一种网络安全事件分类与预测方法及系统技术方案

本发明专利技术公开了一种网络安全事件分类与预测方法及系统，用以解决现有技术缺少及时发现攻击行为特征，对攻击行为进行准确分类的能力。该方法包括：S1、获取全网用户的web访问日志和全流量日志中的http元数据；S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；S3、将分词后的url利用word2vector构建词向量和文档向量；S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。本发明专利技术实现关键点的实时监测，依靠机器学习发现带有主流攻击特征的异常行为，改善了网络攻击行为分类的效率，降低了人工审核的时间成本，能够适应不断变化的攻击行为，提高了分类检测准确率，为网络安全提供了保障。

Network security event classification and prediction method and system

The invention discloses a method and a system for classifying and predicting network security events, so as to solve the problems that the prior art lacks the characteristics of timely detecting attack behaviors and accurately classifying attack behaviors. The method includes: http web metadata access log and log S1, get the full flow of net users in the web; S2, access log and the HTTP metadata URL segmentation and network attack illegal character library matching; S3, word URL constructing a word vector and the document vector the use of word2vector; S4, the document vector as the input characteristics and the Naive Bayesian model to classify the attacks. The invention realizes real-time monitoring of key points, rely on machine learning and find abnormal behavior with mainstream attack features, improve the efficiency of classification of network attack behavior, reduce the manual review of time and cost, can adapt to aggressive behavior changing, improve the accuracy of detection and classification, provide a guarantee for network security.

【技术实现步骤摘要】
一种网络安全事件分类与预测方法及系统
本专利技术涉及计算机网络领域，尤其涉及一种网络安全事件分类与预测方法及系统。
技术介绍
近年来，随着web应用的不断普及，针对web服务应用的攻击成为网络上广泛传播的攻击方式。由于许多网络应用服务开发者缺乏安全意识，致使网络服务程序中存在大量的安全漏洞，这使得web服务器成为黑客攻击的主要目标之一。互联网上最主要的攻击方式主要有跨站脚本攻击(XSS)、SQL注入攻击(SQL-inject)、远程文件包含(RFI)等给予http协议的网络攻击。为了防御web攻击，各种安全防御技术已被提出并得以应用。主要包括数据加密、安全路由、访问控制、报文鉴别方法的以防范和自我保护为主的被动保护方式，其在其有效防范网络攻击上虽有重要作用，但缺少及时发现攻击行为特征，对攻击进行准确分类的能力。公开号为CN106209826A的专利提供了一种安全事件分析方法，包括如下步骤：根据日志报文中某个关键字，辨别该日志报文是应用日志、系统日志、还是安全日志，将上述日志分成普通事件、异常事件和安全事件，从普通事件的集合中通过异常识别方法寻找出异常事件，从异常事件的集合中通过识别违规操作行为和威胁行为寻找出安全事件。该专利技术通过识别网络环境中各类设备产生的日志，用事件详细分类解释网络状况，针对所有事件集合，明确地给出了事件的详细分类情况，便于管理人员理解网络中实时发生的事件状态。但是该专利技术缺少及时发现攻击行为特征，对攻击行为准确分类的能力。
技术实现思路
本专利技术要解决的技术问题目的在于提供一种网络安全事件分类与预测方法及系统，用以解决现有技术缺少及时发现攻击行为特征，对攻击行为进行准确分类的能力。为了实现上述目的，本专利技术采用的技术方案为：一种网络安全事件分类与预测方法,包括步骤:S1、获取全网用户的web访问日志和全流量日志中的http元数据；S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；S3、将分词后的url利用word2vector构建词向量和文档向量；S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。进一步地，还包括步骤：S5、识别不同种类的网络攻击行为；S6、对所述各类网络攻击行为采取不同的处置与防范措施；S7、对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。进一步地，步骤S2中所述构建网络攻击非法字符特征库的步骤具体包括：采集各种攻击行为的web访问日志和全流量http元数据样本；对所述攻击行为的web访问日志和全流量http元数据样本进行分词；统计频率大于预设频率的字符；根据所述字符构建网络攻击非法字符特征库。进一步地，步骤S3具体包括：统计所述网络攻击非法字符库的非法关键词；利用one-hot-vector将所述关键词转换成n维向量；将n维向量的输入层与隐藏层全连接；通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量；将每条url出现的攻击关键词对应的词向量相加以得到文档向量。进一步地，步骤S4具体包括：统计当前攻击类型的数量；将所述文档向量作为贝叶斯的特征输入得到类别集合；统计各类别集合的特征属性的条件概率；计算每类攻击的后验概率；将最大后验概率的类别设为当前url的攻击类别。一种网络安全事件分类与预测系统,包括:获取模块，用于获取全网用户的web访问日志和全流量日志中的http元数据；匹配模块，用于对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；构建模块，用于将分词后的url利用word2vector构建词向量和文档向量；分类模块，用于将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。进一步地，还包括：识别模块，用于识别不同种类的网络攻击行为；处理模块，用于对所述各类网络攻击行为采取不同的处置与防范措施；优化模块，用于对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。进一步地，所述匹配模块具体包括：采集单元，用于采集各种攻击行为的web访问日志和全流量http元数据样本；分词单元，用于对所述攻击行为的web访问日志和全流量http元数据样本进行分词；第一统计单元，用于统计频率大于预设频率的字符；特征库构建单元，用于根据所述字符构建网络攻击非法字符特征库。进一步地，所述构建模块具体包括：第二统计单元，用于统计所述网络攻击非法字符库的非法关键词；转换单元，用于利用one-hot-vector将所述关键词转换成n维向量；连接单元，用于将n维向量的输入层与隐藏层全连接；相乘单元，用于通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量；相加单元，用于将每条url出现的攻击关键词对应的词向量相加以得到文档向量。进一步地，所述分类模块具体包括：第三统计单元，用于统计当前攻击类型的数量；输入单元，用于将所述文档向量作为贝叶斯的特征输入得到类别集合；第四统计单元，用于统计各类别集合的特征属性的条件概率；计算单元，用于计算每类攻击的后验概率；设置单元，用于将最大后验概率的类别设为当前url的攻击类别。本专利技术与传统的技术相比，有如下优点：本专利技术实现关键点的实时监测，依靠机器学习发现带有主流攻击特征的异常行为，改善了网络攻击行为分类的效率，降低了人工审核的时间成本，能够适应不断变化的攻击行为，提高了分类检测准确率，为网络安全提供了保障。附图说明图1是实施例一提供的一种网络安全事件分类与预测方法流程图；图2是实施例二提供的一种网络安全事件分类与预测方法流程图；图3是实施例三提供的一种网络安全事件分类与预测方法流程图；图4是实施例四提供的一种网络安全事件分类与预测方法流程图；图5是实施例五提供的一种网络安全事件分类与预测方法流程图；图6是实施例一至实施例四提供的一种网络安全事件分类与预测系统结构图；图7是实施例五提供的一种网络安全事件分类与预测系统结构图。具体实施方式以下是本专利技术的具体实施例并结合附图，对本专利技术的技术方案作进一步的描述，但本专利技术并不限于这些实施例。实施例一本实施例提供了一种网络安全事件分类与预测方法，如图1所示，包括步骤：S11：获取全网用户的web访问日志和全流量日志中的http元数据；S12：对web访问日志和http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；S13：将分词后的url利用word2vector构建词向量和文档向量；S14：将文档向量作为特征输入并采用朴素贝叶斯模型对攻击行为进行分类。本实施例的分析对象为用户的web访问日志和全局流量日志中的http元数据。通过对数据进行解析、分析后发现，主流网络攻击的关键特征主要体现在url中，由于url通常包含大量的字符，因此需要对web日志和http元数据中的url进行自然语言处理，对其进行分词，提取每一类攻击高频出现的非法字符构建特征库，再利用word2vector构建词向量和文档向量，将文档向量作为特征输入到朴素贝叶斯模型中，对网络攻击行为进行分类。其中，url即统一资源定位符，是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示，是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL，它包含的信息指出文件的位本文档来自技高网...

【技术保护点】
一种网络安全事件分类与预测方法,其特征在于,包括步骤:S1、获取全网用户的web访问日志和全流量日志中的http元数据；S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；S3、将分词后的url利用word2vector构建词向量和文档向量；S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。

【技术特征摘要】
1.一种网络安全事件分类与预测方法,其特征在于,包括步骤:S1、获取全网用户的web访问日志和全流量日志中的http元数据；S2、对所述web访问日志和所述http元数据的url进行分词并与网络攻击非法字符特征库进行匹配；S3、将分词后的url利用word2vector构建词向量和文档向量；S4、将所述文档向量作为特征输入并采用朴素贝叶斯模型对所述攻击行为进行分类。2.根据权利要求1所述的一种网络安全事件分类与预测方法，其特征在于，还包括步骤：S5、识别不同种类的网络攻击行为；S6、对所述各类网络攻击行为采取不同的处置与防范措施；S7、对已识别的攻击行为的url进一步分词以优化所述非法字符特征库。3.根据权利要求1所述的一种网络安全事件分类与预测方法，其特征在于，步骤S2中所述构建网络攻击非法字符特征库的步骤具体包括：采集各种攻击行为的web访问日志和全流量http元数据样本；对所述攻击行为的web访问日志和全流量http元数据样本进行分词；统计频率大于预设频率的字符；根据所述字符构建网络攻击非法字符特征库。4.根据权利要求1所述的一种网络安全事件分类与预测方法，其特征在于，步骤S3具体包括：统计所述网络攻击非法字符库的非法关键词；利用one-hot-vector将所述关键词转换成n维向量；将n维向量的输入层与隐藏层全连接；通过反向传递得到最终向量并通过与最初词向量相乘得到最终词向量；将每条url出现的攻击关键词对应的词向量相加以得到文档向量。5.根据权利要求1所述的一种网络安全事件分类与预测方法，其特征在于，步骤S4具体包括：统计当前攻击类型的数量；将所述文档向量作为贝叶斯的特征输入得到类别集合；统计各类别集合的特征属性的条件概率；计算每类攻击的后验概率；将最大后验概率的类别设为当前url的攻击类别。6.一种网络安全事件分类与预测系统,其特征在于,包括:获取模块，用于获取全网用户的web访问日志和全流量日志中的http...

【专利技术属性】
技术研发人员：陈晓莉，徐菁，丁一帆，刘亭，林建洪，
申请(专利权)人：浙江鹏信信息科技股份有限公司，
类型：发明
国别省市：浙江,33