本申请公开了一种基于FM的IP首次访问检测方法、系统及设备,主要涉及访问检测技术领域,用以解决现有的检测首次访问方法误报率较高的技术问题。方法包括:根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次;获得训练好的预设FM算法;根据训练好的预设FM算法以及预设网格搜索算法,获得源IP与目的IP之间的参数列表;其中,列表中包括源IP与目的IP之间访问概率;获取源IP的实际访问目的IP,当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时,认定源IP存在首次访问行为。本申请通过上述方法降低了首次检测的误报率。低了首次检测的误报率。低了首次检测的误报率。
【技术实现步骤摘要】
一种基于FM的IP首次访问检测方法、系统及设备
[0001]本申请涉及访问检测
,尤其涉及一种基于FM的IP首次访问检测方法、系统及设备。
技术介绍
[0002]基于流量数据检测失陷主机或威胁用户是用户行为分析的重要组成部分,其中主机IP的首次访问,就是一个比较典型的潜在威胁。主机IP突然访问了之前从未访问过或与其个人工作完全无关的服务器,通常意味着该主机可能失陷或者该主机用户可能存在信息收集泄密的风险。
[0003]现阶段,检测首次访问的方法主要为:采用黑白名单和设置阈值规则的方式,但由于首次访问涉及影响因素过多,固定规则或阈值很容易导致误报。
[0004]因此,如何在入侵者或泄密者还未进行信息收集之前及时捕获异常、减少泄密风险和损失、降低误报率,已经成为一个亟需解决的问题。
技术实现思路
[0005]针对现有技术的上述不足,本专利技术提供一种基于FM的IP首次访问检测方法、系统及设备,以解决上述技术问题。
[0006]第一方面,本申请实施例提供了一种基于FM的IP首次访问检测方法,方法包括:根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次;将数据预处理后的源IP、目的IP以及访问频次带入预设FM算法公式进行训练,以获得训练好的预设FM算法;根据训练好的预设FM算法以及预设网格搜索算法,获得源IP与目的IP之间的参数列表;其中,列表中包括源IP与目的IP之间访问概率;获取源IP的实际访问目的IP,当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时,认定源IP存在首次访问行为。
[0007]在本申请的一种实现方式中,根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次,具体包括:获取历史流量访问日志中的源IP与目的IP;在预设的固定检测时间窗口内,统计源IP访问目的IP的访问频次。
[0008]在本申请的一种实现方式中,在将数据预处理后的源IP、目的IP以及访问频次带入预设FM算法公式进行训练之前,方法还包括:基于预设IP
‑
Int数据库,将源IP以及目的IP的格式类型转换为Int类型;通过预设离散化转换算法,获取离散化处理后的访问频次。
[0009]在本申请的一种实现方式中,预设FM算法公式具体如下: ;
ꢀꢀ
;其中,x为源IP,f为访问频次,ω为目的IP,y为访问概率,<,>为交叉项,为预设第一隐藏向量,为预设第二隐藏向量,n为目的IP的数量。
[0010]在本申请的一种实现方式中,将数据预处理后的源IP、目的IP以及访问频次带入预设FM算法公式进行训练,以获得训练好的预设FM算法,具体包括:将数据预处理后的源IP、目的IP以及访问频次带入预设FM算法公式进行训练,以通过预设FM算法公式获取若干交叉项;将若干交叉项导入获取随机样本算法中,以获得合格交叉项;确定合格交叉项为预设FM算法公式的最终交叉项,以获得训练好的预设FM算法。
[0011]在本申请的一种实现方式中,根据训练好的预设FM算法以及预设网格搜索算法,获得源IP与目的IP之间的参数列表,具体包括:通过训练好的预设FM算法,获得源IP与目的IP之间的访问概率;通过预设网格搜索算法,将源IP、目的IP以及访问概率之间的关系列表化,以获得参数列表。
[0012]第二方面,本申请实施例提供了一种基于FM的IP首次访问检测系统,其特征在于,系统包括:确定模块,用于根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次;获得模块,用于将数据预处理后的源IP、目的IP以及访问频次带入预设FM算法公式进行训练,以获得训练好的预设FM算法;还用于根据训练好的预设FM算法以及预设网格搜索算法,获得源IP与目的IP之间的参数列表;其中,列表中包括源IP与目的IP之间访问概率;认定模块,用于获取源IP的实际访问目的IP,当实际访问目的IP在参数列表中对应的首次访问概率小于预设访问概率时,认定源IP存在首次访问行为。
[0013]第三方面,本申请实施例提供了一种基于FM的IP首次访问检测设备,该设备包括处理器、存储器和存储在存储器上的执行指令,执行指令设置成在被处理器执行时能够使设备执行上述的基于FM的IP首次访问检测方法。
[0014]本领域技术人员能够理解的是,本专利技术至少具有如下有益效果:本专利技术流程简洁、实现简单、运行速度快,可以实时计算源IP与若干目的IP的首次访问概率,实时与实际的访问行为对应的目的IP进行比对,及时发现异常。本专利技术只需设定预设访问概率,无需其他设置,有效降低了现有的检测首次访问的方法容易误报的问题。本专利技术能够及时发现异常,在入侵者或泄密者还未进行信息收集之前及时捕获异常,可以最大程度减少泄密风险和损失。
附图说明
[0015]下面参照附图来描述本公开的部分实施例,附图中:图1是本申请实施例提供的一种基于FM的IP首次访问检测方法流程图。
[0016]图2是本申请实施例提供的一种基于FM的IP首次访问检测系统内部结构示意图。
[0017]图3是本申请实施例提供的一种基于FM的IP首次访问检测设备内部结构示意图。
具体实施方式
[0018]本领域技术人员应当理解的是,下文所描述的实施例仅仅是本公开的优选实施例,并不表示本公开仅能通过该优选实施例实现,该优选实施例仅仅是用于解释本公开的技术原理,并非用于限制本公开的保护范围。基于本公开提供的优选实施例,本领域普通技术人员在没有付出创造性劳动的情况下所获得的其它所有实施例,仍应落入到本公开的保护范围之内。
[0019]还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的
包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0020]另外,在本申请实施例中提出的一种基于FM的IP首次访问检测方法,其执行主体是服务器。
[0021]下面通过附图对本申请实施例提出的技术方案进行详细的说明。
[0022]图1为本申请实施例提供的一种基于FM的IP首次访问检测方法。如图1所示,本申请实施例提供的适配方法,主要包括以下步骤:步骤110、根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次。
[0023]需要说明的是,历史流量访问日志中包含源IP以及目的IP。作为示例地,历史流量访问日志中包含五元组数据。其中,五元组数据包括源IP、源端口、目的IP、目的端口、协议。
[0024]作为示例地,获取历史流量访问日志中的源IP与目的IP;在预设的固定检测时间窗口内,统计源IP访问目的IP的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于FM的IP首次访问检测方法,其特征在于,所述方法包括:根据若干历史流量访问日志中的源IP、目的IP,确定所述源IP与所述目的IP之间的访问频次;将数据预处理后的源IP、目的IP以及所述访问频次带入预设FM算法公式进行训练,以获得训练好的预设FM算法;根据训练好的预设FM算法以及预设网格搜索算法,获得源IP与目的IP之间的参数列表;其中,所述列表中包括源IP与目的IP之间访问概率;获取源IP的实际访问目的IP,当所述实际访问目的IP在所述参数列表中对应的所述首次访问概率小于预设访问概率时,认定源IP存在首次访问行为。2.根据权利要求1所述的基于FM的IP首次访问检测方法,其特征在于,根据若干历史流量访问日志中的源IP、目的IP,确定源IP与目的IP之间的访问频次,具体包括:获取所述历史流量访问日志中的源IP与目的IP;在预设的固定检测时间窗口内,统计所述源IP访问所述目的IP的访问频次。3.根据权利要求1所述的基于FM的IP首次访问检测方法,其特征在于,在将数据预处理后的所述源IP、所述目的IP以及所述访问频次带入预设FM算法公式进行训练之前,所述方法还包括:基于预设IP
‑
Int数据库,将源IP以及目的IP的格式类型转换为Int类型;通过预设离散化转换算法,获取离散化处理后的访问频次。4.根据权利要求1所述的基于FM的IP首次访问检测方法,其特征在于,所述预设FM算法公式具体如下:;;其中,x为源IP,f为访问频次,ω为目的IP,y为访问概率,<,>为交叉项,为预设第一隐藏向量,为预设第二隐藏向量,n为目的IP的数量。5.根据权利要求1所述的基于FM的IP首次访问检测方法,其特征在于,将数据预处理后的所述源IP、所述目的...
【专利技术属性】
技术研发人员:苗功勋,刘洋洋,娄爱涛,路冰,邹斯达,
申请(专利权)人:中孚信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。