一种异常检测方法及装置制造方法及图纸

本发明专利技术实施例提供了一种异常检测方法及装置。方案如下：可以获取各主机的端口扫描日志，确定端口扫描日志中的每一源IP地址，在登录行为维度下的历史特征数据，基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线，当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据第一源IP地址的行为特征基线，对当前特征数据进行异常检测。通过本发明专利技术实施例提供的方案，可以根据源IP地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源IP地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

【技术实现步骤摘要】
一种异常检测方法及装置
本专利技术涉及主机安全
，特别是涉及一种异常检测方法及装置。
技术介绍
随着互联网技术的发展，网络已成为重要的生产工具，广泛应用于企业政府和工厂等场合，伴随着网络的广泛应用，主机安全形势日益严峻。为提高主机的安全性，对主机进行安全监测，获取各设备对主机的各端口的扫描信息，将扫描信息与预设全局性阈值进行比较，一旦一设备的扫描信息超过预设全局性阈值，则该设备异常，向服务器进行告警。上述预设全局性阈值为专家人员根据自身经验进行设定的，存在一定的偏差，使得告警不够准确。
技术实现思路
本专利技术实施例的目的在于提供一种异常检测方法及装置，以提高告警的准确性。具体技术方案如下：本专利技术实施例提供了一种异常检测方法，应用于主机监控设备，包括：获取各主机的端口扫描日志；确定所述端口扫描日志中的每一源互联网协议IP地址，在登录行为维度下的历史特征数据；基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线；当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测。可选的，所述获取各主机的端口扫描日志的步骤，包括：获取预设时长内的各主机的端口扫描日志；所述确定所述端口扫描日志中的每一源IP地址，在登录行为维度下的历史特征数据的步骤，包括：按照预设时间窗口，从所述端口扫描日志中，提取的每一源IP地址在登录行为维度下的历史特征数据。可选的，所述基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线的步骤，包括：针对每一源IP地址在所述预设时长内的历史特征数据，确定该源IP地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。可选的，所述方法还包括：确定所述端口扫描日志中的每一源IP地址对应的目的IP地址；根据每一源IP地址对应的目的IP地址，生成每一源IP地址对应的常用目的IP地址列表，所述常用目的IP地址列表包括源IP地址对应的目的IP地址；所述当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测的步骤，包括：当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，以所述第一源IP地址对应的常用目的IP地址列表，对所述第一源IP地址在登录行为维度下的当前特征数据进行异常检测。可选的，所述根据所述第一源IP地址的行为特征基线，以及所述第一源IP地址对应的常用目的IP地址列表，对所述第一源IP地址在登录行为维度下的当前特征数据进行异常检测的步骤，包括：确定所述第一源IP地址在登录行为维度下的当前特征数据与所述第一源IP地址的行为特征基线之间的偏离程度；确定所述第一源IP地址的当前特征数据对应的目的IP地址是否在所述第一源IP地址对应的常用目的IP地址列表中，得到确定结果；根据所述第一源IP地址的偏离程度，以及所述第一源IP地址的确定结果，确定所述第一源IP地址的异常程度；根据所述第一源IP地址的异常程度，确定所述第一源IP地址是否异常。可选的，所述常用目的IP地址列表包括常用的登陆成功的第一目的IP地址列表，以及常用的登陆失败的第二目标IP地址列表；所述根据所述第一源IP地址的偏离程度，以及所述第一源IP地址的确定结果，确定所述第一源IP地址的异常程度的步骤，包括：根据所述第一源IP地址的确定结果，利用以下公式，确定所述第一源IP地址的异常程度Q：Q＝W1*P+α*W2*N1+β*W3*N2+γ*W4*N3其中，P为所述偏离程度，W1为所述P的第一权重值，N1为所述第一目的IP地址列表中目的IP地址的数量，W2为所述N1的第二权重值，N2为所述第二目的IP地址列表中目标IP地址的数量，W3为所述N2的第三权重值，N3为所述第一源IP地址的当前特征数据中包含的目的IP地址的数量，W4为所述N3的第四权重值，α、β、γ为预设系数，若所述第一源IP地址在所述第一目的IP地址列表中，则α为1，β和γ为0；若所述第一源IP地址在所述第二目的IP地址列表中，则β为1，α和γ为0；若所述第一源IP地址不在所述常用目的IP地址列表中，则γ为1，α和β为0。可选的，所述根据所述第一源IP地址的异常程度，确定所述第一源IP地址是否异常的步骤，包括：判断所述第一源IP地址的异常程度是否小于第一异常阈值；若是，则确定所述第一源IP地址为正常源IP地址；若否，则确定所述第一源IP地址为异常源IP地址。可选的，若确定所述第一源IP地址为所述正常源IP地址，所述方法还包括：判断所述第一源IP地址的异常程度是否小于第二异常阈值；若所述异常程度不小于所述第二异常阈值，则重新获取所述第一源IP地址在登录行为维度下的当前特征数据，并根据所述第一源IP地址的行为特征基线，对重新获取的当前特征数据进行异常检测。可选的，若确定所述第一源IP地址为所述异常源IP地址，所述方法还包括：向服务器输出告警。本专利技术实施例还提供了一种异常检测装置，应用于主机监控设备，包括：获取模块，用于获取各主机的端口扫描日志；第一确定模块，用于确定所述端口扫描日志中的每一源互联网协议IP地址，在登录行为维度下的历史特征数据；第二确定模块，用于基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线；检测模块，用于当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测。可选的，所述获取模块，具体用于获取预设时长内的各主机的端口扫描日志；所述第一确定模块，具体用于按照预设时间窗口，从所述端口扫描日志中，提取的每一源IP地址在登录行为维度下的历史特征数据。可选的，所述第二确定模块，具体用于针对每一源IP地址在所述预设时长内的历史特征数据，确定该源IP地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。可选的，所述装置还包括：第三确定模块，用于确定所述端口扫描日志中的每一源IP地址对应的目的IP地址；生成模块，用于根据每一源IP地址对应的目的IP地址，生成每一源IP地址对应的常用目的IP地址列表，所述常用目的IP地址列表包括源IP地址对应的目的IP地址；所述检测模块，具体用于当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，以所述第一源IP地址对应的常用目的IP地址列表，对所述第一源IP地址在登录行为维度下的当前特征数据进行异常检测。可选的，所述检测模块，包括：第一确定子模块，用于确定所述第一源IP地址在登录行为维度下的当前特征数据与所述第一源IP地址的行为特征基线之间的偏离程度；第二确定子模块，用于确定所述第一源IP地址的当前特征数据对应的目的IP地址是否在所述第一源IP地址对应的常用目的IP地址列表中，得到确定结果；第三确定子模块，用于根据所述第一源IP地址的偏离程度，以及所述第一源IP地址的确定结果，确定所述第一源IP地址的异常程度；第四确定子模块，用于根据所述第一源IP地址的异常程度，确定所述第一源IP地址是否异常。可选的，所述常用目的IP地址列表包括常用的登陆成功的第一目的IP地址列表，以及常用的登陆失败的第二目标IP地本文档来自技高网...

【技术保护点】
1.一种异常检测方法，其特征在于，应用于主机监控设备，包括：获取各主机的端口扫描日志；确定所述端口扫描日志中的每一源互联网协议IP地址，在登录行为维度下的历史特征数据；基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线；当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测。

【技术特征摘要】
1.一种异常检测方法，其特征在于，应用于主机监控设备，包括：获取各主机的端口扫描日志；确定所述端口扫描日志中的每一源互联网协议IP地址，在登录行为维度下的历史特征数据；基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线；当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测。2.根据权利要求1所述的方法，其特征在于，所述获取各主机的端口扫描日志的步骤，包括：获取预设时长内的各主机的端口扫描日志；所述确定所述端口扫描日志中的每一源IP地址，在登录行为维度下的历史特征数据的步骤，包括：按照预设时间窗口，从所述端口扫描日志中，提取的每一源IP地址在登录行为维度下的历史特征数据。3.根据权利要求2所述的方法，其特征在于，所述基于每一源IP地址的历史特征数据，确定每一源IP地址的行为特征基线的步骤，包括：针对每一源IP地址在所述预设时长内的历史特征数据，确定该源IP地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：确定所述端口扫描日志中的每一源IP地址对应的目的IP地址；根据每一源IP地址对应的目的IP地址，生成每一源IP地址对应的常用目的IP地址列表，所述常用目的IP地址列表包括源IP地址对应的目的IP地址；所述当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，对所述当前特征数据进行异常检测的步骤，包括：当获取到第一源IP地址在登录行为维度下的当前特征数据时，根据所述第一源IP地址的行为特征基线，以所述第一源IP地址对应的常用目的IP地址列表，对所述第一源IP地址在登录行为维度下的当前特征数据进行异常检测。5.根据权利要求4所述的方法，其特征在于，所述根据所述第一源IP地址的行为特征基线，以及所述第一源IP地址对应的常用目的IP地址列表，对所述第一源IP地址在登录行为维度下的当前特征数据进行异常检测的步骤，包括：确定所述第一源IP地址在登录行为维度下的当前特征数据与所述第一源IP地址的行为特征基线之间的偏离程度；确定所述第一源IP地址的当前特征数据对应的目的IP地址是否在所述第一源IP地址对应的常用目的IP地址列表中，得到确定结果；根据所述第一源IP地址的偏离程度，以及所述第一源IP地址的确定结果，确定所述第一源IP地址的异常程度；根据所述第一源IP地址的异常程度，确定所述第一源IP地址是否异常。6.根据权利要求5所述的方法，其特征在于，所述常用目的IP地址列表包括常用的登陆成功的第一目的IP地址列表，以及常用的登陆失败的第二目标IP地址列表；所述根据所述第一源IP地址的偏离程度，以及所述第一源IP地址的确定结果，确定所述第一源IP地址的异常程度的步骤，包括：根据所述第一源IP地址的确定结果，利用以下公式，确定所述第一源IP地址的异常程度Q：Q＝W1*P+α*W2*N1+β*W3*N2+γ*W4*N3其中，P为所述偏离程度，W1为所述P的第一权重值，N1为所述第一目的IP地址列表中目的IP地址的数量，W2为所述N1的第二权重值，N2为所述第二目的IP地址列表中目标IP地址的数量，W3为所述N2的第三权重值，N3为所述第一源IP地址的当前特征数据中包含的目的IP地址的数量，W4为所述N3的第四权重值，α、β、γ为预设系数，若所述第一源IP地址在所述第一目的IP地址列表中，则α为1，β和γ为0；若所述第一源IP地址在所述第二目的IP地址列表中，则β为1，α和γ为0；若所述第一源IP地址不在所述常用目的IP地址列表中，则γ为1，α和β为0。7.根据权利要求5所述的方法，其特征在于，所述根据所述第一源IP地址的异常程度，确定所述第一源IP地址是否异常的步骤，包括：判断所述第一源IP地址的异常程度是否小于第一异常阈值；若是，则确定所述第一源IP地址为正常源IP地址；若否，则确定所述第一源IP地址为异常源IP地址。8.根据权利要求7所述的方法，其特征在于，若确定所述第一源IP地址为所述正常源IP地址，所述方法还包括：判断所述第一源IP地址的异常程度是否小于第二异常阈值；若所述异常程度不小于所述第二异常阈值，则重新获取所述第一源IP地址在登录行为维度下的当前特征数据，并根据所述第一源IP地址的行为特征基线，对重新获取的当前特征数据进行异常检测。9.根据权利要求7所述的方法，其特征在于，若确定所述第一源IP地址为所述异常源IP地址，所述方法还...

【专利技术属性】
技术研发人员：王巍巍，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：北京,11