【技术实现步骤摘要】
本专利技术涉及网络安全,具体为一种基于大数据的计算机网络安全防护系统。
技术介绍
1、随着信息技术的飞速发展,网络安全问题越来越复杂,尤其是在面对分布式拒绝服务(ddos)攻击、sql注入、爬虫攻击和暴力破解等新型威胁时,传统的网络安全防护手段面临着许多挑战。现有的安全防护技术大多依赖基于规则的防护系统,通过设置固定规则和签名匹配来识别恶意流量。
2、随着大数据技术和云计算的兴起,基于海量数据流量分析的网络安全防护技术逐渐成为研究的热点。这些方法通过对流量的全面采集和深度分析,能够基于多维度特征(如ip地址分布、请求路径、请求频率等)识别异常行为和潜在威胁,尤其是针对新型攻击类型的应对具有较大的潜力。
3、经检索,中国专利(cn118748611b)公开了一种网络安全防护方法及系统,该专利包括,获取目标用户的用户行为数据,并确定用户当前网络安全等级;根据网络环境的实时状态和历史数据,自动调整活跃指数、登录异常指数、运行指数和操作异常指数的权重参数;利用收集的用户行为数据建立混合状态模型,识别并预测正常与异常行为模式;基于动态调整后的权重参数,计算目标用户的综合安全参数,进而确定用户的总体安全等级;根据用户的安全等级动态调整网络访问控制策略。
4、在现有技术中,现有基于流量统计的异常检测方法通常依赖于历史数据进行模式识别,对实时流量的快速响应能力较弱,并且现有系统通常仅关注流量的总体统计特征,如ip数量、流量增速等,但忽视了请求路径、请求参数等更为细粒度的数据特征。这样的分析方法可能会遗漏一些较
技术实现思路
1、本专利技术的目的在于提供了一种基于大数据的计算机网络安全防护系统,以解决上述
技术介绍
中提到的问题。
2、本专利技术可以通过以下技术方案实现:一种基于大数据的计算机网络安全防护系统,包括云处理平台、模型库、至少一组采集模块和工作层;
3、所述模型库基于对应计算机网络的历史工作数据,建立对应的数据大模型,其中,历史工作数据包括ip地址的区域分布数据、各区域ip不同时间段的流量数据、各区域ip的访问内容和各ip的请求频率;
4、模型库在采集对应计算机网络的历史工作数据时,提取对应历史数据预设的关键特征,用于训练数据t大模型,关键特征包括:时序特征、空间特征、内容特征和流量统计特征;
5、所述工作层是计算机网络的基本运行层,负责体现计算机网络在正常操作中的各项数据和行为;
6、所述采集模块与工作层中对应计算机网络的相匹配,并采用旁路方式监听访问数据,在获得访问数据的同时,可以减少对工作层中计算机网络的干扰;
7、所述采集模块在获得访问数据后,将访问数据传输至云处理平台;
8、所述云处理平台接收访问数据后,对访问数据进行解析,获得ip数量数据、ip地址的实时分布数据、ip的实时访问内容数据和对应ip的请求频率;
9、并且云处理模块基于ip数量数据、ip地址的实时分布数据、ip的实时访问内容数据和对应ip的请求频率,采用公式计算网络安全指数st,公式具体为:
10、
11、式中,n为单位时间内的ip数量,其通过ip数量数据获得;
12、dt为ip地址的实时地理分布熵,其通过ip地址的实时分布数据获得,通过计算ip地址在不同地理位置的分布情况,分析访问来源的集中程度,
13、并且m是总共的不同地理位置数量,qi是某个地理位置i的ip占比,dt越大,表明ip地址分布较为均匀,访问来源分散,dt越小,表明大量流量来自同一地区;
14、ct为ip访问内容多样性,其通过ip的实时访问内容数据获得,具体来源于ip实时访问的url、api请求、端口使用情况等,计算方法为:
15、其中,r为所有不同内容类别的数量,qj是某个url、api或资源类别j被访问的概率;ct越大,访问的内容多样化;ct越小,意味着多个ip访问相同内容;
16、ft为ip请求频率,其通过对应ip请求频率获得;计算方法为:
17、其中,n为单位时间内的ip数量;fi为第i个ip在时间t内的请求次数;
18、pi为单个ip的异常概率;
19、并且云处理平台将网络安全指数st与预设的安全阈值进行对比;
20、若网络安全指数st<预设的安全阈值,则触发对应计算机网络的安全防护,包括二次验证、流量限速、访问拦截、黑名单管控等;
21、若网络安全指数st≥预设的安全阈值,将该ip标记为正常ip,则维持现有计算机网络访问策略。
22、本专利技术的进一步技术改进在于:所述pi的获得方法,包括以下步骤:
23、s1、云处理平台计算单位时间内ip的访问次数,并进行归一化处理,获得ip访问频率f’i;
24、s2、云处理平台计算对应ip在不同时间段内访问的资源分布熵ci,以判断访问模式是否异常,采用的公式为
25、z为对应ip访问的不同内容类别的总数,qa为对应ip在时间窗口内访问类别a的概率,即qa=类别a的访问次数/该ip访问的总次数;
26、s3、云处理平台通过ip归属地比对历史访问记录及可信区域数据库,确定该ip的地理风险评分gi;
27、s4、检测ip访问的端口是否为非典型端口,协议使用是否涉及异常行为,并基于检测结果获得端口异常值yi,若对应ip方位未授权端口或使用异常协议,则端口异常值yi增加;
28、yi=异常端口访问次数/总访问次数;
29、s5、通过查询安全数据库,获取该ip是否曾被标记为恶意来源,并且根据被标记次数,获取ip的信誉评分bi;
30、bi的取值范围为[0,1];
31、s6、基于公式pi=ω1·f’i+ω2·ci+v3·gi+ω4·yi+ω5·bi,计算得出单个ip的异常概率pi;
32、式中,ω1、ω2、ω3、ω4和ω5为对应特征的权重,其通过历史数据进行调整。
33、本专利技术的进一步技术改进在于:所述云处理平台在获得ip地址的实时分布数据时,对各ip地址的地理位置进行统计,并监测各地理位置ip数量的增长量与增长速度,来判断访问数据是否具有恶意特征。
34、本专利技术的进一步技术改进在于:所述云处理平台判断访问数据的方法,包括以下步骤:
35、q1、采集对应时间窗口的访问数据,并结合预设的ip归属地查询数据库解析各ip的地理位置loc;
36、q2、统计单位时间t内不同地理位置loc的唯一ip数量nloc(t),公式为:
37、式中,nloc(t)表示在时间t内,某个地理位置(loc)内的唯一ip数量;i为总ip数量;i(ipi∈loc)为指示函数,表示该ip是否属于某个地理位置loc,若某个ip地址ipi属于该地理位置loc,本文档来自技高网...
【技术保护点】
1.一种基于大数据的计算机网络安全防护系统,包括云处理平台、模型库、至少一组采集模块和工作层,其特征在于:
2.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,历史工作数据的关键特征包括时序特征、空间特征、内容特征和流量统计特征。
3.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述Pi的获得方法,包括以下步骤:
4.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述云处理平台在获得IP地址的实时分布数据时,对各IP地址的地理位置进行统计,并监测各地理位置IP数量的增长量与增长速度,来判断访问数据是否具有恶意特征。
5.根据权利要求4所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述云处理平台判断访问数据的方法,包括以下步骤:
6.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述云处理平台对同一IP在单位时间窗口内的实时访问内容进行关联性分析,判断对应IP是否为异常访问,以辅助判断该IP是否为恶意流量,其
7.根据权利要求6所述的一种基于大数据的计算机网络安全防护系统,其特征在于,正常用户的访问路径集合和正常用户的请求参数集合的获取方法,包括以下步骤;
8.根据权利要求7所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述云处理平台对访问路径集合和参数集合分别设定最小访问频率阈值和最小请求频率阈值;
...【技术特征摘要】
1.一种基于大数据的计算机网络安全防护系统,包括云处理平台、模型库、至少一组采集模块和工作层,其特征在于:
2.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,历史工作数据的关键特征包括时序特征、空间特征、内容特征和流量统计特征。
3.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述pi的获得方法,包括以下步骤:
4.根据权利要求1所述的一种基于大数据的计算机网络安全防护系统,其特征在于,所述云处理平台在获得ip地址的实时分布数据时,对各ip地址的地理位置进行统计,并监测各地理位置ip数量的增长量与增长速度,来判断访问数据是否具有恶意特征。
5.根据权利要求4所述...
【专利技术属性】
技术研发人员:付艳玲,崔冰,白晓贝,张伟,张恩宾,魏娟,
申请(专利权)人:河南财政金融学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。