本技術(shù)涉及網(wǎng)絡安全與人工智能,尤其涉及基于ai流量異常識別的實時隔離方法及裝置。
背景技術(shù):
1���、隨著網(wǎng)絡安全威脅的日益復雜化����,現(xiàn)有的安全防護方法多依賴于規(guī)則匹配、靜態(tài)策略或人工干預����,難以滿足動態(tài)化、智能化的防護需求����。然而����,現(xiàn)有的基于流量異常識別的安全防護技術(shù)在智能化分析���、實時響應能力以及動態(tài)適配性等方面仍存在一定的不足���。傳統(tǒng)的流量特征分析和預設閾值判斷,缺乏對流量行為模式的深度學習和動態(tài)適應能力����,可能導致對新型或變種攻擊的識別率較低。
2���、上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案���,并不代表承認上述內(nèi)容是現(xiàn)有技術(shù)。
技術(shù)實現(xiàn)思路
1���、本技術(shù)的主要目的在于提供一種基于ai流量異常識別的實時隔離方法及裝置���,旨在解決現(xiàn)有技術(shù)中對異常流量識別和隔離的處理效率低下的技術(shù)問題。
2���、為實現(xiàn)上述目的����,本技術(shù)提供了一種基于ai流量異常識別的實時隔離方法����,方法包括:
3、基于預設流量路徑采集網(wǎng)絡流量數(shù)據(jù)����,所述網(wǎng)絡流量數(shù)據(jù)包括通信協(xié)議數(shù)據(jù)、時間戳數(shù)據(jù)����、源地址數(shù)據(jù)和目標地址數(shù)據(jù);
4���、將所述通信協(xié)議數(shù)據(jù)����、所述時間戳數(shù)據(jù)���、所述源地址數(shù)據(jù)和所述目標地址數(shù)據(jù)進行融合����,生成流量行為模型;
5����、對所述流量行為模型進行分析,確定流量行為中的異常特征和異常特征的分布模式����;
6、在所述異常特征的分布模式符合預設隔離條件時���,切換當前流量處理任務為隔離任務���,并根據(jù)所述異常特征的分布模式生成隔離區(qū)域和隔離信號,基于所述隔離區(qū)域和所述隔離信號執(zhí)行隔離任務����。
7、在一實施例中���,所述將所述通信協(xié)議數(shù)據(jù)���、所述時間戳數(shù)據(jù)����、所述源地址數(shù)據(jù)和所述目標地址數(shù)據(jù)進行融合���,生成流量行為模型的步驟包括:
8、分別提取所述通信協(xié)議數(shù)據(jù)和所述時間戳數(shù)據(jù)中的特征協(xié)議數(shù)據(jù)和特征時間戳數(shù)據(jù)����,所述特征協(xié)議數(shù)據(jù)和所述特征時間戳數(shù)據(jù)為同一通信行為同一時間段的特征信息;
9����、計算所述特征協(xié)議數(shù)據(jù)和所述特征時間戳數(shù)據(jù)的時間偏差,以所述時間偏差為校正參數(shù)����,對所述通信協(xié)議數(shù)據(jù)和所述時間戳數(shù)據(jù)進行時間同步校正,得到時間同步數(shù)據(jù)����;
10、根據(jù)所述源地址數(shù)據(jù)與所述目標地址數(shù)據(jù)���,確定網(wǎng)絡流量的通信關(guān)系����,得到通信關(guān)系數(shù)據(jù);
11���、基于網(wǎng)絡流量生成初始流量模型����,將所述時間同步數(shù)據(jù)和所述通信關(guān)系數(shù)據(jù)添加至初始流量模型���,生成流量行為模型���。
12、在一實施例中����,所述計算所述特征協(xié)議數(shù)據(jù)和所述特征時間戳數(shù)據(jù)的時間偏差,以所述時間偏差為校正參數(shù)���,對所述通信協(xié)議數(shù)據(jù)和所述時間戳數(shù)據(jù)進行時間同步校正����,得到時間同步數(shù)據(jù)的步驟包括:
13、分別將所述特征協(xié)議數(shù)據(jù)和所述特征時間戳數(shù)據(jù)映射至基準時間軸����,得到第一映射位置和第二映射位置;
14���、分別獲取所述第一映射位置和所述第二映射位置的時間坐標���,得到第一時間坐標和第二時間坐標���;
15����、以所述第一時間坐標為參考點���,計算所述第二時間坐標與所述第一時間坐標的時間偏差����,所述時間偏差包括時間差值和時間方向���;
16����、根據(jù)所述時間差值和所述時間方向得到校正參數(shù);
17���、基于所述校正參數(shù)對所述第二時間坐標進行時間校正����,使所述第一時間坐標和所述第二時間坐標重合����,得到時間同步數(shù)據(jù)。
18����、在一實施例中,所述對所述流量行為模型進行分析���,確定流量行為中的異常特征和異常特征的分布模式的步驟包括:
19����、篩選所述時間戳數(shù)據(jù)中的高頻時間窗口����,確定所述高頻時間窗口與所述通信協(xié)議數(shù)據(jù)中的關(guān)聯(lián)位置,對所述關(guān)聯(lián)位置進行行為模式匹配,確定流量行為中的異常特征����;
20、確定所述流量行為模型中異常特征的位置和當前網(wǎng)絡流量之間的異常通信關(guān)系數(shù)據(jù)����;
21、記錄所述異常通信關(guān)系數(shù)據(jù)的第一變化規(guī)律和所述時間戳數(shù)據(jù)的第二變化規(guī)律���,根據(jù)所述第一變化規(guī)律和所述第二變化規(guī)律確定異常特征的行為路徑和行為頻率����;
22����、根據(jù)所述行為路徑和所述行為頻率得到異常特征的分布模式���。
23���、在一實施例中,所述根據(jù)所述第一變化規(guī)律和所述第二變化規(guī)律確定異常特征的行為路徑和行為頻率的步驟包括:
24���、提取所述通信關(guān)系數(shù)據(jù)中源地址與目標地址的關(guān)聯(lián)變化序列���,基于所述關(guān)聯(lián)變化序列和所述第一變化規(guī)律構(gòu)建異常特征的傳播路徑節(jié)點集���;
25、統(tǒng)計所述第二變化規(guī)律中異常特征在連續(xù)時間窗口的出現(xiàn)頻次����,并結(jié)合所述傳播路徑節(jié)點集的跳變順序,生成行為路徑的拓撲結(jié)構(gòu)���;
26���、根據(jù)所述拓撲結(jié)構(gòu)中相鄰節(jié)點間的跳轉(zhuǎn)次數(shù)與所述出現(xiàn)頻次的時序相關(guān)性,計算行為頻率的加權(quán)值����;
27、將所述拓撲結(jié)構(gòu)與所述加權(quán)值映射為異常特征的行為路徑和行為頻率���。
28���、在一實施例中����,所述在所述異常特征的分布模式符合預設隔離條件時����,切換當前流量處理任務為隔離任務,并根據(jù)所述異常特征的分布模式生成隔離區(qū)域和隔離信號���,基于所述隔離區(qū)域和所述隔離信號執(zhí)行隔離任務的步驟包括:
29���、在所述異常特征的分布模式符合預設隔離條件時,切換當前流量處理任務為隔離任務���,并確定當前網(wǎng)絡流量的剩余帶寬���,根據(jù)所述剩余帶寬預測最小隔離帶寬值����;
30、在所述剩余帶寬小于最小隔離帶寬值時����,根據(jù)所述異常特征的分布模式預測對應的行為軌跡���;
31、根據(jù)所述行為軌跡生成隔離區(qū)域���,根據(jù)所述隔離區(qū)域與行為軌跡生成隔離信號���,基于所述隔離區(qū)域和所述隔離信號執(zhí)行隔離任務。
32����、在一實施例中,所述基于預設流量路徑采集網(wǎng)絡流量數(shù)據(jù)的步驟之前����,還包括:
33、劃分網(wǎng)絡流量的通信域和時間域���,根據(jù)所述時間域和所述通信域的限制條件生成流量邊界����;
34����、確定所述通信域中的關(guān)鍵節(jié)點����,基于帶寬優(yōu)先原則����,根據(jù)安全監(jiān)測點和所述關(guān)鍵節(jié)點生成初始流量路徑;
35����、根據(jù)所述流量邊界對所述初始流量路徑進行約束,得到預設流量路徑����。
36、在一實施例中���,所述基于ai流量異常識別的實時隔離方法還包括:
37����、確定目標網(wǎng)絡設備的通信標識���,根據(jù)所述通信標識生成標識碼;
38���、基于所述標識碼和流量回傳指令生成流量回傳信號���;
39���、向網(wǎng)絡流量監(jiān)測設備發(fā)送流量回傳信號,接收網(wǎng)絡流量監(jiān)測設備基于所述流量回傳信號反饋的流量視角數(shù)據(jù)����;
40、將所述流量視角數(shù)據(jù)投送至安全中控平臺���。
41����、在一實施例中���,所述基于ai流量異常識別的實時隔離方法還包括:
42����、確定目標網(wǎng)絡設備的通信標識����,根據(jù)通信標識生成標識碼����;
43����、基于所述標識碼向目標網(wǎng)絡設備發(fā)送人工干預信號,并接收在目標網(wǎng)絡設備對人工干預信號驗證成功后回執(zhí)的響應信息���;
44����、在接收到所述響應信息后����,基于所述標識碼建立控制通道;
45����、基于所述控制通道與所述目標網(wǎng)絡設備進行數(shù)據(jù)交互,生成用于人工操作的操作接口���。
46���、此外���,為實現(xiàn)上述目的���,本技術(shù)還提出一種基于ai流量異常識別的實時隔離裝置���,基于ai流量異常識別的實時隔離裝置包括:
47、數(shù)據(jù)采集模塊����,用于基于預設流量路徑采集網(wǎng)絡流量數(shù)據(jù),所述網(wǎng)絡流量數(shù)據(jù)包括通信協(xié)議數(shù)據(jù)���、時間戳數(shù)據(jù)����、源地址數(shù)據(jù)和目標地址數(shù)據(jù)���;
48����、行為建模模塊,用于將所述通信協(xié)議數(shù)據(jù)����、所述時間戳數(shù)據(jù)、所述源地址數(shù)據(jù)和所述目標地址數(shù)據(jù)進行融合���,生成流量行為模型����;
49����、異常分析模塊,用于對所述流量行為模型進行分析����,確定流量行為中的異常特征和異常特征的分布模式;
50����、隔離處理模塊,用于在所述異常特征的分布模式符合預設隔離條件時���,切換當前流量處理任務為隔離任務����,并根據(jù)所述異常特征的分布模式生成隔離區(qū)域和隔離信號,基于所述隔離區(qū)域和所述隔離信號執(zhí)行隔離任務����。
51����、此外,為實現(xiàn)上述目的���,本技術(shù)還提出一種基于ai流量異常識別的實時隔離設備���,所述基于ai流量異常識別的實時隔離設備包括:存儲器、處理器及存儲在存儲器上并可在處理器上運行的計算機程序���,計算機程序配置為實現(xiàn)如上文的基于ai流量異常識別的實時隔離方法的步驟���。
52、此外���,為實現(xiàn)上述目的����,本發(fā)明還提出一種存儲介質(zhì),存儲介質(zhì)為計算機可讀存儲介質(zhì)����,存儲介質(zhì)上存儲有計算機程序,計算機程序被處理器執(zhí)行時實現(xiàn)如上文的基于ai流量異常識別的實時隔離方法的步驟���。
53����、此外����,為實現(xiàn)上述目的,本技術(shù)還提供一種計算機程序產(chǎn)品���,計算機程序產(chǎn)品包括計算機程序���,計算機程序被處理器執(zhí)行時實現(xiàn)如上文的基于ai流量異常識別的實時隔離方法的步驟。
54����、本技術(shù)提供了一種基于ai流量異常識別的實時隔離方法���,通過基于預設流量路徑采集網(wǎng)絡流量數(shù)據(jù),將所述通信協(xié)議數(shù)據(jù)���、所述時間戳數(shù)據(jù)���、所述源地址數(shù)據(jù)和所述目標地址數(shù)據(jù)進行融合,生成流量行為模型���,對所述流量行為模型進行分析,確定流量行為中的異常特征和異常特征的分布模式���,在所述異常特征的分布模式符合預設隔離條件時���,切換當前流量處理任務為隔離任務,并根據(jù)所述異常特征的分布模式生成隔離區(qū)域和隔離信號���,基于所述隔離區(qū)域和所述隔離信號執(zhí)行隔離任務����。通過上述方式����,解決現(xiàn)有技術(shù)中對異常流量識別和隔離的處理效率低下的技術(shù)問題���。