CN109218077A - 目标设备的预测方法、装置、电子设备及存储介质 - Google Patents

目标设备的预测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN109218077A
CN109218077A CN201810924481.3A CN201810924481A CN109218077A CN 109218077 A CN109218077 A CN 109218077A CN 201810924481 A CN201810924481 A CN 201810924481A CN 109218077 A CN109218077 A CN 109218077A
Authority
CN
China
Prior art keywords
equipment
telnet
log
default
training sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810924481.3A
Other languages
English (en)
Inventor
徐子腾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advanced New Technologies Co Ltd
Advantageous New Technologies Co Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810924481.3A priority Critical patent/CN109218077A/zh
Publication of CN109218077A publication Critical patent/CN109218077A/zh
Priority to TW108120240A priority patent/TWI706646B/zh
Priority to PCT/CN2019/092369 priority patent/WO2020034756A1/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开实施例公开了一种目标设备的预测方法、装置、电子设备及存储介质。该方法包括:获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;从所述远程登录日志中提取预设特征属性;利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。通过本公开的实施方式,可以从海量远程登录日志中提取出相关特征,并通过预先训练好的设备预测模型对相关特征进行分析处理,从海量设备中定位出对其他设备具有管控能力的目标设备。

Description

目标设备的预测方法、装置、电子设备及存储介质
技术领域
本公开涉及计算机技术领域,具体涉及一种目标设备的预测方法、装置、电子设备及存储介质。
背景技术
在同一网络拓扑结构下,有些设备为应用设备,而有些设备为运维管控设备。管理人员或者开发人员可以通过一些特定的设备登录其他应用设备以进行运维管理操作。这些特定的设备通常有具有登录大量其他设备的能力,可以称之为运维管控设备。运维管控设备一旦被黑客攻陷,会直接导致大量应用设备被攻陷。因此,如何梳理出这些运维管控设备,则是业内普遍存在的一大难题。
发明内容
本公开实施例提供一种目标设备的预测及设备预测模型的训练方法、装置、电子设备、计算机可读存储介质。
第一方面,本公开实施例中提供了一种目标设备的预测方法,包括:获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;从所述远程登录日志中提取预设特征属性;利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
进一步地,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
进一步地,针对每条所述远程登录日志,所述预设特征属性还包括以下至少一项:所述预设设备远程登录其他设备时是否使用密钥登录;所述预设设备以何种用户身份远程登录其他设备;所述预设设备是否登录成功。
进一步地,所述方法还包括:获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
进一步地,所述获取多个训练样本包括:获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
第二方面,本公开实施例提供了一种设备预测模型的训练方法,包括:获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
进一步地,从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本,包括:从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
进一步地,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
进一步地,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:所述第一设备远程登录其他设备时是否使用密钥登录;所述第一设备以何种用户身份远程登录其他设备;所述第一设备是否登录成功;和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:所述第二设备远程登录其他设备时是否使用密钥登录;所述第二设备以何种用户身份远程登录其他设备;所述第二设备是否登录成功。
第三方面,本公开实施例提供了一种目标设备的预测装置,包括:第一获取模块,被配置为获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;提取模块,被配置为从所述远程登录日志中提取预设特征属性;预测模块,被配置为利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
进一步地,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
进一步地,针对每条所述远程登录日志,所述预设特征属性还包括以下至少一项:所述预设设备远程登录其他设备时是否使用密钥登录;所述预设设备以何种用户身份远程登录其他设备;所述预设设备是否登录成功。
进一步地,所述装置还包括:第二获取模块,被配置为获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;第一训练模块,被配置为利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
进一步地,所述第二获取模块,包括:第一获取子模块,被配置为获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;第一确定子模块,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;生成子模块,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,目标设备的预测装置的结构中包括存储器和处理器,所述存储器用于存储一条或多条支持目标设备的预测装置执行上述第一方面中目标设备的预测方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述目标设备的预测装置还可以包括通信接口,用于目标设备的预测装置与其他设备或通信网络通信。
第四方面,本公开实施例提供了一种设备预测模型的训练装置,包括:第三获取模块,被配置为获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;第一确定模块,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;生成模块,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;第二训练模块,被配置为利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
进一步地,所述生成模块,包括:第一提取子模块,被配置为从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;第二提取子模块,被配置为从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
进一步地,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
进一步地,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:所述第一设备远程登录其他设备时是否使用密钥登录;所述第一设备以何种用户身份远程登录其他设备;所述第一设备是否登录成功;和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:所述第二设备远程登录其他设备时是否使用密钥登录;所述第二设备以何种用户身份远程登录其他设备;所述第二设备是否登录成功。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,设备预测模型的训练装置的结构中包括存储器和处理器,所述存储器用于存储一条或多条支持设备预测模型的训练装置执行上述第一方面中设备预测模型的训练方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述设备预测模型的训练装置还可以包括通信接口,用于设备预测模型的训练装置与其他设备或通信网络通信。
第五方面,本公开实施例提供了一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现第一方面或第二方面所述的方法步骤。
第六方面,本公开实施例提供了一种计算机可读存储介质,用于存储目标设备的预测装置或设备预测模型的训练装置所用的计算机指令,其包含用于执行上述第一方面中目标设备的预测方法或第二方面中设备预测模型的训练方法所涉及的计算机指令。
本公开实施例提供的技术方案可以包括以下有益效果:
本公开实施例通过获取网络拓扑结构下设备的远程登录日志,并从中提取预设特征属性后,根据预先训练好的设备预测模型对预设特征属性进行分析处理,预测出该设备是否为目标设备。通过本公开的实施方式,可以从海量远程登录日志中提取出相关特征,并通过预先训练好的设备预测模型对相关特征进行分析处理,从海量设备中定位出对其他设备具有管控能力的目标设备,本公开利用设备训练技术极大的提升了从远程登录日志定位目标设备的准确性,很好的解决了大型网络拓扑结构下具有管控能力的设备难以定位的问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的目标设备的预测方法的流程图;
图2示出根据本公开一实施方式的目标设备的预测方法中设备预测模型训练部分的流程图;
图3示出根据图2所示实施方式的步骤S201的流程图;
图4示出根据本公开一实施方式的设备预测模型的训练方法的流程图;
图5示出根据图4所示实施方式的步骤S403的流程图;
图6示出根据本公开一实施方式的目标设备的预测装置的结构框图;
图7示出根据本公开一实施方式的设备预测模型的训练装置的结构框图;
图8是适于用来实现根据本公开一实施方式的目标设备的预测方法的电子设备的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
在一已知的网络拓扑结构下,主站内每天的系统日志数量大约有1000万条。已有技术根据系统日志,统计出每天登录其他设备数量在100次以上的设备,并确认这批设备为具有管控其他设备能力的目标设备,也可以称之为运维管控设备。已有技术的方案虽然实现起来较为简单,但是召回率很低,会漏掉一大批登录次数在100次以下的运维管控设备。因为很多运维管控设备的登录频率并不会很高,有的登录次数在一个小时一次,有的甚至是一天一次,所以单纯的依赖登录频率高低不能很好的解决问题。
图1示出根据本公开一实施方式的目标设备的预测方法的流程图。如图1所示,所述目标设备的预测方法包括以下步骤S101-S103:
在步骤S101中,获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;
在步骤S102中,从所述远程登录日志中提取预设特征属性;
在步骤S103中,利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
在本实施例中,一个网络拓扑结构可以包括多台经过传输介质互连的设备,这些设备之间可以进行网络通信,该网络拓扑结构内的多数设备可以为执行相应应用的设备,而有一小部分设备作为管控其他设备的目标设备,可以被管理人员用来远程登录其他设备,进而维护和管理其他设备。目标设备是能够远程登录网络拓扑结构下的其他设备并对其他设备进行管控的运维管控设备,其具有远程登录大量其他设备的能力。预设设备可以为网络拓扑结构下的任意一台设备,可以是运维管控设备,也可以是其他应用设备。网络拓扑结构下的任意设备所产生的远程登录日志都可以预先存储在数据库中,在进行目标设备定位时,可以从数据库中获取预设设备在预定时间段内产生的远程登录日志。由于目标设备远程登录其他应用设备的频率不一定很高,因此可以通过设置预定时间段,并基于预定时间段内产生的远程登录日志来判断预设设备是否为目标设备。预定时间段的单位可以是周、月等,可根据实际情况设置,对此不做限制。
本一实施例中,远程登录日志可以为SSH登录日志,一条SSH登录日志记录了预设设备登录其他设备的相关信息,例如可以包括如下字段:
1.被登录设备主机名
2.SSH登录时间
3.SSH登录结果(成功或失败)
4.SSH登录方法(密码或密钥)
5.SSH登录用户
6.源登录IP
7.源登录端口
为预测预设设备是否为目标设备,可以从SSH登录日志中的上述字段中提取相关的预设特征属性,进而利用预先训练好的设备预测模型对所提取出的预设特征属性进行处理,并预测得到预设设备是否为目标设备的结论。目标设备所具有的共性包括:在一段时间内会多次远程登录其他设备,而登录其他设备的个数基本不会为1(因为一台运维管控设备通常会管理和维护多台其他设备)。此外,目标设备作为运维管控设备,远程登录其他设备的目的是管理和维护其他设备,具有较大权项,可能采用根用户的方式登录其他设备的概率较大。因此可以基于目标设备的这些共性,预先设置预设特征属性,并在获得预定时间段内的SSH登录日志后,从SSH登录日志中提取预设特征属性,并使用预先训练好的设备预测模型进行预测。设备预测模型也是通过预设特征属性进行预先训练得到的,能够根据预设设备的SSH登录日志中提取出的预设特征属性预测出预设设备是否为目标设备。设备预测模型可以采用人工智能模型进行训练。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。
本公开实施例通过获取网络拓扑结构下设备的远程登录日志,并从中提取预设特征属性后,根据预先训练好的预测模型对预设特征属性进行分析处理,预测得出该设备是否为目标设备。通过本公开的实施方式,可以从海量远程登录日志中提取出相关特征,并通过预先训练好的设备预测模型对相关特征进行分析处理,从海量设备中定位出对其他设备具有管控能力的目标设备,本公开利用设备训练技术极大的提升了从远程登录日志定位目标设备的准确性,很好的解决了大型网络拓扑结构下用于管控的设备难以定位的问题。
在本实施例的一个可选实现方式中,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
该可选的实现方式中,预设设备登录其他设备的次数可以基于每远程登录一次其他设备就加1的方式确定;而登录其他设备的个数可以基于在预定时间段内总共登录过的其他设备的个数,可以理解的是同一个设备可能被远程登录过多次,因此次数大于个数。目标设备作为运维管控设备,至少会在一段时间内远程登录其他设备,而且通常所登录的其他设备不止一个。此外,目标设备作为运维管控设备,还至少会在一段时间内远程登录其他设备,且登录其他设备的次数也不止一次。因此可以基于这两个预设特征属性,即预设设备远程登录其他设备的次数和个数中的一个或两个的组合判断预设设备是否为目标设备。而目标设备会在一段时间内登录几个其他设备以及多少次其他设备,跟其所在的网络拓扑结构以及应用环境相关,因此针对不同的网络拓扑结构及应用环境,至少可以使用预设设备远程登录其他设备的次数和个数中的一个或两个的组合预先训练得到设备预测模型,进而在实际应用中,利用该设备预测模型对该网络拓扑结构及应用环境下的预设设备进行预测。通过这种方式可以得到准确率较高的设备预测模型,使得目标设备的预测更加准确。
在本实施例的一个可选实现方式中,针对每条所述远程登录日志,所所述预设特征属性还包括以下至少一项:
所述预设设备远程登录其他设备时是否使用密钥登录;
所述预设设备以何种用户身份远程登录其他设备;
所述预设设备是否登录成功。
该可选的实现方式中,除了上述预设设备远程登录其他设备的次数和个数之外,还可以包括其他预设特征属性,能够辅助判断预设设备是否为目标设备,以增加预测的准确性。其他预设特征属性包括但不限于预设设备远程登录其他设备的登录方式、用户身份、是否登录成功等。登录方式包括是否使用密钥登录,用户身份包括系统用户、根用户和普通用户。通常情况下,在运维管控其他设备的过程中,目标设备可能会在短时间内多次登录其他设备,如果每次登录其他设备都手动输入用户名和密码,会占用运维人员的很多时间,因此通常情况下运维人为会为其他设备生成密钥对,即一对公钥和私钥,并将公钥存储在其他设备上,而目标设备上存储私钥,目标设备在登录其他设备时,可以自动将目标设备上的私钥和其他设备上的公钥进行配对,进而登录其他设备,这种方式下登录认证的过程都是自动的,无需人工干预,因此能够节省运维人员的时间和精力。此外,目标设备通常都会以根用户的身份登录其他设备,以便能够以最大权限来管控其他设备。使用上述这些预设特征属性进行预测,可以排除一些用户远程登录自己的设备进行工作等情形。在设备预测模型的训练阶段,还可以使用上述其他预设特征属性进行训练,使得设备预测模型的预测准确率进一步提高。
在本实施例的一个可选实现方式中,如图2所示,所述方法进一步还包括以下步骤S201-S202:
在步骤S201中,获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;
在步骤S202中,利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
该可选的实现方式中,设备预测模型的训练阶段,可以先选出合适的人工智能模型。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。可以根据实际情况选择相应的人工智能模型的类型及结构,并根据预设特征属性的个数等建立人工智能模型。之后,可以收集训练样本。训练样本可以包括特征部分和结果标注部分,特征部分包括训练用的预设特征属性,可以是从目标设备(已知是目标设备的情况)在过去一段时间内的远程登录日志提取出来的,也可以是从非目标设备(已知是非目标设备的情况)在过去一段时间内的远程登录日志提取出来的,而结果标注部分用于标注训练样本为正训练样本还是负训练样本,正训练样本对应的是目标设备,而负训练样本对应的是非目标设备。在收集了足够多的训练样本后,可以利用训练样本对建立好的人工智能模型进行训练,直到训练次数达到一定值,或者人工智能模型的参数收敛,停止训练,训练得到的是能够预测是否为目标设备的设备预测模型。
在本实施例的一个可选实现方式中,如图3所示,所述步骤201,即获取多个训练样本的步骤,进一步包括以下步骤S301-S303:
在步骤S301中,获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
在步骤S302中,从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
在步骤S303中,从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
该可选的实现方式中,历史时间段可以是过去的某一段时间,具体根据实际情况设置。在一实施例中,历史时间段和预定时间段的时间长度差不多,也即历史时间段和预定时间段的时间长度之差可以小于一预设阈值,这是因为在应用设备预测模型进行预测时,预设特征属性中包括预设设备在预定时间段内所登录其他设备的次数和个数。如果在训练设备预测模型时,所采用的历史时间段和预定时间段的时间长度相差不大的话,能使设备预测模型的预测准确率更高。在收集训练样本时,该实现方式中通过预设网络拓扑结构下多个设备在历史时间段内产生的远程登录日志,统计每个设备登录其他设备的次数和/或个数(包括次数、个数或两者的组合),并基于该次数和/或个数来确定该设备是否为目标设备,进而从远程登录日志提取出预设特征属性生成正训练样本和负训练样本的。这是因为经过统计分析可以发现,在一个设备登录其他设备的次数和/或个数大于一个较大阈值的情况下,基本上可以确定该设备为目标设备,而该次数和/或个数小于一个较小阈值的情况下,基本上可以确定该设备为非目标设备。因此,通过这种方式可以在并不确定目标设备的情况下,就能够收集到足够多的正训练样本和负训练样本。
下面通过一具体的示例详细说明设备预测模型的训练过程。
1、预设特征属性提取:
首先针对当前网络拓扑结构下的多个设备,统计一个月内的SSH登录日志数据,并对一个月内的SSH登录日志数据进行如下两个方面的统计:
某个IP一个月内登录其他设备的次数;
某个IP一个月内登录其他不同设备的个数;
将统计的上述次数和个数作为该IP对应设备的两个预设特征属性值(第一个预设特征属性和第二个预设特征属性);
除了以上两个特征属性之外,还对每条SSH登录日志数据进行了特征提取,具体方法如下:
登录结果特征属性(第三个预设特征属性)的提取:如果登录成功则将登录结果特征属性置为1,登录失败则将登录结果特征属性置为0。
登录方式特征属性(第四个预设特征属性)的提取:如果是用公钥(public key)登录,则将登录方式特征属性置为1,其他方法则将登录方式特征属性置为0。
用户身份特征属性的提取:用户分为三类,第一类是root用户,第二类是系统用户(admin,log,agent),第三类是其他用户;如果登录的用户身份是root用户,则将用户身份特征属性中的根用户身份特征属性(第五个预设特征属性)置为1,如果登录的用户身份是系统用户,则将用户身份特征属性中的系统用户身份特征属性(第六个预设特征属性)置为1,否则根用户身份特征属性和系统用户身份特征属性均置为0。
2、正负训练样本生成:
运维管控设备的梳理本质上是一个二分类问题。从SSH日志中可以确定一台设备是运维管控设备,或者不是运维管控设备。所以正负训练样本的生成也是一样,可以通过已有的经验,确定一批设备是运维管控设备,也可以确定一批设备为非运维管控设备。下面阐述一下本示例中的正负训练样本生成逻辑:
1)正训练样本生成逻辑:
运维管控设备通常会登录大量不同设备,既满足登录次数的要求,也需要满足不同设备个数的要求。所以正训练样本的生成满足两个要求:
一个月内登录其他设备次数大于3000次;
一个月内被该设备登录的其他设备大于3个。
因此,从一个月内网络拓扑结构下多个设备产生的SSH登录日志中,可以按照上述逻辑生成正训练样本共1012591条。
2)负训练样本生成逻辑:
负训练样本生成逻辑较简单,以下两个条件任满足其一即可:
一个月内登录其他设备次数小于10次。
一个月内被该设备登录的其他设备个数只有一个。
因此,从一个月内网络拓扑结构下多个设备产生的SSH登录日志中,可以按照上述逻辑生成负训练样本共958061条。
3、人工智能模型的建立与训练:
本示例中选择逻辑回归模型进行训练。逻辑回归算法由于需要指定特征列和结果列。本示例中指定了上述六个预设特征属性为特征列。将正负训练样本的结果(即目标设备还是非目标设备)标记为结果列。设定逻辑回归模型参数如下:
最大迭代次数:100
收敛误差:0.000001
目标基准值:1
利用上述收集的正训练样本和负训练样本对逻辑回归模型进行训练,在最大迭代次数达到100或者参数收敛误差在0.000001时,停止训练,得到训练好的设备预测模型。
另一方面,本公开还公开了设备预测模型的训练方法。图4示出了根据本公开另一实施方式的设备预测模型的训练方法的流程图。如图4所示,所述设备预测模型的训练方法包括以下步骤S401-S404:
在步骤S401中,获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
在步骤S402中,从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
在步骤S403中,从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;
在步骤S404中,利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
本实施例中,目标设备是可以被用来登录网络拓扑结构下其他设备,进而对其他设备进行管理和维护的设备。网络拓扑结构中的大多数都是非目标设备,也即用于执行应用的应用设备,而有一小部分是目标设备。随着网络拓扑结构运行时间的增加,越来越难以定位目标设备。因此,为了获得能够预测网络拓扑结构下的某台设备是否为目标设备,可以通过训练样本训练人工智能模型,得到设备预测模型。
本实施例通过从网络拓扑结构下多个设备在历史时间段内产生的远程登录日志,统计得出一台设备登录其他设备的次数,以及该设备登录其他不同设备的个数,进而根据该次数和/或个数是否满足预设条件来判断是第一设备还是第二设备,如果是第一设备则可以根据该第一设备对应的远程登录日志生成正训练样本,如果是第二设备则可以根据该第二设备对应的远程登录日志生成负训练样本。也就是说,如果上述次数和/或个数满足预设条件,则可以认为该设备为目标设备,而如果不满足预设条件,则为非目标设备。而预设条件可以根据的网络拓扑结构下目标设备和非目标设备的实际情况进行设置。这是因为经过统计分析,在一个设备登录其他设备的次数和/或个数大于一个较大阈值的情况下,基本上可以确定该设备为目标设备,而该次数和/或个数小于一个较小阈值的情况下,基本上可以确定该设备为非目标设备,而较大阈值和较小阈值则可以根据实际情况进行设置。通过这种方式在目标设备不已知的情况下,依然能够生成正训练样本和负训练样本,并且所生成的正负训练样本的数量也能足够多。
在生成了训练样本后,可以选择合适的人工智能模型进行训练。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。可以根据实际情况选择相应的人工智能模型的类型,并根据预设特征属性的个数等建立人工智能模型。之后,可以利用训练样本对建立好的人工智能模型进行训练,直到训练次数达到一定值,或者人工智能模型的参数收敛,停止训练,训练得到的是能够预测是否为目标设备的设备预测模型。训练样本的收集、人工智能模型的选取与建立的顺序,可以根据实际情况而定,可以先收集训练样本,也可以先选取并建立人工智能模型。
本实施例的相关细节还可参见上述目标设备的预测方法的描述,在此不再赘述。
在本实施例的一个可选实现方式中,如图5所示,所述步骤S403,即从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本的步骤,进一步包括以下步骤;
在步骤S501中,从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;
在步骤S502中,从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
该可选的实现方式中,在确定了第一设备(也即目标设备)和第二设备(非目标设备)后,还可以从第一设备和第二设备对应的远程登录日志再提取第一预设特征属性和第二预设特征属性,进而生成正训练样本和负训练样本。无论是正训练样本还是负训练样本,都包括两部分:特征部分和结果标注部分;特征部分包括能够表征该设备是否为目标设备的特征,也即前面提到的第一预设特征属性和第二预设特征属性,而结果标注部分用于标注该特征部分对应的是目标设备的特征还是非目标设备的特征。在第一预设特征属性和第二预设特征属性至少要包括第一设备和第二设备在历史时间段内登录其他设备的次数和登录其他不同设备的个数,除了这两个预设特征属性之外,还可以包括其他特征属性。
在本实施例的一个可选实现方式中,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
在本实施例的一个可选实现方式中,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:
所述第一设备远程登录其他设备时是否使用密钥登录;
所述第一设备以何种用户身份远程登录其他设备;
所述第一设备是否登录成功;
和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:
所述第二设备远程登录其他设备时是否使用密钥登录;
所述第二设备以何种用户身份远程登录其他设备;
所述第二设备是否登录成功。
该可选的实现方式中,第一设备对应的第一预设特征属性除了所述第一设备远程登录其他设备的次数和/或个数之外,还包括第一设备登录其他设备时的登录方式、登录结果以及登录所使用的用户身份。登录方式可以包括是否使用密钥登录,用户身份可以包括系统用户、根用户和普通用户。通常情况下,目标设备会采用密钥登录其他设备,企鹅目标设备通常都会以根用户的身份登录其他设备,以便能够以最大权项来管控其他设备。使用其他预设特征属性进行训练,可以使得设备预测模型的预测准确率进一步提高。
该设备预测模型的训练方法的一些相关细节还可以参考上述对目标设备的预测方法中的描述,在此不再赘述。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图6示出根据本公开一实施方式的目标设备的预测装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示,所述目标设备的预测装置包括第一获取模块601、提取模块602和预测模块603:
第一获取模块601,被配置为获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;
提取模块602,被配置为从所述远程登录日志中提取预设特征属性;
预测模块603,被配置为利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
在本实施例中,一个网络拓扑结构可以包括多台经过传输介质互连的设备,共同处于同一个生产域内,这些设备之间可以进行网络通信,该网络拓扑结构内的多数设备可以为执行相应应用的设备,而有一小部分设备作为管控其他设备的目标设备,可以被管理人员用来远程登录其他设备,进而维护和管理其他设备。目标设备是能够远程登录网络拓扑结构下的其他设备并对其他设备进行管控的运维管控设备,其具有远程登录大量其他设备的能力。预设设备可以为网络拓扑结构下的任意一台设备,可以是运维管控设备,也可以是其他应用设备。网络拓扑结构下的任意设备所产生的远程登录日志都可以预先存储在数据库中,在进行目标设备定位时,可以从数据库中获取预设设备在预定时间段内产生的远程登录日志。由于目标设备远程登录其他应用设备的频率不一定很高,因此可以通过设置预定时间段,并基于预定时间段内产生的远程登录日志来判断预设设备是否为目标设备。预定时间段的单位可以是周、月等,可根据实际情况设置,对此不做限制。
本一实施例中,远程登录日志可以为SSH登录日志,一条SSH登录日志记录了预设设备登录其他设备的相关信息,例如可以包括如下字段:
1.被登录设备主机名
2.SSH登录时间
3.SSH登录结果(成功或失败)
4.SSH登录方法(密码或公钥)
5.SSH登录用户
6.源登录IP
7.源登录端口
为预测预设设备是否为目标设备,可以从SSH登录日志中的上述字段中提取相关的预设特征属性,进而利用预先训练好的设备预测模型对所提取出的预设特征属性进行处理,并预测得到预设设备是否为目标设备的结论。目标设备所具有的共性包括:在一段时间内会多次远程登录其他设备,而登录其他设备的个数基本不会为1(因为一台运维管控设备通常会管理和维护多台其他设备)。此外,目标设备作为运维管控设备,远程登录其他设备的目的是管理和维护其他设备,具有较大权项,可能采用根用户的方式登录其他设备的概率较大。因此可以基于目标设备的这些共性,预先设置预设特征属性,并在获得预定时间段内的SSH登录日志后,从SSH登录日志中提取预设特征属性,并使用预先训练好的设备预测模型进行预测。设备预测模型也是通过预设特征属性进行预先训练得到的,能够根据预设设备的SSH登录日志中提取出的预设特征属性预测出预设设备是否为目标设备。设备预测模型可以采用人工智能模型进行训练。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。
本公开实施例中,第一获取模块601通过获取网络拓扑结构下设备的远程登录日志,提取模块602从中提取预设特征属性后,预测模块603根据预先训练好的预测模型对预设特征属性进行分析处理,预测得出该设备是否为目标设备。通过本公开的实施方式,可以从海量远程登录日志中提取出相关特征,并通过预先训练好的设备预测模型对相关特征进行分析处理,从海量设备中定位出对其他设备具有管控能力的目标设备,本公开利用设备训练技术极大的提升了从远程登录日志定位目标设备的准确性,很好的解决了大型网络拓扑结构下用于管控的设备难以定位的问题。
在本实施例的一个可选实现方式中,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
该可选的实现方式中,预设设备登录其他设备的次数可以基于每远程登录一次其他设备就加1的方式确定;而登录其他设备的个数可以基于在预定时间段内总共登录过的其他设备的个数,可以理解的是同一个设备可能被远程登录过多次,因此次数大于个数。目标设备作为运维管控设备,至少会在一段时间内远程登录其他设备,而且通常所登录的其他设备不止一个。此外,目标设备作为运维管控设备,还至少会在一段时间内远程登录其他设备,且登录其他设备的次数也不止一次。因此可以基于这两个预设特征属性,即预设设备远程登录其他设备的次数和个数中的一个或两个的组合判断预设设备是否为目标设备。而目标设备会在一段时间内登录几个其他设备以及多少次其他设备,跟其所在的网络拓扑结构以及应用环境相关,因此针对不同的网络拓扑结构及应用环境,至少可以使用预设设备远程登录其他设备的次数和个数中的一个或两个的组合预先训练得到设备预测模型,进而在实际应用中,利用该设备预测模型对该网络拓扑结构及应用环境下的预设设备进行预测。通过这种方式可以得到准确率较高的设备预测模型,使得目标设备的预测更加准确。
在本实施例的一个可选实现方式中,针对每条所述远程登录日志,所所述预设特征属性还包括以下至少一项:
所述预设设备远程登录其他设备时是否使用密钥登录;
所述预设设备以何种用户身份远程登录其他设备;
所述预设设备是否登录成功。
该可选的实现方式中,除了上述预设设备远程登录其他设备的次数和个数之外,还可以包括其他预设特征属性,能够辅助判断预设设备是否为目标设备,以增加预测的准确性。其他预设特征属性包括但不限于预设设备远程登录其他设备的登录方式、用户身份、是否登录成功等。登录方式包括是否使用密钥登录,用户身份包括系统用户、根用户和普通用户。通常情况下,在运维管控其他设备的过程中,目标设备可能会在短时间内多次登录其他设备,如果每次登录其他设备都手动输入用户名和密码,会占用运维人员的很多时间,因此通常情况下运维人为会为其他设备生成密钥对,即一对公钥和私钥,并将公钥存储在其他设备上,而目标设备上存储私钥,目标设备在登录其他设备时,可以自动将目标设备上的私钥和其他设备上的公钥进行配对,进而登录其他设备,这种方式下登录认证的过程都是自动的,无需人工干预,因此能够节省运维人员的时间和精力。此外,目标设备通常都会以根用户的身份登录其他设备,以便能够以最大权限来管控其他设备。使用上述这些预设特征属性进行预测,可以排除一些用户远程登录自己的设备进行工作等情形。在设备预测模型的训练阶段,还可以使用上述其他预设特征属性进行训练,使得设备预测模型的预测准确率进一步提高。
在本实施例的一个可选实现方式中,所述装置还包括:
第二获取模块,被配置为获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;
第一训练模块,被配置为利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
该可选的实现方式中,设备预测模型的训练阶段,可以先选出合适的人工智能模型。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。可以根据实际情况选择相应的人工智能模型的类型及结构,并根据预设特征属性的个数等建立人工智能模型。之后,第二获取模块可以收集训练样本。训练样本可以包括特征部分和结果标注部分,特征部分包括训练用的预设特征属性,可以是从目标设备(已知是目标设备的情况)在过去一段时间内的远程登录日志提取出来的,也可以是从非目标设备(已知是非目标设备的情况)在过去一段时间内的远程登录日志提取出来的,而结果标注部分用于标注训练样本为正训练样本还是负训练样本,正训练样本对应的是目标设备,而负训练样本对应的是非目标设备。在收集了足够多的训练样本后,训练模块可以利用训练样本对建立好的人工智能模型进行训练,直到训练次数达到一定值,或者人工智能模型的参数收敛,停止训练,训练得到的是能够预测是否为目标设备的设备预测模型。
在本实施例的一个可选实现方式中,所述第二获取模块,包括:
第一获取子模块,被配置为获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
第一确定子模块,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
生成子模块,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
该可选的实现方式中,历史时间段可以是过去的某一段时间,具体根据实际情况设置。在一实施例中,历史时间段和预定时间段的时间长度差不多,也即历史时间段和预定时间段的时间长度之差可以小于一预设阈值,这是因为在应用设备预测模型进行预测时,预设特征属性中包括预设设备在预定时间段内所登录其他设备的次数和个数。如果在训练设备预测模型时,所采用的历史时间段和预定时间段的时间长度相差不大的话,能使设备预测模型的预测准确率更高。在收集训练样本时,该实现方式中第一获取子模块收集预设网络拓扑结构下多个设备在历史时间段内产生的远程登录日志,第一确定子模块统计每个设备登录其他设备的次数和/或个数(包括次数、个数或两者的组合),生成子模块基于该次数和/或个数来确定该设备是否为目标设备,进而从远程登录日志提取出预设特征属性生成正训练样本和负训练样本的。这是因为经过统计分析可以发现,在一个设备登录其他设备的次数和/或个数大于一个较大阈值的情况下,基本上可以确定该设备为目标设备,而该次数和/或个数小于一个较小阈值的情况下,基本上可以确定该设备为非目标设备。因此,通过这种方式可以在并不确定目标设备的情况下,就能够收集到足够多的正训练样本和负训练样本。
另一方面,本公开还公开了设备预测模型的训练装置。图7示出根据本公开一实施方式的设备预测模型的训练装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示,所述设备预测模型的训练包括第三获取模块701、第一确定模块702、生成模块703和训练模块704:
第三获取模块701,被配置为获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
第一确定模块702,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
生成模块703,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;
第二训练模块704,被配置为利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
本实施例中,目标设备是可以被用来登录网络拓扑结构下其他设备,进而对其他设备进行管理和维护的设备。网络拓扑结构中的大多数都是非目标设备,也即用于执行应用的应用设备,而有一小部分是目标设备。随着网络拓扑结构运行时间的增加,越来越难以定位目标设备。因此,为了获得能够预测网络拓扑结构下的某台设备是否为目标设备,可以通过训练样本训练人工智能模型,得到设备预测模型。
本实施例中,第三获取模块701通过从网络拓扑结构下多个设备在历史时间段内产生的远程登录日志,第一确定模块702统计得出一台设备登录其他设备的次数,以及该设备登录其他不同设备的个数,生成模块703进而根据该次数和/或个数是否满足预设条件来判断是第一设备还是第二设备,如果是第一设备则生成模块703可以根据该第一设备对应的远程登录日志生成正训练样本,如果是第二设备则生成模块703可以根据该第二设备对应的远程登录日志生成负训练样本。也就是说,如果上述次数和/或个数满足预设条件,则可以认为该设备为目标设备,而如果不满足预设条件,则为非目标设备。而预设条件可以根据的网络拓扑结构下目标设备和非目标设备的实际情况进行设置。这是因为经过统计分析可以发现,在一个设备登录其他设备的次数和/或个数大于一个较大阈值的情况下,基本上可以确定该设备为目标设备,而该次数和/或个数小于一个较小阈值的情况下,基本上可以确定该设备为非目标设备,而较大阈值和较小阈值则可以根据实际情况进行设置。通过这种方式在目标设备不已知的情况下,依然能够生成正训练样本和负训练样本,并且所生成的正负训练样本的数量也能足够多。
在生成了训练样本后,第二训练模块704可以选择合适的人工智能模型进行训练。人工智能模型包括但不限于逻辑回归、卷积神经网络、深度神经网络、支持向量机、K-means、K-neighbors、决策树、随机森林、贝叶斯网络中的一种或多种的组合。可以根据实际情况选择相应的人工智能模型的类型,并根据预设特征属性的个数等建立人工智能模型。之后,可以利用训练样本对建立好的人工智能模型进行训练,直到训练次数达到一定值,或者人工智能模型的参数收敛,停止训练,训练得到的是能够预测是否为目标设备的设备预测模型。训练样本的收集、人工智能模型的选取与建立的顺序,可以根据实际情况而定,可以先收集训练样本,也可以先选取并建立人工智能模型。
本实施例的相关细节还可参见上述目标设备的预测装置的描述,在此不再赘述。
在本实施例的一个可选实现方式中,所述生成模块703,包括:
第一提取子模块,被配置为从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;
第二提取子模块,被配置为从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
该可选的实现方式中,在确定了第一设备(也即目标设备)和第二设备(非目标设备)后,第一提取子模块和第二提取子模块还可以从第一设备和第二设备对应的远程登录日志提取第一预设特征属性和第二预设特征属性,进而生成正训练样本和负训练样本。无论是正训练样本还是负训练样本,都包括两部分:特征部分和结果标注部分;特征部分包括能够表征该设备是否为目标设备的特征,也即前面提到的第一预设特征属性和第二预设特征属性,而结果标注部分用于标注该特征部分对应的是目标设备的特征还是非目标设备的特征。在第一预设特征属性和第二预设特征属性至少要包括第一设备和第二设备在历史时间段内登录其他设备的次数和登录其他不同设备的个数,除了这两个预设特征属性之外,还可以包括其他特征属性。
在本实施例的一个可选实现方式中,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
在本实施例的一个可选实现方式中,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:
所述第一设备远程登录其他设备时是否使用密钥登录;
所述第一设备以何种用户身份远程登录其他设备;
所述第一设备是否登录成功;
和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:
所述第二设备远程登录其他设备时是否使用密钥登录;
所述第二设备以何种用户身份远程登录其他设备;
所述第二设备是否登录成功。
该可选的实现方式中,第一设备对应的第一预设特征属性除了所述第一设备远程登录其他设备的次数和/或个数之外,还包括第一设备登录其他设备时的登录方式、登录结果以及登录所使用的用户身份。登录方式可以包括是否使用密钥登录,用户身份可以包括系统用户、根用户和普通用户。通常情况下,目标设备会采用密钥登录其他设备,且目标设备通常都会以根用户的身份登录其他设备,以便能够以最大权项来管控其他设备。使用其他预设特征属性进行训练,可以使得设备预测模型的预测准确率进一步提高。
该设备预测模型的训练装置的一些相关细节还可以参考上述对目标设备的预测装置中的描述,在此不再赘述。
图8是适于用来实现根据本公开实施方式的目标设备的预测方法的电子设备的结构示意图。
如图8所示,电子设备800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的程序或者从存储部分808加载到随机访问存储器(RAM)803中的程序而执行上述图1所示的实施方式中的各种处理。在RAM803中,还存储有电子设备800操作所需的各种程序和数据。CPU801、ROM802以及RAM803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
以下部件连接至I/O接口805:包括键盘、鼠标等的输入部分806;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分807;包括硬盘等的存储部分808;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分809。通信部分809经由诸如因特网的网络执行通信处理。驱动器810也根据需要连接至I/O接口805。可拆卸介质811,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器810上,以便于从其上读出的计算机程序根据需要被安装入存储部分808。
特别地,根据本公开的实施方式,上文参考图1描述的方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行图1的方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分809从网络上被下载和安装,和/或从可拆卸介质811被安装。
图8示出的上述电子设备同样适用于实现根据本公开另一实施方式的设备预测模型的训练方法。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (20)

1.一种目标设备的预测方法,其特征在于,包括:
获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;
从所述远程登录日志中提取预设特征属性;
利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
2.根据权利要求1所述的目标设备的预测方法,其特征在于,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
3.根据权利要求2所述的目标设备的预测方法,其特征在于,针对每条所述远程登录日志,所述预设特征属性还包括以下至少一项:
所述预设设备远程登录其他设备时是否使用密钥登录;
所述预设设备以何种用户身份远程登录其他设备;
所述预设设备是否登录成功。
4.根据权利要求1所述的目标设备的预测方法,其特征在于,所述方法还包括:
获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;
利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
5.根据权利要求4所述的目标设备的预测方法,其特征在于,所述获取多个训练样本包括:
获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
6.一种设备预测模型的训练方法,其特征在于,包括:
获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;
利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
7.根据权利要求6所述的设备预测模型的训练方法,其特征在于,从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本,包括:
从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;
从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
8.根据权利要求7所述的设备预测模型的训练方法,其特征在于,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
9.根据权利要求8所述的设备预测模型的训练方法,其特征在于,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:
所述第一设备远程登录其他设备时是否使用密钥登录;
所述第一设备以何种用户身份远程登录其他设备;
所述第一设备是否登录成功;
和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:
所述第二设备远程登录其他设备时是否使用密钥登录;
所述第二设备以何种用户身份远程登录其他设备;
所述第二设备是否登录成功。
10.一种目标设备的预测装置,其特征在于,包括:
第一获取模块,被配置为获取网络拓扑结构下预设设备在预定时间段内产生的远程登录日志;
提取模块,被配置为从所述远程登录日志中提取预设特征属性;
预测模块,被配置为利用预先训练好的设备预测模型对所述预设特征属性进行处理,并预测所述预设设备是否为所述网络拓扑结构下的目标设备;其中,所述目标设备被用于管控所述网络拓扑结构下的多个设备。
11.根据权利要求10所述的目标设备的预测装置,其特征在于,所述预设特征属性包括所述预设设备在所述预定时间段内远程登录所述网络拓扑结构下其他设备的次数和/或个数。
12.根据权利要求11所述的目标设备的预测装置,其特征在于,针对每条所述远程登录日志,所述预设特征属性还包括以下至少一项:
所述预设设备远程登录其他设备时是否使用密钥登录;
所述预设设备以何种用户身份远程登录其他设备;
所述预设设备是否登录成功。
13.根据权利要求10所述的目标设备的预测装置,其特征在于,所述装置还包括:
第二获取模块,被配置为获取多个训练样本;其中,所述训练样本包括特征部分和结果标注部分,所述特征部分包括所述预设特征属性,所述结果标注部分用于标注所述训练样本为正训练样本还是负训练样本;
第一训练模块,被配置为利用多个所述训练样本对人工智能模型进行训练,得到所述设备预测模型。
14.根据权利要求13所述的目标设备的预测装置,其特征在于,所述第二获取模块,包括:
第一获取子模块,被配置为获取所述网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
第一确定子模块,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
生成子模块,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本。
15.一种设备预测模型的训练装置,其特征在于,包括:
第三获取模块,被配置为获取网络拓扑结构下多个设备在历史时间段内产生的远程登录日志;
第一确定模块,被配置为从所述远程登录日志确定所述多个设备登录其他设备的次数和/或个数;
生成模块,被配置为从所述次数和/或个数满足预设条件的第一设备对应的远程登录日志,生成正训练样本,从所述次数和/或个数不满足所述预设条件的第二设备对应的远程登录日志生成负训练样本;
第二训练模块,被配置为利用所述正训练样本和负训练样本对人工智能模型进行训练,得到设备预测模型。
16.根据权利要求15所述的设备预测模型的训练装置,其特征在于,所述生成模块,包括:
第一提取子模块,被配置为从所述第一设备对应的远程登录日志提取第一预设特征属性,根据所述第一预设特征属性生成所述正训练样本;
第二提取子模块,被配置为从所述第二设备对应的远程登录日志提取所述第二预设特征属性,根据所述第二预设特征属性生成所述负训练样本。
17.根据权利要求16所述的设备预测模型的训练装置,其特征在于,所述第一预设特征属性至少包括所述第一设备远程登录其他设备的次数和/或个数;和/或,所述第二预设特征属性至少包括所述第二设备远程登录其他设备的次数和/或个数。
18.根据权利要求17所述的设备预测模型的训练装置,其特征在于,针对所述第一设备对应的每条所述远程登录日志,所述第一预设特征属性还包括以下至少一项:
所述第一设备远程登录其他设备时是否使用密钥登录;
所述第一设备以何种用户身份远程登录其他设备;
所述第一设备是否登录成功;
和/或,针对所述第一设备对应的每条所述远程登录日志,所述第二预设特征属性还包括以下至少一项:
所述第二设备远程登录其他设备时是否使用密钥登录;
所述第二设备以何种用户身份远程登录其他设备;
所述第二设备是否登录成功。
19.一种电子设备,其特征在于,包括存储器和处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现权利要求1-9任一项所述的方法步骤。
20.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被处理器执行时实现权利要求1-9任一项所述的方法步骤。
CN201810924481.3A 2018-08-14 2018-08-14 目标设备的预测方法、装置、电子设备及存储介质 Pending CN109218077A (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201810924481.3A CN109218077A (zh) 2018-08-14 2018-08-14 目标设备的预测方法、装置、电子设备及存储介质
TW108120240A TWI706646B (zh) 2018-08-14 2019-06-12 目標設備的預測方法、裝置、電子設備及儲存媒體
PCT/CN2019/092369 WO2020034756A1 (zh) 2018-08-14 2019-06-21 目标设备的预测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810924481.3A CN109218077A (zh) 2018-08-14 2018-08-14 目标设备的预测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN109218077A true CN109218077A (zh) 2019-01-15

Family

ID=64988653

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810924481.3A Pending CN109218077A (zh) 2018-08-14 2018-08-14 目标设备的预测方法、装置、电子设备及存储介质

Country Status (3)

Country Link
CN (1) CN109218077A (zh)
TW (1) TWI706646B (zh)
WO (1) WO2020034756A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110753039A (zh) * 2019-09-29 2020-02-04 苏州浪潮智能科技有限公司 一种远程登录安全防护的方法及装置
WO2020034756A1 (zh) * 2018-08-14 2020-02-20 阿里巴巴集团控股有限公司 目标设备的预测方法、装置、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101694652A (zh) * 2009-09-30 2010-04-14 西安交通大学 一种基于极速神经网络的网络资源个性化推荐方法
CN102263790A (zh) * 2011-07-18 2011-11-30 华北电力大学 一种基于集成学习的入侵检测方法
CN103077347A (zh) * 2012-12-21 2013-05-01 中国电力科学研究院 一种基于改进核心向量机数据融合的复合式入侵检测方法
CN107800683A (zh) * 2017-09-08 2018-03-13 微梦创科网络科技(中国)有限公司 一种挖掘恶意ip的方法及装置
US20180075363A1 (en) * 2016-09-15 2018-03-15 Accenture Global Solutions Limited Automated inference of evidence from log information

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201110614A (en) * 2009-09-04 2011-03-16 Chunghwa Telecom Co Ltd Broadband network information service topology analysis method
US9553772B2 (en) * 2013-02-05 2017-01-24 Cisco Technology, Inc. Dynamically determining node locations to apply learning machine based network performance improvement
TW201703474A (zh) * 2015-07-14 2017-01-16 Chunghwa Telecom Co Ltd 用於內容傳遞網路之智慧重導向系統及其方法
CN105119750B (zh) * 2015-09-08 2019-04-19 南京联成科技发展股份有限公司 一种基于大数据的分布式信息安全运维管理平台系统
CN105450442B (zh) * 2015-11-06 2019-02-15 广东电网有限责任公司电力科学研究院 一种网络拓扑排查方法及其系统
CN105227383B (zh) * 2015-11-06 2018-07-03 广东电网有限责任公司电力科学研究院 一种网络拓扑排查的装置
CN206332681U (zh) * 2016-11-24 2017-07-14 国网新疆电力公司信息通信公司 便携式pda网络告警采集器
TW201822521A (zh) * 2016-12-02 2018-06-16 台灣大哥大股份有限公司 電信網路因應行動裝置應用程式之優化系統與方法
CN106778259B (zh) * 2016-12-28 2020-01-10 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN107819631B (zh) * 2017-11-23 2021-03-02 东软集团股份有限公司 一种设备异常检测方法、装置及设备
CN108306760A (zh) * 2017-12-28 2018-07-20 中国银联股份有限公司 用于在分布式系统中使管理能力自恢复的方法和装置
CN109218077A (zh) * 2018-08-14 2019-01-15 阿里巴巴集团控股有限公司 目标设备的预测方法、装置、电子设备及存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101694652A (zh) * 2009-09-30 2010-04-14 西安交通大学 一种基于极速神经网络的网络资源个性化推荐方法
CN102263790A (zh) * 2011-07-18 2011-11-30 华北电力大学 一种基于集成学习的入侵检测方法
CN103077347A (zh) * 2012-12-21 2013-05-01 中国电力科学研究院 一种基于改进核心向量机数据融合的复合式入侵检测方法
US20180075363A1 (en) * 2016-09-15 2018-03-15 Accenture Global Solutions Limited Automated inference of evidence from log information
CN107800683A (zh) * 2017-09-08 2018-03-13 微梦创科网络科技(中国)有限公司 一种挖掘恶意ip的方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020034756A1 (zh) * 2018-08-14 2020-02-20 阿里巴巴集团控股有限公司 目标设备的预测方法、装置、电子设备及存储介质
CN110753039A (zh) * 2019-09-29 2020-02-04 苏州浪潮智能科技有限公司 一种远程登录安全防护的方法及装置

Also Published As

Publication number Publication date
TW202010292A (zh) 2020-03-01
TWI706646B (zh) 2020-10-01
WO2020034756A1 (zh) 2020-02-20

Similar Documents

Publication Publication Date Title
Wang et al. A tensor-based big-data-driven routing recommendation approach for heterogeneous networks
US10970491B2 (en) Incident matching with vector-based natural language processing
CN111565205A (zh) 网络攻击识别方法、装置、计算机设备和存储介质
Li et al. Efficient provision of service function chains in overlay networks using reinforcement learning
Ajorlou et al. Artificial bee colony algorithm for CONWIP production control system in a multi-product multi-machine manufacturing environment
Terra et al. Explainability methods for identifying root-cause of SLA violation prediction in 5G network
US20190392140A1 (en) Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium
CN108228430A (zh) 一种服务器监控方法及装置
CN106096034A (zh) 应用程序日志管理方法及装置
CN110535850A (zh) 帐号登录的处理方法和装置、存储介质及电子装置
CN109218077A (zh) 目标设备的预测方法、装置、电子设备及存储介质
CN110046297A (zh) 运维违规操作的识别方法、装置和存储介质
Skopik et al. synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems
Friesen et al. Machine learning for zero-touch management in heterogeneous industrial networks-a review
Yang et al. An evolutionary algorithm for optimizing the machine repair problem under a threshold recovery policy
Shepard et al. A knowledge-based approach to network security: Applying Cyc in the domain of network risk assessment
CN107819745A (zh) 异常流量的防御方法和装置
Miranda et al. On the flow of software security advisories
EP4165532A2 (en) Application protectability schemes for enterprise applications
Alshawish et al. Risk mitigation in electric power systems: Where to start?
CN112131544A (zh) 一种跳板机用户管理的shell脚本方法
JPWO2021192191A5 (ja) 異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム
WO2019123478A1 (en) A system for extracting and analyzing data and a method thereof
US9229898B2 (en) Causation isolation using a configuration item metric identified based on event classification
CN106372859A (zh) 定时任务控制分析方法及系统、主控服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20200918

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant after: Innovative advanced technology Co.,Ltd.

Address before: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant before: Advanced innovation technology Co.,Ltd.

Effective date of registration: 20200918

Address after: Cayman Enterprise Centre, 27 Hospital Road, George Town, Grand Cayman Islands

Applicant after: Advanced innovation technology Co.,Ltd.

Address before: A four-storey 847 mailbox in Grand Cayman Capital Building, British Cayman Islands

Applicant before: Alibaba Group Holding Ltd.

TA01 Transfer of patent application right
RJ01 Rejection of invention patent application after publication

Application publication date: 20190115

RJ01 Rejection of invention patent application after publication