【技术实现步骤摘要】
一种基于机器学习的异常行为分析方法和装置
[0001]本专利技术涉及网络安全领域,具体涉及一种基于机器学习的异常行为分析方法和装置。
技术介绍
[0002]在工业生产中,工业互联网逐渐从概念提出快速发展到在工厂等重要生产场所中落地应用,很多工业设备也逐步更新并接入互联网。面对急剧增加的网络通信量,工业生产所面临的外部安全威胁也日益增多,因此,为了防止攻击者通过网络对工业系统发起攻击,Web应用防火墙(WAF)、基于机器学习的流量检测方法等工具得到了大规模应用。
[0003]然而,基于规则的传统WAF和有监督的机器学习检测方法只能检测到已知的网络攻击请求,而对新型的未知攻击请求束手无策。此外,基于无监督学习训练得到的机器学习方法虽然能够检测到部分未知攻击,但仍存在准确率欠佳、误报率较高的问题。同时,在工业硬件资源受限的情况下,深度神经网络等资源消耗大的机器学习模型存在处理效率较低的问题,导致在大流量情况下输出检测结果存在延迟。
技术实现思路
[0004]本专利技术所要解决的技术问题是:提出一种基于机器学...
【技术保护点】
【技术特征摘要】
1.一种基于机器学习的异常行为分析方法,其特征在于,包括以下步骤:S1、获取期望到达工业服务器HTTP请求;S2、判断该HTTP请求是否在白名单中,若是,则执行步骤S4,否则执行步骤S3;S3、基于预先训练的异常流量检测模型判断该HTTP请求是否为异常请求,若是,执行步骤S5,否则,执行步骤S4;所述异常流量检测模型包括联合部署的有监督学习模型和无监督学习模型;S4、放行该HTTP请求,结束流程;S5、阻止该HTTP请求并存档,供后续人工对该请求进行审核,若审核通过,则将该请求加入白名单中。2.如权利要求1所述的一种基于机器学习的异常行为分析方法,其特征在于,所述异常流量检测模型中的有监督学习模型和无监督学习模型采用并联方式进行联合部署,或者将监督学习模型和无监督学习模型采用串联方式进行联合部署。3.如权利要求2所述的一种基于机器学习的异常行为分析方法,其特征在于,当异常流量检测模型采用有监督学习模型和无监督学习模型以并联方式联合部署时,判断该HTTP请求是否为异常请求的方法包括:有监督学习模型和无监督学习模型分别对该HTTP请求进行判断,然后对两个模型的判断结果分别采用预设的不同权重值进行融合,最后根据融合结果判断该HTTP请求是否为异常请求。4.如权利要求2所述的一种基于机器学习的异常行为分析方法,其特征在于,当异常流量检测模型采用有监督学习模型和无监督学习模型以串联方式联合部署时,判断该HTTP请求是否为异常请求的方法包括:该HTTP请求先经过有监督学习模型进行判断,再经过无监督学习模型进行判断,仅当两个模型判断均为正常请求时,则该HTTP请求被判定为正常请求,否则,该HTTP请求被判定为异常请求。5.如权利要求1所述的一种基于机器学习的异常行为分析方法,其特征在于,所述有监督学习模型的训练方式包括:收集带有标签的已知攻击请求样本和带有标签的正常请求样本组成训练数据集,提取训练数据集中的每个请求中的特征并利用有监督学习的方式训练机器学习模型。6.如权利要求1所述的一种基于机器学习的异常行为分析方法,其特征在于,所述无监督学习模型的训练方式包括:收集有监督学习模型筛选通过的样本,构建训练样本集;对训练样本集中的HTTP请求进行预处理,并转换为词向量序列;在模型训练过程中,通过计算一条请求中的每个词向量和其它词向量的相似性得到归一化后的...
【专利技术属性】
技术研发人员:胡章一,范佳,冯其,唐博,
申请(专利权)人:四川启睿克科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。