申请/专利权人：莆田市睿光信息技术有限公司

申请日：2023-12-25

公开（公告）日：2024-03-19

公开（公告）号：CN117729043A

主分类号：H04L9/40

分类号：H04L9/40

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.05#实质审查的生效;2024.03.19#公开

摘要：本发明涉及网络安全领域，特别地涉及一种基于大数据的网络安全预警方法及系统。本发明通过实时获取网络流量数据，并对其进行数据预处理，使用分类模型对流量进行分类，分类为正常事件、异常事件与可疑事件，并对其中的异常事件进行安全预警；通过沙盒的方式对可疑事件进行鉴别，验证恶意攻击流量数据的同时保护原系统，并使用鉴别后的可疑事件的特征作为新的数据集，对分类模型进一步优化，可以更好地提高分类模型分类的准确性以及对新型异常事件的识别分类。

主权项：1.一种基于大数据的网络安全预警方法，其特征在于，包括：步骤1：流量监控模块从各个网络节点、服务器监控实时流量数据，得到当前事件的流量数据；步骤2：事件分类模块根据所述流量数据对当前事件进行分类，分为正常事件、异常事件与可疑事件，并对异常事件进行预警；步骤3：沙盒模块将数据库中记录的所述可疑事件的流量数据导入至沙盒中，观察沙盒的情况；步骤4：智能优化模块获取可疑事件特征作为新的数据集，并不断优化分类模型。进一步地，所述步骤2：事件分类模块根据所述流量数据对当前事件进行分类，分为正常事件、异常事件与可疑事件，并对异常事件进行预警，包括：数据清洗单元对所述流量数据进行数据清洗，得到输入数据；事件分类单元根据输入数据对当前事件进行分类，得到事件的分类结果；预警单元根据分类结果对异常事件进行安全预警；所述数据清洗单元对所述流量数据进行数据清洗，得到输入数据，包括：通过数据清洗，数据归约化，特征提取，数据转化对流量数据进行特征提取，得到所述输入数据；所述事件分类单元根据输入数据对当前事件进行分类，得到事件的分类结果，包括：获取预设的支持向量分类模型，通过支持向量分类模型对所述输入数据进行分类，根据输入数据分类结果将所述当前事件分类为正常事件、异常事件与可疑事件；所述支持向量分类模型，指通过对已有的网络流量数据集进行模型训练得到可以分类网络流量数据的分类模型；对输入数据进行特征映射，包括：使用支持向量分类模型的核函数对输入数据进行特征映射，将输入数据映射到高维空间中；通过模型训练得到决策函数，根据所述决策函数的输出结果对输入数据进行分类，包括：通过所述决策函数对输入数据进行计算，得到计算结果，根据计算结果的值判断输入数据的类别；所述决策函数得到的结果为+1、-1、0，其中+1表示分类为正常事件，-1表示分类为异常事件，并根据决策函数的结果对当前事件进行标记；当决策函数计算结果为0时，则说明输入数据在核函数映射后，刚好在支持向量机的决策超平面上，从而无法将该数据分类，则将该事件标记为可疑事件，并将可疑事件的数据保存至数据库中；所述预警单元根据分类结果对异常事件进行安全预警，包括：如果当前事件分类为正常事件，则无操作；如果当前事件分类为异常事件，则将该事件的流量信息可视化至前端界面，并发出预警信息；进一步地，所述步骤3：沙盒模块将数据库中记录的所述可疑事件的流量数据导入至沙盒中，观察沙盒的情况，包括：事件获取单元获取数据库中的所述可疑事件；沙盒模拟单元将可疑事件的流量数据导入至模拟沙盒中；可视化单元将可疑事件的行为特征可视化在前端界面中；分类记录单元记录系统管理者对可疑事件的分类操作；所述沙盒模拟单元将可疑事件的流量数据导入至模拟沙盒中，包括：将可疑事件的流量数据导入至模拟沙盒中，沙盒模拟单元监控沙盒中可疑事件的访问和操作；所述模拟沙盒，即为一种与原系统相似、但与原系统隔离的模拟系统，其作用在于使得输入其中的木马程序、恶意攻击无法影响到原系统；所述可视化单元将可疑事件的行为特征可视化在前端界面中，包括：可视化单元将可疑事件的访问和操作等行为特征可视化在前端界面中；所述分类记录单元记录系统管理者对可疑事件的分类操作，包括：分类记录单元记录系统管理者对可疑事件的分类结果，并将所述分类结果记录为可疑事件属性；进一步地，所述步骤4：智能优化模块获取可疑事件特征作为新的数据集，并不断优化分类模型，包括：第一判断单元判断数据库中的可疑事件增量是否达到第一阈值；数据整合单元整合数据库中新增的被管理员分类标记的可疑事件作为新的数据集；学习单元通过新的数据集更新支持向量分类模型参数；所述第一判断单元判断数据库中可疑事件增量是否达到第一阈值，包括：第一判断单元获取数据库中已被管理员分类标记后的可疑事件增量，如果所述可疑事件增量不小于第一阈值，则对支持向量分类模型进行下一步优化，保存当前的时间，记为优化时间；如果所述可疑事件增量小于第一阈值，则不进行下一步操作；所述可疑事件增量，表示从上一次优化时间至当前的时间段内，被管理员分类标记的可疑事件数量，即为新增的被管理员分类标记的可疑事件数量；所述数据整合单元整合数据库中新增的被管理员分类标记的可疑事件作为新的数据集，包括：数据整合单元整合数据库中新增的被管理员分类标记的可疑事件作为分类模型的新的数据集；所述学习单元通过新的数据集更新支持向量分类模型参数，包括：学习单元根据新的数据集，通过增量学习的方法，更新支持向量分类模型参数，以提升所述支持向量分类模型对新型网络攻击的识别能力。

全文数据：

权利要求：

百度查询： 莆田市睿光信息技术有限公司 一种基于大数据的网络安全预警方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD