[发明专利]用于在企业网络中检测异常主机的机器学习系统

说明书

本发明公开了一种用于在企业网络中检测异常主机的机器学习系统。所述机器学习系统包括数据收集子系统、数据处理子系统、三阶段机器学习子系统和标记报警子系统，所述四个子系统顺次衔接，所述数据收集子系统收集企业网络中各类安全信息后，传递给所述数据处理子系统，所述数据处理子系统对数据进行标准化和特征提取处理后，将特征向量传递给所述三阶段机器学习子系统，所述三阶段机器学习子系统对安全信息进行逐级求精的甄别和筛选，将异常主机的信息传递给所述标记报警子系统，所述标记报警子系统对异常主机进行标记，对达到报警要求的异常主机和安全事件进行报警。所述机器学习系统能够解决现有技术存在的报警量大、虚警率高的问题。

技术领域

本发明属于网络安全和机器学习技术领域，具体涉及一种用于在企业网络中检测异常主机的机器学习系统。

背景技术

随着计算机网络特别是因特网的普及应用，网络已经成为人们生产和生活所依赖的重要基础设施。如此同时，网络安全的重要性也日益凸显，现如今网络安全已经成为决定网络应用范围能否极大拓展和网络应用价值能否极大地发挥的关键。

为了保证企业网络的安全，通常使用SIEM(Security Information and EventManagement安全信息和事件管理)系统来标记警报，进而在安全操作中心调查分析警报，以决定它是否真的具有恶意。

安全信息和事件管理(SIEM)产品及服务负责从大量企业安全控件、主机操作系统、企业应用和企业使用的其他软件收集安全日志数据，并进行分析和报告。有些SIEM还可以试图阻止它们检测到正在进行的攻击，这可能帮助阻止破坏或者限制成功攻击可能造成的损坏。

安全是一个过程而不是一种一劳永逸的战术性操作。为获得在SIEM和其它安全产品及服务上进行投资的重要效果，负责信息安全的主要管理人员首先应当能够确认所有的IT资产，并且知道每种资产所需要的安全水平是什么。

主机是指连接到网络的计算机或其他设备。它可以为用户或网络上其他主机提供信息资源、服务和应用程序。

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)是一个客户端/服务器协议，自动为互联网协议(IP)主机提供IP地址和其他相关的配置信息，如子网掩码和缺省网关。

DNS(Domain Name System，域名系统)是一个分级、分布式的命名系统，为互联网中的所有计算机、服务等资源提供名称映射服务。

在网络安全、内部威胁、欺诈检测中，涉及到离群值检测或异常检测。对于网络安全，安全操作中心(SOC,Security Operation Center)的任务之一就是判断一台主机或服务器是否受到损坏，或是否处于一个网络杀伤链上的某些阶段，该网络杀伤链是基于安全代理的事件日志和上下文数据分析得出的。

传统的方式可以描述为：安全信息和事件管理(SIEM)系统，例如HP ArcSight或Splunk Enterprise软件，从端点、防火墙、入侵检测系统、DNS、DHCP、Windows事件、VPN等日志中分析和关联事件日志。SOC团队使用基于分析师经验的预置优先级来开发使用用例。它们通常涉及一个或两个指标(变量)来控制安全报警行为。下面是使用用例的一些举例。

·通过443端口的HTTP输出流量

·对同一PCI资产的登录失败次数超限

·对于已知恶意网站进出流量的监控

·2分钟内对同一目标的4个独特事件

·1分钟内，在PCI/SC服务器发生超过25次拒绝事件后的警报