【技术实现步骤摘要】
【国外来华专利技术】用于分析网络威胁情报的设备和方法
[0001]本专利技术涉及分析和监控网络流以获得网络威胁情报的机器学习技术。
技术介绍
[0002]近年来,随着互联网使用的增加,网络威胁已成为一个严重的问题,这使得个人信息和财产容易被盗取。对应于此,已在开发网络威胁情报分析方法的方面,投入了大量精力。大多数现有方法都是基于网络数据包产生的,因此当前面临到的挑战是,缺乏用于基于机器学习(machine learning;ML)的分析信息。另一方面,网络流提供了更多可用作ML特征的信息。某些攻击只能在网络流或会话中检测到。然而,网络数据包信息量大,对边缘计算和大规模网络威胁情报分析提出了挑战。
[0003]对于现有的分析或分类方法,例如安全信息和事件管理(Security Information and Event Management;SIEM),提供了两种主要能力:(1)关于安全事件的报告和取证,以及(2)基于与特定规则集合匹配的分析,可发出警报以指出安全问题。然而,SIEM是基于规则而产生的,其需要专业知识来分析和部署。SIEM等基于规则的分类方法也很容易被绕过,从而在系统中留下漏洞。举例来说,此类攻击包括同步(synchronize;SYN)攻击或SYN分布式拒绝服务(distributed denial
‑
of
‑
service;DDoS)攻击,此将会耗尽受害系统的资源。在这方面,也很容易被频率低于熵的SYN DDoS数据包绕过。
[0004]目前,市场上还没有存在能基于M ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于分析和监控网络威胁情报的网络流的设备,其特征在于,包括:特征选择模型,由至少一个处理器执行,并被配置为从网络流中的数据集中选择基于流的特征以生成网络流元;特征分类模型,由至少一个处理器执行,并被配置为分析所述网络流元的基于流的特征以生成分类特征;威胁计算模型,由至少一个处理器执行,并被配置为使用可交换预测模型从所述分类特征预测一个或多个威胁特征;网络威胁情报引擎,由至少一个处理器执行,并被配置为收集和组合所述基于流的特征、所述分类特征和所述威胁特征,以形成一个或多个网络威胁联合特征;和监控系统,由至少一个处理器执行,并被配置为输出所述网络威胁联合特征。2.根据权利要求1所述的设备,其特征在于,其中,所述威胁计算模型的预测模型是线性回归模型;其中,所述分类特征包括一个或多个网络攻击分类威胁的指示及其计数;其中,所述网络攻击分类威胁的指示充当所述线性回归模型的一组因变量,并且所述网络攻击分类威胁发生或记录的对应时间充当所述线性回归模型的自变量;和其中,所述线性回归模型预测在未来时间段内发生的一个或多个网络攻击威胁,以作为所述威胁特征输出,其是根据在时间窗口期间已经发生或记录的所述网络攻击威胁的计数来作为预测依据。3.根据权利要求1所述的设备,其特征在于,进一步包括:流量检测器,由至少一个处理器执行,并被配置为确定网络原始数据是否处于网络流类型;和特征提取模型,由至少一个处理器执行,并被配置为当所述网络原始数据不是网络流类型时,从所述网络原始数据提取所述基于流的特征,将其提取并输出到所述数据集。4.根据权利要求1所述的设备,其特征在于,所述网络威胁情报引擎还被配置为将所述网络威胁联合特征馈送到所述监控系统,并且所所述监测系统还被配置成将所述网络威胁联合特征可视化为用于显示的绘图或图形。5.根据权利要求1所述的设备,其特征在于,所述网络威胁情报引擎还被配置为响应于所述网络威胁联合特征来发送警报或警告信号,以报告一个或多个特定的网络攻击事件。6.根据权利要求1所述的设备,其特征在于,所述特征分类模型至少由深度神经网络(deep neutral network;DNN)来实现。7.一种用于训练根据权利要求1的所述设备的所述特征选择模型的方法,其特征在于,包括:获得训练数据集,所述训练数据集包括一个或多个网络攻击模拟的数据包或流格式的网络流量;将所述训练数据集的所述数据包解析为会话;从所述会话中提取网络流量统计特征;分别计算前向和后向上的所述网络流量统计特征;计算要分配给所述网络流量统计特征的权重;和丢弃由所述特征选择模型分配为零权重的一组网络流量统计特征。
8.根据权利要求7所述的方法,其特征在于,所述一组网络流量统计特征包括后向数据包PSH标志、前向数据包URG标志、后向数据包URLG标志、URG标志设置的数据包总数、前向流量每个数据块的平均字节数、前向流量每个数据块的平均数据包数、前向流量每...
【专利技术属性】
技术研发人员:梁鼎忠,梁伟基,李家钰,黎艳青,
申请(专利权)人:香港应用科技研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。