[发明专利]一种基于语义分析的可信行为库生成方法有效
| 申请号: | 201811211727.9 | 申请日: | 2018-10-18 |
| 公开(公告)号: | CN109508541B | 公开(公告)日: | 2022-03-18 |
| 发明(设计)人: | 刘博;范渊;杨锦峰;聂桂兵;龙文洁 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06K9/62 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 语义 分析 可信 行为 生成 方法 | ||
1.一种基于语义分析的可信行为库生成方法,其特征在于,包括下述步骤:
(1)日志解析与标准化
在日志审计设备中配置日志解析格式,将业务系统产生的日志接入日志审计设备并进行解析,得到满足分析格式需求的行为信息;所述行为信息包括源IP、目的IP、请求url、行为和请求时间;
(2)相似度计算
建立用于存储行为信息的行为库,设置用于比对的计算周期T和相似度阈值G;
实时获取步骤(1)中日志的行为信息,利用ratio函数将新获取的行为信息与行为库中存储的所有行为信息进行元素比对,在遍历比对同时计算其相似度g;所述ratio函数来源于python的字符串下相似度算法库;
(3)实时行为信息的处理
如果步骤(2)中实时获取日志的行为信息与某个日志字符串对比后的相似度g大于或等于阈值G,则将二者归为一类;在将该实时获取日志的发生时间存入相应类别后,停止继续计算;
如果该实时获取日志经遍历比对后,其相似度g计算结果均小于阈值G,则认为该日志的行为信息属于新类型,应将其存入行为库中;
在经过一个计算周期T的运行之后,即能在行为库中存储若干条行为样本的记录;
(4)建立可信行为库
利用行为库中累积存储的行为样本,通过K-means算法建立可信行为库;具体如下:
从步骤(3)最终得到的行为库中任取K个样本作为初始的簇中心,计算每个样本到各簇中心的距离d,将各样本分别归入距离最小的簇中心内;遍历完所有对象之后,使用每个聚类中的样本距离均值作为新的簇中心,新的簇中心有k个;重复前述通过K-means算法建立可信行为库的过程,直至满足最小平方误差准则;然后找出离群点并作删除处理,最终建立可信行为库。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811211727.9/1.html,转载请声明来源钻瓜专利网。
