本發(fā)明涉及網(wǎng)絡(luò)攻防，具體是涉及一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御系統(tǒng)及方法。

背景技術(shù)：

1、網(wǎng)絡(luò)安全是指一系列技術(shù)和實(shí)踐的集合，旨在保護(hù)網(wǎng)絡(luò)連接中的信息免受未經(jīng)授權(quán)的訪問、使用、披露、破壞或修改，并確保數(shù)據(jù)的完整性和可用性。這包括但不限于防止惡意軟件攻擊、黑客入侵和其他形式的網(wǎng)絡(luò)犯罪，以及維護(hù)信息系統(tǒng)的正常運(yùn)行和用戶隱私的安全。

2、現(xiàn)有的網(wǎng)絡(luò)防御手段是通過監(jiān)測(cè)軟件的越權(quán)行為進(jìn)行分析，實(shí)現(xiàn)異常軟件的檢測(cè)管理，但是，由于挖礦蠕蟲類病毒不會(huì)攻擊設(shè)備的數(shù)據(jù)文件，目標(biāo)在于盜取用戶的設(shè)備帶寬和算力資源進(jìn)行挖礦，常規(guī)的越權(quán)和攻擊監(jiān)測(cè)無法識(shí)別該類挖礦蠕蟲類病毒，導(dǎo)致用戶的設(shè)備負(fù)載變高，設(shè)備的壽命下降。

技術(shù)實(shí)現(xiàn)思路

1、為解決上述技術(shù)問題，提供一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御系統(tǒng)及方法，本技術(shù)方案解決了上述的現(xiàn)有的網(wǎng)絡(luò)防御手段是通過監(jiān)測(cè)軟件的越權(quán)行為進(jìn)行分析，實(shí)現(xiàn)異常軟件的檢測(cè)管理，但是，由于挖礦蠕蟲類病毒不會(huì)攻擊設(shè)備的數(shù)據(jù)文件，目標(biāo)在于盜取用戶的設(shè)備帶寬和算力資源進(jìn)行挖礦，常規(guī)的越權(quán)和攻擊監(jiān)測(cè)無法識(shí)別該類挖礦蠕蟲類病毒，導(dǎo)致用戶的設(shè)備負(fù)載變高，設(shè)備的壽命下降的問題。

2、為達(dá)到以上目的，本發(fā)明采用的技術(shù)方案為：

3、一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御方法，包括：

4、記錄用戶的歷史操作記錄，分析用戶設(shè)備的操作行為，評(píng)估用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)；

5、基于設(shè)備的歷史運(yùn)行日志，將歷史運(yùn)行日志中程序的運(yùn)行參數(shù)典型范圍作為對(duì)應(yīng)程序的理想閾值；

6、判斷每一個(gè)程序的運(yùn)行參數(shù)是否超出對(duì)應(yīng)程序的理想閾值，若否，判定為正常，若是，判定為非正常，篩選非正常運(yùn)行程序，記為待確認(rèn)異常程序；

7、基于待確認(rèn)異常程序，尋求待確認(rèn)異常程序所在的索引源文件，編譯源文件中的源代碼指針目標(biāo)，獲得待確認(rèn)異常程序運(yùn)行數(shù)據(jù)；

8、根據(jù)待確認(rèn)異常程序運(yùn)行數(shù)據(jù)，構(gòu)建網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型，分析設(shè)備實(shí)時(shí)程序的異常運(yùn)行指數(shù)；

9、基于用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)對(duì)實(shí)時(shí)運(yùn)行程序的異常指數(shù)進(jìn)行修正，得到修正程序的異常運(yùn)行指數(shù)；

10、將修正異常程序的異常運(yùn)行指數(shù)按照危險(xiǎn)等級(jí)進(jìn)行分類，根據(jù)分類結(jié)果生成相應(yīng)的解決方案；

11、其中，所述正程序的異常運(yùn)行指數(shù)的計(jì)算表達(dá)式為：

12、；

13、式中，為修正程序的異常運(yùn)行指數(shù)，為用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)，為設(shè)備第j個(gè)程序的異常運(yùn)行指數(shù)。

14、優(yōu)選的，記錄用戶的歷史操作記錄，分析用戶設(shè)備的操作行為，評(píng)估用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)具體包括：

15、基于logistics回歸，建立設(shè)備風(fēng)險(xiǎn)概率評(píng)估模型；

16、基于用戶的歷史操作記錄，針對(duì)歷史操作記錄進(jìn)行風(fēng)險(xiǎn)操作提取，獲得用戶設(shè)備的操作特征數(shù)據(jù)；所述操作特征包括但不限于：風(fēng)險(xiǎn)下載操作、風(fēng)險(xiǎn)連接操作、風(fēng)險(xiǎn)登錄操作和風(fēng)險(xiǎn)訪問操作；

17、根據(jù)用戶設(shè)備的操作特征數(shù)據(jù)進(jìn)行歸一化處理，獲得用戶設(shè)備的操作特征向量；

18、基于設(shè)備風(fēng)險(xiǎn)概率評(píng)估模型，將用戶設(shè)備的操作特征向量作為自變量輸入，通過微分計(jì)算損失函數(shù)關(guān)于每個(gè)特征的梯度，根據(jù)計(jì)算出的梯度來更新權(quán)重向量和偏置項(xiàng)，以用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率作為自變量輸出；

19、將用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率進(jìn)行合并同類項(xiàng)，得到用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組；

20、按照用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率對(duì)于風(fēng)險(xiǎn)事件的貢獻(xiàn)程度，為用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組中每一個(gè)元素賦予權(quán)重；

21、根據(jù)用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組與用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率權(quán)重，計(jì)算用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)；

22、其中，設(shè)備風(fēng)險(xiǎn)概率評(píng)估模型表達(dá)式為：

23、；

24、式中，為預(yù)測(cè)函數(shù)，用于計(jì)算給定參數(shù)集合和操作特征向量時(shí)的風(fēng)險(xiǎn)概率，為第i個(gè)觀察值的標(biāo)簽值(1,0)，為第i個(gè)操作特征向量，為模型的參數(shù)集合，為權(quán)重向量，為轉(zhuǎn)置，為偏置項(xiàng)。

25、其中，所述用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)計(jì)算表達(dá)式為：

26、；

27、式中，為用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)，為第i個(gè)操作特征向量的權(quán)重。

28、優(yōu)選的，基于設(shè)備的歷史運(yùn)行日志，將歷史運(yùn)行日志中程序的運(yùn)行參數(shù)典型范圍作為對(duì)應(yīng)程序的理想閾值具體包括：

29、基于設(shè)備的歷史運(yùn)行日志，按照單位時(shí)間針對(duì)日志中程序的運(yùn)行參數(shù)進(jìn)行分割，獲得程序的若干個(gè)時(shí)間段運(yùn)行參數(shù)；

30、基于程序的若干個(gè)時(shí)間段運(yùn)行參數(shù)，將程序的若干個(gè)時(shí)間段作為觀測(cè)窗口，將運(yùn)行參數(shù)作為觀測(cè)數(shù)據(jù)；

31、基于觀測(cè)窗口內(nèi)的觀測(cè)數(shù)據(jù)，計(jì)算每一個(gè)觀察窗口內(nèi)的觀測(cè)數(shù)據(jù)所對(duì)應(yīng)的程序運(yùn)行資源占用率的四分位數(shù)；

32、基于觀察窗口內(nèi)的觀測(cè)數(shù)據(jù)所對(duì)應(yīng)的程序運(yùn)行資源占用率的四分位數(shù)，計(jì)算上四分位數(shù)與下四分位數(shù)直接的差值，作為四分位數(shù)間距；

33、基于上四分位數(shù)與下四分位數(shù)和四分位數(shù)間距，計(jì)算運(yùn)行參數(shù)典型范圍，作為對(duì)應(yīng)程序的理想閾值；

34、其中，運(yùn)行參數(shù)典型范圍計(jì)算表達(dá)式為：

35、；

36、其中，為運(yùn)行參數(shù)典型范圍下限，為運(yùn)行參數(shù)典型范圍上限，為下四分位數(shù)，為上四分位數(shù)，k為調(diào)節(jié)參數(shù)，取值為2，為四分位數(shù)間距。

37、優(yōu)選的，根據(jù)待確認(rèn)異常程序運(yùn)行數(shù)據(jù)，構(gòu)建網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型，分析設(shè)備實(shí)時(shí)程序的異常運(yùn)行指數(shù)具體包括：

38、基于待確認(rèn)異常程序運(yùn)行數(shù)據(jù)，標(biāo)記異常程序運(yùn)行數(shù)據(jù)中的異?；顒?dòng)，作為異常程序的偏離運(yùn)行特征數(shù)據(jù)；

39、將歷史運(yùn)行日志中程序的正常運(yùn)行參數(shù)打包為訓(xùn)練集，訓(xùn)練遺傳神經(jīng)網(wǎng)絡(luò)，并利用異常程序的偏離運(yùn)行特征數(shù)據(jù)作為輸入，驗(yàn)證能夠檢測(cè)出程序異?；顒?dòng)的網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型；

40、獲取設(shè)備實(shí)時(shí)程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)，將程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)代入網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型中，分析每一個(gè)程序的進(jìn)程運(yùn)行數(shù)據(jù)偏離程度，計(jì)算設(shè)備實(shí)時(shí)程序的異常運(yùn)行指數(shù)；

41、其中，網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型表達(dá)式為：

42、；

43、式中，為設(shè)備第j個(gè)程序的異常運(yùn)行指數(shù)，為第j個(gè)程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)實(shí)際值，為平均函數(shù)，為第j個(gè)程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)相對(duì)應(yīng)的基線值，為程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)總數(shù)。

44、進(jìn)一步的，提出一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御系統(tǒng)，用于實(shí)現(xiàn)如上所述基于一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御方法，包括：

45、基礎(chǔ)風(fēng)險(xiǎn)系數(shù)評(píng)估模塊，基礎(chǔ)風(fēng)險(xiǎn)系數(shù)評(píng)估模塊用于記錄用戶的歷史操作記錄，分析用戶設(shè)備的操作行為，評(píng)估用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)；

46、閾值設(shè)定模塊，閾值設(shè)定模塊用于基于設(shè)備的歷史運(yùn)行日志，將歷史運(yùn)行日志中程序的運(yùn)行參數(shù)典型范圍作為對(duì)應(yīng)程序的理想閾值；

47、異常判斷模塊，異常判斷模塊與閾值設(shè)定模塊電性連接，異常判斷模塊用于判斷每一個(gè)程序的運(yùn)行參數(shù)是否超出對(duì)應(yīng)程序的理想閾值，若否，判定為正常，若是，判定為非正常，篩選非正常運(yùn)行程序，記為待確認(rèn)異常程序；

48、程序異常指數(shù)評(píng)估模塊，程序異常指數(shù)評(píng)估模塊與異常判斷模塊電性連接，程序異常指數(shù)評(píng)估模塊用于根據(jù)待確認(rèn)異常程序運(yùn)行數(shù)據(jù)，構(gòu)建網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型，分析設(shè)備實(shí)時(shí)程序的異常運(yùn)行指數(shù)；

49、修正模塊，修正模塊與基礎(chǔ)風(fēng)險(xiǎn)系數(shù)評(píng)估模塊和程序異常指數(shù)評(píng)估模塊電性連接，修正模塊用于基于用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)對(duì)實(shí)時(shí)運(yùn)行程序的異常指數(shù)進(jìn)行修正，得到修正程序的異常運(yùn)行指數(shù)；

50、分類解決模塊，分類解決模塊與修正模塊電性連接，分類解決模塊用于將修正異常程序的異常運(yùn)行指數(shù)按照危險(xiǎn)等級(jí)進(jìn)行分類，根據(jù)分類結(jié)果生成相應(yīng)的解決方案。

51、可選的，基礎(chǔ)風(fēng)險(xiǎn)系數(shù)評(píng)估模塊內(nèi)部包括：

52、第一模型構(gòu)建單元，基于logistics回歸，建立設(shè)備風(fēng)險(xiǎn)概率評(píng)估模型；

53、風(fēng)險(xiǎn)特征標(biāo)注單元，基于用戶的歷史操作記錄，針對(duì)歷史操作記錄進(jìn)行風(fēng)險(xiǎn)操作提取，獲得用戶設(shè)備的操作特征數(shù)據(jù)；

54、向量單元，根據(jù)用戶設(shè)備的操作特征數(shù)據(jù)進(jìn)行歸一化處理，獲得用戶設(shè)備的操作特征向量；

55、風(fēng)險(xiǎn)預(yù)測(cè)單元，基于設(shè)備風(fēng)險(xiǎn)概率評(píng)估模型，將用戶設(shè)備的操作特征向量作為自變量輸入，通過微分計(jì)算損失函數(shù)關(guān)于每個(gè)特征的梯度，根據(jù)計(jì)算出的梯度來更新權(quán)重向量和偏置項(xiàng)，以用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率作為自變量輸出；

56、合并單元，將用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率進(jìn)行合并同類項(xiàng)，得到用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組；

57、加權(quán)單元，按照用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率對(duì)于風(fēng)險(xiǎn)事件的貢獻(xiàn)程度，為用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組中每一個(gè)元素賦予權(quán)重；

58、第一計(jì)算單元，根據(jù)用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率數(shù)組與用戶設(shè)備的操作特征向量風(fēng)險(xiǎn)概率權(quán)重，計(jì)算用戶設(shè)備的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)。

59、可選的，程序異常指數(shù)評(píng)估模塊內(nèi)部包括：

60、異常特征標(biāo)注單元，基于待確認(rèn)異常程序運(yùn)行數(shù)據(jù)，標(biāo)記異常程序運(yùn)行數(shù)據(jù)中的異?；顒?dòng)，作為異常程序的偏離運(yùn)行特征數(shù)據(jù)；

61、第二模型構(gòu)建單元，將歷史運(yùn)行日志中程序的正常運(yùn)行參數(shù)打包為訓(xùn)練集，訓(xùn)練遺傳神經(jīng)網(wǎng)絡(luò)，并利用異常程序的偏離運(yùn)行特征數(shù)據(jù)作為輸入，驗(yàn)證能夠檢測(cè)出程序異?；顒?dòng)的網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型；

62、第二計(jì)算單元，獲取設(shè)備實(shí)時(shí)程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)，將程序的后臺(tái)進(jìn)程運(yùn)行數(shù)據(jù)代入網(wǎng)絡(luò)安全自適應(yīng)態(tài)勢(shì)感知模型中，分析每一個(gè)程序的進(jìn)程運(yùn)行數(shù)據(jù)偏離程度，計(jì)算設(shè)備實(shí)時(shí)程序的異常運(yùn)行指數(shù)。

63、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果在于：

64、本發(fā)明提出一種面向網(wǎng)絡(luò)安全的自適應(yīng)網(wǎng)絡(luò)防御方案，通過動(dòng)態(tài)調(diào)整監(jiān)測(cè)閾值和引入用戶的基礎(chǔ)風(fēng)險(xiǎn)系數(shù)，分析程序的異常運(yùn)行指數(shù)，利用基礎(chǔ)風(fēng)險(xiǎn)系數(shù)對(duì)于程序的異常運(yùn)行指數(shù)進(jìn)行修正，分析程序的異常狀態(tài)，提高設(shè)備的蠕蟲挖礦病毒檢測(cè)準(zhǔn)確性。