CN117220920A - 基于人工智能的防火墙策略管理方法 - Google Patents
基于人工智能的防火墙策略管理方法 Download PDFInfo
- Publication number
- CN117220920A CN117220920A CN202311056683.8A CN202311056683A CN117220920A CN 117220920 A CN117220920 A CN 117220920A CN 202311056683 A CN202311056683 A CN 202311056683A CN 117220920 A CN117220920 A CN 117220920A
- Authority
- CN
- China
- Prior art keywords
- data
- detection
- network
- policy management
- entropy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 25
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 21
- 238000001514 detection method Methods 0.000 claims abstract description 106
- 239000013598 vector Substances 0.000 claims abstract description 38
- 238000003745 diagnosis Methods 0.000 claims abstract description 36
- 238000000034 method Methods 0.000 claims abstract description 36
- 230000002159 abnormal effect Effects 0.000 claims abstract description 24
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims abstract description 19
- 238000012549 training Methods 0.000 claims abstract description 16
- 239000011159 matrix material Substances 0.000 claims abstract description 13
- 238000007637 random forest analysis Methods 0.000 claims abstract description 8
- 230000007246 mechanism Effects 0.000 claims description 18
- 238000013145 classification model Methods 0.000 claims description 14
- 238000006243 chemical reaction Methods 0.000 claims description 12
- 238000005457 optimization Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 238000000605 extraction Methods 0.000 claims description 8
- 238000003860 storage Methods 0.000 claims description 8
- 230000006399 behavior Effects 0.000 claims description 7
- 230000015654 memory Effects 0.000 claims description 6
- 238000011478 gradient descent method Methods 0.000 claims description 5
- 238000007635 classification algorithm Methods 0.000 claims description 4
- 241000287828 Gallus gallus Species 0.000 claims description 2
- 241000700605 Viruses Species 0.000 claims description 2
- 238000005336 cracking Methods 0.000 claims description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 abstract description 10
- 238000010219 correlation analysis Methods 0.000 abstract description 3
- 230000007547 defect Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 17
- 238000004590 computer program Methods 0.000 description 11
- 230000004927 fusion Effects 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000013135 deep learning Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000004140 cleaning Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000012706 support-vector machine Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008033 biological extinction Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 210000003275 diaphysis Anatomy 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000000691 measurement method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000006403 short-term memory Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及基于人工智能的防火墙策略管理方法,深入分析了异常流量的特性,提出了多维熵值近似高效估算算法,能够有效减少熵值计算算法的时间和空间复杂度,并提高了熵序列对异常的区分能力;在相关性分析的基础上,提出了采用支持向量回归机对检测统计量进行建模,预测最优的检测阈值;提出多窗口关联检测算法充分利用异常趋势的相关性,提高单个检测***的检测精度;提出了采用随机森林、OC‑SVM分类器、在线增减式训练方法能够有效提高检测精度,减少对用户的依赖并规避安全缺陷;通过研究一种基于小波包分析和二维矩阵的智能诊断预测模型,实现安全事件数据上下文关联检测分析与无样本或少样本条件下准确预测高持续威胁攻击。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及基于人工智能的防火墙策略管理方法。
背景技术
近年来,硬件计算能力的强大和数据量的与日俱增,深度学习应用于网络空间安全的研究逐步涌现,特别是针对恶意软件检测和入侵检测有一套行为有效的模型构建方法。深度学习应用于面向工业现场计算、网络、控制、物理环境的多维复杂***,通过将骨干网络节点、用户网络、用户终端等传统网络设施与工业现场***进行数据融合,有效识别未知威胁和潜在风险行为预测,实现对资产、流量、日志、边界、链路全局化数据进行安全威胁智能诊断。
纵观全球新趋势下大规模工控网络与深度学习的融合应用,在网络空间安全领域极具挑战性,其存在的重大科学问题体现在:多层网络,需要通过协议兼容,简化复杂网络结构,提高适应能力;样本单一,庞杂的***导致数据样本不一,样本不均,识别率低;建模低效,建模效率低下,不满足工控网络行为预测的实时性要求。
发明内容
本发明针对现有技术中存在的技术问题,提供一种基于人工智能的防火墙策略管理方法,以解决现有技术中多层网络样本单一,庞杂的***导致数据样本不一,样本不均,识别率低,且建模效率低下,不满足工控网络行为预测的实时性要求的问题。
本发明解决上述技术问题,第一方面,本发明实施例提供技术方案如下:一种基于人工智能的防火墙策略管理方法,所述方法包括:
步骤S1、采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
步骤S2、确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
步骤S3、根据所述异常数据和所述正常数据构建数据上下文特征集,基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述数据上下文特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
作为优选的,所述步骤S2中,还包括:
针对骨干网络节点,基于多维熵值近似估算算法,确定网络流量数据的共性特征,基于网络流量数据的熵序列之间的相关性,将每个时间窗口的多维熵序列排列成检测向量,基于OC-SVM的检测向量分类算法,对错误分类比例大于预设比例阈值的检测向量,采集精度优化算法在下多个时刻进行综合检测。
作为优选的,所述步骤S2中,所述多维熵序列包括以下一种或多种:源IP维熵序列、目的IP维熵序列、源端口维熵序列、目的端口维熵序列和IP包长度维熵序列。
作为优选的,所述步骤S1具体包括:
基于IPv4/IPv6协议、modbus/S7工业协议采集工控网络中的多维异构数据,并基于预先确定的提取和格式转换规则库,进行分类多线程的数据自动抽取,根据Hadoop大数据方法进行数据格式转换和处理分析,统一数据格式。
作为优选的,所述步骤S2中,所述分类模型包括随机森林分类器和SVM分类器;
并通过分类模型对所述时序数据进行异常检测,具体包括:
构建检测引擎,所述检测引擎中包括多个异常检测***,基于支持向量回归机对每个异常检测***的检测统计量进行建模,预测最优的检测阈值,基于信息增益方法确定所述检测统计量的检测能力,基于所述检测能力作为每个异常检测***的权值;
基于随机森林分类器对所述时序数据进行初步分类和特征组合,并基于所述SVM分类器对组合后的特征进行二次分类,根据异常检测***的权值将将二次分类后的特征进行组合后输入至检测引擎。
作为优选的,所述多维度安全事件包括以下一种或多种:异常网络连接、肉鸡行为、木马回连、未授权下载、暴力破解、WebShell、DDOS、蠕虫病毒和未知威胁。
作为优选的,根据所述异常数据和所述正常数据构建数据上下文特征集,具体包括:
基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,确定隐含特征向量的转化机制,以生成多层网络的多维度安全事件的数据上下文特征集。
第二方面,本发明实施例提供技术方案如下:一种基于人工智能的防火墙策略管理***,包括:
采集模块,采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
分类器模块,确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
异常检测模块,基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,确定隐含特征向量的转化机制,以生成多层网络的多维度安全事件的完备特征集;基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述完备特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
第三方面,本发明实施例提供技术方案如下:一种电子设备,包括:
存储器,用于存储计算机软件程序;
处理器,用于读取并执行所述计算机软件程序,进而实现第一方面实施例所述的基于人工智能的防火墙策略管理方法。
第四方面,本发明实施例提供技术方案如下:一种非暂态计算机可读存储介质,所述存储介质中存储有用于实现如第一方面实施例所述的基于人工智能的防火墙策略管理方法的计算机软件程序。
本发明的有益效果是:深入分析了异常流量的特性,提出了多维熵值近似高效估算算法,能够有效减少熵值计算算法的时间和空间复杂度,并提高了熵序列对异常的区分能力;针对熵序列之间存在的相关性,把每个时间窗口多维熵序列排列成检测向量,采用OC-SVM分类方法,提高检测精度和泛化能力;当异常发生时,邻近窗口之间的检测向量会出现相似的变化趋势,提出了对应的检测精度优化方法;在相关性分析的基础上,提出了采用支持向量回归机对检测统计量进行建模,预测最优的检测阈值;提出多窗口关联检测算法充分利用异常趋势的相关性,提高单个检测***的检测精度;提出了采用随机森林、OC-SVM分类器、在线增减式训练方法能够有效提高检测精度,减少对用户的依赖并规避安全缺陷;提出了完备化的参考特征集合生产机制,探索基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,研究隐含特征的转化机制,从而生成骨干网络节点、用户网络及用户终端等多层网络安全事件为一体的完备特征集;通过研究一种基于小波包分析和二维矩阵的智能诊断预测模型,实现安全事件数据上下文关联检测分析与无样本或少样本条件下准确预测高持续威胁攻击。并建立反馈优化机制,实现模型的持续优化。
附图说明
图1为本发明实施例的基于人工智能的防火墙策略管理方法流程图;
图2为本发明实施例的多层次网络数据自动化采集与数据处理技术路线图;
图3为本发明实施例的多层次网络数据高效采集和数据处理原理图;
图4为本发明实施例的基于时间序列的数据分类和异常检测技术路线图;
图5为本发明实施例的基于时间序列的数据分类和异常检测原理图;
图6为本发明实施例的基于时序数据的预测引擎技术路线图;
图7为本发明实施例的基于深度学习的智能诊断原理图;
图8为本发明提供的电子设备的实施例示意图;
图9为本发明提供的计算机可读存储介质的实施例示意图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
网络空间安全领域极具挑战性,其存在的重大科学问题体现在:多层网络,需要通过协议兼容,简化复杂网络结构,提高适应能力;样本单一,庞杂的***导致数据样本不一,样本不均,识别率低;建模低效,建模效率低下,不满足工控网络行为预测的实时性要求。
因此,本发明实施例提供一种基于人工智能的防火墙策略管理方法和***,针对协同攻击事件,通过数据收集和预处理、模型训练和验证、安全事件预测、预测性能监视四个阶段,将历史事件作为初始输入,并预测概率分布,给定排序,选择概率最高的事件作为预测结果,为了保持预测的准确性,预测性能监视会跟踪报告是否预测了正确的事件,如果预测精度下降到某个阈值以下,***将自动重新训练模型。下面结合附图描述一种基于人工智能的防火墙策略管理方法和***。
图1至图7为根据本发明实施例提供的一种基于人工智能的防火墙策略管理方法,如图1中所示,所述方法包括:
步骤S1、采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端。
如图2中所示,本实施例中,基于IPv4/IPv6协议、modbus/S7工业协议采集工控网络中的多维异构数据,通过多层次网络数据的分布模式、数据类型,实现多源、多维异构数据的共性特征提取,探索流量采集方式,实现各类异构数据的特征提取规则,对数据进行分类多线程的自动抽取,结合Hadoop大数据技术进行数据格式转换和处理分析,实现统一规范的数据格式。
如图3中所示,针对骨干网络节点、用户网络、用户终端等传统网络设施与工业现场***进行数据如何融合问题,首先构建数据提取和格式转换规则库。探索针对数据自动化采集与数据处理机制,构建多层次网络协议智能化识别的采集引擎。研究多模态海量多维异构数据的清洗分类方法,构建基于时序序列的数据清洗框架,实现数据清除与多层融合排序模型,建立基于TSDB(Time Series Database,时序列数据库)的海量多维异构流量数据存储架构,生成高质量流量数据。
步骤S2、确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件。
本实施例中,通过多维熵值高效近似计算算法,在蠕虫、DDoS(DistributedDenial of Service,分布式拒绝服务攻击)等大规模网络攻击原理分析的基础上,实现网络流量中多模态海量数据的特征共性提取,探索基于OC-SVM的检测向量分类算法,对可能出现错误分类的检测向量,采集精度优化算法在下几个时刻再进行综合检测,实现基于时间序列的多层融合异常检测框架,在准确识别异常数据的基础上,生成高质量异常知识图谱。针对骨干网节点异常检测高速带宽的应用要求,深入分析了异常流量的特性,提出了多维熵值近似高效估算算法,能够有效减少熵值计算算法的时间和空间复杂度,并提高了熵序列对异常的区分能力;针对熵序列之间存在的相关性,把每个时间窗口多维熵序列排列成检测向量,采用OC-SVM分类方法,提高检测精度和泛化能力;当异常发生时,邻近窗口之间的检测向量会出现相似的变化趋势,提出了对应的检测精度优化方法。
如图4中所示,针对骨干网络节点,基于多维熵值近似估算算法,确定网络流量数据的共性特征,基于网络流量数据的熵序列之间的相关性,将每个时间窗口的多维熵序列排列成检测向量,基于OC-SVM的检测向量分类算法,对错误分类比例大于预设比例阈值的检测向量,采集精度优化算法在下多个时刻进行综合检测。
所述多维熵序列包括以下一种或多种:源IP维熵序列、目的IP维熵序列、源端口维熵序列、目的端口维熵序列和IP包长度维熵序列。
如图5中所示,在进行大规模工控网络流量分析与异常检测过程中,通常采用一定的度量方法对网络流量正常模式进行描述,如果出现偏离正常模式较远则认为出现了异常,其核心在于选择流量特征并采用合适的统计量(时间序列)进行度量。本实施例主要关注多序列综合检测以及和数据挖掘相关技术的综合应用。在多个网络流量相关统计量的时间序列上采用统计或分类的方法检测异常是一类广泛应用的方法,在多时间序列上采用分类器等方法具有较好的可扩展性,适用于高速网络上的异常检测。它们通过统计或者机器学习的方法,从给定的训练数据集中学习分类模型,然后用该分类模型对采集的样本进行分类,从而把异常情况和正常情况进行分离,最后达到异常检测的目的。
针对IPv4/IPv6、modbus/S7等工业协议,不同异常检测***采用不同的检测测度,不同的检测测度对应的检测能力也不尽相同,但检测统计量之间存在或多或少的相关性,通过对几种典型的异常检测***检测统计量的分析基础上,发现检测统计量在正常情况下可以用随机过程进行刻画,异常对网络流量造成的影响是持续的。另外,不同检测统计量之间无论是在正常情况下还是在异常情况下都存在相关性。在相关性分析的基础上,提出了采用支持向量回归机对检测统计量进行建模,预测最优的检测阈值;提出多窗口关联检测算法充分利用异常趋势的相关性,提高单个检测***的检测精度;提出了多测度关联检测算法融合多个异常检测***的结果;针对所提算法中权值确定困难的问题,采用信息增益方法对每个检测统计量的检测能力进行描述,把它作为每个检测***的权值。
本实施例中,流量异常检测***中分类向量的构建、分类器的选择以及分类器的训练严重影响***检测精度,从检测精度、运行效率、安全性和易用性四个角度对分类器的使用中出现的问题进行了分析,提出了采用随机森林、单类支持向量机OC-SVM分类器、在线增减式训练方法能够有效提高检测精度,基于随机森林分类器对所述时序数据进行初步分类和特征组合,并基于所述SVM(Support Vector Machines,支持向量机)分类器对组合后的特征进行二次分类,根据异常检测***的权值将将二次分类后的特征进行组合后输入至检测引擎,减少对用户的依赖并规避安全缺陷。针对网络流量的漂移特性,首先提出了自适应增减式在线训练算法,随后发现了***在线运行过程中剔除异常样本将有效提高分类器精度。
步骤S3、根据所述异常数据和所述正常数据构建数据上下文特征集,基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述数据上下文特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能。
如图6中所示,本实施例中,提取时序数据的多维度安全事件集成,研究用户、事件、日志、流量、应用运行等因素的关联映射模式,提出完备化的参考特征集合生产机制,探索基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,研究隐含特征的转化机制,从而生成骨干网络节点、用户网络及用户终端等多层网络安全事件为一体的完备特征集。在此基础上,通过研究一种基于小波包分析和二维矩阵的智能诊断预测模型,同步采集工件加工过程中的各类传感器信号,对待分析数据进行小波包分解变换,以得到多个小波包系数二维矩阵;每个小波包系数二维矩阵对应都作为一个特征提取模型的输入,并将每个特征提取模型块输出的一维特征矩阵拼接成更长的一维矩阵,进而进行特征融合并建立两层全连接网络,由此得到智能诊断预测模型;实现安全事件数据上下文关联检测分析与无样本或少样本条件下准确预测高持续威胁攻击。并建立反馈优化机制,实现模型的持续优化,解决多层次网络空间与异构复杂攻击行为的安全威胁预测。并建立反馈优化机制,实现模型的持续优化。
如图7中所示,传统RNN存在梯度消失的主要问题,由于误差随着时间膨胀或衰减而无法访问远程上下文,只能对短时间序列进行建模。针对这一难题,研究基于LSTM(LongShort-Term Memory,长短期记忆网络)反向传播共同学习时间序列算法,针对协同攻击事件,通过数据收集和预处理、模型训练和验证、安全事件预测、预测性能监视四个阶段,将历史事件作为初始输入,并预测概率分布,给定排序,选择概率最高的事件作为预测结果,为了保持预测的准确性,预测性能监视会跟踪报告是否预测了正确的事件,如果预测精度下降到某个阈值以下,***将自动重新训练模型。
第二方面,本发明实施例提供技术方案如下:一种基于人工智能的防火墙策略管理***,包括:
采集模块,采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
分类器模块,确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
异常检测模块,基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,确定隐含特征向量的转化机制,以生成多层网络的多维度安全事件的完备特征集;基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述完备特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
请参阅图8,图8为本发明实施例提供的电子设备的实施例示意图。如图8所示,本发明实施例提了一种电子设备500,包括存储器510、处理器520及存储在存储器510上并可在处理器520上运行的计算机程序511,处理器520执行计算机程序511时实现以下步骤:
步骤S1、采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
步骤S2、确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
步骤S3、根据所述异常数据和所述正常数据构建数据上下文特征集,基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述数据上下文特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
请参阅图6,图6为本发明实施例提供的一种计算机可读存储介质的实施例示意图。如图6所示,本实施例提供了一种计算机可读存储介质600,其上存储有计算机程序611,该计算机程序611被处理器执行时实现如下步骤:
步骤S1、采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
步骤S2、确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
步骤S3、根据所述异常数据和所述正常数据构建数据上下文特征集,基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述数据上下文特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
需要说明的是,在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其它实施例的相关描述。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式计算机或者其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包括这些改动和变型在内。
Claims (10)
1.一种基于人工智能的防火墙策略管理方法,其特征在于,所述方法包括:
步骤S1、采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
步骤S2、确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
步骤S3、根据所述异常数据和所述正常数据构建数据上下文特征集,基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述数据上下文特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
2.根据权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述步骤S2中,还包括:
针对骨干网络节点,基于多维熵值近似估算算法,确定网络流量数据的共性特征,基于网络流量数据的熵序列之间的相关性,将每个时间窗口的多维熵序列排列成检测向量,基于OC-SVM的检测向量分类算法,对错误分类比例大于预设比例阈值的检测向量,采集精度优化算法在下多个时刻进行综合检测。
3.根据权利要求2所述的基于人工智能的防火墙策略管理方法,其特征在于,所述步骤S2中,所述多维熵序列包括以下一种或多种:源IP维熵序列、目的IP维熵序列、源端口维熵序列、目的端口维熵序列和IP包长度维熵序列。
4.根据权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述步骤S1具体包括:
基于IPv4/IPv6协议、modbus/S7工业协议采集工控网络中的多维异构数据,并基于预先确定的提取和格式转换规则库,进行分类多线程的数据自动抽取,根据Hadoop大数据方法进行数据格式转换和处理分析,统一数据格式。
5.根据权利要求1所述的基于人工智能的防火墙策略管理方法,其特征在于,所述步骤S2中,所述分类模型包括随机森林分类器和SVM分类器;
并通过分类模型对所述时序数据进行异常检测,具体包括:
构建检测引擎,所述检测引擎中包括多个异常检测***,基于支持向量回归机对每个异常检测***的检测统计量进行建模,预测最优的检测阈值,基于信息增益方法确定所述检测统计量的检测能力,基于所述检测能力作为每个异常检测***的权值;
基于随机森林分类器对所述时序数据进行初步分类和特征组合,并基于所述SVM分类器对组合后的特征进行二次分类,根据异常检测***的权值将将二次分类后的特征进行组合后输入至检测引擎。
6.根据权利要求5所述的基于人工智能的防火墙策略管理方法,其特征在于,所述多维度安全事件包括以下一种或多种:异常网络连接、肉鸡行为、木马回连、未授权下载、暴力破解、WebShell、DDOS、蠕虫病毒和未知威胁。
7.根据权利要求1所述的基于人工智能的防火墙策略管理***,其特征在于,根据所述异常数据和所述正常数据构建数据上下文特征集,具体包括:
基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,确定隐含特征向量的转化机制,以生成多层网络的多维度安全事件的数据上下文特征集。
8.一种基于人工智能的防火墙策略管理***,其特征在于,包括:
采集模块,采集工控网络中的多维异构数据,所述多维异构数据为工控网络中多层网络的网络流量数据,所述多层网络包括骨干网络节点、用户网络和用户终端;
分类器模块,确定每个网络流量数据在时间窗口内的时序数据,并通过分类模型对所述时序数据进行异常检测,将所述时序数据分为异常数据和正常数据,提取所述时序数据中的多维度安全事件;
异常检测模块,基于梯度下降法的隐含特征向量学习机制,并基于初始化特征向量,确定隐含特征向量的转化机制,以生成多层网络的多维度安全事件的完备特征集;基于小波包分析和二维矩阵构建智能诊断预测模型,基于所述多维度安全事件和所述完备特征集对所述智能诊断预测模型进行模型训练,基于训练好的智能诊断预测模型对工控网络的安全威胁进行智能诊断和预测。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机软件程序;
处理器,用于读取并执行所述计算机软件程序,进而实现权利要求1-7任一项所述的基于人工智能的防火墙策略管理方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述存储介质中存储有用于实现权利要求1-7任一项所述的基于人工智能的防火墙策略管理方法的计算机软件程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311056683.8A CN117220920A (zh) | 2023-08-21 | 2023-08-21 | 基于人工智能的防火墙策略管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311056683.8A CN117220920A (zh) | 2023-08-21 | 2023-08-21 | 基于人工智能的防火墙策略管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117220920A true CN117220920A (zh) | 2023-12-12 |
Family
ID=89045174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311056683.8A Pending CN117220920A (zh) | 2023-08-21 | 2023-08-21 | 基于人工智能的防火墙策略管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117220920A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117435870A (zh) * | 2023-12-21 | 2024-01-23 | 国网天津市电力公司营销服务中心 | 一种负荷数据实时填充方法、***、设备和介质 |
| CN117579393A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司 | 一种信息终端威胁监测方法、装置、设备及存储介质 |
| CN117688505A (zh) * | 2024-02-04 | 2024-03-12 | 河海大学 | 一种植被大范围区域化负异常的预测方法及*** |
-
2023
- 2023-08-21 CN CN202311056683.8A patent/CN117220920A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117435870A (zh) * | 2023-12-21 | 2024-01-23 | 国网天津市电力公司营销服务中心 | 一种负荷数据实时填充方法、***、设备和介质 |
| CN117435870B (zh) * | 2023-12-21 | 2024-03-29 | 国网天津市电力公司营销服务中心 | 一种负荷数据实时填充方法、***、设备和介质 |
| CN117579393A (zh) * | 2024-01-16 | 2024-02-20 | 国网浙江省电力有限公司 | 一种信息终端威胁监测方法、装置、设备及存储介质 |
| CN117579393B (zh) * | 2024-01-16 | 2024-03-22 | 国网浙江省电力有限公司 | 一种信息终端威胁监测方法、装置、设备及存储介质 |
| CN117688505A (zh) * | 2024-02-04 | 2024-03-12 | 河海大学 | 一种植被大范围区域化负异常的预测方法及*** |
| CN117688505B (zh) * | 2024-02-04 | 2024-04-19 | 河海大学 | 一种植被大范围区域化负异常的预测方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112398779B (zh) | 一种网络流量数据分析方法及*** | |
| CN111600919B (zh) | 智能网络应用防护***模型的构建方法和装置 | |
| CN117220920A (zh) | 基于人工智能的防火墙策略管理方法 | |
| Tabash et al. | Intrusion detection model using naive bayes and deep learning technique. | |
| CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
| CN112738014B (zh) | 一种基于卷积时序网络的工控流量异常检测方法及*** | |
| Zhao et al. | A semi-self-taught network intrusion detection system | |
| Kozik et al. | Pattern extraction algorithm for NetFlow‐based botnet activities detection | |
| Lambert II | Security analytics: Using deep learning to detect cyber attacks | |
| CN113904881A (zh) | 一种入侵检测规则误报处理方法和装置 | |
| Harbola et al. | Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set | |
| Shukla et al. | UInDeSI4. 0: An efficient Unsupervised Intrusion Detection System for network traffic flow in Industry 4.0 ecosystem | |
| Laptiev et al. | Algorithm for Recognition of Network Traffic Anomalies Based on Artificial Intelligence | |
| Abdulganiyu et al. | Towards an efficient model for network intrusion detection system (IDS): systematic literature review | |
| CN117349618A (zh) | 网络信息***的恶意加密流量检测模型的构建方法及介质 | |
| Maidamwar et al. | Ensemble learning approach for classification of network intrusion detection in IoT environment | |
| Thanthrige | Hidden markov model based intrusion alert prediction | |
| Gonzalez-Granadillo et al. | An improved live anomaly detection system (i-lads) based on deep learning algorithm | |
| CN111343205B (zh) | 工控网络安全检测方法、装置、电子设备以及存储介质 | |
| CN115086018A (zh) | 视频前端设备聚类分析入侵检测方法 | |
| Thomas et al. | Comparative analysis of dimensionality reduction techniques on datasets for zero-day attack vulnerability | |
| Balega et al. | IoT Anomaly Detection Using a Multitude of Machine Learning Algorithms | |
| Mankodiya et al. | Deep learning-based secure machine-to-machine communication in edge-enabled industrial iot | |
| Sezgin et al. | AID4I: An Intrusion Detection Framework for Industrial Internet of Things Using Automated Machine Learning. | |
| Lin et al. | Behaviour classification of cyber attacks using convolutional neural networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |