基于k均值聚类算法的安全审计方法、装置及服务器制造方法及图纸

本发明专利技术公开了一种基于k均值聚类算法的安全审计方法、装置及服务器，用于通信技术领域，能够解决对于新出现的异常不能快速的识别，降低安全审计的准确度的问题。该方法包括：从日志数据中提取待安全审计对象的特征参数，特征参数是用于分析待安全审计对象是否异常的参数；基于预设k均值聚类算法对待安全审计对象的特征参数进行聚类；计算待安全审计对象的特征参数中的每个特征参数相对于每个特征参数所在类的稠密度；根据稠密度是否达到预设异常阈值来审计待安全审计对象是否异常。

Security audit method, device and server based on K mean clustering algorithm

The invention discloses a security audit method, device and server based on K mean clustering algorithm, which can be used in the field of communication technology, and can solve the problem that the new anomaly can not be identified quickly, and the accuracy of security audit can be reduced. The method includes: extracting the characteristic parameters of the security audit object from the log data, the characteristic parameters are used to analyze the abnormal parameters of the security audit object, and cluster the characteristic parameters of the security audit object based on the preset K mean clustering algorithm, and calculate each feature in the characteristic parameters of the security audit object. The density of the parameters relative to the class of each characteristic parameter is determined, and whether the audited object is abnormal is determined according to whether the consistency density reaches the default threshold value.

【技术实现步骤摘要】
基于k均值聚类算法的安全审计方法、装置及服务器
本专利技术涉及通信
，尤其涉及一种基于k均值聚类算法的安全审计方法、装置及服务器。
技术介绍
网络的安全审计是指一种基于信息流进行数据采集、分析、识别和资源审计封锁的处理过程。安全审计的现有实现方法包括基于特征规则的审计方法、基于数理统计的审计方法和基于关联分析的安全审计方法三种。上述三种现有的安全审计方法已经得到了广泛的应用，而且也获得了比较大的成功，但是现有的安全审计方法通常是基于现有审计策略进行审计，现有审计策略是针对现有的已经发现的异常制定出来的，所以现有的安全审计方法只能审计出已知的异常行为，而对于新出现的异常进行快速的识别，降低安全审计的准确度。
技术实现思路
本专利技术实施例提供了一种基于k均值聚类算法的安全审计方法、装置及服务器，能够解决对于新出现的异常不能快速的识别，降低安全审计的准确度的问题。第一方面，本专利技术提供了一种基于k均值聚类算法的安全审计的方法，包括：从日志数据中提取待安全审计对象的特征参数，特征参数是用于分析待安全审计对象是否异常的参数；基于预设k均值聚类算法对待安全审计对象的特征参数进行聚类；计算待安全审计对象的特征参数中的每个特征参数相对于每个特征参数所在类的稠密度；根据稠密度是否达到预设异常阈值来审计待安全审计对象是否异常。第二方面，本专利技术提供了一种基于k均值聚类算法的安全审计的装置，包括：提取单元，用于从日志数据中提取待安全审计对象的特征参数，所述特征参数是用于分析所述待安全审计对象是否异常的参数；聚类单元，用于基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类；计算单元，用于计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度；审计单元，用于根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常。第三方面，本专利技术提供了一种基于k均值聚类算法的安全审计服务器，包括：存储器、处理器、通信接口和总线；存储器、处理器和通信接口通过总线连接并完成相互间的通信；存储器用于存储程序代码；处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于执行一种基于k均值聚类算法的安全审计方法；其中，基于k均值聚类算法的安全审计方法包括：从日志数据中提取待安全审计对象的特征参数，特征参数是用于分析待安全审计对象是否异常的参数；基于预设k均值聚类算法对待安全审计对象的特征参数进行聚类；计算待安全审计对象的特征参数中的每个特征参数相对于每个特征参数所在类的稠密度；根据稠密度是否达到预设异常阈值来审计待安全审计对象是否异常。本专利技术实施例提供了一种基于k均值聚类算法的安全审计的方法、装置及服务器，本专利技术实施例从待安全审计对象的日志数据中提取用于分析待安全审计对象是否异常的特征参数，通过预设k均值聚类算法进行聚类后，可以计算出每个待安全审计对象的特征参数所在类的稠密度，然后基于稠密度是否达到预设异常阈值来待安全审计对象是否正常，如此本专利技术实施例基于特征参数对待安全审计对象进行分析，来审计待安全审计对象是否异常，而不是基于现有审计策略进行审计，可以及时发现异常的待安全审计对象，提高安全审计的准确度。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对本专利技术实施例中所需要使用的附图作简单地介绍，显而易见地，下面所描述的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术一实施例提供的基于k均值聚类算法的安全审计的方法的示意性流程图；图2是根据本专利技术一实施例提供的基于k均值聚类算法的安全审计的方法中聚类分析结果的示意图；图3是根据本专利技术一实施例提供的基于k均值聚类算法的安全审计的装置的示意性框图；图4是根据本专利技术一实施例的基于k均值聚类算法的安全审计的服务器的示意性框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。图1示出了根据本专利技术一实施例的基于k均值聚类算法的安全审计的方法的示意性流程图。该方法包括以下步骤：101，从日志数据中提取待安全审计对象的特征参数；102，基于预设k均值聚类算法对待安全审计对象的特征参数进行聚类；103，计算待安全审计对象的特征参数中的每个特征参数相对于每个特征参数所在类的稠密度；104，根据稠密度是否达到预设异常阈值来审计待安全审计对象是否异常。在步骤101中，特征参数是用于分析待安全审计对象是否异常的参数。特征参数可以是一个参数也可以是多个参数。例如，本专利技术实施例中以审计CRM应用操作日志中用户操作是否异常为例，特征参数可以包括如下参数的至少一个：用户使用的会话初始协议SIP(SessionInitiationProtocol，会话初始协议)的数量、用户操作类型数量与用户操作次数的比例、每种操作类型的日均最大操作数、每种操作类型的日均平均操作数、每种操作类型的日均最小操作数、用户操作的时间分布、用户操作类型的时间分布等等。上述特征参数均可以基于待安全审计对象的日志数据得出，以“用户使用的SIP的数量”为例，如果从日志数据中得出用户111860共使用了183.203.36.4、36.47.14.244和110.180.35.119这三个不同的SIP地址，则用户111860使用的SIP的数量就是3。在步骤102中，本专利技术实施例中采用预设k均值聚类算法对于待安全审计对象的特征进行聚类。预设k均值聚类算法包括本专利技术实施例中提出的改进k均值聚类算法。本专利技术实施例中，将待安全审计对象的特征参数作为平面中的点，改进k均值聚类算法为基于各点之间的可达距离对待安全审计对象的特征进行聚类分析。在步骤103中，稠密度表示待安全审计对象的特征参数与此特征参数所属类的中心点之间的可达距离，相对于此特征参数所属类中所有特征参数与此特征参数所属类的中心点之间可达距离之和的距离密度。在步骤104中，预先设置稠密度的异常阈值。基于待安全审计对象的特征参数的稠密度是否预设异常阈值来审计待安全审计对象是否异常。需要说明的是，在本专利技术实施例中，在进行安全审计时，可以首先获取待安全审计对象的日志数据。例如，本专利技术实施例中以审计CRM(CustomerRelationshipManagement，客户关系管理)应用操作日志中用户操作是否异常为例，本步骤中可以从数据源采集日志数据，将这些采集到的数据进行处理后放入待审计数据库。日志数据可以包括如下参数的至少一个：客户关系管理CRM应用账号、客户操作类型、客户操作时间、客户操作详细描述和客户操作结果。本专利技术实施例从待安全审计对象的大量日志数据中提取用于分析待安全审计对象是否异常的特征参数，通过预设k均值聚类算法进行聚类后，可以计算出每个待安全审计对象的特征参数所本文档来自技高网...

【技术保护点】
1.一种基于k均值聚类算法的安全审计方法，包括：从日志数据中提取待安全审计对象的特征参数，所述特征参数是用于分析所述待安全审计对象是否异常的参数；基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类；计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度；根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常。

【技术特征摘要】
1.一种基于k均值聚类算法的安全审计方法，包括：从日志数据中提取待安全审计对象的特征参数，所述特征参数是用于分析所述待安全审计对象是否异常的参数；基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类；计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度；根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常。2.根据权利要求1所述的方法，其中，所述计算所述待安全审计对象的特征参数中的每个特征参数相对于所述每个特征参数所在类的稠密度包括：对所述待安全审计对象的特征参数中任意一个特征参数，将所述待安全审计对象的特征参数中与所述任意一个特征参数之间的第一欧式距离小于第一预设值的特征参数作为所述任意一个特征参数的k-距离邻居集合；计算所述任意一个特征参数与所述k-距离邻居集合中的特征参数之间的距离的总和；计算所述任意一个特征参数与所述任意一个特征参数所在类的中心点之间的第一可达距离；将所述第一可达距离除以所述距离的总和的商作为所述任意一个特征参数相对于所在类的稠密度。3.根据权利要求2所述的方法，所述将所述待安全审计对象的特征参数中与所述任意一个特征参数之间的第一欧式距离小于第一预设值的特征参数作为所述任意一个特征参数的k-距离邻居集合之前，所述方法还包括：获取与所述任意一个特征参数邻近的所述待安全审计对象的K个特征参数；计算所述任意一个特征参数与所述K个特征参数的整体之间的第一整体距离，作为所述第一预设值；计算所述任意一个特征参数与所述K个特征参数中的每个特征参数之间的所述第一欧式距离。4.根据权利要求3所述的方法，所述计算所述任意一个特征参数与所述任意一个特征参数所在类的中心点之间的第一可达距离包括：计算所述任意一个特征参数所在类的中心点与所述K个特征参数的整体之间的第二整体距离；计算所述任意一个特征参数所在类的中心点与所述任意一个特征参数之间的第二欧式距离；将所述第二整体距离与所述第二欧式距离中的最大值作为所述第一可达距离。5.根据权利要求3所述的方法，所述计算所述任意一个特征参数与K个所述待安全审计对象的特征参数之间的第一整体距离包括：基于公式计算所述第一整体距离，其中，d(k-distance(P))表示所述第一整体距离，P表示所述任意一个特征参数，Qi表示所述K个特征参数中的第i个特征参数，1≤i≤k。6.根据权利要求1所述的方法，所述根据所述稠密度是否达到预设异常阈值来审计所述待安全审计对象是否异常包括：对所述待安全审计对象的特征参数中任意一个特征参数，判断所述任意一个特征参数的稠密度是否大于预设异常阈值；如果所述任意一个特征参数的稠密度大于所述预设异常阈值，则将所述任意一个特征参数审计为异常；或者，如果所述任意一个特征参数的稠密度不大于所述预设异常阈值，则将所述任意一个特征参数审计为正常。7.根据权利要求1所述的方法，所述基于预设k均值聚类算法对所述待安全审计对象的特征参数进行聚类包括：计算随机选取的待聚类特征参数与待定中心点之间的第二可达距离，所述待聚类特征参数为在未被聚类的特征参数中随机选取，所述待定中心点为所述待安全审计对象的特征参数所在空间内的点；依次计算所述待安全审计对象的特征参数中已经聚类的特征参数与所述待定中心点之间的第三可达距离；确定所述第二可达距离与所述第三可达距离中的最小距离；基于所述最小距离对应的特征参数和所述待定中心点确定新中心点；将所述待聚类特征参数确定为已经聚类的特征参数；当已有中心点与所述新中心点之间的距离小于预设阈值时，将所述新中心点代替所述已有中心点；当所述已有中心点与所述新中心点之间的距离不小于所述预设阈值时，保留所述新中心点和所述已有中心点。8.根据权利要求7所述的方法，所述基于所述最小距离对应的特征参数和所述待定中心点确定新中心点包括：确定所述最小距离对应的特征参数与所述待定中心点之间的中点；当所述中点与所述待定中心点之间的距离小于第二预设值时，将所述中点作为所述新中心点；当所述中点与所述待定中心点之间的距离小于所述第二预设值时，将所述中点作为所述待定中心点。9.根据权利要求7所述的方法，其中，所述预设阈值为在确定所述新中心点的前一个中心点的过程中的所述第二可达距离与所述第三可达距离中的最小距离。10.根据权利要求1所述的方法，其中，所述日志数据包括如下参数的至少一个：客户关系管理CRM应用账号、客户操作类型、客户操作时间、客户操作详细描述、客户操作结果。11.根据权利要求10所述的方法，其中，所述特征参数包括如下参数的至少一个：用户使用的会话初始协议SIP的数量、用户操作类型数量与用户操作次数的比例、每种操作类型的日均最大操作数、每种操作类型的日均平均操作数、每种操作类型的日均最小操作数、用户操作的时间分布、用户操作类型的时间分布。12.一种基于k均值聚类算法的安全审计装置，包括：提取单元，用于从日志数据中提取待安全审计对象的特征参数，所述特征参数是用...

【专利技术属性】
技术研发人员：常乐，
申请(专利权)人：中国移动通信集团山西有限公司，中国移动通信集团公司，
类型：发明
国别省市：山西,14