一种基于人工智能的实时网络安全威胁检测与应对系统技术方案

本发明专利技术公开了一种基于人工智能的实时网络安全威胁检测与应对系统，属于网络安全技术领域，包括异常行为检测子系统，异常行为检测子系统通过建立用户和系统的行为模型，实时监测网络中的行为数据，识别异常行为，恶意代码检测子系统，恶意代码检测子系统采用多种恶意代码检测技术，对网络中的文件和数据进行扫描，检测恶意代码，漏洞检测子系统，漏洞检测子系统定期对网络中的系统和应用进行漏洞扫描，发现安全漏洞，协同应对子系统，协同应对子系统根据各子系统的检测结果，协调各子系统之间的工作，制定统一的应对策略并执行，本发明专利技术能够延长系统的有效使用周期，降低了因技术陈旧而被攻击的风险。

【技术实现步骤摘要】

本专利技术属于网络安全，具体的说是一种基于人工智能的实时网络安全威胁检测与应对系统。

技术介绍

1、在当今数字化时代，网络安全至关重要。随着网络技术的飞速发展，网络攻击手段也日益复杂多样，对网络安全防护提出了更高的要求。

2、防火墙技术：在网络边界或关键节点处设置专门的防火墙设备或软件模块。技术人员依据网络安全策略，手动输入一系列基于源ip地址、目的ip地址、端口号和协议类型等参数的规则。当网络数据包经过防火墙时，系统会自动提取数据包中的相应信息，与预设规则进行逐一比对。若数据包符合允许规则，则予以放行；若符合阻止规则，则将其拦截。例如，在企业内部网络与外部互联网连接处部署防火墙，对于来自外部的访问请求，若源ip地址属于特定的信任网段且目的端口为企业内部允许的服务端口(如80端口用于http服务)，则允许该数据包通过；反之，若源ip地址在黑名单中或者目的端口为企业禁止访问的端口(如某些高危端口)，则阻止该数据包进入内部网络。

3、恶意代码检测技术：安全厂商或研究机构通过收集大量已发现的恶意代码样本，运用专业的分析工具和技术手段，提取本文档来自技高网...

【技术保护点】

1.一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，包括：异常行为检测子系统，异常行为检测子系统通过建立用户和系统的行为模型，实时监测网络中的行为数据，识别异常行为；恶意代码检测子系统，恶意代码检测子系统采用多种恶意代码检测技术，对网络中的文件和数据进行扫描，检测恶意代码；漏洞检测子系统，漏洞检测子系统定期对网络中的系统和应用进行漏洞扫描，发现安全漏洞；协同应对子系统，协同应对子系统根据各子系统的检测结果，协调各子系统之间的工作，制定统一的应对策略并执行。

2.根据权利要求1所述的进一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，异常行为检测子系统...

【技术特征摘要】

1.一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，包括：异常行为检测子系统，异常行为检测子系统通过建立用户和系统的行为模型，实时监测网络中的行为数据，识别异常行为；恶意代码检测子系统，恶意代码检测子系统采用多种恶意代码检测技术，对网络中的文件和数据进行扫描，检测恶意代码；漏洞检测子系统，漏洞检测子系统定期对网络中的系统和应用进行漏洞扫描，发现安全漏洞；协同应对子系统，协同应对子系统根据各子系统的检测结果，协调各子系统之间的工作，制定统一的应对策略并执行。

2.根据权利要求1所述的进一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，异常行为检测子系统采用无监督学习算法构建行为模型，收集大量正常的用户端行为数据，对这些数据进行特征提取和分析，确定行为特征指标，利用聚类算法，将正常行为数据聚合成不同的簇，构建行为模型，在实时检测过程中，将采集到的用户端行为数据与行为模型进行对比，如果数据点偏离正常簇的范围，则判定为异常行为。

3.根据权利要求2所述的进一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，异常行为检测子系统采用无监督学习算法构建行为模型具体为，分析用户端的正常行为模式，从中提取能够准确描述用户行为的特征，特征包括网络访问频率、访问目标的种类、数据包的大小与数量、登录时长、资源访问路径的复杂性，行为特征指标确定后，通过聚类算法将正常行为数据聚合成若干簇，以描述正常行为的分布特征，设正常行为数据集为x＝{x1,x2,...,xn}，其中xi表示第i个数据点，数据点维度等于特征数量，通过选择k个初始簇中心{μ1,μ2,...,μk}，聚类的目标是最小化以下目标函数：

4.根据权利要求1所述的进一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，恶意代码检测子系统采用了特征匹配和机器学习相结合的检测技术，通过收集已知恶意代码的特征库，对网络中的文件和数据进行特征匹配检测，采用支持向量机对恶意代码的样本进行学习，构建恶意代码分类模型，在检测过程中，先进行特征匹配检测，如果未发现匹配特征，则再使用机器学习模型进行检测，提高恶意代码检测的准确性和覆盖率。

5.根据权利要求4所述的进一种基于人工智能的实时网络安全威胁检测与应对系统，其特征在于，恶意代码检测子系统采用了特征匹配和机器学习相结合的检测技术具体为，将恶意代码样本与正常代码样本进行区分，通过收集大量恶意代码和正常代码的样本数据，对这些数据进行特征提取，提取的特征包括代码的静态属性如操作码分布、函数调用序列，以及动态行为如系统调用频率、内存操作模式，这些特征被转化为高维空间中的特征向量，供支持向量机模型使用，设训练数据集为{(xi,yi)|i＝1,2,...,n}，其中xi是特征向量，yi∈{-1，1}是分类标签，分别对应正常代码和恶意代码，支持向量机的目标是找到一个超平面f(x)＝wtx+b，使得不同类别的样本能够被尽可能正确地分...

【专利技术属性】
技术研发人员：王伟，许鑫，陈宇，姜海峰，焦润海，付云龙，曹慧，陈启维，周宏伟，付雨泽，高奇，
申请(专利权)人：国网吉林省电力有限公司电力科学研究院，
类型：发明
国别省市：