The invention discloses a security audit method, device and server based on K mean clustering algorithm, which can be used in the field of communication technology, and can solve the problem that the new anomaly can not be identified quickly, and the accuracy of security audit can be reduced. The method includes: extracting the characteristic parameters of the security audit object from the log data, the characteristic parameters are used to analyze the abnormal parameters of the security audit object, and cluster the characteristic parameters of the security audit object based on the preset K mean clustering algorithm, and calculate each feature in the characteristic parameters of the security audit object. The density of the parameters relative to the class of each characteristic parameter is determined, and whether the audited object is abnormal is determined according to whether the consistency density reaches the default threshold value.
【技术实现步骤摘要】
基于k均值聚类算法的安全审计方法、装置及服务器
本专利技术涉及通信
,尤其涉及一种基于k均值聚类算法的安全审计方法、装置及服务器。
技术介绍
网络的安全审计是指一种基于信息流进行数据采集、分析、识别和资源审计封锁的处理过程。安全审计的现有实现方法包括基于特征规则的审计方法、基于数理统计的审计方法和基于关联分析的安全审计方法三种。上述三种现有的安全审计方法已经得到了广泛的应用,而且也获得了比较大的成功,但是现有的安全审计方法通常是基于现有审计策略进行审计,现有审计策略是针对现有的已经发现的异常制定出来的,所以现有的安全审计方法只能审计出已知的异常行为,而对于新出现的异常进行快速的识别,降低安全审计的准确度。
技术实现思路
本专利技术实施例提供了一种基于k均值聚类算法的安全审计方法、装置及服务器,能够解决对于新出现的异常不能快速的识别,降低安全审计的准确度的问题。第一方面,本专利技术提供了一种基于k均值聚类算法的安全审计的方法,包括:从日志数据中提取待安全审计对象的特征参数,特征参数是用于分析待安全审计对象是否异常的参数;基于预设k均值聚类算法对待安全审计对象的特征参数进行聚类;计算待安全审计对象的特征参数中的每个特征参数相对于每个特征参数所在类的稠密度;根据稠密度是否达到预设异常阈值来审计待安全审计对象是否异常。第二方面,本专利技术提供了一种基于k均值聚类算法的安全审计的装置,包括:提取单元,用于从日志数据中提取待安全审计对象的特征参数,所述特征参数是用于分析所述待安全审计对象是否异常的参数;聚类单元,用于基于预设k均值聚类算法对所述待安全审计对象的特征参 ...
【技术保护点】
1.一种基于k均值聚类算法的安全审计方法,包括:从日志数据中提取待安全审计对象的特征参数,所述特征参数是用于分析所述待安全审计对象是否异常的参数;基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类;计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度;根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常。
【技术特征摘要】
1.一种基于k均值聚类算法的安全审计方法,包括:从日志数据中提取待安全审计对象的特征参数,所述特征参数是用于分析所述待安全审计对象是否异常的参数;基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类;计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度;根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常。2.根据权利要求1所述的方法,其中,所述计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度包括:对所述待安全审计对象的特征参数中任意一个特征参数,将所述待安全审计对象的特征参数中与所述任意一个特征参数之间的第一欧式距离小于第一预设值的特征参数作为所述任意一个特征参数的k-距离邻居集合;计算所述任意一个特征参数与所述k-距离邻居集合中的特征参数之间的距离的总和;计算所述任意一个特征参数与所述任意一个特征参数所在类的中心点之间的第一可达距离;将所述第一可达距离除以所述距离的总和的商作为所述任意一个特征参数相对于所在类的稠密度。3.根据权利要求2所述的方法,所述将所述待安全审计对象的特征参数中与所述任意一个特征参数之间的第一欧式距离小于第一预设值的特征参数作为所述任意一个特征参数的k-距离邻居集合之前,所述方法还包括:获取与所述任意一个特征参数邻近的所述待安全审计对象的K个特征参数;计算所述任意一个特征参数与所述K个特征参数的整体之间的第一整体距离,作为所述第一预设值;计算所述任意一个特征参数与所述K个特征参数中的每个特征参数之间的所述第一欧式距离。4.根据权利要求3所述的方法,所述计算所述任意一个特征参数与所述任意一个特征参数所在类的中心点之间的第一可达距离包括:计算所述任意一个特征参数所在类的中心点与所述K个特征参数的整体之间的第二整体距离;计算所述任意一个特征参数所在类的中心点与所述任意一个特征参数之间的第二欧式距离;将所述第二整体距离与所述第二欧式距离中的最大值作为所述第一可达距离。5.根据权利要求3所述的方法,所述计算所述任意一个特征参数与K个所述待安全审计对象的特征参数之间的第一整体距离包括:基于公式计算所述第一整体距离,其中,d(k-distance(P))表示所述第一整体距离,P表示所述任意一个特征参数,Qi表示所述K个特征参数中的第i个特征参数,1≤i≤k。6.根据权利要求1所述的方法,所述根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常包括:对所述待安全审计对象的特征参数中任意一个特征参数,判断所述任意一个特征参数的稠密度是否大于预设异常阈值;如果所述任意一个特征参数的稠密度大于所述预设异常阈值,则将所述任意一个特征参数审计为异常;或者,如果所述任意一个特征参数的稠密度不大于所述预设异常阈值,则将所述任意一个特征参数审计为正常。7.根据权利要求1所述的方法,所述基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类包括:计算随机选取的待聚类特征参数与待定中心点之间的第二可达距离,所述待聚类特征参数为在未被聚类的特征参数中随机选取,所述待定中心点为所述待安全审计对象的特征参数所在空间内的点;依次计算所述待安全审计对象的特征参数中已经聚类的特征参数与所述待定中心点之间的第三可达距离;确定所述第二可达距离与所述第三可达距离中的最小距离;基于所述最小距离对应的特征参数和所述待定中心点确定新中心点;将所述待聚类特征参数确定为已经聚类的特征参数;当已有中心点与所述新中心点之间的距离小于预设阈值时,将所述新中心点代替所述已有中心点;当所述已有中心点与所述新中心点之间的距离不小于所述预设阈值时,保留所述新中心点和所述已有中心点。8.根据权利要求7所述的方法,所述基于所述最小距离对应的特征参数和所述待定中心点确定新中心点包括:确定所述最小距离对应的特征参数与所述待定中心点之间的中点;当所述中点与所述待定中心点之间的距离小于第二预设值时,将所述中点作为所述新中心点;当所述中点与所述待定中心点之间的距离小于所述第二预设值时,将所述中点作为所述待定中心点。9.根据权利要求7所述的方法,其中,所述预设阈值为在确定所述新中心点的前一个中心点的过程中的所述第二可达距离与所述第三可达距离中的最小距离。10.根据权利要求1所述的方法,其中,所述日志数据包括如下参数的至少一个:客户关系管理CRM应用账号、客户操作类型、客户操作时间、客户操作详细描述、客户操作结果。11.根据权利要求10所述的方法,其中,所述特征参数包括如下参数的至少一个:用户使用的会话初始协议SIP的数量、用户操作类型数量与用户操作次数的比例、每种操作类型的日均最大操作数、每种操作类型的日均平均操作数、每种操作类型的日均最小操作数、用户操作的时间分布、用户操作类型的时间分布。12.一种基于k均值聚类算法的安全审计装置,包括:提取单元,用于从日志数据中提取待安全审计对象的特征参数,所述特征参数是用...
【专利技术属性】
技术研发人员:常乐,
申请(专利权)人:中国移动通信集团山西有限公司,中国移动通信集团公司,
类型:发明
国别省市:山西,14
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。