一种应对持续威胁攻击的信息网络安全预警系统的制作方法

1.本发明涉及网络安全防御技术领域，具体地，涉及一种应对持续威胁攻击的信息网络安全预警系统。


背景技术：

2.互联网在给人们带来高效和便利的同时，网络安全问题也日趋严重。相关单位通过门户网站将各种信息系统、数据资源和互联网资源集成到一个信息管理平台上，并建立对外部客户和内部人员的信息通道，从而能够释放存储在内部和外部的各种信息。而对于攻击者来说，这些门户网站则成为他们进入内网的入口。由于网络攻击活动具有低成本、高收益的运行特点，一些持续威胁攻击者具备高深网络攻击技能，针对特定的重点网络系统，通过网络渗透的形式，进行有关情报刺探、系统分析、网络破坏的攻击及攻击准备活动，具有攻击目标专一、行动目的明确、攻击行动持久性开展的特点。这对相关的信息网络系统的安防及预警能力，提出了很高要求。然而，相关信息网络当前部署的各类网络安全防护系统，其作用还主要在于抵御低强度、非明确目标的网络攻击，而不足以应对高度集成和综合运用各种专业攻击渗透手段、持续攻击明确目标、具有极强的组织性和反侦察能力的持续威胁攻击。


技术实现要素：

3.本发明的目的在于提供一种应对持续威胁攻击的信息网络安全预警系统，以解决上述背景技术中提出的问题。
4.为实现上述目的，本发明提供如下技术方案：
5.一种应对持续威胁攻击的信息网络安全预警系统，包括：用户行为数据源模块、数据采集与预处理模块、数据库子系统、用户行为分析模块、特征提取与建模模块、异常检测与预警模块、输入输出界面模块；所述用户行为数据源模块，用于实时采集用户行为数据，为建立数据仓库提供可靠数据来源；所述数据采集与预处理模块，用于将采集到的数据进行预处理；所述数据库子系统，用于对分类的数据进行存储；所述用户行为分析模块，用于对用户行为进行分析；所述特征提取与建模模块，针对用户行为数据进行特征提取与建模，构建用户行为特征库；所述异常检测与预警模块，对异常用户行为进行检测并预警；所述输入输出界面模块，用于输出监测预警结果、输入命令。
6.优选的，所述用户行为数据源模块，通过对信息传输网络中的数据流量、已部署的安全防护设备上报的数据进行统计，定义网络中固定区域或方向的业务参与程度和数据交互级别，数据源的数据包括网络旁路流量数据、主机管控数据、统一安全管理系统数据，形成用户行为数据。
7.优选的，所述数据采集与预处理模块，通过数据采集、数据识别、数据清洗、离散化、归一化、区间对齐子模块，将采集到的数据，以区间对齐的方式对数据进行识别和清洗，对信息传输网络中的所有合法业务流量的进行分类，对剩余无法识别数据，根据用户行为
特征进行解析研判。
8.优选的，所述数据库子系统按照已经识别确认的正常业务数据、一时难以定性的灰色信息以及网络安全人员预先配置的具有攻击属性特征的黑色流量进行重新分类并存储，供用户行为分析模块、特征提取与建模模块、异常检测与预警模块分析研判；数据库子系统的数据分类包括原始历史数据、数据集市、行为模式库、实时数据。
9.优选的，所述用户行为分析模块分析的用户行为数据包括用户行为习惯、用户来源、用户分布、用户动态、用户关联、系统访问方面；所述用户行为分析模块通过对网络历史流量的无监督或半监督学习，完成对网络流量属性、分布信息的分类、统计工作。
10.优选的，所述特征提取与建模模块针对用户行为数据，利用基于人工智能的机器学习方法对用户的行为特征建模，建模方法包括模糊时序建模、隐马尔可夫建模、基于规则建模、基于对象建模、特征候选集建模、加权特征建模，通过特征分类提取、行为特征处理，构建用户行为特征库，作为用户行为新数据合法性的匹配对象，将提取处理的数据存入所述数据库子系统。
11.优选的，所述异常检测与预警模块采用误用检测和异常检测相结合的两层混合异常检测模型，使用基于簇中心位置变化的异常检测方法、基于k近邻的异常检测算法和基于模式匹配的异常检测方法，将用户实时行为数据与行为模式库中的模式进行比对与检测，并将异常结果报告给界面模块。
12.优选的，所述输入输出界面模块包括预警系统监听结果输出子模块、模式挖掘结果输出子模块、异常分析报告显示子模块、管理命令输入子模块，通过可视化、声音、键盘或触摸方式实现相关输入输出功能。
13.优选的，所述系统还包括用于设置各种系统参数、对数据库的管理和维护的系统配置模块与系统管理模块。
14.与现有技术相比，本发明的有益效果是：本发明所述的应对持续威胁攻击的信息网络安全预警系统，针对持续威胁攻击样式特点，通过运用人工智能算法提取用户行为特征，建立用户行为特征库并不断自我优化，从而实现安全预警模型的自动升级，为应对持续威胁攻击进行有效预警，从而有效提高对信息网络的整体安全防护水平。
附图说明
15.图1为本发明实施例的系统架构示意图。
具体实施方式
16.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
17.参照图1所示，一种应对持续威胁攻击的信息网络安全预警系统，包括：用户行为数据源模块、数据采集与预处理模块、数据库子系统、用户行为分析模块、特征提取与建模模块、异常检测与预警模块、系统配置模块与系统管理模块、输入输出界面模块；所述用户行为数据源模块，用于实时采集用户行为数据，为建立数据仓库提供可靠数据来源；所述数
据采集与预处理模块用于将采集到的数据进行预处理；所述数据库子系统用于对分类的数据进行存储；所述用户行为分析模块对用户行为进行分析；所述特征提取与建模模块针对用户行为数据进行特征提取与建模，构建用户行为特征库；所述异常检测与预警模块对异常用户行为进行检测并预警；所述系统配置模块与系统管理模块用于设置各种系统参数、对数据库的管理；所述输入输出界面模块用于输出监测预警结果、输入命令。
18.所述用户行为数据源模块通过对信息传输网络中的数据流量，已部署的主机管控、统一安全管理系统等安全防护设备上报的数据进行统计，定义网络中固定区域或方向的业务参与程度和数据交互级别，形成用户行为数据。数据源的数据包括网络旁路流量数据、主机管控数据、统一安全管理系统数据。
19.所述数据采集与预处理模块包括数据采集、数据识别、数据清洗、离散化、归一化、区间对齐子模块，将采集到的数据，进行归一化、时标等区间对齐的方式对数据进行识别和清洗，实现信息传输网络中所有合法业务流量的有效分类。进一步的，这里，对剩余无法识别数据，根据用户行为特征进行解析研判。
20.所述数据库子系统按照已经识别确认的正常业务数据、一时难以定性的灰色信息以及网络安全人员预先配置的具有攻击属性特征的黑色流量进行重新分类并存储，供安全预警系统其他模块分析研判。数据库子系统的数据分类包括原始历史数据、数据集市、行为模式库、实时数据等。
21.所述用户行为分析模块分析的用户行为数据包括用户行为习惯、用户来源、用户分布、用户动态、用户关联、系统访问等方面。进一步的，所述用户行为分析模块通过对网络历史流量的无监督或半监督学习，完成对网络流量属性、分布等信息的分类、统计等工作。
22.所述特征提取与建模模块针对用户行为数据，建模方法包括模糊时序建模、隐马尔可夫建模、基于规则建模、基于对象建模、特征候选集建模、加权特征建模，通过特征分类提取、行为特征处理，利用基于人工智能的机器学习方法对用户的行为特征建模，构建用户行为特征库，作为用户行为新数据合法性的匹配对象。
23.所述异常检测与预警模块采用误用检测和异常检测相结合的两层混合异常检测模型，使用基于簇中心位置变化的异常检测方法、基于k近邻的异常检测算法和基于模式匹配的异常检测方法，将用户实时行为数据与行为模式库中的模式进行比对与检测，并将异常结果报告给界面模块。
24.图中未示出的是，所述输入输出界面模块包括预警系统监听结果输出子模块、模式挖掘结果输出子模块、异常分析报告显示子模块、管理命令输入子模块，通过可视化、声音、键盘或触摸等方式实现相关输入输出功能。
25.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。