结合审计日志和踩蜜日志的异常行为检测方法技术

本发明专利技术公开了一种结合审计日志和踩蜜日志的异常行为检测方法，首先通过采集审计日志、合并简化审计日志、提取结构化日志信息并以进程为主体、在进程控制流的指导下构建用户行为实例；然后通过提取冗余信息模板进行降噪；最后通过构建溯源图，采用transR算法提取实体和关系特征并连接得到审计日志的特征向量；再结合盾立方中的四蜜日志采用无监督和弱监督学习方式训练序列编码网络，获取降噪后用户行为实例的特征；最后采用DBSCAN算法进行聚类分析得到异常用户行为。本发明专利技术通过审计日志的行为语义信息和四蜜日志的恶意信息，使用无监督和弱监督学习方式对异常行为和正常行为进行学习，提高用户行为特征提取的精度，提升异常检测的效率和精度。

【技术实现步骤摘要】

本专利技术属于网络安全的，具体涉及一种结合审计日志和踩蜜日志的异常行为检测方法。

技术介绍

1、现有网络入侵检测方法根据使用技术主要分为三类：基于规则的入侵检测方法、基于统计的入侵检测方法及基于学习的入侵检测方法。其中：基于规则的入侵检测方法依赖于事先定义的规则集来检测恶意行为，具有简单、直观、精确率高、易于理解和实施的特点，但由于规则集需要由相关人员根据已有经验和知识凝练而成，存在维护成本高、适应性差、容易被绕过等问题，并且难以适用于随网络环境不断演变的网络攻击，覆盖率和适应性可能受到限制。基于统计的入侵检测方法利用历史数据或特定的概率模型，来区分正常行为和异常行为。虽然基于统计的入侵检测方法能够捕获一定程度上的异常行为，但其仅考虑了系统实体之间的链接关系，依赖于历史数据分布特征或模型参数选择，易产生大量误报信息，同时对于复杂的攻击模式可能表现不佳。基于学习的入侵检测方法利用机器学习算法从日志中学习正常和异常行为之间的模式，并基于学习到的模型进行异常检测，可以适应新型的攻击模式和变化多端的威胁，具有较高的检测准确率和适应性；但需要足够的训练数据和合适的特本文档来自技高网...

【技术保护点】

1.结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，包括下述步骤：

2.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述进程信息包括进程名、进程id；所述数据对象信息包括文件名、文件id、文件地址、套接字、套接字id；所述进程通信实体包括管道；所述事件信息包括命令行、时间戳；所述用户信息包括用户名、用户id；

3.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述对审计日志中日志信息进行合并是指将在审计日志中，除时间戳外其他信息完全相同的日志进行合并。

4.根据权利要求1所述的结合审计日志...

【技术特征摘要】

1.结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，包括下述步骤：

2.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述进程信息包括进程名、进程id；所述数据对象信息包括文件名、文件id、文件地址、套接字、套接字id；所述进程通信实体包括管道；所述事件信息包括命令行、时间戳；所述用户信息包括用户名、用户id；

3.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述对审计日志中日志信息进行合并是指将在审计日志中，除时间戳外其他信息完全相同的日志进行合并。

4.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述冗余信息模板分为单主机冗余信息模板和多主机冗余信息模板，包含启动阶段的日志序列以及结束阶段的日志序列

5.根据权利要求1所述的结合审计日志和踩蜜日志的异常行为检测方法，其特征在于，所述对用户行为实例进行降噪，具体为：

6.根据权利要求1所述的...

【专利技术属性】
技术研发人员：仇晶，邢家旭，高成亮，陈彦豪，蔡泳信，田志宏，殷丽华，鲁辉，纪守领，程度，汤菲，陈玺名，陈荣融，倪晓雅，宗熠，
申请(专利权)人：广州大学，
类型：发明
国别省市：