申请/专利权人:上海三零卫士信息安全有限公司
申请日:2023-11-29
公开(公告)日:2024-03-01
公开(公告)号:CN117640206A
主分类号:H04L9/40
分类号:H04L9/40;H04L41/0631;H04L41/0604;H04L41/069
优先权:
专利状态码:在审-实质审查的生效
法律状态:2024.03.19#实质审查的生效;2024.03.01#公开
摘要:本发明属于网络信息安全技术领域,具体为一种融合局部和全局异常检测的失陷主机识别方法,该方法主要分为可疑主机筛选、特征提取、局部检测、全局检测、失陷主机识别等几个部分,其中对使用网络安全告警日志关联的正常企业主机进行筛选,筛选方式根据内网主机作为攻击者和被攻击者两个角度进行选择,当主机作为攻击者时,只提取某特征达到一定阈值的主机作为可疑主机;当主机作为被攻击者时,提取被外网攻击后出现其他攻击行为的主机作为可疑主机。综上所述,本发明一种融合局部和全局异常检测的失陷主机识别检测技术,在挖掘失陷主机的准确性以及方法的鲁棒性都具有较大提升,且无需专家系统支撑,节约了人力成本,并提高了告警处理效率。
主权项:1.一种融合局部和全局异常检测的失陷主机识别方法,其特征在于:该方法主要分为可疑主机筛选、特征提取、局部检测、全局检测、失陷主机识别等几个部分,识别方法如下:S1、筛选可疑主机:对使用网络安全告警日志关联的正常企业主机进行筛选,筛选方式根据内网主机作为攻击者和被攻击者两个角度进行选择,当主机作为攻击者时,只提取某特征达到一定阈值的主机作为可疑主机;当主机作为被攻击者时,提取被外网攻击后出现其他攻击行为的主机作为可疑主机;S2、特征提取:针对每台可疑主机,提取过去一段时间其关联的告警日志,并从局部和全局的角度分别统计各特征字段数据,提取所需的特征信息,作为数据预处理,即异常检测算法数据输入;S3、局部检测:针对单台可疑主机从攻击者和被攻击者角度进行异常分析;S4、全局检测:针对所有可疑主机从攻击者和被攻击者角度进行异常分析;S5、失陷主机识别:综合局部异常检测和全局异常检测的可疑失陷主机,将可疑失陷主机异常分数归一化后利用加权均值的方式重新计算异常分数并排序,最后将达到阈值的主机作为失陷主机。
全文数据:
权利要求:
百度查询: 上海三零卫士信息安全有限公司 一种融合局部和全局异常检测的失陷主机识别方法
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。