【技术实现步骤摘要】
本专利技术涉及网络安全领域,具体涉及一种基于人工智能的攻击检测系统。
技术介绍
1、在网络活动中网络安全是一个重要的议题,如何有效的检测到攻击行为是保护本地资源的前提,现有的攻击检测系统中,通常采用对特征信息进行比较的方式来进行检测,但这种方式不够智能,无法有效检测出新型攻击方式,因此,需要一种更加智能化的检测方式来检测攻击行为。
2、
技术介绍
的前述论述仅意图便于理解本专利技术。此论述并不认可或承认提及的材料中的任一种公共常识的一部分。
3、现在已经开发出了很多攻击检测系统,经过大量的检索与参考,发现现有的攻击检测系统有如公开号为cn117375998a所公开的系统,这些系统一般包括将待检测设备在预设时间段内的日志信息输入攻击检测模型,攻击检测模型包括结构特征提取层、时序特征提取层和威胁发现层;基于结构特征提取层对日志信息进行特征提取,获得结构特征;结构特征用于表征日志信息对应的网络交互行为的特征;基于时序特征提取层对日志信息的时间戳和结构特征进行处理,获得融合了结构和时序的结构-时序特征;通过威胁发现层对结构-时序特征进行分析获得攻击检测结果。但该系统主要的原理还是通过与攻击行为的特征进行比较的方式来进行检测,不易识别新的攻击方式,不够智能化。
技术实现思路
1、本专利技术的目的在于,针对所存在的不足,提出了一种基于人工智能的攻击检测系统。
2、本专利技术采用如下技术方案:
3、一种基于人工智能的攻击检测系统,包括特征采集模块、特征
4、所述特征采集模块用于从日志信息中采集时序特征信息和结构特征信息,所述特征融合模块用于将时序特征信息和结构特征信息进行融合处理得到中间特征,所述智能解析模块用于对中间特征进行神经网络分析得到高级特征,所述攻击检测模块基于高级特征检测网络攻击行为;
5、所述特征采集模块包括日志监督单元、时序特征采集单元和结构特征采集单元,所述日志监督单元用于获取目标系统中的日志信息,所述时序特征采集单元用于对日志信息进行分析得到时序特征,所述结构特征采集单元用于对日志信息进行分析得到结构特征;
6、所述特征融合模块包括信息融合单元和特征编码单元,所述信息融合单元用于将时序特征和结构特征进行融合处理,所述特征编码单元用于对融合结果进行编码处理得到中间特征;
7、所述智能解析模块包括前馈输入管理单元和非线性变化单元,所述前馈输入管理单元用于接收中间特征并对中间特征输入至前馈网络进行控制管理,所述非线性变化单元用于将数据进行非线性变化并输出高级特征;
8、所述攻击检测模块包括聚类分析单元和检测识别单元,所述聚类分析单元用于对高级特征进行分析得到聚类区域,所述检测识别单元用于检测高级特征是否在聚类区域中并识别出受攻击状态;
9、进一步的,所述时序特征采集单元包括时间标记处理器、事件序列化处理器和时序特征提取处理器,所述时间标记处理器用于对特定事件的时间戳信息进行标记,所述事件序列化处理器用于将同一特定事件的标记信息整理成一个事件序列,所述时序特征提取处理器用于对序列进行处理得到时序特征;
10、所述结构特征采集单元包括采集设置处理器、事件统计处理器和结构特征提取处理器,所述采集设置处理器用于设置采集时间参数,所述事件统计处理器用于统计对应时间段内所有特定事件的发生次数,所述结构特征提取处理器用于将统计数据整理成结构特征;
11、进一步的,所述信息融合单元包括支点控制处理器、特征选择处理器和融合计算处理器,所述支点控制处理器用于选取由事件和时间构成的一个支点信息,所述特征选择处理器基于支点信息选择对应的时序特征和结构特征并进行预处理,所述融合计算处理器用于将时序特征和结构特征进行计算融合;
12、所述融合计算处理器根据下式计算出融合值fu:
13、;
14、其中,xi为时序向量中第i个元素值,fn为时序向量中元素数量,sn为事件位置序号,pr1为前置比例,pr2为后置比例,m为特定事件数量;
15、进一步的,所述特征编码单元包括信息寄存器、校对生成处理器和编码传输处理器,所述信息寄存器用于接收保存配对信息,所述校对生成处理器用于将配对信息进行校对并生成中间特征码,所述编码传输处理器用于将连续的多个中间特征码发送给所述智能解析模块;
16、进一步的,所述非线性变化单元包括若干个变化计算处理器,每个变化计算处理器作为一个节点,节点之间单向连接构成前馈网络,所述变化计算处理器用于对两个二进制数进行处理并输出一个二进制数,所述变化计算处理器中处理以及得到的二进制数位数均与中间特征码位数相同;
17、所述变化计算处理器对输入数据进行处理的过程包括如下步骤:
18、s1、将第二入参b1循环左移或右移若干位得到二进制数b2;
19、s2、将第一入参a1与b2相加或相减,得到二进制数c1;
20、s3、保留c1低位的位数,得到二进制数c2并输出;
21、第一入参和第二入参为输入的两个二进制数,移位方向、移位位数和加减方式为变化计算处理器的处理参数;
22、所述非线性变化单元最终输出n个二进制数作为高级特征。
23、本专利技术所取得的有益效果是:
24、本系统通过获取日志信息中的时序信息和结构信息,将时序信息和结构信息融合后再经过前馈网络进行智能处理得到高级特征,基于大量样本高级特征得到聚类区域,通过判断实时数据处理得到高级特征是否处于聚类区域中判断是够收到网络攻击,相比于传统的检测方式,更容易检测到新的攻击方式。
25、为使能更进一步了解本专利技术的特征及
技术实现思路
,请参阅以下有关本专利技术的详细说明与附图,然而所提供的附图仅用于提供参考与说明,并非用来对本专利技术加以限制。
【技术保护点】
1.一种基于人工智能的攻击检测系统,其特征在于,包括特征采集模块、特征融合模块、智能解析模块和攻击检测模块;
2.如权利要求1所述的一种基于人工智能的攻击检测系统,其特征在于,所述时序特征采集单元包括时间标记处理器、事件序列化处理器和时序特征提取处理器,所述时间标记处理器用于对特定事件的时间戳信息进行标记,所述事件序列化处理器用于将同一特定事件的标记信息整理成一个事件序列,所述时序特征提取处理器用于对序列进行处理得到时序特征;
3.如权利要求2所述的一种基于人工智能的攻击检测系统,其特征在于,所述信息融合单元包括支点控制处理器、特征选择处理器和融合计算处理器,所述支点控制处理器用于选取由事件和时间构成的一个支点信息,所述特征选择处理器基于支点信息选择对应的时序特征和结构特征并进行预处理,所述融合计算处理器用于将时序特征和结构特征进行计算融合;
4.如权利要求3所述的一种基于人工智能的攻击检测系统,其特征在于,所述特征编码单元包括信息寄存器、校对生成处理器和编码传输处理器,所述信息寄存器用于接收保存配对信息,所述校对生成处理器用于将配对信息进行校
5.如权利要求4所述的一种基于人工智能的攻击检测系统,其特征在于,所述非线性变化单元包括若干个变化计算处理器,每个变化计算处理器作为一个节点,节点之间单向连接构成前馈网络,所述变化计算处理器用于对两个二进制数进行处理并输出一个二进制数,所述变化计算处理器中处理以及得到的二进制数位数均与中间特征码位数相同;
...【技术特征摘要】
1.一种基于人工智能的攻击检测系统,其特征在于,包括特征采集模块、特征融合模块、智能解析模块和攻击检测模块;
2.如权利要求1所述的一种基于人工智能的攻击检测系统,其特征在于,所述时序特征采集单元包括时间标记处理器、事件序列化处理器和时序特征提取处理器,所述时间标记处理器用于对特定事件的时间戳信息进行标记,所述事件序列化处理器用于将同一特定事件的标记信息整理成一个事件序列,所述时序特征提取处理器用于对序列进行处理得到时序特征;
3.如权利要求2所述的一种基于人工智能的攻击检测系统,其特征在于,所述信息融合单元包括支点控制处理器、特征选择处理器和融合计算处理器,所述支点控制处理器用于选取由事件和时间构成的一个支点信息,所述特征选择处理器基于支点信息选择对应的时序特征和结构...
【专利技术属性】
技术研发人员:张卫平,邵胜博,李显阔,王丹,丁洋,
申请(专利权)人:环球数科集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。