基于用户行为分析和数字孪生的网络安全监测方法及系统与流程

本发明属于网络安全，具体涉及一种基于用户行为分析和数字孪生的网络安全监测方法及系统。

背景技术：

1、当前网络安全威胁日益严重，网络安全监测和应急处置手段相对滞后，现有的网络安全监测技术使用常见流量分析和合规性检查等难以及时发现网络攻击和破坏行为，实用性和实时性低，事后的应急处置措施无法保障网络系统和数据的完整性和安全性，并且现有的网络安全监测技术，无法直观且便捷的查看网络安全实时情况。

技术实现思路

1、为了解决现有技术存在的络安全监测实用性和实时性低，无法系统和数据的完整性和安全性，以及无法直观且便捷的查看实时情况的问题，本发明目的在于提供一种基于用户行为分析和数字孪生的网络安全监测方法及系统。

2、本发明所采用的技术方案为：

3、一种基于用户行为分析和数字孪生的网络安全监测方法，包括如下步骤：

4、进行系统初始化：设置用户角色限制、网络权限限制和网络行为安全等级信息，并构建用户行为分析模型和数字网络；

5、进行网络数据采集：实时采集物理网络的网络设备的用户网络数据，将实时的用户网络数据进行时序转化，得到网络设备的数据流，并将网络设备的数据流输入数字网络；

6、进行用户行为分析：根据用户角色限制、网络权限限制以及网络行为安全等级，使用用户行为分析模型对网络设备的数据流进行实时的用户行为分析，得到实时的用户行为分析结果；

7、进行网络安全监测：根据实时的用户行为分析结果，生成实时的网络安全监测警报，并将实时的网络安全监测警报输入数字网络。

8、进一步地，用户角色限制包括管理员用户限制、游客用户限制以及非法用户限制，网络权限限制包括管理员用户、游客用户以及非法用户对应的可访问的ip地址和可进行的网络操作，网络行为安全等级信息包括在网络权限限制下用户角色限制访问网络和进行网络操作对应的网络行为安全等级标签。

9、进一步地，用户网络数据包括用户ip地址数据、网络访问ip地址数据、用户访问记录数据以及用户操作记录数据。

10、进一步地，系统的初始化阶段还包括进行可信注册，且可信注册的具体方法为：采集网络设备的设备ip地址，根据设备ip地址，生成对应的签名信息，并将签名信息发送至对应的网络设备；

11、系统的网络数据采集阶段还包括进行数据签名，且数据签名的具体方法为：根据签名信息，对网络设备的实时的用户网络数据进行签名，得到签名数据，并将签名数据作为实时的用户网络数据的附加数据；

12、系统的网络数据采集还包括进行签名验证，且签名验证的具体方法为：根据网络设备的签名信息，对签名数据进行签名验证，得到签名验证结果，若签名验证结果为验证失败，则拒绝接收网络设备的实时的用户网络数据，若签名验证结果为验证成功，则接收网络设备的实时的用户网络数据。

13、一种基于用户行为分析和数字孪生的网络安全监测系统，用于实现网络安全监测方法，系统应用于物理网络，物理网络包括若干网络设备，且系统包括网络权限管理单元、物理世界数据采集单元、数字孪生模型构建单元、数字世界数据管理单元、用户行为分析单元以及网络安全监测中心，物理世界数据采集单元分别与数字孪生模型构建单元、数字世界数据管理单元以及物理网络的若干网络设备连接，数字孪生模型构建单元用于构建物理网络数字孪生模型，即数字网络，且数字孪生模型构建单元与网络安全监测中心连接，数字世界数据管理单元分别与用户行为分析单元和数字网络连接，用户行为分析单元分别与网络权限管理单元和网络安全监测中心连接，且用户行为分析单元设置有用户行为分析模型；

14、网络权限管理单元，用于监测侧设置用户角色和各用户角色的网络权限，以及划分网络行为安全等级，得到监测侧设置的用户角色限制、网络权限限制以及网络行为安全等级信息，并将用户角色限制、网络权限限制以及网络行为安全等级信息发送至用户行为分析单元；

15、物理世界数据采集单元，用于采集物理网络中各网络设备的设备基础数据和网络设备接收的用户网络数据，将各网络设备的设备基础数据发送至数字孪生模型构建单元，并将各网络设备的设备基础数据和对应的用户网络数据发送至数字世界数据管理单元；

16、数字孪生模型构建单元，用于根据各网络设备的设备基础数据，构建对应的网络设备数字孪生模型，根据所有网络设备数字孪生模型，构建物理网络数字孪生模型，得到数字网络，并将数字网络发送至网络安全监测中心；

17、数字世界数据管理单元，用于对各网络设备的用户网络数据进行时序转化，得到实时的数据流，根据网络设备的设备基础数据，将数据流链接至数字网络中对应的网络设备数字孪生模型，并将网络设备的设备基础数据和对应的数据流发送至用户行为分析单元；

18、用户行为分析单元，用于根据用户角色限制、网络权限限制以及网络行为安全等级，使用用户行为分析模型对网络设备的数据流进行实时的用户行为分析，得到实时的用户行为分析结果，并将实时的用户行为分析结果发送至网络安全监测中心；

19、网络安全监测中心，用于对数字网络进行可视化展示，根据实时的用户行为分析结果，生成实时的网络安全监测警报，并将实时的网络安全监测警报输入可视化的数字网络。

20、进一步地，设备基础数据包括网络设备的型号数据、物理实体数据、设备ip地址数据、位置数据、网络设置数据以及与其他网络设备的设备连接数据。

21、进一步地，系统还包括可信注册单元，可信注册单元分别与物理世界数据采集单元和物理网络的若干网络设备连接。

22、进一步地，物理世界数据采集单元包括第一防火墙，以及依次连接的数据输入接口、数据预处理模块、签名验证模块和数据发送模块，数据输入接口与物理网络的若干网络设备连接，第一防火墙设置于数据输入接口与物理网络之间，且第一防火墙与签名验证模块连接，签名验证模块与可信注册单元连接，数据发送模块分别与数字孪生模型构建单元和数字世界数据管理单元连接。

23、进一步地，数字孪生模型构建单元包括依次连接的模型构建模块、模型修正模块以及网络连接模块，模型构建模块与物理世界数据采集单元连接，网络连接模块与网络安全监测中心连接。

24、进一步地，用户行为分析单元包括第二防火墙，以及依次连接的用户网络大数据抓取模块、深度学习模型构建模块、数据库模块和用户行为分析模块，用户网络大数据抓取模块与外部互联网连接，用户行为分析模块分别与数字世界数据管理单元、网络权限管理单元以及网络安全监测中心连接，第二防火墙设置于数据库模块与用户行为分析模块之间，且第二防火墙与用户行为分析模块连接。

25、本发明的有益效果为：

26、本发明提供的一种基于用户行为分析和数字孪生的网络安全监测方法及系统，首先对用户在网络中的角色定位、使用权限以及网络行为进行设置，可控且明确了非法用户和非法行为的定义，然后根据用户网络大数据构建用户行为分析模型，进行实时的用户行为分析，提高了非法判断的准确性、网络安全监管能力以及威胁预见力，最后结合数字孪生模型，对物理网络中网络设备的全生命周期过程进行检测和控制，直观且便捷的展示网络安全监测情况，提高了实用性和实时性低，指导工作人员进行事后的应急处置措施，保证了网络系统和数据的完整性和安全性。

27、本发明的其他有益效果将在具体实施方式中进一步进行说明。