一种基于人工智能的网络安全态势感知方法

摘要

本发明涉及人工智能技术领域，具体涉及一种基于人工智能的网络安全态势感知方法。该方法获取各目标IP的连接数、访问时长、访问次数、上行流量序列和总上行流量；基于访问次数、访问时长和上行流量序列计算目标IP的访问行为评价指标；分析上行流量得到各目标IP的流量分布得分；根据连接数和流量分布得分得到行为宽恕系数；根据访问行为评价指标、行为宽恕系数、上行流量获得目标IP的最大连接数和最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量和访问时长，获得各目标IP对应的最大连接数和最大上行流量，通过限制目标IP的连接数和上行流量，避免遭受DDoS攻击，实现网络安全态势感知的目的。

说明书

技术领域

本发明涉及人工智能技术领域，具体涉及一种基于人工智能的网络安全态势感知方法。

背景技术

网络安全态势感知为在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示并据此预测未来的网络安全发展趋势。随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、连通能力提高的同时，基于网络连接的安全问题也日益突出。

随着网络规模的不断壮大，网络结构的日益复杂，当前更多用户拥有内部基础架构。近年来，用户在数据中心中混合使用公有云、内部计算和私有云，能够将存储和计算甚至整个服务保留在内部基础机构中，能够让云服务的网络资源利用企业内网的服务实现快速上线和快速交付。网络安全态势感知服务难以针对专用负载进行优化。因此在用户眼中，混合云配置简单、门槛低，只要访问公有云出口的反向代理域名，即可享受如同内网一样的体验。因此存在一种资源无法有效分配，更容易遭受DDoS攻击。由于在连接后，不同用户对公有云出口的资源占用是未知的，故在最终用户的体验上会相互受到影响。用户中的其中一方可能利用了多线程下载工具、DDoS工具会使得该网络遭受DDoS攻击，导致该方实质上对带宽资源的侵占更多，而对带宽资源的侵占主要体现在用户的目标IP的连接数过多和目标IP的上行流量过大。

目前，常用的方法是简单的对连接的流量加以限制，能够基于自动配置对目标IP进行带宽限制。但是预先对所有IP进行带宽限制是无效的，因为在DDoS、多线程下载等建立多个连接客户端的情况下，仅对目标IP进行带宽限制是无法有效限制其资源的。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种基于人工智能的网络安全态势感知方法，所采用的技术方案具体如下：

获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量；

获取各目标IP的访问时长的数量作为访问次数；基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标；基于所述总上行流量，对各目标IP进行分析，得到每个目标IP的流量分布得分和分布概率；根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数；所述差异系数和所述流量分布得分的绝对值的乘积作为行为宽恕系数；

基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价；当所述网络异常评价大于预设异常阈值时，根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数，根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。

优选的，所述基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标，包括：

获取上行流量和预设标准上行流量的差值作为波动差值；多个所述波动差值的平方的均值作为上行流量序列的波动程度；

所述访问行为评价指标的计算公式为：

其中，

优选的，所述基于所述总上行流量，对各目标IP进行分析，得到每个目标IP的流量分布得分和分布概率，包括：

基于各目标IP的所述总上行流量，对各目标IP进行冷热点分析，得到每个目标IP的流量分布得分和分布概率。

优选的，所述根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数，包括：

获取连接数序列中的中值；目标IP对应的连接数和所述中值的比值减一作为初始差异值；第二调节参数和所述初始差异值的绝对值作为第二差异值；

以十为底数，所述第二差异值为指数的指数函数为目标IP对应的差异系数。

优选的，所述基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价，包括：

所述网络异常评价的计算公式为：

其中，

优选的，所述根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数，包括：

获取目标IP对应的历史最大连接数；

以自然常数为底数，负的所述行为宽恕系数为指数的指数函数，乘上所述访问行为评价指标得到第一权重，所述第一权重加一为第二权重，所述第二权重的倒数和所述历史最大连接数相乘得到第一连接数；

预设调节参数乘上所述历史最大连接数得到第二连接数；

获取所述第一连接数和所述第二连接数中较小的数值作为目标IP的最大连接数。

优选的，所述根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量，包括：

预设标准上行流量和实时上行流量的差异作为波动差值；

以自然常数为底，以负的所述行为宽恕系数为指数的指数函数，乘上所述波动差值得到调节上行流量；实时上行流量和所述调节上行流量的和为目标IP的最大上行流量。

本发明实施例至少具有如下有益效果：

本发明利用人工智能技术，该方法获取各目标IP的连接数、访问时长、访问次数、上行流量序列和对应的总上行流量；基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标，通过访问行为评价指标的大小可以判断用户是否存在浪费资源的行为；分析各目标IP得到每个目标IP的流量分布得分和分布概率；根据目标IP对应的连接数和流量分布得分得到行为宽恕系数，通过行为宽恕系数分析目标IP的异常程度，当目标IP出现异常时，也即出现浪费情况时，其对应的行为宽恕系数大；基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价；当网络异常评价大于预设异常阈值时，根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数，根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长，对目标IP的异常程度进行分析，得到访问行为评价指标和行为宽恕系数，进一步的，获得各目标IP对应的最大连接数和最大上行流量，以限制目标IP的连接数和上行流量，来实现避免遭受DDoS攻击的情况，进而实现网络安全态势感知的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1为本发明一个实施例所提供的一种基于人工智能的网络安全态势感知方法的方法流程图。

具体实施方式

为了更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效，以下结合附图及较佳实施例，对依据本发明提出的一种基于人工智能的网络安全态势感知方法，其具体实施方式、结构、特征及其功效，详细说明如下。在下述说明中，不同的“一个实施例”或“另一个实施例”指的不一定是同一实施例。此外，一或多个实施例中的特定特征、结构、或特点可由任何合适形式组合。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。

本发明实施例提供了一种基于人工智能的网络安全态势感知方法的具体实施方法，该方法适用于网络安全态势感知场景。该场景下各用户对应一个目标IP，各目标IP与公有云之间建立连接，一个目标IP可与公有云之间建立多条连接，每个目标IP对应一个总上行流量。为了解决仅对流量加以限制无法实现有效限制其资源的问题。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长，对目标IP的异常程度进行分析，得到访问行为评价指标和行为宽恕系数，进一步的，获得各目标IP对应的最大连接数和最大上行流量，以限制目标IP的连接数和上行流量，来实现避免遭受DDoS攻击的情况，进而实现网络安全态势感知的目的。

下面结合附图具体的说明本发明所提供的一种基于人工智能的网络安全态势感知方法的具体方案。

请参阅图1，其示出了本发明一个实施例提供的一种基于人工智能的网络安全态势感知方法的步骤流程图，该方法包括以下步骤：

步骤S100，获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量。

常见的数据访问是类似于物联网的远程数据库、居家办公的云桌面、视频监控传输等服务，其共同特征是对流量持续消耗，但时间上断断续续。因为行为上没有明显的特征，此类网络安全态势感知较弱，而此类混合云又是最便利、最广泛使用的。

首先，对各目标IP与公有云之间建立的连接数进行获取。

由于目标IP以及使用业务的需求不一样，最终在进行访问时，业务的所需连接的连接数也不同。为了达到节流和防止分布式拒绝服务攻击(DDoS)的目的，对目标IP与公有云之间的连接数的建立进行检测并控制是很有必要的。需要说明的是，该目标IP与公有云之间建立的连接数的获取为本领域技术人员的公知技术。

在进行访问时，如果每秒处理包量(PPS)比较低时，用户会不自觉的调大重试比例，具体体现在请求量很高。在网络质量较差的情况下，有大部分网络资源用于提升该IP的每秒处理包量，对于这种情况是情有可原的。但如果在周围每秒处理包量比较高的情况下，仍有较高的请求量，则可以视为一种浪费，有可能是多次连接或者是受到了分布式拒绝服务攻击，需要对其进行控制。

对于流量的采集使用分布式采集，整个公网服务器针对各个目标IP进行流量分析，形成一个网状结构，采集各个目标IP的上行流量信息。基于目标IP的分布状况，获得多个目标IP对应的上行流量序列和总上行流量。具体的：

流量是由用户按照业务内容进行调整后流出的，例如远程桌面的画质、视频的码率等，由于每个人舒适度不一样，因此最终产生的上行出口处的流量可能不同。如果出现某一处流出的流量异常高，或者异常低，并且其持续的时间比较长，能够一定程度说明当前目标IP的使用存在浪费的问题。获取固定时间段内每个上行出口处的上行流量大小。需要说明的是，上行流量的获取是本领域技术人员的公知技术，如通过LoadBalance服务内嵌的记录工具即可得到。即得到了业务进行时上行流量的大小。

对其上行流量进行长时间检测，即从用户开始访问到访问结束，得到上行流量的变化情况，每隔固定时间段采集一次各个目标IP对应的上行流量，构建上行流量序列。在本发明实施例中上行流量序列的采样频率为0.2Hz，也即固定时间段为5秒，即每5秒采集一次上行流量的大小。每个目标IP对应一个上行流量序列，目标IP对应的上行流量序列内的上行流量之和为目标IP的总上行流量。

进一步的，确定每个目标IP的每次访问时长。

一般而言，在访问过程中，用户会休息或者使服务进入暂停状态，如远程桌面的操作段时间暂停和视频拉流等服务暂停的行为，如果一直为访问状态，则认为当前目标IP存在浪费网络资源的情形，如出现了分布式拒绝服务攻击(DDoS)。当访问时间是断断续续的状态，则说明当前用户是间歇式访问，则认为当前用户为正常使用状态。

由于访问的启用是通过登录后进行相关操作，故可以作为一个开始判断状态，对用户的访问时长进行统计。需要说明的是，访问时长序列是一个用户多次开启和关闭，也即登入和登出时产生的时间数据间。用户每登录登出一次，即确定一次访问时长数据。

步骤S200，获取各目标IP的访问时长的数量作为访问次数；基于所述访问次数、所述访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标；基于所述总上行流量，对各目标IP进行分析，得到每个目标IP的流量分布得分和分布概率；根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数；所述差异系数和所述流量分布得分的绝对值的乘积作为行为宽恕系数。

对用户的访问行为进行评价，得到访问行为评价指标。该访问行为包括访问次数、访问时长和上行流量序列的波动程度。进一步的，基于各个目标IP的上行流量大小，再结合当前各个用户的访问行为评价指标，对当前的上行流量进行适当控制，以达到节流目的。

首先，获取各目标IP的访问时长的数量作为访问次数，也即获取访问时长序列的长度作为访问次数。该访问次数越大，反映用户对服务的访问和退出越频繁，也说明了用户对网络资源的重视程度。

如果用户从开始到结束一直未关闭连接，这可能是下载工具或者长时间传输导致的，存在着网络资源浪费的行为，故基于用户在访问时的访问时长和访问次数，以及目标IP所对应的上行流量的大小，对用户的访问行为进行评价。如果用户的上行流量使用数据在不合适的区间内，并且长期稳定，则可判断为DDoS状况，可以确定用户有攻击或者滥用的动机。

基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标，具体的：

获取上行流量和预设标准上行流量的差值作为波动差值，多个波动差值的平方的均值作为上行流量序列的波动程度。在本发明实施例中预设标准上行流量的取值为2Mbps，在其他实施例中实施者可根据实际情况调整该取值。

该访问行为评价指标

其中，

其中，

其中，

需要说明的是，该访问行为评价指标可以通过相关历史数据得到，为了避免因用户行为的快速转变而导致的最终评价过于保守的情况出现，该历史数据仅参考最近三次的数据，得到三个历史数据对应的访问行为评价指标，再对其求均值。得到各目标IP对应的访问行为评价指标。

混合云的用户群主要是在一个城市或者一个省内的，鉴于主干网络的性能也是按照片区维护的，因此一个片区的主干网络会因临时性过载导致该片区用户对服务访问的性能不佳，因此可以按照片区进行分析和划分：

如果公有云流量均一致，即都是一个衡定的合适访问的流量，这时候各个访问目标IP的访问流量理应相接近，如果有一片区域带宽较低，以至于使用者的服务建立多次连接，这种情况可以给予一定程度的宽恕，对后续节流进行约束，保证用户的使用体验较佳。

基于总上行流量，对各目标IP进行分析，得到每个目标IP的流量分布得分和分布概率。

具体的：基于各目标IP的总上行流量，对各目标IP进行冷热点分析，得到每个目标IP的流量分布得分和分布概率。使用冷热点分析的目的是，避免了单个区域流量异常，即可能是用户网络质量较差，导致系统误判了当前目标IP的上行流量。冷热点分析能够参考附近的上行流量，对上行流量的分布做出更详细的分析。

其中，设置评估字段为当前公有云部的每秒处理包量（PPS），概念化模型为反距离模型。其中，距离计算方法为欧式距离，对空间权重矩阵进行标准化，其他保持默认。该空间权重矩阵由实施者根据公有云结构分布确定下的目标IP权重。在本发明实施例中将近距离片区的目标IP的权重设定为1，距离较远的目标IP的权重设定为0.3，其中，基于运营商的信息，按照OLT的输出端口划分，不在同一端口目标IP的认为是距离较远的目标IP，或者已登记的IP地址范围划定地理围栏，超出的作为距离较远的目标IP，反之则认为是近距离的目标IP。其中，反距离模型为冷热点分析中常用的一种模型，为本领域技术人员的公知技术。

最终，根据所采集得到的流量数据集，返回相关参数，包括当前的流量分布得分Z、分布概率P以及当前得分的置信度。

当目标IP的流量分布得分大于1时，反映该目标IP被高值所包围，呈现出高值聚类，由此形成了流量比较高的区域空间聚集的分布特征，反之，当目标IP的流量分布得分小于-1时，反映该目标IP被低值所包围，呈现出低值聚类，由此形成了流量比较低的区域空间聚集的分布特性。其中，流量分布得分Z服从统计学上的正态分布特征，即在流量分布得分为0时，分布概率P最大。需要说明的是，流量分布得分Z需要实施者根据当前公有云的实际布局，长期的观测数据进行进一步设定，以实现能够对当前的流量异常区域进行发现。

当目标IP越异常，则对应的流量分布得分Z的绝对值越大，其中，流量分布得分的符号表示了冷热点的方向，也即表示了与当前流量差异的高或低。

由于目标IP分布的链路部署的差异，各个目标IP的上行流量会形成明显差异，并且由于维护等，各个业务出口数据不一样也会形成差异，同时这种差异会随着业务开启的数量，其对应的差异也会发生变化，是无法把控的一个因素，因此也将作为行为宽恕系数的一个影响因素。

对所有目标IP的上行流量进行分析，得到每个目标IP的上行流量的差异系数。根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数。具体的：

获取连接数序列中的中值，目标IP对应的连接数和中值的比值减一作为初始差异值；第二调节参数和初始差异值的绝对值作为第二差异值。以十为底数，第二差异值为指数的指数函数为目标IP对应的差异系数。

该差异系数

其中，

当目标IP对应的连接数和公有云中所有目标IP对应的连接数的中值相近，其大小接近于1，则当发生浪费事件时，对访问行为的宽恕度比较低。

将差异系数和流量分布得分的绝对值的乘积作为行为宽恕系数。其中，流量分布得分表示公有云流量分布的差异评价分。由于流量分布得分存在方向，所以对流量分布得分进行绝对值处理。当差异系数和流量分布得分越低，则该目标IP为正常IP的概率越大，则该目标IP对应的行为宽恕系数就越小；反之，当差异系数和流量分布得分越高，则系统可以对当前用户的访问行为进行一定程度的宽恕，对应的行为宽恕评价就越大。

步骤S300，基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价；当所述网络异常评价大于预设异常阈值时，根据所述访问行为评价指标和所述行为宽恕系数获得目标IP的最大连接数，根据所述行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。

结合各用户的目标IP的上行流量，以及公有云大数据分析得到的最佳访问间隔时间，进一步判断目标IP是否存在滥用行为。也即基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价。

该网络异常评价

其中，

在本发明实施例中第一调节参数的取值为0.03，第三调节参数的取值为0.8，在其他实施例中实施者可根据实际情况调整该取值。其中，标准第一段访问时长根据公有云的大数据分析得到的第一段访问时间比较合适访问时长。

其中，网络异常评价的计算公式中，

当网络异常评价大于预设异常阈值时，则反映了当前用户存在一定的浪费公有云带宽资源的行为，即刻采取控流措施。也即根据网络异常评价和行为宽恕系数获得目标IP的最大连接数，根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。在本发明实施例中预设异常阈值为0，在其他实施例中实施者可根据实际情况调整该取值。

其中，根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数。具体的：

获取目标IP对应的历史最大连接数。以自然常数为底数，负的行为宽恕系数为指数的指数函数，乘上访问行为评价指标得到第一权重，第一权重加一为第二权重，该第二权重的倒数和历史最大连接数相乘得到第一连接数。

预设调节参数乘上最大连接数得到第二连接数。在本发明实施例中预设调节参数的取值为0.4，在其他实施例中实施者可根据实际情况调整该取值。

获取第一连接数和第二连接数中较小的数值作为最大连接数。

该最大连接数

其中，

其中，Min表示最大连接数的取值的下限，在该下限下能够保证用户在该状态下实现访问。

进一步的，对最大上行流量进行分析计算，根据行为宽恕系数、实时上行流量大小和标准上行流量的差异获得最大上行流量。具体的：

预设标准上行流量和实时的上行流量的差异作为波动差值。

以自然常数为底，以负的行为宽恕系数为指数的指数函数，乘上波动差值得到调节上行流量。实时上行流量和调节上行流量的和为目标IP的最大上行流量。

该最大上行流量

其中，

具体的对上行流量和连接数的调节方法为：如实施者使用的是NGINX服务器，则使用imit_req模块，将业务的请求数与流量近似等比例缩放后设定请求数，如对目标IP限制为100req/s。

即实现了对连接数和上行流量的最大限制，以达到节流、防滥用、防止DDoS攻击的目的。即目标IP的连接数不能超过最大连接数，上行流量也不能超过最大上行流量，也通过对最大连接数和最大上行流量的限制，实现避免遭受DDoS攻击的情况，进而实现了网络安全态势感知。

综上所述，本发明利用人工智能技术，该方法获取各目标IP与公有云之间建立的连接数、各目标IP的访问时长、各目标IP的上行流量序列和对应的总上行流量；获取各目标IP的访问时长的数量作为访问次数；基于访问次数、访问时长和上行流量序列的波动程度计算得到目标IP的访问行为评价指标；基于总上行流量，对各目标IP进行分析，得到每个目标IP的流量分布得分和分布概率；根据目标IP对应的连接数和连接数序列中的中值的差异得到差异系数；差异系数和流量分布得分的绝对值的乘积作为行为宽恕系数；基于上行流量序列的波动程度和访问时长获取目标IP的网络异常评价；当网络异常评价大于预设异常阈值时，根据访问行为评价指标和行为宽恕系数获得目标IP的最大连接数，根据行为宽恕系数、实时上行流量和标准上行流量的差异获得目标IP的最大上行流量。本发明实施例通过分析目标IP的连接数、上行流量的大小和访问时长，对目标IP的异常程度进行分析，得到访问行为评价指标和行为宽恕系数，进一步的，获得各目标IP对应的最大连接数和最大上行流量，以限制目标IP的连接数和上行流量，来实现避免遭受DDoS攻击的情况，进而实现网络安全态势感知的目的。

需要说明的是：上述本发明实施例先后顺序仅仅为了描述，不代表实施例的优劣。在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。