一种实时监控网络安全性的监控系统及其监控方法与流程

[0001]
本发明属于网络安全监控的技术领域，特别是涉及一种实时监控网络安全性的监控系统及其监控方法。


背景技术：

[0002]
网络安全性一直是信息领域的重点，随着网络渗透到社会活动的各个方面，安全问题也凸显更加重要。目前对网络安全的评估都有滞后性，都是在发现一种安全隐患之后，通过对网络流量的采样进行静态分析，评估该网络的安全状态，然后做出决策。这种方式存在四个方面的缺陷：一、具有严重的滞后性，只有在隐患已经存在才可能被查证。在信息交互量如此巨大的今天，这种滞后性本身就不安全。
[0003]
二、不具备前瞻性和可预测性。一种安全隐患只有被实际验证之后才会被确认，此时已经造成了危害。
[0004]
三、分析的范围有很大局限。网络安全隐患的类型千差万别，目前的各种静态分析方法都只针对一种类型或某几种类型有效，因此实际应用中准确率不高。
[0005]
四、网络安全隐患的技术日新月异，静态分析方法往往很快失效。


技术实现要素：

[0006]
本发明为解决上述背景技术中存在的技术问题，本发明利用机器学习建立动态流量模型，对网络流量进行实时监控，实时评估网络安全状态，并能对安全隐患做出预测，从而及时作出决策。
[0007]
本发明通过以下技术方案来实现：一种实时监控网络安全性的监控系统，所述监控系统包括网络模块，所述网络模块是用于对网络恶意流量进行识别的的神经网络，如果发现恶意流量或者可疑流量，则执行预先设定的动作；所述监控系统用于接入网络用于对网络流量进行实时判别。
[0008]
在进一步的实施例中，所述监控系统安装在包括路由器、交换机、服务器或者独立的监控设备上。
[0009]
在进一步的实施例中，所述监控系统通过网络接口采用串联或者并联的方式接入互联网或者用户内部专网。
[0010]
在进一步的实施例中，所述神经网络的训练方法具体包括以下步骤：步骤一、从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据；步骤二、从网络上获取典型时段的流量；步骤三、监控单元对获取的流量进行逐条分析判断是否符合已知的安全隐患特征，根据匹配的结果进行分类并标注；步骤四、监控单元将分类后的流量数据按照比例随机分为训练集和测试集；
步骤五、监控单元加载训练集，启动神经网络训练；步骤六、监控单元加载测试集，对训练中的神经网络进行测试，如果测试输出结果的精度满足设定阈值，则表示神经网络已经训练完成；如果测试输出结果的精度没有达到设定精度，则重复步骤五，直至训练完成。
[0011]
一种实时监控网络安全性的监控系统的监控方法，具体包括以下步骤：步骤101、将报文数据分拆为若干类别，包括:域名、协议特征和数据特征；步骤102、通过网络模块中的监控单元进行匹配和评估；步骤103、通过训练后投入在网运行，对通过的报文进行抽样，并对数据进行分拣，然后根据训练模型做出安全性评估；步骤104、如果发现安全隐患，则向管理台输出报告，并且按照预先设定的要求执行决策；管理台同时对受到的报告给予评定，评定反馈到设备作为增量学习的数据；同时，如果管理台发现新的安全隐患的特征，也可以作为学习样本输入给设备。
[0012]
在进一步的实施例中，所述域名根据安全性可以分为分为可信任、不可信任和部分可信三种情况。
[0013]
在进一步的实施例中，所述协议特征的用于分析木马存在的可能性，大部分木马都会扫描某一类或者某几个端口。
[0014]
在进一步的实施例中，所述数据特征用来分析报文携带的内容与exe文件之间的关联程度，通过特殊的串识别，可以匹配到是否与病毒特征相关或者与系统调用相关。
[0015]
在进一步的实施例中，所述步骤四中的流量数据按照8:2的比例随机分为训练集和测试集。
[0016]
本发明的有益效果：相对于目前网络安全的监测方式，本发明的优点在于：一、通过一种被训练出能够识别网络恶意流量的神经网络能够实时评估出网络安全状态，解决现有技术中存在滞后性的问题；二、能够对安全状态做出预测，具备前瞻性和可以测性；三、因本系统所采集到的数据是从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据能够全面评估网络安全状态而非仅仅针对某一种类型，使用范围广，解决了现有技术中分析范围存在局限性的问题；四、本系统中的网络模块是经训练而成，在评估的同时还能够及时学习最新的安全技术，能够与时俱进，不易失效。
附图说明
[0017]
图1为本系统中的网络模块的训练流程图。
[0018]
图2为本系统的监控流程图。
[0019]
图3为实施例1中的网络模块连接方式的结构示意图。
[0020]
图4为实施例2中的网络模块连接方式的结构示意图。
具体实施方式
[0021]
在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以
实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。
[0022]
申请人经统计表明，网络中的恶意行为虽然变化多端，但都呈现一定的深层次规律，比如木马通常需要扫描特定tcp/udp端口，不安全网站通常由难以记忆的数字、字母组合，恶意代码通常与特定的系统底层调用呈现高频相关度。因此会出现以下问题：具有严重的滞后性、不具备前瞻性和可预测性、分析的范围有很大局限和网络安全隐患的技术日新月异，静态分析方法往往很快失效。
[0023]
对此，申请人针对上述缺陷，本发明利用机器学习建立动态流量模型，对网络流量进行实时监控，实时评估网络安全状态，并能对安全隐患做出预测，从而及时作出决策：收集大量恶意流量样本，并构建一个神经网络加以训练后，则能够以非常高的精度判断出当前流量是否为恶意行为。
[0024]
这种方法比传统的静态分析方式的优势在于，首先速度很快，并且可以同时对各种恶意行为进行判断，同时具有前瞻性，能够提前发现可疑行为。
[0025]
这种方法更好的一点是，网络上的恶意行为是不断变化发展的，机器学习在基础模型之上，可以持续增量学习，不断优化和调整参数，始终能够跟随网络的发展情况。
[0026]
下面结合附图和实施例对本发明做详细的描述。
[0027]
实施例1采用人工智能方式训练出一个能够识别网络恶意流量的神经网络，将这个网络模块集成到监控系统内上并将监控系统安装在监控设备上，该监控设备可以是路由器、交换机、服务器或者其他独立的监控设备。将监控设备接通过以太网络接口采用串联入网络，如图3所示，对网络流量进行实时判别，如果发现恶意流量或者可疑流量，则执行预先设定的动作。同时，设备本身也能够通过现网流量持续学习，不断提高识别精度。
[0028]
如图1所示，所述神经网络的训练方法，具体包括以下训练步骤：步骤一、从国内外安全机构以及研究机构获取已知的各类网络安全隐患特征和典型安全隐患流量数据；步骤二、从网络上获取典型时段的流量；步骤三、监控单元对获取的流量进行逐条分析判断是否符合已知的安全隐患特征，根据匹配的结果进行分类并标注；步骤四、监控单元将分类后的流量数据按照比例8:2随机分为训练集和测试集；步骤五、监控单元加载训练集，启动神经网络训练；步骤六、监控单元加载测试集，对训练中的神经网络进行测试，如果测试输出结果的精度满足设定阈值，则表示神经网络已经训练完成；如果测试输出结果的精度没有达到设定精度，则重复步骤五，直至训练完成。
[0029]
如图2所示，一种实时监控网络安全性的监控系统的监控方法，具体包括以下步骤：步骤101、将报文数据分拆为若干类别，包括:域名、协议特征和数据特征，并作出标注；可以涵盖各种安全隐患而不会只对某类或者某几类隐患有效；步骤102、通过网络模块中的监控单元进行匹配和评估；步骤103、通过训练后投入在网运行，对通过的报文进行抽样，并对数据进行分拣，然后
根据训练模型做出安全性评估；步骤104、如果发现安全隐患，则向管理台输出报告，并且按照预先设定的要求执行决策；管理台同时对受到的报告给予评定，评定反馈到设备作为增量学习的数据；同时，如果管理台发现新的安全隐患的特征，也可以作为学习样本输入给设备。
[0030]
所述域名根据安全性可以分为分为可信任、不可信任和部分可信三种情况。所述协议特征的用于分析木马存在的可能性，大部分木马都会扫描某一类或者某几个端口。所述数据特征用来分析报文携带的内容与exe文件之间的关联程度，通过特殊的串识别，可以匹配到是否与病毒特征相关或者与系统调用相关。
[0031]
实施例2采用人工智能方式训练出一个能够识别网络恶意流量的神经网络，将这个网络模块集成到监控系统内上并将监控系统安装在监控设备上，该监控设备可以是路由器、交换机、服务器或者其他独立的监控设备。将监控设备接通过以太网络接口采用并联入网络，如图4所示，对网络流量进行实时判别，如果发现恶意流量或者可疑流量，则执行预先设定的动作。同时，设备本身也能够通过现网流量持续学习，不断提高识别精度。
[0032]
本发明采用机器学习方法，训练设备通过网络流量智能判断安全状态，然后做出决策。
[0033]
本发明在网络上获取一定时段的流量，并对流量数据进行分拣和标注，同时，通过国内和国际安全机构发布的各种安全隐患特征，构造对应的数据并标注，作为训练集。
[0034]
本发明的设备通过训练后投入在网运行，对通过的报文进行抽样，并对数据进行分拣，然后根据训练模型做出安全性评估。当有新的安全隐患被证明后，本设备能够对应的数据及时增量学习，从而能迅速掌握。
[0035]
本发明在实际运行中仍然动态增量学习，因此可以一直保持对安全技术的跟踪。
[0036]
监控设备对输入的报文分拆为指定类别，然后由监控单元进行匹配和评估，如果发现安全隐患，则向管理台输出报告，并且按照预先设定的要求执行决策。管理台同时对受到的报告给予评定，评定反馈到设备作为增量学习的数据。同时，如果管理台发现新的安全隐患的特征，也可以作为学习样本输入给设备。
[0037]
另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。