本发明专利技术公开了一种基于人工智能的交换机流量威胁发现方法,包括以下步骤:S1,利用人工智能学习模型生成攻击流量;S2,对攻击流量进行初步分类;S3,进行模型训练形成针对不同攻击流量最小单元的二分类器;S4,利用交换机设置全流量转发镜像流量;S5,解析交换机的镜像流量并匹配到二分类器上进行流量威胁识别。在整个学习模型中,会将不同的攻击流量划分成最小单位的威胁内容。通过解析交换机上的镜像流量提取特征值与这些最小单位的二分器相互匹配的过程中,能精确地发现威胁流量内容,范围。便于后续对该流量进行自动化溯源、分析以及阻断等操作。断等操作。断等操作。
【技术实现步骤摘要】
一种基于人工智能的交换机流量威胁发现方法
[0001]本专利技术涉及交换机
,尤其涉及一种基于人工智能的交换机流量威胁发现方法。
技术介绍
[0002]近年来,随着计算机技术的飞速发展和互联网的广泛应用,信息技术越来越深入到人们日常生活的各个方面,成为人们日常生活中最重要的部分。网络给社会带来巨大变革和发展的同时,也遭受着非常严峻的安全威胁,网络、应用的漏洞安全成为制约网络发展、影响社会发展的重要因素。
[0003]交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。从小型办公室/家庭办公室(SOHO)到大型ISP(互联网服务提供商),几乎到处都在使用交换机。所以交换机在各个场具有不可替代性和全流量转发的特性。通过抓取、鉴别交换机转发流量,具有提前发现未知风险、提前预防等重要作用。
[0004]因此,如何通过人工智能学习威胁类别,并与交换机流量相互结合,达到威胁实时预警的目的,成为一项新的课题。
技术实现思路
[0005]为了解决上述技术所存在的不足之处,本专利技术提供了一种基于人工智能的交换机流量威胁发现方法。
[0006]为了解决以上技术问题,本专利技术采用的技术方案是:一种基于人工智能的交换机流量威胁发现方法,方法的步骤为:
[0007]S1,利用人工智能学习模型生成攻击流量;
[0008]S2,对攻击流量进行初步分类;
[0009]S3,进行模型训练形成针对不同攻击流量最小单元的二分类器;
[0010]S4,利用交换机设置全流量转发镜像流量;
[0011]S5,解析交换机的镜像流量并匹配到二分类器上进行流量威胁识别。
[0012]进一步地,S1中通过积累流量特征形成流量特征库,在流量特征库基础上结合专家、安全智库、安全厂家判断形成攻击流量。
[0013]进一步地,S2将S1中的攻击流量分成多个攻击流量类别,并且保存到储存攻击流量类别信息的数据库中。
[0014]进一步地,S3的模型训练过程包括以下步骤:
[0015]S31,根据攻击流量类别设置训练样本集;
[0016]S32,选择不同的特征值进行分类;
[0017]S33,通过判断选取检测精度最高、最接近真实情况的一组数据,并用这组数据特
征训练一个最小单元的二分类器。
[0018]进一步地,S3中需要针对攻击流量类别的检测精度不同,选择不同的特征值进行分类。
[0019]进一步地,S5通过分析镜像流量,把镜像流量中的具体的特征值提取出来,将这些特征值与二分类器相互比较。
[0020]进一步地,二分类器判定特征值是该二分类器所针对的类别,则证明该镜像流量是这个二分类器对应的威胁情况。
[0021]进一步地,二分类器判定特征值非该二分类器所针对的类别,则会将镜像流量重新分配给人工智能学习模型继续学习,并增加上这部分的二分类器。
[0022]进一步地,多条镜像流量同时匹配到同一个二分类器,证明该二分类器不是最小模型,需要对镜像流量重新学习直到出现最小单元的二分类器。
[0023]进一步地,最终客户体验中调用人工智能学习模型进行数据匹配,如果匹配到相应的二分类器,将对这些镜像流量内容和威胁情况进行预警。
[0024]本专利技术公开了一种基于人工智能的交换机流量威胁发现方法,在整个学习模型中,会将不同的攻击流量划分成最小单位的威胁内容。通过解析交换机上的镜像流量提取特征值与这些最小单位的二分器相互匹配的过程中,能精确地发现威胁流量内容,范围。便于后续对该流量进行自动化溯源、分析以及阻断等操作。
附图说明
[0025]图1为本专利技术的人工智能学习模型图。
[0026]图2为本专利技术的交换机实时预警流程图。
具体实施方式
[0027]下面结合附图和具体实施方式对本专利技术作进一步详细的说明。
[0028]本实例主要由两部分构成,一部分为人工智能分析基础流量库,作为人工智能学习模型的基础,整个人工智能学习模型开始的基础如图1所示,在多年累积攻击流量特征库的基础上通过攻防专家、安全厂商等多年人力判断形成中i类具有攻击行为的流量,人工智能通过这些流量进行学习,逐步细化,将分得不够细的i类攻击流量再次细化,形成不同攻击流量的二分类器。
[0029]另一部分是将已经划分好的二分类器具体的使用,具体方法就是在交换机上引出镜像流量,通过分析镜像流量,把流量中的具体的特征值提取出来,这些特征值与二分类器相互比较,,如果唯一存在就证明该流量是这个二分类器对应的威胁情况,如果没有匹配到会将这些数据重新分配给人工智能学习模型继续学习,增加上这部分的二分类器;如果有多条数据同时匹配到同一个二分类器,证明该二分类器不是最小模型,需要对该流量重新学习直到出现最小单元的二分类器。这时候在不同的流量中都会匹配到唯一的二分类器,每个二分类器都代表了唯一的威胁内容;最终客户体验如图2所示的调用人工智能模型进行数据匹配,如果匹配到相应的二分类器,将这些流量内容和威胁情况进行预警。
[0030]其中,人工智能学习模型主要步骤,如图1所示,包括以下步骤:
[0031]基础训练样本数据是由多年攻防验证过程中积累下来的流量特征,并通过一定的
规则录入到流量特征库中,作为攻防对抗过程资产数据保留,同时还有一些专家、安全智库、安全厂家等提供的攻击流量;
[0032]通过上述步骤中的基础数据整理后,将这些攻击流量进行初步分类,并保存到相应的数据库中;
[0033]人工智能具体训练开始需要针对攻击类型的检测精度不同,选择不同的特征值组进行分类;
[0034]通过专家选取某种类型检测精度最高,最接近真实情况的一组数据,并用这组特征训练一个二分类器,以此类推,每个类型都有一个针对性的二分类器,将这些分类器组合起来用来检测若数据集共有类别i个,则通过特征值的选择和模型训练,形成i个二分类器。每个二分类器针对一种类别具有极高的识别率,若该分类器判定样本为该分类器针对的类别,则成为“命中”。对于每组数据,抽取对应的特征值后分别输入这i个分类器,通过并对观察会出现以下三大类情况:
[0035]其一,某一个分类器命中,其他分类器均未命中的情况。则该条流量样本就判定为命中的分类器针对的类别A,换一句话说就是该流量样本是一种已知攻击或者正常流量,并将该结果发送至API平台,供第三方平台调取使用。
[0036]其二,所有分类器均未命中的情况。则该流量样本可能为全新的类别,默认该样本是未知类别B;这种情况下,说明这条流量样本有可能是一种未知攻击,或者是已知攻击的新形式,默认为将已知攻击的新形式【攻击特征与已知攻击特征存在差异化】看作一种新的攻击。因此在这种情况下,所有的样本被归为统一类别,看作一种新型的攻击。当其样本量达到一定数量可用于训本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于人工智能的交换机流量威胁发现方法,其特征在于,所述方法的步骤为:S1,利用人工智能学习模型生成攻击流量;S2,对攻击流量进行初步分类;S3,进行模型训练形成针对不同攻击流量最小单元的二分类器;S4,利用交换机设置全流量转发镜像流量;S5,解析交换机的镜像流量并匹配到二分类器上进行流量威胁识别。2.根据权利要求1所述的基于人工智能的交换机流量威胁发现方法,其特征在于,所述S1中通过积累流量特征形成流量特征库,在流量特征库基础上结合专家、安全智库、安全厂家判断形成攻击流量。3.根据权利要求1所述的基于人工智能的交换机流量威胁发现方法,其特征在于,所述S2将S1中的攻击流量分成多个攻击流量类别,并且保存到储存攻击流量类别信息的数据库中。4.根据权利要求1所述的基于人工智能的交换机流量威胁发现方法,其特征在于,所述S3的模型训练过程包括以下步骤:S31,根据攻击流量类别设置训练样本集;S32,选择不同的特征值进行分类;S33,通过判断选取检测精度最高、最接近真实情况的一组数据,并用这组数据特征训练一个最小单元的二分类器。5.根据权利要求1所述的基于人工智能的交换机流量威胁发现方法,其特征在于,所述S3中需...
【专利技术属性】
技术研发人员:李忆平,董铖,白东鑫,李哲,朱琳,庞景秋,齐井春,
申请(专利权)人:长春嘉诚信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。