CN115622738A - 一种基于rbf神经网络安全应急处置***及应急处置方法 - Google Patents

一种基于rbf神经网络安全应急处置***及应急处置方法 Download PDF

Info

Publication number
CN115622738A
CN115622738A CN202211140104.3A CN202211140104A CN115622738A CN 115622738 A CN115622738 A CN 115622738A CN 202211140104 A CN202211140104 A CN 202211140104A CN 115622738 A CN115622738 A CN 115622738A
Authority
CN
China
Prior art keywords
network
network security
module
event
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211140104.3A
Other languages
English (en)
Inventor
付泽远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inner Mongolia Chengmai Information Technology Co ltd
Original Assignee
Inner Mongolia Chengmai Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inner Mongolia Chengmai Information Technology Co ltd filed Critical Inner Mongolia Chengmai Information Technology Co ltd
Priority to CN202211140104.3A priority Critical patent/CN115622738A/zh
Publication of CN115622738A publication Critical patent/CN115622738A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于RBF神经网络安全应急处置***及应急处置方法,该***包括数据采集模块、事件处置模块、事件预警模块、风险评估模块、应急方案推荐模块、异常数据保护模块、知识数据库、安全检测工具及远程辅助模块。本发明不仅可以实现对已知或未知的网络安全事件的检查与分析,而且还可以实现对网络用户的异常行为进行预警,从而可以为网络安全事件起到预警效果,便于对网络安全风险进行及时整改及补正,极大的提高了网络安全事件的应急处置效率;此外,利用RBF神经网络的拓扑结构紧凑,结构参数可实现分离学习,收敛速度快的优点,从而可以较快地基于网络安全事件的风险等级为其推荐对应的应急处置方案,有效地提高了应急处置方案的推荐的效率及精准性,可以更好地满足于网络安全事件的应急处置需求。

Description

一种基于RBF神经网络安全应急处置***及应急处置方法
技术领域
本发明涉及网络安全技术领域,具体来说,涉及一种基于RBF神经网络安全应急处置***及应急处置方法。
背景技术
随着互联网及网络技术的发展,互联网的规模和应用领域不断壮大,其基础性和全局性的地位逐渐增强,同时网络攻击和破坏行为也日益普遍,且逐渐呈现出组织严密化、行为趋利化和目标直接化等特点。网络安全问题层出不穷,网络入侵、网络攻击等非法活动威胁了我国的信息安全,网络攻击的目标是能源、电力、金融等重要基础设施,最终造成基础设施破坏和产生不良社会影响,计算机病毒、网络入侵与攻击等各种安全事件给网络带来的威胁和危害越来越大,迫切需要建立和完善安全事件预警体系,提高整体的网络安全保障水平。
然而,现有技术仍然存在一定的缺陷,即对于网络安全事件主要讨论的都是网络安全事件的分析环节,并没有对应急处置环节有太多的描述,在实际的操作中,网络安全事件的应急处置环节往往都采用人工的方式进行处置,受个人因素的影响较大,例如人工处置效率不稳定,效率忽高忽低;人工处置流程不统一,并且耗时比较长,处置结果不准确且不便于对处置结果进行管理;因此,本发明提出了一种基于RBF神经网络安全应急处置***及应急处置方法。
发明内容
针对现有技术的不足,本发明提供了用于网络安全事件的应急处置***及应急处置方法,不仅可以有效地提高网络安全事件的应急处置效率,而且还可以有效地提高应急处置方案的推荐效率及精准性的优点,进而解决背景技术中的问题。
为实现上述不仅可以有效地提高网络安全事件的应急处置效率,而且还可以有效地提高应急处置方案的推荐效率及精准性的优点,本发明采用的具体技术方案如下:
根据本发明的一个方面,提供了一种用于网络安全事件的应急处置***,该***包括数据采集模块、事件处置模块、事件预警模块、风险评估模块、应急方案推荐模块、异常数据保护模块、知识数据库、安全检测工具及远程辅助模块;
所述数据采集模块用于采集网络安全事件的基本信息;
所述事件处置模块用于对已知或未知的网络安全事件进行分析;
所述事件预警模块用于基于深度神经网络算法对网络用户的异常行为进行预警;
所述风险评估模块用于对网络安全事件进行风险等级评估;
所述应急方案推荐模块用于基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案;
所述异常数据保护模块用于在检测到安全事故发生时对***内部的数据进行应急保存;
所述知识数据库用于存储***数据及基于网络安全事件的专家知识数据;
所述安全检测工具用于为网络安全事件的检测提供辅助检测工具;
所述远程辅助模块用于利用远程操控技术对网络安全事件进行协助处置。
进一步的,所述事件处置模块包括已知网络安全事件处置模块和未知网络安全事件处置模块;
所述已知网络安全事件处置模块用于利用安全检测工具对已知的网络安全事件进行分析;
所述未知网络安全事件处置模块用于利用安全蜜罐和安全沙箱对未知的网络安全事件进行分析。
进一步的,所述事件预警模块包括用户行为数据获取模块、网络模型分析模块及异常行为反馈模块;
所述用户行为数据获取模块用于获取网络用户的行为特征数据;
所述网络模型分析模块用于利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分;
所述异常行为反馈模块用于将行为评分低于预设阈值的异常行为反馈给网络安全事件分析人员。
进一步的,所述网络模型分析模块在利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分时包括以下步骤:
将网络用户的行为特征映射为高维空间,并以此作为深度神经网络模型的输入;
根据网络用户的点击行为记录作为训练样本对深度神经网络模型参数进行训练;
提取网络用户信息,计算用户与用户正常行为的相关性,得到用户与用户行为之间的相关性评分并进行排序;
其中,所述相关性评分通过计算用户U与用户正常行为数据集V的语义相关性大小R(U,V)得到,计算公式如下:
Figure BDA0003853261830000031
式中,yU表示经过分析提取后的用户信息的分布式向量,yV表示经过分析后的用户正常行为数据集的分布式向量,cosine()表示余弦函数,yU T表示yU的转置向量,||||表示向量值。
进一步的,所述深度神经网络模型的构建步骤如下:
设定x,y分别表示输入向量和输出向量,神经网络中的隐含层用h表示,W表示神经网络中的权重矩阵,b表示神经网络中的偏置,则有以下公式:
h1=W1x+b1
hm=f(Wmhm-1+bm),m=2,...,N-1
y=f(WNhN-1+bN)
式中,m表示层数,m=1,2,…,N-1,N表示非零自然数,f(x)表示激活函数,用tanh作为隐藏层和输出层的激活函数,其公式如下:
Figure BDA0003853261830000041
e表示自然对数。
进一步的,所述风险评估模块包括风险权重设定模块和信息安全风险综合评估模块;
所述风险权重设定模块用于对网络安全事件中大小要素的风险权重进行设定;
所述信息安全风险综合评估模块用于对网络安全事件中受评估的综合信息安全风险等级进行计算。
进一步的,所述综合信息安全风险等级的计算公式如下:
Figure BDA0003853261830000042
其中,n表示二级风险项目数,k表示某个特定的风险,RRk表示二级要素权重值,RWk表示一级要素权重值;
所述一级要素包括网路通信安全、人事安全、物理安全、风险控制安全、资产及管理安全;所述二级要素包括加密措施、访问控制、人事资源、操作人员的安全意识、设备安全、环境安全、安全审计功能、防黑客入侵措施、信息的数量、信息的价值、破解信息难度、密钥管理、人员管理及设备管理。
进一步的,所述应急方案推荐模块在基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案时包括以下步骤:
建立网络安全事件-应急处置方案的评分矩阵;
建立临近网络安全事件集合:利用相似度计算公式计算目标事件的临近网络安全事件集合T(Ui)及目标应急处置方案的临近应急处置方案集合T(Ij);
计算初步的推荐结果:使用基于RBF神经网络的网络安全事件协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第一推荐评分PU′(Ui,Ij),公式如下:
P'U(Ui,Ij)=θ1PU(Ui,Ij)+(1-θ1)PI(Ui,Ij);
式中,PU(Ui,Ij)表示基于网络安全事件的协同过滤推荐结果,PI(Ui,Ij)表示基于应急处置方案的协同过滤推荐结果,θ1表示第一比例因子,Ui表示目标事件的临近网络安全事件,Ij表示目标应急处置方案的临近应急处置方案;
使用基于RBF神经网络的应急处置方案协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第二推荐评分PI′(Ui,Ij),计算公式如下:
P'I(Ui,Ij)=θ1PI(Ui,Ij)+(1-θ1)PU(Ui,Ij);;
平衡因子的计算:在临近网络安全事件集合T(Ui)中计算目标网络安全事件的平衡因子BlaU,计算公式如下:
Figure BDA0003853261830000051
Figure BDA0003853261830000052
式中,T(U)表示目标网络安全事件U的临近网络安全事件集合,sim(Ux,U)表示目标网络安全事件U与网络安全事件Ux的相似度计算结果,sim’(Ux,U)表示基于改进的相似度计算公式计算的结果,r表示阈值因子,I表示目标应急处置方案,Ix表示应急处置方案Ix,|Ix∩I|表示目标应急处置方案I与应急处置方案Ix的评分交集,min表示评分交集的最小值;
在临近应急处置方案集合T(Ij)中计算目标应急处置方案的平衡因子BlaI,计算公式如下:
Figure BDA0003853261830000053
Figure BDA0003853261830000054
式中,T(I)表示目标应急处置方案I的临近应急处置方案集合,sim(Ix,I)表示目标应急处置方案I与应急处置方案Ix的相似度计算结果,sim’(Ix,I)表示基于改进的相似度计算公式计算的结果,|Ux∩U|表示目标网络安全事件U与网络安全事件Ux的评分交集,|Ux∪U|表示目标网络安全事件U与网络安全事件Ux的评分并集;
计算比例因子:选取控制因子η,结合目标网络安全事件的平衡因子BlaU及目标应急处置方案的平衡因子BlaI计算最终的比例因子θ,计算公式如下:
Figure BDA0003853261830000061
Figure BDA0003853261830000062
最终结果计算:基于第一推荐评分PU′(Ui,Ij)、第二推荐评分PI′(Ui,Ij)及最终的比例因子θ计算得到目标网络安全事件的推荐评分,计算公式如下:
Figure BDA0003853261830000063
基于目标网络安全事件的推荐评分为其推荐对应的应急处置方案。
进一步的,所述安全检测工具包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述安全检测工具还包括日志分析工具、日志分割工具和文件恢复工具。
根据本发明的另一个方面,提供了一种用于网络安全事件的应急处置方法,该方法包括以下步骤:
S1、利用数据采集模块采集网络安全事件的网站源码、操作***日志、网站web访问日志及中间件日志的基本信息;
S2、通过事件处置模块对已知或未知的网络安全事件进行检查与分析,得到对应的线索树及攻击者信息;
S3、事件预警模块利用基于深度神经网络算法对网络用户的异常行为进行预警;
S4、利用知识数据库对S2的分析结果及S3的预警结果进行确认,若确认无误则执行S5,否则返回S2;
S5、通过风险评估模块对检测出的网络安全事件进行风险等级评估;
S6、应急方案推荐模块利用RBF神经网络的混合协同过滤推荐算法依据风险等级为网络安全事件推荐对应的应急处置方案。
本发明的有益效果为:
1)通过设置有事件处置模块及事件预警模块,不仅可以在事件处置模块的作用下对已知或未知的网络安全事件进行检查与分析,而且还可以在事件预警模块的作用下基于深度神经网络算法来实现对网络用户的异常行为进行预警,从而可以将网络用户的异常行为反馈给网络安全事件的分析人员,进而可以为网络安全事件起到预警效果,便于对网络安全风险进行及时整改及补正,大大减少了应急处理漏洞检测与整改的流程,极大的提高了网络安全事件的应急处置效率。
2)通过设置有风险评估模块及应急方案推荐模块,不仅可以在风险评估模块的作用下对发生的网络安全事件的风险等级进行评估,而且还可以在应急处置方案推荐模块的作用下基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案,利用RBF神经网络的拓扑结构紧凑,结构参数可实现分离学习,收敛速度快的优点,从而可以较快地基于网络安全事件的风险等级为其推荐对应的应急处置方案,进而有效地提高了应急处置方案的推荐效率及精准性,可以更好地满足于网络安全事件的应急处置需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种用于网络安全事件的应急处置***的结构框图。
图中:
1、数据采集模块;3、事件处置模块;31、已知网络安全事件处置模块;32、未知网络安全事件处置模块;2、事件预警模块;21、用户行为数据获取模块;22、网络模型分析模块;23、异常行为反馈模块;4、风险评估模块;41、风险权重设定模块;42、信息安全风险综合评估模块;5、应急方案推荐模块;6、异常数据保护模块;7、知识数据库;8、安全检测工具;9、远程辅助模块。
具体实施方式
为进一步说明各实施例,本发明提供有附图,这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理,配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点,图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
根据本发明的实施例,提供了一种用于网络安全事件的应急处置***及应急处置方法。
现结合附图和具体实施方式对本发明进一步说明,如图1所示,根据本发明的一个实施例,提供了一种基于RBF神经网络安全应急处置***,该***包括数据采集模块1、事件处置模块3、事件预警模块2、风险评估模块4、应急方案推荐模块5、异常数据保护模块6、知识数据库7、安全检测工具8及远程辅助模块9;
所述数据采集模块1用于采集网络安全事件的基本信息;
其中,数据采集模块用于采集包括网站源码、操作***日志、网站web访问日志及中间件日志等信息。
网络安全事件的数据采集分析主要采用集中式采集和分布式采集两种方法,数据采集是数据分析和处理的基础,存储时需要根据大数据平台的相关要求将数据转换成非结构化数据,数据存储时在满足存储要求的同时需要从成本角度选择适宜的存储架构,如采用基于“廉价PC服务器+大容量SATA硬盘”为主的分布式存储架构。
网络安全数据采集之后,在进行大数据分析之前,还需要进行处理,包括网络安全数据导入、归纳整理等。数据导入主要有人工录入数据、网站上的静态数据链接、动态数据链接等,数据的归纳整理采用萃取、转置、加载(Extract-Transform-Load,ETL)工具,根据定义好的关联规则将目标数据抽提到知识数据库。
所述事件处置模块3用于对已知或未知的网络安全事件进行分析;
其中,所述事件处置模块3包括已知网络安全事件处置模块31和未知网络安全事件处置模块32;
所述已知网络安全事件处置模块31用于利用安全检测工具对已知的网络安全事件进行分析;
所述未知网络安全事件处置模块32用于利用安全蜜罐和安全沙箱对未知的网络安全事件进行分析;
具体的,已知的安全事件为网络安全设备将采集的监控对象的日志信息与安全事件在进行预处理以及数据格式范化后,检测出部分攻击信息,通过安全事件的分析模型提取出的安全事件;网络安全设备无法检测出攻击信息的安全数据经预处理以及数据格式范化后输入到安全蜜罐和安全沙箱中进行检测,以提取出未知的安全事件。
安全蜜罐和安全沙箱提取未知的安全事件的过程为:首先利用安全蜜罐收集可疑的威胁样本及其威胁信息,所述威胁信息包含攻击的来源IP、采用的协议和端口号、攻击特征、域名、漏洞信息;然后将利用安全蜜罐收集到的威胁样本导入到安全沙箱中,利用安全沙箱对威胁样本进行检测和测试;安全沙箱通过拦截***调用和监视程序的行为,实现检测和测试病毒以及不受信任的应用程序、文档以及上网行为,从而获取未知安全事件及其攻击属性、传播行为特性和攻击路径。
所述事件预警模块2用于基于深度神经网络算法对网络用户的异常行为进行预警;
其中,所述事件预警模块2包括用户行为数据获取模块21、网络模型分析模块22及异常行为反馈模块23;
所述用户行为数据获取模块21用于获取网络用户的行为特征数据;
所述网络模型分析模块22用于利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分;
具体的,所述网络模型分析模块22在利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分时包括以下步骤:
将网络用户的行为特征映射为高维空间,并以此作为深度神经网络模型的输入;
具体的,所述深度神经网络模型的构建步骤如下:
设定x,y分别表示输入向量和输出向量,神经网络中的隐含层用h表示,W表示神经网络中的权重矩阵,b表示神经网络中的偏置,则有以下公式:
h1=W1x+b1
hm=f(Wmhm-1+bm),m=2,...,N-1
y=f(WNhN-1+bN)
式中,m表示层数,m=1,2,…,N-1,N表示非零自然数,f(x)表示激活函数,用tanh作为隐藏层和输出层的激活函数,其公式如下:
Figure BDA0003853261830000101
e表示自然对数。
根据网络用户的点击行为记录作为训练样本对深度神经网络模型参数进行训练;
提取网络用户信息,计算用户与用户正常行为的相关性,得到用户与用户行为之间的相关性评分并进行排序;
其中,所述相关性评分通过计算用户U与用户正常行为数据集V的语义相关性大小R(U,V)得到,计算公式如下:
Figure BDA0003853261830000102
式中,yU表示经过分析提取后的用户信息的分布式向量,yV表示经过分析后的用户正常行为数据集的分布式向量,cosine()表示余弦函数,yU T表示yU的转置向量,||||表示向量值。
此外,本实施例中对于对网络用户的行为特征数据进行分析还可以采用聚类算法、Adam算法、基于内容的协同过滤算法等来实现。
所述异常行为反馈模块23用于将行为评分低于预设阈值的异常行为反馈给网络安全事件分析人员;
所述风险评估模块4用于对网络安全事件进行风险等级评估;
其中,所述风险评估模块4包括风险权重设定模块41和信息安全风险综合评估模块42;
所述风险权重设定模块41用于对网络安全事件中大小要素的风险权重进行设定;
传统的权重设定方法是采用Borda序值法,对评估要素按重要性进行量化排序,然后再基于AHP的权重值确定,建立AHP判断矩阵,进行权重的计算,得出各风险项的权重值RW。本实施例中对这一环节进行了改进,因为,对于风险要素来说,可以分为几大项,但这几大要素中,由可以具体的再次进行细分,而仅仅对于这几大风险要素进行风险权重的确定,会严重影响评估的精确度。本实施例的改进方法是:先按上述方式对几大风险要素进行风险权重的计算,再此基础上,将每个大项分解为具体的一些小项,然后,通过专家评估的方式通过模糊互补判断矩阵进行重要性分析,将得到的数值乘以大项的权重,得到每个小项新的权重,进行归一化处理,最终得到该受评价组织的综合信息安全风险等级。下面介绍具体方法。
大项要素的风险权重的计算:
1、按照Borda序值法得到大项要素的序值数,建立综合判断矩阵A;
2、利用层次分析法中的求根法确定出大项各个风险要素的权重,步骤如下:
a、按行相乘得到:A1=[a1,a2,…,an],n为整数,表示大项风险要素项数;
b、对A1进行开n次方得到:A1=[a1’,a2’,…,an’];
c、对A2进行归一化处理得到:A3=[a1 n,a2 n,…,an n],即得到大项要素的权重值;
下面运用模糊互补判断矩阵来对小项要素进行重要性分析:
按照前面理论知识部分介绍的专家模糊互补判断矩阵的要求建立多个专家模糊互补判断矩阵,然后通过专家内部讨论,将专家总权重设为1,然后用每个各自的权重进行加权求和,得到最终唯一的专家模糊互补判断矩阵,在此矩阵的基础上,设定第一要素重要性为1,通过专家模糊互补判断矩阵,得到每个小要素的重要性值,将其重要性值乘以其相对应的大要素的权重,得到一组新的权重比较值,然后进行归一化处理,即得到小项的权重。
在得到最终唯一的专家模糊互补判断矩阵后,需要按照上述一致模糊互补矩阵的性质,进行判断,判断其是否为一致模糊互补矩阵以及一致性检验是否合格,若不是,需要在此矩阵的基础上,进行微调。
所述信息安全风险综合评估模块42用于对网络安全事件中受评估的综合信息安全风险等级进行计算。
具体的,所述综合信息安全风险等级的计算公式如下:
Figure BDA0003853261830000121
其中,n表示二级风险项目数,k表示某个特定的风险,RRk表示二级(小项)要素权重值,RWk表示一级(大项)要素权重值;
所述大项要素包括网路通信安全、人事安全、物理安全、风险控制安全、资产及管理安全;所述小项要素包括加密措施、访问控制、人事资源、操作人员的安全意识、设备安全、环境安全、安全审计功能、防黑客入侵措施、信息的数量、信息的价值、破解信息难度、密钥管理、人员管理及设备管理。
所述应急方案推荐模块5用于基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案;
基于网络安全事件的协同过滤推荐具有“跨类型”推荐的能力,但却要求评分数据比较饱和,这样推荐结果才能更加准确。而基于应急处置方案的协同过滤推荐在很大程度上缓解评分数据稀疏的问题,但是个性化程度比较低。为了兼顾这两种算法的优点,提高推荐精度,提出使用比例因子将基于网络安全事件协同过滤算法的评分预测结果和基于应急处置方案的协同过滤算法的评分预测结果进行加权,从而得到目标网络安全事件对目标应急处置方案的最终评分。网络安全事件-应急处置方案混合协同过滤算法综合考虑了网络安全事件和应急处置方案的共同影响,使得预测结果更加全面。
其中,所述应急方案推荐模块5在基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案时包括以下步骤:
建立网络安全事件-应急处置方案的评分矩阵;
建立临近网络安全事件集合:利用相似度计算公式计算目标事件的临近网络安全事件集合T(Ui)及目标应急处置方案的临近应急处置方案集合T(Ij);
计算初步的推荐结果:使用基于RBF神经网络的网络安全事件协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第一推荐评分PU′(Ui,Ij),公式如下:
P'U(Ui,Ij)=θ1PU(Ui,Ij)+(1-θ1)PI(Ui,Ij)
式中,PU(Ui,Ij)表示基于网络安全事件的协同过滤推荐结果,PI(Ui,Ij)表示基于应急处置方案的协同过滤推荐结果,θ1表示比例因子,Ui表示目标事件的临近网络安全事件,Ij表示目标应急处置方案的临近应急处置方案,比例因子θ1和(1-θ1)分别为基于网络安全事件的协同过滤推荐结果和基于应急处置方案的协同过滤推荐结果的平衡因子,两者之间的和为1,则存在如下关系:
当θ1=1时,则完全按照基于网络安全事件的协同过滤推荐算法进行推荐;
当θ1=0时,则完全按照基于应急处置方案的协同过滤推荐算法进行推荐;
当θ1取值为[0,1]时,则混合料了基于网络安全事件的协同过滤推荐结果和基于应急处置方案的协同推荐过滤结果;
使用基于RBF神经网络的应急处置方案协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第二推荐评分PI′(Ui,Ij),计算公式如下:
P'I(Ui,Ij)=θ1PI(Ui,Ij)+(1-θ1)PU(Ui,Ij);;
平衡因子的计算:在临近网络安全事件集合T(Ui)中计算目标网络安全事件的平衡因子BlaU,计算公式如下:
Figure BDA0003853261830000141
Figure BDA0003853261830000142
式中,T(U)表示目标网络安全事件U的临近网络安全事件集合,sim(Ux,U)表示目标网络安全事件U与网络安全事件Ux的相似度计算结果,sim’(Ux,U)表示基于改进的相似度计算公式计算的结果,r表示阈值因子,I表示目标应急处置方案,Ix表示应急处置方案Ix,|Ix∩I|表示目标应急处置方案I与应急处置方案Ix的评分交集,min表示评分交集的最小值;
在临近应急处置方案集合T(Ij)中计算目标应急处置方案的平衡因子BlaI,计算公式如下:
Figure BDA0003853261830000143
Figure BDA0003853261830000144
式中,T(I)表示目标应急处置方案I的临近应急处置方案集合,sim(Ix,I)表示目标应急处置方案I与应急处置方案Ix的相似度计算结果,sim’(Ix,I)表示基于改进的相似度计算公式计算的结果,|Ux∩U|表示目标网络安全事件U与网络安全事件Ux的评分交集,|Ux∪U|表示目标网络安全事件U与网络安全事件Ux的评分并集;
计算比例因子:选取控制因子η,结合目标网络安全事件的平衡因子BlaU及目标应急处置方案的平衡因子BlaI计算最终的比例因子θ,计算公式如下:
Figure BDA0003853261830000151
Figure BDA0003853261830000152
从公式中看出,当目标网络安全事件的邻近集合为空时,这时网络安全事件相关平衡因子BlaU=0,则最终的比例因子θ=0,此时完全按照基于应急处置方案的协同过滤推荐算法进行结果预测;同理当目标应急处置方案的邻近集合为空时,BlaI=0时,则完全按照基于网络安全事件的协同过滤算法进行结果预测;而如果目标网络安全事件和目标应急处置方案的邻近集合都不为空,则此时对比网络安全事件相关平衡因子和应急处置方案相关因子的大小,同时还可以手动调整控制因子η的值控制预测结果按照哪种协同过滤算法来计算;
最终结果计算:基于第一推荐评分PU′(Ui,Ij)、第二推荐评分PI′(Ui,Ij)及最终的比例因子θ计算得到目标网络安全事件的推荐评分,计算公式如下:
Figure BDA0003853261830000153
基于目标网络安全事件的推荐评分为其推荐对应的应急处置方案。
所述异常数据保护模块6用于在检测到安全事故发生时对***内部的数据进行应急保存;
所述知识数据库7用于存储***数据及基于网络安全事件的专家知识数据;
所述安全检测工具8用于为网络安全事件的检测提供辅助检测工具;
其中,所述安全检测工具8包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述安全检测工具8还包括日志分析工具、日志分割工具和文件恢复工具。
具体的,漏洞验证工具包括***漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具、SQL注入验证工具;病毒挂马检测工具包括病毒检测工具、木马检测工具、恶意代码检测工具、日志分析工具、日志分割工具和文件恢复工具等,且本实施例中的漏洞验证工具及病毒挂马检测工具均为本领域常规使用的辅助工具,本领域技术人员可以依据需求自行设置。
所述远程辅助模块9用于利用远程操控技术对网络安全事件进行协助处置。
根据本发明的另一个实施例,提供了一种用于网络安全事件的应急处置方法,该方法包括以下步骤:
S1、利用数据采集模块采集网络安全事件的网站源码、操作***日志、网站web访问日志及中间件日志的基本信息;
S2、通过事件处置模块对已知或未知的网络安全事件进行检查与分析,得到对应的线索树及攻击者信息;
S3、事件预警模块利用基于深度神经网络算法对网络用户的异常行为进行预警;
S4、利用知识数据库对S2的分析结果及S3的预警结果进行确认,若确认无误则执行S5,否则返回S2;
S5、通过风险评估模块对检测出的网络安全事件进行风险等级评估;
S6、应急方案推荐模块利用RBF神经网络的混合协同过滤推荐算法依据风险等级为网络安全事件推荐对应的应急处置方案。
综上所述,借助于本发明的上述技术方案,通过设置有事件处置模块及事件预警模块,不仅可以在事件处置模块的作用下对已知或未知的网络安全事件进行检查与分析,而且还可以在事件预警模块的作用下基于深度神经网络算法来实现对网络用户的异常行为进行预警,从而可以将网络用户的异常行为反馈给网络安全事件的分析人员,进而可以为网络安全事件起到预警效果,便于对网络安全风险进行及时整改及补正,大大减少了应急处理漏洞检测与整改的流程,极大的提高了网络安全事件的应急处置效率。
此外,通过设置有风险评估模块及应急方案推荐模块,不仅可以在风险评估模块的作用下对发生的网络安全事件的风险等级进行评估,而且还可以在应急处置方案推荐模块的作用下基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案,从而可以基于网络安全事件的风险等级为其推荐对应的应急处置方案,进而有效地提高了应急处置方案的推荐效率及精准性,可以更好地满足于网络安全事件的应急处置需求
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于RBF神经网络安全应急处置***,其特征在于,该***包括数据采集模块(1)、事件处置模块(3)、事件预警模块(2)、风险评估模块(4)、应急方案推荐模块(5)、异常数据保护模块(6)、知识数据库(7)、安全检测工具(8)及远程辅助模块(9);
所述数据采集模块(1)用于采集网络安全事件的基本信息;
所述事件处置模块(3)用于对已知或未知的网络安全事件进行分析;
所述事件预警模块(2)用于基于深度神经网络算法对网络用户的异常行为进行预警;
所述风险评估模块(4)用于对网络安全事件进行风险等级评估;
所述应急方案推荐模块(5)用于基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案;所述应急方案推荐模块(5)在基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案时包括以下步骤:
建立网络安全事件-应急处置方案的评分矩阵;
建立临近网络安全事件集合:利用相似度计算公式计算目标事件的临近网络安全事件集合T(Ui)及目标应急处置方案的临近应急处置方案集合T(Ij);
计算初步的推荐结果:使用基于RBF神经网络的网络安全事件协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第一推荐评分PU′(Ui,Ij),公式如下:
P'U(Ui,Ij)=θ1PU(Ui,Ij)+(1-θ1)PI(Ui,Ij)
式中,PU(Ui,Ij)表示基于网络安全事件的协同过滤推荐结果,PI(Ui,Ij)表示基于应急处置方案的协同过滤推荐结果,θ1表示第一比例因子,Ui表示目标事件的临近网络安全事件,Ij表示目标应急处置方案的临近应急处置方案;
使用基于RBF神经网络的应急处置方案协同过滤推荐算法计算目标网络安全事件的推荐评分,得到第二推荐评分PI′(Ui,Ij),计算公式如下:
P'I(Ui,Ij)=θ1PI(Ui,Ij)+(1-θ1)PU(Ui,Ij);
平衡因子的计算:在临近网络安全事件集合T(Ui)中计算目标网络安全事件的平衡因子BlaU,计算公式如下:
Figure FDA0003853261820000021
Figure FDA0003853261820000022
式中,T(U)表示目标网络安全事件U的临近网络安全事件集合,sim(Ux,U)表示目标网络安全事件U与网络安全事件Ux的相似度计算结果,sim’(Ux,U)表示基于改进的相似度计算公式计算的结果,r表示阈值因子,I表示目标应急处置方案,Ix表示应急处置方案,|Ix∩I|表示目标应急处置方案I与应急处置方案Ix的评分交集,min表示评分交集的最小值;
在临近应急处置方案集合T(Ij)中计算目标应急处置方案的平衡因子BlaI,计算公式如下:
Figure FDA0003853261820000023
Figure FDA0003853261820000024
式中,T(I)表示目标应急处置方案I的临近应急处置方案集合,sim(Ix,I)表示目标应急处置方案I与应急处置方案Ix的相似度计算结果,sim’(Ix,I)表示基于改进的相似度计算公式计算的结果,|Ux∩U|表示目标网络安全事件U与网络安全事件Ux的评分交集,|Ux∪U|表示目标网络安全事件U与网络安全事件Ux的评分并集;
计算比例因子:选取控制因子η,结合目标网络安全事件的平衡因子BlaU及目标应急处置方案的平衡因子BlaI计算最终的比例因子θ,计算公式如下:
Figure FDA0003853261820000031
Figure FDA0003853261820000032
最终结果计算:基于第一推荐评分PU′(Ui,Ij)、第二推荐评分P′I(Ui,Ij)及最终的比例因子θ计算得到目标网络安全事件的推荐评分,计算公式如下:
Figure FDA0003853261820000033
基于目标网络安全事件的推荐评分为其推荐对应的应急处置方案,其中,max表示评分交集的最大值;
所述异常数据保护模块(6)用于在检测到安全事故发生时对***内部的数据进行应急保存;
所述知识数据库(7)用于存储***数据及基于网络安全事件的专家知识数据;
所述安全检测工具(8)用于为网络安全事件的检测提供辅助检测工具;
所述远程辅助模块(9)用于利用远程操控技术对网络安全事件进行协助处置。
2.根据权利要求1所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述事件处置模块(3)包括已知网络安全事件处置模块(31)和未知网络安全事件处置模块(32);
所述已知网络安全事件处置模块(31)用于利用安全检测工具对已知的网络安全事件进行分析;
所述未知网络安全事件处置模块(32)用于利用安全蜜罐和安全沙箱对未知的网络安全事件进行分析。
3.根据权利要求1所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述事件预警模块(2)包括用户行为数据获取模块(21)、网络模型分析模块(22)及异常行为反馈模块(23);
所述用户行为数据获取模块(21)用于获取网络用户的行为特征数据;
所述网络模型分析模块(22)用于利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分;
所述异常行为反馈模块(23)用于将行为评分低于预设阈值的异常行为反馈给网络安全事件分析人员。
4.根据权利要求3所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述网络模型分析模块(22)在利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析,得到网络用户的行为评分时包括以下步骤:
将网络用户的行为特征映射为高维空间,并以此作为深度神经网络模型的输入;
根据网络用户的点击行为记录作为训练样本对深度神经网络模型参数进行训练;
提取网络用户信息,计算用户与用户正常行为的相关性,得到用户与用户行为之间的相关性评分并进行排序;
其中,所述相关性评分通过计算用户U与用户正常行为数据集V的语义相关性大小R(U,V)得到,计算公式如下:
Figure FDA0003853261820000041
式中,yU表示经过分析提取后的用户信息的分布式向量,yV表示经过分析后的用户正常行为数据集的分布式向量,cosine()表示余弦函数,yU T表示yU的转置向量,|| ||表示向量值。
5.根据权利要求4所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述深度神经网络模型的构建步骤如下:
设定x,y分别表示输入向量和输出向量,神经网络中的隐含层用h表示,W表示神经网络中的权重矩阵,b表示神经网络中的偏置,则有以下公式:
h1=W1x+b1
hm=f(Wmhm-1+bm),m=2,...,N-1
y=f(WNhN-1+bN)
式中,m表示层数,m=1,2,…,N-1,N表示非零自然数,f(x)表示激活函数,用tanh作为隐藏层和输出层的激活函数,其公式如下:
Figure FDA0003853261820000051
e表示自然对数。
6.根据权利要求1所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述风险评估模块(4)包括风险权重设定模块(41)和信息安全风险综合评估模块(42);
所述风险权重设定模块(41)用于对网络安全事件中大小要素的风险权重进行设定;
所述信息安全风险综合评估模块(42)用于对网络安全事件中受评估的综合信息安全风险等级进行计算。
7.根据权利要求6所述的一种基于RBF神经网络安全应急处置***,其特征在于,所述综合信息安全风险等级的计算公式如下:
Figure FDA0003853261820000052
其中,n表示二级风险项目数,k表示某个特定的风险,RRk表示二级要素权重值,RWk表示一级要素权重值;
所述一级要素包括网路通信安全、人事安全、物理安全、风险控制安全、资产及管理安全;所述二级要素包括加密措施、访问控制、人事资源、操作人员的安全意识、设备安全、环境安全、安全审计功能、防黑客入侵措施、信息的数量、信息的价值、破解信息难度、密钥管理、人员管理及设备管理。
8.根据权利要求1所述的一种用于网络安全事件的应急处置***,其特征在于,所述安全检测工具(8)包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具,所述安全检测工具(8)还包括日志分析工具、日志分割工具和文件恢复工具。
9.一种用于网络安全事件的应急处置方法,用于权利要求1-8中任意一项所述的用于网络安全事件的应急处置***的应急处置方法,其特征在于,该方法包括以下步骤:
S1、利用数据采集模块采集网络安全事件的网站源码、操作***日志、网站web访问日志及中间件日志的基本信息;
S2、通过事件处置模块对已知或未知的网络安全事件进行检查与分析,得到对应的线索树及攻击者信息;
S3、事件预警模块利用基于深度神经网络算法对网络用户的异常行为进行预警;
S4、利用知识数据库对S2的分析结果及S3的预警结果进行确认,若确认无误则执行S5,否则返回S2;
S5、通过风险评估模块对检测出的网络安全事件进行风险等级评估;
S6、应急方案推荐模块利用RBF神经网络的混合协同过滤推荐算法依据风险等级为网络安全事件推荐对应的应急处置方案。
CN202211140104.3A 2022-09-20 2022-09-20 一种基于rbf神经网络安全应急处置***及应急处置方法 Pending CN115622738A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211140104.3A CN115622738A (zh) 2022-09-20 2022-09-20 一种基于rbf神经网络安全应急处置***及应急处置方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211140104.3A CN115622738A (zh) 2022-09-20 2022-09-20 一种基于rbf神经网络安全应急处置***及应急处置方法

Publications (1)

Publication Number Publication Date
CN115622738A true CN115622738A (zh) 2023-01-17

Family

ID=84858932

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211140104.3A Pending CN115622738A (zh) 2022-09-20 2022-09-20 一种基于rbf神经网络安全应急处置***及应急处置方法

Country Status (1)

Country Link
CN (1) CN115622738A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116566729A (zh) * 2023-06-15 2023-08-08 广州谦益科技有限公司 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质
CN117319077A (zh) * 2023-11-09 2023-12-29 青海秦楚信息科技有限公司 一种网络安全应急联动***及方法
CN117390567A (zh) * 2023-12-08 2024-01-12 南京博晟宇网络科技有限公司 一种异常行为综合管控平台

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116566729A (zh) * 2023-06-15 2023-08-08 广州谦益科技有限公司 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质
CN116566729B (zh) * 2023-06-15 2024-02-13 广州谦益科技有限公司 基于安全云的网络安全运营分析方法、装置、电子设备及存储介质
CN117319077A (zh) * 2023-11-09 2023-12-29 青海秦楚信息科技有限公司 一种网络安全应急联动***及方法
CN117319077B (zh) * 2023-11-09 2024-04-16 青海秦楚信息科技有限公司 一种网络安全应急联动***及方法
CN117390567A (zh) * 2023-12-08 2024-01-12 南京博晟宇网络科技有限公司 一种异常行为综合管控平台
CN117390567B (zh) * 2023-12-08 2024-02-13 南京博晟宇网络科技有限公司 一种异常行为综合管控平台

Similar Documents

Publication Publication Date Title
CN110958220B (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及***
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN115622738A (zh) 一种基于rbf神经网络安全应急处置***及应急处置方法
Mahor et al. Cyber warfare threat categorization on cps by dark web terrorist
CN109714341A (zh) 一种Web恶意攻击识别方法、终端设备及存储介质
Fang et al. WOVSQLI: Detection of SQL injection behaviors using word vector and LSTM
CN111881451B (zh) 一种工业控制***的漏洞关联挖掘方法
CN112637108B (zh) 一种基于异常检测和情感分析的内部威胁分析方法及***
CN114785563B (zh) 一种软投票策略的加密恶意流量检测方法
CN108063776A (zh) 基于跨域行为分析的内部威胁检测方法
Yin et al. Towards accurate intrusion detection based on improved clonal selection algorithm
Aydin et al. Using attribute-based feature selection approaches and machine learning algorithms for detecting fraudulent website URLs
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及***
CN112765660A (zh) 一种基于MapReduce并行聚类技术的终端安全性分析方法和***
Deore et al. Intrusion detection system based on RNN classifier for feature reduction
Kumar et al. Performance evaluation of machine learning techniques for detecting cross-site scripting attacks
CN117972783A (zh) 基于联邦学习的大数据隐私保护方法及***
Nebbione et al. A Methodological Framework for AI-Assisted Security Assessments of Active Directory Environments
Liu et al. A Markov detection tree-based centralized scheme to automatically identify malicious webpages on cloud platforms
AL-Maliki et al. Comparison study for NLP using machine learning techniques to detecting SQL injection vulnerabilities
CN112804247B (zh) 基于三元概念分析的工业控制***网络入侵检测方法及***
Holm et al. A metamodel for web application injection attacks and countermeasures
CN111368291A (zh) 一种类蜜罐防御的实现方法及***
Guo et al. Intelligent mining vulnerabilities in python code snippets
Amuda et al. A Predictive User Behaviour Analytic Model for Insider Threats in Cyberspace

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination