基于人工智能的网络攻击自动化防御系统

本发明属于网络安全领域，具体是基于人工智能的网络攻击自动化防御系统。

背景技术：

1、随着因特网的快速发展，除了加快信息的传输外也改变许多产业的行为。为确保在因特网上的安全，因此如何防止网络攻击是一件重大的议题。目前的防范网络攻击的方式，是在攻击发生的之后才开始进行封包的分析。由于因特网的传输方式的多样化，使得过去的单一型态的网络攻击行为开始转变成复合式的攻击行为或是全新的攻击方式。

2、而目前已有用来抵御ddos攻击的手段主要是依靠经验法则并搭配cdn疏通流量，以缓解ddos攻击所造成的危害，而cdn的主要设计用意在于借由增设设备来以更高流量的服务来提高服务质量与增加营收，但是以cdn来缓解ddos攻击却会造成用户付出巨大的成本，并且需要耗费大量人力资源进行分析攻击态样、制订规则且须避免规则间的冲突，所以此方法抵御方法过于被动且防御范围相当局限。

3、另外，也有些从业者为了避免网络设备被骇，所以会以如tls的通讯协议来进行身份认证以确认联机双方身份，但是黑客则会利用通讯协议运算耗时的特性，大量消耗通讯设备的运算资源，进而达到瘫痪通讯设备的目的。

4、又另外有以过滤恶意流量入侵的方法，其主要是将封包导入侦测过滤的设备，而该侦测过滤的设备需要将封包转换成流量图片，而后再利用已知恶意流量封包的模型图片与流量图片进行比对分析，判断流量图片是否符合模型图片，但此现有的方法除了需要先得知恶意流量封包的模型图片而造成过滤流程的增加外，其封包转换成流量图片的转换的过程中相对耗费其运作效率，且图片比对上也需要提高比对效率才能作精准的比对，相对也需要增设设备来提高运作效率，而其侦测过滤的设备也需要不断的依照恶意封包的变化来更改流量图片与恶意流量封包的模型图片，相对造成比对分析上的困扰。

5、为了解决上述问题，例如中国专利，公告号为：cn114884691a，该发明公开了一种人工智能抵御网络攻击的系统及其方法，其中包括使用者设备、身份认证设备、伺服设备及网络设备，网络设备接收用户设备传输至伺服设备的多个网络封包，网络设备执行以下步骤：该网络设备的封包过滤单元接收该网络封包并根据过滤用户数据库将所述网络封包传递至身份认证设备或过滤其网络封包；该身份认证设备接收所述网络封包，且对产生该网络封包的使用者设备进行身份认证，并依据身份认证结果将该网络封包传递至一伺服设备。

6、但是在实际使用时，人工智能领域的发展不断推动着新的技术和方法的出现，这些技术和方法可能在性能上超越了过去的方法。在现有技术中，存在着一些因特殊原因而导致自动化防御系统误判为网络攻击的行为，这种误判可能会导致不必要的干扰、拦截合法流量，甚至可能对业务造成负面影响。所以本发明提出基于人工智能的网络攻击自动化防御系统，以解决上述问题。

技术实现思路

1、本发明提出了基于人工智能的网络攻击自动化防御系统，不仅可以不断进行调整和优化，以适应不断变化的威胁环境；还可以不断改进响应策略，减少了误判的可能性，提高系统的响应效率和准确性。

2、为了实现上述目的，本发明的技术方案如下：基于人工智能的网络攻击自动化防御系统，包括：

3、实时监测单元：用于负责连续监测网络流量、日志和事件。

4、威胁情报单元：用于整合来自内部和外部威胁情报源的信息，以识别当前的威胁环境，并根据情报更新实时防御策略。

5、行为分析单元：用于分析用户、设备和应用程序的行为模式，以识别异常活动和恶意行为。

6、自动化响应单元：用于在检测到威胁时，自动执行预定义的响应措施。

7、学习和优化单元：用于使用新数据对模型和算法进行训练，以不断优化系统的识别和响应能力。

8、自适应防御单元：用于根据实时情报和行为分析结果，自动调整防御策略，以应对不断变化的攻击技术。

9、漏洞管理单元：用于自动扫描系统中的漏洞，标识潜在的安全风险，并支持漏洞修复。

10、持续监控和响应单元：用于提供24/7的监控，及时检测和应对潜在的网络攻击。

11、实时监测单元对终端用户的请求信息进行实时检测，行为分析单元计算在任意触发时刻t之前的监控时段tw内，终端用户的请求次数，威胁情报单元判断终端用户的请求次数是否超过预设的访问上限，当请求次数超过访问上限后，自动化响应单元自动执行自适应防御单元中预定义的响应措施，对终端用户进行拦截。

12、拦截过后，在任意触发时刻t之后的监控时段tw内，漏洞管理单元随机取消对终端用户的拦截，如果终端用户继续进行超过预设访问次数上限的请求，则继续对终端用户进行拦截，如果终端用户已经停止访问请求，通过持续监控和响应单元计算终端用户异常访问时的频率，取消对终端用户的拦截，利用学习和优化单元根据过去的数据和行为模式来调整自动化响应单元自动执行自适应防御单元中预定义的响应措施。

13、采用上述方案后实现了以下有益效果：实时监测单元对终端用户的请求信息进行实时监测，包括请求的时间戳、请求内容等，将监测到的请求信息传递给行为分析单元。在任意触发时刻t之前的监控时段tw内，计算终端用户的请求次数，将计算结果传递给威胁情报单元。判断终端用户的请求次数是否超过预设的访问上限。如果请求次数超过上限，触发自动化响应单元执行预定义的响应措施。根据威胁情报单元的判断，执行预定义的响应措施，对终端用户进行拦截。

14、在触发时刻t之后的监控时段tw内，持续监控终端用户的行为。如果终端用户继续进行超过预设访问次数上限的请求，保持对其的拦截。如果终端用户已停止访问请求，计算终端用户异常访问的频率。

15、在监控时段tw结束后，随机取消对终端用户的拦截，使其能够恢复正常访问。如果终端用户再次超过预设访问次数上限，重新触发拦截。利用学习和优化单元，根据过去的数据和行为模式，对自动化响应单元的预定义响应措施进行调整和优化，以适应不断变化的威胁环境。

16、通过实时监测和自适应响应，可以及时阻止恶意行为，降低潜在的威胁对系统的影响；根据实时数据和行为模式进行自适应调整，能够灵活应对不同类型的威胁和攻击。

17、通过基于请求次数的判断，减少了误报的可能性，只对实际超过预设访问次数的终端用户进行拦截；持续监控和响应单元确保在拦截解除后持续监控终端用户行为，防止恶意用户继续攻击。

18、通过学习和优化单元，不断改进响应措施，提高系统的自动化响应效率和准确性。

19、自动化的实时监测和响应减轻了管理员的负担，使其能够更集中地应对真正的威胁。

20、进一步，实时监测单元包括：流量监测模块，用于可以实时捕获和分析网络流量，识别数据包和连接的源、目的及协议，从中发现异常活动。

21、日志分析模块，用于记录并分析各种事件和活动的日志。

22、实时响应模块，用于当检测到异常活动，立即触发警报，通知安全团队或管理员。

23、数据聚合模块，用于将不同来源的数据整合在一起，综合分析和绘制整体安全画像。

24、有益效果：流量监测模块的异常活动包括，如异常的数据传输、连接频率等。选择适当的流量监测工具或设备，如入侵检测系统(ids)、流量分析器等；配置监测规则，这些规则会告诉系统哪些流量是正常的，哪些可能是异常的；设置流量捕获点，确保监测涵盖了整个网络流量；配置报警机制，以便在发现异常流量时能够触发警报通知。

25、日志分析模块，选择适当的流量监测工具或设备，如入侵检测系统(ids)、流量分析器等；配置监测规则，这些规则会告诉系统哪些流量是正常的，哪些可能是异常的；设置流量捕获点，确保监测涵盖了整个网络流量；配置报警机制，以便在发现异常流量时能够触发警报通知；定期检查和更新监测规则，以适应不断变化的威胁环境。

26、将各种事件和活动记录到日志中，包括登录尝试、文件访问、应用程序行为等；确保日志记录满足合规性要求，并根据需要调整日志级别和详细程度；部署日志收集工具，将来自不同系统和设备的日志数据集中到一个集中式位置；使用日志分析工具，对日志数据进行实时或离线分析，以检测异常模式和事件；配置告警规则，以便在发现异常事件时发送通知。

27、实时响应模块，设置自动化响应规则，定义不同类型的异常活动触发何种响应措施；配置警报通知机制，以便在触发异常活动时能够及时通知安全团队；集成自动化响应工具，确保系统能够自动执行预定的响应动作，如拦截、隔离等。

28、数据聚合模块，确定要从各个模块收集哪些数据，例如流量监测数据、日志数据、响应记录等；部署数据收集工具或api，将来自不同模块的数据整合到一个统一的数据存储或平台中；使用数据聚合工具，对整合的数据进行分析、挖掘和可视化，以绘制整体安全画像；配置报表和仪表盘，以便安全团队能够实时监视系统状态和安全事件。

29、进一步，威胁情报单元包括：威胁情报整合模块，用于从多个内部和外部的威胁情报源收集、整合和分析信息。

30、实时更新模块，用于实时监测情报源，并及时进行更新。

31、威胁分析模块，用于分析收集到的威胁情报，识别当前的攻击趋势、攻击者的目标和方法，以及受影响的系统和资产。

32、实时防御策略模块，用于自动更新系统的防御策略。

33、智能决策模块，用于结合威胁情报和安全数据，帮助安全团队选择最佳的应对措施。

34、有益效果：威胁情报整合模块，识别并选择适合组织需求的威胁情报源，包括公共数据库、商业情报提供商、政府机构、社区合作伙伴等；配置数据收集工具或api，以从不同源收集威胁情报数据；设计和建立数据转换和整合流程，以确保不同格式和结构的情报能够被有效地整合；部署威胁情报存储和管理系统，以便存储、查询和检索整合后的情报数据；制定分析规则和模型，用于从整合的数据中提取有用的洞察和信息。

35、实时更新模块，设置监控和自动化更新机制，以实时监测情报源的变化和更新；配置提醒和通知，以便在有新的情报信息时能够及时通知相关人员；整合自动化工具，确保情报数据可以自动下载、更新和存储。

36、威胁分析模块，建立分析流程和流程，以对收集到的情报数据进行分析；配置威胁分析工具，例如威胁情报平台、数据挖掘工具等，用于识别模式和趋势；设置警报规则，以便在发现与攻击有关的模式时能够触发通知；集成威胁情报分析结果和洞察到其他安全组件，以支持更有效的防御措施。

37、实时防御策略模块，根据威胁情报的分析结果，配置防御策略更新机制，使系统能够自动更新防御规则和设置；验证自动更新的策略是否符合组织的安全政策和需求；设计回滚计划，以防止不良更新影响到系统正常运行。

38、智能决策模块实施，整合威胁情报数据、实时监测数据和其他安全数据，以建立完整的情景；开发智能决策算法或模型，用于根据情境推荐最佳的应对措施；集成智能决策结果到安全响应流程，以支持更迅速和准确的响应。

39、进一步，行为分析单元包括：行为模式模块，用于建立终端用户、设备和应用程序行为模式，包括登录时间、访问的资源和数据传输量。

40、异常检测模块，用于使用机器学习、统计方法或其他技术来检测与正常行为模式不符的活动。

41、上下文考虑模块，用于在分析和决策过程中综合考虑事件的上下文信息，考虑事件之间的关系。

42、自定义规则模块，用于适应不同组织的需求，允许管理员自定义规则，以便更准确地识别异常行为。

43、有益效果：行为模式模块，确定需要监控的终端用户、设备和应用程序，以及需要收集的行为数据，如登录时间、资源访问和数据传输等；配置数据收集机制，以捕获上述行为数据，并将其存储到适当的存储系统中；开发或选择适当的算法或模型，以从收集到的数据中建立正常的行为模式；设置数据清洗和预处理流程，以确保模型训练所需的数据质量和一致性。

44、异常检测模块，根据数据的特点和行为模式模块的输出，选择合适的异常检测技术，如基于统计的方法、机器学习算法等；准备标注数据集，其中包括正常行为和异常行为的示例；使用标注数据集训练异常检测模型，并进行模型调优和验证，以确保模型能够准确地识别异常行为。

45、上下文考虑模块，定义事件之间的上下文信息，如时间戳、用户身份、设备信息等，以帮助分析行为事件的关系；集成上下文数据到行为分析流程中，确保分析过程可以综合考虑事件之间的关系和上下文信息；设置上下文关联算法，用于将事件关联起来，以便更准确地识别复杂的异常模式。

46、自定义规则模块，提供一个用户界面或配置文件，允许管理员创建和编辑自定义规则；确定自定义规则的条件和触发事件，以及相关的响应措施；集成自定义规则模块到行为分析流程中，确保它可以与其他模块协同工作。

47、进一步，学习和优化单元包括：持续学习模块，用于不断地接收新的数据，利用这些数据，持续地对模型进行学习，以更新其知识和认知。

48、模型训练模块，用于使用新数据来训练机器学习模型、统计模型或其他分析模型。

49、算法优化模块，用于优化分析和决策的算法，以提高其性能和效果。

50、迭代改进模块，用于通过不断地训练和优化，逐步改进，适应新的威胁和攻击模式。

51、误报管理模块，用于通过学习和优化，降低误报率，从而使安全团队能够更集中地应对真正的威胁。

52、有益效果：持续学习模块，配置数据收集机制，以获取来自不同模块的实时数据，如流量监测、日志分析、行为分析等；设计数据存储和管理系统，以便存储大量的学习数据，包括历史数据和最新的事件信息；实现数据预处理流程，以清洗、转换和标准化数据，使其适合于模型训练和优化。

53、模型训练模块，根据不同的需求和任务，选择适当的机器学习、统计模型或其他分析模型；准备训练数据集，确保数据集包含有代表性的正常和异常样本；进行模型训练，使用训练数据集来训练模型，并进行交叉验证以避免过拟合；针对不同模型，选择合适的超参数和优化策略，以提高模型的性能和泛化能力。

54、算法优化模块，评估当前使用的算法性能，包括准确率、召回率、误报率等；研究和探索不同的算法和技术，以寻找更适合当前问题的优化方案；实施算法优化，可以涉及参数调整、特征工程、算法改进等措施；使用交叉验证和测试集验证算法的性能改进，并确保其在实际环境中的有效性。

55、迭代改进模块，设计和实施定期的模型重训练计划，以确保模型能够持续地适应新的威胁和攻击模式；收集实际应用中的反馈信息，包括模型的性能、误报率等；根据反馈信息进行模型迭代，可能需要调整模型、算法或数据预处理流程；定期评估模型的改进效果，确保系统在不断变化的环境中保持高效和准确。

56、误报管理模块，设置误报率的度量指标，如假阳性率，以衡量系统的误报情况；收集和记录误报情况，以了解为什么发生误报，哪些情况最容易引发误报；针对经常出现的误报情况，调整模型或规则，以减少误报的概率；配置自动或手动的误报审查和验证流程，以确保每个误报都得到适当的处理。

57、进一步，自适应防御单元包括：实时情报驱动模块，用于利用来自威胁情报单元和实时监测单元的数据，以及行为分析单元的结果，作为基础来调整防御策略。

58、动态策略调整模块，用于根据实时情况，动态地调整防御策略。

59、预定义响应模块，用于根据预定义的规则和策略来执行自动化的响应措施。

60、终端用户拦截模块，用于在检测到可疑行为后，对终端用户进行拦截。

61、有益效果：实时情报驱动模块，确定需要利用的数据源，包括威胁情报单元、实时监测单元和行为分析单元的数据；配置数据集成和共享机制，以确保不同模块的数据可以无缝地传递到自适应防御单元；开发数据处理和分析流程，以从不同数据源中提取有用的信息和指标；设计规则或逻辑，以根据不同类型的情报和分析结果调整防御策略。

62、动态策略调整模块，定义需要根据实时情况进行调整的防御策略，这可能包括访问控制规则、防火墙规则、入侵检测规则等；配置自动化策略调整机制，以便在检测到变化或威胁时能够自动调整策略；设置调整规则的条件和优先级，以确保调整是基于具体的威胁情况和风险级别。

63、预定义响应模块，确定需要自动化执行的响应措施，如封锁ip、降低权限、发送警报通知等；配置响应规则和条件，以触发预定义的响应措施；集成响应机制到系统中，确保能够及时执行响应动作。

64、终端用户拦截模块，配置终端用户拦截规则，以定义什么样的行为被认为是可疑或恶意的；设置拦截条件，如访问频率、异常活动等，以触发对终端用户的拦截；集成拦截机制到系统中，以在检测到可疑行为时执行拦截操作。

65、进一步，持续监控和响应单元包括：全时监控模块，用于确保系统在24/7的时间内始终保持监控状态，以便及时发现任何安全事件和威胁。

66、实时检测模块，用于实时监测网络流量、日志、事件和其他安全相关数据，以便及时检测到异常活动、攻击行为或潜在的威胁。

67、警报和通知模块，用于检测到异常活动或潜在的攻击时，生成警报和通知，以便安全团队能够迅速采取行动。

68、紧急响应模块，用于在发现严重的攻击事件时，立即采取紧急响应措施，以防止进一步损害。

69、数据分析模块，用于负责对历史数据进行分析，以识别模式、趋势和漏洞。

70、有益效果：全时监控模块，确定需要监控的系统、网络、应用程序和设备，包括内部和外部资源；配置监控工具和设备，以确保系统始终保持监控状态，无论是白天还是晚上；设计监控计划，包括监控频率、监控点和监控范围。

71、实时检测模块，选择合适的实时检测工具和技术，如入侵检测系统(ids)、入侵防御系统(ips)和日志分析工具等；配置检测规则和策略，以识别异常活动、攻击行为和潜在的威胁；设置实时检测的数据源，如网络流量、日志、事件数据等；集成实时检测机制到系统中，确保能够实时地监测和分析安全事件。

72、警报和通知模块，定义警报规则和条件，以触发警报和通知；配置警报通知渠道，包括电子邮件、短信和即时消息等；设置警报的级别和优先级，以确保安全团队可以根据紧急程度采取适当的行动；设计警报和通知的模板，以提供有用的信息和上下文。

73、紧急响应模块，定义紧急响应计划，包括针对不同类型的攻击和事件的响应措施；配置紧急响应工具和自动化机制，以便在发现严重的攻击事件时能够立即采取行动；建立响应团队和流程，确保在发生紧急事件时有明确的责任和行动步骤。

74、数据分析模块，配置数据存储和管理系统，以存储历史数据，包括监控数据、日志数据等；使用数据分析工具，对历史数据进行分析，以识别模式、趋势和漏洞。

75、进一步，防御系统还包括：可视化和报告单元，用于生成报告和可视化图表，向管理员展示检测到的威胁、采取的行动和网络安全状况。

76、有益效果：可视化和报告单元是将防御系统收集到的数据、监测结果、威胁情报和行动反馈等信息，通过图表、图形和报告的形式呈现给管理员和安全团队。有助于让管理员能够更加直观地了解系统的安全状况、检测到的威胁、采取的行动以及整体网络安全的状态。

77、可视化和报告单元提供实时的可视化信息，使管理员能够迅速了解当前的威胁情况、攻击活动和安全事件，有助于及早发现潜在的威胁，并能够采取快速的响应措施；通过图表和图形的展示，管理员可以更容易地识别和分析威胁的趋势、类型和来源，有助于更深入地了解攻击者的行为模式，从而采取更有针对性的防御措施。