一种业务数据网络安全分析的方法及系统技术方案

本发明专利技术提供一种业务数据网络安全分析的方法及系统，解决现有的网络攻击检测分析平台多为单纯检测出网络攻击，不能根据指定业务或指定用户，有针对性地检测网络攻击的问题，可针对指定的业务或用户检测攻击和攻击溯源，并加入了模型训练功能，使得检测效果更好。

【技术实现步骤摘要】
一种业务数据网络安全分析的方法及系统
本申请涉及网络安全
，尤其涉及一种业务数据网络安全分析的方法及系统。
技术介绍
现有的网络攻击检测分析平台多为单纯检测出网络攻击，不能根据指定业务或指定用户，有针对性地检测网络攻击，给出针对性的防御策略，使得用户无法有效地利用检测结果。因此，急需一种针对性的网络安全分析方法及系统。
技术实现思路
本专利技术的目的在于提供一种业务数据网络安全分析的方法及系统，解决现有的网络攻击检测分析平台多为单纯检测出网络攻击，不能根据指定业务或指定用户，有针对性地检测网络攻击的问题，可针对指定的业务或用户检测攻击和攻击溯源，并加入了模型训练功能，使得检测效果更好。第一方面，本申请提供一种业务数据网络安全分析方法，所述方法包括：接收一个或一个以上的数据源提交的网络信息，每一个数据源的网络信息携带有若干种业务的相关数据，解析所述网络信息中的字段信息，从所述字段信息中提取出业务标识，以及与业务标识对应的用户标识，将业务标识相同的数据聚合，将用户标识相同的数据聚合；所述聚合得到的数据为指定业务、或指定用户的数据，是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合；根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取聚合后数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；根据检测规则确定模拟攻击的类型，根据检测参数确定若干种模拟攻击的复合度，构建模拟攻击模型，所述模拟攻击模型包括由检测规则确定的若干种攻击，将所述若干种攻击按照检测参数的要求进行不同权重的复合，训练所述模拟攻击模型；将所述模拟攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；如果判别结果为真时，判别器将相似度信息反馈给生成器；如果判别结果为假时，判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器，所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度，再次生成新的输出流量；直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时，所述模拟攻击模型训练结束，将所述模拟攻击模型接入机器学习模型，更新所述机器学习模型的样本库；当检测出所述多维度检测样本中包括攻击向量时，将对应聚合后的数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的网络节点或终端标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；其中，所述分析若干个异常数据片段之间是否存在逻辑关联包括：分析数据片段所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析数据片段所属用户是否相同、或用户之间是否存在关系链；根据所述前后关联关系、途径点，将所述途径点标记在地图化的网络节点架构图上，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图。结合第一方面，在第一方面第一种可能的实现方式中，所述将对应聚合后的数据拆分为若干个数据片段，可根据业务类型、访问动作确定拆分的长度。结合第一方面，在第一方面第二种可能的实现方式中，所述若干种攻击的复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征。结合第一方面，在第一方面第三种可能的实现方式中，所述形成攻击溯源图后还包括：得出针对不同业务或不同用户的风险评估、防御策略，指导管理员针对业务或用户进行针对性的风险消除。第二方面，本申请提供一种业务数据网络安全分析系统，所述系统包括：预处理单元、检测单元、模型训练单元和溯源单元；所述预处理单元，用于接收一个或一个以上的数据源提交的网络信息，每一个数据源的网络信息携带有若干种业务的相关数据，解析所述网络信息中的字段信息，从所述字段信息中提取出业务标识，以及与业务标识对应的用户标识，将业务标识相同的数据聚合，将用户标识相同的数据聚合；所述聚合得到的数据为指定业务、或指定用户的数据，是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合；所述检测单元，用于根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取聚合后数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；所述模型训练单元，用于根据检测规则确定模拟攻击的类型，根据检测参数确定若干种模拟攻击的复合度，构建模拟攻击模型，所述模拟攻击模型包括由检测规则确定的若干种攻击，将所述若干种攻击按照检测参数的要求进行不同权重的复合，训练所述模拟攻击模型；将所述模拟攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；如果判别结果为真时，判别器将相似度信息反馈给生成器；如果判别结果为假时，判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器，所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度，再次生成新的输出流量；直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时，所述模拟攻击模型训练结束，将所述模拟攻击模型接入机器学习模型，更新所述机器学习模型的样本库；所述溯源单元，用于当检测出所述多维度检测样本中包括攻击向量时，将对应聚合后的数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的网络节点或终端标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；其中，所述分析若干个异常数据片段之间是否存在逻辑关联包括：分析数据片段所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析数据片段所属用户是否相同、或用户之间是否存在关系链；根据所述前后关联关系、途径点，将所述途径点标记在地图化的网络节点架构图上，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图。结合第二方面，在第二方面第一种可能的实现方式中，所述将对应聚合后的数据拆分为若干个数据片段，可根据业务类型、访问动作确定拆分的长度。结合第二方面，在第二方面第二种可能的实现方式中，所述若干种攻击的复合包括同时具备若干种网络攻击的特征，或者连续进行本文档来自技高网...

【技术保护点】
1.一种业务数据网络安全分析方法，其特征在于，所述方法包括：/n接收一个或一个以上的数据源提交的网络信息，每一个数据源的网络信息携带有若干种业务的相关数据，解析所述网络信息中的字段信息，从所述字段信息中提取出业务标识，以及与业务标识对应的用户标识，将业务标识相同的数据聚合，将用户标识相同的数据聚合；/n所述聚合得到的数据为指定业务、或指定用户的数据，是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合；/n根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取聚合后数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；/n根据检测规则确定模拟攻击的类型，根据检测参数确定若干种模拟攻击的复合度，构建模拟攻击模型，所述模拟攻击模型包括由检测规则确定的若干种攻击，将所述若干种攻击按照检测参数的要求进行不同权重的复合，训练所述模拟攻击模型；/n将所述模拟攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；如果判别结果为真时，判别器将相似度信息反馈给生成器；如果判别结果为假时，判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器，所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度，再次生成新的输出流量；直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时，所述模拟攻击模型训练结束，将所述模拟攻击模型接入机器学习模型，更新所述机器学习模型的样本库；/n当检测出所述多维度检测样本中包括攻击向量时，将对应聚合后的数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的网络节点或终端标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；/n其中，所述分析若干个异常数据片段之间是否存在逻辑关联包括：分析数据片段所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析数据片段所属用户是否相同、或用户之间是否存在关系链；/n根据所述前后关联关系、途径点，将所述途径点标记在地图化的网络节点架构图上，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图。/n...

【技术特征摘要】
1.一种业务数据网络安全分析方法，其特征在于，所述方法包括：
接收一个或一个以上的数据源提交的网络信息，每一个数据源的网络信息携带有若干种业务的相关数据，解析所述网络信息中的字段信息，从所述字段信息中提取出业务标识，以及与业务标识对应的用户标识，将业务标识相同的数据聚合，将用户标识相同的数据聚合；
所述聚合得到的数据为指定业务、或指定用户的数据，是从一个或一个以上的数据源提交的网络信息中将指定业务、或指定用户对应的数据整合；
根据业务标识或用户标识，动态确定对应的检测参数和检测规则，由检测参数和检测规则确定待提取的特征向量的类型和权重，提取聚合后数据的特征向量，将得到的特征向量组成多维度检测样本，将所述多维度检测样本送入机器学习模型，检测所述多维度检测样本中是否包括攻击向量；
根据检测规则确定模拟攻击的类型，根据检测参数确定若干种模拟攻击的复合度，构建模拟攻击模型，所述模拟攻击模型包括由检测规则确定的若干种攻击，将所述若干种攻击按照检测参数的要求进行不同权重的复合，训练所述模拟攻击模型；
将所述模拟攻击模型作为对抗性网络的生成器，所述生成器的输出流量不间断地与真实网络攻击流量一并送入判别器；如果判别结果为真时，判别器将相似度信息反馈给生成器；如果判别结果为假时，判别器将相似度信息、真实网络攻击流量的特征向量一并反馈给生成器，所述生成器根据判别器的反馈结果调整模拟攻击模型的复合度，再次生成新的输出流量；直到当所述判别器得到的判别结果为真的比率大于预先设置的阈值时，所述模拟攻击模型训练结束，将所述模拟攻击模型接入机器学习模型，更新所述机器学习模型的样本库；
当检测出所述多维度检测样本中包括攻击向量时，将对应聚合后的数据拆分为若干个数据片段，将所述数据片段再次送入机器学习模型，检测所述数据片段中是否包括攻击向量；若检测出所述数据片段中包括攻击向量，则将该数据片段标记为异常，异常数据片段所属的网络节点或终端标记为异常点，分析若干个异常数据片段之间是否存在逻辑关联；如果所述若干个异常数据片段之间存在逻辑关联，则将其所对应的异常点建立前后关联关系，标记为攻击轨迹中的一个途径点；
其中，所述分析若干个异常数据片段之间是否存在逻辑关联包括：分析数据片段所属业务是否存在关联、或业务是否相同，分析相关节点是否在潜在传播路径上，分析数据片段所属用户是否相同、或用户之间是否存在关系链；
根据所述前后关联关系、途径点，将所述途径点标记在地图化的网络节点架构图上，得到对应不同业务或不同用户的攻击轨迹，并展示由途径点和攻击轨迹线路构成一幅网络攻击面，以及形成攻击溯源图。


2.根据权利要求1所述的方法，其特征在于：所述将对应聚合后的数据拆分为若干个数据片段，可根据业务类型、访问动作确定拆分的长度。


3.根据权利要求1-2任一项所述的方法，其特征在于：所述若干种攻击的复合包括同时具备若干种网络攻击的特征，或者连续进行若干种网络攻击，或变异网络攻击特征。


4.根据权利要求1-3任一项所述的方法，其特征在于：所述形成攻击溯源图后还包括：得出针对不同业务或不同用户的风险评估、防御策略，指导管理员针对业务或用户进行针对性的风险消除。


5.一种业务数据网络安全分析系统，其特征在于，所述...

【专利技术属性】
技术研发人员：徐晓薇，
申请(专利权)人：北京赋云安运营科技有限公司，
类型：发明
国别省市：北京;11