【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于态势感知的时序攻击告警预测方法与系统。
技术介绍
1、态势感知通过入侵检测系统(ids)或入侵防御系统(ips)收集和分析与网络安全相关的数据,来了解当前网络的安全情况如何,以便能够及时发现并应对潜在的威胁和攻击。网络安全态势感知能够及时了解网络中的风险和漏洞。通过使用各种网络安全设备和工具,可以收集到网络流量、日志、入侵检测等数据,然后对这些数据进行分析和整理,找出异常行为、恶意攻击等迹象。最后,可以将这些数据以图表、报表等形式展示出来,更直观地了解当前网络的安全情况,从而采取相应的防御措施。网络安全态势感知可以帮助及时发现并应对各种网络威胁,保护网络安全和机密信息不受到侵害。
2、态势感知技术需要提供实时的安全状态和预警信息,然而,现代网络环境中所产生的数据量巨大,包括网络流量和日志数据等。在这庞大的数据量下,必须保证实时响应的能力,以及采取适时的措施来对抗各种攻击。否则,遇到大规模、高质量的网络攻击,防护措施的不及时响应可能会导致无法估量的业务和设备损失。具体不足如下:
3、(1)无法预测未来时间内攻击告警:无法准确预测攻击告警在未来的时间内会达到高峰或低谷,这给安全人员提供足够的响应时间和决策空间带来了挑战;
4、(2)适应新型攻击模式的能力有限:面对隐蔽性、变化性或创新性的新型攻击模式,态势感知技术可能无法迅速适应和捕捉,因为它通常依赖于已知的攻击模式和特征、无法预测未来攻击场景。
技术实现思路
2、本专利技术的技术方案如下。
3、第一方面,一种基于态势感知的时序攻击告警预测方法,包括以下步骤:
4、获取第一预设时间范围内数据库存储的流量数据集,提取流量数据集的特征信息,将特征信息转换成特征值矩阵后输入构建的lstm进行模型预训练;所述特征信息包括时间戳、攻击ip、被攻击ip、攻击者端口、被攻击端口、攻击手法特征和攻击手法类型;
5、获取第二预设时间范围内的实时流量数据集加载到时间窗口队列,提取流量数据集的特征信息,将特征信息转换成特征值矩阵后输入预训练过的lstm模型进行预测,并对预测值进行判断;
6、当预测值超过预设阈值时,将特征信息中的时间戳、攻击ip、被攻击ip、攻击者端口、被攻击端口、攻击手法特征和攻击手法类型进行入库保存,并输出预设时段内攻击数量及产生告警;
7、当预测值不超过预设阈值时,获取数据库中当日的流量数据集,进行加权处理后输入lstm模型进行模型训练及预测,以实时修正预测值。
8、优选的,攻击手法特征和攻击手法类型的提取方法,包括:
9、基于流量数据集中的日志类型标志,获取对应的设备的结构化规则和标准化规则;
10、基于结构化规则中预设置的解析规则对流量数据集进行字段解析,提取到对应的结构化字段;
11、基于结构化字段和预设置的正则表达式,从对应的标准化规则中提取出流量数据集中的攻击手法特征;
12、基于攻击手法特征,获取到对应的攻击手法类型。
13、优选的,时间戳、攻击ip、被攻击ip、攻击者端口和被攻击端口的提取方法,包括:通过预定义的数据字典提取时间戳、攻击ip、被攻击ip、攻击者端口和被攻击端口。
14、优选的,将特征信息转换成特征值矩阵,具体包括:
15、时间戳转换步骤,保留时间戳字段,提取其中的日期、小时、分钟信息作为新的特征;将时间戳转换为数字,用于表示相对于某个起始时间点的时间间隔;
16、ip转换步骤,将攻击ip/被攻击ip转换成二进制向量,将二进制向量转换成列表;
17、端口转换步骤,将攻击者端口/被攻击端口转换成二进制向量,将二进制向量转换成列表;所述二进制向量的长度为65536,其中仅有一个元素的值为1,表示输入的端口号;
18、攻击手法特征转换步骤,对于数值型特征,直接保留;对于文本型特征,使用文本向量化的方法进行转换;对于分类型特征,进行独热编码,将每个可能的取值转换为一个二进制特征;
19、攻击手法类型转换步骤,如果是分类类型,同样可以进行独热编码;如果是文本类型,使用文本向量化进行转换;如果有预定义的攻击手法类型,将其映射为数字。
20、优选的,所述预测值的范围为0~1,如果预测值大于预设阈值,判定为有攻击;否则,判定为无攻击;
21、所述预设阈值的获取方法包括:
22、利用历史流量数据的标准差确定一个合适的阈值,具体为加载数据库中存储的历史数据,通过时间序列、攻击手法类型和数量信息计算标准差,阈值的范围为2-3倍的标准差。
23、优选的,获取数据库中当日的流量数据集,进行加权处理后输入lstm模型进行模型训练及预测,以实时修正预测值,具体包括:
24、从数据库中获取当日的流量数据集,进行数据加权处理后加载到时间窗口队列,提取流量数据集的特征信息,将特征信息转换成特征值矩阵后输入预训练过的lstm模型进行训练及预测;其中,训练过程中进行模型参数调整。
25、优选的,在lstm模型预训练或训练的过程中,根据输入的流量数据集使用随机梯度下降的优化算法实时调整模型的参数优化预测误差。
26、第二方面,一种基于态势感知的时序攻击告警预测系统,包括:
27、历史流量数据集预训练模块,用于获取第一预设时间范围内数据库存储的流量数据集,提取流量数据集的特征信息,将特征信息转换成特征值矩阵后输入构建的lstm进行模型预训练;所述特征信息包括时间戳、攻击ip、被攻击ip、攻击者端口、被攻击端口、攻击手法特征和攻击手法类型;
28、实时流量数据集预测模块,用于获取第二预设时间范围内的实时流量数据集加载到时间窗口队列,提取流量数据集的特征信息,将特征信息转换成特征值矩阵后输入预训练过的lstm模型进行预测,并对预测值进行判断;
29、入库及输出模块,用于当预测值超过预设阈值时,将特征信息中的时间戳、攻击ip、被攻击ip、攻击者端口、被攻击端口、攻击手法特征和攻击手法类型进行入库保存,并输出预设时段内攻击数量及产生告警;
30、预测值修正模块,用于当预测值不超过预设阈值时,获取数据库中当日的流量数据集,进行加权处理后输入lstm模型进行模型训练及预测,以实时修正预测值。
31、第三方面,一种电子设备,包括:
32、一个或多个处理器;
33、存储器,用本文档来自技高网...
【技术保护点】
1.一种基于态势感知的时序攻击告警预测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,攻击手法特征和攻击手法类型的提取方法,包括:
3.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,时间戳、攻击IP、被攻击IP、攻击者端口和被攻击端口的提取方法,包括:通过预定义的数据字典提取时间戳、攻击IP、被攻击IP、攻击者端口和被攻击端口。
4.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,将特征信息转换成特征值矩阵,具体包括:
5.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,所述预测值的范围为0~1,如果预测值大于预设阈值,判定为有攻击;否则,判定为无攻击;
6.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,获取数据库中当日的流量数据集,进行加权处理后输入LSTM模型进行模型训练及预测,以实时修正预测值,具体包括:
7.根据权利要求6所述的基于态势感知的时序攻击告警预测方法
8.一种基于态势感知的时序攻击告警预测系统,其特征在于,包括:
9.一种电子设备,包括:
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一所述的方法。
...【技术特征摘要】
1.一种基于态势感知的时序攻击告警预测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,攻击手法特征和攻击手法类型的提取方法,包括:
3.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,时间戳、攻击ip、被攻击ip、攻击者端口和被攻击端口的提取方法,包括:通过预定义的数据字典提取时间戳、攻击ip、被攻击ip、攻击者端口和被攻击端口。
4.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,将特征信息转换成特征值矩阵,具体包括:
5.根据权利要求1所述的基于态势感知的时序攻击告警预测方法,其特征在于,所述预测值的范围为0~1,如果预测值大于预...
【专利技术属性】
技术研发人员:刘军祥,林飞鹏,徐雄辉,刘晓敏,陈荣有,陈奋,李伟彬,薛世平,
申请(专利权)人:厦门广播电视集团,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。