【技術實現(xiàn)步驟摘要】
本專利技術涉及信息安全領域,具體是針對信息系統(tǒng)中的異常檢測和響應的智能感知驅(qū)動方法及系統(tǒng)。
技術介紹
1、隨著信息技術的迅猛發(fā)展,云計算、物聯(lián)網(wǎng)和大數(shù)據(jù)等新興技術的廣泛應用,信息安全問題日益突出。云服務作為一種新型的計算模式,雖然為用戶提供了便利的資源共享和數(shù)據(jù)存儲服務,但也面臨著諸如數(shù)據(jù)泄露、網(wǎng)絡攻擊、惡意軟件等多種安全威脅。傳統(tǒng)的信息安全監(jiān)控方法往往依賴于靜態(tài)規(guī)則和人工干預,難以應對復雜多變的安全威脅,且響應速度較慢,容易導致安全事件的發(fā)生和擴散。
2、然而,現(xiàn)有的異常檢測方法仍存在一些不足之處,如現(xiàn)有的異常檢測系統(tǒng)往往依賴于單一數(shù)據(jù)源,缺乏對多源數(shù)據(jù)的有效融合與分析,導致檢測效果不佳;許多系統(tǒng)在異常檢測后缺乏快速有效的響應機制,導致潛在損失的擴大;同時現(xiàn)有解決方案在面對新型攻擊或異常時,缺乏自適應學習能力,難以及時更新模型,誤報率高;當前的深度學習模型在異常檢測中的可解釋性不足,難以為用戶提供清晰的決策依據(jù);而且在不同應用場景下,現(xiàn)有模型的適應性較差,缺乏有效的遷移學習機制。
3、因此,亟需一種更為智能化、自動化的異常檢測和響應方法,以提升云服務的信息安全監(jiān)控能力。
技術實現(xiàn)思路
1、為了解決上述問題,本專利技術提出了一種基于智能感知驅(qū)動的異常檢測和響應方法及系統(tǒng)。該方法通過實時獲取多類型數(shù)據(jù),結合先進的機器學習和深度學習技術,能夠有效識別潛在的安全威脅并快速響應。
2、本專利技術具體提供如下技術方案:
3、一種基于智能感知驅(qū)動
4、s1.?實時獲取信息系統(tǒng)中的多類型數(shù)據(jù);使用卡爾曼濾波結合加權平均,對所述多類型數(shù)據(jù)進行融合;
5、s2.?構建自編碼網(wǎng)絡,輸入所述融合后的數(shù)據(jù),進行特征提取和降維;通過重構誤差檢測異常,設置動態(tài)閾值判斷異常事件的發(fā)生;
6、s3.?引入強化學習的優(yōu)化算法,并設計動態(tài)響應策略,根據(jù)歷史數(shù)據(jù)和實時反饋調(diào)整響應措施;定義獎勵機制,優(yōu)化響應策略的效果;同時引入lime可解釋性技術;
7、所述獎勵機制具體為:
8、當所述信息系統(tǒng)識別并響應異常事件時,給予正向獎勵;
9、當所述信息系統(tǒng)錯誤地將正常時間識別為異常,給予負向懲罰;
10、輔助結合響應時間快慢以及所述信息系統(tǒng)在一段時間內(nèi)的穩(wěn)定性,給予額外獎勵;
11、s4.?設計自動化響應流程,所述響應流程具體包括警報、隔離和修復;
12、s5.?采用遷移學習技術,將優(yōu)化后的用于異常檢測的所述自編碼網(wǎng)絡的知識遷移到新場景中;所述新場景包括工業(yè)物聯(lián)網(wǎng)信息安全監(jiān)控、智能家居安全監(jiān)控、金融交易監(jiān)控、醫(yī)療健康監(jiān)控;
13、s6.?設計云-邊緣協(xié)同架構,在邊緣設備上部署所述自編碼網(wǎng)絡;
14、所述云-邊緣協(xié)同架構具體構建過程為:
15、在所述邊緣設備對所述融合后的數(shù)據(jù)進行初步處理和異常檢測來降低延遲;
16、集中存儲和分析來自多個邊緣節(jié)點的數(shù)據(jù),進行所述自編碼網(wǎng)絡的訓練和知識學習;
17、實時同步邊緣設備和云平臺間的數(shù)據(jù),以便于所述自編碼網(wǎng)絡的參數(shù)更新和響應策略的優(yōu)化;
18、s7.?基于開發(fā)的可視化工具,展示異常檢測的依據(jù)和響應策略。
19、可選地,在所述s1中,
20、所述多類型數(shù)據(jù)是文本數(shù)據(jù),具體包括網(wǎng)絡流量數(shù)據(jù)、系統(tǒng)日志、用戶行為數(shù)據(jù)、應用程序數(shù)據(jù)、設備狀態(tài)數(shù)據(jù)、安全事件數(shù)據(jù)和威脅情報數(shù)據(jù)。
21、可選地,在所述s2中,按任務需求進行所述特征提取,具體包括:
22、當需監(jiān)測網(wǎng)絡攻擊、異常流量時,提取流量大小、流量方向、協(xié)議類型、源ip和目標ip、端口號、連接持續(xù)時間、數(shù)據(jù)包間隔時間特征;
23、當需識別系統(tǒng)故障、用戶異常行為時,提取日志時間戳、事件類型、用戶id、操作類型、錯誤代碼、執(zhí)行時間特征;
24、當需檢測用戶賬戶被盜、異常訪問時,提取用戶登錄時間、操作頻率、訪問路徑、停留時間、異常操作特征;
25、當需監(jiān)測應用性能、識別潛在的安全漏洞時,提取應用程序的響應時間、錯誤率、cpu和內(nèi)存使用率、請求類型特征;
26、當需監(jiān)測設備健康狀況、預測設備故障時,提取設備運行狀態(tài),包括正常和故障、cpu和內(nèi)存使用率、網(wǎng)絡連接狀態(tài)、溫度特征;
27、當需識別安全威脅、響應安全事件時,提取事件發(fā)生時間、事件類型、影響范圍、事件嚴重性特征;
28、當需實時更新安全策略、識別潛在威脅時,提取威脅類型、攻擊源、攻擊目標、攻擊時間、攻擊手段特征。
29、可選地,在所述s2中,重構誤差的計算為:
30、;
31、其中,n為數(shù)據(jù)維度,為原輸入,為重構后的數(shù)據(jù);
32、統(tǒng)計n次正常事件下的重構誤差,計算均值μ和標準差,
33、;
34、;
35、設置動態(tài)閾值,其中k為動態(tài)可調(diào)參數(shù),k的更新頻率為8h;
36、若,系統(tǒng)自動標記當前事件為異常事件,并觸發(fā)對應的響應流程。
37、可選地,在所述s3中,將當前系統(tǒng)的狀態(tài)信息,包括網(wǎng)絡流量、系統(tǒng)日志、用戶行為,記為狀態(tài)s;將未來發(fā)生的響應措施,包括標記為異常、忽略、進一步分析,記為動作a;
38、用于評估在所述狀態(tài)s下采取的動作a的預期收益的動作價值函數(shù)q(s,a)被定義為:;
39、其中,為在狀態(tài)?s?下采取動作?a?的即時獎勵,若識別并正確響應異常事件,的值+1;若錯誤地將正常事件識別為異常,的值-1;若響應時間小于設定閾值,的值+0.4;若系統(tǒng)在一段時間內(nèi)連續(xù)正常識別正常事件,值+0.6;是在狀態(tài)?s?下采取動作a?后轉移到狀態(tài)s′的概率;是在下一狀態(tài)s′下采取最優(yōu)動作a′的最大預期收益。
40、可選地,在所述s4中,當優(yōu)化后的自編碼網(wǎng)絡檢測到重構誤差超過設定的動態(tài)閾值時,系統(tǒng)將當前事件識別為異常事件;
41、所述系統(tǒng)自動生成警報,所述警報包含對所述異常事件的詳細信息,所述詳細信息包括事件類型、發(fā)生時間、影響范圍;若重構誤差在1σ以內(nèi),觸發(fā)警報但不需要立即響應,發(fā)送郵件通知,響應時間設為24h內(nèi),并標記為低級警報;若重構誤差在1σ到2σ之間,觸發(fā)警報并建議進一步監(jiān)控,發(fā)送短信通知,響應時間設為12h內(nèi),并標記為中級警報;若重構誤差超過2σ,觸發(fā)緊急警報,立即通知系統(tǒng)管理員,通過電話通知,響應時間在30min內(nèi),并標記為高級警報;
42、考慮所述異常事件的類型和嚴重性,所述系統(tǒng)通過調(diào)用網(wǎng)絡設備或安全設備的api,自動執(zhí)行隔離措施,確保快速響應;具體地,如果檢測到惡意流量,所述系統(tǒng)自動阻斷相關ip地址或端口;如果檢測到異常用戶行為,系統(tǒng)自動鎖定相關用戶賬戶,防止進一步的損害;
43、所述系統(tǒng)并行的啟用自動化修復程度,具體包括自本文檔來自技高網(wǎng)...
【技術保護點】
1.一種基于智能感知驅(qū)動的異常檢測和響應方法,所述方法具體應用于云服務信息安全監(jiān)控,其特征在于,所述方法包括以下步驟:
2.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S1中,
3.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S2中,按任務需求進行所述特征提取,具體包括:
4.根據(jù)權利要求3所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S2中,重構誤差的計算為:
5.根據(jù)權利要求4所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S3中,
6.根據(jù)權利要求5所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S4中,
7.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述S5中,所述知識遷移的具體過程如下:
8.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,所述S6還包括:
9.根據(jù)權利要求1所述的一種基于智
10.一種基于智能感知驅(qū)動的異常檢測和響應系統(tǒng),用于實現(xiàn)權利要求1-9中任一項所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,所述系統(tǒng)包括:
...【技術特征摘要】
1.一種基于智能感知驅(qū)動的異常檢測和響應方法,所述方法具體應用于云服務信息安全監(jiān)控,其特征在于,所述方法包括以下步驟:
2.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述s1中,
3.根據(jù)權利要求1所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述s2中,按任務需求進行所述特征提取,具體包括:
4.根據(jù)權利要求3所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述s2中,重構誤差的計算為:
5.根據(jù)權利要求4所述的一種基于智能感知驅(qū)動的異常檢測和響應方法,其特征在于,在所述s3中,
6.根據(jù)權利要求5所述的一...
【專利技術屬性】
技術研發(fā)人員:李曉粉,吳強,陳國旗,程亨,張兆娟,
申請(專利權)人:中國計量大學,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。