基于机器学习的业务访问模型及其实现方法技术

本发明专利技术提供了基于机器学习的业务访问模型及其实现方法，对企业内部的实际流量情况进行机器学习，通过一定时间的自我学习，可得到符合企业内部实际的业务访问规律，安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调，即可得出业务访问模型，从而提高企业内部的异常访问的精准度。

【技术实现步骤摘要】

本专利技术涉及数据处理
，尤其涉及一种。
技术介绍
企业内部资产数量庞大，如前期没有做好访控规划，则会导致控制边界模糊，增加管理难度。且由于企业内部资产的不定性，存在一定的变更(增加或减少)频率，会增大访控管理的繁琐度，若未能及时调整对应的管理策略，则会导致降低见访控管理的精准度及提高误报率。有鉴于此，现有技术有待改进和提高。
技术实现思路
鉴于上述现有技术的不足之处，本专利技术的目的在于提供一种，旨在解决现有企业业务管理中存在的控制边界模糊、管理难度大等问题。为了达到上述目的，本专利技术采取了以下技术方案:一种基于机器学习的业务访问模型，其中，包括:、抓包单元，用于对数据进行网络抓包，获取相应的流量包；提取单元，用于根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议；匹配单元，用于将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。所述的基于机器学习的业务访问模型，其中，所述抓包单元中流量包的格式为PCAP0所述的基于机器学习的业务访问模型，其中，还包括:建模单元，用于定位需要监督的目标系统，调取数据库本身存在的资源；发起针对目标系统的网络访问，发起IP访问目标系统的端口，针对所述端口设置访问状态，建立业务访问模型。一种基于机器学习的业务访问模型的实现方法，其中，包括以下步骤:S1、对数据进行网络抓包，获取相应的流量包；S2、根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议；S3、将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。所述的基于机器学习的业务访问模型的实现方法，其中，所述步骤SI之前还包括:S0、定位需要监督的目标系统，调取数据库本身存在的资源；发起针对目标系统的网络访问，发起IP访问目标系统的端口，针对所述端口设置访问状态，建立业务访问模型。所述的基于机器学习的业务访问模型的实现方法，其中，所述步骤SI中流量包的格式为PCAP。有益效果:本专利技术提供的，对企业内部的实际流量情况进行机器学习，通过一定时间的自我学习，可得到符合企业内部实际的业务访问规律，安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调，即可得出业务访问模型，从而提高企业内部的异常访问的精准度。【附图说明】图1为本专利技术的基于机器学习的业务访问模型的结构框图。图2为本专利技术的基于机器学习的业务访问模型的实现方法的流程图。【具体实施方式】本专利技术提供一种。为使本专利技术的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本专利技术进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。本专利技术的思路是:首先，定位需要监督的业务系统(目标系统)，调取数据库本身存在的资源；然后，访问目标系统，完成建模。具体来说，终端资助发起针对目标系统的网络访问，发起IP访问目标系统的端口 ；然后，管理员针对此端口设置访问状态(允许或拒绝)，此为人为制定的规则。请参阅图1，其为本专利技术的基于机器学习的业务访问模型的结构框图。如图所示，包括:抓包单元100，用于对数据进行网络抓包，获取相应的流量包；提取单元200，用于根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议；匹配单元300，用于将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。具体来说，抓包单元100用于对数据进行网络抓包，获取相应的流量包。因为是基于流量进行分析，因此必须要抓包，抓取分析源，至于如何抓包其是通过现有技术:所述抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。在本实施例中，所有的访问包或流量包，格式为 PCAP0所述提取单元200，用于根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议。所述提取方法为现有技术，这里就不多做赘述了。所述匹配单元300用于将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。具体来说，发起IP、目标IP、发起端口与存在业务访问模型里的某条规则匹配，如存在，则判定允许操作或可正常访问，如拒绝，则产生对应的告警信息，判定为异常访问。其最终结果为:发起IP允许还是拒绝访问目标ip的目标端口。所述基于机器学习的业务访问模型能针对企业内部的实际流量情况进行机器学习，通过一定时间的自我学习，可得到符合企业内部实际的业务访问规律，安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调，即可得出业务访问模型，从而提高企业内部的异常访问的精准度。进一步地，所述的基于机器学习的业务访问模型还包括:建模单元，用于定位需要监督的目标系统，调取数据库本身存在的资源；发起针对目标系统的网络访问，发起IP访问目标系统的端口，针对所述端口设置访问状态，建立业务访问模型。本专利技术还提供了一种基于机器学习的业务访问模型的实现方法，如图2所示，包括以下步骤:S100、对数据进行网络抓包，获取相应的流量包；S200、根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议；S300、将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。进一步地，所述的基于机器学习的业务访问模型的实现方法中，所述步骤SlOO之前还包括:S0、定位需要监督的目标系统，调取数据库本身存在的资源；发起针对目标系统的网络访问，发起IP访问目标系统的端口，针对所述端口设置访问状态，建立业务访问模型。综上所述，本专利技术提供的，对企业内部的实际流量情况进行机器学习，通过一定时间的自我学习，可得到符合企业内部实际的业务访问规律，安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调，即可得出业务访问模型，从而提高企业内部的异常访问的精准度。可以理解的是，对本领域普通技术人员来说，可以根据本专利技术的技术方案及本专利技术构思加以等同替换或改变，而所有这些改变或替换都应属于本专利技术所附的权利要求的保护范围。【主权项】1.一种基于机器学习的业务访问模型，其特征在于，包括: 抓包单元，用于对数据进行网络抓包，获取相应的流量包； 提取单元，用于根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议； 匹配单元，用于将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。2.根据权利要求1所述的基于机器学习的业务访问模型，其特征在于，所述抓包单元中流量包的格式为PCAP。3.根据权利要求1所述的基于机器学习的业务访问模型，其特征在于，还包括: 建模单元，用于本文档来自技高网...

【技术保护点】
一种基于机器学习的业务访问模型，其特征在于，包括：抓包单元，用于对数据进行网络抓包，获取相应的流量包；提取单元，用于根据流量包里的通讯层信息来提取流量包里的五元组，所述五元组包括：发起IP、目标IP、发起端口、目标端口和协议；匹配单元，用于将所述五元组与业务访问模型的相关规则进行匹配，若存在，则判定允许操作或正常访问；否则产生对应的告警信息，判定为异常访问。

【技术特征摘要】

【专利技术属性】
技术研发人员：王甜，魏理豪，艾解清，
申请(专利权)人：广东电网有限责任公司信息中心，
类型：发明
国别省市：广东;44