【技术实现步骤摘要】
本专利技术属于网络安全领域,涉及网络攻击检测技术,具体是一种基于深度学习的网络攻击检测系统及方法。
技术介绍
1、在数字化时代背景下,网络安全已成为企业稳定运营的核心要素。企业内部网络,作为信息交互的关键基础设施,面临着独特的安全需求和挑战。相较于公共网络,企业内部网络主要服务于特定的企业区域,其用户群体主要为企业员工和合作伙伴等授权人员,而公共网络则覆盖广泛,用户身份复杂且多样。在用途和数据类型上,企业内部网络主要支持企业业务流程,传输的数据多为敏感的商业信息,而公共网络则用途繁杂,数据类型多样,敏感程度相对较低。因此,企业内部网络对安全性的要求极高,任何安全漏洞都可能对企业造成严重后果。
2、网络攻击检测在企业内部网络中扮演着至关重要的角色,它不仅能够监控用户行为以发现内部异常操作,还能及时识别外部攻击。一方面,通过监控用户行为,企业能够及时发现内部威胁,如员工的疏忽或故意行为,例如离职员工窃取数据或在职员工因安全意识不足引发的风险等,都可能对网络安全构成威胁。另一方面,网络攻击检测能够通过网络相关数据及时发现外部攻击,如ddos攻击、网络钓鱼和恶意软件感染等,都会破坏企业的网络基础设施或窃取重要数据。网络攻击检测系统通过分析网络流量、识别异常模式和行为,以及监测潜在的威胁指标,能够为企业提供实时的警报和响应机制,从而减少安全事件的影响,有效阻止数据泄露。
3、然而,现有技术在企业内部网络攻击检测方面存在不足。误报率较高是一个突出问题,现有的检测工具如ids和ips多基于规则或特征识别攻击,容易将正常
技术实现思路
1、本专利技术旨在至少解决现有技术中存在的技术问题之一;为此,本专利技术提出了一种基于深度学习的网络攻击检测系统及方法,用于解决了现有网络攻击检测方法效率不高、精度不足的技术问题。
2、为实现上述目的,本专利技术的第一方面提供了一种基于深度学习的网络攻击检测系统,包括:
3、数据采集模块:用于采集并得到网络拓扑数据、网络流量数据、设备日志数据,以及在关键应用程序上设置数据埋点,得到若干用户的行为数据;
4、行为分析模块:用于利用用户行为模式库根据若干用户的行为数据得到异常操作设备;是,则将用户的终端设备标记为异常操作设备;否,则将用户的终端设备标记为正常操作设备;其中,用户行为模式库基于聚类算法构建;
5、攻击检测模块:用于获取所述若干异常操作设备的网络流量数据和设备日志数据并输入网络攻击检测模型,判断所述若干异常操作设备的网络是否正常;是,则将异常操作设备标记为网络攻击节点;否,则将异常操作设备标记为正常节点;其中,所述网络攻击检测模型基于深度学习算法构建;
6、应急处理模块:用于根据网络拓扑数据建立网络拓扑模型,利用网络拓扑模型分析若干网络攻击节点的影响范围,得到若干影响节点,并将网络攻击节点和若干影响节点进行隔离。
7、基于上述技术模块,实现了对企业局部网络的安全防护与攻击检测管理。通过数据采集模块收集了丰富、多样的网络相关数据,为后续的精准分析奠定基础;行为分析模块利用聚类算法构建用户行为模式库,并通过对比数据采集模块采集的当前行为与模式库,识别异常行为,发现企业内部威胁操作或恶意用户行为;攻击检测模块采用深度学习算法建立检测模型,对异常设备进行网络攻击检测,判断异常操作设备是否受到网络攻击,快速定位攻击源,降低损失;最后通过应急处理模块构建网络拓扑模型,计算攻击节点的影响范围并隔离,有效控制攻击扩散,保障网络关键部分稳定运行。
8、进一步地,所述在关键应用程序上设置数据埋点,包括:
9、a1,收集若干应用程序在预设时间段内的cpu占用率、内存占用率、磁盘读写频率、磁盘读写数据量、网络流量、网络连接数、用户访问次数以及用户角色,得到若干评估指标数据;
10、a2,利用层次分析法根据若干评估指标数据计算若干应用程序的综合得分,得到若干综合得分;
11、a3,筛选出若干综合得分中超过预设阈值的对应应用程序,得到关键应用程序;
12、a4,在关键应用程序上设置数据埋点,记录操作用户、操作时间、操作类型和操作对象,得到若干行为数据。
13、通过收集多维度评估指标数据、运用层次分析法计算综合得分并筛选出关键应用程序,能够精准地确定对网络安全和业务运营至关重要的应用程序,避免了在大量应用程序中盲目进行数据采集和安全监测,可将有限的资源集中投入到关键之处,提高网络安全防护工作的针对性和资源利用效率。
14、进一步地,所述利用层次分析法根据若干评估指标数据计算若干应用程序的综合得分,包括:
15、a21,对若干评估指标之间的相对重要性进行评估,得到aij,并根据aij构建准则层判断矩阵a;其中,aij表示第i个评估指标相对于第j个评估指标的重要性程度,且aii=1,aji=1/aij,相对重要性矩阵的大小为n×n,n表示评估指标的个数;
16、a22,对若干应用程序在若干评估指标下两两之间的相对重要性进行评估,得到bi_pq,并根据bi_pq构建若干方案层判断矩阵bi;其中,bi表示第i个评估指标的方案层判断矩阵,bi_pq表示在第i个评估指标下,第p个应用程序相对于第q个应用程序的重要性程度,且bi_pp=1,bi_qp=1/bi_pq,判断矩阵的大小为m×m,m表示应用程序的个数;
17、a23,利用方根法计算得到a的权重向量,并对a进行一致性检验,判断一致性比率是否小于预设阈值;是,则得到权重向量w;否,则跳转至a21;其中,w=(w1,w2,w3,...,wn);
18、a24,利用方根法计算得到bi的权重向量,并对bi进行一致性检验,判断一致性比率是否小于预设阈值;是,则得到权重向量wb;否,则跳转至a22;其中,wb={(w11,w12,...,w1m),(w21,w22,...,w2m),...,(wn1,wn2,...,wnm)};
19、a25,根据公式rp=w1×w1p+w2×w2p+…+wn×wnp计算得到第p个应用程序的综合得分,并遍历若干应用程序,得到若干综合得分。
20、由于层次分析法能够根据不同的评估指标和应用程序特点进行灵活构建和计算,所以该方法可以很好地适应不同企业网络环境、业务类型以及网络安全策略的需求。无论是侧重于数据处理的企业,还是以网络服务为主的企业,都可以依据自身的关注点和需求调整评估指标及其相对重要性,从而得到符合自身实际情况的关键应用程序筛选结果。并且基于层次分析法的方法充分考虑了各种复杂的因素及其相互关系,减少了主观随意性对评估结果的影响,使得最终得到的应用程序综合得分能够真实、准确地反映其在网络安全和业务运营中的实际重要性程度。
21、进一步地,本文档来自技高网...
【技术保护点】
1.一种基于深度学习的网络攻击检测系统,其特征在于,包括:
2.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述在关键应用程序上设置数据埋点,包括:
3.根据权利要求2所述的基于深度学习的网络攻击检测系统,其特征在于,所述利用层次分析法根据若干评估指标数据计算若干应用程序的综合得分,包括:
4.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述用户行为模式库基于聚类算法构建,包括:
5.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述利用用户行为模式库根据若干用户的行为数据得到若干异常操作设备,包括:
6.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述网络攻击检测模型基于深度学习算法构建,包括:
7.根据权利要求6所述的基于深度学习的网络攻击检测系统,其特征在于,所述基于预处理数据得到时间序列数据,包括:
8.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述利用网络拓扑模型分析若干网络攻击节点的影响
9.根据权利要求8所述的一种基于深度学习的网络攻击检测系统,其特征在于,所述权重分配公式为:Wuv=(Fuv×Suv×Huv)/[√∑(Fuk×Suk×Huk+∈)^2];其中,求和范围为与节点i相邻的所有节点k,∈表示修正常数;
10.一种基于深度学习的网络攻击检测方法,应用于权利要求1-9中任一项所述的基于深度学习的网络攻击检测系统,其特征在于,包括:
...【技术特征摘要】
1.一种基于深度学习的网络攻击检测系统,其特征在于,包括:
2.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述在关键应用程序上设置数据埋点,包括:
3.根据权利要求2所述的基于深度学习的网络攻击检测系统,其特征在于,所述利用层次分析法根据若干评估指标数据计算若干应用程序的综合得分,包括:
4.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述用户行为模式库基于聚类算法构建,包括:
5.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所述利用用户行为模式库根据若干用户的行为数据得到若干异常操作设备,包括:
6.根据权利要求1所述的基于深度学习的网络攻击检测系统,其特征在于,所...
【专利技术属性】
技术研发人员:李明君,孟庆岩,陈虹洁,路静,李艳,
申请(专利权)人:烟台黄金职业学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。