本發(fā)明屬于網(wǎng)絡(luò)安全監(jiān)管領(lǐng)域�����,涉及數(shù)據(jù)分析技術(shù)�����,具體是一種基于人工智能的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)�。
背景技術(shù):
1、隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展����,網(wǎng)絡(luò)安全威脅呈現(xiàn)出多樣化、復(fù)雜化和智能化的特點�,傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)面臨嚴峻挑戰(zhàn)。
2�、傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)需實時采集并存儲海量數(shù)據(jù),導(dǎo)致網(wǎng)絡(luò)傳輸��、存儲和分析壓力大����、成本高,同時基于單一指標(如流量或設(shè)備狀態(tài))進行風(fēng)險判定�����,容易產(chǎn)生誤報����,具有特征的觀察參數(shù)的選擇策略通常由人工配置,難以適應(yīng)網(wǎng)絡(luò)環(huán)境的動態(tài)變化��,新型攻擊手段可能繞過預(yù)設(shè)規(guī)則���,導(dǎo)致系統(tǒng)防御失效�����。
3����、針對上述技術(shù)問題�����,本技術(shù)提出一種解決方案��。
技術(shù)實現(xiàn)思路
1���、本發(fā)明的目的在于提供一種基于人工智能的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)�,用于解決現(xiàn)有的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)無法減輕海量數(shù)據(jù)的傳輸�、存儲和分析的壓力以及難以適應(yīng)網(wǎng)絡(luò)環(huán)境的動態(tài)變化導(dǎo)致產(chǎn)生誤報的問題;
2�、本發(fā)明需要解決的技術(shù)問題為:如何提供一種可以減輕海量數(shù)據(jù)下傳輸、存儲和分析的壓力以及能適應(yīng)網(wǎng)絡(luò)環(huán)境的動態(tài)變化的基于人工智能的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)���。
3�、本發(fā)明的目的可以通過以下技術(shù)方案實現(xiàn):
4、一種基于人工智能的網(wǎng)絡(luò)安全監(jiān)管系統(tǒng)���,包括網(wǎng)絡(luò)安全監(jiān)管平臺�����,所述網(wǎng)絡(luò)安全監(jiān)管平臺通信連接有基礎(chǔ)監(jiān)管模塊����、數(shù)據(jù)觀察模塊���、行為觀察模塊�����、綜合評估模塊以及監(jiān)管優(yōu)化模塊�����;
5����、基礎(chǔ)監(jiān)管模塊用于對網(wǎng)絡(luò)中的節(jié)點數(shù)據(jù)進行基礎(chǔ)監(jiān)管并獲取觀察對象:將網(wǎng)絡(luò)中節(jié)點設(shè)備產(chǎn)生的數(shù)據(jù)標記為節(jié)點數(shù)據(jù)���;生成固定時長的監(jiān)管周期����,在監(jiān)管周期內(nèi)獲取網(wǎng)絡(luò)中所有節(jié)點設(shè)備的第一觀察參數(shù)以及第二觀察參數(shù),并根據(jù)第一觀察參數(shù)以及第二觀察參數(shù)獲取觀察對象i���;
6����、數(shù)據(jù)觀察模塊用于評估網(wǎng)絡(luò)的數(shù)據(jù)表現(xiàn)是否健康:生成固定時長為l2的觀察時段����,獲取觀察對象i在觀察時段內(nèi)的特征型數(shù)據(jù)����,根據(jù)特征型數(shù)據(jù)計算得到觀察對象i的數(shù)據(jù)健康系數(shù)sji;
7�����、行為觀察模塊用于根據(jù)用戶行為產(chǎn)生的數(shù)據(jù)評估網(wǎng)絡(luò)中的用戶行為是否健康:獲取觀察對象i在觀察時段內(nèi)的登錄頻率dli�����、高危操作值czi和平均會話時長sci,并計算得到觀察對象i的行為健康系數(shù)xwi��;
8��、綜合評估模塊用于綜合評估觀察對象的網(wǎng)絡(luò)安全狀態(tài):根據(jù)數(shù)據(jù)健康系數(shù)sji和行為健康系數(shù)xwi將觀察對象i網(wǎng)絡(luò)安全狀態(tài)評估為危險��、異?��;蛘?���;
9�、監(jiān)管優(yōu)化模塊用于對網(wǎng)絡(luò)安全監(jiān)管中的第二觀察參數(shù)進行優(yōu)化:在觀察時段的結(jié)束時刻,選取新的特征型數(shù)據(jù)作為第二觀察參數(shù)����。
10、進一步地�,節(jié)點數(shù)據(jù)包括網(wǎng)絡(luò)流量ll以及特征型數(shù)據(jù);特征型數(shù)據(jù)包括正向特征型數(shù)據(jù)和負向特征型數(shù)據(jù)�;正向特征型數(shù)據(jù)包括吞吐量tti;負向特征型數(shù)據(jù)包括cpu負載fzi��、內(nèi)存占用zyi以及丟包率dbi。
11�、進一步地,獲取觀察對象i的具體過程包括:在監(jiān)管周期內(nèi)網(wǎng)絡(luò)安全監(jiān)管平臺按固定頻次獲取網(wǎng)絡(luò)中所有節(jié)點設(shè)備的網(wǎng)絡(luò)流量ll����,對每個節(jié)點設(shè)備的所有網(wǎng)絡(luò)流量ll進行方差計算得到第一觀察參數(shù),在監(jiān)管周期內(nèi)按固定頻次獲取任一個特征型數(shù)據(jù)并進行取平均值計算作為第二觀察參數(shù)���;將網(wǎng)絡(luò)中所有節(jié)點設(shè)備的第一觀察參數(shù)�����、第二觀察參數(shù)分別與預(yù)設(shè)的第一閾值以及第二閾值進行比較:若第一觀察參數(shù)大于等于第一閾值或者第二觀察參數(shù)大于等于(或小于)第二閾值�����,則將所對應(yīng)的節(jié)點設(shè)備標記為觀察對象i。
12�、進一步地,數(shù)據(jù)健康系數(shù)sji的計算過程包括:獲取觀察對象i在觀察時段內(nèi)的特征型數(shù)據(jù)�,并生成觀察對象i的數(shù)據(jù)特征向量sti=[fzi,zyi�,dbi,tti�,lli];由所有觀察對象i的cpu負載fz的最大值、內(nèi)存占用zy的最大值����、丟包率db的最大值以及吞吐量tt的最小值構(gòu)成負向特征向量fx,由所有觀察對象i的cpu負載fz的最小值��、內(nèi)存占用zy的最小值���、丟包率db的最小值以及吞吐量tt的最大值構(gòu)成正向特征向量zx����;將數(shù)據(jù)特征向量sti與負向特征向量fx作差并進行取模計算得到負向距離fji���,將特征向量ti與正向特征向量zx作差并進行取模計算得到正向距離zji�;將負向距離fji與正向距離zji求和計算的結(jié)果與負向距離fji進行比值計算得到觀察對象i的數(shù)據(jù)健康系數(shù)sji�。
13、進一步地�����,由登錄頻率dli�����、高危操作值czi和平均會話時長sci構(gòu)成觀察對象i的行為特征列向量xti=[dli,czi��,sci]t�����,并設(shè)置加權(quán)行向量w=[w1���,w2����,w3]����;將行為特征列向量xti與加權(quán)行向量w進行點積計算得到觀察對象i的行為健康系數(shù)xwi。
14����、進一步地,觀察對象的網(wǎng)絡(luò)安全狀態(tài)的評估過程包括:將數(shù)據(jù)健康系數(shù)sji和行為健康系數(shù)xwi分別與數(shù)據(jù)健康閾值sjmax和行為健康閾值xw進行比較:若數(shù)據(jù)健康系數(shù)sji大于等于數(shù)據(jù)健康閾值sjmax且行為健康系數(shù)xwi大于等于行為健康閾值xw����,則判斷該觀察對象i的網(wǎng)絡(luò)安全狀態(tài)為危險�;若數(shù)據(jù)健康系數(shù)sji小于數(shù)據(jù)健康閾值sjmax且行為健康系數(shù)xwi小于行為健康閾值xw,則判斷該觀察對象i的網(wǎng)絡(luò)安全狀態(tài)為健康;反之�����,則判斷該觀察對象i的網(wǎng)絡(luò)安全狀態(tài)為異常���。
15�����、進一步地����,選取新的特征型數(shù)據(jù)作為第二觀察參數(shù)的具體過程包括:
16�、步驟一:對于特征型數(shù)據(jù),每次只剔除其中一個并重新計算數(shù)據(jù)健康系數(shù)sji�����;
17�����、步驟二:將所有剔除一個特征型數(shù)據(jù)后計算得到的數(shù)據(jù)健康系數(shù)sji進行比較��,將數(shù)值最大的數(shù)據(jù)健康系數(shù)sji所對應(yīng)的被剔除的特征型數(shù)據(jù)標記為新的第二觀察參數(shù);
18����、步驟三:在每個觀察時段的結(jié)束時刻,由新的第二觀察參數(shù)對基礎(chǔ)監(jiān)管模塊中的第二觀察參數(shù)進行替換����。
19、進一步地��,一種基于人工智能的網(wǎng)絡(luò)安全監(jiān)管方法�����,包括以下步驟:
20��、步驟一:生成固定時長為l1的監(jiān)管周期�����,在監(jiān)管周期內(nèi)獲取第一觀察參數(shù)和第二觀察參數(shù)����,根據(jù)第一觀察參數(shù)和第二觀察參數(shù)獲取觀察對象i;
21�����、步驟二:生成固定時長為l2的觀察時段���,獲取觀察對象i在觀察時段內(nèi)的特征型數(shù)據(jù)��,計算觀察對象i的數(shù)據(jù)健康系數(shù)sji�;
22�、步驟三:獲取觀察對象i在觀察時段內(nèi)的登錄頻率dli、高危操作值czi和平均會話時長sci���,并計算觀察對象i的行為健康系數(shù)xwi�����;
23�、步驟四:根據(jù)數(shù)據(jù)健康系數(shù)sji和行為健康系數(shù)xwi將觀察對象i網(wǎng)絡(luò)安全狀態(tài)評估為危險�、異常或正常����;
24、步驟五:在觀察時段的結(jié)束時刻��,選取新的特征型數(shù)據(jù)作為第二觀察參數(shù)。
25��、本發(fā)明具備下述有益效果:
26���、1�����、通過數(shù)據(jù)觀察模塊對可能存在網(wǎng)絡(luò)安全風(fēng)險的觀察對象進行大量特征型數(shù)據(jù)的采集和分析����,通過構(gòu)建正負向特征向量的雙重參照系����,將多維數(shù)據(jù)指標轉(zhuǎn)化為可量化的數(shù)據(jù)健康系數(shù),為網(wǎng)絡(luò)安全評估提供了可靠的數(shù)據(jù)支撐
27�、2、通過數(shù)據(jù)觀察模塊對可能存在網(wǎng)絡(luò)安全風(fēng)險的觀察對象進行大量特征型數(shù)據(jù)的采集和分析���,通過構(gòu)建正負向特征向量的雙重參照系��,將多維數(shù)據(jù)指標轉(zhuǎn)化為可量化的數(shù)據(jù)健康系數(shù)�����,為網(wǎng)絡(luò)安全評估提供了可靠的數(shù)據(jù)支撐����;
28��、3��、通過行為觀察模塊對可能存在網(wǎng)絡(luò)安全風(fēng)險的觀察對象進行大量行為數(shù)據(jù)的采集和分析�����,并引入可配置的加權(quán)行向量�,允許管理員根據(jù)實際業(yè)務(wù)場景動態(tài)調(diào)整高危操作、會話時長等行為指標的權(quán)重系數(shù)�����,使行為分析模型具備行業(yè)場景適配性����,提高了對用戶行為健康評估的精確性;
29���、4����、通過綜合評估模塊將設(shè)備數(shù)據(jù)表現(xiàn)與用戶行為特征進行耦合分析,建立三級(健康/異常/危險)安全評估體系���,通過雙重閾值判定機制����,成功規(guī)避了單一維度評估導(dǎo)致的誤報情況���,顯著提升了網(wǎng)絡(luò)安全狀態(tài)評估的準確性�;
30���、4�����、通過監(jiān)管優(yōu)化模塊采用特征剔除-效果反推算法��,每個觀察周期自動執(zhí)行第二觀察參數(shù)的更新����,實現(xiàn)監(jiān)測策略的持續(xù)自我進化,適用于新型網(wǎng)絡(luò)攻擊手段頻發(fā)的復(fù)雜環(huán)境�����。