[发明专利]一种流量安全分析挖掘的方法及系统

权利要求书

1.一种流量安全分析挖掘方法，其特征在于，所述方法包括：

对进入业务系统的数据流量进行分类聚合，所述分类聚合为根据解析后的标识信息，使用不同的聚类算法得到多维集合，所述标识信息包括用户标识信息、业务标识信息、设备标识信息，所述多维集合是指分别根据所述用户标识信息、业务标识信息和设备标识信息提取出隶属于同一数据流的三个特征集；

根据用户标识信息、业务标识信息和设备标识信息，动态确定所述多维集合对应的三种检测参数和规则，由检测参数和规则得到特征向量加权后的多维检测样本，将所述多维检测样本送入机器学习模型，检测是否包括第一攻击向量；

获取数据库的历史异常数据，模拟出指定类型的网络攻击流量，所述指定类型的网络攻击流量是指携带预先构造的第二攻击向量；

将模拟的所述网络攻击流量送入机器学习模型，此时的机器学习模型作为判别器，判别所述网络攻击流量与当前网络流量之间的相似度，当相似度数值随着当前网络流量的变化形成的流量曲线符合预设的图形时，则认定所述机器学习模型能够正确识别出所模拟的网络攻击，所述机器学习模型完成训练；

当所述机器学习模型检测出所述多维检测样本中包括第一攻击向量时，标记携带所述第一攻击向量的一个或多个特征集为异常，匹配异常特征集所属的维度是用户、业务或设备中的类型，根据异常涉及的类型开始对第一攻击向量进行针对性溯源；

当所述异常涉及用户类型时，获取数据库的用户关系链，所述用户关系链包括所属部门的同事关系、与公司外部的客户关系、亲戚好友关系、邮件收发关系中的一种或若干种，每一种关系下每一个人为所述用户关系链的一个节点，根据所述用户关系链扩展检测每一个节点涉及的终端、邮箱、文件、即时通信中的一种或若干种，判断是否包括所述第一攻击向量，如果检测到所述第一攻击向量，则标记该节点为攻击轨迹在途点；

当所述异常涉及业务类型时，根据业务流程规定的前后关系、具体业务动作的经办人，得到业务关系链，每一个经办人、经办人名下的终端、设备、文件、即时通信为所述业务关系链的一个节点，检测每一个节点是否包括所述第一攻击向量，如果是，则标记该节点为攻击轨迹在途点；

当所述异常涉及设备类型时，获取设备上传输的数据流、用户使用情况、业务办理情况，得到设备关系链，每一个数据包、用户账号、业务动作作为所述设备关系链的一个节点，检测每一个节点是否包括所述第一攻击向量，如果是，则标记该节点为攻击轨迹在途点；

将所述攻击轨迹在途点、第一攻击向量输入场景挖掘模型，所述场景挖掘模型使用标识信息对应的数据挖掘算法找出所述攻击轨迹在途点、第一攻击向量对应的场景属性，所述场景属性用于描述潜在攻击者的网络行为方式、潜在攻击者的估计数量、预计攻击的时间范围；

连接所有的攻击轨迹在途点，形成完整的攻击轨迹，不同类型的异常特征集采用差异化显示，所述攻击轨迹可复用包括多个不同维度的异常攻击，溯源得到不同维度的异常攻击的源点；

管理员针对不同的源点，根据所述场景属性，为所述源点选择对应的防御策略，并根据所述源点的状态动态部署相应的防御策略。

2.根据权利要求1所述的方法，其特征在于：所述防御策略包括：完全隔离单个设备或用户、完全禁止单项业务、仅拒绝单个设备或用户开展指定的单项业务、仅拒绝单个设备或用户修改数据中的一种或若干种；

根据网络节点的负载情况自动部署防御策略，若异常攻击的源点负载小于预设的阈值，则直接在源点部署，否则，为源点选择负载小于阈值的邻近网络节点部署，切断源点向外传输的路径；

当所述邻近网络节点的负载上升大于阈值时，先判断源点负载是否还大于阈值，如果是，为源点切换到第二邻近网络节点部署策略，所述第二邻近网络节点是在源点潜在的传播路径上；

定期检测源点的负载情况，当负载稳定小于阈值时，则将部署切换回源点。

3.根据权利要求1-2任一项所述的方法，其特征在于：所述溯源还包括形成攻击溯源图，得出针对不同业务或不同用户的风险评估、防御策略，指导管理员针对业务或用户进行针对性的风险消除。

4.根据权利要求3所述的方法，其特征在于：所述机器学习模型包括神经网络模型。

5.一种流量安全分析挖掘系统，其特征在于，所述系统包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行权利要求1-4任一项所述的流量安全分析挖掘方法。