【技术实现步骤摘要】
用于安全分析的数值行为安全基线生成方法及装置
[0001]本专利技术涉及视频
,尤其涉及一种用于安全分析的数值行为安全基线生成方法。
技术介绍
[0002]随着技术的发展和知识的扩散,网络攻击方法和数量也随之大幅增加,各种新攻击手段层出不穷,给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以应对已知攻击方法,但对未知和新的攻击方法的检测效率低,无法适应当前严峻的网络安全态势。近年来随着机器学习的发展和实时计算框架的兴起,基于行为的安全分析方法开始越来越多的应用于各类安全产品中。
[0003]相关技术中,基于行为的安全分析方法采用机器学习的方法,通过对网络数据和日志进行学习,统计和归纳出用户和实体的行为特点,通过学习出的行为安全基线,能很好的用于异常行为分析和检测,完成很多基于特征的方式无法达到的效果。但是,如何基于网络数据和日志生成行为安全基线是亟待解决的技术问题。
技术实现思路
[0004]针对现有技术...
【技术保护点】
【技术特征摘要】
1.一种用于安全分析的数值行为安全基线生成方法,其特征在于,包括:获取第一行为数据;获取数值行为安全基线的方法参数和数值相关参数;其中,所述方法参数用于指示所述第一行为数据对应的学习器;所述数值相关参数用于指示用户执行的数值行为信息;基于所述方法参数和所述数值相关参数对所述第一行为数据进行学习,生成所述数值行为安全基线。2.根据权利要求1所述的用于安全分析的数值行为安全基线生成方法,其特征在于,所述方法参数包括以下之一:最大值学习器对应的参数、最小值学习器对应的参数和平均值学习器对应的参数;所述数值相关参数包括以下至少一项:第一计算表达式,用于学习所述第一行为数据中的用户信息;第二计算表达式,用于学习所述第一行为数据中的数值行为信息。3.根据权利要求2所述的用于安全分析的数值行为安全基线生成方法,其特征在于,所述基于所述方法参数和所述数值相关参数对所述第一行为数据进行学习,生成所述数值行为安全基线,包括:依次使用所述数值相关参数中每个计算表达式,从所述第一行为数据中计算各计算表达式对应的学习值;其中,所述学习值为用户执行的数值行为信息对应的值;基于所述方法参数和各计算表达式对应的学习值生成所述数值行为安全基线。4.根据权利要求3所述的用于安全分析的数值行为安全基线生成方法,其特征在于,所述数值行为安全基线采用树形结构表示,所述树形结构包括多个树节点;所述依次使用所述数值相关参数中每个计算表达式,从所述第一行为数据中计算各计算表达式对应的学习值,包括:确定当前计算表达式是否为所述数值相关参数中最后一个计算表达式;在所述当前计算表达式不是所述数值相关参数中最后一个计算表达式的情况下,基于所述当前计算表达式,从所述第一行为数据中计算所述当前计算表达式对应的学习值;查询当前树节点是否包含所述学习值关联的子树节点;在所述当前树节点包含所述学习值关联的子树节点的情况下,将所述学习值关联的子树节点设置为当前树节点,将所述数值相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式,并返回至所述确定当前计算表达式是否为所述数值相关参数中最后一个计算表达式的步骤;在所述当前树节点没有包含所述学习值关联的子树节点的情况下,新建与所述学习值关联的子树节点,并在所述当前树节点的表中保存所述子树节点与所述学习值的关联关系,将所述子树节点设置为当前树节点,将所述数值相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式,并返回至所述确定当前计算表达式是否为所述数值相关参数中最后一个计算表达式的步骤。5.根据权利要求4所述的用于安全分析的数值行为安全基线生成方法,其特征在于,还包括:在所述当前计算表达...
【专利技术属性】
技术研发人员:覃永靖,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。