基于知识库优化安全服务功能的方法及系统

本发明涉及网络通信安全，具体涉及一种基于知识库优化安全服务功能的方法及系统。

背景技术：

1、随着互联网规模的持续扩大以及物联网、云计算等新应用新技术的兴起，网络安全边界日渐模糊，传统的网络安全防护体系难以应对层出不穷的网络威胁。近年来，越来越多的研究者开始将人工智能算法与安全服务相结合，旨在自动监测异常流量并挖掘更多的关联信息，这些网络服务功能通常以服务功能链(service function chain,sfc)的形式提供给用户。

2、目前用于人工智能算法的网络安全数据集是通过数据包的形式来捕获与分析流量，并将流量的特征全部放入数据行中，从而丢失了网络实体及各项特征之间的明确关系；其次，目前用户安全需求变化灵活迅速、安全检测服务功能多种多样，现有的sfc路径选择算法大多难以根据安全需求动态调整流量经过的sfc路径；最后，现有的安全服务检测方法存在特征提取困难、泛化能力差等问题。因此，如何有效利用网络安全领域的大量现有知识和历史积累，实现安全数据的规范与整合，不断更新海量连接终端下的恶意流量信息，提高安全服务的检测能力，已成为亟待解决的关键问题。

技术实现思路

1、本发明的目的在于提供一种基于知识库优化安全服务功能的方法及系统，以解决上述背景技术中存在的至少一项技术问题。

2、为了实现上述目的，本发明采取了如下技术方案：

3、第一方面，本发明提供一种基于知识库优化安全服务功能的方法，包括：

4、利用恶意行为库中的恶意行为特征图，使用基于图的特征排名和特征选择方法分析攻击类型与其流量特征之间的关系，得到对攻击类型分类影响较大的流级特征信息，供安全功能模块进行攻击检测；

5、利用预先训练好的路径选择模型对网络的入口流量进行在线路径选择，使得不同流量通过不同的服务功能链路径，获得所需的安全服务，得到各安全功能的检测结果；其中，利用恶意行为库中攻击的包级特征、恶意流量检测库中的检测结果和资源使用库中的资源使用情况，对图注意力网络和深度强化学习相结合的服务功能链路径选择模型进行训练，得到能选择最优检测路径的路径选择模型；

6、将各安全功能的检测结果、系统的资源使用情况以及进入服务功能链的网络流量的特征反馈到相应的知识库，将知识库进行更新，并动态调整通过安全服务功能的路径。

7、进一步的，利用恶意行为库中的恶意行为特征图，使用基于图的特征排名和特征选择方法分析攻击类型与其流量特征之间的关系，得到对攻击类型分类影响较大的流级特征信息，包括：

8、利用pagerank算法对知识图谱中的信息进行有效的知识推理与特征选择，由于pagerank是基于强连通有向图进行随机游走的，但是知识库中的ddos攻击恶意行为特征图缺乏特征之间的关系，因此，将图从树形结构转化为强连通有向图结构，按照每个特征节点的得分进行特征重要性排序；使用随机森林特征选择算法，对每种类型的ddos攻击进行特征重要性排序；选取排名靠前的流级特征，作为最终特征选择的结果。

9、进一步的，利用所述的对攻击类型分类影响较大的特征信息，对攻击检测模型进行重新训练，得到检测性能优化的检测模型；其中，针对每种类型的ddos攻击从知识库的攻击数据集中选取对应的特征，得到用于训练各攻击检测模型的样本集，然后按照一定比例划分为训练集和测试集；使用所述的对攻击类型分类影响较大的特征信息对训练集进行筛选，利用筛选后的训练集对攻击检测模型进行训练，得到最终的攻击检测模型。

10、进一步的，利用恶意行为库中攻击的包级特征、恶意流量检测库中的检测结果和资源使用库中的资源使用情况，对图注意力网络和深度强化学习相结合的服务功能链路径选择模型进行训练，得到能选择最优检测路径的路径选择模型，包括：根据恶意行为库中各种ddos攻击的大量包级特征数据，使用图注意力网络在包级特征之间引入注意力机制，使得模型能够更好地捕捉其特征信息和相互间的关系信息，实现对数据的深度分析和挖掘；基于深度挖掘的包级特征、恶意流量检测库中的检测结果和资源使用库中的资源使用情况，构建了一个drl环境；将路径选择问题建模为马尔可夫决策过程，学习代理通过选择动作来获得奖励，其中奖励平衡了恶意流量检测结果和资源使用情况；最终选择能使奖励最大化的最优路径选择模型。

11、进一步的，利用所述训练好的路径选择模型对网络的入口流量进行在线路径选择，使得不同流量通过不同的服务功能链路径，获得所需的安全服务，得到各安全功能的检测结果，包括：通过数据包抓取工具在线采集一定时间内的待检测的网络流量，该网络流量包括正常流量和不同类型的ddos攻击流量，使用特征提取脚本提取各类攻击数据包的包级特征信息，并反馈到恶意行为库；在线读取训练好的路径选择模型的结构及参数，将提取的各类攻击数据包的包级特征信息输入路径选择模型，获得检测路径，即各安全服务功能的组合。

12、进一步的，各安全功能的检测结果、系统的资源使用情况以及进入服务功能链的网络流量的特征会反馈到相应的知识库，将知识库进行更新，并动态调整通过安全服务功能的路径，包括：各安全功能的检测结果信息通过socket接口反馈到恶意流量检测库，系统的资源使用情况通过socket接口反馈到资源使用库，进入服务功能链的网络攻击流量的特征通过网络配置协议netconf构建的接口反馈到恶意行为库；知识库更新后推理出新的知识，优化服务功能链的路径选择过程。

13、第二方面，本发明提供一种基于知识库优化安全服务功能的系统，包括：

14、知识库模块，用于利用恶意行为库中的恶意行为特征图，使用基于图的特征排名和特征选择方法分析攻击类型与其流量特征之间的关系，得到对攻击类型分类影响较大的流级特征信息，供安全功能模块进行攻击检测；

15、安全服务检测模块，用于利用预先训练好的路径选择模型对网络的入口流量进行在线路径选择，使得不同流量通过不同的服务功能链路径，获得所需的安全服务，得到各安全功能的检测结果；其中，利用恶意行为库中攻击的包级特征、恶意流量检测库中的检测结果和资源使用库中的资源使用情况，对图注意力网络和深度强化学习相结合的服务功能链路径选择模型进行训练，得到能选择最优检测路径的路径选择模型；

16、数据反馈模块，用于将各安全功能的检测结果、系统的资源使用情况以及进入服务功能链的网络流量的特征反馈到相应的知识库，将知识库进行更新，并动态调整通过安全服务功能的路径。

17、第三方面，本发明提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质用于存储计算机指令，所述计算机指令被处理器执行时，实现如第一方面所述的基于知识库优化安全服务功能的方法。

18、第四方面，本发明提供一种计算机设备，包括存储器和处理器，所述处理器和所述存储器相互通信，所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令执行如第一方面所述的基于知识库优化安全服务功能的方法。

19、第五方面，本发明提供一种电子设备，包括：处理器、存储器以及计算机程序；其中，处理器与存储器连接，计算机程序被存储在存储器中，当电子设备运行时，所述处理器执行所述存储器存储的计算机程序，以使电子设备执行实现如第一方面所述的基于知识库优化安全服务功能的方法的指令。

20、本发明有益效果：使用基于图的知识推理算法进行特征选择，降低安全服务功能检测算法的复杂度；结合使用图注意力网络和深度强化学习，学习知识库的知识，得到最优的安全服务功能的组合，即检测路径；将各安全功能的检测结果、系统的资源使用情况以及被检测攻击流量的特征反馈到相应的知识库，并将其更新，动态调整通过安全服务功能的路径；能够根据用户的实时需求，实现服务功能链的路径选择，可检测多种恶意攻击，提高了检测能力。

21、本发明附加方面的优点，将在下述的描述部分中更加明显的给出，或通过本发明的实践了解到。