CN111786950B - 基于态势感知的网络安全监控方法、装置、设备及介质 - Google Patents

基于态势感知的网络安全监控方法、装置、设备及介质 Download PDF

Info

Publication number
CN111786950B
CN111786950B CN202010467167.4A CN202010467167A CN111786950B CN 111786950 B CN111786950 B CN 111786950B CN 202010467167 A CN202010467167 A CN 202010467167A CN 111786950 B CN111786950 B CN 111786950B
Authority
CN
China
Prior art keywords
data
security
sample
address
random forest
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010467167.4A
Other languages
English (en)
Other versions
CN111786950A (zh
Inventor
杨超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Property and Casualty Insurance Company of China Ltd
Original Assignee
Ping An Property and Casualty Insurance Company of China Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Property and Casualty Insurance Company of China Ltd filed Critical Ping An Property and Casualty Insurance Company of China Ltd
Priority to CN202010467167.4A priority Critical patent/CN111786950B/zh
Publication of CN111786950A publication Critical patent/CN111786950A/zh
Application granted granted Critical
Publication of CN111786950B publication Critical patent/CN111786950B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于态势感知的网络安全监控方法、装置、设备及介质,所述方法包括:收集原始数据,其中,原始数据包括安全态势数据和安全事件数据,结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值,将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类,基于目标分类和预设的事件发生条件,得到安全评估结果。本发明还涉及区块链技术,安全态势数据和安全事件数据可存储在区块链中,本发明实现快速进行网络安全评估,有利于提高网络安全监控的及时性。

Description

基于态势感知的网络安全监控方法、装置、设备及介质
技术领域
本发明涉及网络安全领域,尤其涉及一种基于态势感知的网络安全监控方法、装置、设备及介质。
背景技术
随着网络规模的不断扩大,传统行业与互联网的结合越来越广泛,人们的生活已高度依赖于网络。目前网络安全环境不容乐观,网络攻击日益频繁,造成的威胁与损失也越来越大。因此在复杂多变的网络环境中认知、理解并预测网络的安全状态及其发展趋势,有助于管理人员及时掌握网络安全状况,并对未来可能出现的威胁提前做出防护,减小攻击对网络的危害。网络安全态势预测作为安全态势感知的重要环节,通过预测未来网络安全态势的发展,帮助管理员提前做出防护准确,降低网络攻击所带来的潜在损失。
传统方法在对安全状态的趋势进行预测时,主要以攻击威胁、网络脆弱性为预测要素,该类方法仅结合单一要素进行预测,已经无法满足管理人员对掌握网络整体安全趋势的需求。网络安全态势感知技术融合了入侵检测***IDS、防火墙、病毒检测***VDS等网络安全设备的防护数据,是对网络安全状况与趋势的一个整体反映,能够作为网络预警与响应的重要参照。目前主流的网络安全态势预测方法一般分为以下三种:方式一,基于时空序列分析的方法。该方法的假设条件为安全态势值的变化具有规则和周期性,因此通过对网络中历史与当前安全态势值的分析,从而实现对网络安全趋势的预测,该方法未对网络各安全态势要素的变化、以及各动态安全态势要素间的相互影响进行分析,因此模式固定,预测突发事件不强;方式二,基于博弈论的方法。该方法在攻防对抗环境中,利用博弈理论动态选择攻击方与防御方的最优策略选择,通过综合分析攻击方、防御方与网络环境信息的变化,在态势要素选择上较为全面,博弈论在军事领域应用比较成熟,而在网络环境中突发性强、不可预知因素过多,因此对网络攻防建立博弈论的模型难度较大,且该方法只能对安全趋势进行短期预测,无法给出网络态势长期的预测;方式三,基于图论的方法,该方法利用网络环境中的脆弱性信息生成状态转移图,并从攻击者角度出发,依据当前状态对网络未来可能出现的安全状态进行预测。但该方法仅仅从攻击方与网络环境信息进行考虑,其建立的攻击图为静态攻击图,忽略了防御方的策略选择对网络未来安全态势的影响。综上,现有方法都是对网络未来一段时间的预测,其预测为下一阶段,时间上具有模糊性,缺乏对攻击的入侵成功时间量化预测。因而,寻找一种对实时网络攻击的有效监控方法,成了一个亟待解决的技术难题。
发明内容
本发明实施例提供一种基于态势感知的网络安全监控方法、装置、计算机设备和存储介质,以提高网络安全监控的及时性。
为了解决上述技术问题,本申请实施例提供一种基于态势感知的网络安全监控方法,包括:
收集原始数据,其中,所述原始数据包括安全态势数据和安全事件数据;
结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值;
将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类;
基于所述目标分类和预设的事件发生条件,得到安全评估结果。
可选地,所述安全态势数据包括差异数据和恶意数据,所述结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值包括:
通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP;
针对每个所述样本IP,查询RIR数据库,获取与所述样本IP相关的所有IP地址块,将所述样本IP和所述样本IP对应的IP地址块,作为一个聚合单元;
将每个所述聚合单元与所述安全态势数据进行聚合,得到聚合数据,并计算每个所述差异数据和每个所述恶意数据,命中所述聚合单元中包含的IP地址块的比例,得到所述特征值。
可选地,所述通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP包括:
从所述安全事件数据中,提取出与事件关联的每个初始站点;
针对每个所述初始站点的IP地址进行检测,若所述初始站点的IP地址为入侵点,则将所述初始站点的IP地址作为入侵IP,若所述初始站点的IP地址为被攻击的目标IP地址,则将所述初始站点的IP地址作为目标攻击IP;
将所述入侵IP和所述目标攻击IP,作为所述样本IP。
可选地,所述将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类包括:
将所述特征值输入到预设的随机森林模型中;
通过所述预设的随机森林模型,计算每个所述特征值对应的基尼系数值;
根据得到的基尼系数值与预设维度数量,确定所述特征值在所述预设的随机森林模型中对应的决策树,作为目标决策树;
根据所述目标决策树,确定所述特征值对应的目标分类。
可选地,在所述将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类之前,所述基于态势感知的网络安全监控方法还包括:
根据所述安全事件数据中,攻击目标对应的特征数据,作为第一数据,并从非攻击目标对应的特征数据,作为第二数据;
根据所述第一数据的特征维度和所述第二数据的特征维度,生成所述预设的随机森林模型。
可选地,所述根据所述第一数据的特征维度和所述第二数据的特征维度,生成所述预设的随机森林模型包括:
将所述第一数据和所述第二数据作为训练集,并使用随机抽样的方式从所述训练集中抽取训练样本,构建K个子训练集,其中,K为正整数;
针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益;
根据所述信息熵和所述信息增益,确定每个所述特征维度的信息增益比;
选取最大的信息增益比对应的特征维度作为***节点进行***,并返回所述针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益的步骤继续执行,直到每个所述特征维度均作为***点完成***为止,生成K棵决策树;
根据K棵所述决策树构造随机森林,得到所述预设的随机森林模型。
可选地,所述基于态势感知的网络安全监控方法还包括:
将收集到的所述安全态势数据和所述安全事件数据存储至区块链中。
为了解决上述技术问题,本申请实施例还提供一种基于态势感知的网络安全监控装置,包括:
数据收集模块,用于收集原始数据,其中,所述原始数据包括安全态势数据和安全事件数据;
特征提取模块,用于结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值;
特征分类模块,用于将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类;
安全评估模块,用于基于所述目标分类和预设的事件发生条件,得到安全评估结果。
可选地,所述特征提取模块包括:
样本IP提取单元,用于通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP;
聚合单元,用于针对每个所述样本IP,查询RIR数据库,获取与所述样本IP相关的所有IP地址块,将所述样本IP和所述样本IP对应的IP地址块,作为一个聚合单元;
特征值计算单元,用于将每个所述聚合单元与所述安全态势数据进行聚合,得到聚合数据,并计算每个所述差异数据和每个所述恶意数据,命中所述聚合单元中包含的IP地址块的比例,得到所述特征值。
可选地,样本IP提取单元包括:
初始站点提取子单元,用于从所述安全事件数据中,提取出与事件关联的每个初始站点;
异常IP地址确定子单元,用于针对每个所述初始站点的IP地址进行检测,若所述初始站点的IP地址为入侵点,则将所述初始站点的IP地址作为入侵IP,若所述初始站点的IP地址为被攻击的目标IP地址,则将所述初始站点的IP地址作为目标攻击IP;
样本IP确定子单元,用于将所述入侵IP和所述目标攻击IP,作为所述样本IP。
可选地,特征分类模块包括:
特征值输入单元,用于将所述特征值输入到预设的随机森林模型中;
基尼系数计算单元,用于通过所述预设的随机森林模型,计算每个所述特征值对应的基尼系数值;
决策树选取单元,用于根据得到的基尼系数值与预设维度数量,确定所述特征值在所述预设的随机森林模型中对应的决策树,作为目标决策树;
分类确定单元,用于根据所述目标决策树,确定所述特征值对应的目标分类。
可选地,所述基于态势感知的网络安全监控装置还包括:
数据分类模块,用于根据所述安全事件数据中,攻击目标对应的特征数据,作为第一数据,并从非攻击目标对应的特征数据,作为第二数据;
模型生成模块,用于根据所述第一数据的特征维度和所述第二数据的特征维度,生成所述预设的随机森林模型。
可选地,模型生成模块包括:
子训练集构件单元,用于将所述第一数据和所述第二数据作为训练集,并使用随机抽样的方式从所述训练集中抽取训练样本,构建K个子训练集,其中,K为正整数;
***参数计算单元,用于针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益;
信息增益比确定单元,用于根据所述信息熵和所述信息增益,确定每个所述特征维度的信息增益比;
循环***单元,用于选取最大的信息增益比对应的特征维度作为***节点进行***,并返回所述针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益的步骤继续执行,直到每个所述特征维度均作为***点完成***为止,生成K棵决策树;
模型生成单元,用于根据K棵所述决策树构造随机森林,得到所述预设的随机森林模型。
可选地,所述基于态势感知的网络安全监控装置还包括:
存储模块,用于将收集到的所述安全态势数据和所述安全事件数据存储至区块链中。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于态势感知的网络安全监控方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述基于态势感知的网络安全监控方法的步骤。
本发明实施例提供的基于态势感知的网络安全监控方法、装置、设备及介质,通过收集原始数据,其中,原始数据包括安全态势数据和安全事件数据,结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值,实现将发生网络安全事件时的数据特征和环境因素作为安全态势数据进行特征提取的一个必要因素,有利于后续实时进行不同网络环境的网络攻击检测,同时,将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类,基于目标分类和预设的事件发生条件,得到安全评估结果,实现快速进行网络安全评估,有利于提高网络安全监控的及时性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请可以应用于其中的示例性***架构图;
图2是本申请的基于态势感知的网络安全监控方法的一个实施例的流程图;
图3是根据本申请的基于态势感知的网络安全监控装置的一个实施例的结构示意图;
图4是根据本申请的计算机设备的一个实施例的结构示意图。
实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,如图1所示,***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器( Moving Picture E界面显示perts Group Audio Layer III,动态影像专家压缩标准音频层面3 )、MP4( MovingPicture E界面显示perts Group Audio Layer IV,动态影像专家压缩标准音频层面4 )播放器、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103上显示的页面提供支持的后台服务器。
需要说明的是,本申请实施例所提供的基于态势感知的网络安全监控方法由服务器执行,相应地,基于态势感知的网络安全监控装置设置于服务器中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器,本申请实施例中的终端设备101、102、103具体可以对应的是实际生产中的应用***。
请参阅图2,图2示出本发明实施例提供的一种基于态势感知的网络安全监控方法,以该方法应用在图1中的服务端为例进行说明,详述如下:
S201:收集原始数据,其中,原始数据包括安全态势数据和安全事件数据。
具体地,服务端在进行网络交互时,收集对网络安全有关联的原始数据,该原始数据包括安全态势数据和安全事件数据。
其中,安全态势数据是指对安全事件的发生存在影响的数据,安全态势数据采用两种测量方法,一种是测量网络的误配置或与标准/建议配置的差异,根据该种方式得到的安全态势数据也称为差异数据;另一种则是测量来自于该网络的恶意行为程度,差异是指将获取到的网络数据与标准数据进行对比,获取其中的差异程度,恶意行为是指在外部检测观察到的,源自于某组织内部的恶意行为,数据来源可以从外部组织的行为库获得,该种方式获取的安全态势数据也称为恶意数据。
其中,安全事件数据是指发生安全事件时收集到的数据,安全事件数据可以通过公开的三大网络安全数据库进行采集,这三大网络安全数据库分别是:VERIS CommnunityDatabase(VCDB)、Hackmageddon和The Web Hacing Incidents Database(WHID)。
需要说明的是,安全态势数据和安全事件数据并不是一个数值,而是包含多个特征维度的数据,安全事件数据根据其来源不同,包含的特征维度可能存在不同。
应理解,网络态势指的是由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知则是在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的趋势,本实施例中,结合安全事件数据进行网络安全态势感知,有利于快速高效地确定可能存在的网络安全隐患,有利于提高网络安全监控的及时性。
S202:结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值。
具体地,本实施例中,为加强安全态势数据对不同网络环境的兼容性,在对安全事件数据进行网络安全检测之前,先根据安全事件数据对安全态势数据进行数据处理,得到对应的特征值,后续根据特征值进行网络安全检测,提高网络安全监控的兼容性和准确性。
其中,根据安全事件数据对安全态势数据进行数据处理,包括
其中,特征值是用于表征安全态势数据中,各种数据特征的数学表达,其具体可以是向量的形式。
结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值的实现过程,具体可参考后续实施例的描述,为避免重复,此处不再赘述。
S203:将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类。
具体地,服务端预先存储有训练好的随机森林模型,该随机森林模型包括多棵决策树,每棵决策树对应一个分类,将特征值输入到预先训练好的随机森林模型中,通过该随机森林模型对特征值进行训练,得到与该特征值最为匹配的决策树,并获取该决策树的分枝分类,作为目标分类。
其中,随机森林(Random forest)指的是利用多棵树对样本进行训练并预测的一种分类器。在机器学习中,随机森林是一个包含多个决策树的分类器,并且其输出的类别是由个别树输出的类别的众数而定。
其中,随机森林中的每棵决策树,在训练好后,包含固定的分枝分类,每个分枝代表一个数据的维度特征。
通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类的具体实现细节,可参考后续实施例的描述,为避免重复,此处不再赘述。
S204:基于目标分类和预设的事件发生条件,得到安全评估结果。
具体地,在得到目标分类后,也即,明确安全态势数据中,存在安全隐患的维度特征,再结合预设的事件发生条件,判断当前网络是否安全,并根据判断结果,采取对应处理措施。
需要说明的是,不同安全事件,其发生条件和缓冲时间不相同,根据实际需要的防护等级,以及需要监控的安全事件,确定预设的事件发生条件,来进行网络安全的监控,预设的事件发生条件可根据实际需求进行设定,例如,在一具体实施方式中,预设的事件发生条件为:每分钟网络请求超过2000,且持续10分钟。
在本实施例中,通过收集原始数据,其中,原始数据包括安全态势数据和安全事件数据,结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值,实现将发生网络安全事件时的数据特征和环境因素作为安全态势数据进行特征提取的一个必要因素,有利于后续实时进行不同网络环境的网络攻击检测,同时,将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类,基于目标分类和预设的事件发生条件,得到安全评估结果,实现快速进行网络安全评估,有利于提高网络安全监控的及时性。
在一实施例中,可将收集到的安全态势数据和安全事件数据保存在区块链网络上,通过区块链存储,实现数据信息在不同平台之间的共享,也可防止数据被篡改。
区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
在本实施例的一些可选的实现方式中,步骤S202中,安全态势数据包括差异数据和恶意数据,结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值包括:
通过样本IP提取算法,从每个安全事件数据中,提取样本IP;
针对每个样本IP,查询RIR数据库,获取与样本IP相关的所有IP地址块,将样本IP和样本IP对应的IP地址块,作为一个聚合单元;
将每个聚合单元与安全态势数据进行聚合,得到聚合数据,并计算每个差异数据和每个恶意数据,命中聚合单元中包含的IP地址块的比例,得到特征值。
具体地,本实施例中提及的安全事件是基于组织/企业层次的网络安全事件,通过对安全事件数据进行分析,确定安全事件数据中的攻击目标组织/企业,以及,被入侵的组织/企业,并获取这些组织/企业的IP作为样本IP,进而通过查询RIR数据库,确定与样本IP具有关联的所有IP地址块,得到聚合单元,再通过聚合分析,得到安全态势数据与安全事件数据的一些关联数值,将该关联数值进行向量化,得到安全态势数据对应的特征值。
其中,RIR(Regional Internet Registry)是指地区性Internet注册机构,RIR数据库包含本地区IP地址块的关联服务信息。
其中,差异数据来源包括但不限于:错误配置的DNS服务器的配置不当、DNS源端口和查询ID未进行随机化处理、BGP配置错误或频繁重新配置、用于实现TLS协议中d客户端认证的X509证书未正确配置、邮件中继服务器信息的开放权限等。
其中,恶意行为数据主要指的是在外部检测观察到的,源自于某组织内部的恶意行为,其主要来源包括但不限于:垃圾邮件(Spam)、网络诱骗(Phishing)以及扫描(Scan)行为等。
在本实施例中,结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值,进而后续通过该特征值进行网络安全检测,有利于准确地确定可能存在的网络安全隐患。
在本实施例的一些可选的实现方式中,通过样本IP提取算法,从每个安全事件数据中,提取样本IP包括:
从安全事件数据中,提取出与事件关联的每个初始站点;
针对每个初始站点的IP地址进行检测,若初始站点的IP地址为入侵点,则将初始站点的IP地址作为入侵IP,若初始站点的IP地址为被攻击的目标IP地址,则将初始站点的IP地址作为目标攻击IP;
将入侵IP和目标攻击IP,作为样本IP。
具体地,在获取一个安全事件数据后,从安全事件数据中提取出与事件相关的机构/企业的站点,如果该站点是此次安全事件的起始点/入侵点,则将该站点的IP地址作为样本IP,如果该站点不是入侵点,但是却可以代表攻击目标,即该站点的所有者正是攻击事件的受害方,则也可以将该站点的IP作为本次事件的Sample IP,其它情况的Sample IP暂不考虑,为避免样本IP的误判,其他站点不予考虑。
在本实施例中,样本IP提取算法,准确提取到与安全事件相关的样本IP,以便后续通过这些样本IP对网络安全进行预测。
在本实施例的一些可选的实现方式中,步骤S203中,将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类包括:
将特征值输入到预设的随机森林模型中;
通过预设的随机森林模型,计算每个特征值对应的基尼系数值;
根据得到的基尼系数值与预设维度数量,确定特征值在预设的随机森林模型中对应的决策树,作为目标决策树;
根据目标决策树,确定特征值对应的目标分类。
具体地,通过预设的随机森林模型对特征值进行训练,计算每个特征值在该预设的随机森林模型中对应的基尼系数值,并根据该基尼系数值与预设维度数量,确定目标决策树,继而根据目标决策树的分枝特征,得到特征值对应的目标分类。
其中,基尼系数值是指定量测定分配差异程度的指标,它其实就是不平均分配的那一部分差异数据占总数值的百分比。
其中,预设维度数量由预设的随机森林模型所决定,随机森林模型在训练时,为确保决策树***的公平合理,对每个分枝的特征维度数量进行统一,确保数据分类的合理和准确,在一些分枝特征维度缺失时,可以适当采用0进行填充。
在本实施例中,通过预设的随机森林模型,实现对特征值进行快速分类,提高网络安全检测的效率,有利于实现及时对网络安全的检测和处理。
在本实施例的一些可选的实现方式中,在步骤S203之前,基于态势感知的网络安全监控方法还包括:
根据安全事件数据中,攻击目标对应的特征数据,作为第一数据,并从非攻击目标对应的特征数据,作为第二数据;
根据第一数据的特征维度和第二数据的特征维度,生成预设的随机森林模型。
具体地,根据安全事件数据中,特征数据是否为攻击目标,将数据分为攻击目标对应的第一数据和非攻击目标对应的第二数据,并根据第一数据的特征维度和第二数据的特征维度,生成预设的随机森林模型。
需要说明的是,每个数据具有多种属性,每个属性可以作为一种维度,在实际实施中,由于采集安全实际数据来源不单一,不同数据的属性存在不同,因而,可根据实际需要,选取一些与网络安全关联较强的属性,作为第一数据或第二数据的特征维度。
在本实施例中,根据攻击目标对安全事件数据进行分类,并采用分类后的数据进行随机森林模型的构建,以使后续可以通过随机森林模型进行快速网络安全检测。
在本实施例的一些可选的实现方式中,,根据第一数据的特征维度和第二数据的特征维度,生成预设的随机森林模型包括:
将第一数据和第二数据作为训练集,并使用随机抽样的方式从训练集中抽取训练样本,构建K个子训练集,其中,K为正整数;
针对每个子训练集,计算每个特征维度的信息熵和信息增益;
根据信息熵和信息增益,确定每个特征维度的信息增益比;
选取最大的信息增益比对应的特征维度作为***节点进行***,并返回针对每个子训练集,计算每个特征维度的信息熵和信息增益的步骤继续执行,直到每个特征维度均作为***点完成***为止,生成K棵决策树;
根据K棵决策树构造随机森林,得到预设的随机森林模型。
具体地,将第一数据和第二数据作为训练集,使用随机抽样的方式从训练集中抽取训练样本,随机采样的方式可以使用重采样技术从训练集中抽取训练样本,进而通过信息增益的方式,确定***点进行迭代***,得到若干决策树,进而得到预设的随机森林模型。
其中,重采样技术是在训练集中进行有放回的抽样,训练集中每个样本数据每次被抽到的概率相等,重复在训练集中进行K轮抽取,每一轮抽取的结果作为一个子训练集,得到K个子训练集,其中,子训练集中的训练样本数量小于或等于训练集中的训练样本数量。
进一步地,针对每个子训练集,按照公式(1)计算每个特征维度的信息熵:
公式(1);
其中,为用特征维度,/>为用特征维度的信息熵,/>,/>为第/>个特征维度征,/>为第/>个特征维度的特征值概率。
进一步地,根据公式(1)计算得到的信息熵,按照公式(2)计算每个特征维度的信息增益:公式(2)
其中,为特征维度的信息增益,/>为按照特征维度/>进行***之前的信息熵,/>为按照特征维度/>***之后的信息熵。
进一步地,根据公式(2)计算得到的信息增益,按照公式(3)与公式(4)计算每个特征维度的信息增益比:公式(3)
公式(4);
其中,为特征维度的惩罚因子,/>为子训练集中训练样本的总量,/>为特征维度中第一数据的训练样本数量,/>为特征维度的信息增益比。
进一步地,使用C4.5算法进行构建决策树,根据公式(4)计算得到特征维度的惩罚因子,使用公式(3)计算每个特征维度的信息增益比,并按照最大的信息增益比对应的特征维度作为***节点进行***。
需要说明的是,若按照信息增益作为***点进行***,决策树的构建倾向于选择信息增益较大的特征维度作为***节点,如网络攻击的方式、网络攻击的目的等特征维度的信息增益会比较大,但是对于训练集中存在多个特征维度并且有多种取值的情况下,训练得到的决策树的预测准确率较低,而根据特征维度的惩罚因子计算信息增益比,按照最大的信息增益比对应的特征维度作为***节点进行***,能够有效的规避分布均匀的属性对决策树***产生的不利影响,提高决策树构建的质量。
在本实施例中,通过采用信息增益比来进行***点的选取,构建随机森林模型,有利于提高决策树构建的质量,使得网络攻击特征分类更为合理,有利于提高后续网络安全检测的准确率。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
图3示出与上述实施例基于态势感知的网络安全监控方法一一对应的基于态势感知的网络安全监控装置的原理框图。如图3所示,该基于态势感知的网络安全监控装置包括数据收集模块31、特征提取模块32、特征分类模块33和安全评估模块34。各功能模块详细说明如下:
数据收集模块31,用于收集原始数据,其中,原始数据包括安全态势数据和安全事件数据;
特征提取模块32,用于结合安全事件数据,对安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值;
特征分类模块33,用于将特征值输入到预设的随机森林模型中,通过预设的随机森林模型,对特征值进行训练,得到特征值对应的目标分类;
安全评估模块34,用于基于目标分类和预设的事件发生条件,得到安全评估结果。
可选地,特征提取模块32包括:
样本IP提取单元,用于通过样本IP提取算法,从每个安全事件数据中,提取样本IP;
聚合单元,用于针对每个样本IP,查询RIR数据库,获取与样本IP相关的所有IP地址块,将样本IP和样本IP对应的IP地址块,作为一个聚合单元;
特征值计算单元,用于将每个聚合单元与安全态势数据进行聚合,得到聚合数据,并计算每个差异数据和每个恶意数据,命中聚合单元中包含的IP地址块的比例,得到特征值。
可选地,样本IP提取单元包括:
初始站点提取子单元,用于从安全事件数据中,提取出与事件关联的每个初始站点;
异常IP地址确定子单元,用于针对每个初始站点的IP地址进行检测,若初始站点的IP地址为入侵点,则将初始站点的IP地址作为入侵IP,若初始站点的IP地址为被攻击的目标IP地址,则将初始站点的IP地址作为目标攻击IP;
样本IP确定子单元,用于将入侵IP和目标攻击IP,作为样本IP。
可选地,特征分类模块33包括:
特征值输入单元,用于将特征值输入到预设的随机森林模型中;
基尼系数计算单元,用于通过预设的随机森林模型,计算每个特征值对应的基尼系数值;
决策树选取单元,用于根据得到的基尼系数值与预设维度数量,确定特征值在预设的随机森林模型中对应的决策树,作为目标决策树;
分类确定单元,用于根据目标决策树,确定特征值对应的目标分类。
可选地,基于态势感知的网络安全监控装置还包括:
数据分类模块,用于根据安全事件数据中,攻击目标对应的特征数据,作为第一数据,并从非攻击目标对应的特征数据,作为第二数据;
模型生成模块,用于根据第一数据的特征维度和第二数据的特征维度,生成预设的随机森林模型。
可选地,模型生成模块包括:
子训练集构件单元,用于将第一数据和第二数据作为训练集,并使用随机抽样的方式从训练集中抽取训练样本,构建K个子训练集,其中,K为正整数;
***参数计算单元,用于针对每个子训练集,计算每个特征维度的信息熵和信息增益;
信息增益比确定单元,用于根据信息熵和信息增益,确定每个特征维度的信息增益比;
循环***单元,用于选取最大的信息增益比对应的特征维度作为***节点进行***,并返回针对每个子训练集,计算每个特征维度的信息熵和信息增益的步骤继续执行,直到每个特征维度均作为***点完成***为止,生成K棵决策树;
模型生成单元,用于根据K棵决策树构造随机森林,得到预设的随机森林模型。
可选地,所述基于态势感知的网络安全监控装置还包括:
存储模块,用于将收集到的安全态势数据和安全事件数据存储至区块链中。
关于基于态势感知的网络安全监控装置的具体限定可以参见上文中对于基于态势感知的网络安全监控方法的限定,在此不再赘述。上述基于态势感知的网络安全监控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图4,图4为本实施例计算机设备基本结构框图。
所述计算机设备4包括通过***总线相互通信连接存储器41、处理器42、网络接口43。需要指出的是,图中仅示出了具有组件连接存储器41、处理器42、网络接口43的计算机设备4,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器 (Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器41至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或D界面显示存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器41可以是所述计算机设备4的内部存储单元,例如该计算机设备4的硬盘或内存。在另一些实施例中,所述存储器41也可以是所述计算机设备4的外部存储设备,例如该计算机设备4上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital, SD)卡,闪存卡(Flash Card)等。当然,所述存储器41还可以既包括所述计算机设备4的内部存储单元也包括其外部存储设备。本实施例中,所述存储器41通常用于存储安装于所述计算机设备4的操作***和各类应用软件,例如电子文件的控制的程序代码等。此外,所述存储器41还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器42在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器42通常用于控制所述计算机设备4的总体操作。本实施例中,所述处理器42用于运行所述存储器41中存储的程序代码或者处理数据,例如运行电子文件的控制的程序代码。
所述网络接口43可包括无线网络接口或有线网络接口,该网络接口43通常用于在所述计算机设备4与其他电子设备之间建立通信连接。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有界面显示程序,所述界面显示程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的基于态势感知的网络安全监控方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。

Claims (8)

1.一种基于态势感知的网络安全监控方法,其特征在于,所述基于态势感知的网络安全监控方法包括:
收集原始数据,其中,所述原始数据包括安全态势数据和安全事件数据,所述安全态势数据是指对安全事件的发生存在影响的数据,所述安全事件数据是指发生安全事件时收集到的数据;
结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值;
将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类;
基于所述目标分类和预设的事件发生条件,得到安全评估结果;
所述安全态势数据包括差异数据和恶意数据,所述结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值包括:
通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP;
针对每个所述样本IP,查询RIR数据库,获取与所述样本IP相关的所有IP地址块,将所述样本IP和所述样本IP对应的IP地址块,作为一个聚合单元,其中,RIR是指地区性Internet注册机构,RIR数据库包含本地区IP地址块的关联服务信息;
将每个所述聚合单元与所述安全态势数据进行聚合,得到聚合数据,并计算每个所述差异数据和每个所述恶意数据,命中所述聚合单元中包含的IP地址块的比例,得到所述特征值;
所述通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP包括:
从所述安全事件数据中,提取出与事件关联的每个初始站点;
针对每个所述初始站点的IP地址进行检测,若所述初始站点的IP地址为入侵点,则将所述初始站点的IP地址作为入侵IP,若所述初始站点的IP地址为被攻击的目标IP地址,则将所述初始站点的IP地址作为目标攻击IP;
将所述入侵IP和所述目标攻击IP,作为所述样本IP。
2.如权利要求1所述的基于态势感知的网络安全监控方法,其特征在于,所述将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类包括:
将所述特征值输入到预设的随机森林模型中;
通过所述预设的随机森林模型,计算每个所述特征值对应的基尼系数值;
根据得到的基尼系数值与预设维度数量,确定所述特征值在所述预设的随机森林模型中对应的决策树,作为目标决策树;
根据所述目标决策树,确定所述特征值对应的目标分类。
3.如权利要求1或2任一项所述的基于态势感知的网络安全监控方法,其特征在于,在所述将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类之前,所述基于态势感知的网络安全监控方法还包括:
根据所述安全事件数据中,攻击目标对应的特征数据,作为第一数据,并从非攻击目标对应的特征数据,作为第二数据;
根据所述第一数据的特征维度和所述第二数据的特征维度,生成所述预设的随机森林模型。
4.如权利要求3所述的基于态势感知的网络安全监控方法,其特征在于,所述根据所述第一数据的特征维度和所述第二数据的特征维度,生成所述预设的随机森林模型包括:
将所述第一数据和所述第二数据作为训练集,并使用随机抽样的方式从所述训练集中抽取训练样本,构建K个子训练集,其中,K为正整数;
针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益;
根据所述信息熵和所述信息增益,确定每个所述特征维度的信息增益比;
选取最大的信息增益比对应的特征维度作为***节点进行***,并返回所述针对每个所述子训练集,计算每个所述特征维度的信息熵和信息增益的步骤继续执行,直到每个所述特征维度均作为***点完成***为止,生成K棵决策树;
根据K棵所述决策树构造随机森林,得到所述预设的随机森林模型。
5.如权利要求1所述的基于态势感知的网络安全监控方法,其特征在于,所述方法还包括:将收集到的所述安全态势数据和所述安全事件数据存储至区块链中。
6.一种基于态势感知的网络安全监控装置,其特征在于,所述基于态势感知的网络安全监控装置包括:
数据收集模块,用于收集原始数据,其中,所述原始数据包括安全态势数据和安全事件数据,所述安全态势数据是指对安全事件的发生存在影响的数据,所述安全事件数据是指发生安全事件时收集到的数据;
特征提取模块,用于结合所述安全事件数据,对所述安全态势数据进行数据预处理并聚合分析,得到安全态势数据对应的特征值;
特征分类模块,用于将所述特征值输入到预设的随机森林模型中,通过所述预设的随机森林模型,对所述特征值进行训练,得到所述特征值对应的目标分类;
安全评估模块,用于基于所述目标分类和预设的事件发生条件,得到安全评估结果;
所述安全态势数据包括差异数据和恶意数据,所述特征提取模块包括:
样本IP提取单元,用于通过样本IP提取算法,从每个所述安全事件数据中,提取样本IP;
聚合单元,用于针对每个所述样本IP,查询RIR数据库,获取与所述样本IP相关的所有IP地址块,将所述样本IP和所述样本IP对应的IP地址块,作为一个聚合单元,其中,RIR是指地区性Internet注册机构,RIR数据库包含本地区IP地址块的关联服务信息;
特征值计算单元,用于将每个所述聚合单元与所述安全态势数据进行聚合,得到聚合数据,并计算每个所述差异数据和每个所述恶意数据,命中所述聚合单元中包含的IP地址块的比例,得到所述特征值;
所述样本IP提取单元包括:
初始站点提取子单元,用于从所述安全事件数据中,提取出与事件关联的每个初始站点;
异常IP地址确定子单元,用于针对每个所述初始站点的IP地址进行检测,若所述初始站点的IP地址为入侵点,则将所述初始站点的IP地址作为入侵IP,若所述初始站点的IP地址为被攻击的目标IP地址,则将所述初始站点的IP地址作为目标攻击IP;
样本IP确定子单元,用于将所述入侵IP和所述目标攻击IP,作为所述样本IP。
7.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至5任一项所述的基于态势感知的网络安全监控方法。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述的基于态势感知的网络安全监控方法。
CN202010467167.4A 2020-05-28 2020-05-28 基于态势感知的网络安全监控方法、装置、设备及介质 Active CN111786950B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010467167.4A CN111786950B (zh) 2020-05-28 2020-05-28 基于态势感知的网络安全监控方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010467167.4A CN111786950B (zh) 2020-05-28 2020-05-28 基于态势感知的网络安全监控方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN111786950A CN111786950A (zh) 2020-10-16
CN111786950B true CN111786950B (zh) 2023-10-27

Family

ID=72754216

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010467167.4A Active CN111786950B (zh) 2020-05-28 2020-05-28 基于态势感知的网络安全监控方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN111786950B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235312B (zh) * 2020-10-22 2022-04-26 新华三信息安全技术有限公司 一种安全事件的可信度确定方法、装置及电子设备
CN112380514B (zh) * 2020-11-13 2022-11-22 支付宝(杭州)信息技术有限公司 生物识别安全态势预测方法、装置和电子设备
CN112580788A (zh) * 2020-12-25 2021-03-30 中国电子科技集团公司信息科学研究院 基于长短时记忆网络的态势认知方法、装置、设备和介质
CN112738107B (zh) * 2020-12-30 2022-08-05 恒安嘉新(北京)科技股份公司 一种网络安全的评价方法、装置、设备及存储介质
CN112817823A (zh) * 2021-02-05 2021-05-18 杭州和利时自动化有限公司 一种网络状态监控方法、装置及介质
CN113111943A (zh) * 2021-04-13 2021-07-13 深圳供电局有限公司 一种数据全生命周期安全的分析方法
CN113242218A (zh) * 2021-04-23 2021-08-10 葛崇振 一种网络安全监控方法及***
CN115378653B (zh) * 2022-07-25 2024-04-23 中国电子科技集团公司第三十研究所 一种基于lstm和随机森林的网络安全态势感知与预测方法及***
CN115913688B (zh) * 2022-11-09 2024-07-02 中国平安财产保险股份有限公司 一种网络数据安全监听方法、装置、设备及存储介质
CN115550077B (zh) * 2022-12-02 2023-06-20 宁波华自智能科技有限公司 一种实时在线检测危险源数据并触发自动防御方法
CN115659197A (zh) * 2022-12-28 2023-01-31 湖南财政经济学院 数据安全监测模型训练方法及应用方法、装置和存储介质
CN117633665B (zh) * 2024-01-26 2024-05-28 深圳市互盟科技股份有限公司 一种网络数据监控方法及***
CN117955863A (zh) * 2024-01-29 2024-04-30 江南大学 基于人工智能的数据安全检测方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778836A (zh) * 2016-11-29 2017-05-31 天津大学 一种基于约束条件的随机森林推荐算法
CN108306894A (zh) * 2018-03-19 2018-07-20 西安电子科技大学 一种基于攻击发生置信度的网络安全态势评估方法及***
CN108683663A (zh) * 2018-05-14 2018-10-19 中国科学院信息工程研究所 一种网络安全态势的评估方法及装置
WO2020046575A1 (en) * 2018-08-31 2020-03-05 Sophos Limited Enterprise network threat detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778836A (zh) * 2016-11-29 2017-05-31 天津大学 一种基于约束条件的随机森林推荐算法
CN108306894A (zh) * 2018-03-19 2018-07-20 西安电子科技大学 一种基于攻击发生置信度的网络安全态势评估方法及***
CN108683663A (zh) * 2018-05-14 2018-10-19 中国科学院信息工程研究所 一种网络安全态势的评估方法及装置
WO2020046575A1 (en) * 2018-08-31 2020-03-05 Sophos Limited Enterprise network threat detection

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
互联网下多元属性特征恶意停靠域名检测仿真;周梦源;《计算机仿真》;第406-409页 *

Also Published As

Publication number Publication date
CN111786950A (zh) 2020-10-16

Similar Documents

Publication Publication Date Title
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
US12047396B2 (en) System and method for monitoring security attack chains
US11792229B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
CN110380896B (zh) 基于攻击图的网络安全态势感知***和方法
US20210019674A1 (en) Risk profiling and rating of extended relationships using ontological databases
US20220078210A1 (en) System and method for collaborative cybersecurity defensive strategy analysis utilizing virtual network spaces
US20200412767A1 (en) Hybrid system for the protection and secure data transportation of convergent operational technology and informational technology networks
US20220014556A1 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
US11848966B2 (en) Parametric analysis of integrated operational technology systems and information technology systems
US11570209B2 (en) Detecting and mitigating attacks using forged authentication objects within a domain
US20220014560A1 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US11799900B2 (en) Detecting and mitigating golden ticket attacks within a domain
US10560483B2 (en) Rating organization cybersecurity using active and passive external reconnaissance
CN105556526A (zh) 分层威胁智能
US20210360032A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
US20210281609A1 (en) Rating organization cybersecurity using probe-based network reconnaissance techniques
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
CN112839017A (zh) 一种网络攻击检测方法及其装置、设备和存储介质
JP2018196054A (ja) 評価プログラム、評価方法および情報処理装置
CN115174205A (zh) 一种网络空间安全实时监测方法、***及计算机存储介质
CN117478433A (zh) 一种网络与信息安全动态预警***
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN102611714B (zh) 基于联系发现技术的网络入侵预测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant