【技术实现步骤摘要】
基于主机画像的异常主机检测方法、装置、介质和设备
[0001]本专利技术涉及计算机
,具体而言,涉及一种基于主机画像的异常主机检测方法、装置、介质和设备。
技术介绍
[0002]随着互联网技术的发展,网络异常现象已司空见惯,例如黑客攻击等不规则手段都会产生网络异常行为。
[0003]因此,对于出现网络异常时的网络异常主机的监控就变得十分必要,其中,网络异常主机是指具有非正常网络行为的主机。如突然出现对外扫描,开启异常服务端口,攻击其他主机行为的主机等。网络异常行为主机往往是受到攻击者入侵或者控制的主机,发现异常行为主机对于追踪网络攻击者,消除网络恶意行为都具有重要的意义。
[0004]现有发现异常主机的方式主要是基于异常流量的检测:即基于一组规则过滤检测异常流量,基于这些规则匹配的恶意流量可以反向追踪发现对应的异常行为主机;针对加密流量等难以提取特征的场景,则采用机器学习等方法训练获得检测模型进行异常流量的检测,这种方式依然是以对流量的标记回溯异常主机。
[0005]现有的检测方法存在如下技术问...
【技术保护点】
【技术特征摘要】
1.一种基于主机画像的异常主机检测方法,其特征在于,包括:在第一设定时间片段内,基于无监督学习方法采集多个待测主机IP的第一流量数据;提取所述流量数据中的流量特征值和主机关联特征值,其中,所述流量特征值包括数据上下行数量和上下行流数量;所述主机关联特征值包括:访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合和数字证书集合;基于图切分方法,将所述流量特征值的相似性和所述主机关联特征值的关联性进行待测主机IP聚类,形成多组待测主机;在所述第一设定时间片段内,将采集的每组所述待测主机的所述流量特征值和主机关联特征值进行向量化处理,形成特征向量;将所述特征向量进行合并,将合并后的所述特征向量进行归一化处理,分别形成所述每组待测主机的特征向量集;将每组所述待测主机对应的所述特征向量集通过其他组待测主机的特征向量集分别进行训练,构建相应的每组所述待测主机各自的检测模型;基于所述检测模型对待测主机行为异常进行检测。2.根据权利要求1所述的方法,其特征在于,所述提取所述流量数据中的流量特征值和主机关联特征值,包括:在所述第一设定时间片段内,采集多个待测主机IP的第一流量数据;对所述流量数据进行重组,提取所述流量数据中的流量特征值;基于所述提取所述流量数据中的流量特征值进行统计,提取所述主机关联特征值。3.根据权利要求1所述的方法,其特征在于,所述图切分方法,包括:基于所述流量数据,获得待测主机IP的所述主机关联特征值的关联关系,其中,关联关系包括:多个数据流的平均长度,多个数据流的IP分布,多个数据流的域名分布;基于所述主机关联特征值的关联关系,将客户端IP和服务端IP分别进行单独聚类;基于所述单独聚类结果,形成二分图。4.根据权利要求1所述的方法,其特征在于,所述将每组所述待测主机对应的所述特征向量集通过其他组待测主机的所述特征向量集分别进行训练包括:将所述每组待测主机的特征向量集设定为正样本集合;将作为训练集的其他组主机特征向量集设定为负样本集合;将所述正样本集合通过所述负样本集合进行有监督的训练,得到所述相应的主机IP行为正常的数据。5.根据权利要求1所述的方法,其特征在于,所述基于所述检测模型对待测主机行为异常进行检测,包括:在所述检测模型构建之后,在第二设定时间片段内采集任意一个所述待测主机的第二流量数据;利用所述检测模型对所述第二流量数据进行检测;当所述第二流量数据与所述检测模型中的所述主机IP数据的特征值存在大的行为差异性时,则报警为异常IP。6.根据权利要求1所述的方法,其特征在于,所述检测模型对待测主机行为异常进行检测之后,还包括:
将第二设定时间片段内采集的未报警的所述特征值,加入到对应主机组的特征向量集中;对所述检测模型利用所述加入到对应主机组的特征...
【专利技术属性】
技术研发人员:ꢀ七四专利代理机构,
申请(专利权)人:极客信安北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。