【技术实现步骤摘要】
一种基于机器学习的攻击事件类型的识别方法和系统
[0001]本专利技术涉及网络
,具体涉及一种基于机器学习的攻击事件类型的识别方法和系统。
技术介绍
[0002]网络攻击也被称为赛博攻击,是指针对计算机信息系统、基础设施、计算机网络甚至个人计算机设备的任何类型的进攻动作。对于计算机网络而言,破坏、揭露、修改、使软件或服务失去功能以及在没有得到授权的情况下偷取或访问任何一台计算机的数据,都会被视为对计算机的网络攻击。
[0003]通常情况下,网络攻击主要包括:网际互连协议(Internet Protocol,IP)报文攻击和拒绝服务(Denial Of Service,DoS)攻击两种。其中,IP报文攻击是指通过向目标系统发送有缺陷的IP报文,利用该报文破坏目标系统的数据、窃取目标系统的信息以及瘫痪目标系统的功能,IP报文攻击的攻击方式主要包括:死亡之Ping(Ping of Death)、泪滴(Teardrop)和ExeBind等方式。另一种主要的网络攻击方式为DoS攻击。DoS攻击是指使用大量的数据包攻击目标...
【技术保护点】
【技术特征摘要】
1.一种基于机器学习的攻击事件类型的识别方法,其特征在于,包括:获取攻击事件日志文件和攻击事件类型对应的字符串信息;使用所述攻击事件类型对应的字符串信息对所述攻击事件日志文件中的多行日志数据进行相似度分析和相似度排序,得到攻击事件类型排序列表;从所述攻击事件类型排序列表中提取前预定项数的日志数据,使用所述前预定项数的日志数据组成同一组区域网络攻击事件;对所述同一组区域网络攻击事件包含的日志数据进行相似度分析,得到关键字符串信息;根据所述关键字符串信息训练文本分类模型,并使用训练好的文本分类模型对攻击事件的待测试日志数据进行识别,得到待测试日志数据对应的攻击事件类型。2.根据权利要求1所述的基于机器学习的攻击事件类型的识别方法,其特征在于,所述得到攻击事件类型排序列表的步骤,包括:从所述攻击事件日志文件的多行日志数据中提取字符串信息;对所述多行日志数据的字符串信息与所述攻击事件类型对应的字符串信息进行相似度匹配,得到所述多行日志数据与攻击事件类型对应的相似度;按照所述相似度的大小对所述多行日志数据进行相似度排序,得到所述多行日志数据所属的攻击事件类型排序列表。3.根据权利要求1所述的基于机器学习的攻击事件类型的识别方法,其特征在于,所述使用前预定项数的日志数据组成同一组区域网络攻击事件的步骤,包括:使用前预定项数的日志数据作为攻击事件类型对应的多组日志数据;提取每组日志数据在日志文件的位置信息以及其对应的时间戳信息,并将每组日志数据的位置信息和时间戳信息进行关联;对关联的日志数据进行能否组成同一组区域网络攻击事件的判断,若所述关联的日志数据的位置信息的位置间距小于或等于标准间距且时间戳信息的时间间隔小于或等于单次攻击时长,则将关联的日志数据组成同一组区域网络攻击事件。4.根据权利要求3所述的基于机器学习的攻击事件类型的识别方法,其特征在于,所述得到关键字符串信息的步骤,包括:将所述同一组区域网络攻击事件包含的日志数据作为重点排查区域日志数据;使用所述攻击事件类型对应的字符串信息对所述重点排查区域日志数据所属的多行日志数据进行相似度分析;提取相似度大于等于预设相似度阈值的字符串信息作为关键字符串信息。5.根据权利要求4所述的基于机器学习的攻击事件类型的识别方法,其特征在于,所述根据关键字符串信息训练文本分类模型的步骤,包括:对关键字符串信息进行分词操作得到分词后的关键字符串信息;对所述分词后的关键字符串信息进行关键词提取的操作,并使用TF
‑...
【专利技术属性】
技术研发人员:刘鹏飞,杨东,崔逸群,燕前,肖力炀,朱博迪,刘骁,刘迪,刘超飞,毕玉冰,王文庆,邓楠轶,
申请(专利权)人:西安热工研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。