本发明实施例涉及互联网安全,特别是涉及一种基于深度学习的安全事件处理的方法和系统。
背景技术:
1、随着互联网的不断发展和普及,网络安全威胁日益增多。攻击者不断寻找新的方式来入侵系统,并以各种方式进行攻击、传播病毒和窃取敏感信息。传统的安全事件检测方法已经不能满足对复杂网络环境中的威胁进行及时有效控制的需求,因此需要一种更高效、准确的安全事件检测与处置方法。
技术实现思路
1、本发明的目的在于提供一种基于深度学习的安全事件处理的方法和系统,来克服或至少减轻现有技术的上述缺陷中的至少一个。
2、为实现上述目的,本发明提供一种基于深度学习的安全事件处理的方法,包括:
3、步骤一,接收网络流量数据;
4、步骤二,采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源ip地址、目标ip地址、url、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络rnn深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
5、步骤三,若检测到安全事件,根据预设处理策略对安全事件进行处置。
6、优选的,该方法还包括:对安全事件检测模型进行训练,包括:
7、标记训练用网络流量数据中的异常网络数据;
8、训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
9、优选的,安全事件检测模型包括三层结构:输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
10、优选的,该方法步骤二包括:
11、将网络流量数据的属性与安全事件库中的事件特征进行匹配;
12、若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
13、若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
14、若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
15、优选的,步骤三包括:
16、对于已知安全事件,进行阻拦或拦截处理;
17、对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
18、对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
19、本发明还提供一种基于深度学习的安全事件处理的系统,包括:
20、接收模块,用于接收网络流量数据;
21、检测模块,用于采用预设的安全事件检测模型对网络流量数据进行检测,包括检测网络流量数据的下述属性:源ip地址、目标ip地址、url、请求体、访问动作、流量大小、地址标识、请求方式、地区和端口;其中,基于递归神经网络rnn深度学习算法构建安全事件检测模型,并预先对安全事件检测模型进行训练;
22、处置模块,用于检测模块检测到安全事件时,根据预设处理策略对安全事件进行处置。
23、优选的,该系统还包括:
24、训练模块,用于对安全事件检测模型进行训练,包括:
25、标记训练用网络流量数据中的异常网络数据;
26、训练安全事件检测模型识别标记的异常网络数据,并利用优化算法对安全事件检测模型的参数进行调试。
27、优选的,安全事件检测模型包括输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
28、优选的,检测模块用于:
29、将网络流量数据的属性与安全事件库中的事件特征进行匹配;
30、若网络流量数据的属性匹配到安全事件库中的单个安全事件,则判定为已知安全事件;
31、若网络流量数据的属性没有匹配到安全事件库中的事件特征,则判定为未知安全事件;
32、若网络流量数据的属性匹配到安全事件库中的多个安全事件,则判定为多元安全事件。
33、优选的,处置模块用于:
34、对于已知安全事件,进行阻拦或拦截处理;
35、对于未知安全事件,进行记录,并发出报警,用于提醒对未知安全事件的安全性进行进一步判断;
36、对于多元安全事件,根据与多元安全事件所包括的最高等级的安全事件对应的处置策略执行处理。
37、本发明由于采取以上技术方案,其具有以下优点:
38、本发明基于递归神经网络rnn深度学习算法构建安全事件检测模型,能够利用该安全事件检测模型能够有效提高网络安全威胁的检测和处置效率,实现网络环境下的安全保障。该方法适用于各种类型的网络环境,可广泛应用于网络安全领域,并有望在实际应用中取得良好的效果。
1.一种基于深度学习的安全事件处理的方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,包括:对安全事件检测模型进行训练包括:
3.根据权利要求2所述的方法,其特征在于,安全事件检测模型包括三层结构:输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
4.根据权利要求1-3中任一项所述的方法,其特征在于,步骤二包括:
5.根据权利要求4所述的方法,其特征在于,步骤三包括:
6.一种基于深度学习的安全事件处理的系统,其特征在于,包括:
7.根据权利要求6所述的系统,其特征在于,还包括:
8.根据权利要求7所述的系统,其特征在于,安全事件检测模型包括输入层、隐藏层和输出层;输入层用于接收网络流量数据的属性信息,输出层用于输出对网络流量数据的检测结果,隐藏层用于对网络流量数据进行安全事件检测。
9.根据权利要求6-8中任一项所述的系统,其特征在于,检测模块用于:
10.根据权利要求9所述的系统,其特征在于,处置模块用于: