[发明专利]一种基于入侵数据溯源的行为基线靶向抓取方法

说明书

本发明公开一种基于入侵数据溯源的行为基线靶向抓取方法，包括步骤一、基于互联网和物联网获取系统入侵数据集，步骤二、建立通用型行为基线模型并进行靶向训练，步骤三、利用通用型行为基线模型获取系统行为基线组，步骤四、异常入侵数据的提取及对应数据源头的获取，步骤五、根据异常入侵数据源头对异常原因分析并进行精准抓取；本发明通过对入侵数据进行溯源处理后基于行为基线对异常数据进行定位，同时获得了异常数据的多源追溯源头，方便快速的对入侵数据的异常进行快速靶向抓取，并从异常行为基线的源头对异常进行分析，使得入侵数据异常分析计算量降低，异常处理速度大大提升且精准度高，在互联网和物联网应用中值得广泛推广。

技术领域

本发明涉及网络空间安全技术领域，尤其涉及一种基于入侵数据溯源的行为基线处理方法。

背景技术

入侵数据顾名思义就是不同结构类型的数据，同时在不同层面上均存在异构，入侵数据需要对其进行整合，入侵数据的整合的目的在于实现不同结构的数据之间的数据信息资源、硬件设备资源和人力资源的合并共享，其关键点在于以分散的局部数据为基础，通过各种工具和处理逻辑建立全局统一的数据或视图；

目前对于入侵数据出现异常是通过入侵数据点的定位进行扩散延伸分析，此种方法无法从源头分析解决问题，造成对于入侵数据处理分析计算量大，分析耗时，影响异常入侵数据定位和处理精准度，因此，本发明提出一种基于入侵数据溯源的行为基线处理方法以解决现有技术中存在的问题。

发明内容

针对上述问题，本发明的目的在于提出一种基于入侵数据溯源的行为基线处理方法，该基于入侵数据溯源的行为基线处理方法通过对入侵数据进行溯源处理后基于行为基线对异常数据进行定位，同时获得了异常数据的多源追溯源头，方便快速的对入侵数据的异常进行快速靶向抓取，并从异常行为基线的源头对异常进行分析，使得入侵数据异常分析计算量降低，异常处理速度大大提升且精准度高，值得推广。

为实现本发明的目的，本发明通过以下技术方案实现：一种基于入侵数据溯源的行为基线处理方法，包括以下步骤：

步骤一、基于互联网或物联网获取离散的入侵数据，并将离散入侵数据整理成数据集后进行溯源处理，获得溯源入侵数据的横向入侵数据集和纵向入侵数据集；

步骤二、建立通用型行为基线模型，根据已有的行为基线数据进行靶向训练和验证，获得靶向训练后的行为基线模型；

步骤三、根据横向入侵数据集和纵向入侵数据集并基于靶向训练后的行为基线模型的输出整理获得横向行为基线组和纵向行为基线组；

步骤四、在横向行为基线组中找出所有的异常的行为基线，并提取出异常的入侵数据，再在纵向行为基线组中找出对应异常的入侵数据的纵向行为基线，得到异常的入侵数据的系统源头；

步骤五、根据异常数据的系统源头综合分析得到数据异常原因，并对异常的入侵数据环节进行精准抓取，完成入侵数据的行为基线处理。

进一步改进在于：所述步骤一中获取离散的入侵数据时通过数据上下级关系获取整条与入侵数据直接相关的数据链的入侵数据并进行提取存储，存储时将入侵数据对应的相关信息同步提取存储，再根据提取的入侵数据信息对获取的数据链上的所有入侵数据在同一层面进行归类区分并进行标记，标记时根据入侵数据的相关信息进行命名标记。

进一步改进在于：所述步骤一中进行溯源处理前将入侵数据转换成统一格式的数据类型，并提取入侵数据相关的两组完整的数据链分别作为该入侵数据的横向入侵数据集和纵向入侵数据集。

进一步改进在于：所述步骤二中已有的行为基线数据是通过现有的行为基线建立方法通过数据库中的历史数据建立的行为基线，并结合对应数据获得的历史结果构成模型的靶向训练集和验证集，其中提取历史数据的25％的行为基线与对应的结果构成验证集，其余的75％的行为基线与对应的结果构成靶向训练集。