【技术实现步骤摘要】
本专利技术涉及网络安全的,具体为一种网络边界违规互联检测方法。
技术介绍
1、网络边界的违规互联检测是网络安全中的一个关键问题,面临着多种技术挑战,包括加密流量、apt攻击、跨界流量的复杂性、规避技术等。同时,其检测对确保网络的安全性具有重要意义,不仅可以防止外部攻击,还可以减少合规风险、防止内部滥用和数据泄露,提升网络防御的主动性和实时响应能力;
2、现阶段,针对网络边界的违规互联检测,面临以下难题:
3、传统的网络边界检测方法多依赖单一规则匹配或静态检测机制,在处理复杂、动态的网络环境时容易出现漏报或误报;
4、现有技术在检测过程中,通常缺乏自适应优化机制,无法根据实时监测结果调整检测模型和数据源构建策略,导致检测结果的准确性和效率降低,尤其是在面对大规模网络流量时,现有系统难以实现实时反馈和优化调整;
5、在现有的违规互联检测系统中,安全数据源和异常数据源的管理和更新机制往往缺乏自动化处理能力,容易导致检测系统使用过时的数据模型,从而降低检测效果。
技术实现思路
1、鉴于上述存在的问题,本专利技术提出了一种网络边界违规互联检测方法,能够有效解决上述
技术介绍
中提出的传统的网络边界检测方法多依赖单一规则匹配或静态检测机制的问题。
2、为解决上述技术问题,本专利技术提供如下技术方案:一种网络边界违规互联检测方法,包括以下步骤,
3、收集网络数据并利用孤立森林训练模型构建异常数据源,包括,
4、收集实
5、设置两层检测机制对收集的实时网络数据进行检测,根据检测构建异常数据源,还包括,
6、基于余弦相似度的基础层次检测以及基于孤立森林算法构建评分模型,并根据评分模型进行异常数据源的构建;
7、对通过安全数据源的网络数据进行实时监测,并对安全数据源进行优化反馈;
8、构建违规互联检测模型对异常数据源中的网络数据进行违规互联检测,包括,
9、由规则匹配算法构建的第一层检测以及由随机森林算法构建的第二层检测,具体为:
10、基于预定义规则对异常数据源中的数据进行规则匹配,检测是否触发网络边界的违规互联行为,以及利用随机森林算法构建违规互联自主检测模型,并根据模型的输出结果实现网络边界的违规互联检测。
11、作为本专利技术所述一种网络边界违规互联检测方法的一种优选方案,其中:所述基于余弦相似度的基础层次检测具体如下:
12、对于收集到的网络数据,同时从数据库中收集网络边界违规时的数据,并将二者构建为向量数据以及,通过对比二者之间的相似性,完成基础层次检测,具体如下:
13、余弦相似度检测,则有,
14、
15、其中,表示收集到的网络数据所构建的向量数据,表示从数据库提取的历史数据所构建的向量数据,、分别表示两向量的模长,表示收集到的网络数据与历史数据之间的相似性,用于筛选异常数据,具体筛选如下:
16、根据数据库中的历史数据,分别提取两次正常数据以及两次异常数据,同时计算正常数据的相似性以及异常数据的相似性,根据计算的相似性完成筛选,则有,
17、当收集到的网络数据与历史数据之间的相似性结果满足公式时,表示当前数据为正常数据,将当前数据标记为正常数据;
18、当收集到的网络数据与历史数据之间的相似性结果满足公式时,表示当前数据为异常数据,将当前数据标记为异常数据;
19、当收集到的网络数据与历史数据之间的相似性结果满足公式时,使当前数据进入深层次检测。
20、作为本专利技术所述一种网络边界违规互联检测方法的一种优选方案,其中:所述基于孤立森林算法构建评分模型具体如下:
21、
22、
23、
24、其中,表示数据点在评分模型中的长度,为根节点到当前数据点的长度,根节点为从历史数据中提取的异常数据构建,由实施人员根据实际应用场景自行设定,表示期望路径长度,用于针对不同数据点的异常性监测,表示当前时间窗口内数据点总数量,表示数据点在评分模型中的平均路径长度,表示当前时间窗口内异常数据点的总数量,表示数据点到随机异常数据点的距离,表示当前时间窗口内数据点的局部层评分,时间窗口为数据采集的时间范围段;
25、结合过去多个时间窗口内的数据,计算数据点在长期数据模式中的异常性,则有,
26、
27、其中,表示时间窗口的数量上限,表示时间窗口的索引,表示每个时间窗口的权重,由实施人员根据网络数据波动自行设定,表示结合过去多个时间窗口内的数据计算的数据点的综合评分;
28、根据计算的局部评分与综合评分,确定数据点在评分模型中的全局评分,则有,
29、
30、其中,表示自适应融合权重,由实施人员根据局部评分与综合评分对全局评分的影响程度自行设定,表示当前时间窗口内数据点的局部层评分,表示结合过去多个时间窗口内的数据计算的数据点的综合评分,表示评分模型对于通过基础层次检测的数据的评分,用于为构建异常数据源提供判断依据。
31、作为本专利技术所述一种网络边界违规互联检测方法的一种优选方案,其中:所述根据评分模型进行异常数据源的构建具体如下:
32、利用数据库中导致网络异常的数据,利用评分模型进行评分,并记录全局评分,通过将两组数据的全局评分的对比结果,完成异常数据源的构建,具体构建如下:
33、若当前时间窗口内的数据点对应的全局评分与历史异常数据对应的全局评分对比结果满足公式,表示当前窗口内的数据点与正常数据,并与基础层次检测到的正常数据组合,构建安全数据源;
34、若当前时间窗口内的数据点对应的全局评分与历史异常数据对应的全局评分对比结果满足公式,表示当前窗口内的数据点为异常数据,并与基础层次检测到的异常数据组合,构建异常数据源。
35、作为本专利技术所述一种网络边界违规互联检测方法的一种优选方案,其中:所述对安全数据源进行优化反馈具体如下:
36、对于通过深层次检测的确认的安全数据添加到安全数据源中,确保数据中的数据的安全性;
37、同时将检测到的新的异常数据更新至异常数据源中,用于后续的检测;
38、对于异常数据源的更新,若安全数据源中检测的异常数据量超过整体数据源的30%,则表示前文中数据源的构建过程异常,通过调整前文中自适应融合权重的数值,对数据源的构建进行优化,直到对安全数据源的网络数据检测过程中异常数据量低于整体数据源的30%为止。
39、作为本专利技术所述一种网络边界违规互联检测方法的一种优选方案,其中:所述基于预定义规则对异常数据源中的数据进行规则匹配具体如下:
40、根据从数据中提取的字段,制定验证规则,包括,白名单验证以及黑名单验证,则有,
41、所述白名单验证是由安全人员设本文档来自技高网...
【技术保护点】
1.一种网络边界违规互联检测方法,其特征在于:包括以下步骤,
2.如权利要求1所述的一种网络边界违规互联检测方法,其特征在于:所述基于余弦相似度的基础层次检测具体如下:
3.如权利要求2所述的一种网络边界违规互联检测方法,其特征在于:所述基于孤立森林算法构建评分模型具体如下:
4.如权利要求3所述的一种网络边界违规互联检测方法,其特征在于:所述根据评分模型进行异常数据源的构建具体如下:
5.如权利要求4所述的一种网络边界违规互联检测方法,其特征在于:所述对安全数据源进行优化反馈具体如下:
6.如权利要求5所述的一种网络边界违规互联检测方法,其特征在于:所述基于预定义规则对异常数据源中的数据进行规则匹配具体如下:
7.如权利要求6所述的一种网络边界违规互联检测方法,其特征在于:所述利用随机森林算法构建违规互联自主检测模型具体如下:
8.如权利要求7所述的网络边界违规互联检测方法,其特征在于,所述根据模型的输出结果实现网络边界的违规互联检测具体如下:
【技术特征摘要】
1.一种网络边界违规互联检测方法,其特征在于:包括以下步骤,
2.如权利要求1所述的一种网络边界违规互联检测方法,其特征在于:所述基于余弦相似度的基础层次检测具体如下:
3.如权利要求2所述的一种网络边界违规互联检测方法,其特征在于:所述基于孤立森林算法构建评分模型具体如下:
4.如权利要求3所述的一种网络边界违规互联检测方法,其特征在于:所述根据评分模型进行异常数据源的构建具体如下:
5.如权利要求4所述的一种网络边界...
【专利技术属性】
技术研发人员:陈宵,陈勇,张引贤,祝奔豪,刘黎军,温正腾,刘诗琦,夏邦泽,虞丰檑,
申请(专利权)人:国网浙江省电力有限公司舟山供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。