(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210230622.8 (22)申请日 2022.03.09 (71)申请人 黄河水利职业 技术学院 地址 475004 河南省开封市东京大道1号 (72)发明人 徐鹏　张志峰　彭战松　 (74)专利代理 机构 青海中赢知识产权代理事务 所(普通合伙) 63104 专利代理师 王小丹 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/147(2022.01) G06F 16/28(2019.01) G06F 16/23(2019.01) G06F 16/21(2019.01)G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种网络安全检测方法和系统 (57)摘要 本发明公开了一种网络安全检测方法和系 统， 涉及网络安全技术领域， 本发明之方法包括 在本地网络中设置多个本地节 点监测器， 每个本 地节点检测器负责独立的检测本地网络入侵行 为； 搭建全局检测器， 然后对原始网络流量时序 进行实时监测， 再对网络流量时序进行小波分解 处理， 建立神经网络预测模型， 建立处理模型， 判 断是否出现异常数据， 在处理模型中建立异常 库， 使用预测模型预测时序网络流量， 将预测结 果依次与异常库中已经标记的异常数据进行匹 配， 判断是否 出现异常， 最后发出预警， 本发明之 系统包括检测模块、 处理模块以及预警模块。 本 发明为一种网络安全检测方法和系统， 检测精度 高、 检测效率 块。 权利要求书2页 说明书5页 附图3页 CN 114615051 A 2022.06.10 CN 114615051 A 1.一种网络安全检测方法， 其特 征在于， 包括以下步骤： S1： 在本地网络中设置多个本地节点监测器， 每个本地节点检测器负责独立的检测本 地网络入侵行为； S2： 根据多个本地节点检测器建立全局检测器； S3： 使用全局检测器对原 始网络流 量时序进行实时监测； S4： 对网络流 量时序进行小 波分解处 理； S5： 建立神经网络预测模型， 在神经网络预测模型中首先初始化预测模型参数值， 将小 波分解后的网络流量时序输入预测模型得到预测结果， 判断预测结果是否正确， 若不正确 调整参数值， 重新预测， 直至得到确定的预测结果， 最后确定模型参数值， 获得最终的预测 模型； S6： 建立处理模型， 判断是否出现异常数据， 在处理模型中建立异常库， 将处理模型中 标记为异常的网络流 量的内容存 储在异常库中； S7： 使用预测模型预测时序网络流量， 将预测结果依次与异常库中已经标记的异常数 据进行匹配， 并设定相似阈值， 若相似度高于相似阈值则判断该 预测结果 为异常数据； S8： 发出预警， 同时将该预测结果标记为新的异常数据， 再次存储至异常库中， 并更新 异常库。 2.根据权利要求1所述的一种网络安全检测方法， 其特征在于， 步骤S3中小波分解预处 理的过程包括以下步骤： 设定网络流量时间序列， 确定序列的长度， 基于Mallat 算法对网络 流量时序进行小波分解， 将每一层长度序列分解为高频细节序列和低频逼近序列， 随着小 波分解层数的增加， 小波系数序列的长度逐层 减半， 时域分辨率也会逐层降低， 最后对各层 小波细节进行 单支重构， 得到 长度相同的尺度子序列。 3.根据权利要求1所述的一种网络安全检测方法， 其特征在于， 异常库中存储的异常数 据为每次异常网络流量时序中的异常规则， 将异常规则特征化， 最后将异常数据特征存储 在异常库中。 4.根据权利要求1所述的一种网络安全检测方法， 其特征在于， 所述相似阈值的确定过 程中， 人工检索出多组相似度高的预测结果和异常数据， 计算每组相似度高的预测结果和 异常数据的相似阈值， 最后对若干相似阈值取平均得到最终用于判断的相似阈值。 5.根据权利要求1所述的一种网络安全检测方法， 其特征在于， 对异常数据库建立防护 措施， 通过对异常库中数据值进 行日志记录， 用于记录用户调用异常库的时间、 用户IP以及 增删改查的数据内容， 记录时建立记录 关系树， 关系树上每个节点存储有信息， 通过查阅关 系树节点信息来 查阅异常库日志的记录内容。 6.一种网络安全检测系统， 其特 征在于， 包括： 检测模块、 处 理模块以及预警模块； 所述检测模块通过设置多个本地节点监测器用于独立检测本体网络入侵行为， 在将独 立的本地节点组建成全局检测器， 全局检测器主 要用于检测网络流 量时序； 所述处理模块包括第一处理单元、 预测单元以及第二处理单元， 所述第一处理单元使 用小波分解以及单支重构对网络流量时序进 行处理， 将不同长度的网络时序处理成长度相 同的尺度子序列， 所述预测单元通过建立预测模型在时序上根据网络流量特征使用预测模 型预测生成预测结果， 所述第二处理单元通过建立处理模型以及搭建异常库， 起初根据预 测模型预测结果判断是否出现异常， 若出现进行异常标记然后 将标记的异常特征数据存储权　利　要　求　书 1/2 页 2 CN 114615051 A 2在异常库中， 后期直接通过相似阈值判断预测结果是否出现异常； 所述预警模块用于实时发出预警， 提示网络安全 防护人员即将发生网络安全异常， 及 时进行人工处理。 7.根据权利要求6所述的一种网络安全检测系统， 其特征在于， 所述处理模块与所述预 警模块之间设有信号传输接口， 所述处理模块的处理结果为出现异常后， 自动通过信号传 输接口向预警模块发送信号， 所述预警模块接收预警信号后开始发出 预警。权　利　要　求　书 2/2 页 3 CN 114615051 A 3