本發(fā)明涉及網(wǎng)絡(luò)安全監(jiān)測(cè)，尤其涉及一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法及其系統(tǒng)。

背景技術(shù)：

1、網(wǎng)絡(luò)安全事件指的是在計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、程序或設(shè)備中，由于安全漏洞、攻擊、失誤或意外情況導(dǎo)致的信息泄露、破壞、丟失或被非法使用等一系列安全威脅。這些事件可能對(duì)個(gè)人隱私、企業(yè)機(jī)密、國(guó)家利益造成嚴(yán)重?fù)p害，甚至影響社會(huì)穩(wěn)定和國(guó)家安全。網(wǎng)絡(luò)安全事件的種類繁多，包括計(jì)算機(jī)病毒、網(wǎng)絡(luò)釣魚、黑客攻擊、信息泄露、拒絕服務(wù)攻擊等。

2、醫(yī)院數(shù)據(jù)系統(tǒng)的網(wǎng)絡(luò)安全事件監(jiān)測(cè)是一項(xiàng)至關(guān)重要的工作，它涉及保護(hù)患者隱私、維護(hù)醫(yī)療服務(wù)連續(xù)性和確保符合法律要求。醫(yī)院數(shù)據(jù)系統(tǒng)的網(wǎng)絡(luò)安全事件監(jiān)測(cè)面臨諸多挑戰(zhàn)，比如醫(yī)院工作人員可能缺乏足夠的網(wǎng)絡(luò)安全意識(shí)和專業(yè)技能，無法及時(shí)識(shí)別和報(bào)告潛在的安全事件。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法及其系統(tǒng)，旨在可以及時(shí)發(fā)現(xiàn)和響應(yīng)潛在的網(wǎng)絡(luò)安全威脅，保護(hù)患者數(shù)據(jù)和系統(tǒng)安全。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，包括從醫(yī)療信息系統(tǒng)中收集網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)并進(jìn)行存儲(chǔ)；

3、對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化處理；

4、基于歷史網(wǎng)絡(luò)流量數(shù)據(jù)和歷史系統(tǒng)日志數(shù)據(jù)采用訪問時(shí)間、請(qǐng)求類型、源ip信譽(yù)評(píng)分特征訓(xùn)練決策樹模型，得到監(jiān)測(cè)模型；

5、依據(jù)監(jiān)測(cè)模型對(duì)事件的嚴(yán)重性評(píng)分自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)措施；

6、采用可視化管理界面展示網(wǎng)絡(luò)安全事件的處理結(jié)果。

7、其中，所述從醫(yī)療信息系統(tǒng)中收集網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)并進(jìn)行存儲(chǔ)的具體步驟包括：

8、識(shí)別醫(yī)療信息系統(tǒng)中的日志文件來源，所述日志文件來源包括操作系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志和應(yīng)用程序日志；

9、確定網(wǎng)絡(luò)流量數(shù)據(jù)來源，所述網(wǎng)絡(luò)流量數(shù)據(jù)來源包括交換機(jī)、路由器、防火墻和入侵檢測(cè)系統(tǒng)；

10、根據(jù)日志和流量數(shù)據(jù)的格式和結(jié)構(gòu)，配置數(shù)據(jù)收集工具的工作參數(shù)；

11、將收集到的網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)傳輸?shù)街醒氪鎯?chǔ)系統(tǒng)進(jìn)行存儲(chǔ)。

12、其中，所述工作參數(shù)包括日志路徑、過濾條件和日志格式解析。

13、其中，所述對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化處理的具體步驟包括：

14、識(shí)別和處理網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)中的異常值并刪除；

15、對(duì)于分類數(shù)據(jù)使用獨(dú)熱編碼進(jìn)行轉(zhuǎn)換；

16、對(duì)于數(shù)值數(shù)據(jù)使用歸一化方法進(jìn)行標(biāo)準(zhǔn)化。

17、其中，所述識(shí)別和處理網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)中的異常值并刪除的具體步驟包括：

18、刪除與網(wǎng)絡(luò)安全事件監(jiān)測(cè)無關(guān)的日志條目或流量記錄；

19、刪除網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)中的重復(fù)記錄；

20、對(duì)于缺失的數(shù)據(jù)進(jìn)行刪除。

21、其中，所述基于歷史網(wǎng)絡(luò)流量數(shù)據(jù)和歷史系統(tǒng)日志數(shù)據(jù)采用訪問時(shí)間、請(qǐng)求類型、源ip信譽(yù)評(píng)分特征訓(xùn)練決策樹模型，得到監(jiān)測(cè)模型的具體步驟包括：

22、根據(jù)歷史數(shù)據(jù)中已知的安全事件，為每個(gè)數(shù)據(jù)樣本標(biāo)注是否為安全事件；

23、從數(shù)據(jù)樣本中提取訪問時(shí)間、請(qǐng)求類型和源ip信譽(yù)評(píng)分作為特征；

24、將數(shù)據(jù)樣本分為訓(xùn)練集、驗(yàn)證集和測(cè)試集；

25、使用訓(xùn)練集采用決策樹算法訓(xùn)練監(jiān)測(cè)模型。

26、其中，所述安全事件包括入侵嘗試、數(shù)據(jù)泄露和異常登錄。

27、其中，所述依據(jù)監(jiān)測(cè)模型對(duì)事件的嚴(yán)重性評(píng)分自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)措施的具體步驟包括：

28、根據(jù)操作需求設(shè)定不同的評(píng)分閾值；

29、預(yù)先定義安全響應(yīng)措施組并為每種響應(yīng)措施設(shè)定對(duì)應(yīng)特定的評(píng)分范圍，所述安全響應(yīng)措施組包括封鎖惡意ip、隔離受感染終端、發(fā)送警報(bào)給安全分析師、記錄事件詳細(xì)信息；

30、當(dāng)事件的嚴(yán)重性評(píng)分超過預(yù)設(shè)的閾值時(shí)，決策邏輯模塊自動(dòng)觸發(fā)相應(yīng)的響應(yīng)措施；

31、記錄所有自動(dòng)觸發(fā)的響應(yīng)措施的操作詳情。

32、第二方面，本發(fā)明還提供一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)系統(tǒng)，包括數(shù)據(jù)收集模塊、標(biāo)準(zhǔn)化模塊、監(jiān)測(cè)模型生成模塊、處理模塊和可視化模塊：

33、所述數(shù)據(jù)收集模塊，用于從醫(yī)療信息系統(tǒng)中收集網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)并進(jìn)行存儲(chǔ)；

34、所述標(biāo)準(zhǔn)化模塊，用于對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化處理；

35、所述監(jiān)測(cè)模型生成模塊，用于基于歷史網(wǎng)絡(luò)流量數(shù)據(jù)和歷史系統(tǒng)日志數(shù)據(jù)采用訪問時(shí)間、請(qǐng)求類型、源ip信譽(yù)評(píng)分特征訓(xùn)練決策樹模型，得到監(jiān)測(cè)模型；

36、所述處理模塊，用于依據(jù)監(jiān)測(cè)模型對(duì)事件的嚴(yán)重性評(píng)分自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)措施；

37、所述可視化模塊，用于采用可視化管理界面展示網(wǎng)絡(luò)安全事件的處理結(jié)果。

38、本發(fā)明的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法及其系統(tǒng)，首先從醫(yī)療信息系統(tǒng)中收集網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)，并將其存儲(chǔ)在安全的數(shù)據(jù)庫(kù)中。這些數(shù)據(jù)包括訪問時(shí)間、請(qǐng)求類型、源ip地址等信息，以及源ip的信譽(yù)評(píng)分，該評(píng)分反映了源ip的歷史行為和可信度。接下來，對(duì)收集到的網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化處理。清洗過程包括去除重復(fù)記錄、填充缺失值、處理異常值等，以確保數(shù)據(jù)的完整性和準(zhǔn)確性。標(biāo)準(zhǔn)化處理包括將數(shù)據(jù)轉(zhuǎn)換為適合機(jī)器學(xué)習(xí)算法的格式，如將時(shí)間戳轉(zhuǎn)換為一天中的小時(shí)，將數(shù)值型數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化或歸一化處理?；谇逑春蜆?biāo)準(zhǔn)化處理后的歷史網(wǎng)絡(luò)流量數(shù)據(jù)和歷史系統(tǒng)日志數(shù)據(jù)，采用訪問時(shí)間、請(qǐng)求類型、源ip信譽(yù)評(píng)分等特征，使用決策樹算法訓(xùn)練決策樹模型。決策樹模型通過學(xué)習(xí)正常和異常的網(wǎng)絡(luò)行為模式，能夠準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全事件。訓(xùn)練好的決策樹模型被部署到醫(yī)療信息系統(tǒng)的生產(chǎn)環(huán)境中，用于實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)安全事件。依據(jù)監(jiān)測(cè)模型對(duì)事件的嚴(yán)重性評(píng)分，系統(tǒng)可以自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)措施。這些響應(yīng)措施可能包括封鎖惡意ip、隔離受感染終端、發(fā)送警報(bào)給安全分析師、記錄事件詳細(xì)信息等，以確保網(wǎng)絡(luò)安全事件得到及時(shí)有效的處理。為了更好地監(jiān)控和分析網(wǎng)絡(luò)安全事件，采用可視化管理界面展示網(wǎng)絡(luò)安全事件的處理結(jié)果?？梢暬芾斫缑嬷庇^展示決策樹模型的決策過程、安全事件的分布和處理狀態(tài)，使安全分析師能夠快速了解網(wǎng)絡(luò)安全狀況，并采取相應(yīng)的措施。通過這種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，醫(yī)療信息系統(tǒng)可以及時(shí)發(fā)現(xiàn)和響應(yīng)潛在的網(wǎng)絡(luò)安全威脅，保護(hù)患者數(shù)據(jù)和系統(tǒng)安全。

技術(shù)特征：

1.一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

2.如權(quán)利要求1所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

3.如權(quán)利要求2所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

4.如權(quán)利要求3所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

5.如權(quán)利要求4所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

6.如權(quán)利要求5所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

7.如權(quán)利要求6所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

8.如權(quán)利要求7所述的一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法，其特征在于，

9.一種基于動(dòng)態(tài)ai的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)系統(tǒng)，其特征在于，

技術(shù)總結(jié)
本發(fā)明涉及網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)領(lǐng)域，具體涉及一種基于動(dòng)態(tài)AI的有效網(wǎng)絡(luò)安全事件監(jiān)測(cè)方法及其系統(tǒng)，包括從醫(yī)療信息系統(tǒng)中收集網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)并進(jìn)行存儲(chǔ)；對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)和系統(tǒng)日志數(shù)據(jù)進(jìn)行清洗和標(biāo)準(zhǔn)化處理；基于歷史網(wǎng)絡(luò)流量數(shù)據(jù)和歷史系統(tǒng)日志數(shù)據(jù)采用訪問時(shí)間、請(qǐng)求類型、源IP信譽(yù)評(píng)分特征訓(xùn)練決策樹模型，得到監(jiān)測(cè)模型；依據(jù)監(jiān)測(cè)模型對(duì)事件的嚴(yán)重性評(píng)分自動(dòng)觸發(fā)相應(yīng)的安全響應(yīng)措施；采用可視化管理界面展示網(wǎng)絡(luò)安全事件的處理結(jié)果。從而可以及時(shí)發(fā)現(xiàn)和響應(yīng)潛在的網(wǎng)絡(luò)安全威脅，保護(hù)患者數(shù)據(jù)和系統(tǒng)安全。

技術(shù)研發(fā)人員：鄧杰漢,張洪璇,朱杰
受保護(hù)的技術(shù)使用者：杭州數(shù)安工場(chǎng)科技股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/10