【技术实现步骤摘要】
一种流量安全分析的方法及系统
本申请涉及网络安全
,尤其涉及一种流量安全分析的方法及系统。
技术介绍
现有的网络攻击形式多样,不仅严重影响用户对网络的访问,还会严重影响正常业务的开展,业界通常的检测方法多为单纯检测出网络攻击,基于网络流量来监测攻击行为。但是对于地址分散或以小博大与正常流量难以区分的攻击行为来说,却不能根据指定业务或指定用户,有针对性地检测网络攻击,更不能给出针对性的防御策略。因此,急需一种针对性的网络安全分析方法及系统。
技术实现思路
本专利技术的目的在于提供一种流量安全分析的方法及系统,解决现有的网络攻击检测分析平台多为单纯检测出网络攻击,不能根据指定业务或指定用户,有针对性地检测网络攻击的问题,可针对指定的业务或用户检测攻击和攻击溯源,并加入了模型训练功能,使得检测效果更好。第一方面,本申请提供一种流量安全分析方法,所述方法包括:对进入业务系统的数据流量进行分类聚合,所述分类聚合为根据解析后的标识信息,使用不同的聚类算法得到多维集合,所述标识信息包括用户...
【技术保护点】
1.一种流量安全分析方法,其特征在于,所述方法包括:/n对进入业务系统的数据流量进行分类聚合,所述分类聚合为根据解析后的标识信息,使用不同的聚类算法得到多维集合,所述标识信息包括用户标识信息、业务标识信息、设备标识信息,所述多维集合是指分别根据所述用户标识信息、业务标识信息和设备标识信息提取出隶属于同一数据流的三个特征集;/n根据用户标识信息、业务标识信息和设备标识信息,动态确定所述多维集合对应的三种检测参数和规则,由检测参数和规则得到特征向量加权后的多维检测样本,将所述多维检测样本送入机器学习模型,检测是否包括第一攻击向量;/n获取数据库的历史异常数据,模拟出指定类型的网...
【技术特征摘要】
1.一种流量安全分析方法,其特征在于,所述方法包括:
对进入业务系统的数据流量进行分类聚合,所述分类聚合为根据解析后的标识信息,使用不同的聚类算法得到多维集合,所述标识信息包括用户标识信息、业务标识信息、设备标识信息,所述多维集合是指分别根据所述用户标识信息、业务标识信息和设备标识信息提取出隶属于同一数据流的三个特征集;
根据用户标识信息、业务标识信息和设备标识信息,动态确定所述多维集合对应的三种检测参数和规则,由检测参数和规则得到特征向量加权后的多维检测样本,将所述多维检测样本送入机器学习模型,检测是否包括第一攻击向量;
获取数据库的历史异常数据,模拟出指定类型的网络攻击流量,所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量;
将模拟的所述网络攻击流量送入机器学习模型,此时的机器学习模块作为判别器,判别所述网络攻击流量与当前网络流量之间的相似度,当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时,则认定所述机器学习模型能够正确识别出所模拟的网络攻击,所述机器学习模型完成训练;
当所述机器学习模型检测出所述多维检测样本中包括第一攻击向量时,标记携带所述第一攻击向量的一个或多个特征集为异常,匹配异常特征集所属的维度是用户、业务或设备中的类型,根据异常涉及的类型开始对第一攻击向量进行针对性溯源;
当所述异常涉及用户类型时,获取数据库的用户关系链,所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种,每一种关系下每一个人为所述用户关系链的一个节点,根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种,判断是否包括所述第一攻击向量,如果检测到所述第一攻击向量,则标记该节点为攻击轨迹在途点;
当所述异常涉及业务类型时,根据业务流程规定的前后关系、具体业务动作的经办人,得到业务关系链,每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点,检测每一个节点是否包括所述第一攻击向量,如果是,则标记该节点为攻击轨迹在途点;
当所述异常涉及设备类型时,获取设备上传输的数据流、用户使用情况、业务办理情况,得到设备关系链,每一个数据包、用...
【专利技术属性】
技术研发人员:段彬,
申请(专利权)人:武汉思普崚技术有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。