一种网络行为安全预警方法及系统

技术领域

本发明涉及网络安全技术领域，特别涉及一种网络行为安全预警方法及系统。

背景技术

计算机网络技术的不断进步与大规模普及，让社会真正意义地走进了信息化时代，不断提高着人们生产生活的效率以及生活水平。但是互联网不断发展的同时，网络安全威胁的风险也越来越高，出现许多因恶意网络行为而导致巨大失误和损失的情况，例如漏洞攻击、勒索软件攻击、病毒攻击等等。

目前，有关网络安全受到威胁的应对方式要么是在安全威胁产生后进行处理，要么要求客户拒绝访问未知文件或网站，极大影响用户体验。所以如何有效确保网络稳定运行的同时不影响用户体验就显得至关重要。

因此，本发明提出了一种网络行为安全预警方法及系统。

发明内容

本发明提供一种网络行为安全预警方法及系统，用以通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析；基于预测模型，预测得到后继网络行为；确定预测的后继网络行为被攻击的风险值，并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况，来有效判断后继行为是否会受到攻击，以实现安全预警。

本发明提供一种网络行为安全预警方法，包括：

步骤1：捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据；

步骤2：对所述攻击事件数据进行预处理和聚类，得到第一聚类结果；

步骤3：获取同类结果中攻击事件对应的网络行为的第一关键特征，构建网络异常行为特征集；

步骤4：基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为；

步骤5：基于网络行为关联原则，确定预测的后继网络行为的风险值，若风险值小于第一预设阈值，继续进行网络行为安全监测；

否则，对预测的后继网络行为进行特征采集得到第二关键特征，将所述第二关键特征与网络异常行为特征集进行特征匹配，若匹配度大于第二预设阈值，确定预测的后继行为将面临攻击事件，并进行安全预警。

优选的，捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据，包括：

监听网络，获取目标用户的历史网络行为数据包；

检测所述目标用户的历史网络行为数据包，筛选得到存在安全隐患的非正常数据信息；

对非正常数据信息进行分析与过滤，获取有价值的数据作为攻击事件数据进行输出。

优选的，对所述攻击事件数据进行预处理和聚类，得到第一聚类结果，包括：

对所述攻击事件数据进行预处理，得到标准特征值；

将所述标准特征值输入到聚类分析模型中进行聚类，得到第一聚类结果，其步骤如下：

步骤01：将所述标准特征值作为样本构建的样本数据集合X输入到聚类模型中进行聚类；

步骤02：通过对每个初次聚类结果中的样本分布进行密度分析，得到初始聚类中心；

步骤03：计算每个初次聚类结果中的每个样本与对应初始聚类中心的第一距离；

步骤04：若所有第一距离都小于或等于预设阈值，将对应的第一样本划入本类中；

若存在第一距离大于预设阈值的第二样本，将所述第二样本从所属的类中排除，构建孤立点集，基于密度分析确定对应第二聚类中心；

步骤05：获取所述第二聚类中心到每个样本的第二距离，将第二距离小于预设阈值的同时小于第一距离的第三样本划入本类中；并将与第三样本一致的第一样本从原类中剔除，最后总结得到第一聚类结果。

优选的，所述网络异常行为特征集包括：每个网络异常行为对应的的数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例。

优选的，基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为，包括：

分析目标用户的当前网络行为和历史网络行为，以其相似性实现行为分类，得到目标用户的行为习惯序列；

针对行为习惯序列中的多次出现序列以及与出现序列对应的触发条件进行分析处理，得到行为习惯模式；

基于所述行为习惯模式，对神经网络模型进行训练生成预测模型，并基于当前网络行为的触发条件，来预测后继网络行为。

优选的，预测后继网络行为，包括：

步骤11：基于所述预测模型对所述当前网络行为以及相应的触发条件进行预测，获取得到若干后继行为模式；

步骤12：基于若干后继行为模式，且结合行为习惯模式以及每个行为习惯模式的触发条件，生成行为权值有向图，筛选出权值最大的后继行为作为第一待选行为进行输出；

步骤13：计算若干历史网络行为所对应后继行为的权值误差，并根据权值误差对行为权值有向图进行更新调整；其中，权值误差公式如下：

其中，M表示为权值误差；x′

步骤14：根据更新后的权值有向图，获取权值最大的第二待选行为，若第一待选行为与第二待选行为不一致，选取第二待选行为作为预测的后继网络行为输出。

优选的，基于网络行为关联原则，确定预测的后继网络行为的风险值，包括；

计算预测的后继网络行为受到攻击的风险值，公式如下：

其中，F表示为预测的后继网络行为受到攻击的风险值；b表示为当前网络行为对预测的后继网络行为的风险影响因子，取值范围内是(0，1)；a1表示为当前网络行为的行为价值；β表示为历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败因子，取值范围是(0，1)；w

优选的，将所述第二关键特征与网络异常行为特征集进行特征匹配，包括：

对预测的后继网络行为进行主成分的分析处理，得到第二关键特征；

将所述第二关键特征中的误匹配特征值进行剔除，以实现粗剔除，得到第二关键特征值；

将所述第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比；

根据第j组第一匹配特征值与第二关键特征值，确定特征匹配度；

其中，j∈(1，2，…z)，z表示为网络异常行为特征集中的网络异常行为个数；m

若p

若p

本发明提供一种网络行为安全预警系统，包括：

数据获取模块：用于捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据；

聚类分析模块：用于对所述攻击事件数据进行预处理和聚类，得到第一聚类结果；

特征获取模块：用于获取同类结果中攻击事件对应的网络行为的第一关键特征，构建网络异常行为特征集；

预测行为模块：用于基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为；

安全预警模块：基于网络行为关联原则，确定预测的后继网络行为的风险值，并结合与网络异常特征的匹配情况来确定未来是否需要安全预警。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例中一种网络行为安全预警方法的流程图；

图2为本发明实施例中一种网络行为安全预警系统的结构图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明实施例提供一种网络行为安全预警方法，如图1所示，包括：

步骤1：捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据；

步骤2：对所述攻击事件数据进行预处理和聚类，得到第一聚类结果；

步骤3：获取同类结果中攻击事件对应的网络行为的第一关键特征，构建网络异常行为特征集；

步骤4：基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为；

步骤5：基于网络行为关联原则，确定预测的后继网络行为的风险值，若风险值小于第一预设阈值，继续进行网络行为安全监测；

否则，对预测的后继网络行为进行特征采集得到第二关键特征，将所述第二关键特征与网络异常行为特征集进行特征匹配，若匹配度大于第二预设阈值，确定预测的后继行为将面临攻击事件，并进行安全预警。

该实施例中，历史网络行为数据包中含有网络节点数据、网络流量信息、操作数据、攻击事件数据、通信数据以及防御数据；攻击事件数据主要是指攻击来源数据、攻击链行为数据以及攻击的网络行为数据。

该实施例中，对攻击事件数据预处理是为了将对应的数据格式转化为特征值的规范格式，来为后续的聚类处理奠定基础。

该实施例中，网络异常行为特征集是由第一关键特征构成的，实际上是指每个网络异常行为的数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例；其中网络异常行为是指攻击事件对应的网络行为。

该实施例中，后继网络行为是指某一网络行为结束后的下一个网络行为；网络行为关联原则是指前后网络行为之前存在的依赖和影响的合理化现象。

该实施例中，第一预设阈值是提前设定好的标准值，一般取值为0.55，其目的是为了对预测的后继网络行为受到攻击概率是否达到临界值进行判定。

该实施例中，第二关键特征是指预测的后继网络行为的主要特征；第二预设阈值是提前设定好的，一般取值为0.6。

上述技术方案的有益效果是：通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析；基于预测模型，预测得到后继网络行为；确定预测的后继网络行为被攻击的风险值，并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况，来有效判断后继行为是否会受到攻击，以实现安全预警。

本发明实施例提供一种网络行为安全预警方法，捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据，包括：

监听网络，获取目标用户的历史网络行为数据包；

检测所述目标用户的历史网络行为数据包，筛选得到存在安全隐患的非正常数据信息；

对非正常数据信息进行分析与过滤，获取有价值的数据作为攻击事件数据进行输出。

该实施例中，安全隐患包括有网络节点漏洞、防御异常、操作日志异常以及通信异常；攻击事件数据是指攻击来源数据、攻击链行为数据以及攻击的网络行为数据。

上述技术方案的有益效果是：通过对目标用户的历史网络行为数据包获取与检测，得到存在安全隐患的非正常数据信息；对非正常信息进行过滤来有效得到攻击事件数据，为后续聚类分析提供数据支撑。

本发明实施例提供一种网络行为安全预警方法，对所述攻击事件数据进行预处理和聚类，得到第一聚类结果，包括：

对所述攻击事件数据进行预处理，得到标准特征值；

将所述标准特征值输入到聚类分析模型中进行聚类，得到第一聚类结果，其步骤如下：

步骤01：将所述标准特征值作为样本构建的样本数据集合X输入到聚类模型中进行聚类；

步骤02：通过对每个初次聚类结果中的样本分布进行密度分析，得到初始聚类中心；

步骤03：计算每个初次聚类结果中的每个样本与对应初始聚类中心的第一距离；

步骤04：若所有第一距离都小于或等于预设阈值，将对应的第一样本划入本类中；

若存在第一距离大于预设阈值的第二样本，将所述第二样本从所属的类中排除，构建孤立点集，基于密度分析确定对应第二聚类中心；

步骤05：获取所述第二聚类中心到每个样本的第二距离，将第二距离小于预设阈值的同时小于第一距离的第三样本划入本类中；并将与第三样本一致的第一样本从原类中剔除，最后总结得到第一聚类结果。

该实施例中，第一距离是指经计算得到的每个样本与初始聚类中心的距离，取值区间(0,1)；预设阈值是提前设定好的，一般为0.6。

该实施例中，比如，存在初始聚类中心A与样本1、2、3对应的第一距离分别是0.3、0.6、0.7，此时确定样本1和2为第一样本，划入初始聚类中心对应的初始聚类中，样本3作为第二样本划出该类。

该实施例中，比如，存在初始聚类中心B、第二聚类中心C以及包含在初始聚类中心B对应类中的样本4、5；确定样本4、5到初始聚类中心B的第一距离分别是0.1、0.5，到第二聚类中心C的第二距离分别是0.2、0.4；

此时，因为样本5对应的第二距离小于预设阈值且小于第一距离，因此，样本5划入第二聚类中心C对应的类中，并从初始聚类中心B对应的类中剔除；而样本4对应的第二距离大于第一距离，故样本4仍应该从属于初始聚类中心B的对应类中。

上述技术方案的有益效果是：通过对攻击事件数据预处理得到能进行聚类分析的标准特征值；将标准特征值作为样本进行聚类处理，为有效获取同类结果中攻击事件对应的网络行为的关键特征，来构建网络异常行为特征集提供基础。

本发明实施例提供一种网络行为安全预警方法，基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为，包括：

分析目标用户的当前网络行为和历史网络行为，以其相似性实现行为分类，得到目标用户的行为习惯序列；

针对行为习惯序列中的多次出现序列以及与出现序列对应的触发条件进行分析处理，得到行为习惯模式；

基于所述行为习惯模式，对神经网络模型进行训练生成预测模型，并基于当前网络行为的触发条件，来预测后继网络行为。

该实施例中，行为习惯序列是通过充分应用网络行为数据，对用户的行为进行分析，基于相似性分类得到的；触发条件实际上是指目标用户的网络行为目的以及前一行为对当前行为的影响因素；行为习惯模式是以所有得到的行为习惯序列为基础分析总结得到的有规律的行为结构。

上述技术方案的有益效果是：通过基于目标用户的网络行为数据，对目标用户的网络行为相似性分类得到行为习惯序列；结合触发条件以及对行为习惯序列的总结得到行为习惯模式；根据行为习惯模式训练神经网络模型可以有效生成预测模型，实现对后继网络行为的预测，为网络行为安全预警提供基础。

本发明实施例提供一种网络行为安全预警方法，预测后继网络行为，包括：

步骤11：基于所述预测模型对所述当前网络行为以及相应的触发条件进行预测，获取得到若干后继行为模式；

步骤12：基于若干后继行为模式，且结合行为习惯模式以及每个行为习惯模式的触发条件，生成行为权值有向图，筛选出权值最大的后继行为作为第一待选行为进行输出；

步骤13：计算若干历史网络行为所对应后继行为的权值误差，并根据权值误差对行为权值有向图进行更新调整；其中，权值误差公式如下：

其中，M表示为权值误差；x′

步骤14：根据更新后的权值有向图，获取权值最大的第二待选行为，若第一待选行为与第二待选行为不一致，选取第二待选行为作为预测的后继网络行为输出。

该实施例中，后继行为模式是指后继行为的行为结构、内容以及有规律的行为系列；行为权值有向图是基于对行为模式的监测得到，主要由带有权值的行为构成，可以得到不同行为彼此之间的对应关系，有利于筛选得到可能性最高的后继行为。

该实施例中，比如，存在后继行为1、2、3，对应权值分别是x

该实施例中，对行为权值有向图进行更新调整是为了促使预测结果更加精确。

上述技术方案的有益效果是：通过预测模型获取后继行为模式；将后继行为模式、行为习惯模式与触发条件相结合可有利于得到行为带权有向图；基于对所述行为带权有向图的分析与更新优化，可有效筛选得到可能性最高的后继行为作为预测的后继行为输出，并提高了预测的精确性。

本发明实施例提供一种网络行为安全预警方法，基于网络行为关联原则，确定预测的后继网络行为的风险值，包括；

计算预测的后继网络行为受到攻击的风险值，公式如下：

其中，F表示为预测的后继网络行为受到攻击的风险值；b表示为当前网络行为对预测的后继网络行为的风险影响因子，取值范围内是(0，1)；a1表示为当前网络行为的行为价值；β表示为历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败因子，取值范围是(0，1)；w

上述技术方案的有益效果是：通过将当前网络行为的行为价值和对预测的后继网络行为的风险影响，以及历史网络行为中所有与预测的后继网络行为一致的网络行为受到攻击且阻拦失败进行权重分析计算，来得到预测的后继网络行为受到攻击的风险值，以保证后续安全预警的合理性。

本发明实施例提供一种网络行为安全预警方法，将所述第二关键特征与网络异常行为特征集进行特征匹配，包括：

对预测的后继网络行为进行主成分的分析处理，得到第二关键特征；

将所述第二关键特征中的误匹配特征值进行剔除，以实现粗剔除，得到第二关键特征值；

将所述第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比；

根据第j组第一匹配特征值与第二关键特征值，确定特征匹配度；

其中，j∈(1，2，…z)，z表示为网络异常行为特征集中的网络异常行为个数；m

若p

若p

该实施例中，第二关键特征包括有数据包字节数、数据包流量、目的端口数量、数据流源子网数量、源端口数量、源IP数量以及各总流量比例。

该实施例中，误匹配特征值是指可能导致匹配结果存在误差的特征值；粗剔除是为了保证匹配结果的精确性。

该实施例中，第二预设阈值是提前设定好的，一般取值为0.6。

该实施例中，比如，存在特征匹配度最大值p

上述技术方案的有益效果是：通过将剔除误匹配特征值后得到的第二关键特征值与网络异常行为特征集中的每个网络异常行为的对应第一特征匹配值进行对比，得到特征匹配度；根据特征匹配度最大值与第二预设阈值之间的大小关系来有效判定预测的后继网络行为会受到攻击事件，进而确定是否进行安全预警以及针对性应急措施。

本发明实施例提供一种网络行为安全预警系统，如图2所示，包括：

数据获取模块：用于捕获目标用户的历史网络行为数据包，并从历史网络行为数据包中筛选得到攻击事件数据；

聚类分析模块：用于对所述攻击事件数据进行预处理和聚类，得到第一聚类结果；

特征获取模块：用于获取同类结果中攻击事件对应的网络行为的第一关键特征，构建网络异常行为特征集；

预测行为模块：用于基于目标用户的当前网络行为以及历史网络行为对神经网络模型进行训练得到预测模型，来预测后继网络行为；

安全预警模块：基于网络行为关联原则，确定预测的后继网络行为的风险值，并结合与网络异常特征的匹配情况来确定未来是否需要安全预警。

上述技术方案的有益效果是：通过获取目标用户的历史网络行为数据包来得到攻击事件数据并进行分析；基于预测模型，预测得到后继网络行为；确定预测的后继网络行为被攻击的风险值，并结合后继网络行为与攻击事件对应的网络行为之间的特征匹配情况，来有效判断后继行为是否会受到攻击，以实现安全预警。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。