网络异常行为检测与动态防御方法、系统技术方案

本发明专利技术提供了网络异常行为检测与动态防御方法、系统，方法包括：采集多源数据，多源数据包括网络流量数据、终端行为数据、应用日志数据和威胁情报数据；通过自编码器对网络流量数据进行异常分析，得到异常结果；将终端行为数据、应用日志数据和威胁情报数据作为输入数据；将输入数据通过图神经网络进行分析，得到横向渗透行为；根据异常结果的属性和横向渗透行为的属性进行策略调整、动态隔离和漏洞修复；通过图神经网络的异常检测和自编码器的异常检测，有效应对新型未知的网络威胁和入侵攻击；有效提升网络威胁告警的准确率；基于环境变化与攻击反馈，自动优化检测模型与防御策略。

【技术实现步骤摘要】

本专利技术涉及网络安全，尤其是涉及网络异常行为检测与动态防御方法、系统。

技术介绍

1、随着个人电脑和互联网应用技术的普及，网络安全威胁和风险日益突出，国际宏观环境变乱交织，全球网络攻击活动持续升级，网络安全逐步向政治、经济、国防、社会等领域传导渗透，防范网络安全风险、维护网络空间安全，已经成为我们必须面对和解决的重大安全问题。

2、目前，传统网络安全防御手段(例如，规则库匹配和静态防火墙)依赖已知攻击特征库，难以应对新型未知威胁(例如，零日攻击和apt攻击)；现有机器学习模型在动态网络环境中存在误报率高、模型更新滞后、实时性不足等问题；网络攻击手段日益复杂化(如对抗样本攻击)，传统检测方法易被绕过，无法应对新型未知威胁。

技术实现思路

1、有鉴于此，本专利技术的目的在于提供网络异常行为检测与动态防御方法、系统，通过图神经网络的异常检测和自编码器的异常检测，有效应对新型未知的网络威胁和入侵攻击；有效提升网络威胁告警的准确率；基于环境变化与攻击反馈，自动优化检测模型与防御策略。</p>

2、第一本文档来自技高网...

【技术保护点】

1.一种网络异常行为检测与动态防御方法，其特征在于，所述方法包括：

2.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，所述网络流量数据包括协议、载荷、会话、数据包长度和传输间隔，所述终端行为数据包括终端进程活动日志、文件操作记录、注册表变更和用户权限变更，所述应用日志数据包括业务API调用、用户身份认证记录、用户行为序列和数据库访问审计，所述威胁情报数据包括从对接开放威胁库获取的入侵指标、漏洞数据库和黑客组织TTPs。

3.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，通过自编码器对所述网络流量数据进行异常分析，得到异常结果，包...

【技术特征摘要】

1.一种网络异常行为检测与动态防御方法，其特征在于，所述方法包括：

2.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，所述网络流量数据包括协议、载荷、会话、数据包长度和传输间隔，所述终端行为数据包括终端进程活动日志、文件操作记录、注册表变更和用户权限变更，所述应用日志数据包括业务api调用、用户身份认证记录、用户行为序列和数据库访问审计，所述威胁情报数据包括从对接开放威胁库获取的入侵指标、漏洞数据库和黑客组织ttps。

3.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，通过自编码器对所述网络流量数据进行异常分析，得到异常结果，包括：

4.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，将所述输入数据通过图神经网络进行分析，得到横向渗透行为，包括：

5.根据权利要求1所述的网络异常行为检测与动态防御方法，其特征在于，根据所述异常结果的属性和所述横向渗透行为的属性进行策略调整、动态隔离和漏洞修复，包括：

6.根据权利要求1...

【专利技术属性】
技术研发人员：陈德权，
申请(专利权)人：北京数码视讯支付技术有限公司，
类型：发明
国别省市：