本發(fā)明提供一種結(jié)合威脅情報和機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析方法及系統(tǒng)，采集多種途徑的數(shù)據(jù)信息，將其預(yù)處理為情報數(shù)據(jù)流，克服現(xiàn)有技術(shù)信息僅來源于本地發(fā)生的事件和行為，分析所述情報數(shù)據(jù)流與熱門安全事件的關(guān)聯(lián)，得出關(guān)鍵設(shè)備的安全態(tài)勢值，進(jìn)而通過模型預(yù)測網(wǎng)絡(luò)的攻擊來源和攻擊路徑，實現(xiàn)實時動態(tài)預(yù)測網(wǎng)絡(luò)安全，更好地保護(hù)不同用戶的業(yè)務(wù)數(shù)據(jù)。

技術(shù)領(lǐng)域

本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種結(jié)合威脅情報和機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析方法及系統(tǒng)。

背景技術(shù)

現(xiàn)有的流量分析方法和系統(tǒng)多為被動式、靜態(tài)地使用規(guī)則對提取的關(guān)鍵詞進(jìn)行匹配，得出是否被攻擊的結(jié)論。即使有一些網(wǎng)絡(luò)攻擊的預(yù)測，也只是根據(jù)自身網(wǎng)絡(luò)的歷史數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)，預(yù)測的效果很差。

因此，急需一種可動態(tài)學(xué)習(xí)的網(wǎng)絡(luò)流量分析方法和對應(yīng)的系統(tǒng)。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種結(jié)合威脅情報和機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析方法及系統(tǒng)，采集多種途徑的數(shù)據(jù)信息，將其預(yù)處理為情報數(shù)據(jù)流，分析所述情報數(shù)據(jù)流與熱門安全事件的關(guān)聯(lián)，得出關(guān)鍵設(shè)備的安全態(tài)勢值，進(jìn)而通過模型預(yù)測網(wǎng)絡(luò)的攻擊來源和攻擊路徑。

第一方面，本申請?zhí)峁┮环N結(jié)合威脅情報和機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)流量分析方法，所述方法包括：

采集不同來源的傳感器、節(jié)點設(shè)備、信息平臺、網(wǎng)絡(luò)設(shè)備的運行狀態(tài)數(shù)據(jù)、IP數(shù)據(jù)、域名信息、URL信息、傳輸文件數(shù)據(jù)、數(shù)據(jù)庫動態(tài)信息中的一種或若干種；

接收采集數(shù)據(jù)后，進(jìn)行初始化處理，清除數(shù)據(jù)中冗余重復(fù)的信息，根據(jù)來源的類型，將數(shù)據(jù)初始化轉(zhuǎn)換為統(tǒng)一的格式，分入對應(yīng)的字段，合并成情報數(shù)據(jù)流；

其中，根據(jù)信息來源的歷史記錄，對不同的信息來源給出了不同的評分，當(dāng)采集的信息出現(xiàn)冗余或重復(fù)時，優(yōu)先采信評分的信息來源，如果后續(xù)環(huán)節(jié)驗證信息為可用，則在原有評分基礎(chǔ)上繼續(xù)累計分值；

還可以根據(jù)預(yù)先設(shè)置的情報類型，側(cè)重采集所述情報類型對應(yīng)的信息，動態(tài)將與所述情報類型相關(guān)度低的信息設(shè)置為冗余信息，在初始化處理中清除；所述與所述情報類型相關(guān)度低為，采集到的信息的類型與預(yù)先設(shè)置的情報類型進(jìn)行相關(guān)度計算，相關(guān)度的值低于閾值，則認(rèn)定為相關(guān)度低；

從合并后的情報數(shù)據(jù)流中提取要素，發(fā)現(xiàn)要素中包括的行為動作、訪問對象、來源者地址、瞬時流量大小中的一種或若干種，從中發(fā)掘高頻項目組，根據(jù)高頻項目組對應(yīng)的信息生成高頻關(guān)聯(lián)規(guī)則，加大其對應(yīng)的權(quán)重，將更新權(quán)重后的數(shù)據(jù)進(jìn)行數(shù)據(jù)融合，組成樹狀結(jié)構(gòu)；

其中，所述提取要素時還包括判斷發(fā)現(xiàn)的要素是否與當(dāng)前熱門安全事件相關(guān)，如果是則在要素中標(biāo)記熱門安全事件摘要，并將多個與該熱門安全事件相關(guān)的要素進(jìn)行關(guān)聯(lián)，進(jìn)行數(shù)據(jù)融合，形成專門的數(shù)據(jù)條；

根據(jù)所述樹狀結(jié)構(gòu)和專門的數(shù)據(jù)條，查詢與單個關(guān)鍵設(shè)備地址相鄰的資產(chǎn)態(tài)勢信息，查詢與單個關(guān)鍵設(shè)備的訪問對象所屬屬性區(qū)域內(nèi)的資產(chǎn)態(tài)勢信息，以及查詢與單個關(guān)鍵設(shè)備流量速度、流量總量相似的資產(chǎn)態(tài)勢信息；

其中，屬性區(qū)域為根據(jù)用戶屬性動態(tài)劃分出的屬性域，每個屬性域與若干個關(guān)鍵設(shè)備建立關(guān)聯(lián)關(guān)系，采用屬性加密算法隔離不同屬性域的邊界，實現(xiàn)不同網(wǎng)絡(luò)的邊界訪問控制，以及同一屬性域內(nèi)關(guān)鍵設(shè)備的授權(quán)訪問；

判斷單個關(guān)鍵設(shè)備是否存在與地址相鄰相近資產(chǎn)相同的安全漏洞，判斷單個關(guān)鍵設(shè)備的并發(fā)線程、帶寬、網(wǎng)絡(luò)拓?fù)洹⒃L問頻率是否存在與所屬同屬性區(qū)域資產(chǎn)相同的報警，判斷單個關(guān)鍵設(shè)備的流入量增長率、不同協(xié)議數(shù)據(jù)包分布比例、不同大小數(shù)據(jù)包分布比例是否存在與流量速度、流量總量相似資產(chǎn)相同的變化，計算單個關(guān)鍵設(shè)備的安全態(tài)勢值；