的数据请求或异常的登录尝试)与S1中建立的正常行为认知标准显著不符,且此行为与关联规则挖掘技术识别出的高置信度异常行为规则相匹配,则系统判断此行为是潜在的安全威胁,并启动相应的安全响应措施如用户验证、流量限制或自动隔离。
需要说明的是,预设阈值σ是基于历史数据分析确定的,该阈值应高于正常使用条件下的最大登录失败次数。而将账户数量阈值设为σ/5是基于对历史数据的分析和对正常与异常登录行为的深入理解。这一比例反映了攻击者在暴力破解尝试中的典型行为模式,即在多次登录失败后切换到不同的账户,同时也考虑到了平衡安全性和用户体验。
S2.3:融合认知标准和多变量关联分析结果,应用异常检测算法对网络流量进行行为模式分析,以识别不符合正常行为模式的流量。
S2.4:通过整合多源数据和分析结果构建多维度异常检测模型,进行全面的安全评估。
S3:将网络行为数据、网络流量数据与跨联网设备和系统的数据进行整合,以创建网络全景安全状况视图。
优选的,开发高效的数据融合引擎,实时整合各类物联网设备和系统的数据;采用边缘计算技术减少数据传输延迟,提升数据融合的实时性和处理效率;使用数据挖掘技术对融合数据进行多维分析,揭示跨设备和系统的安全相关模式;设计交互式可视化工具,将复杂的融合数据转化为直观的安全状况视图。
S4:引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,优先处理关键漏洞。
具体的,包括以下步骤:
S4.1:利用机器学习对实时威胁情报进行分析,预测潜在的新漏洞和攻击趋势。
S4.2:整合威胁智能与静态、动态漏洞分析结果,形成全面的漏洞评估。
优选的,收集来自内部网络监控、历史漏洞数据库、外部威胁情报的数据;将收集的数据进行预处理和标准化,并应用NLP技术解析非结构化威胁情报以实现数据的深度融合;若融合数据中出现高度不一致或冲突信息,则启动深度验证流程;利用机器学习算法对融合后的数据进行分析,以识别潜在漏洞和攻击模式;根据分析结果对漏洞进行评估包括严重性、影响范围和利用难度,并根据漏洞评估结果动态调整漏洞的处理优先级;建立自适应反馈机制,根据防御效果和新出现的威胁情报调整评估模型和防御策略。
具体的,深度验证流程包括:评估数据源的历史准确性记录,检查数据收集和传输过程中的完整性和安全性;结合其他相关数据和信息(如事件日志、用户行为、网络状态),评估异常数据的情境合理性;使用高级统计分析、机器学习算法或专家系统来检测数据模式和异常,识别潜在的数据篡改或误报;与第三方安全机构、行业数据库或专家进行信息交换和比对,以验证数据的一致性;确认数据准确无误后,更新系统;若发现数据错误或不可靠,则进行修正或排除。
S4.3:设计智能算法根据漏洞的利用难度、影响范围和安全级别对漏洞进行优先级排序。
具体的,若漏洞存在于多个版本或多个产品中,且这些产品在关键业务系统中广泛使用,则将漏洞的基础优先级设为高;若网络上出现漏洞的利用代码,且这些代码易于获取和执行,则自动提升漏洞的优先级;若漏洞能被远程直接利用,且在利用过程中不需要依赖于复杂的环境设置或用户的交互操作,则将漏洞标记为极高风险;若漏洞与已知攻击活动或恶意软件活动相关联,且此活动目前处于活跃状态,则漏洞优先级被判定为紧急处理;若最新的威胁情报表明漏洞的风险评估有所改变,或新出现的相关漏洞可能与此漏洞协同作用,则立即重新评估漏洞优先级,并调整响应策略;若对漏洞的修复措施实施后,检测到新的或持续的异常行为,则对漏洞的处理状态和修复效果进行重新评估。
S4.4:开发漏洞重评机制,根据网络环境变化和新出现的威胁情报动态调整漏洞评级和优先级。
需要说明的是,S1通过自适应算法定义网络行为的认知标准,这些标准可以辅助S4中的漏洞评估,特别是在识别与已知行为模式不一致的潜在漏洞方面;S2提供了多维度的异常检测模型,这些模型能够识别网络流量中的异常行为,这些信息对于S4中漏洞的识别和优先级排序非常关键;S3中的数据融合机制提供了一个全景视图,汇集了各类网络数据,这为S4提供了更加全面的数据支持,使得漏洞评估更加准确和全面。
S5:通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略。
优选的,构建仿真环境,实时模拟各种已知和未知的攻击行为,为防御策略的制定和演化提供实验数据;结合模仿攻击行为的结果,使用强化学习算法优化安全策略的决策过程;开发自适应安全响应系统,根据当前网络状况和威胁级别动态调整响应策略设计多策略协调机制,允许不同防御技术之间共享情报并协同作战,提高整体防御效率。
需要说明的是,S5步骤进一步加强了网络安全检测方法的主动防御能力。通过模拟攻击行为,该步骤不仅帮助识别潜在的攻击向量,还能够测试和优化现有的安全响应策略。结合强化学习,这一步骤使得安全策略能够根据新的威胁情报和网络环境的变化进行自动调整,确保安全措施始终保持最新和最有效。
S6:建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
进一步的,本实施例还提供一种网络安全检测系统,包括认知标准模块,用于通过自适应算法学习网络行为的认知标准,以识别网络行为模式;模型构建模块,用于结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;融合模块,用于将跨联网设备和系统数据进行融合,以形成网络环境全景的安全状况视图;漏洞评估模块,用于引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;策略制定模块,用于通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;循环模块,用于建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
本实施例还提供一种计算机设备,适用于网络安全检测方法的情况,包括存储器和处理器;存储器用于存储计算机可执行指令,处理器用于执行计算机可执行指令,实现如上述实施例提出的网络安全检测方法。
该计算机设备可以是终端,该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述实施例提出的实现网络安全检测方法。
综上,本发明通过融合自适应算法和多维度数据分析,能准确识别和分类包括新兴和复杂威胁在内的多变网络行为;结合多种算法构建的多维度异常检测模型能够全面分析网络流量,有效地识别各类安全威胁,特别是复杂和隐蔽的攻击模式;结合实时威胁情报和机器学习技术,实现了一种动态的漏洞评估和优先级排序机制,确保快速和有效地应对新出现的安全漏洞;通过模仿攻击行为和应用强化学习,本发明能够自动更新安全策略,确保安全措施与最新的威胁情报和网络状态保持同步,提高了整体安全防御的智能化和自适应能力。
实施例2
参照图1~图3,为本发明第二个实施例,该实施例提供了一种网络安全检测方法,为了验证本发明的有益效果,通过经济效益计算和仿真实验进行科学论证。
具体的,构建包含1000个网络节点和500名用户的模拟环境,实验基本数据表格如表1所示。在这个环境中,模拟180次不同类型的网络攻击包括100次分布式拒绝服务(DDoS攻击)、50次钓鱼攻击和30次SQL注入攻击。这些攻击类型被选取是因为它们在现实世界中非常普遍且具有破坏性。
表1实验基本数据表格
| 类别 | 数量 | 描述 |
| 网络节点 | 1000 | 服务器、工作站、移动设备 |
| 用户数量 | 500 | 模拟日常网络活动的用户 |
| 网络攻击次数 | 180 | 包括DDoS、钓鱼、SQL注入等 |
| DDoS攻击 | 100 | 模拟钓鱼攻击实例 |
| 钓鱼攻击 | 50 | 模拟钓鱼攻击实例 |
| SQL注入攻击 | 30 | SQL注入攻击实例 |
进一步的,使用自适应行为分析算法收集正常网络访问模式包括用户活动、系统交互等,建立频繁模式样本库;采用时间序列分析方法,识别工作日和非工作日网络流量波动规律,确定访问高峰和低谷;在进行攻击仿真时,多数DDoS和SQL注入异常流量与S1和S2中的基线检测结果显著不符,系统成功检出并预警了80%的DDoS攻击和75%的SQL注入攻击,但有20%的钓鱼攻击模拟因数据特征相似而未被基线算法检测。
进一步的,通过用户访问日志和邮件记录关联性分析,提高钓鱼攻击的检测率至95%以上;利用漏洞评估和防御优化模块,调整检测算法和防护策略,提升对新型攻击的检测能力约27%。
最后,实验结果显示:DDoS攻击的检测准确率为98%,钓鱼攻击为95%,SQL注入攻击为97%,攻击平均响应时间在4秒~6秒,整体误报率为2%。经济效益方面,安全事件处理成本节约了40%,员工生产效率提升了15%,网络维护费用降低了25%。
优选的,本发明与现有技术的评估指标如表2所示。
表2本发明与现有技术的评估指标
| 评估指标 | 本发明 | 现有技术 |
| 检测准确率 | 95%~98% | 约80%~90% |
| 响应时间 | 平均4~6秒 | 平均15~20秒 |
| 误报率 | 2% | 约5%~10% |
| 安全事件处理成本(节约) | 40% | 约20% |
| 员工生产效率(提升) | 15% | 约5%~10% |
| 网络维护费用(降低) | 25% | 约10%~15% |
进一步的,表2数据表明,本发明方法不仅在各类攻击的检测上准确率高,误报率低,响应时间短,而且还能显著降低网络安全管理的整体成本,提高工作效率。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种网络安全检测方法,其特征在于:包括,
通过自适应算法学习网络行为的认知标准,以识别网络行为模式;
结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;
将跨联网设备和系统数据进行融合,以形成网络环境全景的安全状况视图;
引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;
通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;
建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
2.如权利要求1所述的网络安全检测方法,其特征在于:所述通过自适应算法学习网络行为的认知标准包括以下步骤:
选择和设计自适应算法架构,以适应不同网络环境和行为模式;
引入关联规则挖掘技术深入分析网络行为,以提取频繁项集和高置信度规则;
利用规则识别正常行为模式和异常行为线索,以形成认知标准;
通过模拟不同的网络环境对自适应算法进行训练和测试,以适应真实世界中的复杂网络行为;
引入元学习机制,通过学习在不同任务和数据分布上的模式和规律,提升自适应算法对新场景的适应能力;
定期复审和验证网络行为的认知标准,使其准确反映最新的网络行为模式。
3.如权利要求2所述的网络安全检测方法,其特征在于:所述频繁项集的识别包括以下流程:
根据分析目标和数据特征确定最小支持度以筛选项集;
从单个元素出发,递增地合成更大的项集组合以生成候选项集;
为每个候选项集计算支持度以评估候选项集在数据集中的频繁程度,并淘汰低于最小支持度的项集;
基于现有频繁项集迭代生成新的候选项集,直至无更多新项集;
为每个频繁项集构建潜在的关联规则,并对每条规则进行置信度评估以确定其预测力度;
进行规则筛选,仅保留满足最小置信度要求的高质量规则;
所述支持度Supc(X→Y)的计算公式如下:
其中,T表示所有网络事务的集合,ft表示事务t的频率因子,gt表示事务t的关联度因子,X∪Y表示频繁项集,X、Y均表示项集,表示指示函数;
所述置信度Con(X→Y)的具体公式如下:
其中,X、Y均表示项集,Supc(X→Y)表示项集X和Y联合出现的支持度,Supc(X)表示项集X的支持度,H(X,Y)表示一个基于网络行为之间动态关系的加权因子。
4.如权利要求2所述的网络安全检测方法,其特征在于:所述利用规则识别正常行为模式和异常行为线索包括以下步骤:
整合关联规则形成综合规则集,并将综合规则集划分为两类,一类用于识别正常行为模式,另一类用于识别异常行为线索;
将实时或历史的网络行为数据映射到关联规则上,并在数据集上执行规则匹配以检查每条记录是否符合已有的规则;
若数据满足某个规则的条件时,执行规则触发,将其标记为对应的行为模式;
对于每个触发的规则,计算其在此规则条件下出现预测行为的置信度,并通过设定概率阈值区分正常和异常行为;
将符合常规预期且置信度高于概率阈值的行为标定为正常行为模式,将不符合常规预期且置信度低于概率阈值的行为标定为异常行为线索;
基于识别出的行为模式,形成网络行为的认知标准;
开发条件交互式的机制,在特征选择阶段根据算法的反馈动态调整认知标准。
5.如权利要求4所述的网络安全检测方法,其特征在于:所述通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型包括以下步骤:
利用时间序列对网络流量数据进行分析,并提取时序特征以捕捉在不同时间窗口内行为的动态变化;
采用多变量关联分析技术对不同维度的数据特征进行关联,以发现潜在的复杂攻击模式;
融合认知标准和多变量关联分析结果,应用异常检测算法对网络流量进行行为模式分析,以识别不符合正常行为模式的流量;
通过整合多种数据和分析结果构建多维度异常检测模型,进行全面的安全评估。
6.如权利要求5所述的网络安全检测方法,其特征在于:所述采用多变量关联分析技术对不同维度的数据特征进行关联包括以下步骤:
进行多条件异常行为检测,若某IP地址在过去的一定时间窗口内尝试登录并失败的次数超过预设阈值σ,且这些登录尝试涉及超过σ/5个不同用户账户,或此IP地址与任何已知的安全管理员或常用IP不匹配,则判断为潜在的暴力破解攻击,并触发额外的安全审查;
进行时间和行为关联性分析,若一个用户在短时间内从国外的IP地址登录,且在登录后立即尝试访问受保护的资源或敏感数据,则判断为潜在的账户劫持或非授权访问,并启动即时的用户身份验证过程;
进行上下文敏感的异常检测,若检测到与高级持续性威胁相关的行为模式,且这些行为与最近的安全补丁发布或网络维护活动有时间上的重叠,或在其他安全系统接收到相似的警报,则将此情况评估为高风险事件,并立即启动应急响应程序;
进行综合外部情报和内部检测,若网络活动与已知的恶意软件特征匹配,且最近的威胁情报报告中提到了同类别的恶意软件活动,或系统内部检测到与该恶意软件相关的异常数据流或可疑文件行为,则将这一事件分类为紧急安全事件,并立即进行深入的恶意软件分析和清除程序;
进行多层次的行为分析和自适应响应,若系统通过自适应算法检测到某个网络行为与建立的正常行为认知标准显著不符,且此行为与关联规则挖掘技术识别出的高置信度异常行为规则相匹配,则系统判断此行为是潜在的安全威胁,并启动相应的安全响应措施包括用户验证、流量限制或自动隔离。
7.如权利要求1所述的网络安全检测方法,其特征在于:所述建立动态的漏洞评估模型包括设计智能算法根据漏洞的利用难度、影响范围和安全级别对漏洞进行优先级排序,
若漏洞存在于多个版本或多个产品中,且这些产品在关键业务系统中广泛使用,则将漏洞的基础优先级设为高;
若网络上出现漏洞的利用代码,且这些代码易于获取和执行,则自动提升漏洞的优先级;
若漏洞能被远程直接利用,且在利用过程中不需要依赖于复杂的环境设置或用户的交互操作,则将漏洞标记为极高风险;
若漏洞与已知攻击活动或恶意软件活动相关联,且此活动目前处于活跃状态,则漏洞优先级被判定为紧急处理;
若最新的威胁情报表明漏洞的风险评估有所改变,或新出现的相关漏洞可能与此漏洞协同作用,则立即重新评估漏洞优先级,并调整响应策略;
若对漏洞的修复措施实施后,检测到新的或持续的异常行为,则对漏洞的处理状态和修复效果进行重新评估。
8.一种网络安全检测系统,基于权利要求1~7任一所述的网络安全检测方法,其特征在于:还包括,
认知标准模块,用于通过自适应算法学习网络行为的认知标准,以识别网络行为模式;
模型构建模块,用于结合多种检测算法,通过分析网络流量在不同时间窗口内的多种变量构建多维度异常检测模型;
融合模块,用于将跨联网设备和系统数据进行融合,以形成网络环境全景的安全状况视图;
漏洞评估模块,用于引入实时威胁情报,结合现场数据建立动态的漏洞评估模型,并对漏洞进行优先级排序;
策略制定模块,用于通过模仿攻击行为制定主动防御策略,并采用强化学习自动更新安全策略;
循环模块,用于建立反馈循环机制,利用实时检测和分析结果优化多维度异常检测模型,以自适应网络威胁演变。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于:所述处理器执行所述计算机程序时实现权利要求1~7任一所述的网络安全检测方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1~7任一所述的网络安全检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410138198.3A CN118101250A (zh) | 2024-01-31 | 2024-01-31 | 一种网络安全检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410138198.3A CN118101250A (zh) | 2024-01-31 | 2024-01-31 | 一种网络安全检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118101250A true CN118101250A (zh) | 2024-05-28 |
Family
ID=91149948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410138198.3A Pending CN118101250A (zh) | 2024-01-31 | 2024-01-31 | 一种网络安全检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118101250A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118337534A (zh) * | 2024-06-13 | 2024-07-12 | 山东网驰信息技术有限公司 | 一种确定异常流量的数据监控系统 |
| CN118337536A (zh) * | 2024-06-13 | 2024-07-12 | 雅安数字经济运营有限公司 | 一种计算机网络安全入侵检测方法 |
-
2024
- 2024-01-31 CN CN202410138198.3A patent/CN118101250A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118337534A (zh) * | 2024-06-13 | 2024-07-12 | 山东网驰信息技术有限公司 | 一种确定异常流量的数据监控系统 |
| CN118337536A (zh) * | 2024-06-13 | 2024-07-12 | 雅安数字经济运营有限公司 | 一种计算机网络安全入侵检测方法 |
| CN118337536B (zh) * | 2024-06-13 | 2024-09-06 | 雅安数字经济运营有限公司 | 一种计算机网络安全入侵检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
| US20230011004A1 (en) | Cyber security sandbox environment | |
| Cao et al. | Machine learning to detect anomalies in web log analysis | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| US20230132703A1 (en) | Capturing Importance In A Network Using Graph Theory | |
| CN118101250A (zh) | 一种网络安全检测方法及系统 | |
| CN107846389B (zh) | 基于用户主客观数据融合的内部威胁检测方法及系统 | |
| CN117879970B (zh) | 一种网络安全防护方法及系统 | |
| EP2936772B1 (en) | Network security management | |
| Wu et al. | Factor-analysis based anomaly detection and clustering | |
| Elfeshawy et al. | Divided two-part adaptive intrusion detection system | |
| KR102592868B1 (ko) | 조직에 대한 사이버 보안 위협을 분석하기 위한 방법 및 전자 장치 | |
| Chakir et al. | An efficient method for evaluating alerts of Intrusion Detection Systems | |
| CN118138361A (zh) | 一种基于可自主进化智能体的安全策略制定方法和系统 | |
| Majidpour et al. | Application of deep learning to enhance the accuracy of intrusion detection in modern computer networks | |
| US20240045990A1 (en) | Interactive cyber security user interface | |
| Rastogi et al. | Network anomalies detection using statistical technique: a chi-square approach | |
| Mihailescu et al. | Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity | |
| Prabu et al. | An Automated Intrusion Detection and Prevention Model for Enhanced Network Security and Threat Assessment | |
| Reddy et al. | MLIDS: Revolutionizing of IoT based Digital Security Mechanism with Machine Learning Assisted Intrusion Detection System | |
| CN118101337B (zh) | 一种基于情报协同的铁路网络空间智能防御方法及系统 | |
| US20230403294A1 (en) | Cyber security restoration engine | |
| US20240333743A1 (en) | Generation of embeddings and use thereof for detection and cyber security analysis | |
| Adenusi Dauda et al. | Development of threats detection model for cyber situation awareness | |
| US20240223592A1 (en) | Use of graph neural networks to classify, generate, and analyze synthetic cyber security incidents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |