CN112104503B - 一种基于流转模型的数据异常流转的监测分析系统及方法 - Google Patents

Abstract

一种基于流转模型的数据异常流转的监测分析系统，包括用于从数据流量中按照特征库中的特征获取特征值并对特征值进行处理的特征解析模块、用于根据特征值建立流转模型并不断对流转模型进行优化的自学习建模与优化模块、用于在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数并根据异常分数判断是否是异常流转的异常流转打分模块。一种基于流转模型的数据异常流转的监测分析方法，按照特征库中的特征获取特征值并对特征值进行处理；根据特征值建立流转模型并不断对流转模型进行调整；在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转。本发明加快监测速度，减少人工工作量。

Description

一种基于流转模型的数据异常流转的监测分析系统及方法

技术领域

本发明涉及数据异常流转监测领域，特别是一种基于流转模型的数据异常流转的监测分析系统及方法。

背景技术

目前，主要通过人工分析的方式进行数据异常流转的分析，这样速度慢，耗费人力。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于流转模型的数据异常流转的监测分析系统及方法，实现对数据异常流转的监测，加快监测速度，通过机器识别的方式有效减少人工工作量。

本发明的目的是通过以下技术方案来实现的：

一种基于流转模型的数据异常流转的监测分析系统，所述监测分析系统包括特征解析模块、自学习建模与优化模块及异常流转打分模块；

所述特征解析模块包括特征库，特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

所述自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行优化；

所述异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转。

进一步，所述特征库为多维特征库，所述多维特征库包括不同维度的特征；所述特征解析模块按照不同维度的特征获取特征值。

进一步，所述自学习建模与优化模块包括特征值标准化子模块、转换子模块以及建模与优化子模块；

所述特征值标准化子模块对特征值进行归一化处理得到标准特征值；

所述转换子模块将标准特征值转换为调整参数值；

所述建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

进一步，所述异常流转打分模块包括权重库和特征分数库，所述权重库中含有与特征一一对应的权重值，所述特征分数库中含有与特征一一对应的分数值，所述异常流转打分模块计算不同特征值与流转模型之间的偏离度，并根据偏离度结合权重库和特征分数库计算得到异常分数。

进一步，所述监测分析系统还包括人工分析接口和打分调整模块；

所述人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

所述打分调整模块根据人工分析结果对异常流转打分模块进行调整。

一种基于流转模型的数据异常流转的监测分析方法，所述监测分析方法包括以下步骤：

S1：特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

S2：自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行调整；

S3：异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转。

进一步，步骤S2包括以下子步骤：

S201：特征值标准化子模块对特征值进行归一化处理得到标准特征值；

S202：转换子模块将标准特征值转换为调整参数值；

S203：建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

进一步，步骤S3包括以下子步骤：

S301：计算不同特征值与流转模型之间的偏离度；

S302：根据偏离度结合权重库和特征分数库计算得到异常分数；

S303：根据异常分数判断是否是异常流转。

进一步，所述监测分析方法还包括以下步骤：

S5：人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

S6：打分调整模块根据人工分析结果对异常流转打分模块进行调整。

进一步，打分调整模块调整异常流转打分模块的权重库中的权重值。

本发明主要通过旁路的方式，嵌入核心网络链路中，利用DPI技术，实现对网络HTTP/HTTPS数据流的采集还原；并通过旁路分光/镜像等方式，复制网络流量进行分析，本发明主要针对WEB系统访问、交互的特点进行研发。

本发明仅能应用于以HTTP/HTTPS交互为基础的业务系统的保护，需要精确到对每个独立IP访问情况、对获取的数据进行模型自学习，并建立出流转模型，因此，本发明需要部署在没有发生IP地址转换(即便有也需在IP地址转换之前)的网络环境下。

本发明的有益效果是：

实现对数据异常流转的监测，可加快监测速度，通过机器识别的方式有效减少人工工作量。

附图说明

图1为本发明的结构示意图；

图2为本发明的流程图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

实施例一：

如图1至图2所示，一种基于流转模型的数据异常流转的监测分析系统，所述监测分析系统包括特征解析模块、自学习建模与优化模块及异常流转打分模块；

所述特征解析模块包括特征库，特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

所述自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行优化；

所述异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转。

一种基于流转模型的数据异常流转的监测分析方法，所述监测分析方法包括以下步骤：

S1：特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

S2：自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行调整；

S3：异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转。

在对数据流量预处理之后，根据配置的策略规则对流转特征进行关键信息补全，并将补全的结果存放于程序自身的缓存库用以作为数据流转访问的基础样本数据。

特征解析模块是核心模块之一。数据流转样本的精准标签化，有利于提高自学习建模与优化模块的准确性和精准度。

通过所述监测分析系统及方法，可以实现对数据异常流转的监测，可加快监测速度，通过机器识别的方式有效减少人工工作量。

实施例二：

如图1至图2所示，实施例二具有实施例一的全部特征，区别在于：

所述特征库为多维特征库，所述多维特征库包括不同维度的特征；所述特征解析模块按照不同维度的特征获取特征值。

表1是所述多维特征库：

表1多维特征库

所述多维特征库中的特征按类型可分为数值特征、类型特征、布尔特征、文本特征。

1)数值特征

数值特征的大小往往是检测流转是否异常的重要指标之一。一般情况下，数值特征都具有固定的或者是一个范围以内的数值范围。比如COOKIE长度，在同一个系统之内，各个访问对象的COOKIE长度变化不会太大，如果数值特征超过特定的数值或者范围，那么它属于异常的概率就会比较大。以下是同一个系统内Cookie示例：

Cookie1：ASP.NET_SessionId＝toijkdkc3fhcpl3dv2hwkr31；

Cookie2：ASP.NET_SessionId＝2e4wbwb3d2glqzl2c5arqr5t；

Cookie3：ASP.NET_SessionId＝rrk2yrvts2ffwzjnhqiovlgs；

2)类型特征

通常来说，一段时间内，所有访问的流转中，类型特征的组成也有可能说明它的异常情况。比如这段流量中响应态1**、2**、3**分别占比30％、30％、40％，正常情况下，这种占比在同一时间段内不会有太大的波动范围。如果超过了特定的数值或范围，那么它属于异常的概率就会比较大。因此，对类型特征进行处理，将其转换为数值。

3)布尔特征

布尔运算的取值范围比较固定，只有“是”(即1)、“否”(即0)。一般情况下，布尔类型采用的权重不会太高。

4)文本特征

通过文本特征能够定位数据流转的各个节点,比如账号、mac地址、区域、组织结构等。例如，数据从A流转到B,通过文本特征即可定位A和B分别是什么。

实施例三：

如图1至图2所示，实施例三具有实施例二的全部特征，区别在于：

所述自学习建模与优化模块包括特征值标准化子模块、转换子模块以及建模与优化子模块；

所述特征值标准化子模块对特征值进行归一化处理得到标准特征值；

所述转换子模块将标准特征值转换为调整参数值；

所述建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

所述监测分析方法的步骤S2包括以下子步骤：

S201：特征值标准化子模块对特征值进行归一化处理得到标准特征值；

S202：转换子模块将标准特征值转换为调整参数值；

S203：建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

为了更好的进行特征学习，通过特征值标准化子模块对所有数值特征进行数据极值标准化处理，即同比对数据进行伸缩。让特征数据值处在固定范围之内，以进一步分析数据的属性，同时不改变数据的正态分布，所用的特征值标准化公式如下：

式中，new_min：取值下限，即选定范围内数值的下限；new_max：取值上限，即选定范围内数值的上限，采用的特征数值范围是[0,1]；X_i为特征的每个数据值；max为特征数据值的最大值；min为特征数据值的最小值。

自学习建模与优化模块的工作流程如下：

1)输入某一个时间范围的数据：初始特征集F1＝{f1,f2,……,fn}，特征个数为n；

2)由特征值标准化子模块从特征集F1中逐个抽取特征，按照该特征属性对应的类型和值对当前训练集进行划分，利用“特征标准化公式”，计算每一个训练集中当前特征的信息量。

3)由转换子模块采用统计学习方法对当前训练集中的数值进行计算，将标准特征值转换为调整参数值(MAD：绝对中位差)，采用公式如下：

MAD＝median(|X_i-median(X)|)

式中，X为标准特征值，Xi为每个标准特征值，median表示求中位值,MAD为调整参数值。

4)由建模与优化子模块将调整参数值保存到该模型的当前时间范围点上，具体地，如果时间点有历史数据(即流转模型的当前时间点已有参数)，则根据以下公式运用80/20原则对流转模型的参数进行更新，反之则将调整参数值新增为流转模型的参数。

Y_new＝Y_old×80％+MAD×20％

式中，Y_new为新的参数值，Y_old为旧的参数值，MAD为调整参数值。

5)重复步骤2)，直到训练完所有特征。

6)重复进入步骤1)，进行下一个时间范围点的学习。

通过自学习建模与优化模块，对流转模型进行优化，可提高监测准确度。

实施例四：

如图1至图2所示，实施例四具有实施例三的全部特征，区别在于：

所述异常流转打分模块包括权重库和特征分数库，所述权重库中含有与特征一一对应的权重值，所述特征分数库中含有与特征一一对应的分数值，所述异常流转打分模块计算不同特征值与流转模型之间的偏离度，并根据偏离度结合权重库和特征分数库计算得到异常分数。

步骤S3包括以下子步骤：

S301：计算不同特征值与流转模型之间的偏离度；

S302：根据偏离度结合权重库和特征分数库计算得到异常分数。异常分数计算公式如下：

式中，N为特征个数，Score_i为第i个特征的分数值，ω_i为第i个特征的权重值，如果△_i(第i个特征值与流转模型之间的偏离度)小于1，则a_i＝|△_I|，如果△_i不小于1，则a_i＝1。

S303：根据异常分数判断是否是异常流转。

根据以下公式计算异常总分，

当异常分数超过异常总分的60％(该值可根据数据情况手动进行调整)时，即判断为异常流转。

实施例五：

如图1至图2所示，实施例五具有实施例四的全部特征，区别在于：

所述监测分析系统还包括人工分析接口和打分调整模块；

所述人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

所述打分调整模块根据人工分析结果对异常流转打分模块进行调整。

所述监测分析方法还包括以下步骤：

S5：人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

S6：打分调整模块根据人工分析结果对异常流转打分模块进行调整。

打分调整模块调整异常流转打分模块的权重库中的权重值。

如果人工分析结果为非异常流转，则将偏离度较高的前几个(选为5个)特征的告警次数加1。告警次数/总分析次数即为每个特征的告警率。

权重值＝基础权重值*异常准确度数值。其中，基础权重值默认为1，基础权重值可人为手动进行干预调整，异常准确度数值是根据每个特征的告警率进行自动调整，不可人为干预。

根据人工分析结果自动调整异常准确度数值，重新计算权重值，并对权重值进行自动更新，这样可不断提高异常流转打分模块打分准确度，从而提高监测准确度。

以上所述实施例仅表达了本发明的具体实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。

Claims (9)

1.一种基于流转模型的数据异常流转的监测分析系统，其特征在于：所述监测分析系统包括特征解析模块、自学习建模与优化模块及异常流转打分模块；

所述特征解析模块包括特征库，特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

所述自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行优化；

所述异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转；

自学习建模与优化模块的工作流程如下：

1)输入某一个时间范围的数据：初始特征集F1＝{f1,f2,……,fn}，特征个数为n；

2)由特征值标准化子模块从特征集F1中逐个抽取特征，按照该特征属性对应的类型和值对当前训练集进行划分，计算每一个训练集中当前特征的信息量；

3)由转换子模块采用统计学习方法对当前训练集中的数值进行计算，将标准特征值转换为调整参数值；

4)由建模与优化子模块将调整参数值保存到该模型的当前时间范围点上；

5)重复步骤2)，直到训练完所有特征；

6)重复进入步骤1)，进行下一个时间范围点的学习；

所述特征库为多维特征库，所述多维特征库包括不同维度的特征；所述特征解析模块按照不同维度的特征获取特征值。

2.根据权利要求1所述的一种基于流转模型的数据异常流转的监测分析系统，其特征在于：所述自学习建模与优化模块包括特征值标准化子模块、转换子模块以及建模与优化子模块；

所述特征值标准化子模块对特征值进行归一化处理得到标准特征值；

所述转换子模块将标准特征值转换为调整参数值；

所述建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

3.根据权利要求2所述的一种基于流转模型的数据异常流转的监测分析系统，其特征在于：所述异常流转打分模块包括权重库和特征分数库，所述权重库中含有与特征一一对应的权重值，所述特征分数库中含有与特征一一对应的分数值，所述异常流转打分模块计算不同特征值与流转模型之间的偏离度，并根据偏离度结合权重库和特征分数库计算得到异常分数。

4.根据权利要求1所述的一种基于流转模型的数据异常流转的监测分析系统，其特征在于：所述监测分析系统还包括人工分析接口和打分调整模块；

所述人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

所述打分调整模块根据人工分析结果对异常流转打分模块进行调整。

5.一种基于流转模型的数据异常流转的监测分析方法，其特征在于：所述监测分析方法包括以下步骤：

S1：特征解析模块从数据流量中按照特征库中的特征获取特征值并对特征值进行处理；

S2：自学习建模与优化模块根据特征值建立流转模型并不断对流转模型进行调整；

S3：异常流转打分模块在流转模型基础上根据特征值对数据流量进行异常流转打分得到异常分数，并根据异常分数判断是否是异常流转；

自学习建模与优化模块的工作流程如下：

1)输入某一个时间范围的数据：初始特征集F1＝{f1,f2,……,fn}，特征个数为n；

2)由特征值标准化子模块从特征集F1中逐个抽取特征，按照该特征属性对应的类型和值对当前训练集进行划分，计算每一个训练集中当前特征的信息量；

3)由转换子模块采用统计学习方法对当前训练集中的数值进行计算，将标准特征值转换为调整参数值；

4)由建模与优化子模块将调整参数值保存到该模型的当前时间范围点上；

5)重复步骤2)，直到训练完所有特征；

6)重复进入步骤1)，进行下一个时间范围点的学习；

所述特征库为多维特征库，所述多维特征库包括不同维度的特征；所述特征解析模块按照不同维度的特征获取特征值。

6.根据权利要求5所述的一种基于流转模型的数据异常流转的监测分析方法，其特征在于：步骤S2包括以下子步骤：

S201：特征值标准化子模块对特征值进行归一化处理得到标准特征值；

S202：转换子模块将标准特征值转换为调整参数值；

S203：建模与优化子模块在流转模型的参数缺失时根据调整参数值设定流转模型的参数，在流转模型的参数存在时根据调整参数值调整流转模型的参数。

7.根据权利要求5或6所述的一种基于流转模型的数据异常流转的监测分析方法，其特征在于：步骤S3包括以下子步骤：

S301：计算不同特征值与流转模型之间的偏离度；

S302：根据偏离度结合权重库和特征分数库计算得到异常分数；

S303：根据异常分数判断是否是异常流转。

8.根据权利要求7所述的一种基于流转模型的数据异常流转的监测分析方法，其特征在于：所述监测分析方法还包括以下步骤：

S5：人工分析接口将判断为异常流转的数据流量发送给人工分析端，并接受人工分析端的人工分析结果；

S6：打分调整模块根据人工分析结果对异常流转打分模块进行调整。

9.根据权利要求8所述的一种基于流转模型的数据异常流转的监测分析方法，其特征在于：打分调整模块调整异常流转打分模块的权重库中的权重值。

Images