【技术实现步骤摘要】
本专利技术涉及数据监控,具体为一种网络安全信息数据的实时分析监控方法。
技术介绍
1、在现代社会,信息技术的飞速发展使网络成为社会经济和日常生活的基础设施。然而,随着网络技术的普及,网络安全问题也日益严重。为了应对这些挑战,网络安全防护技术不断进步,从传统的防火墙和防病毒软件,到现代的入侵检测系统、入侵防御系统和安全信息和事件管理系统等。这些技术通过监控网络流量、分析系统日志和检测异常行为来帮助防御和检测各种网络威胁。在这些防护措施中,日志数据扮演了关键角色。
2、日志数据记录了网络设备、服务器和应用程序的各类活动,是网络安全分析的基础。通过对日志数据的分析,安全专家可以识别潜在威胁、追踪攻击路径、审计安全事件和进行事后取证。在现代网络环境中,高并发威胁对网站和网络资源造成了严重威胁。高并发威胁不仅包括爬虫行为,还涉及分布式拒绝服务(ddos)攻击、暴力破解和其他自动化攻击。这些攻击可以窃取敏感数据、消耗带宽资源,甚至导致服务器过载,影响正常用户的访问。
3、在现有的研究中,一项公开号为cn118200190b的中国专利公开了一种基于人工智能的网络性能监控与维护方法、系统及介质。具体步骤包括:获取网络运行监测数据,并基于此数据处理生成网络资源分配需求数据,再生成网络资源分配策略数据。依据该策略进行网络资源分配,并获取运行性能指标监测数据,进而计算网络资源分配性能评估指数。同时,获取服务器运行日志数据,通过结合网络资源分配性能评估指数和服务器日志数据,计算服务器负载均衡性能评估指数。对资源分配后的网络进行攻
4、一项公开号为cn112419130b的中国专利公开了基于一种网络安全监控和数据分析的应急响应系统及方法,其中,数据采集模块负责收集待监控系统的状态信息和用户信息,数据管理模块对收集的数据进行分类、处理并存储。检查模块定期检查这些数据,分析模块对检查结果进行分析,判断服务、软件和安全策略的启用情况是否达到预设阈值。策略管理模块基于分析结果制定或更新网络准入策略和监控策略。监控模块结合这些策略对系统进行实时监控,生成或更新对应的监控模型。响应模块在发现异常时,发出警报并根据预设响应策略进行自动处理,生成异常报告,并通过学习管理人员的操作数据,优化响应策略模型,以便在类似异常再次发生时能够直接处理。
5、还有一项公开号为cn116933283a的中国专利公开了一种机器学习的大数据安全基线的监控方法及系统。该方法首先获取数据平台的原始数据,包括日志数据、用户行为数据和网络流量数据,并生成相应的特征向量。然后,通过机器学习算法对这些特征向量进行训练,构建安全基线模型。系统还会获取平台的访问数据,并根据安全基线模型确定访问数据中的异常值,从而制定相应的安全防护策略。此过程包括对原始数据的预处理、特征提取以及利用分类和回归方法生成安全基线模型,并在获取更新后的数据时对模型进行调整。根据访问数据的异常值,系统确定是否需要采取安全防护措施,并基于异常值属性与安全策略的映射关系,制定防护策略。
6、然而,在上述现有技术中,当面对多样化的实时日志数据,现有方法的适应性较差,实时监测的精度仍有待提高。
7、为此,提出一种网络安全信息数据的实时分析监控方法。
技术实现思路
1、本专利技术的目的在于提供一种网络安全信息数据的实时分析监控方法,该方法首先通过获取多模态历史日志数据集并训练高并发行为识别模型,以识别潜在的高并发行为。接着,实时获取网络流量日志、服务器运行日志和应用程序日志,并整合成第一集成数据。通过按ip地址整合第一集成数据,形成第一多模态实时数据集。作为另一种数据整合方式,提取第一集成数据中每个请求的设备指纹和行为特征信息,再结合这些信息生成第二多模态实时数据集。将这两个实时数据集分别输入高并发行为识别模型,得出高并发行为识别结果。如果识别到高并发行为,则进行预警,并对两个数据集进行恶意识别,得到恶意识别结果。如果未识别到高并发行为,则先进行高并发预测,再重新获取实时日志数据并进行高并发行为识别。最终,根据高并发行为识别结果、恶意识别结果和高并发预测结果生成防御策略,包括网络配置实时调整、防火墙规则实时调整、限制攻击源ip、动态分配计算资源和动态分配带宽资源。通过该方法的实施,可以提高网络安全威胁的监测精度。
2、为实现上述目的,本专利技术提供如下技术方案:
3、一种网络安全信息数据的实时分析监控方法,包括:
4、s1、获取多模态历史日志数据集,根据所述多模态历史日志数据集训练高并发行为识别模型,用于识别发生的高并发行为;
5、s2、获取实时网络流量日志、实时服务器运行日志和实时应用程序日志,得到第一集成数据;
6、s3、将所述第一集成数据按ip地址整合,得到第一多模态实时数据集;提取所述第一集成数据中每个请求的设备指纹信息和行为特征信息;结合所述设备指纹信息和所述行为特征信息,对所述第一集成数据进行整合,得到第二多模态实时数据集;
7、s4、将所述第一多模态实时数据集和所述第二多模态实时数据集分别输入所述高并发行为识别模型,得到高并发行为识别结果;
8、s5、若所述高并发行为识别结果为是,进行预警;根据所述高并发行为识别结果分别对所述第一多模态实时数据集和所述第二多模态实时数据集进行恶意识别,得到恶意识别结果,执行s7步骤;若所述高并发行为识别结果为否,先执行s6步骤,然后重复所述s2至所述s4步骤;
9、s6、分别对所述第一多模态实时数据集和所述第二多模态实时数据集进行预测,得到高并发预测结果;
10、s7、根据所述高并发行为识别结果、所述恶意识别结果和所述高并发预测结果生成相应的防御策略。
11、进一步地,所述多模态历史日志数据集具体为:获取历史网络流量日志、历史服务器运行日志和历史应用程序日志,集成后得到所述多模态历史日志数据集。
12、进一步地,将所述第一集成数据按ip地址整合,得到所述第一多模态实时数据集包括:
13、根据预定义的日志模板,对所述实时网络流量日志、所述实时服务器运行日志和所述实时应用程序日志进行模板匹配,得到第一模板日志数据和第一非模板日志数据;对于所述第一模板日志数据,直接进行解析和特征提取,得到第二模板日志数据;对于所述第一非模板日志数据,采用自适应解析方法,动态调整模板或使用自然语言处理技术进行分析,得到第二非模板日志数据;将所述第二模板日志数据和所述第二非模板日志数据按ip地址进行整合,形成所述第一多模态实时数据集。
14、进一步地,提取所述第一集成数据中每个请求的所述设备指纹信息和所述行为特征信息;结合本文档来自技高网...
【技术保护点】
1.一种网络安全信息数据的实时分析监控方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述多模态历史日志数据集具体为:获取历史网络流量日志、历史服务器运行日志和历史应用程序日志,集成后得到所述多模态历史日志数据集。
3.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,将所述第一集成数据按IP地址整合,得到所述第一多模态实时数据集包括:
4.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,提取所述第一集成数据中每个请求的所述设备指纹信息和所述行为特征信息;结合所述设备指纹信息和所述行为特征信息,对所述第一集成数据进行整合包括:
5.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述高并发行为识别模型包括:
6.根据权利要求5所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述预定义规则包括:请求频率规则、数据包大小规则、连接持续时间规则、访问路径规则、错误率规则、用户代理规则、地理位置规
7.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,得到所述恶意识别结果之后执行所述S6步骤之前还包括:若所述恶意识别结果为是,进行预警。
8.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,根据所述高并发行为识别结果分别对所述第一多模态实时数据集和所述第二多模态实时数据集进行恶意识别包括:
9.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,分别对所述第一多模态实时数据集和所述第二多模态实时数据集进行预测包括:
10.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述防御策略包括:网络配置实时调整、防火墙规则实时调整、限制攻击源IP、动态分配计算资源和动态分配带宽资源。
...【技术特征摘要】
1.一种网络安全信息数据的实时分析监控方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述多模态历史日志数据集具体为:获取历史网络流量日志、历史服务器运行日志和历史应用程序日志,集成后得到所述多模态历史日志数据集。
3.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,将所述第一集成数据按ip地址整合,得到所述第一多模态实时数据集包括:
4.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,提取所述第一集成数据中每个请求的所述设备指纹信息和所述行为特征信息;结合所述设备指纹信息和所述行为特征信息,对所述第一集成数据进行整合包括:
5.根据权利要求1所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述高并发行为识别模型包括:
6.根据权利要求5所述的一种网络安全信息数据的实时分析监控方法,其特征在于,所述预...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。