本發明提供了一種基于安全設備日志特征的攻擊行為檢測與識別方法和系統，包括：獲取安全設備的正常原始日志和原始攻擊日志，并分別進行標簽處理，獲得日志文本和標簽數據；對正常原始日志的日志文本、原始攻擊日志的日志文本，分別進行分詞處理，并分別從各自的處理結果中提取數據作為訓練集、測試集；運用訓練集和標簽數據進行訓練，并運用測試集進行調優，獲得攻擊行為檢測模型，對新的原始日志進行檢測，確認該新的原始日志是否為攻擊日志。本發明基于分詞結果計算訓練生成攻擊特征檢測模型進行檢測，從而識別出真實攻擊行為。

技術領域

本發明涉及信息安全技術領域，具體地，涉及基于安全設備日志特征的攻擊行為檢測與識別方法和系統。

背景技術

信息網絡安全正越來越被受到重視，對攻擊行為的檢測是其中的關鍵環節。網絡攻擊方式呈現多樣化、復雜化，有來自外部網絡的攻擊，也有可能是來自局域網等內部網絡的攻擊，攻擊方式有偽裝成客戶端訪問的方式、還有針對漏洞進行入侵，或者是暴力式攻擊等等。現有技術通過抓取數據包的方式對數據進行檢測，以判斷識別得到網絡攻擊行為的發生，其安全性有待提高。

發明內容

針對現有技術中的缺陷，本發明的目的是提供一種基于安全設備日志特征的攻擊行為檢測與識別方法和系統。

根據本發明提供的一種基于安全設備日志特征的攻擊行為檢測與識別方法，包括：

步驟S100：獲取安全設備的正常原始日志和原始攻擊日志，并分別進行標簽處理，獲得日志文本和標簽數據；

步驟S200：對所述正常原始日志的所述日志文本、所述原始攻擊日志的所述日志文本，分別進行分詞處理，并分別從各自的處理結果中提取A％的數據作為訓練集，提取剩余(100-A)％的數據作為測試集；

步驟S300：通過預設的機器學習算法，運用所述訓練集和所述標簽數據進行訓練，并運用所述測試集進行調優，獲得攻擊行為檢測模型；

步驟S400：利用所述攻擊行為檢測模型，對新的原始日志進行檢測，確認該新的原始日志是否為攻擊日志。

優選地，所述步驟S200包括：

步驟S201：對所述正常原始日志、所述原始攻擊日志的文本進行分詞，分別獲得第一分詞集合、第二分詞集合；

步驟S202：對所述第一分詞集合、所述第二分詞集合進行去除停用詞處理，分別獲得第三分詞集合、第四分詞集合；

步驟S203：運用預設的TF-IDF算法，計算所述第三分詞集合、所述第四分詞集合的詞頻-逆文檔頻率值，分別獲得第一詞頻矩陣、第二詞頻矩陣；

步驟S204：通過預設的PCA算法，對所述第一詞頻矩陣、所述二詞頻矩陣進行降維處理，分別獲得第一處理結果、第二處理結果；

步驟S205：從所述第一處理結果、第二處理結果中，分別提取A％的數據作為訓練集，剩余(100-A)％的數據作為測試集；

所述步驟S203包括：

步驟S20301：計算所述第三分詞集合、所述第四分詞集合中的單個分詞在其對應的所述日志文本中出現的頻率，分別獲得第一詞頻數據、第二詞頻數據；

步驟S20302：計算所述第三分詞集合、所述第四分詞集合中的所述單個分詞出現在多少個所述日志文本中，分別獲得第一逆文檔頻率數據、第二逆文檔頻率數據；

步驟S20303：通過所述第一詞頻數據與所述第一逆文檔頻率數據相乘，以及所述第二詞頻數據與所述第二逆文檔頻率數據相乘，分別獲得所述第一詞頻矩陣、所述第二詞頻矩陣。

優選地，所述步驟S300包括：