[发明专利]一种网络异常行为检测与分析的方法及系统

说明书

本发明公开了一种网络异常行为检测与分析的方法及系统，用以解决现有技术中训练数据不平衡影响训练效果并且无法对所有种类的攻击行为和攻击手段进行穷举的问题。该方法包括：S1、统计安全用户的访问行为特征数据；S2、根据所述特征数据构建一类支持向量机模型；S3、利用所述一类支持向量机模型对全网用户的访问行为特征进行预测分析以识别异常访问行为。本发明基于机器学习，更好地检测到网络的异常行为，及时发现不同类型的攻击，利用数据挖掘的特点，研究在线网络异常行为分析与检测，从而能够针对其作出有效的决策响应，提高网络安全性和资源利用率。

技术领域

本发明涉及计算机网络领域，尤其涉及一种网络异常行为检测与分析的方法及系统。

背景技术

随着互联网技术的不断发展，网络安全问题也变得日益严峻，网络攻击已逐渐成为一种低成本高收益的产业，黑客组织的攻击手段越来越先进，使得传统的攻击检测技术和防御设备猝不及防，无法及时适应攻击技术的变化，给个人和企业带来巨大的损失。因此如何能够更好地检测到网络上的异常行为，及时发现攻击甚至是新型攻击，从而采取有效的措施，增强网络的安全性，是现代企业面临的一个重要问题。

网络异常行为检测及分析是网络安全管理领域的重要研究内容，也是入侵检测的一个重要分支。网络异常行为是指对网络正常使用造成不良影响的网络流量模式。引起网络行为异常的原因很多，例如网络攻击：如DDoS攻击、DoS攻击、端口查看等，也可能是由网络的错误配置及网络资源耗尽等引起。

从本质上讲，网络异常行为检测是一个有监督的分类问题，常用的分类算法有朴素贝叶斯、逻辑回归与支持向量机等，但利用这些算法进行建模时需要用到带有类别标记的训练样本。然而对于异常行为检测来说具有较大的难度：一方面，正常样本数量远大于异常样本，训练数据出现严重的不平衡性，影响模型的训练效果；另一方面，利用分类模型仅能对已知的异常攻击和正常行为进行划分，而攻击手段不断变化，无法对所有种类的攻击行为和攻击手段进行穷举，因此可将焦点放在正常访问行为上，找到正常访问行为与异常访问行为的边界，对正常行为和异常行为进行划分，再从异常行为中识别常见攻击和新型的未知攻击。

公开号为CN105915555A的专利提供了一种网络异常行为的检测方法及系统。其中方法包括：从网络访问日志中获取网络访问数据集；从网络访问数据集中提取每个特定域名下的网络访问数据，计算网络访问数据中指定字段的统计特性参数；从不同维度检测网络访问数据集中各条网络访问数据的行为特性，生成各条网络访问数据对应的多维特征向量；基于训练数据集中各条训练数据的多维特征向量和各条训练数据的实际类标、以及检测数据集中各条检测数据的多维特征向量，采用机器学习中的分类算法，得到检测数据集中各条检测数据的预测类标。根据该发明提供的方案，得到的检测结果同时具有较高的准确率和召回率。但是该发明仅能对已知的异常攻击和正常行为进行划分，而攻击手段不断变化，无法对所有种类的攻击行为和攻击手段进行穷举。

发明内容

本发明要解决的技术问题目的在于提供一种网络异常行为检测与分析的方法及系统，用以解决现有技术中训练数据不平衡影响训练效果并且无法对所有种类的攻击行为和攻击手段进行穷举的问题。

为了实现上述目的，本发明采用的技术方案为：

一种网络异常行为检测与分析的方法，包括步骤：

S1、统计安全用户的访问行为特征数据；

S2、根据所述特征数据构建一类支持向量机模型；

S3、利用所述一类支持向量机模型对全网用户的访问行为特征进行预测分析以识别异常访问行为。

进一步地，还包括步骤：

S4、判断所述异常访问行为的行为特征是否已知，若是，进行相应的处理；否则，研究所述异常访问行为并制定相应的措施。

进一步地，步骤S2具体包括：