CN117978543B - 基于态势感知的网络安全预警方法及*** - Google Patents
基于态势感知的网络安全预警方法及*** Download PDFInfo
- Publication number
- CN117978543B CN117978543B CN202410363121.6A CN202410363121A CN117978543B CN 117978543 B CN117978543 B CN 117978543B CN 202410363121 A CN202410363121 A CN 202410363121A CN 117978543 B CN117978543 B CN 117978543B
- Authority
- CN
- China
- Prior art keywords
- request
- cluster
- address
- request address
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 230000002159 abnormal effect Effects 0.000 claims abstract description 90
- 230000005856 abnormality Effects 0.000 claims abstract description 81
- 238000012216 screening Methods 0.000 claims abstract description 6
- 238000003064 k means clustering Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 5
- 238000010606 normalization Methods 0.000 claims description 5
- 238000013507 mapping Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 13
- 230000000694 effects Effects 0.000 description 4
- 238000009472 formulation Methods 0.000 description 4
- 239000000203 mixture Substances 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000007621 cluster analysis Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络数据处理技术领域,具体涉及一种基于态势感知的网络安全预警方法及***。该发明获得每个请求地址的请求特征值,对所有请求地址进行聚类,获得多个请求地址聚类簇;根据每个请求地址聚类簇内请求地址的请求特征值,获得每个请求地址聚类簇的异常等级;筛选出参考聚类簇;将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;结合目标聚类簇与参考聚类簇之间请求地址的请求特征值的变化差异,获得目标聚类簇的异常请求可能性;结合目标聚类簇内请求地址的请求特征值分布,获得目标聚类簇内每个请求地址的最终异常程度;对当前时刻的请求地址进行异常预警。本发明获得每个请求地址准确的异常程度,提高安全预警的准确性。
Description
技术领域
本发明涉及网络数据处理技术领域,具体涉及一种基于态势感知的网络安全预警方法及***。
背景技术
网络安全是指计算机网络***中的硬件、软件和数据受到保护免受未经授权的访问、攻击和损害,可以确保网络***的可用性、完整性和保密性,防止网络中的信息泄露、数据篡改、服务中断和恶意攻击等事件,从而保障用户和组织的利益和安全;态势感知的网络安全预警方法是根据网络服务器的请求行为进行特征分析,从而判断是否存在异常和风险,及时进行预警。
现有技术中,采用k-means聚类算法将网络服务器的请求行为特征进行聚类分析,可以识别出与大多数正常请求行为不符的异常簇,进行预警;但由于网络服务器可能会受到单个或者多个异常的请求地址对象的攻击,当正常请求地址的数量远大于异常请求地址的数量,聚类算法可能会受到正常请求地址的影响,存在异常的请求地址被划分到正常簇内的情况,导致对异常请求地址的检测准确性存在偏差,安全预警的效果较差。
发明内容
为了解决存在异常的请求地址被划分到正常簇内的情况,导致对异常请求地址的检测准确性存在偏差,安全预警的效果较差的技术问题,本发明的目的在于提供一种基于态势感知的网络安全预警方法及***,所采用的技术方案具体如下:
本发明提出了一种基于态势感知的网络安全预警方法,所述方法包括:
获取当前时刻的历史范围内网络服务器日志中每个请求地址的请求数据;所述请求数据包括至少一种:发送数据包次数、请求登录次数以及权限变更次数;
根据每个请求地址的所述请求数据获得每个请求地址的请求特征值;根据每个请求地址的所述请求特征值对所有请求地址进行聚类,获得多个请求地址聚类簇;根据每个请求地址聚类簇内请求地址的所述请求特征值,获得每个请求地址聚类簇的异常等级;根据每个请求地址聚类簇的所述异常等级筛选出参考聚类簇;
将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;根据目标聚类簇内请求地址的所述请求特征值的分布特征、所述异常等级以及目标聚类簇与参考聚类簇之间请求地址的所述请求特征值的变化差异,获得目标聚类簇的异常请求可能性;根据目标聚类簇内请求地址的请求特征值分布以及对应所述异常请求可能性,获得目标聚类簇内每个请求地址的最终异常程度;
根据所述最终异常程度对当前时刻的请求地址进行异常预警。
进一步地,所述请求特征值的获取方法包括:
计算每个请求地址的请求数据中包括的所述发送数据包次数、所述请求登录次数和所述权限变更次数的和值,并进行归一化,获得每个请求地址的请求特征值。
进一步地,所述请求地址聚类簇的获取方法包括:
依据所有请求地址的所述请求特征值,对所有请求地址采用K-means聚类算法,获得多个请求地址聚类簇。
进一步地,所述异常等级的获取方法包括:
计算每个请求地址聚类簇内所有请求地址的所述请求特征值的均值,并进行归一化,获得每个请求地址聚类簇的异常等级。
进一步地,所述参考聚类簇的获取方法包括:
选取所有请求地址聚类簇中异常等级最小的请求地址聚类簇,作为参考聚类簇。
进一步地,所述异常请求可能性的获取方法包括:
计算目标聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,作为第一差异;
计算参考聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,并将差异结果与预设常数相加,作为第二差异;
计算所述第一差异比上所述第二差异的比值,作为第一异常性;
计算目标聚类簇内所有请求地址的所述请求特征值的标准差,并进行正相关映射,作为第二异常性;
根据所述第一异常性、所述第二异常性以及目标聚类簇的所述异常等级,获得目标聚类簇的异常请求可能性。
进一步地,所述获得目标聚类簇的异常请求可能性的获取方法包括:
计算所述第一异常性、所述第二异常性以及目标聚类簇的所述异常等级的乘积,获得目标聚类簇的异常请求可能性。
进一步地,所述最终异常程度的获取方法包括:
根据最终异常程度的获取公式获得最终异常程度,最终异常程度的获取公式为:
;其中,/>表示目标聚类簇/>内第/>个请求地址的最终异常程度;/>表示目标聚类簇/>内的异常请求可能性;/>表示目标聚类簇/>内第/>个请求地址的请求特征值;/>表示目标聚类簇/>内第/>个其他请求地址的请求特征值;/>表示目标聚类簇/>内请求地址的数量;/>表示归一化函数。
进一步地,所述根据所述最终异常程度对当前时刻的请求地址进行异常预警包括:
若请求地址的所述最终异常程度大于预设异常阈值,对应请求地址为异常请求地址。
本发明还提出了一种基于态势感知的网络安全预警***,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现任意一项所述一种基于态势感知的网络安全预警方法的步骤。
本发明具有如下有益效果:
本发明为了更准确地反映***的实际情况,根据每个请求地址的请求数据获得每个请求地址的请求特征值;根据每个请求地址的请求特征值对所有请求地址进行聚类,获得多个请求地址聚类簇,可以将具有相似特征的请求地址归为一类,便于发现异常;根据每个请求地址聚类簇内请求地址的请求特征值,获得每个请求地址聚类簇的异常等级,反映每个请求地址聚类簇内存在异常请求行为的可能性;根据每个请求地址聚类簇的异常等级筛选出参考聚类簇,筛选出具有代表性的参考聚类簇,更准确地判断其他聚类簇是否存在异常请求;将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;根据目标聚类簇内请求地址的请求特征值的分布特征、异常等级以及目标聚类簇与参考聚类簇之间请求地址的请求特征值的变化差异,获得目标聚类簇的异常请求可能性,更加准确地识别出潜在的异常请求;根据目标聚类簇内请求地址的请求特征值分布以及对应异常请求可能性,获得目标聚类簇内每个请求地址的最终异常程度,量化评估异常程度,更直观地了解每个请求地址的异常情况;全面分析每个请求地址的异常程度;对当前时刻的请求地址进行异常预警。本发明获得每个请求地址准确的异常程度,提高安全预警的准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1为本发明一个实施例所提供的一种基于态势感知的网络安全预警方法的流程图。
具体实施方式
为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于态势感知的网络安全预警方法及***,其具体实施方式、结构、特征及其功效,详细说明如下。在下述说明中,不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外,一或多个实施例中的特定特征、结构或特点可由任何合适形式组合。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。
下面结合附图具体的说明本发明所提供的一种基于态势感知的网络安全预警方法及***的具体方案。
请参阅图1,其示出了本发明一个实施例提供的基于态势感知的网络安全预警方法的流程图,具体方法包括:
步骤S1:获取当前时刻的历史范围内网络服务器日志中每个请求地址的请求数据;请求数据包括至少一种:发送数据包次数、请求登录次数、权限变更次数。
在本发明的实施例中,网络服务器中的日志记录着每个访问服务器的请求地址以及请求行为,为了对网络服务器中存在的异常访问行为的请求地址进行预警拦截,确保网络的安全性;首先,获取当前时刻的历史范围内网络服务器日志中每个请求地址的请求数据;请求数据包括至少一种:发送数据包次数、请求登录次数以及权限变更次数。
需要说明的是,发送数据包次数表示在计算机网络通信中,从一个节点向另一个节点发送数据包的次数;请求登录次数表示用户或***尝试登录某个账号或平台的次数;权限变更次数表示用户的权限级别或权限范围发生变化的次数。
需要说明的是,在本发明的一个实施例中,历史范围为10分钟;在本发明的其他实施例中,历史范围的大小可根据具体情况具体分析,在此不做限定及赘述。
步骤S2:根据每个请求地址的请求数据获得每个请求地址的请求特征值;根据每个请求地址的请求特征值对所有请求地址进行聚类,获得多个请求地址聚类簇;根据每个请求地址聚类簇内请求地址的请求特征值,获得每个请求地址聚类簇的异常等级。
请求地址的请求数据可以反映请求地址的特定行为模式或属性,例如服务器的使用情况、用户的访问行为以及潜在的安全风险等;通过将请求数据量化为可比较的请求特征值,便于更直观地了解每个请求地址的运行状态和异常情况;所以根据每个请求地址的请求数据获得每个请求地址的请求特征值。
优选地,在本发明的一个实施例中,请求特征值的获取方法包括:
计算每个请求地址的请求数据中包括的发送数据包次数、请求登录次数和权限变更次数的和值,并进行归一化,获得每个请求地址的请求特征值。在本发明的一个实施例中,请求特征值的公式表示为:
;
其中,表示第/>个请求地址的请求特征值;/>表示当前时刻的历史范围/>内第/>个请求地址的发送数据包次数;/>表示当前时刻的历史范围/>内第/>个请求地址的请求登录次数;/>表示当前时刻的历史范围/>内第/>个请求地址的权限变更次数;/>表示归一化函数。
在请求特征值的公式中,当前时刻的历史范围内发送数据包次数越多,可能存在网络DDoS攻击或异常行为的迹象;请求登录次数越多,网络服务器可能受到密码破解尝试、暴力攻击或者恶意访问;权限变更次数越多,可能受到未经授权的权限修改、网络服务器内部滥用或者潜在的数据泄露;网络服务器越受到攻击,请求数据越多,潜在的异常请求越多,请求特征值越大;相反地,网络服务器越安全,请求数据越少,潜在的异常请求越少,请求特征值越小。
不同的请求地址可能有不同的行为模式和风险特征,使得请求特征值存在差异;网络服务器受到攻击时,请求地址的请求特征值可能是较大的,与其他正常的请求地址相比请求特征值也越高;通过聚类可以将具有相似请求特征值的请求地址分组,有助于发现潜在的风险和异常;所以根据每个请求地址的请求特征值对所有请求地址进行聚类,获得多个请求地址聚类簇。
优选地,在本发明的一个实施例中,请求地址聚类簇的获取方法包括:
K-means聚类算法是将多个聚类对象依据聚类对象之间的相似性聚集到指定的K个聚类簇中,每个聚类对象属于且仅属于一个其到请求地址聚类簇中心距离最小的聚类簇中。
依据所有请求地址的请求特征值,对所有请求地址采用K-means聚类算法,获得多个请求地址聚类簇。
需要说明的是,在本发明的一个实施例中,采用K-means聚类算法对所有请求地址进行聚类时,K值的获取方法为:采用肘部法则确定K值,获得对应数量的请求地址聚类簇。具体K-means聚类算法和肘部法则为本领域技术人员熟知的技术手段,在此不做赘述。
请求特征值可以体现每个请求地址受到异常请求的情况,通过分析请求特征值,可以识别出与正常行为偏差较大的异常请求,更精确的评估每个请求地址聚类簇的风险水平,进一步划分对应的异常等级;所以根据每个请求地址聚类簇内请求地址的请求特征值,获得每个请求地址聚类簇的异常等级。
优选地,在本发明的一个实施例中,异常等级的获取方法包括:
计算每个请求地址聚类簇内所有请求地址的请求特征值的均值,并进行归一化,获得每个请求地址聚类簇的异常等级。在本发明的一个实施例中,异常等级的公式表示为:
;
其中,表示第/>个请求地址聚类簇的异常等级;/>表示第/>个请求地址聚类簇内所有请求地址的请求特征值均值;/>表示请求地址聚类簇的数量;/>表示所有请求地址聚类簇对应的请求特征值均值的和值。
在异常等级的公式中,表示第/>个请求地址聚类簇内所有请求地址的请求特征值均值比上所有请求地址聚类簇对应的请求特征值均值的和值的比值,即对第/>个请求地址聚类簇内所有请求地址的请求特征值均值进行归一化,请求特征均值越小,存在的异常请求越少,对应的异常等级越低;相反地,第/>个请求地址聚类簇内所有请求地址的请求特征值均值越大,请求地址聚类簇内存在的异常请求越多,对应的异常等级越高。
需要说明的是,在本发明的其他实施例中也可通过其他基础数学运算构建归一化方法,具体手段为本领域技术人员熟知的技术手段,在此不做赘述。
通过异常等级可以识别出高风险和低风险的请求地址聚类簇;由于请求地址的请求不存在都是异常的情况,也包括正常的请求,异常等级越低,存在异常请求行为的可能性越小,越是正常请求的聚类簇,可以作为参考聚类簇,用于评估其他请求地址聚类簇的异常程度。所以根据每个请求地址聚类簇的异常等级筛选出参考聚类簇。
优选地,在本发明的一个实施例中,参考聚类簇的获取方法包括:
选取所有请求地址聚类簇中异常等级最小的请求地址聚类簇,作为参考聚类簇。
步骤S3:将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;根据目标聚类簇内请求地址的请求特征值的分布特征、异常等级以及目标聚类簇与参考聚类簇之间请求地址的请求特征值的变化差异,获得目标聚类簇的异常请求可能性;根据目标聚类簇内请求地址的请求特征值分布以及对应异常请求可能性,获得目标聚类簇内每个请求地址的最终异常程度。
不同的请求地址聚类簇可代表不同的请求行为模式,通过对其他每个请求地址聚类簇进行分析,确保其中每个请求地址都被评估,更加深入地理解聚类簇内请求地址的特定行为特征;将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;
由于异常请求可能受到单个请求地址或者多个请求地址的攻击,在单个请求地址异常攻击时,存在将其划分到正常请求的聚类簇内的情况,使得正常请求的聚类簇内的请求特征值存在差异,分布均匀性较差;在多个请求地址异常攻击时,可能会被划分为同一个聚类簇内,但由于异常请求存在随机性,相比于正常请求的聚类簇内对应的请求特征值的变化差异较大,分布均匀性也较差;基于参考聚类簇,对目标聚类簇进行请求特征值的分析,识别出目标聚类簇中可能存在的异常行为或潜在问题;异常等级用来评估目标聚类簇的风险水平,综合多方面的信息,使得评估结果更加全面和准确;所以根据目标聚类簇内请求地址的请求特征值的分布特征、异常等级以及目标聚类簇与参考聚类簇之间请求地址的请求特征值的变化差异,获得目标聚类簇的异常请求可能性。
优选地,在本发明的一个实施例中,异常请求可能性的获取方法包括:
计算目标聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,作为第一差异;计算参考聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,并将差异结果与预设常数相加,作为第二差异;计算第一差异比上第二差异的比值,作为第一异常性;
计算目标聚类簇内所有请求地址的请求特征值的标准差,并进行正相关映射,作为第二异常性;根据第一异常性、第二异常性以及目标聚类簇的异常等级,获得目标聚类簇的异常请求可能性。
优选地,在本发明的一个实施例中,获得目标聚类簇的异常请求可能性的获取方法包括:
计算第一异常性、第二异常性以及目标聚类簇的异常等级的乘积,获得目标聚类簇的异常请求可能性。在本发明的一个实施例中,异常请求可能性的公式表示为:
;
其中,表示目标聚类簇/>的异常请求可能性;/>表示目标聚类簇/>的异常等级;表示目标聚类簇/>内请求地址的最大请求特征值;/>表示目标聚类簇/>内请求地址的最小请求特征值;/>表示参考聚类簇/>内请求地址的最大请求特征值;/>表示参考聚类簇/>内请求地址的最小请求特征值;/>表示目标聚类簇/>内所有请求地址的请求特征值的标准差;/>表示预设常数;/>表示自然常数。
在异常请求可能性的公式中,表示第一异常性,目标聚类簇/>内请求数据的请求特征值相较于参考聚类簇内请求数据的请求特征值的变化越大,分布差异越大,越偏离正常请求,即第一异常性越大,异常请求可能性越大;通过以自然常数为底的指数函数将/>进行正相关映射,目标聚类簇内所有请求地址的请求特征值的标准差越大,所有请求地址的请求特征值之间的差异越大,对应聚类簇内请求地址的请求特征值分布越不均匀,异常请求可能性越大;目标聚类簇/>的异常等级越大,异常请求可能性越大。
需要说明的是,在本发明的一个实施中,为了避免公式为0,预设常数取经验值为0.1。
需要说明的是,在本发明的其他实施例中也可通过其他基础数学运算构建正负相关映射,具体手段为本领域技术人员熟知的技术手段,在此不做赘述。
由于不同请求地址的请求特征值存在差异,通过分析目标聚类簇内请求地址的请求特征值分布,精确地定位表现出异常请求的请求地址;结合异常请求可能性,考虑了聚类簇的整体特征和个体特征,可以更精确地识别出每个请求地址的异常程度,提高了异常识别的准确性;所以根据目标聚类簇内请求地址的请求特征值分布以及对应异常请求可能性,获得目标聚类簇内每个请求地址的最终异常程度。
优选地,在本发明的一个实施例中,异常请求可能性的获取方法包括:
根据最终异常程度的获取公式获得最终异常程度,最终异常程度的获取公式为:
;
其中,表示目标聚类簇/>内第/>个请求地址的最终异常程度;/>表示目标聚类簇内的异常请求可能性;/>表示目标聚类簇内第/>个请求地址的请求特征值;/>表示目标聚类簇/>内第/>个其他请求地址的请求特征值;/>表示目标聚类簇/>内请求地址的数量;表示归一化函数。
在异常请求可能性的公式中,表示目标聚类簇内第/>个请求地址与所有其他请求地址之间请求特征值的差异的均值,差异越大,第/>个请求地址与其他请求地址之间的请求特征越不相似,请求地址为离群异常的可能性越高,最终异常程度越大;以请求特征值和异常请求可能性对/>进行修正,请求特征值越大,异常请求越多,最终异常程度越大;异常请求可能性越大,存在异常的可能性程度越大,对应请求地址的最终异常程度越大。
步骤S4:根据最终异常程度对当前时刻的请求地址进行异常预警。
最终异常程度能够为异常预警提供明确的依据,使得能够根据不同的最终异常程度采取相应的预警措施;当请求地址出现异常时,通过异常预警可以及时发现并解决这些问题。所以根据最终异常程度对当前时刻的请求地址进行异常预警。
优选地,在本发明的一个实施例中,根据最终异常程度对当前时刻的请求地址进行异常预警包括:
若请求地址的最终异常程度大于预设异常阈值,对应请求地址为异常请求地址。
需要说明的是,在本发明的一个实施例中,预设异常阈值为0.4;在本发明的其他实施例中,预设异常阈值的大小可根据具体情况具体设置,在此不做限定及赘述。
获得异常请求地址进行预警之后,需要及时的采取限流或者拦截操作,降低异常请求地址对网络服务器的恶意访问和攻击,从而提高网络服务器的安全性以及运行效率。
综上所述,本发明根据每个请求地址的请求数据获得每个请求地址的请求特征值,对所有请求地址进行聚类,获得多个请求地址聚类簇;根据每个请求地址聚类簇内请求地址的请求特征值,获得每个请求地址聚类簇的异常等级;筛选出参考聚类簇;将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;结合目标聚类簇与参考聚类簇之间请求特征值的变化差异,获得目标聚类簇的异常请求可能性;结合目标聚类簇内请求地址的请求特征值分布,获得目标聚类簇内每个请求地址的最终异常程度;对当前时刻的请求地址进行异常预警。本发明获得每个请求地址准确的异常程度,提高安全预警的准确性。
本发明还提出了一种基于态势感知的网络安全预警***,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时,实现任意一项一种基于态势感知的网络安全预警方法的步骤。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
Claims (8)
1.一种基于态势感知的网络安全预警方法,其特征在于,所述方法包括:
获取当前时刻的历史范围内网络服务器日志中每个请求地址的请求数据;所述请求数据包括至少一种:发送数据包次数、请求登录次数、权限变更次数;
根据每个请求地址的所述请求数据获得每个请求地址的请求特征值;根据每个请求地址的所述请求特征值对所有请求地址进行聚类,获得多个请求地址聚类簇;根据每个请求地址聚类簇内请求地址的所述请求特征值,获得每个请求地址聚类簇的异常等级;根据每个请求地址聚类簇的所述异常等级筛选出参考聚类簇;
将参考聚类簇外的其他每个请求地址聚类簇作为一个目标聚类簇;根据目标聚类簇内请求地址的所述请求特征值的分布特征、所述异常等级以及目标聚类簇与参考聚类簇之间请求地址的所述请求特征值的变化差异,获得目标聚类簇的异常请求可能性;根据目标聚类簇内请求地址的请求特征值分布以及对应所述异常请求可能性,获得目标聚类簇内每个请求地址的最终异常程度;
根据所述最终异常程度对当前时刻的请求地址进行异常预警;
所述异常等级的获取方法包括:
计算每个请求地址聚类簇内所有请求地址的所述请求特征值的均值,并进行归一化,获得每个请求地址聚类簇的异常等级;
所述参考聚类簇的获取方法包括:
选取所有请求地址聚类簇中异常等级最小的请求地址聚类簇,作为参考聚类簇。
2.根据权利要求1所述的一种基于态势感知的网络安全预警方法,其特征在于,所述请求特征值的获取方法包括:
计算每个请求地址的请求数据中包括的所述发送数据包次数、所述请求登录次数和所述权限变更次数的和值,并进行归一化,获得每个请求地址的请求特征值。
3.根据权利要求1所述的一种基于态势感知的网络安全预警方法,其特征在于,所述请求地址聚类簇的获取方法包括:
依据所有请求地址的所述请求特征值,对所有请求地址采用K-means聚类算法,获得多个请求地址聚类簇。
4.根据权利要求1所述的一种基于态势感知的网络安全预警方法,其特征在于,所述异常请求可能性的获取方法包括:
计算目标聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,作为第一差异;
计算参考聚类簇内请求地址的最大请求特征值与最小请求特征值之间的差异,并将差异结果与预设常数相加,作为第二差异;
计算所述第一差异比上所述第二差异的比值,作为第一异常性;
计算目标聚类簇内所有请求地址的所述请求特征值的标准差,并进行正相关映射,作为第二异常性;
根据所述第一异常性、所述第二异常性以及目标聚类簇的所述异常等级,获得目标聚类簇的异常请求可能性。
5.根据权利要求4所述的一种基于态势感知的网络安全预警方法,其特征在于,所述获得目标聚类簇的异常请求可能性的获取方法包括:
计算所述第一异常性、所述第二异常性以及目标聚类簇的所述异常等级的乘积,获得目标聚类簇的异常请求可能性。
6.根据权利要求1所述的一种基于态势感知的网络安全预警方法,其特征在于,所述最终异常程度的获取方法包括:
根据最终异常程度的获取公式获得最终异常程度,最终异常程度的获取公式为:
;
其中,表示目标聚类簇/>内第/>个请求地址的最终异常程度;/>表示目标聚类簇/>内的异常请求可能性;/>表示目标聚类簇/>内第/>个请求地址的请求特征值;/>表示目标聚类簇/>内第/>个其他请求地址的请求特征值;/>表示目标聚类簇/>内请求地址的数量;表示归一化函数。
7.根据权利要求1所述的一种基于态势感知的网络安全预警方法,其特征在于,所述根据所述最终异常程度对当前时刻的请求地址进行异常预警包括:
若请求地址的所述最终异常程度大于预设异常阈值,对应请求地址为异常请求地址。
8.一种基于态势感知的网络安全预警***,所述***包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1~7任意一项所述一种基于态势感知的网络安全预警方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410363121.6A CN117978543B (zh) | 2024-03-28 | 2024-03-28 | 基于态势感知的网络安全预警方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410363121.6A CN117978543B (zh) | 2024-03-28 | 2024-03-28 | 基于态势感知的网络安全预警方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117978543A CN117978543A (zh) | 2024-05-03 |
| CN117978543B true CN117978543B (zh) | 2024-06-04 |
Family
ID=90864651
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410363121.6A Active CN117978543B (zh) | 2024-03-28 | 2024-03-28 | 基于态势感知的网络安全预警方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117978543B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
| CN106604267A (zh) * | 2017-02-21 | 2017-04-26 | 重庆邮电大学 | 一种动态自适应的无线传感器网络入侵检测智能算法 |
| CN110149347A (zh) * | 2019-06-18 | 2019-08-20 | 中国刑事警察学院 | 利用拐点半径实现动态自适应聚类的网络入侵检测方法 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110572382A (zh) * | 2019-09-02 | 2019-12-13 | 西安电子科技大学 | 基于smote算法和集成学习的恶意流量检测方法 |
| CN111784528A (zh) * | 2020-05-27 | 2020-10-16 | 平安科技(深圳)有限公司 | 异常社群检测方法、装置、计算机设备及存储介质 |
| CN113297393A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于态势感知和大数据的情报生成方法及信息安全*** |
| CN113537321A (zh) * | 2021-07-01 | 2021-10-22 | 汕头大学 | 一种基于孤立森林和x均值的网络流量异常检测方法 |
| KR102328879B1 (ko) * | 2021-06-10 | 2021-11-22 | (주)시큐레이어 | 학습 데이터의 불균형 상황에서 이상 웹로그를 탐지할 수 있도록 하는 비지도 학습 방법 및 학습 장치, 그리고 이를 이용한 테스트 방법 및 테스트 장치 |
| CN114187490A (zh) * | 2021-12-15 | 2022-03-15 | 中国电信股份有限公司 | 异常解释方法、异常解释装置、计算机装置及存储介质 |
| WO2022126678A1 (zh) * | 2020-12-17 | 2022-06-23 | 广东工业大学 | 一种柔性材料数控切割刀头性能状态评估方法及装置 |
| CN116684202A (zh) * | 2023-08-01 | 2023-09-01 | 光谷技术有限公司 | 一种物联网信息安全传输方法 |
| WO2023206702A1 (zh) * | 2022-04-29 | 2023-11-02 | 青岛海尔科技有限公司 | 日志的处理方法和装置、存储介质及电子装置 |
| CN117407865A (zh) * | 2023-11-28 | 2024-01-16 | 国家电网有限公司信息通信分公司 | 一种接口安全防护方法及装置、电子设备、存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190166024A1 (en) * | 2017-11-24 | 2019-05-30 | Institute For Information Industry | Network anomaly analysis apparatus, method, and non-transitory computer readable storage medium thereof |
-
2024
- 2024-03-28 CN CN202410363121.6A patent/CN117978543B/zh active Active
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967629A (zh) * | 2015-07-16 | 2015-10-07 | 网宿科技股份有限公司 | 网络攻击检测方法及装置 |
| CN106604267A (zh) * | 2017-02-21 | 2017-04-26 | 重庆邮电大学 | 一种动态自适应的无线传感器网络入侵检测智能算法 |
| CN110213227A (zh) * | 2019-04-24 | 2019-09-06 | 华为技术有限公司 | 一种网络数据流检测方法及装置 |
| CN110149347A (zh) * | 2019-06-18 | 2019-08-20 | 中国刑事警察学院 | 利用拐点半径实现动态自适应聚类的网络入侵检测方法 |
| CN110572382A (zh) * | 2019-09-02 | 2019-12-13 | 西安电子科技大学 | 基于smote算法和集成学习的恶意流量检测方法 |
| WO2021239004A1 (zh) * | 2020-05-27 | 2021-12-02 | 平安科技(深圳)有限公司 | 异常社群检测方法、装置、计算机设备及存储介质 |
| CN111784528A (zh) * | 2020-05-27 | 2020-10-16 | 平安科技(深圳)有限公司 | 异常社群检测方法、装置、计算机设备及存储介质 |
| WO2022126678A1 (zh) * | 2020-12-17 | 2022-06-23 | 广东工业大学 | 一种柔性材料数控切割刀头性能状态评估方法及装置 |
| KR102328879B1 (ko) * | 2021-06-10 | 2021-11-22 | (주)시큐레이어 | 학습 데이터의 불균형 상황에서 이상 웹로그를 탐지할 수 있도록 하는 비지도 학습 방법 및 학습 장치, 그리고 이를 이용한 테스트 방법 및 테스트 장치 |
| CN113297393A (zh) * | 2021-06-25 | 2021-08-24 | 深圳市合美鑫精密电子有限公司 | 基于态势感知和大数据的情报生成方法及信息安全*** |
| CN113537321A (zh) * | 2021-07-01 | 2021-10-22 | 汕头大学 | 一种基于孤立森林和x均值的网络流量异常检测方法 |
| CN114187490A (zh) * | 2021-12-15 | 2022-03-15 | 中国电信股份有限公司 | 异常解释方法、异常解释装置、计算机装置及存储介质 |
| WO2023206702A1 (zh) * | 2022-04-29 | 2023-11-02 | 青岛海尔科技有限公司 | 日志的处理方法和装置、存储介质及电子装置 |
| CN116684202A (zh) * | 2023-08-01 | 2023-09-01 | 光谷技术有限公司 | 一种物联网信息安全传输方法 |
| CN117407865A (zh) * | 2023-11-28 | 2024-01-16 | 国家电网有限公司信息通信分公司 | 一种接口安全防护方法及装置、电子设备、存储介质 |
Non-Patent Citations (7)
| Title |
|---|
| "Cluster-Based Anomaly Detection in Condition Monitoring of a Marine Engine System";Erik Vanem等;《2018 Prognostics and System Health Management Conference (PHM-Chongqing)》;20181231;全文 * |
| "Clustering Intrusion Detection Alarms to Support Root Cause Analysis";KLAUS JULISCH;《https://dl.acm.org/doi/pdf/10.1145/950191.950192》;20031101;全文 * |
| "Hyperspectral Anomaly Detection Method Based on Adaptive Background Extraction";Min Li等;《IEEE Access》;20201231;全文 * |
| "Online Anomaly Prediction for Robust Cluster Systems";Xiaohui Gu;《IEEE International Conference on Data Engineering》;20091231;全文 * |
| "基于数据挖掘的网络入侵检测关键技术研究";郭春;《中国博士学位论文全文数据库》;20150415;全文 * |
| "面向安全防护的移动自组织网分簇与异常流量检测算法研究";窦悦嘉;《中国硕士学位论文全文数据库》;20240115;全文 * |
| 利用改进DBSCAN聚类实现多步式网络入侵类别检测;罗文华;许彩滇;;小型微型计算机***;20200815(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117978543A (zh) | 2024-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110620759B (zh) | 基于多维关联的网络安全事件危害指数评估方法及其*** | |
| EP2769508B1 (en) | System and method for detection of denial of service attacks | |
| CN112073389B (zh) | 云主机安全态势感知***、方法、设备及存储介质 | |
| CN111131338A (zh) | 感知态势处物联网安全检测方法、***及存储介质 | |
| CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| CN112165470B (zh) | 一种基于日志大数据分析的智能终端接入安全预警*** | |
| CN110062380A (zh) | 一种移动应用***的连接访问请求安全检测方法 | |
| Bajtoš et al. | Network intrusion detection with threat agent profiling | |
| Goel et al. | Anomaly based intrusion detection model using supervised machine learning techniques | |
| CN108667642A (zh) | 一种基于风险评估的服务器的风险均衡器 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警*** | |
| CN117675387B (zh) | 基于用户行为分析的网络安全风险预测方法及*** | |
| CN116915515B (zh) | 用于工控网络的访问安全控制方法及*** | |
| CN117978543B (zh) | 基于态势感知的网络安全预警方法及*** | |
| Gautam et al. | Anomaly detection system using entropy based technique | |
| CN114070641B (zh) | 一种网络入侵检测方法、装置、设备和存储介质 | |
| Kumar et al. | Mitigate volumetric DDoS attack using machine learning algorithm in SDN based IoT network environment | |
| Xi et al. | Quantitative threat situation assessment based on alert verification | |
| CN114157514B (zh) | 一种多路ids集成检测方法和装置 | |
| CN118228211B (zh) | 一种软件授权认证方法 | |
| Wu et al. | Research on the Impact of Attacks on Security Characteristics | |
| JP6857627B2 (ja) | ホワイトリスト管理システム | |
| WO2024032032A1 (zh) | 云平台测试方法、装置、服务节点及云平台 | |
| Wei et al. | Research on Multidimensional Information Security Assessment Based on Big Data | |
| CN118300878A (zh) | 一种基于ai模型的安全分析***及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |