本发明专利技术属于网络安全技术领域,具体涉及一种网络安全智能决策体方法及系统,通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征;AI智能决策体基于分析体的输出,评估多种可能的防护策略的价值,选择最优策略;执行体根据AI智能决策体选定的策略,执行相应的响应动作。本方法引入了自动化和智能化元素,旨在全面优化事件响应流程。通过构建一个“指挥+AI智能决策+执行”的架构层次,能够自动分析网络中的日志、流量或告警信息,识别攻击行为特征,并基于这些信息评估多种可能的防护策略的价值,最终选择最优策略。这种方法不仅可以显著提升响应速度,还能确保决策的准确性和合理性,从而有效提高了网络安全防护的整体效能。
1、随着互联网的迅猛发展,网络安全问题变得愈发严峻。传统上,企业与组织依赖防火墙、入侵检测系统(ids)、防病毒软件等手段来保护其网络环境免受外部攻击和内部威胁的影响。然而,面对不断演化的复杂网络攻击模式,如零日攻击、高级持续性威胁(advancedpersistentthreats,apt)等,这些传统的防护措施逐渐暴露出局限性。
2、现有的网络安全防护体系主要依赖于预先定义规则集的静态防御机制。例如,防火墙通过设定访问控制列表(acl)来阻止未授权的网络流量;入侵检测系统利用签名匹配算法识别已知攻击模式;而防病毒软件则依靠定期更新病毒特征库来检测恶意软件。尽管上述方法在一定程度上能够抵御常规性的安全威胁,但它们对于未知或变异形式的攻击往往显得力不从心。特别是当遇到新型攻击时,传统方法通常需要人工介入进行配置调整或策略更新,这不仅增加了响应时间,而且容易因为人为因素导致误判或漏报。
3、此外,在事件响应方面,安全团队每天面临海量的告警信息,必须从中筛选出真正高危级别的告警并迅速做出反应。这一过程高度依赖安全分析师的专业知识和个人经验,但由于网络环境日益复杂,使得手动处理的方式难以保证响应效率和准确性,从而影响到整个事件响应流程的有效性。
4、综上所述,当前存在的关键技术问题是:如何在复杂的网络环境中实现快速且精准的安全决策,以应对新型和未知的网络攻击,同时减少对人力的依赖,并提高事件响应的速度与质量。
/>技术实现思路
1、本专利技术的目的在于提供一种网络安全智能决策体方法,不仅可以显著提升响应速度,还能确保决策的准确性和合理性,从而有效提高了网络安全防护的整体效能,以解决上述
技术介绍
中提出的问题。
2、为实现上述目的,本专利技术一方面提供了一种网络安全智能决策体方法,包括:
3、通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征;ai智能决策体基于分析体的输出,评估多种可能的防护策略的价值,选择最优策略;执行体根据ai智能决策体选定的策略,执行相应的响应动作。
4、优选的,所述通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征,包括:
5、使用机器学习算法和关联分析技术进行攻击理解与溯源,构建攻击链模型;
6、构建攻击预测模型,通过变分自编码器对历史攻击数据x进行编码得到隐变量z的分布参数:均值和标准差,并利用重参数化技巧从标准正态分布n(0,1)中采样ε来间接地从中采样z;
7、解码器将隐变量z映射回原始数据空间,同时预测下一次攻击的属性y,采用最大化证据下界elbo优化模型参数θ和φ,并结合预测误差构成最终损失函数l。
8、优选的,所述攻击预测模型为:
9、编码器输出隐变量z的分布参数如下:
10、;
11、重参数化过程如下:
12、~n(0,1);
13、解码器重构输入数据并预测下一次攻击的属性如下:
14、;
15、式中,是解码器的参数,和在给定的条件下是条件独立的,是编码器的参数,和是通过神经网络计算得到的。
16、优选的,所述ai智能决策体使用基于价值的决策模型,包括:
17、准则评估:一个价值函数),量化动作在准则下的价值;
18、综合价值计算:对于每个动作,计算综合价值),考虑多个准则及其权重;
19、最优动作选择:选择综合价值最高的动作作为最优决策。
20、优选的,所述综合价值计算模型具体为:
21、;
22、其中,m是准则的数量,是准则的权重,它反映了该准则在决策中的相对重要性,所有权重的和等于1。
23、优选的,所述最优动作选择具体为:
24、,其中a表示备选动作集,表示最优动作,argmax用于找出使综合价值函数达到最大值的动作;表示动作是备选动作集a中的一个元素。
25、优选的,所述方法还包括:
26、数据准备:收集采取的动作以及动作后的结果;
27、经验回放:存储数据到经验回放缓冲区;
28、应用策略梯度损失算法和价值网络损失算法更新模型参数。
29、优选的,所述策略梯度损失算法为:
30、;
31、其中,:用于衡量策略网络的性能;:期望操作符;:表示状态是从策略下的状态分布是一个由策略决定的状态分布;:表示动作是从参数为的策略网络中采样得到的,是一个以状态为输入,输出动作概率分布的函数;:策略网络在状态下选择动作的概率;:策略网络在状态下选择动作的概率的对数;:优势函数,用于衡量在状态下采取动作相对于平均水平的优势。
32、优选的,所述价值网络损失算法为:
33、;
34、:价值网络损失算法,用于衡量价值网络的性能;:期望操作符,表示对随机变量取期望;:表示状态s、动作a、即时奖励r和下一状态s'是从经验回放缓冲区d中采样得到的,d是一个存储了智能体与环境交互历史的数据集,用于训练价值网络;:价值网络在状态s下的输出,表示对状态s价值的估计;:目标价值;:折扣因子,一个介于0和1之间的数。
35、另一方面,本专利技术提出一种网络安全智能决策体系统,包括:
36、分析模块,用于执行通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征;
37、决策模块,用于通过ai智能决策体基于所述攻击行为特征,从多种防护策略中选择最优策略;
38、执行模块,用于通过执行体根据所述最优策略,执行与所述最优策略对应的响应动作。
39、本专利技术的技术效果和优点:本专利技术提出的一种网络安全智能决策体方法,与现有技术相比,具有以下优点:
40、本方法引入了自动化和智能化元素,旨在全面优化事件响应流程。通过构建一个“指挥+ai智能决策+执行”的架构层次,本专利技术能够自动分析网络中的日志、流量或告警信息,识别攻击行为特征,并基于这些信息评估多种可能的防护策略的价值,最终选择最优策略。执行体根据选定的策略自动执行相应的响应动作,无需大量的人工干预。这种方法不仅可以显著提升响应速度,还能确保决策的准确性和合理性,从而有效提高了网络安全防护的整体效能。
本文档来自技高网...
【技术保护点】
1.一种网络安全智能决策体方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全智能决策体方法,其特征在于,所述通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征,包括:
3.根据权利要求2所述的一种网络安全智能决策体方法,其特征在于,所述构建攻击预测模型,包括:
4.根据权利要求3所述的一种网络安全智能决策体方法,其特征在于,所述AI智能决策体是使用基于价值的决策模型,包括:
5.根据权利要求4所述的一种网络安全智能决策体方法,其特征在于,所述综合价值计算模型,包括:
6.根据权利要求5所述的一种网络安全智能决策体方法,其特征在于,所述选择综合价值最高的动作作为最优决策,包括:
7.根据权利要求6所述的一种网络安全智能决策体方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的一种网络安全智能决策体方法,其特征在于,所述策略梯度损失算法为:
9.根据权利要求8所述的一种网络安全智能决策体方法,其特征在于,所述价值网络损失算法为:
10.一种实现如权利要求1至9中任一项所述方法的网络安全智能决策体系统,其特征在于,包括:
...
【技术特征摘要】
1.一种网络安全智能决策体方法,其特征在于,包括:
2.根据权利要求1所述的一种网络安全智能决策体方法,其特征在于,所述通过分析体接收并分析网络中的日志、流量或告警信息,输出攻击行为特征,包括:
3.根据权利要求2所述的一种网络安全智能决策体方法,其特征在于,所述构建攻击预测模型,包括:
4.根据权利要求3所述的一种网络安全智能决策体方法,其特征在于,所述ai智能决策体是使用基于价值的决策模型,包括:
5.根据权利要求4所述的一种网络安全智能决策体方法,其特征在于,所述综合价值计算模...
【专利技术属性】
技术研发人员:郑伟,袁胜,
申请(专利权)人:卓望数码技术深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。