一种网络安全检测方法和系统技术方案

本发明专利技术公开了一种网络安全检测方法和系统，涉及网络安全技术领域，本发明专利技术之方法包括在本地网络中设置多个本地节点监测器，每个本地节点检测器负责独立的检测本地网络入侵行为；搭建全局检测器，然后对原始网络流量时序进行实时监测，再对网络流量时序进行小波分解处理，建立神经网络预测模型，建立处理模型，判断是否出现异常数据，在处理模型中建立异常库，使用预测模型预测时序网络流量，将预测结果依次与异常库中已经标记的异常数据进行匹配，判断是否出现异常，最后发出预警，本发明专利技术之系统包括检测模块、处理模块以及预警模块。本发明专利技术为一种网络安全检测方法和系统，检测精度高、检测效率块。检测效率块。检测效率块。

【技术实现步骤摘要】
一种网络安全检测方法和系统


[0001]本专利技术涉及网络安全
，特别涉及一种网络安全检测方法和系统。

技术介绍

[0002]飞速发展的互联网行业背后，互联网安全问题已经成为一种隐患，当前，网络安全事故频发、网络攻击行为多样化、网络攻击具有“全球化”和“常态化”的趋势，网络安全问题已成为整个互联网面临的共同挑战，如何尽早洞察网络安全局势、了解网络攻击技术的发展，以及最终实现有效的网络安全检测成为了重点，入侵检测是网络安全领域一项重要的、基础的技术，它以监视入侵行为的方式对网络和计算机系统进行实时保护，因此就用到网络安全检测方法和系统。
[0003]但随着网络攻击技术的发展，传统的入侵检测系统常用的技术有入侵检测技术、网络行为审计技术、异常流量分析技术以及病毒检测技术，传统的入侵检测系统已无法准确地检测到复杂的攻击行为，有着检测不准确的缺点，无法同时实现网络安全状态的分析、用户行为的记录、攻击监测以及未知恶意代码识别的功能。
[0004]现有的网络安全检测方法和系统存在检测不准确以及无法同时实现网络安全状态的分析、用户行为的记录、攻击监测以及未知恶意代码识别的问题。

技术实现思路

[0005]本专利技术的主要目的在于提供一种网络安全检测方法和系统，可以有效解决
技术介绍
中现有的缺点。
[0006]为实现上述目的，本专利技术采取的技术方案为：一种网络安全检测方法，包括以下步骤：
[0007]S1：在本地网络中设置多个本地节点监测器，每个本地节点检测器负责独立的检测本地网络入侵行为；
[0008]S2：根据多个本地节点检测器建立全局检测器；
[0009]S3：使用全局检测器对原始网络流量时序进行实时监测；
[0010]S4：对网络流量时序进行小波分解处理；
[0011]S5：建立神经网络预测模型，在神经网络预测模型中首先初始化预测模型参数值，将小波分解后的网络流量时序输入预测模型得到预测结果，判断预测结果是否正确，若不正确调整参数值，重新预测，直至得到确定的预测结果，最后确定模型参数值，获得最终的预测模型；
[0012]S6：建立处理模型，判断是否出现异常数据，在处理模型中建立异常库，将处理模型中标记为异常的网络流量的内容存储在异常库中；
[0013]S7：使用预测模型预测时序网络流量，将预测结果依次与异常库中已经标记的异常数据进行匹配，并设定相似阈值，若相似度高于相似阈值则判断该预测结果为异常数据；
[0014]S8：发出预警，同时将该预测结果标记为新的异常数据，再次存储至异常库中，并
更新异常库。
[0015]优选地，步骤S3中小波分解预处理的过程包括以下步骤：设定网络流量时间序列，确定序列的长度，基于Mallat算法对网络流量时序进行小波分解，将每一层长度序列分解为高频细节序列和低频逼近序列，随着小波分解层数的增加，小波系数序列的长度逐层减半，时域分辨率也会逐层降低，为使分解后的各尺度小波子序列与原始序列具有相同的时域分辨率，最后对各层小波细节进行单支重构，得到长度相同的尺度子序列，便于后续的各尺度预测分量进行整合，小波分解后长度不同的高低频子序列经单支重构后获得了长度均为相同的序列，然后对单支重构的序列进行分析，避免其他频率成分的干扰。
[0016]优选地，异常库中存储的异常数据为每次异常网络流量时序中的异常规则，将异常规则特征化，最后将异常数据特征存储在异常库中，异常库采用MySQL数据库。
[0017]优选地，所述相似阈值的确定过程中，人工检索出多组相似度高的预测结果和异常数据，计算每组相似度高的预测结果和异常数据的相似阈值，最后对若干相似阈值取平均得到最终用于判断的相似阈值，通过设定相似阈值能够使用处理模型快速判断出预测结果是否出现网络异常，最终检测出是否出现网络安全事件。
[0018]优选地，对异常数据库建立防护措施，通过对异常库中数据值进行日志记录，用于记录用户调用异常库的时间、用户IP以及增删改查的数据内容，记录时建立记录关系树，关系树上每个节点存储有信息，通过查阅关系树节点信息来查阅异常库日志的记录内容，在MySQL的binlog日志作用是用来记录mysql内部增删改等对mysql数据库有更新的内容的记录，对数据库查询的语句如show，select开头的语句，不会被binlog日志记录，通过其他方式进行记录，binlog日志主要用于数据库的增量恢复以及主从复制。
[0019]一种网络安全检测系统，包括检测模块、处理模块以及预警模块；
[0020]所述检测模块通过设置多个本地节点监测器用于独立检测本体网络入侵行为，在将独立的本地节点组建成全局检测器，全局检测器主要用于检测网络流量时序；
[0021]所述处理模块包括第一处理单元、预测单元以及第二处理单元，所述第一处理单元使用小波分解以及单支重构对网络流量时序进行处理，将不同长度的网络时序处理成长度相同的尺度子序列，所述预测单元通过建立预测模型在时序上根据网络流量特征使用预测模型预测生成预测结果，所述第二处理单元通过建立处理模型以及搭建异常库，起初根据预测模型预测结果判断是否出现异常，若出现进行异常标记然后将标记的异常特征数据存储在异常库中，后期直接通过相似阈值判断预测结果是否出现异常；
[0022]所述预警模块用于实时发出预警，提示网络安全防护人员即将发生网络安全异常，及时进行人工处理。
[0023]优选地，所述处理模块与所述预警模块之间设有信号传输接口，所述处理模块的处理结果为出现异常后，自动通过信号传输接口向预警模块发送信号，所述预警模块接收预警信号后开始发出预警，信号之间的传输通过内网进行传输，传输速率大大提高，进一步提高检测系统的运行速率，提高检测系统的使用效果。
[0024]与现有技术相比，本专利技术具有如下有益效果：
[0025]1.本专利技术中，首先设立多个本体节点检测器进行实时网络流量时序进行检测，在根据本地节点检测器构建全局检测器对原始网络流量时序进行实时监测，提高检测的精度以及检测的范围。
[0026]2.本专利技术中，通过设立处理模块，在处理模块中设立预测模型以及处理模型，使用预测模型对网络流量时序进行预测，根据预测结果判断是否出现网络安全异常，能够在网络安全异常出现前，及时发现将要出现网络安全异常，网络安全检测员及时作出应急举措，应对将要发生的网络安全异常，提高检测的时效性，提高检测速率。
[0027]3.本专利技术中，通过设立处理模型，通过建立异常库，将已经出现的网络安全异常进行特征标记，将标记的特征数据存储在异常库中，随着系统的运行异常库中特征标记增多，直接将预测模型的预测结果在异常库中进行相似比对，快速判断出该预测结果是否出现安全异常，进一步提高该系统的判断速率，提高使用效果。
附图说明
[0028]图1为本专利技术一种网络安全检测方法的流程图；
[0029]图2为本专利技术一种网络安全检测系统的系统框图；
[0030]图3为本专利技术一种网络安全本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全检测方法，其特征在于，包括以下步骤：S1：在本地网络中设置多个本地节点监测器，每个本地节点检测器负责独立的检测本地网络入侵行为；S2：根据多个本地节点检测器建立全局检测器；S3：使用全局检测器对原始网络流量时序进行实时监测；S4：对网络流量时序进行小波分解处理；S5：建立神经网络预测模型，在神经网络预测模型中首先初始化预测模型参数值，将小波分解后的网络流量时序输入预测模型得到预测结果，判断预测结果是否正确，若不正确调整参数值，重新预测，直至得到确定的预测结果，最后确定模型参数值，获得最终的预测模型；S6：建立处理模型，判断是否出现异常数据，在处理模型中建立异常库，将处理模型中标记为异常的网络流量的内容存储在异常库中；S7：使用预测模型预测时序网络流量，将预测结果依次与异常库中已经标记的异常数据进行匹配，并设定相似阈值，若相似度高于相似阈值则判断该预测结果为异常数据；S8：发出预警，同时将该预测结果标记为新的异常数据，再次存储至异常库中，并更新异常库。2.根据权利要求1所述的一种网络安全检测方法，其特征在于，步骤S3中小波分解预处理的过程包括以下步骤：设定网络流量时间序列，确定序列的长度，基于Mallat算法对网络流量时序进行小波分解，将每一层长度序列分解为高频细节序列和低频逼近序列，随着小波分解层数的增加，小波系数序列的长度逐层减半，时域分辨率也会逐层降低，最后对各层小波细节进行单支重构，得到长度相同的尺度子序列。3.根据权利要求1所述的一种网络安全检测方法，其特征在于，异常库中存储的异常数据为每次异常网络流量时序中的异常规则，将异常规则特征化，最后将异常数据特征存储在异常库中。4.根据权利要求1所述的一种网络安全检测方法...

【专利技术属性】
技术研发人员：徐鹏，张志峰，彭战松，
申请(专利权)人：黄河水利职业技术学院，
类型：发明
国别省市：