本發(fā)明涉及通信安全，具體而言，涉及一種網(wǎng)關(guān)接入異常監(jiān)測(cè)預(yù)警方法及系統(tǒng)。

背景技術(shù)：

1、網(wǎng)關(guān)（gateway）又稱網(wǎng)間連接器、協(xié)議轉(zhuǎn)換器，是一種網(wǎng)絡(luò)設(shè)備或軟件，用于連接兩個(gè)不同的網(wǎng)絡(luò)或協(xié)議，并能夠在這兩個(gè)網(wǎng)絡(luò)或協(xié)議之間進(jìn)行數(shù)據(jù)交換。網(wǎng)關(guān)作為網(wǎng)絡(luò)中的重要節(jié)點(diǎn)，一旦遭受攻擊，可能會(huì)對(duì)整個(gè)網(wǎng)絡(luò)的安全和穩(wěn)定性造成嚴(yán)重影響，網(wǎng)關(guān)經(jīng)常會(huì)遭受的攻擊類型包括拒絕服務(wù)（dos）和分布式拒絕服務(wù)（ddos）攻擊、中間人（mitm）攻擊、網(wǎng)絡(luò)釣魚攻擊、勒索軟件攻擊等。

2、為確保網(wǎng)關(guān)安全，現(xiàn)有技術(shù)通過對(duì)接入者的接入行為進(jìn)行分析得到異常評(píng)估值，再將異常評(píng)估值與預(yù)設(shè)的異常閾值進(jìn)行比對(duì)，如果異常評(píng)估值高于預(yù)設(shè)的異常閾值，則判定該接入者存在接入異常行為，此時(shí)對(duì)其進(jìn)行預(yù)警，同時(shí)還可以采取其它處理措施。上述現(xiàn)有方式中的異常閾值是固定設(shè)置的，在實(shí)踐中，實(shí)際上很難確定出特別合適的異常閾值，導(dǎo)致出現(xiàn)過多虛警或漏警的情況，難以滿足實(shí)際需要。

3、所以，如何對(duì)網(wǎng)關(guān)接入異常進(jìn)行更準(zhǔn)確的異常分析，進(jìn)而提高預(yù)警的準(zhǔn)確度，是目前亟需解決的技術(shù)問題。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)上述技術(shù)問題，本發(fā)明提供了一種網(wǎng)關(guān)接入異常監(jiān)測(cè)預(yù)警方法、系統(tǒng)、電子設(shè)備、計(jì)算機(jī)存儲(chǔ)介質(zhì)及計(jì)算機(jī)程序產(chǎn)品。

2、本發(fā)明公開了一種網(wǎng)關(guān)接入異常監(jiān)測(cè)預(yù)警方法，應(yīng)用于目標(biāo)網(wǎng)關(guān)，所述方法包括如下步驟：

3、確定接入該目標(biāo)網(wǎng)關(guān)的若干網(wǎng)絡(luò)端及其網(wǎng)絡(luò)端類型信息和歷史關(guān)聯(lián)預(yù)警信息，使用基于transformer的異常閾值確定模型對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行評(píng)估，獲得該目標(biāo)網(wǎng)關(guān)的第一異常閾值；

4、獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，根據(jù)所述接入異常監(jiān)測(cè)信息確定得出靈敏系數(shù)，使用所述靈敏系數(shù)對(duì)所述第一異常閾值進(jìn)行修正，獲得第二異常閾值；

5、接收該目標(biāo)網(wǎng)關(guān)的實(shí)時(shí)網(wǎng)關(guān)接入信息，使用接入異常分類模型對(duì)所述實(shí)時(shí)網(wǎng)關(guān)接入信息進(jìn)行分析，以得出接入異常評(píng)估值；

6、將所述接入異常評(píng)估值與所述第二異常閾值進(jìn)行比對(duì)，若所述接入異常評(píng)估值高于所述第二異常閾值，則輸出網(wǎng)關(guān)接入異常報(bào)警信號(hào)。

7、可選地，所述使用基于transformer的異常閾值確定模型對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行評(píng)估，獲得該目標(biāo)網(wǎng)關(guān)的第一異常閾值，包括：

8、使用卷積網(wǎng)絡(luò)對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行特征提取，獲得網(wǎng)絡(luò)端類型特征、歷史關(guān)聯(lián)預(yù)警特征，將所述網(wǎng)絡(luò)端類型特征與所述歷史關(guān)聯(lián)預(yù)警特征進(jìn)行矩陣化及整合處理，獲得網(wǎng)絡(luò)端特征信息；

9、將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，獲得該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值。

10、可選地，所述將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，獲得該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值，包括：

11、將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，所述異常閾值確定模型輸出該目標(biāo)網(wǎng)關(guān)的第三異常閾值；

12、將各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息輸入基于bert大模型的異常閾值輔助分析模型，所述異常閾值輔助分析模型輸出該目標(biāo)網(wǎng)關(guān)的第四異常閾值；

13、根據(jù)所述第三異常閾值和所述第四異常閾值加權(quán)計(jì)算得出該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值。

14、可選地，所述獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，根據(jù)所述接入異常監(jiān)測(cè)信息確定得出靈敏系數(shù)，包括：

15、獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，所述接入異常監(jiān)測(cè)信息包括但不限于異常報(bào)警次數(shù)、各子時(shí)段內(nèi)的異常報(bào)警頻率的最大值、異常報(bào)警類型數(shù)量；

16、獲取與該目標(biāo)網(wǎng)關(guān)對(duì)應(yīng)的若干相似網(wǎng)關(guān)的歷史接入異常監(jiān)測(cè)信息，根據(jù)各所述歷史接入異常監(jiān)測(cè)信息計(jì)算得出基準(zhǔn)接入異常監(jiān)測(cè)信息，所述基準(zhǔn)接入異常監(jiān)測(cè)信息中包括基準(zhǔn)異常報(bào)警次數(shù)、各子時(shí)段內(nèi)的異常報(bào)警頻率的基準(zhǔn)最大值、基準(zhǔn)異常報(bào)警類型數(shù)量；

17、分別計(jì)算所述異常報(bào)警次數(shù)與所述基準(zhǔn)異常報(bào)警次數(shù)的第一差值比、所述最大值與所述基準(zhǔn)最大值的第二差值比、所述異常報(bào)警類型數(shù)量與所述基準(zhǔn)異常報(bào)警類型數(shù)量的第三差值比，計(jì)算所述第一差值比、所述第二差值比、所述第三差值比的均值，獲得第四差值比；

18、將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得所述靈敏系數(shù)。

19、可選地，所述將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得所述靈敏系數(shù)，包括：

20、將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得初步靈敏系數(shù)；

21、確定所述近期預(yù)設(shè)時(shí)段的時(shí)間跨度，根據(jù)所述時(shí)間跨度匹配得出調(diào)整系數(shù)，將所述調(diào)整系數(shù)與所述初步靈敏系數(shù)相乘，獲得最終的所述靈敏系數(shù)；

22、其中，在所述初步靈敏系數(shù)小于1時(shí)，所述調(diào)整系數(shù)大于1且與所述時(shí)間跨度負(fù)相關(guān)；在所述初步靈敏系數(shù)大于1時(shí)，所述調(diào)整系數(shù)小于1且與所述時(shí)間跨度正相關(guān)。

23、可選地，所述接入異常分類模型基于機(jī)器學(xué)習(xí)算法的模型。

24、本發(fā)明還公開了一種網(wǎng)關(guān)接入異常監(jiān)測(cè)預(yù)警系統(tǒng)，應(yīng)用于目標(biāo)網(wǎng)關(guān)，所述系統(tǒng)包括處理裝置、存儲(chǔ)裝置，所述存儲(chǔ)裝置中存儲(chǔ)的計(jì)算機(jī)代碼被所述處理裝置調(diào)用并執(zhí)行，以實(shí)現(xiàn)如下步驟：

25、確定接入該目標(biāo)網(wǎng)關(guān)的若干網(wǎng)絡(luò)端及其網(wǎng)絡(luò)端類型信息和歷史關(guān)聯(lián)預(yù)警信息，使用基于transformer的異常閾值確定模型對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行評(píng)估，獲得該目標(biāo)網(wǎng)關(guān)的第一異常閾值；

26、獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，根據(jù)所述接入異常監(jiān)測(cè)信息確定得出靈敏系數(shù)，使用所述靈敏系數(shù)對(duì)所述第一異常閾值進(jìn)行修正，獲得第二異常閾值；

27、接收該目標(biāo)網(wǎng)關(guān)的實(shí)時(shí)網(wǎng)關(guān)接入信息，使用接入異常分類模型對(duì)所述實(shí)時(shí)網(wǎng)關(guān)接入信息進(jìn)行分析，以得出接入異常評(píng)估值；

28、將所述接入異常評(píng)估值與所述第二異常閾值進(jìn)行比對(duì)，若所述接入異常評(píng)估值高于所述第二異常閾值，則輸出網(wǎng)關(guān)接入異常報(bào)警信號(hào)。

29、可選地，所述使用基于transformer的異常閾值確定模型對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行評(píng)估，獲得該目標(biāo)網(wǎng)關(guān)的第一異常閾值，包括：

30、使用卷積網(wǎng)絡(luò)對(duì)各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息進(jìn)行特征提取，獲得網(wǎng)絡(luò)端類型特征、歷史關(guān)聯(lián)預(yù)警特征，將所述網(wǎng)絡(luò)端類型特征與所述歷史關(guān)聯(lián)預(yù)警特征進(jìn)行矩陣化及整合處理，獲得網(wǎng)絡(luò)端特征信息；

31、將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，獲得該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值。

32、可選地，所述將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，獲得該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值，包括：

33、將所述網(wǎng)絡(luò)端特征信息輸入基于transformer的所述異常閾值確定模型，所述異常閾值確定模型輸出該目標(biāo)網(wǎng)關(guān)的第三異常閾值；

34、將各所述網(wǎng)絡(luò)端類型信息、所述歷史關(guān)聯(lián)預(yù)警信息輸入基于bert大模型的異常閾值輔助分析模型，所述異常閾值輔助分析模型輸出該目標(biāo)網(wǎng)關(guān)的第四異常閾值；

35、根據(jù)所述第三異常閾值和所述第四異常閾值加權(quán)計(jì)算得出該目標(biāo)網(wǎng)關(guān)的所述第一異常閾值。

36、可選地，所述獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，根據(jù)所述接入異常監(jiān)測(cè)信息確定得出靈敏系數(shù)，包括：

37、獲取該目標(biāo)網(wǎng)關(guān)在近期預(yù)設(shè)時(shí)段內(nèi)的接入異常監(jiān)測(cè)信息，所述接入異常監(jiān)測(cè)信息包括但不限于異常報(bào)警次數(shù)、各子時(shí)段內(nèi)的異常報(bào)警頻率的最大值、異常報(bào)警類型數(shù)量；

38、獲取與該目標(biāo)網(wǎng)關(guān)對(duì)應(yīng)的若干相似網(wǎng)關(guān)的歷史接入異常監(jiān)測(cè)信息，根據(jù)各所述歷史接入異常監(jiān)測(cè)信息計(jì)算得出基準(zhǔn)接入異常監(jiān)測(cè)信息，所述基準(zhǔn)接入異常監(jiān)測(cè)信息中包括基準(zhǔn)異常報(bào)警次數(shù)、各子時(shí)段內(nèi)的異常報(bào)警頻率的基準(zhǔn)最大值、基準(zhǔn)異常報(bào)警類型數(shù)量；

39、分別計(jì)算所述異常報(bào)警次數(shù)與所述基準(zhǔn)異常報(bào)警次數(shù)的第一差值比、所述最大值與所述基準(zhǔn)最大值的第二差值比、所述異常報(bào)警類型數(shù)量與所述基準(zhǔn)異常報(bào)警類型數(shù)量的第三差值比，計(jì)算所述第一差值比、所述第二差值比、所述第三差值比的均值，獲得第四差值比；

40、將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得所述靈敏系數(shù)。

41、可選地，所述將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得所述靈敏系數(shù)，包括：

42、將所述第四差值比與預(yù)設(shè)對(duì)照表格進(jìn)行比對(duì)，獲得初步靈敏系數(shù)；

43、確定所述近期預(yù)設(shè)時(shí)段的時(shí)間跨度，根據(jù)所述時(shí)間跨度匹配得出調(diào)整系數(shù)，將所述調(diào)整系數(shù)與所述初步靈敏系數(shù)相乘，獲得最終的所述靈敏系數(shù)；

44、其中，在所述初步靈敏系數(shù)小于1時(shí)，所述調(diào)整系數(shù)大于1且與所述時(shí)間跨度負(fù)相關(guān)；在所述初步靈敏系數(shù)大于1時(shí)，所述調(diào)整系數(shù)小于1且與所述時(shí)間跨度正相關(guān)。

45、可選地，所述接入異常分類模型基于機(jī)器學(xué)習(xí)算法的模型。

46、本發(fā)明還公開了一種電子設(shè)備，包括：至少一個(gè)處理器、存儲(chǔ)器以及存儲(chǔ)在所述存儲(chǔ)器中并可在所述至少一個(gè)處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序以實(shí)現(xiàn)如前任一所述的方法。

47、本發(fā)明還公開了一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行以實(shí)現(xiàn)如前任一所述的方法。

48、本發(fā)明還公開了一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品中包含計(jì)算機(jī)代碼，所述計(jì)算機(jī)代碼被電子設(shè)備的處理器執(zhí)行時(shí)，實(shí)現(xiàn)如前任一所述的方法。

49、本發(fā)明的有益效果至少在于：本發(fā)明的方案綜合基于目標(biāo)網(wǎng)關(guān)上接入的各網(wǎng)絡(luò)端的類型信息、目標(biāo)網(wǎng)關(guān)在近期的接入異常監(jiān)測(cè)情況，分析得出更合適的動(dòng)態(tài)的異常閾值，并基于該動(dòng)態(tài)的異常閾值對(duì)目標(biāo)網(wǎng)關(guān)是否存在接入異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)及預(yù)警，可顯著提升預(yù)警準(zhǔn)確性。