[发明专利]一种基于语义分析的可信行为库生成方法

说明书

本发明涉及网络安全技术，旨在提供一种基于语义分析的可信行为库生成方法。该方法包括：日志解析与标准化；将实时获取的日志行为信息与行为库中存储的所有行为信息进行元素比对，在遍历比对同时计算其相似度；根据相似度与阈值的关系，分类处理日志的行为信息；在经过一个计算周期T的运行之后，在行为库中存储若干条行为样本的记录；通过K‑means算法建立可信行为库。本发明通过分析标准化日志后，获取行为信息，经过行为相似性计算得到行为库，对行为库采用K‑means算法聚类后，删除离群点，得到可信行为库。该方法适用范围广，能够高效建立可信行为样本。

技术领域

本发明涉及网络安全技术，特别涉及一种基于语义分析的可信行为库生成方法。

背景技术

异常行为检测(Abnormal behavior detection)是目前入侵检测系统的主要研究方向，其特点是通过对系统异常行为的监测，可以发现未知的攻击模式。异常行为检测的关键在于建立正常使用模式并利用该模式对当前用户行为进行比较和判断。

现有技术中对可信行为识别已有一些研究成果，例如：

中国发明专利申请CN103593609B提供了一种可信行为识别的方法和装置，其方法包括：预置可信行为数据集合以及不可信行为数据集合；获取特定行为的目标页面焦点行为数据；判断所述目标页面焦点行为数据归属于可信行为数据集合或不可信行为数据集合；若归属于可信行为数据集合，则允许所述特定行为的执行；若归属于不可信行为数据集合，则中止所述特定行为的执行。该技术方案的缺点是，仅能局限于特定行为的目标页面。

中国发明专利申请CN105590055A公开了一种用于在网络交互系统中识别用户可信行为的方法，包括：获取所述网络交互系统中的用户行为数据；采用下述方式中的任意一种识别所述用户行为是否可信：通过判断预先生成的可信数据与所述用户行为数据的比对结果是否符合预先设定的规则，识别所述用户行为是否可信；或者，采用预先生成的可信行为识别模型计算表征所述用户行为可信程度的指标值，通过判断所述指标值是否满足预先设定的可信阈值，识别所述用户行为是否可信。该技术方案的缺点是，需要预先建立可信数据，通过与可信数据比对识别可信行为。

中国发明专利申请CN103944722B涉及一种互联网环境下用户可信行为的识别方法，包括：1)建立用户行为可信识别集；2)根据建立的用户行为可信识别集，对登录系统的用户进行身份认证，若身份认证成功，则允许用户进入系统；若身份认证不成功，则禁止用户进入系统；3)对于身份认证成功的用户继续进行行为前可信识别，若识别成功，则用户行为前可信识别成功，允许用户访问系统，若可信识别失败，则进入步骤4)；4)在用户访问系统的过程中对用户的行为进行动态可信识别；5)用户结束对系统访问后，服务器端更新用户的行为可信识别集及用户的信任等级，即行为后的数据更新。该技术方案的缺点是，需贯穿整个访问周期，性能消耗大。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种基于语义分析的可信行为库生成方法。

为解决上述技术问题，本发明采用的解决方案是：

提供一种基于语义分析的可信行为库生成方法，包括下述步骤：

(1)日志解析与标准化

在日志审计设备中配置日志解析格式，将业务系统产生的日志接入日志审计设备并进行解析，得到满足分析格式需求的行为信息；

(2)相似度计算

建立用于存储行为信息的行为库，设置用于比对的计算周期T和相似度阈值G；

实时获取步骤(1)中日志的行为信息，利用ratio函数将新获取的行为信息与行为库中存储的所有行为信息进行元素比对，在遍历比对同时计算其相似度g；

(3)实时行为信息的处理