【技术实现步骤摘要】
本申请涉及异常主机检测,尤其涉及一种基于ae算法的异常主机检测方法、系统、设备及介质。
技术介绍
1、随着网络技术的日益发展,网络数据的数据安全、信息安全等问题越来越突出。目前种类繁多的外部网络攻击已有成熟的解决方案,但是,由组织内部引起的违规泄露事件层出不穷,且未有有效手段发现。网络犯罪分子可能伪装成合法用户,进而突破网络边界、窃取网络凭证、植入恶意软件,或由于组织内部人员工作失误,引发组织内部的网络安全威胁。
2、异常主机识别,是应对新形势威胁的有效手段之一,但目前传统的基于网关的安全架构:通过网关设备对网络流量进行实时监控,分析数据包的来源、目的地、内容等特征。利用流量分析技术,如深度包检测(dpi)、流量行为分析(nba)等,识别异常流量模式或可疑行为。
3、但是,上述传统的识别方案无法有效解决组织内部引起的违规泄露事件,无法在事件发生之前或者之后的较短时间及时响应,造成信息泄露安全事件的发生。因此,亟需一种基于ae(autoencoder 自编码器)算法的异常主机检测方法、系统、设备及介质,解决上述技术问题。
技术实现思路
1、针对现有技术的上述不足,本申请提供一种基于ae算法的异常主机检测方法、系统、设备及介质,以解决现有的识别方案无法有效解决组织内部引起的违规泄露事件,无法在事件发生之前或者之后的较短时间及时响应的问题。
2、第一方面,本申请提供了一种基于ae算法的异常主机检测方法,方法包括:
3、获取预设历史时间段的主
4、本申请实施例提供的异常主机检测方法,从主机数据集中选择与预设异常目标特征相关性最高的待处理主机特征,这一步骤确保了用于训练ae算法的特征是与异常检测任务高度相关的,从而提高了算法的效率和准确性。筛除多重共线性特征,避免了特征之间的冗余和干扰,使得ae算法能够更专注于学习关键特征,提高了模型的泛化能力。通过训练ae算法,能够学习到异常主机行为的模式,并在实时获取当前主机数据后,输出异常检测结果。另外,本申请通过实时获取当前主机数据,生成当前待处理主机集,降低了算法实际处理的数据的数量,助于在事件发生之前或之后的较短时间内及时响应,减少了潜在的损失。
5、在本申请的一种实现方式中,从主机数据集中选择预设数量个与预设异常目标特征相关性最高的待处理主机特征,具体包括:
6、获取预设异常目标参数;从主机数据集中提取预设异常目标参数对应的目标特征数据;
7、对目标特征数据和预设异常目标特征进行数值化处理,获得数值型目标特征数据和预设异常目标特征;
8、将数值型目标特征数据和预设异常目标特征输入卡方验证算法,获得输出的预设数量个与预设异常目标特征相关性最高的待处理主机特征。
9、在本申请的一种实现方式中,从待处理主机特征中筛除多重共线性特征,生成待处理主机集,具体包括:
10、根据当前待处理主机特征与其他待处理主机特征之间的相似度,将相似度大于预设相似阈值的一对待处理主机特征删除任一一个,直至剩余的待处理主机特征中任意两个待处理主机特征之间的相似度均小于等于预设相似阈值;
11、将剩余的待处理主机特征作为待处理主机集存储。
12、在本申请的一种实现方式中,实时获取当前主机数据,生成当前待处理主机集,具体包括:
13、实时获取当前主机数据,将当前主机数据导入对应的预设数据统一程序,获得当前主机数据集,获取当前待处理主机特征,进行多重共线性特征筛除,生成当前待处理主机集。
14、第二方面,本申请提供了一种基于ae算法的异常主机检测系统,系统包括:
15、获取模块,用于获取预设历史时间段的主机数据;其中,主机数据至少包括:主机本地操作和网络行为数据;生成模块,用于调用各个类型的主机数据对应的预设数据统一程序,基于预设数据统一程序将对应类型的主机数据处理为预设统一格式,生成主机数据集;从主机数据集中选择预设数量个与预设异常目标特征相关性最高的待处理主机特征;从待处理主机特征中筛除多重共线性特征,生成待处理主机集;获得模块,用于获取待处理主机集的标注结果,将标注好的待处理主机集作为样本数据训练ae算法,获得训练好的ae算法;实时获取当前主机数据,生成当前待处理主机集;将当前待处理主机集输入训练好的ae算法,获得输出的异常检测结果。
16、在本申请的一种实现方式中,生成模块包括获得单元,
17、用于获取预设异常目标参数;从主机数据集中提取预设异常目标参数对应的目标特征数据;
18、对目标特征数据和预设异常目标特征进行数值化处理,获得数值型目标特征数据和预设异常目标特征;
19、将数值型目标特征数据和预设异常目标特征输入卡方验证算法,获得输出的预设数量个与预设异常目标特征相关性最高的待处理主机特征。
20、在本申请的一种实现方式中,生成模块包括生成单元,
21、用于根据当前待处理主机特征与其他待处理主机特征之间的相似度,将相似度大于预设相似阈值的一对待处理主机特征删除任一一个,直至剩余的待处理主机特征中任意两个待处理主机特征之间的相似度均小于等于预设相似阈值;
22、将剩余的待处理主机特征作为待处理主机集存储。
23、在本申请的一种实现方式中,获得模块包括实时数据处理单元,
24、用于实时获取当前主机数据,将当前主机数据导入对应的预设数据统一程序,获得当前主机数据集,获取当前待处理主机特征,进行多重共线性特征筛除,生成当前待处理主机集。
25、第三方面,本申请提供了一种基于ae算法的异常主机检测设备,设备包括:
26、处理器;
27、以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种基于ae算法的异常主机检测方法。
28、第四方面,本申请提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种基于ae算法的异常主机检测方法。
29、本领域技术人员能够理解的是,本申请至少具有如下有益效果:
30、本申请提供一种基于ae算法的异常主机检测方法、系统、设备及介质,能够从主机数据集中选择与预设异常目标特征相关性最高的待处理主机特征,确保了用于训练ae算法的特本文档来自技高网...
【技术保护点】
1.一种基于AE算法的异常主机检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于AE算法的异常主机检测方法,其特征在于,从主机数据集中选择预设数量个与预设异常目标特征相关性最高的待处理主机特征,具体包括:
3.根据权利要求1所述的基于AE算法的异常主机检测方法,其特征在于,从待处理主机特征中筛除多重共线性特征,生成待处理主机集,具体包括:
4.根据权利要求1所述的基于AE算法的异常主机检测方法,其特征在于,实时获取当前主机数据,生成当前待处理主机集,具体包括:
5.一种基于AE算法的异常主机检测系统,其特征在于,所述系统包括:
6.根据权利要求5所述的基于AE算法的异常主机检测系统,其特征在于,生成模块包括获得单元,
7.根据权利要求5所述的基于AE算法的异常主机检测系统,其特征在于,生成模块包括生成单元,
8.根据权利要求5所述的基于AE算法的异常主机检测系统,其特征在于,获得模块包括实时数据处理单元,
9.一种基于AE算法的异常主机检测设备,其特征在于,所述设备包括
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时实现如权利要求1-4任一项所述的一种基于AE算法的异常主机检测方法。
...【技术特征摘要】
1.一种基于ae算法的异常主机检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于ae算法的异常主机检测方法,其特征在于,从主机数据集中选择预设数量个与预设异常目标特征相关性最高的待处理主机特征,具体包括:
3.根据权利要求1所述的基于ae算法的异常主机检测方法,其特征在于,从待处理主机特征中筛除多重共线性特征,生成待处理主机集,具体包括:
4.根据权利要求1所述的基于ae算法的异常主机检测方法,其特征在于,实时获取当前主机数据,生成当前待处理主机集,具体包括:
5.一种基于ae算法的异常主机检测系统,其特征在于,所述...
【专利技术属性】
技术研发人员:马衍硕,刘志远,罗圣美,赵红方,韦文峰,蒋荣,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。