CN116599743A - 4a异常绕行检测方法、装置、电子设备及存储介质 - Google Patents

4a异常绕行检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116599743A
CN116599743A CN202310620700.XA CN202310620700A CN116599743A CN 116599743 A CN116599743 A CN 116599743A CN 202310620700 A CN202310620700 A CN 202310620700A CN 116599743 A CN116599743 A CN 116599743A
Authority
CN
China
Prior art keywords
clustering
attribute
detour
dimension
anomaly
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310620700.XA
Other languages
English (en)
Inventor
王晋
黄海
汪有杰
陈云峰
卢淼冉
赵鹏程
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202310620700.XA priority Critical patent/CN116599743A/zh
Publication of CN116599743A publication Critical patent/CN116599743A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06VIMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
    • G06V30/00Character recognition; Recognising digital ink; Document-oriented image-based pattern recognition
    • G06V30/10Character recognition
    • G06V30/19Recognition using electronic means
    • G06V30/191Design or setup of recognition systems or techniques; Extraction of features in feature space; Clustering techniques; Blind source separation
    • G06V30/19107Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种4A异常绕行检测方法、装置、电子设备及存储介质。所述方法包括:获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。本申请实施例可以提高4A绕行异常检测的效率,避免管理防火墙配置混乱、误操作引起业务受损等问题。

Description

4A异常绕行检测方法、装置、电子设备及存储介质
技术领域
本申请涉及异常检测技术领域,特别是涉及一种4A异常绕行检测方法、装置、电子设备及存储介质。
背景技术
4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台解决方案概念,正式将身份认证作为整个网络安全的基础及不可或缺的组成部分。4A系统应运而生,在我国各大企业普遍部署有4A系统。
按国家信息系统安全的相关规定,明确要求对于二级以上信息系统,在网络安全、主机安全和应用安全等需要进行安全审计。日志审计(为确保相关网络信息安全及网络安全,根据各种操作依据、操作日志记录等信息,对操作网络合法性、合规性进行审查核对的行为)作为其中的主要手段,日志审计系统这一安全审计产品由此而出现。而审计日志记录中往往也包括了登陆4A的日志记录。
在生产运维管理过程中,传统的4A绕行分析多为人工维护设置,且为事后审计发现,存在手工管理防火墙配置混乱、误操作引起业务受损等问题。
发明内容
本申请实施例所要解决的技术问题是提供一种4A异常绕行检测方法、装置、电子设备及存储介质,以解决现有技术中存在手工管理防火墙配置混乱、误操作引起业务受损的问题。
第一方面,本申请实施例提供了一种4A异常绕行检测方法,所述方法包括:
获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;
对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;
对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;
调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
可选地,所述获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集,包括:
获取4A系统记录的登录日志,以及所述目标设备的设备日志;
解析所述登录日志和所述设备日志,得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
可选地,所述对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果,包括:
对所述多个维度下的属性特征数据集进行聚类处理,得到第一聚类结果;
对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果;所述第二聚类结果的数量与所述多个维度的数量相同;
将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
可选地,所述对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值,包括:
采用K-means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理,得到每个所述聚类结果对应的聚类评估指标;
根据所述聚类评估指标,确定每个维度下的属性特征数据集对应的属性标签值。
可选地,所述调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果,包括:
调用所述异常检测模型对所述属性标签值进行因子分析,确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值;
基于孤立森林算法对所述目标属性标签值进行处理,得到所述目标设备对应的4A异常绕行检测结果。
可选地,在所述调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果之后,还包括:
基于所述4A异常绕行检测结果,生成防火墙配置信息;
基于所述防火墙配置信息,调整4A系统的防火墙配置。
可选地,所述多个维度包括:访问源地址维度、访问目的地址维度、访问协议维度、访问端口维度、访问账号维度和访问次数维度中的至少两个。
第二方面,本申请实施例提供了一种4A异常绕行检测装置,所述装置包括:
数据集获取模块,用于获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;
聚类结果获取模块,用于对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;
属性标签获取模块,用于对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;
检测结果获取模块,用于调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
可选地,所述数据集获取模块包括:
日志获取单元,用于获取4A系统记录的登录日志,以及所述目标设备的设备日志;
数据集获取单元,用于解析所述登录日志和所述设备日志,得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
可选地,所述聚类结果获取模块包括:
第一结果获取单元,用于对所述多个维度下的属性特征数据集进行聚类处理,得到第一聚类结果;
第二结果获取单元,用于对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果;所述第二聚类结果的数量与所述多个维度的数量相同;
聚类结果获取单元,用于将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
可选地,所述属性标签获取模块包括:
评估指标获取单元,用于采用K-means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理,得到每个所述聚类结果对应的聚类评估指标;
属性标签确定单元,用于根据所述聚类评估指标,确定每个维度下的属性特征数据集对应的属性标签值。
可选地,所述检测结果获取模块包括:
目标标签确定单元,用于调用所述异常检测模型对所述属性标签值进行因子分析,确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值;
检测结果获取单元,用于基于孤立森林算法对所述目标属性标签值进行处理,得到所述目标设备对应的4A异常绕行检测结果。
可选地,所述装置还包括:
配置信息生成模块,用于基于所述4A异常绕行检测结果,生成防火墙配置信息;
防火墙配置调整模块,用于基于所述防火墙配置信息,调整4A系统的防火墙配置。
可选地,所述多个维度包括:访问源地址维度、访问目的地址维度、访问协议维度、访问端口维度、访问账号维度和访问次数维度中的至少两个。
第三方面,本申请实施例提供了一种电子设备,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一项所述的4A异常绕行检测方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行上述任一项所述的4A异常绕行检测方法。
与现有技术相比,本申请实施例包括以下优点:
本申请实施例中,通过获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集,对多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果,对多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值,调用预先训练的异常检测模型对属性标签值进行处理,预测得到目标设备对应的4A异常绕行检测结果。本申请实施例通过结合异常检测模型进行4A异常绕行的检测和分析能够提高4A绕行异常检测的效率,可以避免管理防火墙配置混乱、误操作引起业务受损等问题。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
图1为本申请实施例提供的一种4A异常绕行检测方法的步骤流程图;
图2为本申请实施例提供的一种日志采集流程的示意图;
图3为本申请实施例提供的一种日志分析流程的示意图;
图4为本申请实施例提供的一种4A异常绕行检测系统的示意图;
图5为本申请实施例提供的一种4A异常绕行检测流程的示意图;
图6为本申请实施例提供的一种聚类结果的示意图;
图7为本申请实施例提供的一种4A异常绕行检测装置的结构示意图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
参照图1,示出了本申请实施例提供的一种4A异常绕行检测方法的步骤流程图,如图1所示,该4A异常绕行检测方法可以包括:步骤101、步骤102、步骤103和步骤104。
步骤101:获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
本申请实施例可以应用于结合异常检测模型对目标设备是否存在4A异常绕行进行检测的场景中。
对于异常检测模型的训练过程可以结合下述实现方式进行详细描述。
异常检测模型的训练可以包括以下几个步骤:
步骤S1、获取训练数据集。
在构建模型训练数据集时,可以采集4A系统侧记录的登录日志,登录设备的设备日志。在具体实现中,如图2所示,在未知绕行事件被捕捉后,平台分析白名单策略和日志来源信息,将可疑访问加入未知访问名单库进行管控。结合IP源分析,将非电信运营商访问生成防火墙配置,阻断访问;与4A管理中心联动,收集业务部门资产信息,对于未知跨专业访问事件生成告警事件。
在采集到登录日志和设备日志之后,可以对登录日志和设备日志进范式化处理,以将各种不同表达方式的日志转换为统一的描述形式,以为后期聚类算法提供基础数据。然后,可以对数据进行预处理,包括但不限于去除缺失值、对数据集进行离散化等预处理。最后提取多维属性信息。在本示例中,多维属性信息可以包括:访问源地址、访问目的地址、访问协议、访问端口、访问账号、访问次数等多维属性信息,并根据多维属性信息构建训练数据集。如图3所示。
具体地,可以通过粗糙集建立数据集。在粗糙集理论中,一个信息系统S可以由一个有序五元组来进行表示,即S=(U,A,V,f)其中,U:为非空集合,可以表示为U={x1,x2,x3,...,xn},属性集可以包括:访问账号、源IP、目的IP、协议、目的端口、访问次数和访问状态七项。其中访问状态是决策属性,其余为条件属性。通过不同的属性可以把论域划分为包含一个或多个对象的子集。每个子集中就是一个V。通过不同的信息函数f,可以将语言信息转化为S中包含的子集。
信息表S:
2、数据聚类
在实验中发现,单次聚类的结果中,可疑程度较低的疑点通常会被可疑程度更高的疑点所掩盖,本实施例通过二次聚类提高准确性。
对定性数据进行聚类分析,在定性数据聚类方法中,利用聚类思想可以把数据集中的数据划分成若干个集合类似U={u1,u2,u3,...,un}。其中,un为包含若干个数据的子集,即为聚类结果中的一个簇。根据不同属性缺失的聚类结果与原数据集聚类结果中相同子集u中包含的数据个数card(POSR(D)),以及原数据集聚类结果中的集合U的基数card(U)的商计算出属性重要性。其中利用的是粗糙集中的等价关系对数据集进行划分,即当两个数据样本完全相同时,才会被聚类到一个簇。按照定性数据聚类中进行计算属性重要性的方法,每次减少数据集的一个属性对数据集进行聚类,当数据集有n个维度时获得n条不同聚类结果的标签值。
对定性数据进行二次聚类分析,单次k-means++聚类的局限性:在实验中发现,单次聚类的结果中,可疑程度较低的疑点通常会被可疑程度更高的疑点所掩盖,本次通过2次聚类提高准确性。
将n+1次的聚类结果存放在同一个矩阵内。其中第一条记录为无属性缺失的聚类结果标签,第二条为缺少第一个属性的聚类结果标签以此类推。计算不同记录与第一条记录的相似度,通过一个阈值确定与第一条记录相似的缺失属性记录。该方法首先确定将实例分成K簇,再从数据集中随机选取一个样本点作为初始聚类中心,计算每个样本与当前已有聚类中心之间的最短距离。计算每个样本xi与最近的聚类中心cen的距离,用D(xi)表示。然后,可以计算每个样本点xi被选为下一个聚类中心的概率。在聚类得到K簇之后,则可以采用内部评估方法计算聚类评估指标。
3、对属性特征值进行因子分析
(1)因子模型构建:每个变量都可以表示为公共因子的线性函数与特殊因子之和,即:
Xi=ai1F1+...+aimFmi,(i=1,2,...,p) (1)
上述公式(1)中,F1,...,Fm为公共因子,εi为Xi的特殊因子,该模型可以用矩阵表示为:
模型中的矩阵A称为因子载荷矩阵,aij称为因子“载荷”,是第i个变量在第j个因子上的负荷,如果把变量Xi看成m维空间中的一个点,则aij表示它在坐标轴Fj上的投影。
(2)因子载荷矩阵的求解:采用主成分方法,然后计算各变量之间的相关矩阵、该矩阵的特征根和特征向量,最后将特征根由大到小排列,分别计算出对应的主成分。
主成分的方差贡献率,计算公式为:
累计贡献率:前K个主成分的累计贡献率定义如下,表示前K个主成分累计提取了原始变量多少的信息。
(3)累计贡献率:当前k个主成分的累计贡献率达到某一特定值时,则保留前k个主成分。
4、孤立森林训练孤立树选择属性时将之前的列名从选择范围剔除。经过孤立森林处理后输出孤立森林对测试数据的预测标签
(1)选择对标签影响较大的属性构造孤立树进行异常检测。具体处理过程如下:
步骤1、初始化数据,设置样本大小等参数,输出孤立树。
孤立树的创建伪代码如下:
每棵孤立树的生长即训练伪代码如下所示:
步骤2、不断循环切换数据,直到叶子节点上只有一个数据(无法再继续切割)或树已经生长到所设定的高度。
孤立森林预测分数伪代码可以如下所示:
Algorithm 2:PathLength(x,T,e)
Inputs:x-an instance,T-an iTree,e-current patn length;
to be initialized to zero when first called
Output:path length of x
if T is an external node then
return e+c(T.size){c(.)is defined in Epuation 1}
end if
a←T。splitAtt
if xa<T.splitValue then
return PathLength(x,T.left,e+1)
else{xa≤T。splitValue}
return PathLength(x,T.right,e+1)
end if
步骤3、每个样本点的高度整合计算,以分析异常点。
迭代执行上述训练过程,直至模型收敛即可以得到异常检测模型,该异常检测模型即可以应用于后续的4A异常绕行检测场景。
在对目标设备进行4A异常绕行检测时,可以获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。在具体实现中,可以获取4A系统记录的登录日志,以及目标设备的设备日志。之后,解析登录日志和设备日志,即得到目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
在获取到目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集之后,执行步骤102。
步骤102:对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果。
在获取到目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集之后,可以对多个维度下的属性特征数据集进行多次聚类处理,以得到多个聚类结果。具体地,可以对多个维度下的属性特征数据集进行聚类处理,并对多个维度下的属性特征数据集在每次缺少其中一个维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果,多次聚类结果的显示可以如图6所示。对于该实现过程可以结合下述具体实现方式进行详细描述。
在本申请的一种具体实现方式中,上述步骤102可以包括:
子步骤A1:对所述多个维度下的属性特征数据集进行聚类处理,得到第一聚类结果。
在本申请实施例中,在得到多个维度下的属性特征数据集之后,可以对多个维度下的属性特征数据集进行聚类处理,以得到第一聚类结果。
在对多个维度下的属性特征数据集进行聚类处理得到第一聚类结果之后,执行子步骤A2。
子步骤A2:对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果;所述第二聚类结果的数量与所述多个维度的数量相同。
在对多个维度下的属性特征数据集进行聚类处理得到第一聚类结果之后,则可以对多个维度下的属性特征数据集在每次缺少其中一个维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果。其中,第二聚类结果的数量与多个维度的数量相同。例如,在多个维度为5个维度时,这5个维度分别为维度1、维度2、维度3、维度4和维度5,在进行聚类时,可以在缺失维度1之后,对其它四个维度下的数据进行聚类。然后在缺失维度2之后,对其它四个维度下的数据进行聚类。在缺失维度3之后,对其它四个维度下的数据进行聚类。在缺失维度4之后,对其它四个维度下的数据进行聚类。在缺失维度5之后,对其它四个维度下的数据进行聚类,进而可以得到5个聚类结果,即第二聚类结果等。
可以理解地,上述示例仅是为了更好地理解本申请实施例的技术方案而列举的示例,不作为对本实施例的唯一限制。
在得到第一聚类结果和第二聚类结果之后,执行子步骤A3。
子步骤A3:将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
在得到第一聚类结果和第二聚类结果之后,则可以将第一聚类结果和第二聚类结果作为多次聚类处理得到的聚类结果。
在对多个维度下的属性特征数据集进行多次聚类处理得到多个聚类结果之后,执行步骤103。
步骤103:对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值。
在对多个维度下的属性特征数据集进行多次聚类处理得到多个聚类结果之后,可以对多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值。在本实施例中,可以采用K-means聚类算法对多个聚类结果对应的属性特征数据集进行聚类处理,得到每个聚类结果对应的聚类评估指标。进而可以根据聚类评估指标,确定每个维度下的属性特征数据集对应的属性标签值。
在对多个聚类结果进行二次聚类处理得到每个维度下的属性特征数据集的属性标签值之后,执行步骤104。
步骤104:调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
在对多个聚类结果进行二次聚类处理得到每个维度下的属性特征数据集的属性标签值之后,则可以调用预先训练的异常检测模型对属性标签值进行处理,以预测得到目标设备对应的4A异常绕行检测结果。对于该实现过程可以结合下述具体实现方式进行详细描述。
在本申请的另一种具体实现方式中,上述步骤104可以包括:
子步骤B1:调用所述异常检测模型对所述属性标签值进行因子分析,确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值。
在本申请实施例中,在得到属性标签值之后,可以调用异常检测模型对所述属性标签值进行因子分析,以确定属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值。
在确定出属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值之后,执行子步骤B2。
子步骤B2:基于孤立森林算法对所述目标属性标签值进行处理,得到所述目标设备对应的4A异常绕行检测结果。
在确定出属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值之后,则可以基于孤立森林算法对目标属性标签值进行处理,得到目标设备对应的4A异常绕行检测结果。
本申请实施例通过以K均值聚类、孤立森林、因子分析等算法为基础,以访问源地址、访问目的地址、访问协议、访问端口、访问账号、访问次数为属性特征值,对端口访问做端口画像。通过AI技术进行访问日志分析,通过离散点信息精准预测出4A异常绕行的设备。
在本申请实施例中,在4A异常绕行检测结果指示目标设备存在异常绕行时,则可以根据4A异常绕行检测结果生成防火墙配置信息,以调整4A系统的防火墙配置。对于该实现过程可以结合下述具体实现方式进行详细描述。
在本申请的另一种具体实现方式中,在上述步骤104之后,还可以包括;
步骤C1:基于所述4A异常绕行检测结果,生成防火墙配置信息。
在本实施例中,在4A异常绕行检测结果指示存在4A异常绕行行为时,则可以基于4A异常绕行检测结果,生成防火墙配置信息。
在基于4A异常绕行检测结果生成防火墙配置信息之后,执行步骤C2。
步骤C2:基于所述防火墙配置信息,调整4A系统的防火墙配置。
在基于4A异常绕行检测结果生成防火墙配置信息之后,则可以基于防火墙配置信息调整4A系统的防火墙配置。
对于4A异常绕行及处置的过程可以如图5所示,具体可以包括:
步骤1、数据采集、处理及范式化处理。
步骤2、提取多维端口画像。
步骤3、对多维数据聚类,获取属性标签值。
步骤4、进行数据二次聚类,计算属性重要性。
步骤5、提取的属性重要性包括:访问账号、访问源IP等不同维度下的属性重要性。
步骤6、构建异常检测模型,并对属性特征值进行因子分析。
步骤7、对重要的属性进行孤立森林异常检测。
步骤8、计算剔除绕行配置后的防火墙配置。
步骤9、下发实施绕行处置。
对于本申请实施例提供的上述技术方案可以结合下述示例进行描述,对于该实现过程可以如图4所示。
为了验证本申请实施例提出的方法的有效性,通过一个真实检测场景数据集验证本文算法的检测能力。通过python写相关测试代码。在一些日志数据集中有对源地址、访问目的地址、访问协议、访问端口、访问账号、访问次数等信息,对4A系统绕行行为做出检测。在这个过程中,需要对数据集中的属性进行预处理包括去除缺失值,对离散值进行映射等等。实现过程可以包括:
1、数据分析与预处理,此数据集使用的是10000条内网日志数据,经过范式化后通过python脚本实现孤立森林算法。
2、对数据集进行采样和多次聚类,使用采样的方式获取子数据集来进行属性重要性的计算,同时为了使得采样数据能够更准确地描述出不同属性的重要程度。
3、结合4A纳管资源分场景分别对下表七个属性,利用多次聚类算法计算七个属性重要性,并对结果进行累加,最终确定不同属性对标签的影响,对属性进行排序,选择对标签影响较大的属性构造孤立森林进行异常检测,4A纳管资源结合纳管内容计算得出的属性重要性排序结果可以如下表所示:
4、经过对现网样本的训练,设定阈值为50选取分数较大的属性,最终确定对不同资源场景下样本标签影响较大的属性。
5、对数据集进行异常检测,最后孤立森林在构造孤立树选择属性时,从以上属性中选取划分列。提取出孤立树路径较短的异常点。
6、自动生成实施防火墙业务处置,通过以上孤立森林算法计算出的异常检测结果,得出疑似绕行的登陆白名单,运用通过python代码,将运算前的白名单与疑似绕行的白名单进行差值运算,得出与业务纳管场景相匹配的自适应策略,在日常云网安全运营场景中各类资源的防火墙策略逐渐趋于精细。4A系统将进行异常检测之后的防火墙策略通过第三方接口传给各类纳管资源的专业综合网管,由专业综合网管进行自动配置校验后实施自动下发,实现4A绕行的精准分析及处置。
7、识别效果展示-绕行精确检测,随机选择某个网络环境,基于固定检测对象,分别启用固定白名单方式和耦合端口流量智能分析检测,通过采集相同时间的正常访问,通过一段时间的观察,采用白名单方式的日志分析存在大量绕行,通过采用耦合端口流量智能分析检测功能后,经过一段使时间的检测分析后,可以得出阈值在不断进行明显的动态调整系统不断优化防火墙配置,未出现绕行情况。
在出现4A绕行异常时,可以通过告警管理模块推送告警信息,如访问协议展示、访问频率展示、访问来源展示、访问分析展示等等,如图4所示。
本申请实施例提供的4A异常绕行检测方式,可以钻取防火墙信息给出绕行加固配置,可以直接下发配置,通常在5分钟内即可解决绕行问题,能够有效提高绕行处置效率。随着模型地不断训练,绕行误判率能够不断降低。同时,能够应对配置策略,直接自动生成配置下发给防火墙直接阻断。
本申请实施例以K均值聚类、孤立森林、因子分析等算法为基础,以访问源地址、访问目的地址、访问协议、访问端口、访问账号、访问次数为属性特征值,对端口访问做端口画像。通过AI技术进行访问日志分析,通过离散点信息精准分析防火墙范围信息。
本申请实施例提供的4A异常绕行检测方法,通过获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集,对多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果,对多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值,调用预先训练的异常检测模型对属性标签值进行处理,预测得到目标设备对应的4A异常绕行检测结果。本申请实施例通过结合异常检测模型进行4A异常绕行的检测和分析能够提高4A绕行异常检测的效率,可以避免管理防火墙配置混乱、误操作引起业务受损等问题。
参照图7,示出了本申请实施例提供的一种4A绕行异常检测装置的结构示意图,如图7所示,该4A绕行异常检测装置700可以包括以下模块:
数据集获取模块710,用于获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;
聚类结果获取模块720,用于对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;
属性标签获取模块730,用于对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;
检测结果获取模块740,用于调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
可选地,所述数据集获取模块包括:
日志获取单元,用于获取4A系统记录的登录日志,以及所述目标设备的设备日志;
数据集获取单元,用于解析所述登录日志和所述设备日志,得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
可选地,所述聚类结果获取模块包括:
第一结果获取单元,用于对所述多个维度下的属性特征数据集进行聚类处理,得到第一聚类结果;
第二结果获取单元,用于对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果;所述第二聚类结果的数量与所述多个维度的数量相同;
聚类结果获取单元,用于将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
可选地,所述属性标签获取模块包括:
评估指标获取单元,用于采用K-means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理,得到每个所述聚类结果对应的聚类评估指标;
属性标签确定单元,用于根据所述聚类评估指标,确定每个维度下的属性特征数据集对应的属性标签值。
可选地,所述检测结果获取模块包括:
目标标签确定单元,用于调用所述异常检测模型对所述属性标签值进行因子分析,确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值;
检测结果获取单元,用于基于孤立森林算法对所述目标属性标签值进行处理,得到所述目标设备对应的4A异常绕行检测结果。
可选地,所述装置还包括:
配置信息生成模块,用于基于所述4A异常绕行检测结果,生成防火墙配置信息;
防火墙配置调整模块,用于基于所述防火墙配置信息,调整4A系统的防火墙配置。
可选地,所述多个维度包括:访问源地址维度、访问目的地址维度、访问协议维度、访问端口维度、访问账号维度和访问次数维度中的至少两个。
本申请实施例提供的4A绕行异常检测装置,通过获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集,对多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果,对多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值,调用预先训练的异常检测模型对属性标签值进行处理,预测得到目标设备对应的4A异常绕行检测结果。本申请实施例通过结合异常检测模型进行4A异常绕行的检测和分析能够提高4A绕行异常检测的效率,可以避免管理防火墙配置混乱、误操作引起业务受损等问题。
本申请实施例还提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述4A绕行异常检测方法。
图8示出了本发明实施例的一种电子设备800的结构示意图。如图8所示,电子设备800包括中央处理单元(CPU)801,其可以根据存储在只读存储器(ROM)802中的计算机程序指令或者从存储单元808加载到随机访问存储器(RAM)803中的计算机程序指令,来执行各种适当的动作和处理。在RAM803中,还可存储电子设备800操作所需的各种程序和数据。CPU801、ROM802以及RAM803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
电子设备800中的多个部件连接至I/O接口805,包括:输入单元806,例如键盘、鼠标、麦克风等;输出单元807,例如各种类型的显示器、扬声器等;存储单元808,例如磁盘、光盘等;以及通信单元809,例如网卡、调制解调器、无线通信收发机等。通信单元809允许电子设备800通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
上文所描述的各个过程和处理,可由处理单元801执行。例如,上述任一实施例的方法可被实现为计算机软件程序,其被有形地包含于计算机可读介质,例如存储单元808。在一些实施例中,计算机程序的部分或者全部可以经由ROM802和/或通信单元809而被载入和/或安装到电子设备800上。当计算机程序被加载到RAM803并由CPU801执行时,可以执行上文描述的方法中的一个或多个动作。
另外地,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述4A绕行异常检测方法。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请实施例是参照根据本申请实施例的方法、终端(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端上,使得在计算机或其他可编程终端上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端中还存在另外的相同要素。
以上对本申请所提供的一种4A绕行异常检测方法、一种4A绕行异常检测装置、一种电子设备和一种计算机可读存储介质,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种4A异常绕行检测方法,其特征在于,所述方法包括:
获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;
对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;
对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;
调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
2.根据权利要求1所述的方法,其特征在于,所述获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集,包括:
获取4A系统记录的登录日志,以及所述目标设备的设备日志;
解析所述登录日志和所述设备日志,得到所述目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集。
3.根据权利要求1所述的方法,其特征在于,所述对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果,包括:
对所述多个维度下的属性特征数据集进行聚类处理,得到第一聚类结果;
对所述多个维度下的属性特征数据集在每次缺少其中一个不同维度的属性特征数据集之后的其它属性特征数据集进行聚类处理,得到第二聚类结果;所述第二聚类结果的数量与所述多个维度的数量相同;
将所述第一聚类结果和所述第二聚类结果作为所述多个聚类结果。
4.根据权利要求3所述的方法,其特征在于,所述对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值,包括:
采用K-means聚类算法对所述多个聚类结果对应的属性特征数据集进行聚类处理,得到每个所述聚类结果对应的聚类评估指标;
根据所述聚类评估指标,确定每个维度下的属性特征数据集对应的属性标签值。
5.根据权利要求1所述的方法,其特征在于,所述调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果,包括:
调用所述异常检测模型对所述属性标签值进行因子分析,确定所述属性标签值中对4A异常绕行影响系数大于阈值的目标属性标签值;
基于孤立森林算法对所述目标属性标签值进行处理,得到所述目标设备对应的4A异常绕行检测结果。
6.根据权利要求1所述的方法,其特征在于,在所述调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果之后,还包括:
基于所述4A异常绕行检测结果,生成防火墙配置信息;
基于所述防火墙配置信息,调整4A系统的防火墙配置。
7.根据权利要求1至6中任一项所述的方法,其特征在于,所述多个维度包括:访问源地址维度、访问目的地址维度、访问协议维度、访问端口维度、访问账号维度和访问次数维度中的至少两个。
8.一种4A异常绕行检测装置,其特征在于,所述装置包括:
数据集获取模块,用于获取目标设备的与4A异常绕行关联的在多个维度下的属性特征数据集;
聚类结果获取模块,用于对所述多个维度下的属性特征数据集进行多次聚类处理,得到多个聚类结果;
属性标签获取模块,用于对所述多个聚类结果进行二次聚类处理,得到每个维度下的属性特征数据集的属性标签值;
检测结果获取模块,用于调用预先训练的异常检测模型对所述属性标签值进行处理,预测得到所述目标设备对应的4A异常绕行检测结果。
9.一种电子设备,其特征在于,包括:
处理器、存储器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至7中任一项所述的4A异常绕行检测方法。
10.一种计算机可读存储介质,其特征在于,当所述存储介质中的指令由电子设备的处理器执行时,使得电子设备能够执行权利要求1至7中任一项所述的4A异常绕行检测方法。
CN202310620700.XA 2023-05-29 2023-05-29 4a异常绕行检测方法、装置、电子设备及存储介质 Pending CN116599743A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310620700.XA CN116599743A (zh) 2023-05-29 2023-05-29 4a异常绕行检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310620700.XA CN116599743A (zh) 2023-05-29 2023-05-29 4a异常绕行检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116599743A true CN116599743A (zh) 2023-08-15

Family

ID=87611472

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310620700.XA Pending CN116599743A (zh) 2023-05-29 2023-05-29 4a异常绕行检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116599743A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117056360A (zh) * 2023-10-11 2023-11-14 宁德时代新能源科技股份有限公司 数据处理方法、装置、计算机设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117056360A (zh) * 2023-10-11 2023-11-14 宁德时代新能源科技股份有限公司 数据处理方法、装置、计算机设备及存储介质
CN117056360B (zh) * 2023-10-11 2024-03-29 宁德时代新能源科技股份有限公司 数据处理方法、装置、计算机设备及存储介质

Similar Documents

Publication Publication Date Title
CN110113226B (zh) 一种检测设备异常的方法及装置
CN111177714B (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN101751535B (zh) 通过应用程序数据访问分类进行的数据损失保护
CN107579956B (zh) 一种用户行为的检测方法和装置
CN109818961B (zh) 一种网络入侵检测方法、装置和设备
CN108156131A (zh) Webshell检测方法、电子设备和计算机存储介质
CN110855648B (zh) 一种网络攻击的预警控制方法及装置
CN108334758A (zh) 一种用户越权行为的检测方法、装置及设备
CN112839014B (zh) 建立识别异常访问者模型的方法、系统、设备及介质
WO2019084072A1 (en) GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM
CN113949577A (zh) 一种应用于云服务的数据攻击分析方法及服务器
CN113132311A (zh) 异常访问检测方法、装置和设备
CN113904881B (zh) 一种入侵检测规则误报处理方法和装置
CN116599743A (zh) 4a异常绕行检测方法、装置、电子设备及存储介质
RU148692U1 (ru) Система мониторинга событий компьютерной безопасности
KR102189127B1 (ko) 행위 기반 룰 처리 장치 및 그 처리 방법
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
RU180789U1 (ru) Устройство аудита информационной безопасности в автоматизированных системах
CN110909380B (zh) 一种异常文件访问行为监控方法和装置
CN113746780B (zh) 基于主机画像的异常主机检测方法、装置、介质和设备
CN112804247B (zh) 基于三元概念分析的工业控制系统网络入侵检测方法及系统
Sapegin et al. Evaluation of in‐memory storage engine for machine learning analysis of security events
CN111680286B (zh) 物联网设备指纹库的精细化方法
CN111475380B (zh) 一种日志分析方法和装置
CN111611483A (zh) 一种对象画像构建方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination