[發(fā)明專利]訪問路徑的分析方法、裝置、設備及介質有效
| 申請?zhí)枺?/td> | 201711491590.2 | 申請日: | 2017-12-30 |
| 公開(公告)號: | CN110019074B | 公開(公告)日: | 2021-03-23 |
| 發(fā)明(設計)人: | 劉樂;趙雪昆;王立川;劉丹 | 申請(專利權)人: | 中國移動通信集團河北有限公司;中國移動通信集團公司 |
| 主分類號: | G06F16/18 | 分類號: | G06F16/18;G06F16/28;G06F16/951 |
| 代理公司: | 北京東方億思知識產權代理有限責任公司 11258 | 代理人: | 彭瓊 |
| 地址: | 050021 *** | 國省代碼: | 河北;13 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 訪問 路徑 分析 方法 裝置 設備 介質 | ||
1.一種訪問路徑的分析方法,其特征在于,所述方法包括:
從日志庫中獲取登錄日志;
采用決策樹算法對所述登錄日志進行關聯分析,構建日志決策樹模型;
根據所述日志決策樹模型中所述登錄日志的日志類型的關聯關系,補充訪問路徑,以獲取全部訪問路徑;
采用聚類算法K-means對所述全部訪問路徑進行聚類分析;
根據聚類分析結果輸出異常訪問路徑和訪問路徑基線;
所述采用決策樹算法對所述登錄日志進行關聯分析,構建日志決策樹模型的步驟,包括:
根據所述登錄日志中登錄登出日志和跳轉操作日志的關聯規(guī)則,計算各個所述訪問路徑之間的順序和關聯關系;
根據所述順序和所述關聯關系補充客戶端IP地址;
采用所述決策樹算法,根據所述順序和所述關聯關系和補充的所述客戶端IP地址構建所述日志決策樹模型;
所述根據所述日志決策樹模型中所述登錄日志的日志類型的關聯關系,補充訪問路徑,以獲取全部訪問路徑的步驟,包括:
獲取所述日志決策樹模型中所述登錄日志的日志類型的關聯關系;
根據所述日志類型的關聯關系獲取源IP地址、各個跳轉IP地址和目標資源IP地址;
根據所述源IP地址、所述各個跳轉IP地址和所述目標資源IP地址補充訪問路徑,獲取所述全部訪問路徑。
2.根據權利要求1所述的方法,其特征在于,所述采用聚類算法K-means對所述全部訪問路徑進行聚類分析的步驟,包括:
對所述全部訪問路徑進行預處理,分別計算所述源IP地址、所述各個跳轉IP和所述目標資源IP地址所屬的對應IP網段;
以各個所述對應IP網段及其發(fā)生次數組成預設集合,從所述預設集合中隨機選取K個元素分別作為K個聚類簇的簇中心;
分別計算除所述K個元素之外的其他元素到所述簇中心的相異度,將所述其他元素劃分到與其相異度最小的聚類簇;
對所述K個聚類簇進行訓練,直至聚類分析的結果保持不變,輸出所述聚類分析結果。
3.根據權利要求1所述的方法,其特征在于,所述根據所述聚類分析結果輸出異常訪問路徑和訪問路徑基線的步驟,包括:
根據所述聚類分析結果獲得聚類簇和離群點;
對所述離群點進行分析,輸出異常訪問路徑;
根據所述聚類簇確認并輸出訪問路徑基線。
4.根據權利要求3所述的方法,其特征在于,所述對所述離群點進行分析,輸出異常訪問路徑的步驟,包括:
對所述離群點進行挖掘,獲得異常訪問行為;
根據異常訪問行為輸出異常訪問路徑;
其中,所述異常訪問行為包括:非常用地點訪問、安全專區(qū)外訪問、非授權IP訪問、多級跳轉。
5.根據權利要求4所述的方法,其特征在于,在所述根據異常訪問行為輸出異常訪問路徑之后,還包括:
生成異常訪問路徑告警;
對所述異常訪問路徑挖掘分析,獲得隱秘的安全通道和問題網絡策略;
根據所述隱秘的安全通道和所述問題網絡策略進行網絡封堵。
6.根據權利要求3所述的方法,其特征在于,所述根據所述聚類簇確認并輸出訪問路徑基線的步驟,包括:
根據所述聚類簇獲得正常訪問路徑;
根據預設訪問規(guī)則對所述正常訪問路徑進行篩選;
將篩選后的正常訪問路徑作為所述訪問路徑基線,輸出所述訪問路徑基線。
7.根據權利要求1至6中任一項所述的方法,其特征在于,
所述登錄日志包括:管控平臺記錄的單點登錄日志、堡壘主機記錄的資源登錄日志和遠程登錄操作日志、資源記錄的登錄日志和操作日志。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國移動通信集團河北有限公司;中國移動通信集團公司,未經中國移動通信集團河北有限公司;中國移動通信集團公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711491590.2/1.html,轉載請聲明來源鉆瓜專利網。
