[發(fā)明專利]基于機(jī)器學(xué)習(xí)貝葉斯算法的防掃描方法、裝置和服務(wù)器在審
| 申請(qǐng)?zhí)枺?/td> | 201810957134.0 | 申請(qǐng)日: | 2018-08-21 |
| 公開(kāi)(公告)號(hào): | CN109218294A | 公開(kāi)(公告)日: | 2019-01-15 |
| 發(fā)明(設(shè)計(jì))人: | 唐其彪;范淵 | 申請(qǐng)(專利權(quán))人: | 杭州安恒信息技術(shù)股份有限公司 |
| 主分類號(hào): | H04L29/06 | 分類號(hào): | H04L29/06;G06N20/00;H04L29/12 |
| 代理公司: | 北京超凡志成知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11371 | 代理人: | 郭新娟 |
| 地址: | 310000 浙江省杭州*** | 國(guó)省代碼: | 浙江;33 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 掃描行為 訪問(wèn)行為 貝葉斯 訪問(wèn)日志 算法 服務(wù)器 基于機(jī)器 防掃描 機(jī)器學(xué)習(xí) 輸出識(shí)別 算法模型 客戶端 漏報(bào)率 識(shí)別率 網(wǎng)絡(luò)層 預(yù)設(shè) 攔截 采集 學(xué)習(xí) 檢測(cè) | ||
1.一種基于機(jī)器學(xué)習(xí)貝葉斯算法的防掃描方法,其特征在于,所述方法應(yīng)用于服務(wù)器,所述方法包括:
采集客戶端當(dāng)前訪問(wèn)行為的訪問(wèn)日志;
從所述訪問(wèn)日志中提取所述訪問(wèn)日志的特征值;
將所述特征值輸入至預(yù)設(shè)的掃描行為識(shí)別模型中,輸出識(shí)別結(jié)果;所述掃描行為識(shí)別模型通過(guò)樸素貝葉斯算法模型訓(xùn)練得到;
如果所述識(shí)別結(jié)果表明當(dāng)前訪問(wèn)行為為掃描行為,識(shí)別所述當(dāng)前訪問(wèn)行為對(duì)應(yīng)的IP地址;
在網(wǎng)絡(luò)層攔截所述IP地址發(fā)出的訪問(wèn)行為。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,從所述訪問(wèn)日志中提取所述訪問(wèn)日志的特征值的步驟包括:
去除所述訪問(wèn)日志中日志數(shù)量不足兩秒或不足100條的IP地址;
對(duì)去除后的所述訪問(wèn)日志進(jìn)行特征提取,得到所述訪問(wèn)日志的特征值。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述特征值包括響應(yīng)碼、過(guò)去兩秒的日志量角度的正切值、過(guò)去兩秒和本次訪問(wèn)日志相同IP的個(gè)數(shù)占比、過(guò)去兩秒和本次訪問(wèn)日志相同IP的404占比、過(guò)去兩秒和本次訪問(wèn)日志相同IP的端口方差、過(guò)去100條日志和本次日志相同IP的個(gè)數(shù)占比、過(guò)去100條日志和本次日志相同IP的404占比,以及過(guò)去100條日志和本次日志相同IP的端口方差中的多種。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:
設(shè)置過(guò)去兩秒相同IP不足100條端口的方差值為65535;
設(shè)置過(guò)去100條日志相同IP不足3條端口的方差值為65535。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述掃描行為識(shí)別模型,具體通過(guò)下述方式得到:
采集客戶端訪問(wèn)日志樣本;所述訪問(wèn)日志樣本包括掃描器行為日志樣本和正常訪問(wèn)日志樣本;
搭建初始的樸素貝葉斯算法模型;
提取所述訪問(wèn)日志樣本的特征值;
將所述訪問(wèn)日志樣本劃分成指定份數(shù),采用K折交叉驗(yàn)證法,輪流將至少一份所述訪問(wèn)日志樣本的特征值輸入至所述初始的樸素貝葉斯算法模型中進(jìn)行訓(xùn)練,得到掃描行為識(shí)別模型;
將剩余至少一份所述訪問(wèn)日志樣本的特征值通過(guò)所述掃描行為識(shí)別模型進(jìn)行識(shí)別,輸出識(shí)別結(jié)果;
對(duì)比所述識(shí)別結(jié)果與所述識(shí)別結(jié)果對(duì)應(yīng)的訪問(wèn)日志樣本的實(shí)際結(jié)果,得到所述掃描行為識(shí)別模型的準(zhǔn)確率和召回率;所述準(zhǔn)確率為所述識(shí)別結(jié)果和實(shí)際結(jié)果均為真的訪問(wèn)日志樣本數(shù)量與識(shí)別結(jié)果為真的訪問(wèn)日志樣本數(shù)量的比值;所述召回率為所述識(shí)別結(jié)果和實(shí)際結(jié)果均為真的訪問(wèn)日志樣本數(shù)量與實(shí)際結(jié)果為真的訪問(wèn)日志樣本數(shù)量的比值;
根據(jù)所述準(zhǔn)確率和所述召回率調(diào)整所述掃描行為識(shí)別模型。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述掃描器行為日志樣本包括:掃描軟件1小時(shí)日志,以及過(guò)濾生產(chǎn)環(huán)境掃描行為IP且提取連續(xù)1小時(shí)日志;所述正常訪問(wèn)日志樣本包括:生產(chǎn)環(huán)境正常訪問(wèn)日志,以及通過(guò)過(guò)濾規(guī)則后日志響應(yīng)碼為200的日志。
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述在網(wǎng)絡(luò)層攔截所述IP地址發(fā)出的訪問(wèn)行為的步驟,包括:攔截所述IP地址當(dāng)前發(fā)出的訪問(wèn)行為和/或后續(xù)發(fā)出的訪問(wèn)行為。
8.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:
識(shí)別所述掃描行為對(duì)應(yīng)的掃描IP地址;
根據(jù)預(yù)設(shè)的IP地址的數(shù)據(jù)信息與威脅等級(jí)的對(duì)應(yīng)關(guān)系,對(duì)所述掃描IP地址進(jìn)行威脅等級(jí)劃分;
對(duì)連續(xù)指定次數(shù)識(shí)別為掃描IP地址的IP地址進(jìn)行指數(shù)級(jí)時(shí)長(zhǎng)封鎖;
將所述指數(shù)級(jí)時(shí)長(zhǎng)封鎖的IP地址所掃描的域名發(fā)送至所述域名對(duì)應(yīng)的服務(wù)器。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于杭州安恒信息技術(shù)股份有限公司,未經(jīng)杭州安恒信息技術(shù)股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810957134.0/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- Web漏洞掃描行為的檢測(cè)方法及裝置
- 基于網(wǎng)絡(luò)行為的掃描檢測(cè)方法、裝置、可讀存儲(chǔ)介質(zhì)
- 一種掃描器指紋識(shí)別方法及其系統(tǒng)
- 基于機(jī)器學(xué)習(xí)貝葉斯算法的防掃描方法、裝置和服務(wù)器
- 一種基于TCP流狀態(tài)的網(wǎng)絡(luò)掃描檢測(cè)方法及檢測(cè)系統(tǒng)
- 服務(wù)器異常連接和掃描行為的監(jiān)控方法和裝置
- 一種公共網(wǎng)絡(luò)環(huán)境下NMAP網(wǎng)絡(luò)掃描攻擊行為的檢測(cè)方法
- 一種云防護(hù)環(huán)境下網(wǎng)站掃描檢測(cè)方法、系統(tǒng)及設(shè)備
- 一種掃描行為識(shí)別方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 一種基于掃描報(bào)文行為的判定方法及裝置
- 基于主體訪問(wèn)行為的信任量化方法
- 數(shù)據(jù)處理方法及裝置和訪問(wèn)頻次信息處理方法及裝置
- 一種安全訪問(wèn)方法及系統(tǒng)
- 基于行為模型對(duì)訪問(wèn)數(shù)據(jù)庫(kù)行為進(jìn)行識(shí)別的方法、設(shè)備和系統(tǒng)
- 一種訪問(wèn)控制方法、裝置和系統(tǒng)
- 終端訪問(wèn)行為的識(shí)別方法及裝置
- 訪問(wèn)行為特征模型建立方法、設(shè)備、存儲(chǔ)介質(zhì)及裝置
- 可信策略學(xué)習(xí)方法及裝置、可信安全管理平臺(tái)
- 訪問(wèn)行為路徑分析方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
- 行為識(shí)別方法和裝置、存儲(chǔ)介質(zhì)及電子設(shè)備
- 一種自主融合先驗(yàn)知識(shí)的貝葉斯網(wǎng)絡(luò)方法
- 構(gòu)建解決組合爆炸問(wèn)題的級(jí)聯(lián)貝葉斯網(wǎng)絡(luò)的方法
- 一種可重構(gòu)系統(tǒng)貝葉斯網(wǎng)構(gòu)建方法
- 一種基于貝葉斯網(wǎng)絡(luò)的網(wǎng)站缺陷預(yù)測(cè)方法及其實(shí)現(xiàn)系統(tǒng)
- 應(yīng)用處理方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備
- 一種遮擋目標(biāo)檢測(cè)方法、電子設(shè)備、存儲(chǔ)介質(zhì)及系統(tǒng)
- 基于貝葉斯網(wǎng)絡(luò)推理模型的犯罪重建方法及裝置
- 利用憶阻器本征噪聲實(shí)現(xiàn)貝葉斯神經(jīng)網(wǎng)絡(luò)的方法及裝置
- 基于面向?qū)ο筘惾~斯網(wǎng)絡(luò)的中央空調(diào)系統(tǒng)故障診斷方法
- 一種基于貝葉斯神經(jīng)網(wǎng)絡(luò)權(quán)重約束的圖像分類方法
- 日志記錄裝置
- 一種大數(shù)據(jù)量的日志記錄方法及裝置
- 網(wǎng)絡(luò)訪問(wèn)日志處理方法及裝置
- 一種訪問(wèn)日志合并方法、日志處理服務(wù)器及系統(tǒng)
- 用于CDN節(jié)點(diǎn)的訪問(wèn)日志處理方法及系統(tǒng)
- 基于網(wǎng)站畫(huà)像的異常訪問(wèn)日志挖掘方法及裝置
- 網(wǎng)絡(luò)風(fēng)險(xiǎn)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備及存儲(chǔ)介質(zhì)
- 日志訪問(wèn)權(quán)限的管理方法以及裝置、服務(wù)器
- 一種訪問(wèn)記錄提取方法及裝置
- 訪問(wèn)攔截方法、裝置、日志服務(wù)器和計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)
