[發明專利]基于安全設備日志特征的攻擊行為檢測與識別方法和系統在審
| 申請號: | 202211455601.2 | 申請日: | 2022-11-21 |
| 公開(公告)號: | CN116074036A | 公開(公告)日: | 2023-05-05 |
| 發明(設計)人: | 徐春運;張金龍;唐冠華;蔣佳成;全彬元;高建;陳倩 | 申請(專利權)人: | 興業銀行股份有限公司;興業數字金融服務(上海)股份有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;G06F18/24;G06F40/289;G06N20/00;G06F18/214;G06F40/216;G06F18/213 |
| 代理公司: | 上海段和段律師事務所 31334 | 代理人: | 李源 |
| 地址: | 350014 福建省福州*** | 國省代碼: | 福建;35 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 安全設備 日志 特征 攻擊行為 檢測 識別 方法 系統 | ||
1.一種基于安全設備日志特征的攻擊行為檢測與識別方法,其特征在于,包括:
步驟S100:獲取安全設備的正常原始日志和原始攻擊日志,并分別進行標簽處理,獲得日志文本和標簽數據;
步驟S200:對所述正常原始日志的所述日志文本、所述原始攻擊日志的所述日志文本,分別進行分詞處理,并分別從各自的處理結果中提取A%的數據作為訓練集,提取剩余(100-A)%的數據作為測試集;
步驟S300:通過預設的機器學習算法,運用所述訓練集和所述標簽數據進行訓練,并運用所述測試集進行調優,獲得攻擊行為檢測模型;
步驟S400:利用所述攻擊行為檢測模型,對新的原始日志進行檢測,確認該新的原始日志是否為攻擊日志。
2.根據權利要求1所述的基于安全設備日志特征的攻擊行為檢測與識別方法,其特征在于,所述步驟S200包括:
步驟S201:對所述正常原始日志、所述原始攻擊日志的文本進行分詞,分別獲得第一分詞集合、第二分詞集合;
步驟S202:對所述第一分詞集合、所述第二分詞集合進行去除停用詞處理,分別獲得第三分詞集合、第四分詞集合;
步驟S203:運用預設的TF-IDF算法,計算所述第三分詞集合、所述第四分詞集合的詞頻-逆文檔頻率值,分別獲得第一詞頻矩陣、第二詞頻矩陣;
步驟S204:通過預設的PCA算法,對所述第一詞頻矩陣、所述二詞頻矩陣進行降維處理,分別獲得第一處理結果、第二處理結果;
步驟S205:從所述第一處理結果、第二處理結果中,分別提取A%的數據作為訓練集,剩余(100-A)%的數據作為測試集;
所述步驟S203包括:
步驟S20301:計算所述第三分詞集合、所述第四分詞集合中的單個分詞在其對應的所述日志文本中出現的頻率,分別獲得第一詞頻數據、第二詞頻數據;
步驟S20302:計算所述第三分詞集合、所述第四分詞集合中的所述單個分詞出現在多少個所述日志文本中,分別獲得第一逆文檔頻率數據、第二逆文檔頻率數據;
步驟S20303:通過所述第一詞頻數據與所述第一逆文檔頻率數據相乘,以及所述第二詞頻數據與所述第二逆文檔頻率數據相乘,分別獲得所述第一詞頻矩陣、所述第二詞頻矩陣。
3.根據權利要求1所述的基于安全設備日志特征的攻擊行為檢測與識別方法,其特征在于,所述步驟S300包括:
步驟S301:通過邏輯回歸算法或隨機森林算法或SVM算法,運用所述訓練集和所述標簽數據進行訓練,生成初始檢測模型;
步驟S302:運用所述測試集對所述初始檢測模型進行驗證,并根據驗證結果進行模型參數調優,獲得調優后的參數;
步驟S303:利用所述調優后的參數,運用所述訓練集和所述標簽數據進行訓練,直到得出的初始檢測模型為最高檢出率和最低誤報率的最優模型,保存所述最優模型作為所述攻擊行為檢測模型。
4.根據權利要求1所述的基于安全設備日志特征的攻擊行為檢測與識別方法,其特征在于,所述步驟S400包括:
步驟S401:獲取新的原始日志,對所述新的原始日志進行分詞;
步驟S402:去除所述新的原始日志中的停用詞;
步驟S403:運用所述TF-IDF算法計算所述新的原始日志分詞的詞頻-逆文檔頻率值;
步驟S404:輸入所述新的原始日志分詞的詞頻-逆文檔頻率值到所述攻擊行為檢測模型中進行檢測,確認該新的原始日志是否為攻擊日志。
5.一種基于安全設備日志特征的攻擊行為檢測與識別系統,其特征在于,包括:
模塊M100:獲取安全設備的正常原始日志和原始攻擊日志,并分別進行標簽處理,獲得日志文本和標簽數據;
模塊M200:對所述正常原始日志的所述日志文本、所述原始攻擊日志的所述日志文本,分別進行分詞處理,并分別從各自的處理結果中提取A%的數據作為訓練集,提取剩余(100-A)%的數據作為測試集;
模塊M300:通過預設的機器學習算法,運用所述訓練集和所述標簽數據進行訓練,并運用所述測試集進行調優,獲得攻擊行為檢測模型;
模塊M400:利用所述攻擊行為檢測模型,對新的原始日志進行檢測,確認該新的原始日志是否為攻擊日志。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于興業銀行股份有限公司;興業數字金融服務(上海)股份有限公司,未經興業銀行股份有限公司;興業數字金融服務(上海)股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202211455601.2/1.html,轉載請聲明來源鉆瓜專利網。
