【技术实现步骤摘要】
本专利技术实施例涉及多业务的态势感知交互分析,尤其涉及一种基于多业务的态势感知分析方法及系统。
技术介绍
1、随着网络技术的不断更新发展,在多种场景和行业中态势感知解决了重要的安全问题,实现了网络、多平台、不同业务系统数据源的共享和管理,使系统更完善方便的展现数据的形态。但是,随着数据每日大量的产生和数据彼此间的不兼容性,面临的网络风险也在不断增加,对于多种业务数据和网络情况,考虑到兼容和安全性上的防护措施,强化数据采集的及时性和准确性,对于多种业务的态势分析和检测预警能力应更加有效、准确、以期能够及时地做出防护。
技术实现思路
1、本专利技术实施例的一个目的是至少部分解决上述问题,并提供至少后面将说明的优点。
2、为实现上述目的,本专利技术一方面提供一种基于多业务的态势感知分析方法,包括:
3、步骤一,采集不同业务的数据,并对采集的数据进行预处理组成数据集;
4、步骤二,通过攻击分析模型对数据集进行分类,分类结果包括正常行为数据、攻击行为数据和异常行为数据;
5、步骤三,对于攻击行为数据,匹配威胁情报库模型中的攻击方式和攻击类型,根据攻击方式和攻击类型处理攻击行为;其中,威胁情报库模型中记录数据的属性与攻击方式和攻击类型的对应关系、以及攻击方式和攻击类型对应的处理措施;
6、步骤四,对异常行为数据发出预警;其中,所述异常行为数据包括未知数据。
7、优选的,通过攻击分析模型对数据集进行分类包括:
8
9、优选的,采用机器学习中的随机森林分类算法对数据集进行分类处理包括:
10、采用随机森林分类算法计算数据集中的数据的准确度;
11、获取计算结果的中位数;
12、若中位数大于等于第一阈值,则判断数据为正常行为数据;
13、若中位数小于第一阈值、大于第二阈值,则判断数据为攻击行为数据;
14、若中位数小于等于第二阈值,则判断数据为异常行为数据。
15、优选的,步骤三包括:
16、利用异常行为决策树算法计算攻击行为数据,获取输出结果的中位数;
17、若中位数大于第三阈值,则确定数据为攻击行为数据;
18、否则,更新判断数据类型为未知数据。
19、优选的,步骤四包括:
20、利用异常行为决策树算法计算异常行为数据,获取输出结果的中位数;
21、若中位数小于或等于第三阈值,则确定数据为未知数据;
22、否则,更新判断数据类型为攻击行为数据。
23、优选的,步骤三包括:
24、若匹配威胁情报库模型中的攻击方式和攻击类型失败,则判断数据为未知数据。
25、优选的,步骤四包括:
26、对异常行为数据匹配威胁情报库模型中的攻击方式和攻击类型失败,若匹配成功,则判断异常行为数据为攻击行为数据,否则,判断异常行为数据为未知数据。
27、优选的,该方法还包括:
28、将异常行为数据组成异常行为数据集;
29、将异常行为数据集内的异常行为数据匹配威胁情报库模型中的攻击方式和攻击类型中;
30、若匹配成功,将异常行为数据移出异常行为数据集,移入与匹配到的攻击方式和攻击类型对应的攻击行为数据集;
31、若匹配失败,确定异常行为数据为未知数据。
32、优选的,步骤一中,对数据进行预处理包括对数据进行清洗处理,包括:
33、所述清洗处理为信息数据进行缺失值处理,所述缺失值处理包括采用中位数填充以及全局常量‘unknow’方式填充,对其中包含特殊字符的数据用空格替换,相同格式的数据组成数据集。
34、本专利技术另一方面还提供一种基于多业务的态势感知分析系统,用于执行上述实施例及其任意优选方式所提供的基于多业务的态势感知分析方法,包括:
35、数据采集模块,用于采集不同业务的数据,并对采集的数据进行预处理组成数据集;
36、攻击分析模型模块,用于通过攻击分析模型对数据集进行分类,分类结果包括正常行为数据、攻击行为数据和异常行为数据;
37、匹配模块,用于对于攻击行为数据,匹配威胁情报库模型中的攻击方式和攻击类型,根据攻击方式和攻击类型处理攻击行为;其中,威胁情报库模型中记录数据的属性与攻击方式和攻击类型的对应关系、以及攻击方式和攻击类型对应的处理措施;
38、预警模块,用于对异常行为数据发出预警;其中,所述异常行为数据包括未知数据。
39、本专利技术实施例至少包括以下有益效果:
40、采用攻击分析模型对数据集进行分类,不仅区分攻击行为数据,还能够区分异常行为数据,确定未知数据,结合威胁情报库模型,对攻击行为进行处理,并对异常行为数据发出预警,提高多业务态势感知的监管能力和安全运营。
41、其中,采用攻击分析模型和异常行为分析模型结合威胁情报库模型的方式高效分类,对分类数据匹配命中所有攻击和方式,对业务的安全和访问情况提出有效的预判,根据威胁数据的异常行为自动做出阻断和预警,对以往访问业务的源数据历史进行统计,恶意行为的数据设定默认的阈值和访问周期,根据恶意访问业务能够自行和及时拦截,达到对多业务态势感知的监管和安全运营等目的。
42、本专利技术的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本专利技术的研究和实践而为本领域的技术人员所理解。
本文档来自技高网...【技术保护点】
1.一种基于多业务的态势感知分析方法,其特征在于,包括:
2.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,通过攻击分析模型对数据集进行分类包括:
3.如权利要求2所述的基于多业务的态势感知分析方法,其特征在于,采用机器学习中的随机森林分类算法对数据集进行分类处理包括:
4.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤三包括:
5.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤四包括:
6.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤三包括:
7.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤四包括:
8.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,还包括:
9.如权利要求1-8中任一项所述的基于多业务的态势感知分析方法,其特征在于,还包括:
10.一种基于多业务的态势感知分析系统,用于执行根据权利要求1-9中任一项所述的基于多业务的态势感知分析方法,包括:
【技术特征摘要】
1.一种基于多业务的态势感知分析方法,其特征在于,包括:
2.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,通过攻击分析模型对数据集进行分类包括:
3.如权利要求2所述的基于多业务的态势感知分析方法,其特征在于,采用机器学习中的随机森林分类算法对数据集进行分类处理包括:
4.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤三包括:
5.如权利要求1所述的基于多业务的态势感知分析方法,其特征在于,步骤四包括:
【专利技术属性】
技术研发人员:田新远,
申请(专利权)人:北京华清信安科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。