CN111651760A - 一种设备安全状态综合分析的方法及计算机可读存储介质 - Google Patents

一种设备安全状态综合分析的方法及计算机可读存储介质 Download PDF

Info

Publication number
CN111651760A
CN111651760A CN202010769526.1A CN202010769526A CN111651760A CN 111651760 A CN111651760 A CN 111651760A CN 202010769526 A CN202010769526 A CN 202010769526A CN 111651760 A CN111651760 A CN 111651760A
Authority
CN
China
Prior art keywords
log data
scene
abnormal
common behavior
behavior characteristics
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010769526.1A
Other languages
English (en)
Other versions
CN111651760B (zh
Inventor
巩国栋
严朝豪
薛野
宋洋
孙凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Zhixiang Technology Co Ltd
Original Assignee
Beijing Zhixiang Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Zhixiang Technology Co Ltd filed Critical Beijing Zhixiang Technology Co Ltd
Priority to CN202010769526.1A priority Critical patent/CN111651760B/zh
Publication of CN111651760A publication Critical patent/CN111651760A/zh
Application granted granted Critical
Publication of CN111651760B publication Critical patent/CN111651760B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • G06F18/2135Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods based on approximation criteria, e.g. principal component analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • G06F18/2148Generating training patterns; Bootstrap methods, e.g. bagging or boosting characterised by the process organisation or structure, e.g. boosting cascade
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/24323Tree-organised classifiers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种设备安全状态综合分析的方法及计算机可读存储介质,本发明通过综合获取全面的日志数据,从获取的日志数据中提取特征,基于提炼出的特征通过XGboost算法训练生成检测模型,并通过检测模型对异常行为进行检测,也就是说,本发明是基于全面的日志数据来对设备进行异常检测,从而实现准确地检测异常行为,继而有效解决了现有技术中对设备异常检测准确率低的问题。

Description

一种设备安全状态综合分析的方法及计算机可读存储介质
技术领域
本发明涉及计算机技术领域,特别是涉及一种设备安全状态综合分析的方法及计算机可读存储介质。
背景技术
现有技术中对设备等计算机设备的信息安全状态分析方法主要是:基于某一种类的日志数据通过关键字匹配或者规则匹配来识别当前是否安全,例如,防火墙主要是通过检测设备的网络连接日志来判断是否存在攻击,杀毒软件主要是检测设备的文件操作日志来判断是否存在病毒等等。
也就是说,现有主要是通过单一日志数据来对设备进行异常检测,而这种根据单一种类日志的规则匹配以及关键词匹配的安全状态分析方法存在较多的误报和漏报情况,从而降低了设备异常检测的准确率。
发明内容
本发明提供了一种设备安全状态综合分析的方法及计算机可读存储介质,以解决现有技术中设备异常检测准确率低的问题。
第一方面,本发明提供了一种设备安全状态综合分析的方法,包括:获取日志数据,其中,所述日志数据包括以下中的一种或多种:文件操作日志数据、网络连接日志数据、进程日志数据和人机交互状态日志数据;根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型,并通过所述检测模型对设备安全状态进行检测,得到检测结果。
可选地,所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型,包括:对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,基于提炼出的共性行为特征建立与该种日志数据唯一对应的独立特征库;进一步对所有种类的日志数据进行关联分析,提炼出安全场景和异常场景下的相关联的共性行为特征,并基于该相关联的共性行为特征建立关联特征库;根据所述独立特征库和所述关联特征库内的共性行为特征,通过XGboost算法训练生成所述检测模型。
可选地,对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,基于提炼出的共性行为特征建立与该种日志数据唯一对应的独立特征库,包括:对所述文件操作日志数据进行分析,提炼出所述文件操作日志数据的安全场景和异常场景下的共性行为特征,建立与所述文件操作日志数据对应的第一独立特征库;对所述网络连接日志数据进行分析,提炼出所述网络连接日志数据的安全场景和异常场景下的共性行为特征,建立与所述网络连接日志数据对应的第二独立特征库;对所述进程日志数据进行分析,提炼出所述进程日志数据的安全场景和异常场景下的共性行为特征,建立与所述进程日志数据对应的进程对应的第三独立特征库;以及对所述人机交互状态日志数据进行分析,提炼出所述人机交互状态日志数据的安全场景和异常场景下的共性行为特征,建立与所述人机交互状态日志数据对应的第四独立特征库。
可选地,通过主成分分析法PCA对所述独立特征库和所述关联特征库进行特征降维处理,以对所述独立特征库和所述关联特征库内的特征进行优化。
可选地,所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型,包括:通过决策树来对安全场景和异常场景下的共性行为特征进行分类,并基于分类后的安全场景和异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型。
可选地,在得到检测结果之后,所述方法还包括:设定异常行为的共性行为特征的数据检测阈值;当所述检测结果中异常行为的共性行为特征的数值超过所述数据检测阈值时,进行报警。
可选地,所述得到检测结果之后,所述方法还包括:根据所述检测结果中异常行为的共性行为特征的数值与所述数据检测阈值的差异程度,对所述检测结果中的异常行为的异常程度进行量化显示。
可选地,所述得到检测结果之后,所述方法还包括:根据所述检测结果进一步训练所述检测模型,以供后续对异常行为进行检测时使用。
可选地,所述获得检测结果之后,所述方法还包括:根据所述设备的当前安全策略配置以及所述检测结果,生成所述设备的安全策略并下发给所述设备。
第二方面,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现上述任一种所述的设备安全状态综合分析的方法。
本发明有益效果如下:
本发明通过综合获取全面的日志数据,从获取的日志数据中提取特征,基于提炼出的特征通过XGboost算法训练生成检测模型,并通过检测模型对异常行为进行检测,也就是说,本发明是基于全面的日志数据来对设备进行异常检测,从而实现准确地检测异常行为,继而有效解决了现有技术中对设备异常检测准确率低的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1是本发明第一实施例提供的一种设备安全状态综合分析的方法的流程示意图;
图2是本发明第一实施例提供的一种设备安全状态综合分析的方法的框架图。
具体实施方式
本发明实施例针对现有技术中对设备异常检测准确率低的问题,通过获取全面的日志数据来对设备进行异常检测,从而实现准确地检测异常行为,继而有效解决了现有技术中对设备异常检测准确率低的问题。以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
本发明第一实施例提供了一种设备安全状态综合分析的方法,参见图1,在测试机侧,该方法包括:
S101、获取日志数据;
即,获取待测设备的所有日志数据。
需要说明的是,本发明实施例所述的日志数据包括:文件操作日志数据、网络连接日志数据、进程日志数据和人机交互状态日志数据,当然该日志数据也可以是其他的日志数据,具体实施时,本领域技术人员可以根据需要来具体进行设置,本发明对此不作具体限定。
基于单一种类的日志数据(例如文件操作或网络状态)的设备信息安全状态分析方法,对于部分不安全场景,例如:远程控制、加密数据泄露等信息安全事件的检测和分析则会存在明显漏洞,即仅基于单一日志对与不安全事件和场景的分析并不完备。
所以本发明实施例通过综合分析文件操作日志、网络监控日志、进程启停日志、人机交互日志,建立统一的特征描述,以对设备的设备和数据安全状态进行文件、网络、进程、人机交互多个维度的定量分析和关联分析,从减少异常状态的误判率和漏判率,继而提高异常检测的准确率。
具体实施时,本发明实施例是通过抓取设备操作系统底层命令的执行记录生成系统日志,包括文件系统日志、网络状态日志、进程日志等等,并上传到日志分析服务器进行分析,具体步骤包括:
设备软件安装,即在设备上安装特定的软件,通过该软件来完成日志数据收集、日志数据生成、日志数据分析、日志数据上传、以及接受服务器下发的消息并采取相应操作。
S102、根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型;
S103、通过所述检测模型对设备安全状态进行检测,得到检测结果。
即,相对于现有的关键词匹配和规则分析方法,对未知场景的分析能力弱,从而导致误判率和漏判率均较高的问题,本发明实施例是利用综合利用所有日志数据并通过机器学习的泛化能力来提高异常检测的准确率。
换句话来说,本发明实施例是通过对文件操作、网络连接、进程、人机交互状态日志的综合分析,充分利用了系统日志信息,并使用决策树和XGboost 作为代替规则匹配的分析方法,以提高了分析方法的泛化能力,使分析方法具有一定的对新型不安全场景的分析能力。
具体实施时,本发明实施例所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型,包括:
对每一种日志数据进行分析,以对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,建立与该种日志数据相唯一对应的独立特征库;
进一步对所有种类的日志数据进行关联分析,提炼出安全场景和异常场景下的相关联的共性行为特征,并基于该相关联的共性行为特征建立关联特征库;
根据所述独立特征库和所述关联特征库内的共性行为特征,通过XGboost算法训练生成所述检测模型。
具体来说,本发明实施例是通过对安全场景和异常场景进行分析,针对每一种日志数据分别建立一个独立的特征库,并对所有日志数据进行关联分析,建立关联特征库,然后基于独立特征库和关联特征库内的共性行为特征,通过XGboost算法训练生成所述检测模型。
即,本发明实施例是通过综合获取全面的日志数据,并在对每一种日志数据进行分析的基础上,进一步对所有日志数据进行关联分析,从而得到安全场景和异常场景的全面的共性行为特征,通过该共性行为特征来训练检测模型,从而得到更准确的检测模型,进而最终提高了异常检测的准确性。
进一步地,本发明实施例中,对每一种日志数据进行分析,以对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,建立与该种日志数据相唯一对应的独立特征库,包括:
对所述文件操作日志数据进行分析,提炼出所述文件操作日志数据的安全场景和异常场景下的共性行为特征,建立与所述文件操作日志数据对应的第一独立特征库;
对所述网络连接日志数据进行分析,提炼出所述网络连接日志数据的安全场景和异常场景下的共性行为特征,建立与所述网络连接日志数据对应的第二独立特征库;
对所述进程日志数据进行分析,提炼出所述进程日志数据的安全场景和异常场景下的共性行为特征,建立与所述进程日志数据对应的进程对应的第三独立特征库;
以及对所述人机交互状态日志数据进行分析,提炼出所述人机交互状态日志数据的安全场景和异常场景下的共性行为特征,建立与所述人机交互状态日志数据对应的第四独立特征库。
即,本发明实施例是基于每一种日志数据,通过对其进行分析,提炼出所述进程日志数据的安全场景和异常场景下的共性行为特征,并基于提炼出来的共性行为特征建立该种日志数据的独立特征库,以供后续训练模型使用。
具体实施时,本发明实施例所述的方法还包括:通过主成分分析法(PrincipalComponents Analysis,PCA)来对所述独立特征库和所述关联特征库进行特征降维优化处理,以对所述独立特征库和所述关联特征库内的特征进行优化。
即,在具体实施时,为了获得更准确的共性行为特征,本发明实施例通过PCA法来对上述对特征分析提炼后得到共性行为特征进行降维优化处理,以去除不必要的共性行为特征,从而减少训练检测模型的时间,继而提高训练效率。
当然,在具体实施时,本发明实施例也可以通过其他方法来对提炼出来的共性行为特征进行优化处理,本发明对此不作具体限定。
需要说明的是,在具体实施时,本发明领域技术人员也可以根据需要对采集的日志数据进行清洗处理,以去除重复的和不必要的日志数据,从而节省整体的日志数据分析时间。
具体实施时,本发明实施例中,所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型,包括:
通过决策树来对安全场景和异常场景下的共性行为特征进行分类,并基于分类后的安全场景和异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型。
具体来说,决策树的每一层都可理解为单一日志的一个规则,因此决策树部分包含了单一日志的规则分析结果,而XGboost 作为集成方法,可以充分利用多种类型日志。所以本发明实施例可以通过机器学习的泛化能力来有效提高异常检测的准确率。
进一步地,本发明实施例中,所述通过所述检测模型对设备安全状态进行检测,包括:设定异常行为的共性行为特征的数据检测阈值;当所述检测结果中异常行为的共性行为特征的数值超过所述数据检测阈值,则进行报警。
并在得到检测结果之后,根据所述检测结果中异常行为的共性行为特征的数值与所述数据检测阈值的差异程度,对所述检测结果中的异常行为的异常程度进行量化显示,以便于用户直观的查看检测结果,从而大大提升了用户体验。
总体来说,比起传统的通过关键字搜索和预先定义的规则匹配手动检查日志的方式而言,本发明实施例可以大大降低工作复杂程度,同时能够实时的对异行为进行拦截和阻断。
具体实施时,本发明实施例所述方法还可以包括:根据所述检测结果进一步训练所述检测模型,以供后续对异常行为进行检测时使用。
即,本发明实施例可将检测结果进一步来训练检测模型,从而对检测模型的各种系数进行修订,以提高检测模型的检测精度,从而最终提高检测结果的准确度。
具体实施时,本发明实施例所述的方法还可包括:根据所述设备的当前安全策略配置以及所述检测结果,生成所述设备的安全策略并下发给所述设备。
具体来说,在获得检测结果之后,为了更好的提高设备的安全度,本发明实施例通过基于设备的当前安全策略配置以及所述检测结果,生成所述设备的安全策略并下发给所述设备。
例如,根据当前安全策略配置以及检测结果,生成对对应的网络管控或者系统控制等等,以有效对设备进行安全管控。
下面将以设备对设备进行综合管控为例,结合图2对本发明实施例所述的方法进行详细的解释和说明:
通过设置在设备上的软件来采集设备上的各种日志数据,并上传到服务器,服务端对接收到的日志数据进行保存;
制造各种典型不安全场景,在设备上生成典型的不安全场景日志,并自动上传到服务器。服务器接收日志并存入日志数据库。同时积累设备正常状态日志。
本发明实施例中日志特征分析和特征库建立包括:
分析安全场景日志和不安全场景日志,建立包括多种日志的特征库。
具体来说,对于安全场景以及不安全场景(即,异常场景)的日志,根据经验观察其对应日志的特点。例如:当设备被其他机器远程控制时,会有该设备与控制者的连续网络连接,且有相关联的本地进程,且该设备一般无人机交互情况。当某设备尝试通过网络发送包含其所属单位不允许网络发送的数据文件时,会有该文件被进程A打开操作的文件系统日志,和打开该文件的进程A的网络流量日志,和对应的人机交互日志。以上不安全场景均需要综合多种日志进行分析。
本发明实施例中特征库的建立分为两步:
首先,对于文件操作日志、网络监控日志、进程启停日志、人机交互日志,根据经验分别建立与每种日志相对应的独立特征库。
其次,根据上述的安全和不安全场景的分析,建立包括多种日志关联的特征库,例如:进程A在某一时间段内是否既有文件操作又有网络传输,其网络上传的流量是否大于或等于其打开的文件大小等。
对上一步建立的特征库中的特征,观察其在安全场景和不安全场景中的分布是否一致,并进行特征衍生和优化。
本发明实施例中建立检测模型包括:
对样本库中的安全场景样本和不安全场景样本分别计算特征库中的特征,即得到可用于有标签的特征样本库,可用于训练检测模型。
选择决策树模型作为基本分类算法,XGboost作为组合策略,训练得到状态分类器。决策树+ XGboost用于当前分析场景的优点:
决策树的每一层都可理解为单一日志的一个规则,因此决策树部分包含了单一日志的规则分析结果。
XGboost 作为集成方法,可以充分利用多种类型日志。
状态分析和结果反馈:
计算新产生的设备日志的特征取值,得到特征向量,使用上一步得到的分类器,即可得到新日志对应的设备安全状态。服务器根据当前安全策略配置和当前设备安全状态,生成相应设备安全策略,包括网络管控、系统控制等等,下发给设备。
总体来说,本发明实施例通过建立抽象特征库,实现了对不安全场景的共性描述,避免了规则匹配方法建立规则库的巨大人力成本和泛化能力不足,对新型不安全场景缺乏分析能力的缺点,而且本发明通过文件操作日志、网络监控日志、进程启停日志、人机交互日志和决策树+XGboost的综合分析方法,充分利用了部分场景单一特征的准确性,且在单一特征无法判定时有效利用了其他系统信息。
本发明第二实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现本发明第一实施例中任一种所述的设备安全状态综合分析的方法。
本发明实施例的相关内容可参见本发明第一实施例进行理解,在此不做详细论述。
尽管为示例目的,已经公开了本发明的优选实施例,本领域的技术人员将意识到各种改进、增加和取代也是可能的,因此,本发明的范围应当不限于上述实施例。

Claims (10)

1.一种设备安全状态综合分析的方法,其特征在于,包括:
获取日志数据,其中,所述日志数据包括以下中的一种或多种:文件操作日志数据、网络连接日志数据、进程日志数据和人机交互状态日志数据;
根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成检测模型,并通过所述检测模型对设备安全状态进行检测,得到检测结果。
2.根据权利要求1所述的方法,其特征在于,所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成检测模型,包括:
对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,基于提炼出的共性行为特征建立与该种日志数据唯一对应的独立特征库;
进一步对所有种类的日志数据进行关联分析,提炼出安全场景和异常场景下的相关联的共性行为特征,并基于该相关联的共性行为特征建立关联特征库;
根据所述独立特征库和所述关联特征库内的共性行为特征,通过XGboost算法训练生成所述检测模型。
3.根据权利要求2所述的方法,其特征在于,对每一种所述日志数据均分别提炼出安全场景和异常场景下的共性行为特征,基于提炼出的共性行为特征建立与该种日志数据唯一对应的独立特征库,包括:
对所述文件操作日志数据进行分析,提炼出所述文件操作日志数据的安全场景和异常场景下的共性行为特征,建立与所述文件操作日志数据对应的第一独立特征库;
对所述网络连接日志数据进行分析,提炼出所述网络连接日志数据的安全场景和异常场景下的共性行为特征,建立与所述网络连接日志数据对应的第二独立特征库;
对所述进程日志数据进行分析,提炼出所述进程日志数据的安全场景和异常场景下的共性行为特征,建立与所述进程日志数据对应的进程对应的第三独立特征库;
以及对所述人机交互状态日志数据进行分析,提炼出所述人机交互状态日志数据的安全场景和异常场景下的共性行为特征,建立与所述人机交互状态日志数据对应的第四独立特征库。
4.根据权利要求2所述的方法,其特征在于,
通过主成分分析法PCA对所述独立特征库和所述关联特征库进行特征降维处理,以对所述独立特征库和所述关联特征库内的特征进行优化。
5.根据权利要求1所述的方法,其特征在于,所述根据所述日志数据提炼出安全场景及异常场景下的共性行为特征,通过XGboost算法训练生成检测模型,包括:
通过决策树来对安全场景和异常场景下的共性行为特征进行分类,并基于分类后的安全场景和异常场景下的共性行为特征,通过XGboost算法训练生成所述检测模型。
6.根据权利要求1-5中任意一项所述的方法,其特征在于,在得到检测结果之后,所述方法还包括:
设定异常行为的共性行为特征的数据检测阈值;
当所述检测结果中异常行为的共性行为特征的数值超过所述数据检测阈值时,进行报警。
7.根据权利要求6所述的方法,其特征在于,所述得到检测结果之后,所述方法还包括:
根据所述检测结果中异常行为的共性行为特征的数值与所述数据检测阈值的差异程度,对所述检测结果中的异常行为的异常程度进行量化显示。
8.根据权利要求1-5中任意一项所述的方法,其特征在于,所述得到检测结果之后,所述方法还包括:
根据所述检测结果进一步训练所述检测模型,以供后续对异常行为进行检测时使用。
9.根据权利要求1-5中任意一项所述的方法,其特征在于,所述得到检测结果之后,所述方法还包括:
根据所述设备的当前安全策略配置以及所述检测结果,生成所述设备的安全策略并下发给所述设备。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有信号映射的计算机程序,所述计算机程序被至少一个处理器执行时,以实现权利要求1-9中任意一项所述的设备安全状态综合分析的方法。
CN202010769526.1A 2020-08-04 2020-08-04 一种设备安全状态综合分析的方法及计算机可读存储介质 Active CN111651760B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010769526.1A CN111651760B (zh) 2020-08-04 2020-08-04 一种设备安全状态综合分析的方法及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010769526.1A CN111651760B (zh) 2020-08-04 2020-08-04 一种设备安全状态综合分析的方法及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN111651760A true CN111651760A (zh) 2020-09-11
CN111651760B CN111651760B (zh) 2020-11-20

Family

ID=72352592

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010769526.1A Active CN111651760B (zh) 2020-08-04 2020-08-04 一种设备安全状态综合分析的方法及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN111651760B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112364284A (zh) * 2020-11-23 2021-02-12 北京八分量信息科技有限公司 基于上下文进行异常侦测的方法、装置及相关产品
CN113254919A (zh) * 2021-07-14 2021-08-13 杭州云信智策科技有限公司 异常设备识别方法、电子设备和计算机可读存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
CN107678930A (zh) * 2017-09-11 2018-02-09 华东理工大学 一种基于光滑支持向量机的银行自动终端异常报警方法
US20180176243A1 (en) * 2016-12-16 2018-06-21 Patternex, Inc. Method and system for learning representations for log data in cybersecurity
CN110210512A (zh) * 2019-04-19 2019-09-06 北京亿阳信通科技有限公司 一种自动化日志异常检测方法及系统
CN111104242A (zh) * 2019-12-20 2020-05-05 青岛海尔科技有限公司 基于深度学习的操作系统的异常日志的处理方法及装置
CN111177095A (zh) * 2019-12-10 2020-05-19 中移(杭州)信息技术有限公司 日志分析方法、装置、计算机设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180176243A1 (en) * 2016-12-16 2018-06-21 Patternex, Inc. Method and system for learning representations for log data in cybersecurity
CN107154950A (zh) * 2017-07-24 2017-09-12 深信服科技股份有限公司 一种日志流异常检测的方法及系统
CN107678930A (zh) * 2017-09-11 2018-02-09 华东理工大学 一种基于光滑支持向量机的银行自动终端异常报警方法
CN110210512A (zh) * 2019-04-19 2019-09-06 北京亿阳信通科技有限公司 一种自动化日志异常检测方法及系统
CN111177095A (zh) * 2019-12-10 2020-05-19 中移(杭州)信息技术有限公司 日志分析方法、装置、计算机设备及存储介质
CN111104242A (zh) * 2019-12-20 2020-05-05 青岛海尔科技有限公司 基于深度学习的操作系统的异常日志的处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
宋佳明: "基于人工智能的网络异常行为分析", 《中国优秀硕士学位论文全文数据库》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112364284A (zh) * 2020-11-23 2021-02-12 北京八分量信息科技有限公司 基于上下文进行异常侦测的方法、装置及相关产品
CN112364284B (zh) * 2020-11-23 2024-01-30 北京八分量信息科技有限公司 基于上下文进行异常侦测的方法、装置及相关产品
CN113254919A (zh) * 2021-07-14 2021-08-13 杭州云信智策科技有限公司 异常设备识别方法、电子设备和计算机可读存储介质

Also Published As

Publication number Publication date
CN111651760B (zh) 2020-11-20

Similar Documents

Publication Publication Date Title
CN112769796B (zh) 一种基于端侧边缘计算的云网端协同防御方法及系统
CN107154950B (zh) 一种日志流异常检测的方法及系统
CN108683687B (zh) 一种网络攻击识别方法及系统
CN108471429B (zh) 一种网络攻击告警方法及系统
CN111881452B (zh) 一种面向工控设备的安全测试系统及其工作方法
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN111177714B (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN108965340B (zh) 一种工业控制系统入侵检测方法及系统
CN108833185B (zh) 一种网络攻击路线还原方法及系统
CN111651760B (zh) 一种设备安全状态综合分析的方法及计算机可读存储介质
CN110324323B (zh) 一种新能源厂站涉网端实时交互过程异常检测方法及系统
CN114039758B (zh) 一种基于事件检测模式的网络安全威胁识别方法
CN116781430B (zh) 用于燃气管网的网络信息安全系统及其方法
CN113157994A (zh) 一种多源异构平台数据处理方法
CN111444072B (zh) 客户端的异常识别方法、装置、计算机设备和存储介质
CN116662989B (zh) 一种安全数据解析方法及系统
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
CN112001443A (zh) 网络行为数据的监控方法、装置、存储介质及电子设备
CN111935064A (zh) 一种工控网络威胁自动隔离方法及系统
CN115618353A (zh) 一种工业生产安全的识别系统及方法
CN117411703A (zh) 一种面向Modbus协议的工业控制网络异常流量检测方法
CN116956282B (zh) 基于网络资产内存时间序列多特征数据的异常检测系统
CN117439916A (zh) 一种网络安全测试评估系统及方法
CN112073396A (zh) 一种内网横向移动攻击行为的检测方法及装置
CN114285596B (zh) 基于机器学习的变电站终端账号异常检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant