[发明专利]基于主机画像的异常主机检测方法、装置、介质和设备

权利要求书

1.一种基于主机画像的异常主机检测方法,其特征在于，包括：

在第一设定时间片段内，基于无监督学习方法采集多个待测主机IP的第一流量数据;

提取所述流量数据中的流量特征值和主机关联特征值，其中，所述流量特征值包括数据上下行数量和上下行流数量；所述主机关联特征值包括：访问端口序列、访问IP序列、访问域名序列、IP访问广度、被访问IP广度、访问域名集合和数字证书集合；

基于图切分方法,将所述流量特征值的相似性和所述主机关联特征值的关联性进行待测主机IP聚类，形成多组待测主机；

在所述第一设定时间片段内，将采集的每组所述待测主机的所述流量特征值和主机关联特征值进行向量化处理,形成特征向量;

将所述特征向量进行合并，将合并后的所述特征向量进行归一化处理，分别形成所述每组待测主机的特征向量集；

将每组所述待测主机对应的所述特征向量集通过其他组待测主机的特征向量集分别进行训练，构建相应的每组所述待测主机各自的检测模型；

基于所述检测模型对待测主机行为异常进行检测；

其中，所述构建相应的每组所述待测主机各自的检测模型，包括：

选定决策树数量m，将所述特征向量和训练集数据进行抽样组合;

基于每次抽样组合的结果，构造一个数据集,每个数据集包含m个训练子集；

T = {(X1,Y1), (X2,Y2), (X3,X3)… (Xm, Ym)}；

其中,X是将待检测主机组的所有特征向量集合，Y是其他主机组的特征向量集合;

基于所述每个数据集，建立对应的所述决策树：

以所述训练子集作为根节点，通过自上而下的递归方式，在每个分裂节点处选择训练子集中的特征;

对每一个所述特征计算信息增益率;

基于所述计算信息增益率的结果,选择增益大的特征进行分裂至所有训练子集都达到叶节点，建立所述对应的所述决策树，

所述图切分方法，包括：

基于所述流量数据，获得待测主机IP的所述主机关联特征值的关联关系,其中,关联关系包括: 多个数据流的平均长度，多个数据流的IP分布，多个数据流的域名分布；

基于所述主机关联特征值的关联关系,将客户端IP和服务端IP分别进行单独聚类；

基于所述单独聚类结果，形成二分图，

所述将每组所述待测主机对应的所述特征向量集通过其他组待测主机的所述特征向量集分别进行训练包括：

将所述每组待测主机的特征向量集设定为正样本集合；

将作为训练集的其他组主机特征向量集设定为负样本集合；

将所述正样本集合通过所述负样本集合进行有监督的训练,得到所述相应的主机IP行为正常的数据。

2.根据权利要求1所述的方法，其特征在于，所述提取所述流量数据中的流量特征值和主机关联特征值，包括：

在所述第一设定时间片段内，采集多个待测主机IP的第一流量数据；

对所述流量数据进行重组，提取所述流量数据中的流量特征值；

基于所述提取所述流量数据中的流量特征值进行统计，提取所述主机关联特征值。

3.根据权利要求1所述的方法，其特征在于，所述基于所述检测模型对待测主机行为异常进行检测，包括：

在所述检测模型构建之后，在第二设定时间片段内采集任意一个所述待测主机的第二流量数据；

利用所述检测模型对所述第二流量数据进行检测；

当所述第二流量数据与所述检测模型中的主机IP数据的特征值存在大的行为差异性时，则报警为异常IP。

4.根据权利要求1所述的方法，其特征在于，所述检测模型对待测主机行为异常进行检测之后，还包括：

将第二设定时间片段内采集的未报警的所述特征值，加入到对应主机组的特征向量集中;

对所述检测模型利用所述加入到对应主机组的特征向量集进行再次训练与修正。

5.根据权利要求1所述的方法，其特征在于，所述决策树的计算公式如下：根据权利要求1所述的方法，其特征在于，所述决策树的计算公式如下：其中，m是决策树的数量，m是大于1的自然数，wi决策是树的权重，RF是随机森林模型的投票结果。