【技术实现步骤摘要】
一种基于多事件关联与机器学习的攻击行为检测方法
本专利技术涉及计算机
,特别涉及一种基于多事件关联与机器学习的攻击行为检测方法。
技术介绍
近几年,随着计算机网络技术的不断发展,防护网络在同一时间段内可能遭受多个攻击者的入侵,而网络被多个攻击者攻击要比被一个攻击者攻击更加危险,如防护网络中某个主机的root权限被多个攻击者获得比仅被一个攻击者获得的威胁程度更大。现有技术中,对网络入侵的检测通过对整个网络分别进行监控,通过设置不同的检测点进行检测,检测具有严重的时间滞后性及人工依赖性,同时对多个攻击者的入侵容易出现漏检测的发生,对抵御入侵带来了巨大的挑战,同时对多个攻击者产生的攻击缺乏聚合及关联,不能准确识别入侵者的真正意图,进而不能采取对应的阻断措施,造成了网络不安全。因此,需要将融合得到的安全事件聚类到不同的攻击场景中,并识别攻击者。
技术实现思路
本专利技术旨在至少一定程度上解决上述技术中的技术问题之一。为此,本专利技术的目的在于提出一种基于多事件关联与机器学习的攻击行为检测方法,提高检测的及时性及准确性,通过多事件关联与机器学习消除对人工的依赖性,避免在多个攻击者入侵时漏检测情况的发生,对多个攻击者产生的攻击进行聚合及关联,准确识别入侵者的真正意图,进而采取对应的阻断措施,提高了阻断的成功率,进而实现了网络安全。为达到上述目的,本专利技术实施例提出了一种基于多事件关联与机器学习的攻击行为检测方法,包括:获取分布式虚拟网络中的流量数据,将所述流量数据输入预先训练好的异常评 ...
【技术保护点】
1.一种基于多事件关联与机器学习的攻击行为检测方法,其特征在于,包括:/n获取分布式虚拟网络中的流量数据,将所述流量数据输入预先训练好的异常评分模型中,获取异常事件;/n根据所述异常事件判断是否存在非独立攻击事件;/n在确定存在非独立攻击事件时,将所述非独立攻击事件输入到关联模型中根据攻击关联度进行聚类,生成复杂攻击事件,得到复杂攻击事件所处攻击场景的报警信息集合;/n将每一个攻击场景的报警信息与预设的攻击模式库进行关联分析,获取预测攻击事件。/n
【技术特征摘要】
1.一种基于多事件关联与机器学习的攻击行为检测方法,其特征在于,包括:
获取分布式虚拟网络中的流量数据,将所述流量数据输入预先训练好的异常评分模型中,获取异常事件;
根据所述异常事件判断是否存在非独立攻击事件;
在确定存在非独立攻击事件时,将所述非独立攻击事件输入到关联模型中根据攻击关联度进行聚类,生成复杂攻击事件,得到复杂攻击事件所处攻击场景的报警信息集合;
将每一个攻击场景的报警信息与预设的攻击模式库进行关联分析,获取预测攻击事件。
2.如权利要求1所述的基于多事件关联与机器学习的攻击行为检测方法,其特征在于,在所述获取预测攻击事件后,还包括:
根据所述复杂攻击事件及所述预测攻击事件生成所述攻击场景中的攻击序列信息,所述攻击序列信息包括攻击链、攻击节点、攻击方式;
根据所述攻击序列信息获得多组数据;
将所述多组数据映射至多个映射空间内,每组数据对应一个映射空间;
在所述映射空间根据视窗参数生成视图,根据生成的各个视图拼接成攻击序列图并进行显示;
根据所述攻击序列图确定对各个攻击节点的阻断措施。
3.如权利要求1所述的基于多事件关联与机器学习的攻击行为检测方法,其特征在于,根据所述异常事件判断是否存在非独立攻击事件,包括:
获取历史流量数据,根据历史流量数据确定历史异常事件;
获取历史异常事件的特征向量,生成特征相似度矩阵;
根据特征相似度矩阵生成异常事件识别模型;
获取异常事件的特征向量,将所述特征向量输入异常事件识别模型中,得到异常事件类型,根据类型的一致性原则,得到关联的异常事件的集合;
获取集合中异常事件的数量及各异常事件间的聚合度并进行排序,判断所述数量是否大于预设数量且最大聚合度是否大于预设聚合度,在确定所述数量大于预设数量且所述最大聚合度大于预设聚合度时,确定存在非独立攻击事件。
4.如权利要求2所述的基于多事件关联与机器学习的攻击行为检测方法,其特征在于,所述根据所述攻击序列图确定对各个攻击节点的阻断措施,包括:
统计各个攻击节点受到的攻击次数;所述攻击次数为攻击节点的已经受到的攻击次数与预估的将在预设时间内受到的攻击次数之和;
根据攻击次数确定对所述各...
【专利技术属性】
技术研发人员:张春林,王庆丰,李利军,刘如君,尚雪松,
申请(专利权)人:北京微智信业科技有限公司,北京东方通科技股份有限公司,北京东方通软件有限公司,北京泰策科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。