本發(fā)明涉及安全事件追蹤領(lǐng)域，具體為基于人工智能的安全事件實(shí)時(shí)追蹤與溯源方法及系統(tǒng)。

背景技術(shù)：

1、安全事件是指可能對計(jì)算機(jī)系統(tǒng)造成威脅或造成潛在風(fēng)險(xiǎn)的任何活動或事件，如異常訪問、網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等行為，對安全事件進(jìn)行監(jiān)控、記錄和追蹤，能夠及時(shí)發(fā)現(xiàn)、識別和應(yīng)對安全事件，以確保系統(tǒng)和數(shù)據(jù)的安全性。

2、現(xiàn)有的安全事件防護(hù)機(jī)制通過記錄分析異常流量的訪問日志，對可能的攻擊行為進(jìn)行聚類和來源識別，但此類防護(hù)機(jī)制會產(chǎn)生大量的安全事件日志和信息，有時(shí)會導(dǎo)致信息過載，使安全防護(hù)效率降低，造成漏報(bào)和誤報(bào)行為，且對于一些能夠干擾日志生成的攻擊行為缺乏有效應(yīng)對手段。

3、此外，現(xiàn)有安全防護(hù)體系具有一定追蹤滯后性，在通過日志分析等手段發(fā)現(xiàn)安全事件時(shí)，系統(tǒng)內(nèi)的數(shù)據(jù)和結(jié)構(gòu)可能已經(jīng)被篡改，由于無法識別攻擊者的具體操作，導(dǎo)致數(shù)據(jù)無法恢復(fù)，擴(kuò)大了攻擊損失，不能對計(jì)算機(jī)系統(tǒng)形成有效防護(hù)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供基于人工智能的安全事件實(shí)時(shí)追蹤與溯源方法及系統(tǒng)，以解決上述背景技術(shù)中提出的問題。

2、為了解決上述技術(shù)問題，本發(fā)明提供如下技術(shù)方案：基于人工智能的安全事件實(shí)時(shí)追蹤與溯源系統(tǒng)，包括：端口交換模塊、流量跟蹤模塊、磁盤指針模塊、內(nèi)存堆棧模塊和攻擊聚類模塊；

3、所述端口交換模塊用于結(jié)構(gòu)化服務(wù)器數(shù)據(jù)庫，按照存儲數(shù)據(jù)類型對數(shù)據(jù)庫存儲空間分區(qū)，每個(gè)分區(qū)由獨(dú)立的服務(wù)器節(jié)點(diǎn)管理，并將服務(wù)器的訪問端口作為流量的起始訪問節(jié)點(diǎn)，利用模式識別網(wǎng)絡(luò)對歷史安全日志進(jìn)行識別，輸出威脅模型，端口將訪問流量的流量特征輸入威脅模型，輸出威脅系數(shù)，將威脅系數(shù)作為訪問流量的特征序列的首個(gè)元素；

4、所述流量跟蹤模塊用于為每一個(gè)服務(wù)器節(jié)點(diǎn)生成不同仿射算法，算法中的固定參數(shù)由系統(tǒng)時(shí)鐘確定，訪問流量每經(jīng)過一個(gè)節(jié)點(diǎn)時(shí)，需提供特征序列后獲準(zhǔn)訪問，利用節(jié)點(diǎn)的仿射算法處理特征序列后，生成新的特征序列，直到流量訪問節(jié)點(diǎn)中的數(shù)據(jù)為止；

5、所述磁盤指針模塊用于當(dāng)流量對節(jié)點(diǎn)數(shù)據(jù)進(jìn)行拷貝、下載和修改操作時(shí)，不實(shí)際變更數(shù)據(jù)庫內(nèi)容，而是記錄流量對節(jié)點(diǎn)的操作行為，操作結(jié)束后，將本次流量的全部操作行為封裝成臨時(shí)數(shù)據(jù)包存入獨(dú)立磁盤空間中；

6、所述內(nèi)存堆棧模塊用于在獨(dú)立磁盤內(nèi)存儲臨時(shí)數(shù)據(jù)包，并由訪問流量的特征序列生成指向磁盤存儲位置的指針，按照指針長度、指針數(shù)值和節(jié)點(diǎn)數(shù)據(jù)類型確定臨時(shí)數(shù)據(jù)包在磁盤區(qū)域中的存儲位置，按照堆棧形式順次存儲，并把臨時(shí)數(shù)據(jù)包存儲的地址返回訪問流量，訪問流量訪問來源通過信任代理節(jié)點(diǎn)提交存儲地址后，節(jié)點(diǎn)依次執(zhí)行地址堆棧中的臨時(shí)數(shù)據(jù)包文件；

7、所述攻擊聚類模塊用于在連續(xù)驗(yàn)證錯(cuò)誤或堆棧溢出時(shí)，判定為出現(xiàn)安全事件，對所有指向異常堆棧的指針進(jìn)行簇聚類，按照聚類結(jié)果將處于聚類范圍內(nèi)的攻擊指針作為同族攻擊指針，清空堆棧后，通過聚類中心指針對應(yīng)的特征序列，對安全事件涉及的訪問流量進(jìn)行追蹤。

8、進(jìn)一步的，所述端口交換模塊包括：節(jié)點(diǎn)固定單元、流量交換單元和威脅模型單元；

9、所述節(jié)點(diǎn)固定單元用于將服務(wù)器的數(shù)據(jù)存儲結(jié)構(gòu)化，生成服務(wù)器節(jié)點(diǎn)網(wǎng)絡(luò)，所述服務(wù)器節(jié)點(diǎn)網(wǎng)絡(luò)的輸入輸出端均為網(wǎng)絡(luò)訪問端口節(jié)點(diǎn)；

10、所述流量交換單元用于構(gòu)建節(jié)點(diǎn)之間的數(shù)據(jù)傳輸鏈路，使流量在各服務(wù)器節(jié)點(diǎn)中流動；

11、所述威脅模型單元用于利用模式識別網(wǎng)絡(luò)分析歷史安全日志中威脅流量的流量特征，所述流量特征包括：ip地址、域名、數(shù)據(jù)量、訪問指向和定向切片數(shù)據(jù)。

12、進(jìn)一步的，所述流量跟蹤模塊包括：算法泛化單元和節(jié)點(diǎn)印記單元；

13、所述算法泛化單元用于在每一個(gè)節(jié)點(diǎn)處設(shè)置獨(dú)立仿射算法，并由系統(tǒng)時(shí)鐘確定算法內(nèi)固定參數(shù)值；

14、所述節(jié)點(diǎn)印記單元用于獲取訪問流量的特征序列，并輸出特征序列通過算法處理后的結(jié)果。

15、進(jìn)一步的，所述磁盤指針模塊包括：行為記錄單元和臨時(shí)文件單元；

16、所述行為記錄單元用于在訪問流量對節(jié)點(diǎn)進(jìn)行拷貝、下載和修改時(shí)，記錄流量的操作過程，并將過程編譯為數(shù)字化指令；

17、所述臨時(shí)文件單元用于根據(jù)訪問流量對節(jié)點(diǎn)進(jìn)行的全部操作生成臨時(shí)數(shù)據(jù)包，臨時(shí)數(shù)據(jù)包中保存有全部數(shù)字化指令。

18、進(jìn)一步的，所述內(nèi)存堆棧模塊包括：獨(dú)立磁盤單元、堆棧存儲單元和地址返回單元；

19、所述獨(dú)立磁盤單元用于在服務(wù)器中設(shè)置獨(dú)立存儲空間，存儲臨時(shí)數(shù)據(jù)包和訪問流量指針；

20、所述堆棧存儲單元用于將單位周期內(nèi)針對同一個(gè)節(jié)點(diǎn)的臨時(shí)流量包堆棧存儲，并在周期結(jié)束后依次執(zhí)行臨時(shí)流量包中的指令；

21、所述地址返回單元用于在臨時(shí)流量包存入獨(dú)立磁盤后，將磁盤存儲位置返回訪問地址。

22、進(jìn)一步的，所述攻擊聚類模塊包括：數(shù)據(jù)碰撞單元和指針聚類單元；

23、所述數(shù)據(jù)碰撞單元用于利用系統(tǒng)防火墻驗(yàn)證堆棧中修改操作的敏感性，出現(xiàn)連續(xù)驗(yàn)證失敗或單位周期內(nèi)堆棧溢出時(shí)，判斷為安全事件；

24、所述指針聚類單元用于在發(fā)生安全事件時(shí)，對指向異常堆棧的指針進(jìn)行簇聚類，根據(jù)聚類結(jié)果識別同源攻擊流量。

25、基于人工智能的安全事件實(shí)時(shí)追蹤與溯源方法，包括以下步驟：

26、步驟s1.將服務(wù)器提供的服務(wù)節(jié)點(diǎn)化，在每個(gè)節(jié)點(diǎn)中單獨(dú)存儲服務(wù)數(shù)據(jù)，并構(gòu)建節(jié)點(diǎn)之間的數(shù)據(jù)傳輸鏈路，生成節(jié)點(diǎn)網(wǎng)絡(luò)，以網(wǎng)絡(luò)通信端口作為節(jié)點(diǎn)網(wǎng)絡(luò)接收訪問流量的起始節(jié)點(diǎn)；

27、步驟s2.利用模式識別網(wǎng)絡(luò)，對歷史安全日志進(jìn)行模式分析，輸出威脅模型，起始節(jié)點(diǎn)接收訪問流量后，將訪問流量的流量特征輸入威脅模型，將輸出值作為流量通過下一節(jié)點(diǎn)的初始密鑰；

28、步驟s3.為每一個(gè)節(jié)點(diǎn)設(shè)置獨(dú)立仿射算法，并由節(jié)點(diǎn)時(shí)鐘確定算法內(nèi)可變參數(shù)值，流量向節(jié)點(diǎn)提交密鑰后，節(jié)點(diǎn)按仿射算法處理密鑰，將處理結(jié)果生成為新的密鑰；

29、步驟s4.訪問流量對節(jié)點(diǎn)數(shù)據(jù)進(jìn)行拷貝、下載和修改操作時(shí)，不實(shí)際返回?cái)?shù)據(jù)，僅記錄流量的操作過程，將操作過程編譯為包含數(shù)字化指令的臨時(shí)文件，按堆棧形式存儲在獨(dú)立磁盤中，由訪問流量的密鑰生成指向磁盤存儲位置的指針；

30、步驟s5.堆棧中的臨時(shí)文件依次通過系統(tǒng)防火墻驗(yàn)證后執(zhí)行，在連續(xù)驗(yàn)證失敗或單位周期內(nèi)堆棧溢出時(shí)，判斷為發(fā)生安全事件，對指向異常堆棧的指針進(jìn)行簇聚類，位于聚類范圍中的流量指針識別同源攻擊流量，并按密鑰還原出攻擊流量在節(jié)點(diǎn)中的流動軌跡。

31、進(jìn)一步的，步驟s1包括：

32、步驟s11.在服務(wù)器重啟時(shí)格式化節(jié)點(diǎn)數(shù)據(jù)庫，按照對應(yīng)服務(wù)的類型對數(shù)據(jù)庫中的數(shù)據(jù)分區(qū)，分區(qū)間相互獨(dú)立，并在每個(gè)分區(qū)中建立訪問接口，與對應(yīng)服務(wù)節(jié)點(diǎn)形成點(diǎn)對點(diǎn)雙向傳輸鏈路；

33、步驟s12.建立各服務(wù)器節(jié)點(diǎn)間的數(shù)據(jù)傳輸鏈路，以服務(wù)器與外界的通信接口作為節(jié)點(diǎn)網(wǎng)絡(luò)的起始節(jié)點(diǎn)，剩余節(jié)點(diǎn)以加密等級作為節(jié)點(diǎn)與通信端口間的最小距離，生成節(jié)點(diǎn)網(wǎng)絡(luò)。

34、進(jìn)一步的，步驟s2包括：

35、步驟s21.從服務(wù)器安全系統(tǒng)中獲取歷史安全日志，所述歷史安全日志中記錄了攻擊流量的流量特征和攻擊強(qiáng)度，其中流量特征包括：流量的ip地址、域名、數(shù)據(jù)量、訪問數(shù)據(jù)的加密等級和流量切片寬度；

36、步驟s22.利用模式識別網(wǎng)絡(luò)，將流量特征作為輸入變量，攻擊強(qiáng)度作為輸出量進(jìn)行模式擬合，得到針對訪問流量的威脅模型，所選模式識別網(wǎng)絡(luò)包括：多層感知器(mlp)、卷積神經(jīng)網(wǎng)絡(luò)(cnn)、長短期記憶網(wǎng)絡(luò)(lstm)和自編碼器網(wǎng)絡(luò)(autoencoder)；

37、步驟s23.服務(wù)器的起始節(jié)點(diǎn)接收到外界訪問請求后，將訪問流量的流量特征輸入威脅模型，得到輸出結(jié)果后，將訪問流量的初始密鑰設(shè)置為[n,p]，其中n為起始節(jié)點(diǎn)的編號，p為威脅模型的輸出結(jié)果。

38、進(jìn)一步的，步驟s3包括：

39、步驟s31.在各節(jié)點(diǎn)中設(shè)置仿射算法fi(u,v)，其中i為節(jié)點(diǎn)編號，u為流量密鑰，v為節(jié)點(diǎn)時(shí)鐘，按照標(biāo)準(zhǔn)仿射表生成對應(yīng)節(jié)點(diǎn)的仿射算法：

40、

41、其中，a1，a2，…an+1分別代表1到n+1位輸出密鑰，n為流量密鑰的長度，x為常數(shù)，且x∈{1，2，…，n+1}，di為節(jié)點(diǎn)的放縮系數(shù)，uy代表第y位流量密鑰，規(guī)定un+1＝1，v(n-y)代表由節(jié)點(diǎn)時(shí)鐘生成的第n-y個(gè)數(shù)據(jù)；

42、步驟s32.訪問流量經(jīng)過節(jié)點(diǎn)時(shí)，需向節(jié)點(diǎn)提供密鑰后獲準(zhǔn)訪問，并利用節(jié)點(diǎn)的仿射算法處理流量密鑰，處理結(jié)果作為新的流量密鑰對訪問流量進(jìn)行記錄。

43、進(jìn)一步的，步驟s4包括：

44、步驟s41.流量訪問節(jié)點(diǎn)數(shù)據(jù)時(shí)，將流量的密鑰下載在節(jié)點(diǎn)中，并記錄流量對節(jié)點(diǎn)數(shù)據(jù)的拷貝、下載和修改操作，記錄流量的操作過程，每次操作后，將當(dāng)次操作行為編譯為數(shù)字化指令，直到流量停止訪問服務(wù)器；

45、步驟s42.針對流量節(jié)點(diǎn)進(jìn)行的全部操作生成臨時(shí)文件，所述臨時(shí)文件中保存有流量訪問節(jié)點(diǎn)過程中編譯的全部數(shù)字化指令；

46、步驟s43.在服務(wù)器磁盤中劃分獨(dú)立區(qū)域，節(jié)點(diǎn)在單位周期內(nèi)生成的臨時(shí)文件按堆棧格式依次存儲在獨(dú)立磁盤空間中，并將流量密鑰作為指針指向臨時(shí)文件存儲地址，向訪問流量的來源設(shè)備返回臨時(shí)文件存儲位置和預(yù)計(jì)執(zhí)行時(shí)間。

47、進(jìn)一步的，步驟s5包括：

48、步驟s51.在周期結(jié)束后從堆棧底部依次抽取臨時(shí)文件，將抽取的臨時(shí)文件交予防火墻驗(yàn)證，驗(yàn)證通過后執(zhí)行臨時(shí)文件中的全部指令，在連續(xù)驗(yàn)證失敗或單位周期內(nèi)堆棧溢出時(shí)，判斷為發(fā)生安全事件，將發(fā)生安全事件的堆棧作為異常堆棧；

49、步驟s52.對所有指向異常堆棧的指針進(jìn)行簇聚類：

50、

51、其中，sk代表對第k個(gè)簇的聚類標(biāo)準(zhǔn)差，r代表聚類半徑，b代表指針數(shù)量，代表第t個(gè)指針中簇的數(shù)量，wek代表聚類中心簇的數(shù)量，mink代表滿足條件下k的最小值；

52、步驟s53.將聚類中心指針we周圍聚類半徑r的范圍作為聚類范圍，位于聚類范圍內(nèi)的指針對應(yīng)的流量為同源攻擊流量，并將各攻擊流量的指針還原為密鑰，經(jīng)過反變換后得到攻擊流量經(jīng)過的服務(wù)器節(jié)點(diǎn)。

53、與現(xiàn)有技術(shù)相比，本發(fā)明所達(dá)到的有益效果是：

54、1.本發(fā)明能夠?qū)⒃L問流程節(jié)點(diǎn)化，節(jié)點(diǎn)則按照存儲數(shù)據(jù)特征生成不同仿射算法，訪問請求對節(jié)點(diǎn)數(shù)據(jù)進(jìn)行拷貝、下載和修改操作時(shí)，全部輸入信號作為指針指向操作節(jié)點(diǎn)，能夠?qū)⒘髁客ㄟ^的節(jié)點(diǎn)記錄在訪問指針上，可以幫助追溯攻擊者的身份和攻擊路徑，同時(shí)減少安全日志的重復(fù)生成，提高安全事件防護(hù)系統(tǒng)的工作效率。

55、2.本發(fā)明在應(yīng)對數(shù)據(jù)操作行為時(shí)，不實(shí)際輸出數(shù)據(jù)庫內(nèi)容，而是將請求數(shù)據(jù)封裝為數(shù)據(jù)包存入事件池中，按照指針長度、指針數(shù)值和節(jié)點(diǎn)數(shù)據(jù)類型確定數(shù)據(jù)包存儲位置，按照事件池的堆棧順序依次驗(yàn)證并執(zhí)行事件，在不修改實(shí)際數(shù)據(jù)的情況下實(shí)現(xiàn)安全管理，進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全防御措施，提高系統(tǒng)的安全性。

56、3.本發(fā)明能夠在出現(xiàn)安全事件后，對所有指向異常堆棧的指針進(jìn)行簇聚類，按照聚類結(jié)果對安全事件涉及的訪問流量進(jìn)行追蹤，將處于聚類范圍內(nèi)的攻擊指針分類為同族攻擊指針，有助于提高安全事件實(shí)時(shí)追蹤和溯源的效率和準(zhǔn)確性，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)和應(yīng)急響應(yīng)能力。