一种基于RBF神经网络安全应急处置系统及应急处置方法

摘要

本发明公开了一种基于RBF神经网络安全应急处置系统及应急处置方法，该系统包括数据采集模块、事件处置模块、事件预警模块、风险评估模块、应急方案推荐模块、异常数据保护模块、知识数据库、安全检测工具及远程辅助模块。本发明不仅可以实现对已知或未知的网络安全事件的检查与分析，而且还可以实现对网络用户的异常行为进行预警，从而可以为网络安全事件起到预警效果，便于对网络安全风险进行及时整改及补正，极大的提高了网络安全事件的应急处置效率；此外，利用RBF神经网络的拓扑结构紧凑，结构参数可实现分离学习，收敛速度快的优点，从而可以较快地基于网络安全事件的风险等级为其推荐对应的应急处置方案，有效地提高了应急处置方案的推荐的效率及精准性，可以更好地满足于网络安全事件的应急处置需求。

说明书

技术领域

本发明涉及网络安全技术领域，具体来说，涉及一种基于RBF神经网络安全应急处置系统及应急处置方法。

背景技术

随着互联网及网络技术的发展，互联网的规模和应用领域不断壮大，其基础性和全局性的地位逐渐增强，同时网络攻击和破坏行为也日益普遍，且逐渐呈现出组织严密化、行为趋利化和目标直接化等特点。网络安全问题层出不穷，网络入侵、网络攻击等非法活动威胁了我国的信息安全，网络攻击的目标是能源、电力、金融等重要基础设施，最终造成基础设施破坏和产生不良社会影响，计算机病毒、网络入侵与攻击等各种安全事件给网络带来的威胁和危害越来越大，迫切需要建立和完善安全事件预警体系，提高整体的网络安全保障水平。

然而，现有技术仍然存在一定的缺陷，即对于网络安全事件主要讨论的都是网络安全事件的分析环节，并没有对应急处置环节有太多的描述，在实际的操作中，网络安全事件的应急处置环节往往都采用人工的方式进行处置，受个人因素的影响较大，例如人工处置效率不稳定，效率忽高忽低；人工处置流程不统一，并且耗时比较长，处置结果不准确且不便于对处置结果进行管理；因此，本发明提出了一种基于RBF神经网络安全应急处置系统及应急处置方法。

发明内容

针对现有技术的不足，本发明提供了用于网络安全事件的应急处置系统及应急处置方法，不仅可以有效地提高网络安全事件的应急处置效率，而且还可以有效地提高应急处置方案的推荐效率及精准性的优点，进而解决背景技术中的问题。

为实现上述不仅可以有效地提高网络安全事件的应急处置效率，而且还可以有效地提高应急处置方案的推荐效率及精准性的优点，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了一种用于网络安全事件的应急处置系统，该系统包括数据采集模块、事件处置模块、事件预警模块、风险评估模块、应急方案推荐模块、异常数据保护模块、知识数据库、安全检测工具及远程辅助模块；

所述数据采集模块用于采集网络安全事件的基本信息；

所述事件处置模块用于对已知或未知的网络安全事件进行分析；

所述事件预警模块用于基于深度神经网络算法对网络用户的异常行为进行预警；

所述风险评估模块用于对网络安全事件进行风险等级评估；

所述应急方案推荐模块用于基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案；

所述异常数据保护模块用于在检测到安全事故发生时对系统内部的数据进行应急保存；

所述知识数据库用于存储系统数据及基于网络安全事件的专家知识数据；

所述安全检测工具用于为网络安全事件的检测提供辅助检测工具；

所述远程辅助模块用于利用远程操控技术对网络安全事件进行协助处置。

进一步的，所述事件处置模块包括已知网络安全事件处置模块和未知网络安全事件处置模块；

所述已知网络安全事件处置模块用于利用安全检测工具对已知的网络安全事件进行分析；

所述未知网络安全事件处置模块用于利用安全蜜罐和安全沙箱对未知的网络安全事件进行分析。

进一步的，所述事件预警模块包括用户行为数据获取模块、网络模型分析模块及异常行为反馈模块；

所述用户行为数据获取模块用于获取网络用户的行为特征数据；

所述网络模型分析模块用于利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析，得到网络用户的行为评分；

所述异常行为反馈模块用于将行为评分低于预设阈值的异常行为反馈给网络安全事件分析人员。

进一步的，所述网络模型分析模块在利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析，得到网络用户的行为评分时包括以下步骤：

将网络用户的行为特征映射为高维空间，并以此作为深度神经网络模型的输入；

根据网络用户的点击行为记录作为训练样本对深度神经网络模型参数进行训练；

提取网络用户信息，计算用户与用户正常行为的相关性，得到用户与用户行为之间的相关性评分并进行排序；

其中，所述相关性评分通过计算用户U与用户正常行为数据集V的语义相关性大小R(U,V)得到，计算公式如下：

式中，y

进一步的，所述深度神经网络模型的构建步骤如下：

设定x，y分别表示输入向量和输出向量，神经网络中的隐含层用h表示，W表示神经网络中的权重矩阵，b表示神经网络中的偏置，则有以下公式：

h

h

y＝f(W

式中，m表示层数，m＝1,2,…,N-1，N表示非零自然数，f(x)表示激活函数，用tanh作为隐藏层和输出层的激活函数，其公式如下：

进一步的，所述风险评估模块包括风险权重设定模块和信息安全风险综合评估模块；

所述风险权重设定模块用于对网络安全事件中大小要素的风险权重进行设定；

所述信息安全风险综合评估模块用于对网络安全事件中受评估的综合信息安全风险等级进行计算。

进一步的，所述综合信息安全风险等级的计算公式如下：

其中，n表示二级风险项目数，k表示某个特定的风险，RR

所述一级要素包括网路通信安全、人事安全、物理安全、风险控制安全、资产及管理安全；所述二级要素包括加密措施、访问控制、人事资源、操作人员的安全意识、设备安全、环境安全、安全审计功能、防黑客入侵措施、信息的数量、信息的价值、破解信息难度、密钥管理、人员管理及设备管理。

进一步的，所述应急方案推荐模块在基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案时包括以下步骤：

建立网络安全事件-应急处置方案的评分矩阵；

建立临近网络安全事件集合：利用相似度计算公式计算目标事件的临近网络安全事件集合T(U

计算初步的推荐结果：使用基于RBF神经网络的网络安全事件协同过滤推荐算法计算目标网络安全事件的推荐评分，得到第一推荐评分P

P'

式中，P

使用基于RBF神经网络的应急处置方案协同过滤推荐算法计算目标网络安全事件的推荐评分，得到第二推荐评分P

P'

平衡因子的计算：在临近网络安全事件集合T(U

式中，T(U)表示目标网络安全事件U的临近网络安全事件集合，sim(U

在临近应急处置方案集合T(I

式中，T(I)表示目标应急处置方案I的临近应急处置方案集合，sim(I

计算比例因子：选取控制因子η，结合目标网络安全事件的平衡因子Bla

最终结果计算：基于第一推荐评分P

基于目标网络安全事件的推荐评分为其推荐对应的应急处置方案。

进一步的，所述安全检测工具包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具，所述安全检测工具还包括日志分析工具、日志分割工具和文件恢复工具。

根据本发明的另一个方面，提供了一种用于网络安全事件的应急处置方法，该方法包括以下步骤：

S1、利用数据采集模块采集网络安全事件的网站源码、操作系统日志、网站web访问日志及中间件日志的基本信息；

S2、通过事件处置模块对已知或未知的网络安全事件进行检查与分析，得到对应的线索树及攻击者信息；

S3、事件预警模块利用基于深度神经网络算法对网络用户的异常行为进行预警；

S4、利用知识数据库对S2的分析结果及S3的预警结果进行确认，若确认无误则执行S5，否则返回S2；

S5、通过风险评估模块对检测出的网络安全事件进行风险等级评估；

S6、应急方案推荐模块利用RBF神经网络的混合协同过滤推荐算法依据风险等级为网络安全事件推荐对应的应急处置方案。

本发明的有益效果为：

1)通过设置有事件处置模块及事件预警模块，不仅可以在事件处置模块的作用下对已知或未知的网络安全事件进行检查与分析，而且还可以在事件预警模块的作用下基于深度神经网络算法来实现对网络用户的异常行为进行预警，从而可以将网络用户的异常行为反馈给网络安全事件的分析人员，进而可以为网络安全事件起到预警效果，便于对网络安全风险进行及时整改及补正，大大减少了应急处理漏洞检测与整改的流程，极大的提高了网络安全事件的应急处置效率。

2)通过设置有风险评估模块及应急方案推荐模块，不仅可以在风险评估模块的作用下对发生的网络安全事件的风险等级进行评估，而且还可以在应急处置方案推荐模块的作用下基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案，利用RBF神经网络的拓扑结构紧凑，结构参数可实现分离学习，收敛速度快的优点，从而可以较快地基于网络安全事件的风险等级为其推荐对应的应急处置方案，进而有效地提高了应急处置方案的推荐效率及精准性，可以更好地满足于网络安全事件的应急处置需求。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据本发明实施例的一种用于网络安全事件的应急处置系统的结构框图。

图中：

1、数据采集模块；3、事件处置模块；31、已知网络安全事件处置模块；32、未知网络安全事件处置模块；2、事件预警模块；21、用户行为数据获取模块；22、网络模型分析模块；23、异常行为反馈模块；4、风险评估模块；41、风险权重设定模块；42、信息安全风险综合评估模块；5、应急方案推荐模块；6、异常数据保护模块；7、知识数据库；8、安全检测工具；9、远程辅助模块。

具体实施方式

为进一步说明各实施例，本发明提供有附图，这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理，配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点，图中的组件并未按比例绘制，而类似的组件符号通常用来表示类似的组件。

根据本发明的实施例，提供了一种用于网络安全事件的应急处置系统及应急处置方法。

现结合附图和具体实施方式对本发明进一步说明，如图1所示，根据本发明的一个实施例，提供了一种基于RBF神经网络安全应急处置系统，该系统包括数据采集模块1、事件处置模块3、事件预警模块2、风险评估模块4、应急方案推荐模块5、异常数据保护模块6、知识数据库7、安全检测工具8及远程辅助模块9；

所述数据采集模块1用于采集网络安全事件的基本信息；

其中，数据采集模块用于采集包括网站源码、操作系统日志、网站web访问日志及中间件日志等信息。

网络安全事件的数据采集分析主要采用集中式采集和分布式采集两种方法，数据采集是数据分析和处理的基础，存储时需要根据大数据平台的相关要求将数据转换成非结构化数据，数据存储时在满足存储要求的同时需要从成本角度选择适宜的存储架构，如采用基于“廉价PC服务器+大容量SATA硬盘”为主的分布式存储架构。

网络安全数据采集之后，在进行大数据分析之前，还需要进行处理，包括网络安全数据导入、归纳整理等。数据导入主要有人工录入数据、网站上的静态数据链接、动态数据链接等，数据的归纳整理采用萃取、转置、加载(Extract-Transform-Load,ETL)工具，根据定义好的关联规则将目标数据抽提到知识数据库。

所述事件处置模块3用于对已知或未知的网络安全事件进行分析；

其中，所述事件处置模块3包括已知网络安全事件处置模块31和未知网络安全事件处置模块32；

所述已知网络安全事件处置模块31用于利用安全检测工具对已知的网络安全事件进行分析；

所述未知网络安全事件处置模块32用于利用安全蜜罐和安全沙箱对未知的网络安全事件进行分析；

具体的，已知的安全事件为网络安全设备将采集的监控对象的日志信息与安全事件在进行预处理以及数据格式范化后，检测出部分攻击信息，通过安全事件的分析模型提取出的安全事件；网络安全设备无法检测出攻击信息的安全数据经预处理以及数据格式范化后输入到安全蜜罐和安全沙箱中进行检测，以提取出未知的安全事件。

安全蜜罐和安全沙箱提取未知的安全事件的过程为：首先利用安全蜜罐收集可疑的威胁样本及其威胁信息，所述威胁信息包含攻击的来源IP、采用的协议和端口号、攻击特征、域名、漏洞信息；然后将利用安全蜜罐收集到的威胁样本导入到安全沙箱中，利用安全沙箱对威胁样本进行检测和测试；安全沙箱通过拦截系统调用和监视程序的行为，实现检测和测试病毒以及不受信任的应用程序、文档以及上网行为，从而获取未知安全事件及其攻击属性、传播行为特性和攻击路径。

所述事件预警模块2用于基于深度神经网络算法对网络用户的异常行为进行预警；

其中，所述事件预警模块2包括用户行为数据获取模块21、网络模型分析模块22及异常行为反馈模块23；

所述用户行为数据获取模块21用于获取网络用户的行为特征数据；

所述网络模型分析模块22用于利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析，得到网络用户的行为评分；

具体的，所述网络模型分析模块22在利用预先构建的深度神经网络模型对网络用户的行为特征数据进行分析，得到网络用户的行为评分时包括以下步骤：

将网络用户的行为特征映射为高维空间，并以此作为深度神经网络模型的输入；

具体的，所述深度神经网络模型的构建步骤如下：

设定x，y分别表示输入向量和输出向量，神经网络中的隐含层用h表示，W表示神经网络中的权重矩阵，b表示神经网络中的偏置，则有以下公式：

h

h

y＝f(W

式中，m表示层数，m＝1,2,…,N-1，N表示非零自然数，f(x)表示激活函数，用tanh作为隐藏层和输出层的激活函数，其公式如下：

根据网络用户的点击行为记录作为训练样本对深度神经网络模型参数进行训练；

提取网络用户信息，计算用户与用户正常行为的相关性，得到用户与用户行为之间的相关性评分并进行排序；

其中，所述相关性评分通过计算用户U与用户正常行为数据集V的语义相关性大小R(U,V)得到，计算公式如下：

式中，y

此外，本实施例中对于对网络用户的行为特征数据进行分析还可以采用聚类算法、Adam算法、基于内容的协同过滤算法等来实现。

所述异常行为反馈模块23用于将行为评分低于预设阈值的异常行为反馈给网络安全事件分析人员；

所述风险评估模块4用于对网络安全事件进行风险等级评估；

其中，所述风险评估模块4包括风险权重设定模块41和信息安全风险综合评估模块42；

所述风险权重设定模块41用于对网络安全事件中大小要素的风险权重进行设定；

传统的权重设定方法是采用Borda序值法，对评估要素按重要性进行量化排序，然后再基于AHP的权重值确定，建立AHP判断矩阵，进行权重的计算，得出各风险项的权重值RW。本实施例中对这一环节进行了改进，因为，对于风险要素来说，可以分为几大项，但这几大要素中，由可以具体的再次进行细分，而仅仅对于这几大风险要素进行风险权重的确定，会严重影响评估的精确度。本实施例的改进方法是：先按上述方式对几大风险要素进行风险权重的计算，再此基础上，将每个大项分解为具体的一些小项，然后，通过专家评估的方式通过模糊互补判断矩阵进行重要性分析，将得到的数值乘以大项的权重，得到每个小项新的权重，进行归一化处理，最终得到该受评价组织的综合信息安全风险等级。下面介绍具体方法。

大项要素的风险权重的计算：

1、按照Borda序值法得到大项要素的序值数，建立综合判断矩阵A；

2、利用层次分析法中的求根法确定出大项各个风险要素的权重，步骤如下：

a、按行相乘得到：A

b、对A

c、对A

下面运用模糊互补判断矩阵来对小项要素进行重要性分析：

按照前面理论知识部分介绍的专家模糊互补判断矩阵的要求建立多个专家模糊互补判断矩阵，然后通过专家内部讨论，将专家总权重设为1，然后用每个各自的权重进行加权求和，得到最终唯一的专家模糊互补判断矩阵，在此矩阵的基础上，设定第一要素重要性为1，通过专家模糊互补判断矩阵，得到每个小要素的重要性值，将其重要性值乘以其相对应的大要素的权重，得到一组新的权重比较值，然后进行归一化处理，即得到小项的权重。

在得到最终唯一的专家模糊互补判断矩阵后，需要按照上述一致模糊互补矩阵的性质，进行判断，判断其是否为一致模糊互补矩阵以及一致性检验是否合格，若不是，需要在此矩阵的基础上，进行微调。

所述信息安全风险综合评估模块42用于对网络安全事件中受评估的综合信息安全风险等级进行计算。

具体的，所述综合信息安全风险等级的计算公式如下：

其中，n表示二级风险项目数，k表示某个特定的风险，RR

所述大项要素包括网路通信安全、人事安全、物理安全、风险控制安全、资产及管理安全；所述小项要素包括加密措施、访问控制、人事资源、操作人员的安全意识、设备安全、环境安全、安全审计功能、防黑客入侵措施、信息的数量、信息的价值、破解信息难度、密钥管理、人员管理及设备管理。

所述应急方案推荐模块5用于基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案；

基于网络安全事件的协同过滤推荐具有“跨类型”推荐的能力，但却要求评分数据比较饱和，这样推荐结果才能更加准确。而基于应急处置方案的协同过滤推荐在很大程度上缓解评分数据稀疏的问题，但是个性化程度比较低。为了兼顾这两种算法的优点，提高推荐精度，提出使用比例因子将基于网络安全事件协同过滤算法的评分预测结果和基于应急处置方案的协同过滤算法的评分预测结果进行加权，从而得到目标网络安全事件对目标应急处置方案的最终评分。网络安全事件-应急处置方案混合协同过滤算法综合考虑了网络安全事件和应急处置方案的共同影响，使得预测结果更加全面。

其中，所述应急方案推荐模块5在基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案时包括以下步骤：

建立网络安全事件-应急处置方案的评分矩阵；

建立临近网络安全事件集合：利用相似度计算公式计算目标事件的临近网络安全事件集合T(U

计算初步的推荐结果：使用基于RBF神经网络的网络安全事件协同过滤推荐算法计算目标网络安全事件的推荐评分，得到第一推荐评分P

P'

式中，P

当θ

当θ

当θ

使用基于RBF神经网络的应急处置方案协同过滤推荐算法计算目标网络安全事件的推荐评分，得到第二推荐评分P

P'

平衡因子的计算：在临近网络安全事件集合T(U

式中，T(U)表示目标网络安全事件U的临近网络安全事件集合，sim(U

在临近应急处置方案集合T(I

式中，T(I)表示目标应急处置方案I的临近应急处置方案集合，sim(I

计算比例因子：选取控制因子η，结合目标网络安全事件的平衡因子Bla

从公式中看出，当目标网络安全事件的邻近集合为空时，这时网络安全事件相关平衡因子Bla

最终结果计算：基于第一推荐评分P

基于目标网络安全事件的推荐评分为其推荐对应的应急处置方案。

所述异常数据保护模块6用于在检测到安全事故发生时对系统内部的数据进行应急保存；

所述知识数据库7用于存储系统数据及基于网络安全事件的专家知识数据；

所述安全检测工具8用于为网络安全事件的检测提供辅助检测工具；

其中，所述安全检测工具8包括用于验证目标对象漏洞存在情况的漏洞验证工具和用于检测目标对象是否存在后门的病毒挂马检测工具，所述安全检测工具8还包括日志分析工具、日志分割工具和文件恢复工具。

具体的，漏洞验证工具包括系统漏洞验证工具、网站漏洞验证工具、数据库漏洞验证工具、SQL注入验证工具；病毒挂马检测工具包括病毒检测工具、木马检测工具、恶意代码检测工具、日志分析工具、日志分割工具和文件恢复工具等，且本实施例中的漏洞验证工具及病毒挂马检测工具均为本领域常规使用的辅助工具，本领域技术人员可以依据需求自行设置。

所述远程辅助模块9用于利用远程操控技术对网络安全事件进行协助处置。

根据本发明的另一个实施例，提供了一种用于网络安全事件的应急处置方法，该方法包括以下步骤：

S1、利用数据采集模块采集网络安全事件的网站源码、操作系统日志、网站web访问日志及中间件日志的基本信息；

S2、通过事件处置模块对已知或未知的网络安全事件进行检查与分析，得到对应的线索树及攻击者信息；

S3、事件预警模块利用基于深度神经网络算法对网络用户的异常行为进行预警；

S4、利用知识数据库对S2的分析结果及S3的预警结果进行确认，若确认无误则执行S5，否则返回S2；

S5、通过风险评估模块对检测出的网络安全事件进行风险等级评估；

S6、应急方案推荐模块利用RBF神经网络的混合协同过滤推荐算法依据风险等级为网络安全事件推荐对应的应急处置方案。

综上所述，借助于本发明的上述技术方案，通过设置有事件处置模块及事件预警模块，不仅可以在事件处置模块的作用下对已知或未知的网络安全事件进行检查与分析，而且还可以在事件预警模块的作用下基于深度神经网络算法来实现对网络用户的异常行为进行预警，从而可以将网络用户的异常行为反馈给网络安全事件的分析人员，进而可以为网络安全事件起到预警效果，便于对网络安全风险进行及时整改及补正，大大减少了应急处理漏洞检测与整改的流程，极大的提高了网络安全事件的应急处置效率。

此外，通过设置有风险评估模块及应急方案推荐模块，不仅可以在风险评估模块的作用下对发生的网络安全事件的风险等级进行评估，而且还可以在应急处置方案推荐模块的作用下基于RBF神经网络的混合协同过滤推荐算法为网络安全事件推荐对应的应急处置方案，从而可以基于网络安全事件的风险等级为其推荐对应的应急处置方案，进而有效地提高了应急处置方案的推荐效率及精准性，可以更好地满足于网络安全事件的应急处置需求

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。