本发明专利技术公开一种资产异常访问的检测方法,通过回归算法分别建立正常的被访问模型与访问模型,并根据模型输出正常的访问特征,将待检测的访问数据与所述访问特征进行偏离度计算,以确定资产访问是否异常;并且进一步的,建立访问流量预测模型,通过计算流量实际值与流量预测值的差距,判断资产访问是否异常。本发明专利技术通过被访问与访问进行双向检测,能够提高资产异常访问检测的准确性和全面性,有利于保障资产安全。
【技术实现步骤摘要】
一种资产异常访问的检测方法
本专利技术属于网络安全
,尤其是涉及一种对访问数据进行机器学习,以检测资产异常访问的方法。
技术介绍
随着计算机与网络技术的迅猛发展,企业的各种设备越来越多,包括但不限于计算机、交换机、路由器、安全设备和移动设备等,计算机或服务器等设备通过网络与互联网设备或内网设备进行信息的相互交换,成为企业资产中的重要信息资产,大量的资产存在给管理工作带来了许多困难,例如产生的大量无主资产、僵尸资产,特别是内网中的各资产之间的横向互相访问,缺乏有效的审计,为企业和组织安全带来了极大的隐患。在此背景下,通过统计,总结网络内各重要资产的访问数据特征,实现对各级资产运行管理情况实施透明高效的监督管理和准确全面的客观评价,及时发现资产的异常访问威胁,保障资产信息安全,显得十分必要。
技术实现思路
鉴于以上,本专利技术旨在提出一种资产异常访问的检测方法,对资产被访问数据与访问数据进行机器学习,建立正常访问模型,用于检测资产访问是否异常,具体
技术实现思路
如下所示。资产异常访问的检测方法,包括:根据资产IP,从日志数据库获取该资产的被访问数据与访问数据,提取数据进行机器学习,建立资产的正常被访问模型与正常访问模型;检测资产的当前数据,若被访问数据或访问数据与所述正常模型的偏离度超过特定的阈值,判断当前资产存在异常访问,执行预设的告警策略。所述提取数据进行机器学习之前还包括数据清洗,包括过滤同属性字段与重复字段的数据,得到用于机器学习的必要字段数据;所述必要字段数据包括源/目的IP、源/目的端口、源/目的应用、协议、发/收包数、发送/接收字节数、开始/结束时间。作为优选的,所述建立资产的正常被访问模型,包括选定协议、发包数、发送字节数、收包数、接收字节数、源IP、源端口、源应用与目的应用作为数据集,以访问时间段与访问时长作为目标集,通过岭回归或lasso回归模型进行机器学习,建立正常被访问模型。所述建立资产的正常访问模型,包括选定协议、发包数、发送字节数、收包数、接收字节数、目的IP、目的端口、源应用与目的应用作为数据集,以访问时间段与访问时长作为目标集,通过岭回归或lasso回归模型进行机器学习,建立正常访问模型。进一步的,所述正常被访问模型与正常访问模型,均包括时间特征、目标特征与内容特征;所述时间特征包括基于时间序列的被访问与访问的:流量趋势、次数趋势与时间段;所述目标特征包括访问源IP或IP段与访问目标IP或IP段;所述内容特征包括被访问的源应用与访问的目的应用。检测方法的具体步骤:获取资产的待检测被访问数据与访问数据,提取被访问与访问的流量、次数与时间段,判断与所述时间特征的偏离度;提取被访问的源IP与访问的目的IP,判断与所述目标特征的偏离度;提取被访问的应用与访问的目的应用,判断与所述内容特征的偏离度;若至少有一个偏离度超过规定的阈值,则当前资产存在异常访问。作为另一优选的,以:资产被访问与访问的时间段、时长,被访问的源IP、源应用、协议、目的应用、目的端口,访问的源应用、协议、目的IP、目的端口、目的应用为数据集;以发/收包数、发送/接收字节数为目标集,通过岭回归或lasso回归模型进行机器学习,建立资产的流量预测模型。该检测方法包括:根据所述资产的流量预测模型得到资产在特定时长内的被访问与访问的流量预测值;获取资产在所述特定时长内的被访问与访问的流量实际值;计算所述流量实际值与流量预测值的差距,若差距超过特定的阈值,则执行预设的告警策略。实际流量值与预测流量值的差距,优选为欧几里得距离。采用以上技术方案的本专利技术,具有以下有益效果:根据资产IP,从访问日志数据中选择被访问相关的字段数据与访问相关的字段数据,通过回归算法分别建立正常的被访问模型与访问模型,并根据模型输出正常的访问特征,将待检测的访问数据与所述访问特征进行偏离度计算,以确定资产访问是否异常;并且进一步的,建立访问流量预测模型,通过计算流量实际值与流量预测值的差距,判断资产访问是否异常。本专利技术通过被访问与访问进行双向检测,能够提高资产异常访问检测的准确性和全面性,有利于保障资产安全。附图说明图1为本专利技术的资产异常访问检测方法,实施例一流程图;图2为本专利技术的资产异常访问检测方法,实施例二流程图;图3为本专利技术的资产异常访问检测方法,实施例三流程图。具体实施方式下面结合附图与实施例对本专利技术的技术方案进行详细说明。首先,简述本专利技术相关技术背景与术语。以IDS、Firewall、VDS等单点防御为主的传统安全异构防御,实际将网络安全划分成了各个安全孤岛,互相之间缺乏相互关联协作。网络安全态势感知系统,在大规模网络环境中,通过采集、提取、融合分析能引起网络安全状态和趋势变化的网络环境要素(如资产、网络流量、运行状态、设备告警、脆弱性、安全事件和威胁情报等数据),利用数据挖掘等分析技术,对网络安全状况进行分析,对网络安全趋势进行预测,从而协助应急处置和安全决策。态势感知系统的重点在于将网络系统视为整体,融合了传统网络安全理论中的各类攻击检测、定位及跟踪等等的方法,对网络进行全面集中的安全管理和智能综合的分析,将不同领域的安全部件融合为一个无缝的安全体系,从而形成一个宏观的网络安全管理体系,分析其安全状况及把握未来趋势,使用户能够从总体上直观的感知网络状况,为准确的操作提供可靠依据,从而将网路安全问题带来的风险和损失降低。网络态势,各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络流量,连接网络的设备(包括各种网络设备、安全设备、服务器等)在网络上所产生的数据包的集合。上述的态势感知系统,一个重要的方面就是随资产的访问超限问题进行告警,包括特定的资产被其他资产访问和访问其他资产两个方面。常见的资产异常访问如:访问流量超限,对于网络协议进行超过其本身正常访问流量的异常访问行为,比如DNS异常流量、隐匿通道、DGA域名通讯等;访问频次超限,对于网络资源进行超过其正常访问频度的过度访问行为,比如内网主机间的横向攻击行为、主机的挖矿行为、账号暴力破解、网站爬虫扫描攻击等。针对这些潜在威胁,本专利技术提出资产异常访问的检测方法,具体如以下实施例所述。整体的讲,资产异常访问的检测方法,包括:根据资产IP,从日志数据库获取该资产的被访问数据与访问数据(如下表一、表二),提取数据进行机器学习,建立资产的正常被访问模型与正常访问模型;检测资产的当前数据,若被访问数据或访问数据与所述正常模型的偏离度超过特定的阈值,则当前资产存在异常访问,执行预设的告警策略。表一表二所述的日志数据库可以是来自路由器、交换机等各类网关设备的日志数据,或者通过抓包软件或硬件拦截网络报文得到,在此不做限定。所述提取数据进行机器学习之前还包括数据清洗,包括:分析数据中无区别字段,进行过滤,过滤掉不相关字段ipv、atk_id、url_c本文档来自技高网...
【技术保护点】
1.一种资产异常访问的检测方法,其特征在于,包括:根据资产IP,从日志数据库获取该资产的被访问数据与访问数据,提取数据进行机器学习,建立资产的正常被访问模型与正常访问模型;检测资产的当前数据,若被访问数据或访问数据与所述正常模型的偏离度超过特定的阈值,则当前资产存在异常访问,执行预设的告警策略。/n
【技术特征摘要】
1.一种资产异常访问的检测方法,其特征在于,包括:根据资产IP,从日志数据库获取该资产的被访问数据与访问数据,提取数据进行机器学习,建立资产的正常被访问模型与正常访问模型;检测资产的当前数据,若被访问数据或访问数据与所述正常模型的偏离度超过特定的阈值,则当前资产存在异常访问,执行预设的告警策略。
2.根据权利要求1所述的检测方法,其特征在于,所述提取数据进行机器学习之前还包括数据清洗,包括过滤同属性字段与重复字段的数据,得到用于机器学习的必要字段数据;所述必要字段数据包括源/目的IP、源/目的端口、源/目的应用、协议、发/收包数、发送/接收字节数、开始/结束时间。
3.根据权利要求2所述的检测方法,其特征在于,所述建立资产的正常被访问模型,包括选定协议、发包数、发送字节数、收包数、接收字节数、源IP、源端口、源应用与目的应用作为数据集,以访问时间段与访问时长作为目标集,通过岭回归或lasso回归模型进行机器学习,建立所述正常被访问模型。
4.根据权利要求2所述的检测方法,其特征在于,所述建立资产的正常访问模型,包括选定协议、发包数、发送字节数、收包数、接收字节数、目的IP、目的端口、源应用与目的应用作为数据集,以访问时间段与访问时长作为目标集,通过岭回归或lasso回归模型进行机器学习,建立所述正常访问模型。
5.根据权利要求3或4所述的检测方法,其特征在于,所述正常被访问模型与正常访问模型,均包括时间特征、目标特征与内容特征...
【专利技术属性】
技术研发人员:赵彦林,李福宜,王平,陈宏伟,何建锋,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。