本发明专利技术涉及一种基于人工智能的云平台安全监测方法和系统。该方法包括:对原始网络流量进行处理,得到NetFlow数据和包数据;对NetFlow数据和包数据进行特征提取;利用提取的特征进行入侵检测和网络行为分析,发现入侵行为和异常网络行为。本发明专利技术利用人工智能算法进行云平台安全防护,不仅在能够利用人工智能算法的自主学习能力,减小系统对安全专家的依赖,还可以利用人工智能算法的泛化能力与深层挖掘能力,做到基于已知入侵发现未知入侵行为,增强入侵检测能力,减小网络入侵行为带来的安全风险。的安全风险。的安全风险。
【技术实现步骤摘要】
一种基于人工智能的云平台安全监测方法和系统
[0001]本专利技术属于网络安全
,具体涉及一种基于人工智能的云平台安全监测方法和系统。
技术介绍
[0002]工业制造领域的云平台需要一个相对开放的云环境来支撑与其他先进的信息技术、制造技术以及新兴物联网技术的交叉融合,实现制造即服务的理念。而在这样开放且技术交叉深度融合的云环境下,各类系统在感知、计算和和服务交互过程中都会产生大量的数据,这些数据在云侧、边缘侧和现场侧的生成、存储、传输和使用过程都会面临被攻击、窃取、篡改、伪造、泄露等安全风险,这些风险不仅来自外部,也有内部和系统自身的问题,这些风险也会进一步威胁整个云平台的安全。
[0003]当前,国内外关于网络安全架构的设计思想一直在不断更新迭代,例如Gartner提出的“自适应安全架构(CARTA)”,从1.0一直演进到了3.0,通过不断融合包括零信任、CASB(Cloud Access Security Broker,云访问安全代理)、持续监控等新的安全方法和理念,持续丰富架构的先进性和实用性。而国内的安全架构也在逐步的从等级保护的“纵深防御”思想,进一步演进到关基保护的“挂图作战”思想,更加强调实战和动态协同能力。在近几年的网络安全演练活动中,云平台也不断暴露出越来越多的安全问题,包括各类系统/设备的安全漏洞、安全防护盲区、内部违规异常操作、潜在的恶意代码存活等,这些安全问题都是直接影响云平台生产运行的“定时炸弹”。
[0004]传统的安全防御手段如网络访问控制、入侵检测、漏洞扫描、安全审计等效率较低,工作繁重,因此随着近年AI(Artificial Intelligence,人工智能)技术的逐渐成熟和在各个领域的工程化落地应用,各行各业都开始引入AI技术来解决业务生产中的实际问题。在信息安全行业也对AI的应用提出了迫切的需求,使用AI算法不仅能够识别出加密的恶意流量,也能够帮助安全运维人员基于已有知识,利用更多维度的数据实现更加复杂和准确的安全分析。我国信息安全产业界已开始建设可信任、安全的人工智能安全体系,诸多信息安全公司应用人工智能技术提升智能化网络安全解决方案,构建自动防御体系。各级政府、企业都在加快研发和应用人工智能安全网络框架和安全方案,积极构建基于人工智能的信息安全监管体系,形成人工智能安全监测预警机制。
[0005]以往云平台网络监测大多采用传统的基于端口或基于规则的方式来对入侵行为进行检测,不仅严重依赖专家对网络攻击行为的认知与总结,而且只能对已有的攻击行为进行检测,对APT、0
‑
day等未知攻击不具备任何检测能力。而如今的网络攻击更有针对性,尤其是专门针对金融、工控等领域的攻击具备很强的目的性,因而传统安全防护产品的特征库中很难将此类攻击的特征信息覆盖,从而起不到防护作用,需要一种针对制造领域云平台的智能监测工程应用方法。
[0006]目前一些人工智能检测平台系统以人工智能技术为支撑,是以丰富的专家知识库为核心,根据任务目标不同,自动从专家知识库中提取相应的推理条件进行知识图谱推理,
并进入智能引擎进行安全检测逻辑构建,形成相应的安全检测方案,进而调用对应的工具集、接口、资源等,完成对任务目标的安全检测。以上方案也较依赖专家知识和相应规则,对超出认知范围的攻击不具有防护力。
技术实现思路
[0007]本专利技术针对上述问题,提供一种基于人工智能的云平台安全监测方法和系统。
[0008]本专利技术采用的技术方案如下:
[0009]一种基于人工智能的云平台安全监测方法,包括以下步骤:
[0010]对原始网络流量进行处理,得到NetFlow数据和包数据;
[0011]对NetFlow数据和包数据进行特征提取;
[0012]利用提取的特征进行入侵检测和网络行为分析,发现入侵行为和异常网络行为。
[0013]进一步地,所述对原始网络流量进行处理,得到NetFlow数据和包数据,包括:通过网络协议识别技术将原始的pcap包细分为包括HTTP、DNS、SMTP在内的各种协议网络报文,通过流量聚合技术根据网络的源IP、源端口、目的IP、目的端口、传输协议将一定时间段内的网络报文聚合为一个NetFlow,从而形成包数据与NetFlow两种网络数据。
[0014]进一步地,所述对NetFlow数据和包数据进行特征提取,包括:对NetFlow数据提取统计特征,包括连接长度、传输数据包数量、传输字节大小;对协议细分的网络流量包提取各种网络协议的一段时间内的数据分布,作为网络协议流量分布特征;针对各种协议常出现的位置通过深度包解析技术进行深度特征提取,作为协议攻击载荷特征。
[0015]进一步地,所述入侵检测包括:
[0016]利用提取的特征,使用深度学习技术对正常访问流量的特点进行学习,构建正常流量过滤模型,对正常访问流量进行精准过滤;
[0017]根据已知类型的入侵行为在字符表现、流分布的特殊表现构建已知入侵类型检测模型,用于检测已知类型的网络入侵行为,并快速生成响应策略,对入侵流量进行拦截;
[0018]对剩余流量通过聚类、统计分析方式,辅助发现隐蔽性较高的入侵行为和未知类型的入侵行为,并快速生成入侵响应策略建议。
[0019]进一步地,所述入侵响应策略建议包括:完善告警机制、设置安全网关、进行行为审计、进行安全加固、进行访问控制、设置巡检维护机制。
[0020]进一步地,所述网络行为分析包括:对云边端的设备的历史信息进行分析,所述历史信息包括网络信息、活跃信息、协议流量分布、应用信息、会话信息;一方面,利用用户自身的历史信息对用户以往的行为进行分析,建立历史行为基线;另一方面,通过对用户身份、角色和日常操作行为对用户进行分组,利用同组设备的网络信息、活跃信息、协议流量分布等内容,建立分组用户正常行为基线;然后根据设备的当前操作与历史行为基线、分组用户正常行为基线的差距,进行异常行为分析。
[0021]进一步地,在所述进行异常行为分析之后,根据异常行为的类型及等级对异常行为进行告警或拦截。
[0022]一种基于人工智能的云平台安全监测系统,其包括:
[0023]特征提取模块,用于对原始网络流量进行处理,得到NetFlow数据和包数据,对NetFlow数据和包数据进行特征提取;
[0024]入侵检测模块,用于利用提取的特征进行入侵检测,发现入侵行为;
[0025]网络行为分析模块,用于利用提取的特征进行网络行为分析,发现异常网络行为。
[0026]本专利技术的有益效果如下:
[0027]本专利技术提供了一种基于人工智能算法的、对制造云平台的安全监测方法,尽量减少了对专家知识的依赖,增强了对未知安全事件的防护能力,为构建集防御、检测、响应和预测于一体的云平台网络安全服务体系提供了一种新的方法。
[0028]本专利技术利用人工智能算法进行云平台安全防护,不仅在能够利用人工智能算法的自主学习能力,减小系统对安全专家的依赖,还可本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于人工智能的云平台安全监测方法,其特征在于,包括以下步骤:对原始网络流量进行处理,得到NetFlow数据和包数据;对NetFlow数据和包数据进行特征提取;利用提取的特征进行入侵检测和网络行为分析,发现入侵行为和异常网络行为。2.根据权利要求1所述的方法,其特征在于,所述对原始网络流量进行处理,得到NetFlow数据和包数据,包括:通过网络协议识别技术将原始的pcap包细分为包括HTTP、DNS、SMTP在内的各种协议网络报文,通过流量聚合技术根据网络的源IP、源端口、目的IP、目的端口、传输协议将一定时间段内的网络报文聚合为一个NetFlow,从而形成包数据与NetFlow两种网络数据。3.根据权利要求1所述的方法,其特征在于,所述对NetFlow数据和包数据进行特征提取,包括:对NetFlow数据提取统计特征,包括连接长度、传输数据包数量、传输字节大小;对协议细分的网络流量包提取各种网络协议的一段时间内的数据分布,作为网络协议流量分布特征;针对各种协议常出现的位置通过深度包解析技术进行深度特征提取,作为协议攻击载荷特征。4.根据权利要求1所述的方法,其特征在于,所述入侵检测包括:利用提取的特征,使用深度学习技术对正常访问流量的特点进行学习,构建正常流量过滤模型,对正常访问流量进行精准过滤;根据已知类型的入侵行为在字符表现、流分布的特殊表现构建已知入侵类型检测模型,用于检测已知类型的网络入侵...
【专利技术属性】
技术研发人员:陈晓双,金艳梅,谷牧,韩涛,张建新,
申请(专利权)人:北京航天智造科技发展有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。