CN117692345B - 一种基于人工智能的it运营方法及*** - Google Patents
一种基于人工智能的it运营方法及*** Download PDFInfo
- Publication number
- CN117692345B CN117692345B CN202410137297.XA CN202410137297A CN117692345B CN 117692345 B CN117692345 B CN 117692345B CN 202410137297 A CN202410137297 A CN 202410137297A CN 117692345 B CN117692345 B CN 117692345B
- Authority
- CN
- China
- Prior art keywords
- network
- node
- monitoring
- result
- abnormality
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000013473 artificial intelligence Methods 0.000 title claims abstract description 19
- 238000012544 monitoring process Methods 0.000 claims abstract description 152
- 230000005856 abnormality Effects 0.000 claims abstract description 134
- 238000001514 detection method Methods 0.000 claims abstract description 25
- 230000003993 interaction Effects 0.000 claims abstract description 15
- 230000002159 abnormal effect Effects 0.000 claims description 96
- 238000011156 evaluation Methods 0.000 claims description 25
- 230000035945 sensitivity Effects 0.000 claims description 20
- 238000012795 verification Methods 0.000 claims description 16
- 238000005457 optimization Methods 0.000 claims description 14
- 230000011218 segmentation Effects 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000012098 association analyses Methods 0.000 claims description 7
- 230000009193 crawling Effects 0.000 claims description 7
- 230000007488 abnormal function Effects 0.000 claims description 6
- 238000009825 accumulation Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 230000000694 effects Effects 0.000 abstract description 6
- 238000005728 strengthening Methods 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 83
- 239000010410 layer Substances 0.000 description 14
- 235000019580 granularity Nutrition 0.000 description 11
- 239000013598 vector Substances 0.000 description 10
- 230000001965 increasing effect Effects 0.000 description 6
- 238000012549 training Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 239000012792 core layer Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002787 reinforcement Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于人工智能的IT运营方法及***,属于计算机网络管理领域,其中方法包括:建立与企业的信息交互,建立监测节点;执行监测节点的节点聚类,生成节点聚类约束;建立监测数据集,并进行异常识别单元构建;进行监测数据集的功能异常识别,生成第一功能异常识别结果;进行节点异常识别,生成第二功能异常识别结果,并配置强化节点;进行连续的数据敏感监测,生成深度识别结果,生成节点预警,并重构安全证书,以完成运营预警管理。本申请解决了现有技术中无法对海量异构网络节点实现精细化异常识别和运营管理的技术问题,达到了通过建立多粒度网络功能特征实现网络异常精准检测和运营预警管理的技术效果。
Description
技术领域
本发明涉及计算机网络管理领域,具体涉及一种基于人工智能的IT运营方法及***。
背景技术
随着信息技术的快速发展,各类异构网络规模不断扩大,网络节点数目急剧增加,为网络的运行管理带来了前所未有的挑战,尤其是海量网络节点产生的大数据,对其中的异常情况进行快速、精确的识别和定位,已成为当下急需解决的难题。目前,常见的IT运营管理直接对庞大节点数据进行统计分析,但因数据量巨大和信息冗余,导致容易出现漏报漏检的情况,无法实现细粒度的异常监测和运营预警管理。
发明内容
本申请通过提供了一种基于人工智能的IT运营方法及***,旨在解决现有技术中无法对海量异构网络节点的数据进行有效分析识别,导致在运营管理中容易出现漏报漏检的情况,无法实现细粒度的异常监测和运营预警管理的技术问题。
鉴于上述问题,本申请提供了一种基于人工智能的IT运营方法及***。
本申请公开的第一个方面,提供了一种基于人工智能的IT运营方法,该方法包括:建立与企业的信息交互,读取企业的网络架构基础信息,通过网络架构基础信息建立监测节点;通过网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于多粒度功能网络特征执行监测节点的节点聚类,生成节点聚类约束;爬取监测节点的监测数据,建立监测数据集,并通过多粒度功能网络特征进行基于大数据的异常识别单元构建;通过异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;在强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,深度异常识别网络通过功能异常识别结果完成初始化;基于深度识别结果生成节点预警,并通过节点聚类约束重构安全证书,以完成运营预警管理。
本申请公开的另一个方面,提供了一种基于人工智能的IT运营***,该***包括:监测节点建立模块,用于建立与企业的信息交互,读取企业的网络架构基础信息,通过网络架构基础信息建立监测节点;节点聚类约束模块,用于通过网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于多粒度功能网络特征执行监测节点的节点聚类,生成节点聚类约束;识别单元构建模块,用于爬取监测节点的监测数据,建立监测数据集,并通过多粒度功能网络特征进行基于大数据的异常识别单元构建;功能异常识别模块,用于通过异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;强化节点配置模块,用于通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;深度识别结果模块,用于在强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,深度异常识别网络通过功能异常识别结果完成初始化;运营预警管理模块,用于基于深度识别结果生成节点预警,并通过节点聚类约束重构安全证书,以完成运营预警管理。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
由于采用了建立与企业网络的信息交互,读取网络架构基础信息,以建立完整的监测节点,实现对数据的统一监测采集;通过网络架构信息进行网络功能分割,建立多粒度的网络功能特征,以针对性地指导节点分析处理,同时基于功能特征对监测节点进行聚类,生成节点聚类约束,为功能异常识别提供依据;爬取监测节点的数据建立监测数据集,通过多粒度功能网络特征构建基于大数据的异常识别单元,以实现高效准确的异常检测;通过异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果;根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;在强化节点上应用深度异常识别网络实现连续敏感监测,形成精细化异常识别能力,并通过节点聚类约束主动重构安全证书,建立自动化安全防护机制,完成对异常情况的精准识别和主动应对的技术方案,解决了现有技术中无法对海量异构网络节点的数据进行有效分析识别,导致在运营管理中容易出现漏报漏检的情况,无法实现细粒度的异常监测和运营预警管理的技术问题,达到了在IT运营中提升异常检测的准确率和覆盖率,降低漏报漏检概率,实现细粒度运营预警管理的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例提供了一种基于人工智能的IT运营方法的一种流程示意图;
图2为本申请实施例提供了一种基于人工智能的IT运营方法中进行运营预警更新的一种流程示意图;
图3为本申请实施例提供了一种基于人工智能的IT运营***的一种结构示意图。
附图标记说明:监测节点建立模块11,节点聚类约束模块12,识别单元构建模块13,功能异常识别模块14,强化节点配置模块15,深度识别结果模块16,运营预警管理模块17。
具体实施方式
本申请提供的技术方案总体思路如下:
本申请实施例提供了一种基于人工智能的IT运营方法及***。首先,读取企业的网络架构基础信息,全面建立监测节点,以实现数据的统一采集。然后,基于多粒度功能网络特征对监测节点进行聚类,生成节点聚类约束,以指导后续流程。之后,依靠构建的特征与大数据技术进行高效筛查,得到第一功能异常识别结果。随后,结合节点自身分析,通过节点聚类约束,生成第二功能异常识别结果。接着,根据第一功能异常识别结果和第二功能异常识别结果配置强化节点,在强化节点获取数据敏感监测结果,并通过深度异常识别网络,实现连续精细监测,并配合节点聚类约束主动重构安全证书,对异常情况形成自动化的主动隔离与应对机制,完成运营预警管理,有效建立起安全防护体系。
在介绍了本申请基本原理后,下面将结合说明书附图来具体介绍本申请的各种非限制性的实施方式。
实施例一
如图1所示,本申请实施例提供了一种基于人工智能的IT运营方法,该方法包括:
建立与企业的信息交互,读取企业的网络架构基础信息,通过所述网络架构基础信息建立监测节点;
在本申请实施例中,首先,通过网络通信接口或***集成的数据传输接口,从企业端读取企业的网络架构基础信息。其中,企业的网络架构基础信息应当包括网络拓扑结构、各节点位置信息、节点功能信息、网络配置参数等,以全面反映企业网络的基本部署与架构。然后,在获取网络架构基础信息的基础上,进一步解析网络拓扑结构,确定关键网络节点的位置信息与功能属性,指定对网络稳定运行影响大且包含核心功能的节点作为监测节点,作为后续监测与分析的数据采集源,负责提供网络运行状态和流量数据。
通过所述网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于所述多粒度功能网络特征执行所述监测节点的节点聚类,生成节点聚类约束;
在本申请实施例中,首先,在获取网络基础架构信息和确定监测节点的基础上,按照网络功能进行划分,抽象出不同粒度下的网络功能特征,从而得到多粒度功能网络特征。具体的,网络功能分割从最小功能单元开始,逐级汇总,形成较高一级的功能单元。例如,服务器、路由器为最小功能单元,由服务器和路由器组成的局域网为较高一级的功能单元,依次向上可划分出核心层、汇聚层和接入层等网络层级。
在建立多粒度功能网络特征后,建立对应功能单元的特征描述向量,其中,特征描述向量的向量元素可包含功能标识、性能参量、配置参数等能够刻画该网络功能的特征数据。接着,基于多粒度网络功能特征,建立节点功能映射关系,即确定节点与网络功能之间的对应关系。例如,哪些节点属于网络核心层功能,哪些节点提供具体业务访问功能等。随后,在功能映射基础上,依据节点功能属性和依赖关系,采用聚类算法对监测节点进行分类、聚合,形成节点聚类约束,包含监测节点间的从属与关联关系,为后续的异常识别建立支持。
爬取所述监测节点的监测数据,建立监测数据集,并通过所述多粒度功能网络特征进行基于大数据的异常识别单元构建;
在本申请实施例中,首先,实时爬取各监测节点上的性能和流量数据,生成规模化的监测数据集。其中,监测数据集包含各监测节点的网络流量、延时、丢包率、内存占用、CPU负载等能够反映节点与网络运行状态的监测数据,还可以包含监测节点日志和事件数据。
同时,从各监测节点收集网络流量、性能指标等大规模时间序列数据,反映网络的正常与异常运行状态。然后,使用特征工程的方式从大规模时间序列数据中提取对应多粒度功能网络特征的特征。随后,根据提取的特征对大规模时间序列数据进行异常标注,并分析不同网络功能间异常的关联性,形成异常关联知识图谱。随后,基于大规模时间序列数据与异常关联知识图谱,训练出集成的层次化网络异常检测模型,即异常识别单元。
通过所述异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;
在本申请实施例中,首先,对获取的监测数据集进行清洗、轻度压缩等预处理,以提高数据质量。然后,根据多粒度功能网络特征,将监测数据映射到相应的不同层次的网络功能上。随后,将处理后的监测数据集切分,输入到异常识别单元的不同功能子单元中,基于Spark等分布式技术执行异常判断,提高异常识别效率。接着,将各个功能子单元输出的异常判断结果进行聚合,比如核心层交换机流量异常、接入层网络时延异常等。随后,在异常判断结果聚合的基础上,进一步分析不同功能异常的关联性,标注异常扩散路径。之后,形成网络中不同功能异常的时间点、持续时间、相关节点、异常关联关系等异常识别报告,即为第一功能异常识别结果。
通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;
在本申请实施例中,首先,在每一个监测节点上,对其资源利用率、响应延迟等指标设置阈值,以对监测节点进行实时监测,判断是否异常。当某监测节点出现异常时,确定出现异常的监测节点对应的网络功能模块,并根据节点聚类约束判断与出现异常的监测节点同属一类或相关联的其他监测节点,判断这些监测节点是否也存在异常隐患,从而推断出可能出现故障或性能下降的其他监测节点与网络功能模块,从而扩大异常识别范围。接着,记录网络功能与异常监测节点的关联分析结果,形成第二功能异常识别结果,使功能异常识别更全面且具有连带性。
之后,将第一功能异常识别结果和第二功能异常识别结果进行对比,分析两者的异同点以及结果准确度。然后,结合比较分析结果,评估各网络功能模块由于监测节点异常导致的稳定性下降或故障概率,判断网络功能模块的脆弱性和其影响面,包括依赖该功能的业务范围等。接着,基于评估结果,绘制功能异常与监测节点的关联图,确定哪些监测节点的异常可能导致更严重的风险,选择位置关键、影响面大的监测节点作为强化节点,以实现高效针对的网络数据监测。
在所述强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,所述深度异常识别网络通过所述功能异常识别结果完成初始化;
在本申请实施例中,在指定强化节点后,对这些强化节点进行连续的数据敏感监测。其中,数据敏感监测是指对强化节点上的流量内容、访问控制、数据操作行为等进行深入连续地监督,以发现存在的风险与隐患,从而得到数据敏感监测结果。同时,构建专用的深度异常识别网络,用于接收并分析强化节点的数据敏感监测结果,其输入为对强化节点的监测数据,输出为对网络安全风险的评估结果。构建该深度异常识别网络时,在初始化并预训练模型参数时,输入的先验知识就是为获取的功能异常识别结果,以使深度异常识别网络可以更加快速聚焦监测位点的异常。之后,通过将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,该深度识别结果包括对强化节点的异常程度评分、潜在风险预警等。
基于所述深度识别结果生成节点预警,并通过所述节点聚类约束重构安全证书,以完成运营预警管理。
在本申请实施例中,在获取深度识别结果后,结合预先设置的风险阈值,确定强化节点上是否存在高危漏洞或攻击预兆。如果深度识别结果触发风险阈值,则对该强化节点产生预警信息,指出潜在的安全问题,以提醒运维人员完成检查与防护。同时,激活节点聚类约束,即检查被预警的强化节点所关联的网络功能区域中的其他监测节点是否也存在隐患,若发现区域性问题,则重新调整网络策略,通过证书重新签发、节点重新验证等方式重构安全证书。通过节点预警与安全证书重构,能对网络功能进行及时的安全隔离或加固,防范问题扩散,实现安全运维,形成快速有效的网络安全管理预警机制。
进一步的,本申请实施例还包括:
读取企业的任务数据,通过所述任务数据进行网络的实时执行环境构建;
获取实时执行环境的环境信任度,基于所述环境信任度生成第一异常影响;
通过所述实时执行环境进行数据交互的任务关联分析,根据关联分析结果生成第二异常影响;
通过所述第一异常影响和所述第二异常影响进行深度异常识别网络的网络增量优化;
根据增量优化后的深度异常识别网络更新深度识别结果。
在一种可行的实施方式中,首先,搭建任务数据的读取接口,与企业的业务管理***进行对接,通过该读取接口定期获取企业正在执行的业务流程、任务安排等任务数据,反映网络需要支撑的业务形态。其中,读取到的任务数据包含任务ID、任务时间段、依赖业务***,网络服务类型、目标地址等。然后,通过读取的任务数据,利用网络建模或仿真的手段,构建出反映当前网络业务负载的执行环境,得到在网络异常识别与决策的整个流程中网络的实时执行环境。
随后,通过检测实时执行环境的数据流量、性能指标的稳定性,或通过日志与报警信息检测网络服务运行的安全性等,评估实时执行环境的可信度,即环境信任度,作为第一异常影响。例如,当网络延迟波动超过阈值时,则会相应降低环境信任度;当检测到病毒传播事件时,环境信任度大幅下调。之后,根据在实时执行环境中实时业务任务的位置、数据流向,构建出执行环境图,在任务之间添加数据通路,标注数据内容与格式,使执行环境图成为反映任务数据交互的流网。此后,统计任务间的数据流交互次数、速率等,计算任务依赖相关矩阵,确定任务关联强度,再模拟单任务出现故障时,引起的级联失败情况,识别出现故障时易造成级联影响最大的关键业务任务,记录关键任务故障可能带来的业务中断面、持续时间等影响,得到第二异常影响结果。
接着,将第一异常影响中的环境信任度,转换成训练过程中的损失函数正则化项或者模型输出的先验概率,使网络识别与实际环境风险对应。同时,将第二异常影响中的关键业务任务异常级联结果,作为增量知识加入深度网络的中间特征层,起到增强网络对环境与任务语义的理解与转换的作用。然后,通过第一异常影响和第二异常影响的知识驱动,在深度异常识别网络原有的训练参数进行增量优化,有利于在多变的业务环境下,提高异常识别质量,得到增量优化后的深度异常识别网络。之后,利用增量优化后的深度异常识别网络对获取的数据敏感监测结果进行推理,得到更新后的深度识别结果。
进一步的,本申请实施例还包括:
依据所述网络架构基础信息进行最小功能单元的粒度分割,并以最小功能单元作为基础单元层,逐层进行功能单元识别,建立多粒度功能网络特征;
执行实时任务检测,并根据实时任务检测结果进行多粒度功能网络特征的特征匹配分析,获得特征匹配结果;
根据所述特征匹配结果完成异常识别单元的实时粒度调用约束,以进行异常识别单元的实时调用,以完成功能异常识别。
在一种可行的实施方式中,获取网络架构基础信息后,对网络架构进行自底向上逐级的功能分割与识别,识别构成网络的最小功能单元,作为基础单元层,如交换机的端口转发、路由器的报文路由等,以网络架构基础信息。然后,在确定最小功能单元的基础上,扩大粒度建立通过最小功能单元的集成组合而形成的功能单元,使之对应局域网、虚拟局域网等。扩大粒度后,继续扩大粒度形成更高一级的功能单元。这样以基础单元层为起点逐层扩展,完成了网络多粒度功能的识别。在此过程中,对每类粒度功能单元,通过采集区间数据、分析行为模式等方法,建立网络运行的特征向量化表示,收集不同粒度的功能网络特征向量,形成多粒度功能网络特征。
在完成了多粒度功能网络特征的构建后,由于网络需承载不同业务***和应用的任务,这些任务对网络提出的需求是动态变化的。因此,通过分析任务的源地址、目标地址、服务类型、数据内容等方式,对当前正在网络上活跃执行的各类任务进行实时的检测与解析,形成实时任务检测结果。之后,将获取的实时任务检测结果,与多粒度网络功能特征进行逐层的匹配分析,判定当前任务的运行与完成对应需激活或依赖哪些粒度的网络功能,得到特征匹配结果。
随后,预先建立网络功能和异常识别单元中异常识别子模块之间的对应关系表。然后,根据特征匹配结果,为不同网络功能生成所需调用的异常识别子模块列表,形成模块激活规则。当功能异常识别开始时,根据生成的模块激活规则,动态在异常识别单元激活所需的异常识别子模块,将实时读取的监测数据集,按功能指引分发到所激活的异常识别子模块。然后,从被调用的异常识别子模块中收集异常识别结果,并进行结果的汇总集成,完成功能异常识别。
进一步的,如图2所示,本申请实施例还包括:
基于所述节点预警确定预警等级,并基于所述预警等级和对应的节点属性建立敏感监督周期;
以所述敏感监督周期执行对应节点的持续敏感监测,生成持续敏感监测结果;
通过所述持续敏感监测结果执行预警累计,并通过预警累计结果进行运营预警更新。
在一种可行的实施方式中,首先,对某强化节点产生节点预警时,表示该强化节点存在潜在安全隐患或运行异常。此时,对每个预警事件,进一步判断其危害等级,判断依据包括预警内容、节点类型等,从而得到该节点预警的预警等级。随后,根据预警等级和该强化节点的节点属性,定义该强化节点的敏感监测周期,确定对该强化节点监测的间隔频率和持续时间。其中,对高等级预警的节点或更关键的节点设置更频繁和长久的数据监控任务。
然后,按照为各强化节点生成的自适应敏感监督周期,对各强化节点进行持续敏感监测,包括相关节点的访问日志和***日志,节点上运行的服务和进程进行端口、网络连接等,生成持续敏感监测结果。之后,统计出每个强化节点在持续敏感监测结果中发现的风险点数量,基于此判定安全隐患或攻击是否在蓄力扩大,即预警是递减或递增,得到预警累计结果。接着,基于预警累计结果,进行网络安全运维的更新,明确网络中需重点防御或隔离的高危节点,输出强化节点黑白名单,从而进行运营预警更新,加大对激增预警的强化节点的监管力度。
进一步的,本申请实施例还包括:
建立时序衰减因子,通过所述节点预警建立节点的异常特征集合,并通过所述时序衰减因子执行异常特征集合内的特征值更新;
当任意时间节点出现新增异常时,则将所述新增异常与所述异常特征集合进行异常联动分析;
根据异常联动分析结果进行对应异常特征的特征值重构;
根据重构特征值后的异常特征集合执行深度异常识别网络的网络更新。
在一种可行的实施方式中,首先,当任意强化节点产生节点预警时,抽取预警数据中的关键字字段,构建成代表该异常事件的特征向量,形成多类异常事件的异常特征集合。考虑到最近发生的异常事件对当前安全状况判断的重要性更大,构建一个指数级衰减的时间权重机制,即定义一个指数衰减函数,输入变量为异常事件发生的时间节点,函数输出异常事件的时间权重,最近时刻的权重越大,久远时刻权重越小,从而建立起时序衰减因子。随后,基于该时间衰减因子,对异常特征集合中的每一个特征向量进行重新加权,对其特征参数值进行与时间权重成比例的更新,使针对网络新发异常事件的识别和应对更加敏感和适应。
然后,当在任意时间节点,网络运行过程中检测到新的异常特征向量时,表示有新的安全事件发生。此时,立即对该新增异常进行联动性判定,即判断其是否与异常特征集合中已有异常事件存在关联,比如两起事件是否属于同一次攻击活动的连锁体现,从而得到异常联动分析结果。当异常联动分析结果表示确定新增异常与异常特征集合中某一异常存在联动关系时,说明新增异常是异常扩散的过程。这种情况下,将针对与新增异常出现联动的异常类型对应的异常特征向量进行重构,增大该类异常特征向量中的特征参数值,扩大其数值以突出该类异常的发生与影响。例如,增大表示威胁严重性的参数,扩大异常相关网络流特征值的比重等。经过特征值的重构调整,在原先异常特征集合基础上形成了一个对特定新发联动类异常事件更加灵敏的特征集,即重构特征值后的异常特征集合。之后,在深度异常识别网络模型上,利用重构特征值后的异常特征集合,进行模型的参数更新,针对性地精调模型在对应分类或特征提取层的参数权重,优化深度异常识别网络对异常事件的识别,提高了安全防护的效果。
进一步的,本申请实施例还包括:
建立异常方案集合,并以所述异常方案集合在预设周期节点执行方案测试;
读取深度异常识别网络的网络识别结果,通过所述网络识别结果执行测试的验证评价;
通过验证评价结果生成灵敏度反馈;
基于所述灵敏度反馈执行监测识别过程的灵敏度优化。
在一种可行的实施方式中,首先,为了验证网络异常识别的效能,通过安全知识图谱与历史案例分析所构建涵盖各类已知网络威胁的异常方案集合,其中每个异常方案定义了一类异常的触发条件、影响面、危害程度等特征,包含如针对路由器的DoS攻击、利用数据库漏洞实现的注入篡改等多种典型威胁。然后,对异常方案集合中的这些异常方案在测试环境中进行触发,引入攻击案例,执行方案测试。在异常方案被触发测试后,深度异常识别网络对产生的各类测试异常进行检测与识别,读取网络识别结果,与测试触发的异常方案进行逐一对应的比较分析,确定识别的准确率、准确度、漏报率、误报率等,得到验证评价结果。
然后,在验证评价结果的基础上,进一步分析哪些因素导致了深度异常识别网络出现识别盲区,即深度异常识别网络对哪些类型或哪些特征的异常事件敏感性不足,以此形成深度异常识别网络存在监测识别灵敏度缺陷的反馈。例如,特征提取不够充分导致的误报、感知某种协议类型攻击的能力不足等。接着,根据灵敏度反馈针对性地对深度异常识别网络进行优化,提高网络的异常检测灵敏度,实现监测识别灵敏度的整体提升与优化。例如,如果是因为训练数据量不足导致模型判别能力弱,则加大异常数据的采集频次,扩大数据集规模;如果由于特征提取的维度不足,则增加特征维度,提炼更多异常行为特征。
进一步的,本申请实施例还包括:
判断所述验证评价结果是否满足预设评价阈值;
若不能满足预设评价阈值,则生成对应异常的识别预警;
通过所述识别预警进行异常检测策略更新。
在一种可行的实施方式中,首先,针对验证评价结果中的各指标,如异常检测的准确率、检测延时、漏报率等,预先设置各指标对应的预期阈值,作为预设评价阈值。在获取验证评价结果后,与预先定义好的指标预期阈值进行逐一比较。如果验证评价结果中某些指标的实测性能低于预设评价阈值中的指标预期阈值,说明对于被激发的特定异常方案,深度异常识别网络在识别上存在明显弱点。此时,相应地对该类异常生成专项的识别预警,识别预警中明确指出是哪一类异常导致深度异常识别网络判别行为的盲区或短板,同时也会反馈相应的证据,如误报样本、定位错误日志等。之后,基于识别预警指出的异常识别盲区,对应地更新改进异常检测的技术策略。例如,针对识别预警中指出的异常情况,扩大数据采集范围,获取更多该类型异常的样本,丰富模型训练数据;或在深度异常识别网络的模型内部,增加对应分类器,提高对该异常行为判别特征的提取与聚焦;或调整整体网络异常判断的决策机制,适应所反映异常情况的判断规则等。通过异常检测策略更新,使得深度异常识别网络对识别预警中指出的异常更加敏感和适应,消除异常监测的诊断死角,提高IT运营的健壮性。
综上所述,本申请实施例所提供的一种基于人工智能的IT运营方法具有如下技术效果:
建立与企业的信息交互,读取企业的网络架构基础信息,通过所述网络架构基础信息建立监测节点,以实现全范围的数据监测与采集。通过所述网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于所述多粒度功能网络特征执行所述监测节点的节点聚类,生成节点聚类约束,为后续异常识别提供指导。爬取所述监测节点的监测数据,建立监测数据集,并通过所述多粒度功能网络特征进行基于大数据的异常识别单元构建,为得到第一功能异常识别结果提供支持。通过所述异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果,产出异常判断结果。通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,结合节点自身分析输出更精细的功能异常判断。根据第一功能异常识别结果和第二功能异常识别结果配置强化节点,得到需要进行连续的数据敏感监测的节点。在所述强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,准确定位异常。基于所述深度识别结果生成节点预警,并通过所述节点聚类约束重构安全证书,以完成运营预警管理,实现细粒度运营预警管理。
实施例二
基于与前述实施例中一种基于人工智能的IT运营方法相同的发明构思,如图3所示,本申请实施例提供了一种基于人工智能的IT运营***,该***包括:
监测节点建立模块11,用于建立与企业的信息交互,读取企业的网络架构基础信息,通过所述网络架构基础信息建立监测节点;
节点聚类约束模块12,用于通过所述网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于所述多粒度功能网络特征执行所述监测节点的节点聚类,生成节点聚类约束;
识别单元构建模块13,用于爬取所述监测节点的监测数据,建立监测数据集,并通过所述多粒度功能网络特征进行基于大数据的异常识别单元构建;
功能异常识别模块14,用于通过所述异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;
强化节点配置模块15,用于通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;
深度识别结果模块16,用于在所述强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,所述深度异常识别网络通过所述功能异常识别结果完成初始化;
运营预警管理模块17,用于基于所述深度识别结果生成节点预警,并通过所述节点聚类约束重构安全证书,以完成运营预警管理。
进一步的,本申请实施例还包括深度识别结果更新模块,该模块包括以下执行步骤:
读取企业的任务数据,通过所述任务数据进行网络的实时执行环境构建;
获取实时执行环境的环境信任度,基于所述环境信任度生成第一异常影响;
通过所述实时执行环境进行数据交互的任务关联分析,根据关联分析结果生成第二异常影响;
通过所述第一异常影响和所述第二异常影响进行深度异常识别网络的网络增量优化;
根据增量优化后的深度异常识别网络更新深度识别结果。
进一步的,功能异常识别模块14包括以下执行步骤:
依据所述网络架构基础信息进行最小功能单元的粒度分割,并以最小功能单元作为基础单元层,逐层进行功能单元识别,建立多粒度功能网络特征;
执行实时任务检测,并根据实时任务检测结果进行多粒度功能网络特征的特征匹配分析,获得特征匹配结果;
根据所述特征匹配结果完成异常识别单元的实时粒度调用约束,以进行异常识别单元的实时调用,以完成功能异常识别。
进一步的,本申请实施例包括运营预警更新模块,该模块包括以下执行步骤:
基于所述节点预警确定预警等级,并基于所述预警等级和对应的节点属性建立敏感监督周期;
以所述敏感监督周期执行对应节点的持续敏感监测,生成持续敏感监测结果;
通过所述持续敏感监测结果执行预警累计,并通过预警累计结果进行运营预警更新。
进一步的,本申请实施例还包括识别网络更新模块,该模块包括以下执行步骤:
建立时序衰减因子,通过所述节点预警建立节点的异常特征集合,并通过所述时序衰减因子执行异常特征集合内的特征值更新;
当任意时间节点出现新增异常时,则将所述新增异常与所述异常特征集合进行异常联动分析;
根据异常联动分析结果进行对应异常特征的特征值重构;
根据重构特征值后的异常特征集合执行深度异常识别网络的网络更新。
进一步的,本申请实施例还包括灵敏度优化模块,该模块包括以下执行步骤:
建立异常方案集合,并以所述异常方案集合在预设周期节点执行方案测试;
读取深度异常识别网络的网络识别结果,通过所述网络识别结果执行测试的验证评价;
通过验证评价结果生成灵敏度反馈;
基于所述灵敏度反馈执行监测识别过程的灵敏度优化。
进一步的,本申请实施例还包括异常检测策略更新模块,该模块包括以下执行步骤:
判断所述验证评价结果是否满足预设评价阈值;
若不能满足预设评价阈值,则生成对应异常的识别预警;
通过所述识别预警进行异常检测策略更新。
综上所述的方法的任意步骤都可作为计算机指令或者程序存储在不设限制的计算机存储器中,并可以被不设限制的计算机处理器调用识别用以实现本申请实施例中的任一项方法,在此不做多余限制。
进一步的,综上所述的第一或第二可能不止代表次序关系,也可能代表某项特指概念,和/或指的是多个元素之间可单独或全部选择。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
Claims (7)
1.一种基于人工智能的IT运营方法,其特征在于,所述方法包括:
建立与企业的信息交互,读取企业的网络架构基础信息,通过所述网络架构基础信息建立监测节点;
通过所述网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于所述多粒度功能网络特征执行所述监测节点的节点聚类,生成节点聚类约束;
爬取所述监测节点的监测数据,建立监测数据集,并通过所述多粒度功能网络特征进行基于大数据的异常识别单元构建;
通过所述异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;
通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;
在所述强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,所述深度异常识别网络通过所述功能异常识别结果完成初始化;
基于所述深度识别结果生成节点预警,并通过所述节点聚类约束重构安全证书,以完成运营预警管理;
其中,所述方法还包括:
读取企业的任务数据,通过所述任务数据进行网络的实时执行环境构建;
获取实时执行环境的环境信任度,基于所述环境信任度生成第一异常影响;
通过所述实时执行环境进行数据交互的任务关联分析,根据关联分析结果生成第二异常影响;
通过所述第一异常影响和所述第二异常影响进行深度异常识别网络的网络增量优化;
根据增量优化后的深度异常识别网络更新深度识别结果。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
依据所述网络架构基础信息进行最小功能单元的粒度分割,并以最小功能单元作为基础单元层,逐层进行功能单元识别,建立多粒度功能网络特征;
执行实时任务检测,并根据实时任务检测结果进行多粒度功能网络特征的特征匹配分析,获得特征匹配结果;
根据所述特征匹配结果完成异常识别单元的实时粒度调用约束,以进行异常识别单元的实时调用,以完成功能异常识别。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述节点预警确定预警等级,并基于所述预警等级和对应的节点属性建立敏感监督周期;
以所述敏感监督周期执行对应节点的持续敏感监测,生成持续敏感监测结果;
通过所述持续敏感监测结果执行预警累计,并通过预警累计结果进行运营预警更新。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
建立时序衰减因子,通过所述节点预警建立节点的异常特征集合,并通过所述时序衰减因子执行异常特征集合内的特征值更新;
当任意时间节点出现新增异常时,则将所述新增异常与所述异常特征集合进行异常联动分析;
根据异常联动分析结果进行对应异常特征的特征值重构;
根据重构特征值后的异常特征集合执行深度异常识别网络的网络更新。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
建立异常方案集合,并以所述异常方案集合在预设周期节点执行方案测试;
读取深度异常识别网络的网络识别结果,通过所述网络识别结果执行测试的验证评价;
通过验证评价结果生成灵敏度反馈;
基于所述灵敏度反馈执行监测识别过程的灵敏度优化。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
判断所述验证评价结果是否满足预设评价阈值;
若不能满足预设评价阈值,则生成对应异常的识别预警;
通过所述识别预警进行异常检测策略更新。
7.一种基于人工智能的IT运营***,其特征在于,用于实施权利要求1-6任意一项所述的一种基于人工智能的IT运营方法,所述***包括:
监测节点建立模块,所述监测节点建立模块用于建立与企业的信息交互,读取企业的网络架构基础信息,通过所述网络架构基础信息建立监测节点;
节点聚类约束模块,所述节点聚类约束模块用于通过所述网络架构基础信息进行网络功能分割,建立多粒度功能网络特征,并基于所述多粒度功能网络特征执行所述监测节点的节点聚类,生成节点聚类约束;
识别单元构建模块,所述识别单元构建模块用于爬取所述监测节点的监测数据,建立监测数据集,并通过所述多粒度功能网络特征进行基于大数据的异常识别单元构建;
功能异常识别模块,所述功能异常识别模块用于通过所述异常识别单元进行监测数据集的功能异常识别,生成第一功能异常识别结果;
强化节点配置模块,所述强化节点配置模块用于通过监测节点进行节点异常识别,并通过节点聚类约束进行功能异常分析,生成第二功能异常识别结果,并根据第一功能异常识别结果和第二功能异常识别结果配置强化节点;
深度识别结果模块,所述深度识别结果模块用于在所述强化节点进行连续的数据敏感监测,并将数据敏感监测结果发送至深度异常识别网络,生成深度识别结果,其中,所述深度异常识别网络通过所述功能异常识别结果完成初始化;
运营预警管理模块,所述运营预警管理模块用于基于所述深度识别结果生成节点预警,并通过所述节点聚类约束重构安全证书,以完成运营预警管理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410137297.XA CN117692345B (zh) | 2024-02-01 | 2024-02-01 | 一种基于人工智能的it运营方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410137297.XA CN117692345B (zh) | 2024-02-01 | 2024-02-01 | 一种基于人工智能的it运营方法及*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117692345A CN117692345A (zh) | 2024-03-12 |
CN117692345B true CN117692345B (zh) | 2024-06-11 |
Family
ID=90137451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410137297.XA Active CN117692345B (zh) | 2024-02-01 | 2024-02-01 | 一种基于人工智能的it运营方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117692345B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117914005B (zh) * | 2024-03-20 | 2024-06-11 | 江苏中恩网络科技有限公司 | 一种配网精益化全景监测***及方法 |
CN118094531A (zh) * | 2024-04-25 | 2024-05-28 | 济南源根科技有限公司 | 一种安全运维实时预警一体化*** |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3477906A1 (en) * | 2017-10-26 | 2019-05-01 | Accenture Global Solutions Limited | Systems and methods for identifying and mitigating outlier network activity |
CN114070855A (zh) * | 2020-07-28 | 2022-02-18 | 中国电信股份有限公司 | 资源分配方法、资源分配装置、资源分配***、存储介质 |
WO2023071761A1 (zh) * | 2021-10-29 | 2023-05-04 | 深圳前海微众银行股份有限公司 | 一种异常定位方法及装置 |
CN116128312A (zh) * | 2023-04-17 | 2023-05-16 | 南昌工程学院 | 基于监测数据分析的大坝安全预警方法及*** |
CN116346406A (zh) * | 2023-01-18 | 2023-06-27 | 重庆赛力斯新能源汽车设计院有限公司 | 一种检测装置及检测方法 |
CN117277592A (zh) * | 2023-11-21 | 2023-12-22 | 西安晟昕科技股份有限公司 | 一种高压电路信号监测的保护切换方法 |
CN117475593A (zh) * | 2023-12-26 | 2024-01-30 | 江苏濠汉信息技术有限公司 | 用电终端负载异常的超前智能预警方法及装置 |
-
2024
- 2024-02-01 CN CN202410137297.XA patent/CN117692345B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3477906A1 (en) * | 2017-10-26 | 2019-05-01 | Accenture Global Solutions Limited | Systems and methods for identifying and mitigating outlier network activity |
CN114070855A (zh) * | 2020-07-28 | 2022-02-18 | 中国电信股份有限公司 | 资源分配方法、资源分配装置、资源分配***、存储介质 |
WO2023071761A1 (zh) * | 2021-10-29 | 2023-05-04 | 深圳前海微众银行股份有限公司 | 一种异常定位方法及装置 |
CN116346406A (zh) * | 2023-01-18 | 2023-06-27 | 重庆赛力斯新能源汽车设计院有限公司 | 一种检测装置及检测方法 |
CN116128312A (zh) * | 2023-04-17 | 2023-05-16 | 南昌工程学院 | 基于监测数据分析的大坝安全预警方法及*** |
CN117277592A (zh) * | 2023-11-21 | 2023-12-22 | 西安晟昕科技股份有限公司 | 一种高压电路信号监测的保护切换方法 |
CN117475593A (zh) * | 2023-12-26 | 2024-01-30 | 江苏濠汉信息技术有限公司 | 用电终端负载异常的超前智能预警方法及装置 |
Non-Patent Citations (1)
Title |
---|
云南会泽县待补地区水系沉积物地球化学特征及其找矿意义;张东阳;周毅;王迎春;刘学龙;彦廷龙;陈琰勋;浦正义;;黄金;20170115(01);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117692345A (zh) | 2024-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113965404B (zh) | 一种网络安全态势自适应主动防御***及方法 | |
CN117692345B (zh) | 一种基于人工智能的it运营方法及*** | |
US11336669B2 (en) | Artificial intelligence cyber security analyst | |
CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
EP2487860B1 (en) | Method and system for improving security threats detection in communication networks | |
CN108494810A (zh) | 面向攻击的网络安全态势预测方法、装置及*** | |
KR102091076B1 (ko) | 지도학습기반의 경보분석과 비지도학습기반의 이상행위탐지 기법을 혼용한 지능형 보안관제 시스템 및 그 방법 | |
Wang et al. | Automatic multi-step attack pattern discovering | |
CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及*** | |
CN112291266B (zh) | 一种数据处理的方法、装置、服务器和存储介质 | |
CN115733762A (zh) | 具有大数据分析能力的监控*** | |
Dalmazo et al. | Expedite feature extraction for enhanced cloud anomaly detection | |
CN113162930A (zh) | 一种基于电力cps的网络安全态势感知方法 | |
CN111917793A (zh) | 一种攻击链情报分析方法及*** | |
TWM622216U (zh) | 用於服務異常偵測告警的設備 | |
CN117614741B (zh) | 一种网络安全漏洞位置检测方法及*** | |
CN111726351A (zh) | 基于Bagging改进的GRU并行网络流量异常检测方法 | |
CN114362994A (zh) | 多层异粒度智能聚合铁路***运行行为安全风险识别方法 | |
Cortés et al. | A hybrid alarm management strategy in signature-based intrusion detection systems | |
CN114397842B (zh) | 电力监控网络安全智能巡检加固方法 | |
Nam et al. | Virtual machine failure prediction using log analysis | |
Yin et al. | A network security situation assessment model based on BP neural network optimized by DS evidence theory | |
CN116962206B (zh) | 安防监控设备的运维管理方法、装置、设备及存储介质 | |
TWI789003B (zh) | 服務異常偵測告警方法、使用此方法的設備、儲存此方法的儲存媒介及產生異常告警之電腦軟體程式 | |
Vennila et al. | Correlated alerts and non-intrusive alerts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |