【技术实现步骤摘要】
本申请涉及网络安全领域,特别涉及一种基于人工智能的数据安全动态防护方法。
技术介绍
1、在当今信息化时代,网络安全已成为各行各业关注的焦点。随着互联网技术的飞速发展,网络攻击手段也日趋复杂和多样化。恶意数据流作为一种常见的网络攻击形式,对企业和个人的信息安全构成了严重的威胁。传统的数据安全防护方法大多采用静态的防护策略,难以应对不断变化的恶意数据流和攻击特征,导致防护效果不佳。
2、目前,针对恶意数据流的防护技术主要包括基于签名的检测、基于异常的检测和蜜罐技术等。基于签名的检测通过提取已知攻击的特征码进行匹配,但难以发现未知的攻击类型;基于异常的检测通过建立正常行为模型,识别偏离正常模型的异常行为,但容易产生误报和漏报;蜜罐技术通过部署诱饵系统吸引和分析攻击行为,但难以全面覆盖所有的攻击类型。此外,现有的防护策略大多采用静态配置,缺乏根据网络环境变化动态调整的能力,导致防护效果不佳。
技术实现思路
1、针对现有技术中存在的对恶意数据流的防护策略自适应性差的问题,本申请提供了一种基于人工智能的数据安全动态防护方法,通过异常检测算法识别恶意数据流和攻击特征,并采用多智能体强化学习,协同优化流量控制和蜜罐部署策略,提高了防护策略的自适应性。
2、本申请的目的通过以下技术方案实现。
3、本申请提供一种基于人工智能的数据安全动态防护方法,包括:获取数据流日志;根据数据流日志,采用异常检测算法识别恶意数据流和攻击特征;其中,恶意数据流为识别到包含sql注入、
4、根据数据流日志,采用异常检测算法识别恶意数据流和攻击特征,包括:提取数据流日志中的特征向量,特征向量包含数据流的源ip地址,目的ip地址、端口号和数据包内容;采用基于高斯混合模型的聚类算法,对特征向量进行聚类,得到k个聚类簇;计算每个聚类簇的均值向量和协方差矩阵,根据各聚类簇的样本数占比和马氏距离,判断每个聚类簇是否为异常聚类簇;其中,样本数占比小于阈值且马氏距离大于阈值的聚类簇,判定为异常聚类簇,异常聚类簇表示潜在的未知攻击模式;基于随机森林算法构建识别模型;采用one-hot编码将特征向量转换为数值化表示,并结合已标记的恶意数据流样本构建样本集;利用样本集进行有监督训练识别模型,得到识别已知攻击类型的识别模型,利用训练后的识别模型对待检测数据流的特征向量进行预测,预测恶意数据流所属的已知攻击类型;根据异常聚类簇和预测的各已知攻击类型,基于规则判定恶意数据流并提取相应的攻击特征。
5、进一步的,根据异常聚类簇和预测的各已知攻击类型,基于规则判定恶意数据流并提取相应的攻击特征,包括:若数据流属于异常聚类簇但不属于已知攻击类型,则判定为未知攻击,提取其异常特征作为攻击特征,并标记为未知攻击;若数据流属于已知攻击类型但不属于异常聚类簇,则判定为已知类型的恶意数据流,提取其对应的攻击类型和攻击特点作为攻击特征;若数据流同时属于异常聚类簇和已知攻击类型,则判定为变种攻击,提取其异常特征和已知攻击特征,并标记为变种攻击。
6、优选地,规则匹配的优先级:规则3(变种攻击)优先于规则1(未知攻击)和规则2(已知攻击),规则1(未知攻击)和规则2(已知攻击)互斥,优先级相同,规则4(正常数据流)的优先级最低。判定数据流x是否属于异常聚类簇cabnormal:计算x到每个异常聚类簇中心的马氏距离d(x,ci),i=1,2,......,n,如果min{d(x,ci)}≤异常聚类簇的最大马氏距离,则判定x∈cabnormal。攻击特征的提取:未知攻击的异常特征可通过聚类分析得到,如异常聚类簇内数据流的共同特点,已知攻击类型的特征可预先定义,如ddos、sql注入、xss等攻击的典型特征。变种攻击同时提取异常特征和已知攻击特征,全面刻画其行为特点。
7、进一步的,判断每个聚类簇是否为异常聚类簇,包括:采用期望最大化em算法对提取的特征向量进行参数估计,得到k个高斯分布的均值向量、协方差矩阵和混合系数,其中,k为预设的聚类簇数量;根据混合系数和高斯分布参数,计算每个数据流的特征向量属于各个聚类簇的后验概率,并将各数据流划分到后验概率最大的聚类簇中,得到k个聚类簇;计算每个聚类簇内的数据流数量,并计算各聚类簇数量占数据流总量的比例;当比例小于阈值时,判断相应的聚类簇为小簇,小簇表示相应聚类簇内的数据流数量异常稀疏;对于每个聚类簇,计算对应聚类簇内所有数据流的特征向量的均值向量,作为相应聚类簇的中心点;计算聚类簇内每个数据流的特征向量到聚类簇中心点的马氏距离;当一个数据流的马氏距离大于阈值时,判断对应数据流为远离聚类簇中心的离群点;统计每个聚类簇的离群点数量,计算相应聚类簇内所有离群点到聚类中心的马氏距离的平均值,作为对应聚类簇的平均偏离程度;将属于小簇且平均偏离程度最大的前n个聚类簇,判定为异常聚类簇。
8、进一步的,基于随机森林算法构建识别模型对待检测数据流的特征向量进行预测,包括:对已标记的恶意数据流样本和正常数据流样本进行特征提取,得到训练样本集;基于训练样本集,采用bootstrap方法进行随机采样,从所有特征中随机选择部分特征,构建多棵cart决策树,组成随机森林,每棵决策树在节点分裂时,根据随机选择的特征子集和基尼指数准则选择最佳分裂特征;采用网格搜索方法,优化随机森林的超参数,超参数包含决策树的数量、每棵决策树的最大深度和节点分裂的最小样本数;通过交叉验证评估不同超参数组合下模型的性能,选择模型性能最优的超参数组合;根据最优的超参数组合,利用训练样本集训练随机森林模型,得到识别模型,利用训练后的识别模型获取输入数据流的攻击类型预测结果。
9、进一步的,根据识别出的恶意数据流,采用多智能体强化学习算法,通过多个智能体根据当前环境状态和攻击特征,调整防护策略,包括:根据识别出的恶意数据流,设置流量控制智能体和蜜罐部署智能体;其中,流量控制智能体根据恶意数据流的流量状态执行流量控制,蜜罐部署智能体根据恶意数据流的攻击状态执行蜜罐诱捕;基于恶意数据流的流量大小和流量突变程度构建流量控制智能体的状态空间;基于恶意数据流的源ip地址和攻击类型构建蜜罐部署智能体的状态空间;流量控制智能体通过状态空间获取恶意数据流的流量状态,蜜罐部署智能体通过状态空间获取恶意数据流的攻击状态;将不同级别的流量限制阈值作为流量控制智能体的动作空间;将不同交互程度的蜜罐系统作为蜜罐部署智能体的动作空间;流量控制智能体根据恶意数据流的流量状态从动作空间中选择流量限制阈值并执行流量控制,蜜罐部署智能体根据恶意数据流的攻击状态从动作空间中选择蜜罐系统并执行蜜罐诱捕;其中,蜜罐本文档来自技高网...
【技术保护点】
1.一种基于人工智能的数据安全动态防护方法,包括:
2.根据权利要求1所述的基于人工智能的数据安全动态防护方法,其特征在于:
3.根据权利要求2所述的基于人工智能的数据安全动态防护方法,其特征在于:
4.根据权利要求3所述的基于人工智能的数据安全动态防护方法,其特征在于:
5.根据权利要求2至4任一所述的基于人工智能的数据安全动态防护方法,其特征在于:
6.根据权利要求5所述的基于人工智能的数据安全动态防护方法,其特征在于:
7.根据权利要求6所述的基于人工智能的数据安全动态防护方法,其特征在于:
8.根据权利要求7所述的基于人工智能的数据安全动态防护方法,其特征在于:
9.根据权利要求8所述的基于人工智能的数据安全动态防护方法,其特征在于:
10.根据权利要求9所述的基于人工智能的数据安全动态防护方法,其特征在于:
【技术特征摘要】
1.一种基于人工智能的数据安全动态防护方法,包括:
2.根据权利要求1所述的基于人工智能的数据安全动态防护方法,其特征在于:
3.根据权利要求2所述的基于人工智能的数据安全动态防护方法,其特征在于:
4.根据权利要求3所述的基于人工智能的数据安全动态防护方法,其特征在于:
5.根据权利要求2至4任一所述的基于人工智能的数据安全动态防护方法,其特征在于:
6...
【专利技术属性】
技术研发人员:徐启恒,张衡,
申请(专利权)人:数算云无锡科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。