网络安全监测方法、装置及存储介质与流程

本公开涉及通信，尤其涉及一种网络安全监测方法、装置及存储介质。

背景技术：

1、目前，随着通信网络技术的发展，网络和云计算平台成为信息传输和存储的重要基础设施，随之而来的是数据信息的安全问题，面对日益复杂的网络安全威胁，常见的网络安全监测方法是通过在云平台部署安全监控系统，对抓包的网络数据包与安全治理数据库中的数据进行比对分析，实时监测网络和云平台的安全状况，确定具有安全风险的网络地址。

2、但是，该方法在进行数据监测分析时，过于依赖网络安全监测数据库中的历史数据，具有一定的局限性，难以准确发现云平台网络中存在攻击行为的网络地址以及第二被攻击进程。

技术实现思路

1、本公开提供一种网络安全监测方法、装置及存储介质，解决了相关技术中在进行数据监测分析时，过于依赖网络安全监测数据库中的历史数据，具有一定的局限性，难以准确发现云平台网络中存在攻击行为的网络地址，以及第二被攻击进程的技术问题。

2、为达到上述目的，本公开采用如下技术方案：

3、第一方面，提供一种网络安全监测方法，该方法包括：根据第一预测模型，预测实时网络数据中存在网络攻击行为的第二网络地址数据；第一预测模型为基于第一数据进行联邦学习构建的第一预测模型；第一数据为云平台核心网络交换机的流量数据中，存在网络攻击行为的有效载荷信息及第一网络地址数据；根据第二预测模型，预测云平台的云主机中第二被攻击进程；第二预测模型为基于第二数据进行联邦学习构建的第二预测模型；第二数据为云平台中存在第一被攻击进程的云主机的数据；基于第二网络地址数据与第二被攻击进程确定目标网络地址与目标进程；目标网络地址为当前存在网络攻击行为的网络地址；目标进程为当前第二被攻击进程。

4、结合上述第一方面，在一种可能的实现方式中，该方法具体包括：获取第二被攻击进程的第三网络地址数据；在第三网络地址数据与第二网络地址数据相同的情况下，确定第二网络地址数据为目标网络地址，第二被攻击进程为目标进程。

5、结合上述第一方面，在一种可能的实现方式中，第一网络地址数据包括：网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口；该方法还包括获取网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口；根据预设机器学习算法，基于网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口、以及有效载荷信息进行联邦学习，构建第一预测模型。

6、结合上述第一方面，在一种可能的实现方式中，云主机的数据包括：处理器负荷，内存负荷，处理器利用率，内存利用率，第一被攻击进程占用的资源数据，第一被攻击进程的监听端口号；该方法还包括：获取处理器负荷，内存负荷，处理器利用率，内存利用率，第一被攻击进程占用的资源数据，第一被攻击进程的监听端口号；根据预设机器学习算法，基于处理器负荷，内存负荷，处理器利用率，内存利用率，第一被攻击进程占用的资源数据，第一被攻击进程的监听端口号进行联邦学习，构建第二预测模型。

7、结合上述第一方面，在一种可能的实现方式中，该方法还包括：获取目标进程的云主机运行数据；基于目标网络地址进行联邦学习更新第一预测模型；基于目标进程的云主机数据进行联邦学习更新第二预测模型。

8、第二方面，提供一种网络安全监测装置，该装置包括：处理单元；处理单元，用于根据第一预测模型，预测实时网络数据中存在网络攻击行为的第二网络地址数据；第一预测模型为基于第一数据进行联邦学习构建的第一预测模型；第一数据为云平台核心网络交换机的流量数据中，存在网络攻击行为的有效载荷信息及第一网络地址数据；处理单元，用于根据第二预测模型，预测云平台的云主机中第二被攻击进程；第二预测模型为基于第二数据进行联邦学习构建的第二预测模型；第二数据为云平台中存在第一被攻击进程的云主机的数据；处理单元，用于基于第二网络地址数据与第二被攻击进程确定目标网络地址与目标进程；目标网络地址为当前存在网络攻击行为的网络地址；目标进程为当前第二被攻击进程。

9、结合上述第二方面，在一种可能的实现方式中，该装置还包括：通信单元；处理单元，具体用于：指示通信单元获取第二被攻击进程的第三网络地址数据；在第三网络地址数据与第二网络地址数据相同的情况下，确定第二网络地址数据为目标网络地址，第二被攻击进程为目标进程。

10、结合上述第二方面，在一种可能的实现方式中，第一网络地址数据包括：网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口；处理单元，还用于：指示通信单元获取网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口；根据预设机器学习算法，基于网络攻击行为的源网址、网络攻击行为的目标端网址、网络攻击行为的源端口、网络攻击行为的目标端口、以及有效载荷信息进行联邦学习，构建第一预测模型。

11、结合上述第二方面，在一种可能的实现方式中，云主机的数据包括：处理器负荷、内存负荷、处理器利用率、内存利用率、第一被攻击进程占用的资源数据、第一被攻击进程的监听端口号；处理单元，还用于：指示通信单元获取处理器负荷、内存负荷、处理器利用率、内存利用率、第一被攻击进程占用的资源数据、第一被攻击进程的监听端口号；根据预设机器学习算法，基于处理器负荷、内存负荷、处理器利用率、内存利用率、第一被攻击进程占用的资源数据、第一被攻击进程的监听端口号进行联邦学习，构建第二预测模型。

12、结合上述第二方面，在一种可能的实现方式中，处理单元，还用于：指示通信单元获取目标进程的云主机运行数据，以及来自目标网络地址的有效载荷信息；基于目标网络地址，以及目标网络地址的有效载荷信息进行联邦学习更新第一预测模型；基于目标进程的云主机数据进行联邦学习更新第二预测模型。

13、第三方面，提供一种网络安全监测装置，包括：处理器以及存储器；其中，存储器用于存储计算机执行指令，当网络安全监测装置运行时，处理器执行存储器存储的计算机执行指令，以使网络安全监测装置执行如上述第一方面及其任一种可能的实现方式中记载的网络安全监测方法。

14、第四方面，提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当计算机可读存储介质中的指令由网络安全监测装置的处理器执行时，以使网络安全监测装置执行如上述第一方面及其任一种可能的实现方式中记载的网络安全监测方法。

15、第五方面，提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现如上述第一方面及其任一种可能的实现方式中记载的网络安全监测方法。

16、在本公开中，上述网络安全监测装置的名字对设备或功能模块本身不构成限定，在实际实现中，这些设备或功能模块可以以其他名称出现。只要各个设备或功能模块的功能和本公开类似，属于本公开及其等同技术的范围之内。

17、本公开提供的技术方案至少带来以下有益效果：本公开中网络安全监测装置首先根据第一预测模型，预测实时网络数据中存在网络攻击行为的第二网络地址数据；由于第一预测模型为基于第一数据进行联邦学习构建的第一预测模型；第一数据为云平台核心网络交换机的流量数据中，存在网络攻击行为的有效载荷信息及第一网络地址数据；因此基于第一预测模型可以预测实时网络数据中存在网络攻击行为的第二网络地址数据；然后根据第二预测模型，预测云平台的云主机中第二被攻击进程；由于第二预测模型为基于第二数据进行联邦学习构建的第二预测模型；第二数据为云平台中存在第一被攻击进程的云主机的数据；因此基于第二预测模型，可以预测云平台的云主机中第二被攻击进程。最后，基于第二网络地址数据与第二被攻击进程确定目标网络地址与目标进程；目标网络地址为当前存在网络攻击行为的网络地址；目标进程为当前第二被攻击进程。从而解决了，现有技术中在进行数据监测分析时，过于依赖网络安全监测数据库中的历史数据，具有一定的局限性，难以准确发现云平台网络中存在攻击行为的网络地址，以及第二被攻击进程的技术问题。