2. 技术
  3. 一种信息安全智能集成服务系统的制作方法

一种信息安全智能集成服务系统的制作方法

xiaoxiao4月前  33

本发明涉及物联网信息集成,特别是一种信息安全智能集成服务系统。


背景技术:

1、信息集成平台是针对信息环境复杂的应用场景设计的一种能够统一信息访问方式和交互手段,并能够对异构系统进行管理并提供相关服务的软件平台。

2、在信息集成应用的环境中,需要从多个信息源进行增量提取或数据查询,这些信息源是分布在不同的网络环境上的计算机的,所以应用要适应多种环境下的数据交换,已完成的信息集成系统数据交换平台扩充了应用与通信环境相分离的数据通信网关,并没有考虑系统因此而产生的不安全风险。


技术实现思路

1、为解决现有技术中存在的问题,本发明提供了一种信息安全智能集成服务系统。

2、本发明采用的技术方案是:

3、一种信息安全智能集成服务系统,包括:

4、数据采集模块,所述数据采集模块用于接受查询请求,基于所述查询请求获取第一流量数据和第一日志数据;

5、特征提取模块,所述特征提取模块用于对所述第一流量数据和所述第一日志数据进行特征提取,获得流量特征数据和日志特征数据;

6、关联模块,所述关联模块用于基于流量特征数据和日志特征数据找出频繁候选集,计算频繁候选集的支持度和置信度,获得流量特征数据和日志特征数据之间的强关联规则;

7、异常检测模块,所述异常检测模块用于基于所述强关联规则和rbm算法检测异常行为。

8、优选的,所述数据采集模块包括:

9、镜像规则配置单元,所述镜像规则配置单元用于配置镜像规则;

10、查询单元,所述查询单元用于接收查询请求;

11、区域界定单元,所述区域界定单元用于根据查询请求,界定监控区域;

12、边界识别单元,所述边界识别单元用于确定监控区域的边界节点集,作为候选镜像点;其中,边界节点集为与监控区域边缘相邻的节点;

13、筛选单元,所述筛选单元用于从所述边界节点集中筛选掉冗余镜像点,确定转发路径镜像点;

14、激活单元,所述激活单元用于激活转发路径镜像点的镜像规则,获取第一流量数据和第一日志数据。

15、优选的,所述筛选单元用于从所述边界节点集中筛选掉冗余候选镜像点,确定转发路径镜像点包括以下内容:

16、计算数据包在每个候选镜像点上的生存时间,判断生存时间是否等于零,若所述生存时间等于零,则该候选镜像节点为冗余镜像点。

17、优选的,所述数据采集模块还包括:

18、路径分析单元,所述路径分析单元用于计算转发路径的稳定性

19、优选的,所述特征提取模块包括:

20、第一流量特征提取单元,所述第一流量特征提取单元用于提取第一流量数据的第一时间特征;

21、第一过滤单元,所述第一过滤单元用于基于所述第一时间特征过滤第一流量数据中与网络攻击无关的第一正常流量数据,获得第二流量数据;所述第一过滤单元还用于过滤第一日志数据与第一正常流量数据对应的日志数据,获得第二日志数据;

22、第二流量特征提取单元,所述第二流量特征提取单元用于提取第二流量数据的统计特征;其中,统计特征至少包括五元组、上下行数据包总数,上下行有效载荷总数,上下行负载总数,流量持续时间,平均负载,最大和最小负载,上下行数据包之间的平均时间间隔,最小时间间隔,上下最大时间间隔,上下行总时间间隔方差;

23、第二过滤单元,所述第二过滤单元用于基于所述统计特征和模糊聚类算法对所述过滤第二流量数据中与网络攻击无关的第二正常流量数据,获得第三流量数据;所述第二过滤单元还用于过滤第二日志数据与第二正常流量数据对应的日志数据,获得第三日志数据;

24、第三流量特征提取单元,所述第三流量特征提取单元用于提取第三流量数据的流量特征数据,其中,流量特征数据包括流量特征、第二时间特征、组合特征与内容特征;

25、日志特征提取单元,所述日志特征提取单元用于提取第三日志数据的日志特征数据,其中日志特征数据包括防火墙日志、流量日志、事件日志、网络日志、系统日志、cron日志、邮件日志、消息日志与数据库日志。

26、优选的,所述rbm算法包括:

27、将符合强关联规则的流量特征数据和日志特征数据作为rbm的的输入

28、计算rbm中隐藏单元的激活概率和可见层的输出概率,检测出异常行为,其中异常行为包括至少一种类别的攻击行为。

29、优选的,还包括还原模块,所述还原模块用于恢复攻击行为的路径。

30、优选的,所述还原模块包括:

31、异常流量分析单元,所述分析单元用于分析攻击行为对应的异常流量,获得异常流量的日期、时间与ip信息;

32、识别单元,所述识别单元用与根据异常流量的日期、时间与ip信息确定异常流量的时间范围和通信地址;根据流量的时间范围和通信地址确定日志的时间范围和通信地址;

33、异常日志分析单元,所述异常日志分析单元用于根据日志的时间范围和通信地址,获得与攻击行为对应的异常日志;

34、追踪单元,所述追踪单元用于根据异常日志的类型和属性,确定攻击行为对应的网络设备,所述追踪单元还用于结合通信记录和异常日志中的前后关联信息,还原攻击行为的行动路径。

35、本发明的有益效果是至少是如下之一:

36、数据采集模块首先接受查询请求,即时获取网络中的第一流量数据和第一日志数据,确保对网络状态的实时监控和快速响应,特征提取对获取的流量数据和第一志数据进行特征提取,不仅限于表面信息,更深入到流量模式和日志中的关键特征,关联模块基于提取的特征数据和日志特征,找出频繁出现的候选集,通过计算支持度和置信度,从而确定了流量与日志数据间的强关联规则,为异常行为模式建立模型,异常检测模块使用基于关联规则,结合改进的rbm算法,不仅检测异常行为,而且通过机器学习分析预测,提高了异常行为的识别精确度,降低了误报和漏报,提升了检测的准确度。



技术特征:

1.一种信息安全智能集成服务系统,其特征在于,包括

2.根据权利要求1所述的一种信息安全智能集成服务系统,其特征在于,所述数据采集模块包括:

3.根据权利要求2所述的一种信息安全智能集成服务系统,其特征在于,所述筛选单元用于从所述边界节点集中筛选掉冗余候选镜像点,确定转发路径镜像点包括以下内容:

4.根据权利要求3所述的一种信息安全智能集成服务系统,其特征在于,所述数据采集模块还包括:

5.根据权利要求1所述的一种信息安全智能集成服务系统,其特征在于,所述特征提取模块包括:

6.根据权利要求5所述的一种信息安全智能集成服务系统,其特征在于,所述rbm算法包括:

7.根据权利要求6所述的一种信息安全智能集成服务系统,其特征在于,还包括还原模块,所述还原模块用于恢复攻击行为的路径。

8.根据权利要求7所述的一种信息安全智能集成服务系统,其特征在于,所述还原模块包括:


技术总结
本发明公开了一种信息安全智能集成服务系统,包括:数据采集模块,所述数据采集模块用于接受查询请求,基于所述查询请求获取第一流量数据和第一日志数据;特征提取模块,所述特征提取模块用于对所述第一流量数据和所述第一日志数据进行特征提取,获得流量特征数据和日志特征数据;关联模块,所述关联模块用于基于流量特征数据和日志特征数据找出频繁候选集,计算频繁候选集的支持度和置信度,获得流量特征数据和日志特征数据之间的强关联规则;异常检测模块,所述异常检测模块用于基于所述强关联规则和RBM算法检测异常行为。

技术研发人员:谢新
受保护的技术使用者:四川天马行科技有限责任公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)