本發(fā)明提出的一種基于機器學(xué)習(xí)的離群資產(chǎn)檢測方法及系統(tǒng)，所述方法包括：對資產(chǎn)基本信息進(jìn)行預(yù)處理，形成資產(chǎn)統(tǒng)計信息，并存儲到資產(chǎn)統(tǒng)計表中；把資產(chǎn)統(tǒng)計信息作為離群資產(chǎn)算法模型的輸入信息，應(yīng)用離群資產(chǎn)算法模型，生成不屬于任何簇的離群資產(chǎn)信息；把離群資產(chǎn)信息寫入離群資產(chǎn)表。本發(fā)明能夠通過基于機器學(xué)習(xí)的聚類算法對待檢測資產(chǎn)數(shù)據(jù)集進(jìn)行聚合，將不屬于任何簇的資產(chǎn)對象判定為資產(chǎn)數(shù)據(jù)集中的離群點，從而得到離群資產(chǎn)，結(jié)合人工判定及時解除資產(chǎn)風(fēng)險。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，更具體的說是涉及一種基于機器學(xué)習(xí)的離群資產(chǎn)檢測方法及系統(tǒng)。

背景技術(shù)

隨著電子政務(wù)與信息化融合日益深化，網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)已經(jīng)成為各種機構(gòu)日常辦公、辦事的基礎(chǔ)設(shè)施，而承載業(yè)務(wù)系統(tǒng)的服務(wù)器、日常辦公用的終端以及保障組織內(nèi)部信息安全的安全設(shè)備，它們作為組織的有形資產(chǎn)，長期穩(wěn)定運行是業(yè)務(wù)順利開展的基本保障。

雖然傳統(tǒng)的監(jiān)控軟件在發(fā)現(xiàn)設(shè)備故障、運行異常等方面確實起到了一定的作用，但現(xiàn)有的監(jiān)控軟件只能發(fā)現(xiàn)故障和運行異常的設(shè)備資產(chǎn)，在設(shè)備資產(chǎn)在正常運行情況下無法及時發(fā)現(xiàn)異常，存在明顯的監(jiān)控盲點。

發(fā)明內(nèi)容

針對現(xiàn)有技術(shù)中存在的問題，本發(fā)明的目的在于提供一種基于機器學(xué)習(xí)的離群資產(chǎn)檢測方法及系統(tǒng)，能夠通過基于機器學(xué)習(xí)的聚類算法對待檢測資產(chǎn)數(shù)據(jù)集進(jìn)行聚合，將不屬于任何簇的資產(chǎn)對象判定為資產(chǎn)數(shù)據(jù)集中的離群點，從而得到離群資產(chǎn)，結(jié)合人工判定及時解除資產(chǎn)風(fēng)險。

本發(fā)明為實現(xiàn)上述目的，通過以下技術(shù)方案實現(xiàn)：

一種基于機器學(xué)習(xí)的離群資產(chǎn)檢測方法，包括如下步驟：

S1：對資產(chǎn)基本信息進(jìn)行預(yù)處理，形成資產(chǎn)統(tǒng)計信息，并存儲到資產(chǎn)統(tǒng)計表中；

S2：把資產(chǎn)統(tǒng)計信息作為離群資產(chǎn)算法模型的輸入信息，應(yīng)用離群資產(chǎn)算法模型，生成不屬于任何簇的離群資產(chǎn)信息；

S3：把離群資產(chǎn)信息寫入離群資產(chǎn)表。

進(jìn)一步，所述資產(chǎn)基本信息包括：

資產(chǎn)信息、資產(chǎn)漏洞信息、資產(chǎn)告警信息和資產(chǎn)訪問信息。

進(jìn)一步，所述步驟S1具體為：

對資產(chǎn)信息、資產(chǎn)漏洞信息、資產(chǎn)告警信息、資產(chǎn)訪問信息基于資產(chǎn)ID進(jìn)行關(guān)聯(lián)；基于資產(chǎn)ID和資產(chǎn)狀態(tài)分組聚合生成資產(chǎn)統(tǒng)計信息；

把資產(chǎn)統(tǒng)計信息存儲到資產(chǎn)統(tǒng)計表中。

進(jìn)一步，所述離群資產(chǎn)算法模型采用K-Means聚類算法，K-Means聚類算法的聚類個數(shù)K設(shè)置為6，K-Means聚類算法采用的距離函數(shù)為歐幾里得距離函數(shù)。

進(jìn)一步，所述K-Means聚類算法具體包括：

將需要度量樣本之間的距離，用p個資產(chǎn)屬性來表示n個樣本的數(shù)據(jù)矩陣如下：

其中，x代表資產(chǎn)統(tǒng)計信息屬性的取值，x_np代表第n個資產(chǎn)的第p個屬性，資產(chǎn)屬性包括資產(chǎn)狀態(tài)、資產(chǎn)漏洞數(shù)、資產(chǎn)告警數(shù)和資產(chǎn)訪問數(shù)；

度量資產(chǎn)之間的相似性采用歐幾里得距離函數(shù)，具體如下：

其中，d(i,j)代表第i個資產(chǎn)與第j個資產(chǎn)之間的歐幾里得距離，x_ip代表第i個資產(chǎn)的第p個屬性, x_jp代表第j個資產(chǎn)的第p個屬性。

進(jìn)一步，所述步驟S2具體包括：

S21：從資產(chǎn)統(tǒng)計表中隨機選取K個資產(chǎn)統(tǒng)計對象作為初始的聚類中心；

S22：分別計算每個資產(chǎn)統(tǒng)計對象到各個聚類中心的距離，將對象分配到距離最近的聚類中；

S23：所有資產(chǎn)統(tǒng)計對象分配完成后，重新計算K個聚類中心；