【技术实现步骤摘要】
基于资产自身特征的网络异常资产发现方法及装置
[0001]本专利技术涉及信息
,是一种基于资产自身特征的网络异常资产发现方法及装置。
技术介绍
[0002]随着画像技术、基于机器学习的异常分析技术的不断进步以及互联网资产发现与管理在互联网行业的重要作用日益凸显,传统的网络资产管理多采用被动告警和人工巡检的方法进行异常发现,对网络资产特征属性的了解停滞于资产的备案信息以及资产类型的通用知识的了解,而网络资产是用户网络资产或是服务器网络资产,服务器网络资产又有哪些用途等信息隐藏在与资产备案、资产告警不同的数据来源中,资产自身属性与资产相关的流量数据之间存在着一定的关联,需要通过数据挖掘的方式进行分析。识别网络资产用户用户或是服务器,用于提供何种类型的服务,是否存在异常的资产,包括未知(未备案)的异常资产接入、安全问题引发资产异常、设备故障引发资产异常等各种异常进行特征分析,建立基于资产画像的资产异常发现模型,对完善网络资产管理有着不可或缺的重要作用。
[0003]本专利技术的应用需求意在可以通过对企业私有网络中网络...
【技术保护点】
【技术特征摘要】
1.一种基于资产自身特征的网络异常资产检测方法,其步骤包括:使用已知资产P的流数据构建入网资产备案库,并基于所述入网资产备案库,对网络流数据进行识别,得到未知资产流数据;对未知资产流数据的流数据特征F
u
进行分类,得到未知资产类型与未知资产应用类型;对已知资产的流数据特征F
p
进行离群点检测,得到异常的已知资产P
′
;依据未知资产、未知资产类型、未知资产应用类型、已知资产P
′
,获取异常资产检测结果。2.如权利要求1所述的方法,其特征在于,所述流数据特征F
u
包括:常用端口规则、流入流出未知资产的日志数比率、与备案资产的网络流量关系和在线时长;所述常用端口规则包括:传输控制协议与用户数据包协议使用的端口号;流入流程流量比包括:未知资产流数据的日志中不同时间段内流入流出未知资产的日志数比率;所述未知资产类型包括:网络终端资产与服务器资产;服务器资产的应用类型包括:数据库服务器资产、界面服务器资产、文件服务器资产、实时计算服务器资产和大数据平台服务器资产。3.如权利要求2所述的方法,其特征在于,进行分类时,通过以下策略获取未知资产类型与未知资产应用类型:针对流入流出未知资产的日志数比率,基于第一阈值,将流量大的标注为服务器资产、流量小的标注为终端设备资产;针对与备案资产的网络流量关系,基于第二阈值,将流量大的标注为服务器资产、流量小的标注为终端设备资产;针对在线时长,基于第三阈值,将时间长的标注为服务器资产、时间短的标注为终端设备资产;当判定为服务器资产时,基于常用端口规则及资源配置信息进行综合分析,得到服务器资产的应用类型。4.如权利要求1所述的方法,其特征在于,所述流数据特征F
p
包括:资产设备固有特征、常用端口规则、流入流程流量比和在线时长。5.如权利要求1所述的方法,其特征在于,通过以下步骤进行离群点检测:1)基于流数据特征F
p
,对各已知资产进行聚类,得到若干簇;2)计算各簇的质心;3)计算各已知资产P到最近质心的距离与相对距离;4)通过分别将所述距离、所述相对距离与给定阈值作比较,得到离群点检测结果。6.如权利...
【专利技术属性】
技术研发人员:王益静,张永铮,李书豪,庹宇鹏,常鹏,王晗,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。