【技术实现步骤摘要】
本专利技术涉及智能it运维的领域,具体涉及一种运维系统中基于节点构图的行为异常检测方法。
技术介绍
1、在运维系统中,由于系统故障或者由于黑客攻击,都会产生系统运行异常的情况,对这些情况进行检测对运维系统的安全稳定运行具有至关重要的作用。在以往的基于人工智能的检测过程中,需要收集正常的和异常的样本。但是,样本收集是非常困难的,例如,被黑客攻击产生的异常和由于系统故障产生的异常,它的原理和展现形式都不一样,这导致基于人工智能的检测方法面临巨大挑战。运维系统相较于其他应用系统有其相应特点,运维的任务是相对固定的(运维系统开发人员是按功能需求开发系统的)也就是说,运维系统的正常行为相较于普通系统更加可控和有限,为此,仅仅依靠正常行为,引入节点构图的方法,完成异常检测。
技术实现思路
1、本专利技术的目的在于克服现有技术存在的不足,而提供一种运维系统中基于节点构图的行为异常检测方法。
2、本专利技术的目的是通过如下技术方案来完成的:一种运维系统中基于节点构图的行为异常检测方法,该方法包括以下步骤:
3、(1)、收集系统正常运行时的日志作为良性行为日志,获得原始数据集;
4、(2)、对原始数据集进行数据处理,使用统一的六元组格式表示一条日志条目,多条日志条目构成一个日志文件;
5、(3)、对于获得的每一个日志文件,构建得到一个原始图,最终得到原始图集合;
6、(4)、对每个原始图进行节点特征的提取,定义zv为节点特征,在对节点特征赋
7、(5)、通过节点特征、节点的标签和原始图,进行行为异常模型训练;
8、(6)、在线检测:定时收集待检测的主机日志数据,进行在线行为异常检测。
9、更进一步的,步骤(1)中,原始数据集包括darpa主机日志数据集和camflow主机日志数据集。
10、更进一步的,对原始数据集进行数据处理,使用统一的六元组格式<src_uuid,src_type,dst_uuid,dst_type,option_type,timestamp>表示一条日志条目,六元组中具体元素含义如下所示:
11、元素1:src_uuid,表示源实体的uuid;
12、元素2:src_type,表示源实体的类型;
13、元素3:dst_uuid,表示目标实体的uuid;
14、元素4:dst_type,表示目标实体的类型;
15、元素5:option_type,表示源实体和目标实体这两实体之间的操作类型;
16、元素6:timestamp,表示该条日志条目标时间戳。
17、更进一步的,原始图graw定义如下:graw=(vraw,eopt),其中节点集合vraw为日志文件中的实体集合;边集合eopl为两实体之间的操作集合,表示源节点vsrc到目标节点vdst之间的操作边,两个节点之间存在多少个操作,则两个节点之间相应的有多少条操作边。
18、更进一步的,对每个原始图进行节点特征的提取,定义zv为节点特征,节点特征zv由第一特征和第二特征拼接构成;
19、第一特征:in_degree,表示与该节点相关联的各自不同类型操作下的边的入度所构成的向量;
20、第二特征:out_degree,表示与该节点相关联的各自不同类型操作下的边的出度所构成的向量;
21、在拼接后的节点特征的基础上进行修正,修正方法为:将节点入度和特征定义为节点所有入度的和,求取所有节点入度和特征的平均值,若节点入度和特征小于节点入度和特征的平均值,那么,减少节点出度,在节点出度中,选择最大的出度,进行减少;若当前入度和特征小于平均值且大于平均值的一半,则减少1,否则减少2,若小于1则取1。这样的处理能够保证所有进程节点的特征相对集中,在没有异常样本参与的情况下,保证模型收敛。
22、更进一步的,行为异常模型训练步骤如下:
23、(1)将节点特征zv、原始图graw作为输入,输入到graphsage算法中,对节点表示进行更新;
24、(2)将节点的表示向量与每个节点的标签,标签包括src_type和dst_type,标签是边的类型,输入到全连接层中,输出每个节点的各种类型的存在概率,根据输出与标签计算损失函数,优化模型参数;
25、(3)将训练得到的模型保存,等待用于在线行为异常检测。
26、更进一步的,每轮训练结束后,将分类正确的节点从该轮训练所用到的子图中剔除,保存该次训练的模型,剩余的节点进行下一轮训练,直到所有的节点都被正确分类。
27、更进一步的,在线行为异常检测步骤如下:
28、(1)主机日志数据收集与处理:使用camflow工具捕获一段时间内的主机日志数据,并对捕获的主机日志数据进行数据处理、原始图的构建、特征提取后,得到节点特征、节点的标签和原始图;
29、(2)节点类型预测:将得到的节点特征、节点的标签和原始图,输入到训练得到的模型中,输出每个节点对应的各类型的预测概率;
30、对于预测结果,如果该节点的预测结果是该节点对应的类别,则该节点为正常节点,反之,该节点为异常节点。
31、本专利技术的有益效果为:一般的图神经网络中节点特征的赋值都是对各类向量进行简单拼接之后直接送入模型中进行训练,但是节点特征可能过于分散导致模型难以收敛,本专利技术在对节点特征赋值之后进行了特征的修正,本专利技术的修正方法保证所有进程节点的特征相对集中,在没有异常样本参与的情况下,保证模型收敛。
本文档来自技高网...【技术保护点】
1.一种运维系统中基于节点构图的行为异常检测方法,其特征在于:该方法包括以下步骤:
2.根据权利要求1所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:步骤(1)中,原始数据集包括Darpa主机日志数据集和Camflow主机日志数据集。
3.根据权利要求2所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:对原始数据集进行数据处理,使用统一的六元组格式<src_uuid,src_type,dst_uuid,dst_type,option_type,timestamp>表示一条日志条目,六元组中具体元素含义如下所示:
4.根据权利要求3所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:原始图Graw定义如下:Graw=(Vraw,Eopt),其中节点集合Vraw为日志文件中的实体集合;边集合Ropt为两实体之间的操作集合,表示源节点Vsrc到目标节点Vdst之间的操作边,两个节点之间存在多少个操作,则两个节点之间相应的有多少条操作边。
5.根据权利要求4所述的运维系统中基于节点构图的行为异常检测
6.根据权利要求5所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:行为异常模型训练步骤如下:
7.根据权利要求6所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:每轮训练结束后,将分类正确的节点从该轮训练所用到的子图中剔除,保存该次训练的模型,剩余的节点进行下一轮训练,直到所有的节点都被正确分类。
8.根据权利要求7所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:在线行为异常检测步骤如下:
...【技术特征摘要】
1.一种运维系统中基于节点构图的行为异常检测方法,其特征在于:该方法包括以下步骤:
2.根据权利要求1所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:步骤(1)中,原始数据集包括darpa主机日志数据集和camflow主机日志数据集。
3.根据权利要求2所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:对原始数据集进行数据处理,使用统一的六元组格式<src_uuid,src_type,dst_uuid,dst_type,option_type,timestamp>表示一条日志条目,六元组中具体元素含义如下所示:
4.根据权利要求3所述的运维系统中基于节点构图的行为异常检测方法,其特征在于:原始图graw定义如下:graw=(vraw,eopt),其中节点集合vraw为日志文件中的实体集合;边集合ropt为两...
【专利技术属性】
技术研发人员:顾琰龙,刘东海,徐育毅,刘玉环,庞辉富,
申请(专利权)人:北京广通优云科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。