[发明专利]一种基于人工智能的网络安全威胁识别方法及系统

说明书

本发明涉及网络安全技术领域，具体涉及一种基于人工智能的网络安全威胁识别方法及系统。该方法根据历史数据训练孪生网络进行数据分类。通过数据重构网络将未知数据的数据量进行扩充，获得大量的与未知数据差异不大，且特征向量靠近异常数据集的生成数据。通过对生成数据与异常数据集的差异距离构建散点图像，根据散点图像中的分布特征和历史数据集的数据离散程度对生成数据进行分类，获得异常生成数据和正常生成数据。将常生成数据和正常生成数据用于更新孪生网络，提高孪生网络的检测范围。本发明通过扩充未知数据的数据量并对孪生网络进行更新，提高了检测范围和检测效率。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于人工智能的网络安全威胁识别方法及系统。

背景技术

在网络传输数据时会遇到大量数据，传输数据存在各种类别，对于经常处理的传输数据容易很简单的分辨出正常数据和异常数据。对于异常数据认为对当前环境存在威胁可以进行拦截。但是对于未知数据而言，如果无法识别出未知数据的类型，则会对网络传输任务造成影响。

现有的网络安全威胁识别在面对未知数据的情况下，通常采取的分析手段为通过多类型现有异常数据检测方法进行多层分析，进而对未知数据所属类型进行判断。但是多层分析耗时较长，且多步骤处理容易累积误差，对传输效率和传输安全造成影响。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种基于人工智能的网络安全威胁识别方法及系统，所采用的技术方案具体如下：

本发明提出了一种基于人工智能的网络安全威胁识别方法，所述方法包括：

以带有数据类别的历史数据集作为孪生网络的训练数据；所述历史数据集包括正常数据集和异常数据集；所述孪生网络提取输入数据的输入特征向量，通过所述输入特征向量与所述历史数据集对应的历史特征向量的距离输出数据类别；所述历史特征向量包括正常特征向量和异常特征向量；

根据所述孪生网络提取未知数据的未知特征向量；将所述未知数据和所述未知特征向量输入预先训练好的数据重构网络中，获得重构数据；所述数据重构网络的损失函数包括重构损失函数和距离度量损失函数；根据所述未知数据与所述重构数据的差异获得所述重构损失函数；根据所述重构数据的重构特征向量与所述历史特征向量的差异获得所述距离度量损失函数；

根据所述重构数据和所述未知数据加和等分生成多个生成数据；根据所述生成数据的生成特征向量与所述异常数据集的差异距离在坐标系中构建散点图像；所述坐标系横坐标为所述生成特征向量，纵坐标为所述差异距离；根据所述散点图像中的散点离散程度和所述历史数据集中数据离散程度获得数据选取指标；根据所述数据选取指标获得数据选取数量；根据所述数据选取数量选取与所述异常数据集所述差异距离最小的多个所述生成特征向量对应的所述生成数据作为异常生成数据，其他为正常生成数据；

根据所述异常生成数据和所述正常生成数据作为所述孪生网络的训练数据对所述孪生网络进行迭代更新。

进一步地，所述通过输入特征向量与所述历史数据集对应的历史特征向量的距离输出数据类别包括：

获取所述正常数据集中的正常特征向量中心；根据每个所述正常特征向量与所述正常特征向量中心的相似性获得第一对比采样概率；根据所述第一对比采样概率在所述正常数据集中随机获得预设采样数量的对比正常特征向量；

获取所述异常数据集中的异常特征向量中心；根据每个所述异常特征向量与所述异常特征向量中心的相似性作为第二对比采样概率；根据所述第二对比采样概率在所述异常数据集中随机获得所述采样数量的对比异常特征向量；

通过所述输入特征向量与所述对比正常特征向量和所述对比异常特征向量的欧式距离输出数据类别。

进一步地，所述根据所述孪生网络提取未知数据的未知特征向量包括：