【技术实现步骤摘要】
网络行为异常检测方法及装置
[0001]本公开涉及网络安全领域,尤其涉及网络行为异常检测
技术介绍
[0002]网络行为异常检查(NBAD,network behavior anomaly detection)能连续监测专有网络的不寻常事件或趋势。网络行为异常检查是网络行为分析(NBA)的主要部分,除了传统反威胁应用程序(如防火墙、防病毒软件和间谍软件检测软件)提供的安全之外,网络行为分析也提供安全保护。
[0003]网络行为异常检查(NBAD)程序实时跟踪关键网络特性,如果检测到一个不寻常事件或趋势,就生成显示威胁存在的警报。网络特性的例子有流量、带宽使用和协议使用。网络行为异常检查程序还可以监视个人网络用户的行为。为了使网络行为异常检查达到最佳效果,就必须在一段时间内建立正常网络或用户行为的基准。一旦某些参数被定义为是正常的,那么违背一个或多个参数就会被标记为异常。除了使用传统的防火墙和恶意软件检测软件外,也应使用网络行为异常检查(NBAD)。一些厂商已开始认识到这一事实,并且将网络行为分析或网络行为异...
【技术保护点】
【技术特征摘要】
1.一种网络行为异常检测模型的训练方法,其特征在于,包括:采集网络日志数据生成用户行为信息表;对所述用户行为信息表进行预处理,生成用户行为子序列;根据所述用户行为子序列生成训练集,对预设模型进行训练。2.根据权利要求1所述的方法,其特征在于,所述网络日志数据包括以下一种或多种:网页访问日志、登录日志、TCP LOG日志、邮件日志、安全日志;所述采集日志数据生成用户行为信息表包括分别采集各种日志数据生成对应的用户行为信息表。3.根据权利要求2所述的方法,其特征在于,所述对所述用户行为信息表进行预处理,生成用户行为子序列包括:对用户行为信息表进行预处理,将所述用户行为信息表转化成序列形式;使用时间滑动窗口对序列形式的用户行为信息表进行采集,生成用户行为子序列。4.根据权利要求3所述的方法,其特征在于,所述根据所述用户行为子序列生成训练集,对预设模型进行训练包括:根据对应的下一用户行为属于正常行为的用户行为子序列作为样本,将对应的下一用户行为属于正常行为作为标注,生成训练集;利用所述训练集对预设的XGBoost模型进行训练。5.根据权利要求4所述的方法,其特征在于,所述根据所述用户行为子序列生成训练集还包括:基于所述用户行为子序列的相似性,缩小训练集的范围。6.一种网络行为异常检测方法,其特征在...
【专利技术属性】
技术研发人员:孔维玉,孙燕杰,袁开国,付海涛,司大鹏,石明磊,陆毅远,
申请(专利权)人:上海速丰通联科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。