2. 专利查询
  3. 一种基于流量识别的网络安全风控系统的制作方法

一种基于流量识别的网络安全风控系统的制作方法

专利查询1天前  3

本发明涉及网络安全,更具体的说是一种基于流量识别的网络安全风控系统。


背景技术:

1、流量是指网站的访问数据量,是用来描述访问一个网站的用户数量以及用户所浏览的页面数量等指标,常用的统计指标包括网站的独立用户数量、总用户数量、页面浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。

2、现公开了一种基于工控网络流量的安全态势感知系统(公开号cn117938512a),包括操作系统,所述操作系统分别连接有数据集成模块、流量分析模块、异常检测模块、情报集成模块、安全管理模块、可视化模块、自适应模块、安全合规模块和系统维护模块。该专利所公开技术中,没有解决对用户异常状态进行识别、自学习后如何制定识别、匹配规则,没有解决用户流量特征与所制定规则进行匹配的具体步骤,也难以高效精准的对异常用户流量状态进行识别。


技术实现思路

1、本发明主要解决的技术问题是提供一种基于流量识别的网络安全风控系统,解决了上述背景技术中的问题。

2、为解决上述技术问题,根据本发明的一个方面,更具体的说是一种基于流量识别的网络安全风控系统,包括流量识别模块、数据分析模块、行为识别模块、威胁检测模块、威胁阻断模块、实时报警模块、规则构建模块以及数据记录模块;

3、所述流量识别模块,用于对网络数据流进行实时分析和监控,检查数据的大小、频率以及协议;

4、所述数据分析模块,用于对流量识别模块所识别的内容进行来源分析和目的地分析,以识别异常或潜在的攻击模式;

5、所述行为识别模块,用于识别流量的典型模式,并检测不符合正常行为模式的活动;

6、所述威胁检测模块,用于对数据流存在的威胁或异常活动进行检测;

7、所述威胁阻断模块,用于将有威胁或异常活动的流量流进行ip地址阻断、关闭相关的网络端口;

8、所述实时报警模块,用于对威胁或异常活动进行实时响应,并发出警报以便网络管理员可以迅速采取行动来应对潜在的安全事件;

9、所述规则构建模块,基于预先定义的安全规则,并对数据记录模块中所记载的数据进行学习,进而构建更加符合实际情况的网络安全规则;

10、所述数据记录模块,用于对数据流量中日志、警报以及配置的变更进行记录。

11、更进一步的,所述流量识别模块具体包括身份识别模块、流量特征分析模块以及数据包分析膜;

12、所述身份识别模块,用于对网络用户或设备身份的识别和验证,并基于用户登录信息、设备标识符来授权的用户访问特定资源;

13、所述流量特征分析模块,用于分析流量的特征,包括流量的大小、频率、协议类型以及数据包的延迟;

14、所述数据包分析模块,用于分析传输在流量中的头部信息和有效载荷,并识别通信的性质和目的。

15、更进一步的,所述行为识别模块具体包括威胁检测模块、异常检测模块以及模式识别模块;

16、所述威胁检测模块,用于检测和识别各种安全威胁,包括内部和外部入侵、拒绝服务攻击以及数据泄露;

17、所述异常检测模块,用于识别与正常行为模式不符的异常行为,包括涉及未授权访问、异常数据传输以及恶意软件的传播;

18、所述模式识别模块,用于识别用户的登录模式、数据传输的频率、访问的时间和地点。

19、更进一步的,所述模式识别模块通过采集访问用户的地址、用户访问的频率、访问流量的大小以及数据的迟延,来分析该访问用户异常状态的特征基数,有:

20、

21、其中,g表示用户异常状态的特征基数,a表示用户访问的频率,c表示用户访问的流量大小,m表示用户访问的数据迟延时间;并且有:

22、

23、式中,u表示用户访问的流量的频率、大小以及延迟时间的相关性。

24、更进一步的,所述规则构建模块具体包括规则执行模块、规则定义模块以及数据采集模块;

25、所述规则执行模块,用于根据事先定义的规则以及数据记录模块所记录的执行日志数据、数据分析模块所分析的数据进行匹配学习,以制定跟符合实际网络环境的网络安全;

26、所述规则定义模块,用于制定和管理一系列网络安全规则,该规则描述特定事件或条件的触发条件和响应动作;

27、所述数据采集模块,用于对数据分析模块以及数据记录模块中所记录的数据进行采集。

28、更进一步的,所述规则执行模块通过收集数据记录模块中异常状态日志的数据包以及报警状态的数据信息,并根据事先定义的规则来制定触发条件,有:

29、

30、其中,h表示规则构建模块所指定规则的匹配条件,a0表示日志中异常用户访问的频率,c0表示日志中异常用户访问的流量大小,m0表示日志中异常用户访问的数据迟延时间;并且有:

31、

32、式中,p表示事先定义规则的匹配条件基数,s表示事先定义规则的条件基数对采集数据的影响因子。

33、更进一步的,所述威胁检测模块具体包括事件匹配模块、行为分析模块以及漏斗扫描模块;

34、所述事件匹配模块,用于将规则构建模块学习和构建的规则与识别的流量特征进行校对,以确定是否触发了网络安全的条件;

35、所述行为分析模块,用于监控和分析网络流量、系统日志和用户行为,识别出可能的异常活动或攻击迹象;

36、所述漏洞扫描模块,用于定期扫描系统和应用程序,识别可能存在的安全漏洞和配置错误。

37、更进一步的,所述事件匹配模块根据规则构建模块所构建的规则信息,并与行为识别模块所提取的特征基数进行匹配,有:

38、

39、式中,k表示事件匹配模块对采集到用户流量特征与构建的规则匹配程度;

40、当0<k≤1时,则此次采集用户的流量特征符合被网络安全识别的规则。

41、更进一步的,所述威胁阻断模块具体包括实时响应模块以及访问控制模块;

42、所述实时响应模块,用于对出现的网络安全异常和威胁实现向管理员响应;

43、所述访问控制模块,用于对存在数据异常、威胁的用户进行访问限制。

44、本发明一种基于流量识别的网络安全风控系统的有益效果为:

45、1、本发明通过规则构建模块来采集历史异常日志数据,并结合事先定义的规则信息来逐渐生成更符合该运行环境下的规则匹配和网络安全识别机制,这样可以更加精确的对用户流量的异常行为进行识别。

46、2、本发明通过对用户流量的特征进行提取,并由事件匹配模块对该特征与制定的安全规则进行匹配,从而能够高效、精确的识别用户的行为,判断用户的访问流量是否处于异常状态。



技术特征:

1.一种基于流量识别的网络安全风控系统,其特征在于,包括流量识别模块、数据分析模块、行为识别模块、威胁检测模块、威胁阻断模块、实时报警模块、规则构建模块以及数据记录模块;

2.根据权利要求1所述的基于流量识别的网络安全风控系统,其特征在于:所述流量识别模块具体包括身份识别模块、流量特征分析模块以及数据包分析膜;

3.根据权利要求1所述的基于流量识别的网络安全风控系统,其特征在于:所述行为识别模块具体包括威胁检测模块、异常检测模块以及模式识别模块;

4.根据权利要求3所述的基于流量识别的网络安全风控系统,其特征在于:所述模式识别模块通过采集访问用户的地址、用户访问的频率、访问流量的大小以及数据的迟延,来分析该访问用户异常状态的特征基数,有:

5.根据权利要求4所述的基于流量识别的网络安全风控系统,其特征在于:所述规则构建模块具体包括规则执行模块、规则定义模块以及数据采集模块;

6.根据权利要求5所述的基于流量识别的网络安全风控系统,其特征在于:所述规则执行模块通过收集数据记录模块中异常状态日志的数据包以及报警状态的数据信息,并根据事先定义的规则来制定触发条件,有:

7.根据权利要求6所述的基于流量识别的网络安全风控系统,其特征在于:所述威胁检测模块具体包括事件匹配模块、行为分析模块以及漏斗扫描模块;

8.根据权利要求7所述的基于流量识别的网络安全风控系统,其特征在于:所述事件匹配模块根据规则构建模块所构建的规则信息,并与行为识别模块所提取的特征基数进行匹配,有:

9.根据权利要求1所述的基于流量识别的网络安全风控系统,其特征在于:所述威胁阻断模块具体包括实时响应模块以及访问控制模块;


技术总结
本发明涉及网络安全技术领域,且公开了一种基于流量识别的网络安全风控系统,包括流量识别模块、数据分析模块、行为识别模块、威胁检测模块、威胁阻断模块、实时报警模块、规则构建模块以及数据记录模块;所述流量识别模块,用于对网络数据流进行实时分析和监控,检查数据的大小、频率以及协议;所述数据分析模块,用于对流量识别模块所识别的内容进行来源分析和目的地分析,以识别异常或潜在的攻击模式。本发明通过规则构建模块来采集历史异常日志数据,并结合事先定义的规则信息来逐渐生成更符合该运行环境下的规则匹配和网络安全识别机制,这样可以更加精确的对用户流量的异常行为进行识别。

技术研发人员:段少平,秦元,龚海瑞
受保护的技术使用者:金锐软件技术(杭州)有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)