【技术实现步骤摘要】
一种基于网络运行安全的计算机系统检测方法
[0001]本专利技术涉及计算机安全领域,尤其是一种基于网络运行安全的计算机系统检测方法。
技术介绍
[0002]本专利技术的目的就在于为了解决上述提出的问题,而提出一种计算机网络运行安全入侵检测系统,将计算机网络与对应用户进行特征轮廓搭建,提高计算机网络的运行效率以及对应用户的使用质量,同时根据搭建的特征轮廓有利于提高安全入侵检测的准确性,间接保护用户的数据同时降低计算机网络的故障风险;将计算机网络内安全参考阈值进行设定控制,防止阈值过大导致漏警率增加,同时防止阈值过小导致虚警率过高,准确的控制安全参考阈值有利于提高计算机网络的安全检测力度,增强计算机网络的工作效率;通过计算机网络入侵模拟判断计算机网络内各个部位异常运行时影响的参数,从而提高网络入侵的检测力度,同时能够加强网络入侵后的维护进度。随着对信息安全的需求越来越高,网络运行安全技术的发展得到了广泛的关注。为了防止攻击者或者黑客的攻击,现有技术中采用了蜜罐技术。其中,蜜罐技术是一种对攻击者进行欺骗的技术,例如,通过布置一些作为诱饵的网络服务或信息,诱使攻击者对它们实施攻击,从而对攻击行为进行捕获和分析,以便于对攻击者进行追踪和标记等。各种网络攻击和威胁层出不穷,传统的安全防御手段已经无法满足现代网络的需求;时间序列的异常点是用户(或系统)产生的不符合预期时间序列行为模式的数据。检测和发现时间序列的异常点,可以辅助用户(或系统)有效的发现DDOS攻击、部分数据泄露等未知威胁,提供有效的决策支持,能够更准确地识别网络威胁...
【技术保护点】
【技术特征摘要】
1.一种基于网络运行安全的计算机系统检测方法,其特征在于,包括服务器,其服务器连接有特征轮廓搭建单元,用于将计算机网络与对应用户进行特征轮廓搭建,获取到计算机的网络特征轮廓和用户特征轮廓,且在计算机网络内网络特征轮廓与各个用户的用户特征轮廓均适配,且网络特征轮廓针对不同的用户特征轮廓,其网络特征轮廓不相同;还包括:特征提取和威胁检测两个阶段,并且在威胁检测阶段引入了时间因子,以提高威胁检测的准确性;本算法根据探针上送到神探服务器平台的周期同步类流量统计数据,面向SYN、HTTP、UDP和ICMP洪水攻击进行时间序列建模和异常检测,本算法运行于神探系统的算法集群模块;参考阈值设定控制单元,用于将计算机网络内安全参考阈值进行设定控制,将各个用户对应用户特征轮廓与对应网络特征轮廓完成搭建后,将匹配合格的用户特征轮廓和网络特征轮廓形成运行闭环,将运行闭环进行分析并生成阈值重设定信号和阈值满足信号,并将发送至服务器;试入侵预警分析单元,用于将当前计算机网络进行入侵模拟,通过计算机网络入侵模拟判断计算机网络内各个部位异常运行时影响的参数,通过分析生成网络运行安全策略、入侵标签以及实时入侵类型,并将其发送至服务器;实时入侵检测单元,用于将实时运行的计算机网络进行实时入侵检测,通过分析将网络运行参数进行维护和预警;在目标攻击设备对目标虚拟应用程序进行攻击的过程中,检测该目标攻击设备是否识别出该目标虚拟应用程序运行于虚拟计算机,其中,该目标虚拟应用程序基于模拟目标应用程序的业务逻辑生成;若检测到目标攻击设备识别出所述目标虚拟应用程序运行于虚拟计算机,则从第一目标数据库中获取目标历史数据,其中,该目标历史数据在每一次判定该目标虚拟应用程序被识别出运行于虚拟计算机时生成;基于目标历史数据,确定目标虚拟应用程序在下一次被攻击时是否会被识别出运行于虚拟计算机;若确定目标虚拟应用程序会被识别出运行于虚拟计算机,则通过目标物理计算机运行该目标虚拟应用程序,其中,该目标物理计算机为网络运行安全防护平台或与该网络运行安全防护平台关联的其它网络设备;在计算机网络与用户进行通讯连接时,将其通讯过程进行分析,根据用户登录至计算机网络的执行操作进行分析,若用户对应执行操作频率超过执行频率阈值,则将对应执行操作标记为计入执行;若用户对应执行操作频率未超过执行频率阈值,则将对应执行操作标记为非计入执行;将通讯过程中用户的计入执行以执行顺序汇总,构建用户特征轮廓,并采集到用户特征轮廓内计入执行的执行特征,执行特征表示为用户登录至计算机网络后对应执行操作的频率、耗时;用户特征轮廓表示为用户对应计入执行通过执行顺序组合后的浏览流程,且包括各个计入执行的执行特征;根据对应用户特征轮廓执行时,计算机网络内响应操作进行分析,若计算机网络内响应操作的出现概率超过概率阈值,则将对应响应操作标记为计入响应;若计算机网络内响应操作的出现概率未超过概率阈值,则将对应响应操作标记为非计入响应;根据用户特征轮廓顺序,将计算机网络对应的计入响应进行排序,并将对应顺序的计入响应的响应特征进行采集,在响应特征完成采集后构建网络特征轮廓,响应特征表示为计算机网络针对用户执行操作的响应时长、通过率;本算法还可以分解为时间序列线性回归建模、时间序列RCF建模和时间序列检测三个模块。2.根据权利要求1所述基于网络运行安全的计算机系统检测方法,其特征在于:检测所
述目标攻击设备是否停止对所述目标虚拟应用程序进行攻击;若检测到所述目标攻击设备已经停止对所述目标虚拟应用程序进行攻击,则获取该目标攻击设备的目标攻击行为数据,其中,该目标攻击行为数据基于该目标攻击设备对该目标虚拟应用程序的全部网络攻击行为产生;通过第一目标线程对所述目标攻击行为数据进行解析处理,得到第一解析结果,其中,该第一解析结果包括所述目标攻击设备对所述目标虚拟应用程序进行的网络攻击行为的至少一个目标攻击行为类型信息;通过第二目标线程基于第一个所述目标攻击行为类型信息生成攻击事件请求信息,并基于该攻击事件请求信息在第二目标数据库中查找到至少一个目标攻击事件信息,其中,每一个所述目标攻击事件信息对应的攻击事件至少基于该第一个目标攻击行为类型信息对应的网络攻击行为构成,且该第二目标数据库中包括多个攻击事件信息,每一个所述攻击事件信息对应的攻击事件至少基于一个网络攻击行为构成;针对每一个所述目标攻击事件信息,获取构成该目标攻击事件信息对应的攻击事件的全部网络攻击行为对应的全部攻击行为类型信息,形成该目标攻击事件信息对应的攻击行为类型信息集合;确定每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间的关系;若每一个所述攻击行为类型信息集合包括的全部攻击行为类型信息与所述目标攻击行为类型信息之间都属于第一目标关系,则在所述网络运行安全防护平台的目标缓存中查找历史攻击数据,其中,该第一目标关系为所述攻击行为类型信息集合包括的全部攻击行为类型信息属于多个所述目标攻击行为类型信息中的部分,且该历史攻击数据基于历史上所述目标攻击设备或其它设备对所述目标虚拟应用程序进行的网络攻击行为产生;根据硬件设备和网络设备的模拟故障设置故障时间段,采集到故障时间段内实时网络运行参数对应数值浮动时刻以及对应数值浮动频率,将对应数值浮动频率超过浮动频率阈值的实时网络运行参数类型设置入侵标签,并将对应入侵标签与实时入侵类型进行绑定,并将其发送至服务器;将带有入侵标签的实时网络运行参数标记为影响参数,根据影响参数对计算机网络的合格参数进行筛分,将完成筛分后的合格参数标记为网络运行安全策略,并将网络运行安全策略发送至服务器;网络运行安全策略表示为网络运行参数的合格阈值范围。3.根据权利要求1所述基于网络运行安全的计算机系统检测方法,其特征在于:所述特征提取阶段采用机器学习算法对数据进行特征提取;所述时间序列线性回归建模的步骤如下:(一)通过接口(1)将SparkStreaming每5分钟取出的一批Netflow,先针对DestIP为内网资产为条件过滤,再以DstIP为条件进行groupby,针对groupby对象sum其上行SYN/SYNACK、HTTP上行报文Bytes,UDP上行报文Bytes和ICMP上行报文Bytes,并取本批Netflow中最晚的结束时间根据5分钟取整后作为时间戳;(二)将处理流程1中得到的统计值及时间戳,以资产索引和时间戳构造二级字典,通过接口(2)累计到Redis中,并删除资产时间戳超过24小时的统计值...
【专利技术属性】
技术研发人员:崔晓叶,顾爱萍,刘佳,
申请(专利权)人:南京华熹科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。