申请/专利权人：莆田市睿光信息技术有限公司

申请日：2023-12-28

公开（公告）日：2024-04-02

公开（公告）号：CN117811802A

主分类号：H04L9/40

分类号：H04L9/40;G06F18/2413

优先权：

专利状态码：在审-实质审查的生效

法律状态：2024.04.19#实质审查的生效;2024.04.02#公开

摘要：本发明应用于网络安全领域，提供了一种网络安全监控系统，所述系统包括：信息处理模块，用于搜集和处理确定的或疑似的攻击信息数据；模型训练模块，用于根据所述攻击信息数据，训练攻击信息识别模型；安全监控模块，用于根据攻击信息识别模型的预测结果，将网络交互信息连接至对应的网络系统，并启动对应等级的预警；模型优化模块，用于分析攻击信息数据，对系统模型进行优化；本发明借助攻击信息识别模型，对网络交互信息进行识别分流，通过低交互蜜罐和部分激活的高交互蜜罐结合的综合蜜罐系统，对攻击信息进行数据采集和行为分析，和传统蜜罐系统相比，本发明在节省了人力资源和计算机资源的同时，提高了系统监控和处理网络攻击的效率。

主权项：1.一种网络安全监控系统，其特征在于，包括：信息处理模块，用于搜集和处理确定的或疑似的攻击信息数据；模型训练模块，用于根据所述攻击信息数据，训练攻击信息识别模型；安全监控模块，用于根据攻击信息识别模型的预测结果，将网络交互信息连接至对应的网络系统，并启动对应等级的预警；模型优化模块，用于分析攻击信息数据，对系统模型进行优化；进一步的，所述信息处理模块，包括：信息搜集单元，用于搜集确定的或疑似的攻击信息数据；信息处理单元，用于对所述攻击信息数据进行清洗和预处理操作；信息上传单元，用于将所述处理后的攻击信息数据上传至系统攻击信息数据库中；所述信息搜集单元的具体功能为：分析系统安全日志数据，从系统安全日志中获取到已标记的攻击信息数据；定期启动网络信息获取功能，从网络上获取确定的或疑似的攻击信息数据；所述信息处理单元的具体功能为：对获取到的攻击信息数据进行数据转换，包括：对IP地址进行数值转换；对浏览器指纹进行数值化处理；进一步的，所述模型训练模块，包括：模型构建单元，用于构建所述攻击信息识别模型；模型训练单元，用于训练所述攻击信息识别模型；所述模型构建单元的具体功能为：确定模型的输入层、隐层、输出层和传递函数；输入层因子为Xi,i∈[1,5],其中X1为第一预设因子、X2为第二预设因子、X3为第三预设因子、X4为第四预设因子、X5为第五预设因子；隐层神经元个数Nh的计算公式为： 其中，Ni为输入层神经元个数，No为输出层神经元个数，β为特定常量，β∈1,10；输出层因子为攻击信息危险值，用T表示；所述攻击信息危险值代表攻击信息的危险程度，取值区间为[0,1]，取值越高，代表该条信息的危险程度越高；所述传递函数F取sigmoid函数；所述模型训练单元的具体功能为：从系统攻击信息数据库中获取攻击信息数据，作为输入层数据；对输入层数据进行标准化处理；将模型中各个权重值进行初始化，赋予-1，1之间的随机数；从训练数据组中选取一组数据对Xk,Tk，将输入变量加到输入层；所述将输入变量加到输入层的公式为： 其中，Yi0表示第0层第i节点的输出值，即表示第k层的第i节点的输入值；信号通过神经网络向前传播；所述前向传播的公式为： 其中，F为传递函数，为第m层第j节点的加权计算值，表示从到之间的连续加权，表示第m层第j节点的阈值，m≥1；计算输出层每个结点的误差值所述误差值的计算公式为： 其中，代表第k层第j结点的目标要求值；计算前面各层每个结点的误差值所述误差值的计算公式为： 反向逐层修正权值和阈值所述权值的计算公式为： 所述阈值的计算公式为： 其中，t为迭代次数，η为学习速率，η∈0,1，α为动量因子，α∈0,1；继续从训练数据组中选取一组数据对Xk,Tk，转入下一轮训练阶段，重复该步骤下的所有步骤，直至神经网络全局误差E达到预设的精度E0为止；所述神经网络全局误差E的计算公式为： 进一步的，所述安全监控模块，包括：蜜罐部署单元，用于蜜罐系统的部署，其中，所述蜜罐系统包括第一预设蜜罐系统和第二预设蜜罐系统；重定向控制单元，用于将网络交互流重定向至对应的网络系统，其中，所述网络系统包括主机系统和蜜罐系统；信息记录单元，用于记录攻击信息的基本数据和在蜜罐系统中产生的行为数据，并将日志上传至系统服务器；攻击信息更新单元，用于利用蜜罐系统搜集到的攻击信息数据更新系统攻击信息数据库；监控预警单元，用于根据系统受到的网络攻击综合情况，启动对应等级的预警；所述第一预设蜜罐系统为低交互蜜罐系统，是利用虚拟化技术，在实体服务器中部署若干个蜜罐结点，仿造真实系统构建的虚拟系统；所述第二预设蜜罐系统为低交互蜜罐与可部分激活的高交互蜜罐结合的蜜罐系统，是结合虚拟化技术和部分主机系统副本构建的部分真实的系统；所述网络攻击综合情况用预设时段T0内的网络攻击危险级NARL表示，NARL越大，危险级越高；所述蜜罐部署单元的具体功能为：根据人工输入的蜜罐部署位置信息，进行第一预设蜜罐系统的安装与配置；使用流量仿真技术，构造仿真流量；使用网络动态配置技术，模仿正常的网络行为；基于低交互蜜罐系统，结合可针对网络攻击信息激活对应系统部分的高交互蜜罐系统，进行第二预设蜜罐系统的部署；所述第二预设蜜罐系统可根据网络攻击信息的网络交互度和攻击意图，对网络攻击进行分类，并针对不同的网络攻击类别，激活相应部分的高交互蜜罐系统；所述重定向单元的具体功能为：利用攻击信息识别模型，预测网络交互信息的攻击信息危险值；当网络交互信息的攻击信息危险值高于或等于0，低于第一预设阈值时，将网络交互信息流重定向至主机系统；当网络交互信息的攻击信息危险值高于或等于第一预设阈值，低于第二预设阈值时，将网络交互信息流重定向至第一预设蜜罐系统；当网络交互信息的攻击信息危险值高于或等于第二预设阈值，低于第三预设阈值时，将网络交互信息流重定向至第二预设蜜罐系统；当网络交互信息的攻击信息危险值高于或等于第三预设阈值，低于或等于1时，拒绝该网络交互信息的连接；所述监控预警单元的具体功能为：每隔预设时段T0，计算该预设时段T0内的网络攻击危险级NARL；所述网络攻击危险级NARL的计算公式为： 其中，所述Ni表示第i类攻击级别的网络攻击数量，wi表示对应Ni的权重，w1、w2和w3分别为第一预设权重、第二预设权重和第三预设权重，且w1w2w3，n＝3；所述网络攻击数量Ni为： 所述攻击级别Attacki为： 其中，Attacki表示第i类攻击级别，NAIi表示Attacki的网络攻击信息，numNAIi表示NAIi的数量，i∈[0,4]；当网络攻击危险级NARL大于或等于0，但小于第一预设区间的左端点时，不启动预警；当网络攻击危险级NARL位于第一预设区间时，启动低级预警；当网络攻击危险级NARL位于第二预设区间时，启动中级预警；当网络攻击危险级NARL位于第三预设区间时，启动高级预警；进一步的，所述模型优化模块，包括：模型优化单元，用于定期利用系统攻击信息数据库中的新攻击信息数据作为训练集训练模型，更新模型参数；所述模型优化单元的具体功能为：在间隔预设时段T1之后，使用随机分层抽样的方法，选取该预设时段T1内系统攻击信息数据库中更新的n条攻击信息数据和该预设时段T1前预设时段T2内的m条攻击信息数据，随机混合后作为攻击信息识别模型的新数据集，进行模型训练，对模型参数进行更新。

全文数据：

权利要求：

百度查询： 莆田市睿光信息技术有限公司 一种网络安全监控系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD