本发明专利技术提供一种行为安全基线融合学习方法、装置、电子设备及存储介质,方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。本发明专利技术提供的方法,能够实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。降低误报率。降低误报率。
【技术实现步骤摘要】
行为安全基线融合学习方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种行为安全基线融合学习方法方法、装置、电子设备及存储介质。
技术介绍
[0002]随着技术的发展和知识的扩散,网络攻击方法和数量也随之大幅增加,各种新攻击手段层出不穷,给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以应对已知攻击方法,但是对未知和新的攻击方法的检测效率较低,无法适应当前严峻的网络安全态势。近年来随着机器学习的发展和实时计算框架的兴起,基于行为的安全分析方法开始越来越多的应用于各类安全产品中。
[0003]相关技术中,基于行为的安全分析方法采用机器学习的方法,通过对网络数据和日志进行学习,统计和归纳出用户和实体的行为特点,通过学习出的行为安全基线,能很好的用于异常行为分析和检测,完成很多基于特征的方式无法达到的效果。但是,行为安全基线学习的数据并不完整,影响行为安全基线学习的数据完整性,导致行为安全基线的准确性低,误报率高。
技术实现思路
[0004]针对相关技术存在的行为安全基线的准确性低,误报率高等问题,本专利技术提供一种行为安全基线融合学习方法、装置、电子设备及存储介质。
[0005]本专利技术提供一种行为安全基线融合学习方法,方法包括:
[0006]获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
[0007]根据所述行为安全基线规则,确定行为安全基线学习方法;
[0008]根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
[0009]根据本专利技术提供的一种行为安全基线融合学习方法,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。
[0010]根据本专利技术提供的一种行为安全基线融合学习方法,所述行为安全基线学习方法包括以下至少一项:
[0011]历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;
[0012]实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围;
[0013]混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第
二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间。
[0014]根据本专利技术提供的一种行为安全基线融合学习方法,所述根据所述行为安全基线规则,确定行为安全基线学习方法,包括:
[0015]根据所述时间窗口,计算所述行为安全基线的开始学习时间和所述行为安全基线的结束学习时间;
[0016]根据所述历史行为数据存储地址探测历史行为数据的时间范围;
[0017]判断所述行为安全基线的结束学习时间是否早于所述历史行为数据的终止时间;
[0018]在所述行为安全基线的结束学习时间早于所述历史行为数据的终止时间的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法;
[0019]在所述行为安全基线的结束学习时间晚于所述历史行为数据的终止时间的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围;判断所述行为安全基线的开始学习时间是否晚于所述实时行为数据的开始时间;在所述行为安全基线的开始学习时间晚于所述实时行为数据的开始时间的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法;
[0020]在所述行为安全基线的开始学习时间早于所述实时行为数据的开始时间的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学习方法。
[0021]根据本专利技术提供的一种行为安全基线融合学习方法,在所述行为安全基线学习方法是所述历史行为数据学习方法的情况下,根据所述历史行为数据学习方法到对应的所述历史行为数据存储地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
[0022]在所述行为安全基线学习方法是所述实时行为数据学习方法的情况下,根据实时行为数据学习方法到对应的所述实时行为数据队列地址中读取所述第一时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线;
[0023]在所述行为安全基线学习方法是所述混合行为数据学习方法的情况下,分阶段执行所述混合行为数据学习方法,得到行为安全基线。
[0024]根据本专利技术提供的一种行为安全基线融合学习方法,所述分阶段执行所述混合行为数据学习方法,得到行为安全基线,包括:
[0025]执行所述历史行为数据学习方法,到对应的所述历史行为数据存储地址中读取所述第二时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习;
[0026]执行所述实时行为数据学习方法,到对应的所述实时行为数据队列地址中读取所述第三时间范围的行为数据,按照行为安全规则配置进行行为安全基线学习,得到行为安全基线。
[0027]本专利技术还提供一种行为安全基线融合学习装置,所述装置包括:
[0028]获取模块,用于获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;
[0029]确定模块,用于根据所述行为安全基线规则,确定行为安全基线学习方法;
[0030]生成模块,用于根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。
[0031]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理
器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述行为安全基线融合学习方法的步骤。
[0032]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述行为安全基线融合学习方法的步骤。
[0033]本专利技术还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述行为安全基线融合学习方法的步骤。
[0034]本专利技术提供的行为安全基线融合学习方法,通过获取行为安全基线规则,根据行为安全基线规则确定行为安全基线学习方法;再根据根据行为安全基线学习方法及行为安全基线规则,对规则参数对应的行为数据进行学习,得到行为安全基线,实现行为安全基线学习的数据完整性,提升行为安全基线的准确性,降低误报率。
附图说明
[0035]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种行为安全基线融合学习方法,其特征在于,所述方法包括:获取行为安全基线规则;其中,所述行为安全基线规则包括规则参数;根据所述行为安全基线规则,确定行为安全基线学习方法;根据所述行为安全基线学习方法及所述行为安全基线规则,对所述规则参数对应的行为数据进行学习,生成所述行为安全基线。2.根据权利要求1所述的行为安全基线融合学习方法,其特征在于,所述规则参数包括以下至少一项:时间窗口、历史行为数据存储地址及实时行为数据队列地址。3.根据权利要求2所述的行为安全基线融合学习方法,其特征在于,所述行为安全基线学习方法包括以下至少一项:历史行为数据学习方法;其中,所述历史行为数据学习方法的参数包括:所述历史行为数据存储地址及第一时间范围;所述第一时间范围包括t1至t2;t1为行为安全基线的开始学习时间,t2为行为安全基线的结束学习时间;实时行为数据学习方法;其中,所述实时行为数据学习方法的参数包括:所述实时行为数据队列地址及第一时间范围;混合行为数据学习方法;其中,所述混合行为数据学习方法的参数包括:所述历史行为数据存储地址及第二时间范围;所述实时行为数据队列地址及第三时间范围;所述第二时间范围包括t1至t3;所述第三时间范围包括t3至t2;t3为实时行为数据的开始时间。4.根据权利要求3所述的行为安全基线融合学习方法,其特征在于,所述根据所述行为安全基线规则,确定行为安全基线学习方法,包括:根据所述时间窗口,计算所述行为安全基线的开始学习时间和所述行为安全基线的结束学习时间;根据所述历史行为数据存储地址探测历史行为数据的时间范围;判断所述行为安全基线的结束学习时间是否早于所述历史行为数据的终止时间;在所述行为安全基线的结束学习时间早于所述历史行为数据的终止时间的情况下,将所述历史行为数据学习方法,确定为所述行为安全基线学习方法;在所述行为安全基线的结束学习时间晚于所述历史行为数据的终止时间的情况下,根据所述实时行为数据队列地址探测实时行为数据时间范围;判断所述行为安全基线的开始学习时间是否晚于所述实时行为数据的开始时间;在所述行为安全基线的开始学习时间晚于所述实时行为数据的开始时间的情况下,将所述实时行为数据学习方法,确定为所述行为安全基线学习方法;在所述行为安全基线的开始学习时间早于所述实时行为数据的开始时间的情况下,将所述混合行为数据学习方法,确定为所述行为安全基线学...
【专利技术属性】
技术研发人员:覃永靖,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。