一種基于多事件關(guān)聯(lián)與機(jī)器學(xué)習(xí)的攻擊行為檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN202011367218.2 申請(qǐng)日 -
公開(公告)號(hào) CN112202817B 公開(公告)日 2021-04-06
申請(qǐng)公布號(hào) CN112202817B 申請(qǐng)公布日 2021-04-06
分類號(hào) H04L29/06;G06K9/62;G06F21/56 分類 電通信技術(shù);
發(fā)明人 張春林;王慶豐;李利軍;劉如君;尚雪松 申請(qǐng)(專利權(quán))人 北京泰策科技有限公司
代理機(jī)構(gòu) 北京冠和權(quán)律師事務(wù)所 代理人 趙真
地址 100000 北京市海淀區(qū)中關(guān)村南大街2號(hào)1號(hào)樓19層A座2201
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種基于多事件關(guān)聯(lián)與機(jī)器學(xué)習(xí)的攻擊行為檢測(cè)方法,包括:獲取分布式虛擬網(wǎng)絡(luò)中的流量數(shù)據(jù),將所述流量數(shù)據(jù)輸入預(yù)先訓(xùn)練好的異常評(píng)分模型中,獲取異常事件;根據(jù)所述異常事件判斷是否存在非獨(dú)立攻擊事件;在確定存在非獨(dú)立攻擊事件時(shí),將所述非獨(dú)立攻擊事件輸入到關(guān)聯(lián)模型中根據(jù)攻擊關(guān)聯(lián)度進(jìn)行聚類,生成復(fù)雜攻擊事件,得到復(fù)雜攻擊事件所處攻擊場(chǎng)景的報(bào)警信息集合;將每一個(gè)攻擊場(chǎng)景的報(bào)警信息與預(yù)設(shè)的攻擊模式庫(kù)進(jìn)行關(guān)聯(lián)分析,獲取預(yù)測(cè)攻擊事件。對(duì)多個(gè)攻擊者產(chǎn)生的攻擊進(jìn)行聚合及關(guān)聯(lián),準(zhǔn)確識(shí)別入侵者的真正意圖,進(jìn)而采取對(duì)應(yīng)的阻斷措施,提高了阻斷的成功率,進(jìn)而實(shí)現(xiàn)了網(wǎng)絡(luò)安全。