The invention discloses a method and a system for classifying and predicting network security events, so as to solve the problems that the prior art lacks the characteristics of timely detecting attack behaviors and accurately classifying attack behaviors. The method includes: http web metadata access log and log S1, get the full flow of net users in the web; S2, access log and the HTTP metadata URL segmentation and network attack illegal character library matching; S3, word URL constructing a word vector and the document vector the use of word2vector; S4, the document vector as the input characteristics and the Naive Bayesian model to classify the attacks. The invention realizes real-time monitoring of key points, rely on machine learning and find abnormal behavior with mainstream attack features, improve the efficiency of classification of network attack behavior, reduce the manual review of time and cost, can adapt to aggressive behavior changing, improve the accuracy of detection and classification, provide a guarantee for network security.
【技术实现步骤摘要】
一种网络安全事件分类与预测方法及系统
本专利技术涉及计算机网络领域,尤其涉及一种网络安全事件分类与预测方法及系统。
技术介绍
近年来,随着web应用的不断普及,针对web服务应用的攻击成为网络上广泛传播的攻击方式。由于许多网络应用服务开发者缺乏安全意识,致使网络服务程序中存在大量的安全漏洞,这使得web服务器成为黑客攻击的主要目标之一。互联网上最主要的攻击方式主要有跨站脚本攻击(XSS)、SQL注入攻击(SQL-inject)、远程文件包含(RFI)等给予http协议的网络攻击。为了防御web攻击,各种安全防御技术已被提出并得以应用。主要包括数据加密、安全路由、访问控制、报文鉴别方法的以防范和自我保护为主的被动保护方式,其在其有效防范网络攻击上虽有重要作用,但缺少及时发现攻击行为特征,对攻击进行准确分类的能力。公开号为CN106209826A的专利提供了一种安全事件分析方法,包括如下步骤:根据日志报文中某个关键字,辨别该日志报文是应用日志、系统日志、还是安全日志,将上述日志分成普通事件、异常事件和安全事件,从普通事件的集合中通过异常识别方法寻找出异常事件,从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件。该专利技术通过识别网络环境中各类设备产生的日志,用事件详细分类解释网络状况,针对所有事件集合,明确地给出了事件的详细分类情况,便于管理人员理解网络中实时发生的事件状态。但是该专利技术缺少及时发现攻击行为特征,对攻击行为准确分类的能力。
技术实现思路
本专利技术要解决的技术问题目的在于提供一种网络安全事件分类与预测方法及系统,用以解决现有技术缺少及 ...
【技术保护点】
一种网络安全事件分类与预测方法,其特征在于,包括步骤:S1、获取全网用户的web访问日志和全流量日志中的http元数据;S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;S3、将分词后的url利用word2vector构建词向量和文档向量;S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。
【技术特征摘要】
1.一种网络安全事件分类与预测方法,其特征在于,包括步骤:S1、获取全网用户的web访问日志和全流量日志中的http元数据;S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配;S3、将分词后的url利用word2vector构建词向量和文档向量;S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。2.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,还包括步骤:S5、识别不同种类的网络攻击行为;S6、对所述各类网络攻击行为采取不同的处置与防范措施;S7、对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。3.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S2中所述构建网络攻击非法字符特征库的步骤具体包括:采集各种攻击行为的web访问日志和全流量http元数据样本;对所述攻击行为的web访问日志和全流量http元数据样本进行分词;统计频率大于预设频率的字符;根据所述字符构建网络攻击非法字符特征库。4.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S3具体包括:统计所述网络攻击非法字符库的非法关键词;利用one-hot-vector将所述关键词转换成n维向量;将n维向量的输入层与隐藏层全连接;通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量;将每条url出现的攻击关键词对应的词向量相加以得到文档向量。5.根据权利要求1所述的一种网络安全事件分类与预测方法,其特征在于,步骤S4具体包括:统计当前攻击类型的数量;将所述文档向量作为贝叶斯的特征输入得到类别集合;统计各类别集合的特征属性的条件概率;计算每类攻击的后验概率;将最大后验概率的类别设为当前url的攻击类别。6.一种网络安全事件分类与预测系统,其特征在于,包括:获取模块,用于获取全网用户的web访问日志和全流量日志中的http...
【专利技术属性】
技术研发人员:陈晓莉,徐菁,丁一帆,刘亭,林建洪,
申请(专利权)人:浙江鹏信信息科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。