[发明专利]面向动态数据的网络行为分析及态势感知系统和方法

说明书

面向动态数据的网络行为分析及态势感知方法，包括以下步骤，S10、动态获取网络行为数据特征；S20、基于无监督在线学习增强系统结合聚类算法对网络业务数据特征进行初步聚类；S30、计算不同分簇的可疑度指标，以此来反向指导聚类算法，形成闭环增益；S40，将所述可疑度较高的分簇，进行第二级细化分析，抽取数据特征进行进一步检测；S50、按照预设可疑度指标阈值计算规则，对所述可疑度指标进行多级的计算，以动态获取所述网络行为的可疑度阈值；S60、对超过可疑度阈值的网络行为判定为潜在网络攻击行为，进行拦截处理。通过对无先验知识下的异常网络行为进行多级检测和分析，实现对网络攻击行为快速进行拦截处理的效果。

技术领域

本发明涉及网络安全领域，特别涉及面向动态数据的网络行为分析及态势感知系统和方法。

背景技术

随着物联网的不断发展，其相关的网络安全问题日益突出。数百万或数十亿物联网设备和云服务器连接到互联网，缺乏有效的保护措施。一旦这些设备中的漏洞被发现、利用(入侵)，就可能导致该设备被指控，用户隐私泄露和云服务器数据被非法获取。

现有的网络安全态势感知系统整合了防病毒软件、防火墙、入侵监测系统、安全审计系统等多个数据信息系统，对目前的整个网络情况进行评估，以及预测未来的变化趋势。简单来说主要就是通过对数据的采集和整理，进而对当前的网络以及未来将出现的可能性威胁进行判断和预警，并且给出分析报告，帮助企业做好网络安全的防范措施。

现有的网络安全态势感知系统具有以下缺陷：

一、传统的网络安全防御系统都是通过已有的先验知识来预判潜在的网络攻击行为，无法对无先验知识下的网络攻击行为产生动态防御的能力。

二、大部分防御机制受限于网络业务的数量，当业务数目超过系统能够承担总数的一定比例时，防御机制会失效；

三、现有防御机制的防御攻击种类单一，基本上仅能针对特定的攻击种类进行防御，其防御机制无法通用于多数或者全部的攻击种类；

四、现有防御机制在执行防御任务时，耗时长，效率低，会占用大量的计算资源。

发明内容

至少针对现有技术中一个的缺陷，本发明提供了面向动态数据的网络行为分析及态势感知系统和方法。

为了达到上述发明目的，本发明采用的技术方案为：

面向动态数据的网络行为分析及态势感知方法，包括以下步骤，

S10、动态获取网络行为数据特征；

S20、基于无监督在线学习增强系统结合聚类算法对网络业务数据特征进行初步聚类；

S30、计算不同分簇的可疑度指标，以此来反向指导聚类算法，形成闭环增益；

S40，将所述可疑度较高的分簇，进行第二级细化分析，抽取数据特征进行进一步检测；

S50、按照预设可疑度指标阈值计算规则，对所述可疑度指标进行多级的计算，以动态获取所述网络行为的可疑度阈值；

S60、对超过可疑度阈值的网络行为判定为潜在网络攻击行为，进行拦截处理。

进一步，针对上述方法，提供一种面向动态数据的网络行为分析及态势感知系统，

数据采集模块：根据所述动态网络业务，动态收集网络行为数据特征；

聚类模块：根据无监督在线学习增强系统，对网络业务数据特征进行初步聚类；

可疑度确定模块：用于确定每个网络行为对应的可疑度指标；

多级检测和分析模块：可疑度较高的分簇，进行第二级细化分析，抽取数据特征进行有针对性的多级检测和分析，提升网络安全行为的快速响应能力；