The invention discloses a method of log flow anomaly detection, the method includes a detection model of detected log stream anomaly detection, and judging whether the detected log stream is abnormal according to the detection result; among them, the detection model according to the training log stream according to the anomaly detection algorithm for initial training model; if the detected the presence of the abnormal log stream, judging the abnormal or known threat; if the anomaly is not a known threat, according to the abnormal examination information update received by the detection model; the method of anomaly recognition log stream and the new anomaly independently study can identify known threats, also can learn unknown events, to enhance the security of the network environment of the system; the invention also discloses a log stream anomaly detection, Have the above beneficial effect.
【技术实现步骤摘要】
一种日志流异常检测的方法及系统
本专利技术涉及网络安全领域,特别涉及一种日志流异常检测的方法及系统。
技术介绍
在科技迅猛发展的今天,保证网络的安全已经成为互联网技术发展的前提,若网络安全出现问题,会对某些企业造成难以想象的打击,因此网络安全成为各种互联网技术的重中之重。随着数据处理、分析能力的提升,以及机器学习等人工智能技术的成熟,解决网络安全问题的技术层出不穷,但是在技术层面上来,这些技术的原理基本相同。现有技术在网络安全领域中通过对各类日志流分析,进行异常发现、安全检测,进而保护网络安全,但是由于攻击方式、攻击手法具有多样性、不可预测性,签名、特征、规则等基于先验知识检测手法难以应对新的异常。因此,如何对日志流中的异常进行识别并对新的异常进行自主学习,是本领域技术人员目前需要解决的技术问题。
技术实现思路
本申请的目的是提供一种日志流异常检测的方法及系统,能够在验证数据完整性的过程中保证数据安全。为解决上述技术问题,本申请提供一种日志流异常检测的方法及系统,该方法包括:利用检测模型对待检日志流进行异常检测,并根据检测结果判断所述待检日志流是否存在异常;其中,所述检测模型为通过根据训练日志流按照异常检测算法训练初始模型得到;若所述待检日志流存在所述异常,则判断所述异常是否为已知威胁;若所述异常不是所述已知威胁,则根据接收的异常复检信息更新所述检测模型。可选的,所述检测模型为通过根据训练日志流按照异常检测算法训练初始模型得到包括:获取并初始化所述训练日志流,生成与应用相关的静态统计数据;提取所述静态统计数据的特征,并将所述特征输入所述初始模型;根据所述特征与 ...
【技术保护点】
一种日志流异常检测的方法,其特征在于,所述方法包括:利用检测模型对待检日志流进行异常检测,并根据检测结果判断所述待检日志流是否存在异常;其中,所述检测模型为通过根据训练日志流按照异常检测算法训练初始模型得到;若所述待检日志流存在所述异常,则判断所述异常是否为已知威胁;若所述异常不是所述已知威胁,则根据接收的异常复检信息更新所述检测模型。
【技术特征摘要】
1.一种日志流异常检测的方法,其特征在于,所述方法包括:利用检测模型对待检日志流进行异常检测,并根据检测结果判断所述待检日志流是否存在异常;其中,所述检测模型为通过根据训练日志流按照异常检测算法训练初始模型得到;若所述待检日志流存在所述异常,则判断所述异常是否为已知威胁;若所述异常不是所述已知威胁,则根据接收的异常复检信息更新所述检测模型。2.根据权利要求1所述方法,其特征在于,所述检测模型为通过根据训练日志流按照异常检测算法训练初始模型得到包括:获取并初始化所述训练日志流,生成与应用相关的静态统计数据;提取所述静态统计数据的特征,并将所述特征输入所述初始模型;根据所述特征与所述异常检测算法对所述初始模型进行训练,生成所述检测模型;其中,所述检测模型中存有基于所述训练日志流构建的安全场景。3.根据权利要求2所述方法,其特征在于,所述利用检测模型对待检日志流进行异常检测,并根据检测结果判断所述待检日志流是否存在异常包括:获取所述待检日志流,并对所述待检日志流采样及切片,获得待检日志流片段;将所述待检日志流片段输入所述检测模型,并检测所述待检日志流片段是否存在所述异常。4.根据权利要求3所述方法,其特征在于,若所述待检日志流存在所述异常,则判断所述异常是否为已知威胁包括:若所述待检日志流存在所述异常,则根据所述安全场景判断所述异常是否为已知威胁。5.根据权利要求4所述方法,其特征在于,若所述异常不是所述已知威胁,则根据接收的异常复检信息更新所述检测模型包括:若所述异常不是所述已知威胁,则上报所述异常至云端;当收到所述云端返回的异常复检信息后,根据所述异常复检信息更新所述静态统计数据;根据更新后的所述静态统计数据更新所...
【专利技术属性】
技术研发人员:梁玉,陈瑞钦,王大伟,古亮,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。