[发明专利]一种积极防御系统中的智能自学习白名单方法和系统

权利要求书

1.一种积极防御系统中的智能自学习白名单方法，其特征在于，包括：

获取用户发出的用于访问业务系统的访问请求，生成所述用户的身份信息；所述身份信息为访问客户端的多元组特征值；所述多元组特征值包括：源IP地址、源端口、目的IP地址、协议号和目的端口；

获取正常业务数据特征库；所述正常业务数据特征库为基于白名单学习模型构建的数据库；

根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单，依据所述智能自学习白名单确定所述业务数据是否属于正常数据；所述正常业务数据是指对被保护业务系统进行正常流量的数据信息；

所述正常业务数据特征库的构建过程为：

获取用户历史访问业务系统的正常业务数据；

根据多元组特征值对所述正常业务数据创建会话，并对所述会话处理得到处理后的会话；所述处理包括筛选和分类；

获取白样本学习模型；

将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征，并将所述正常业务数据特征进行存储，得到正常数据特征库。

2.根据权利要求1所述的积极防御系统中的智能自学习白名单方法，其特征在于，对所述会话处理得到处理后的会话，具体包括：

对所述会话进行筛选得到正常业务数据；

将所述正常业务数据分别按照同一个源IP地址和同一个目的IP地址间的连接数进行分类，得到分类后的数据信息；所述分类后的数据信息即为所述处理后的会话。

3.根据权利要求1所述的积极防御系统中的智能自学习白名单方法，其特征在于，所述根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单，依据所述智能自学习白名单确定所述业务数据是否属于正常数据，之后还包括：

当所述业务数据属于正常数据时，将所述业务数据存储至所述正常数据特征库。

4.根据权利要求1所述的积极防御系统中的智能自学习白名单方法，其特征在于，所述获取用户发出的用于访问业务系统的业务数据，之后还包括：

将所述业务数据存储在缓存数据库中，并当所述业务数据在所述缓存数据库中存储的时间超过预设时间后，将所述业务数据从所述缓存数据库中清除。

5.一种积极防御系统中的智能自学习白名单系统，其特征在于，包括：

客户端，用于用户发出用于访问业务系统的业务数据；

数据收集模块，与所述客户端连接，用于获取用户发出的用于访问业务系统的访问请求，生成所述用户的身份信息；所述身份信息为访问客户端的多元组特征值；所述多元组特征值包括：源IP地址、源端口、目的IP地址、协议号和目的端口；

正常业务数据特征库获取模块，与所述数据收集模块连接，用于获取正常业务数据特征库；所述正常业务数据特征库为基于白名单学习模型构建的数据库；

智能自学习白名单生成模块，与所述正常业务数据特征库获取模块连接，用于根据所述正常数据特征库中的正常业务数据特征生成智能自学习白名单，依据所述智能自学习白名单确定所述业务数据是否属于正常数据；所述正常业务数据是指对被保护业务系统进行正常流量的数据信息；

还包括：

正常业务数据特征库构建模块，与所述数据收集模块连接，用于构建所述正常业务数据特征库；所述数据收集模块还用于获取用户历史访问业务系统的正常业务数据；

分析处理模块，与所述数据收集模块连接，用于根据多元组特征值对所述正常业务数据创建会话，并对所述会话处理得到处理后的会话；所述处理包括筛选和分类；

白样本学习模型获取模块，与所述分析处理模块连接，用于获取白样本学习模型；

正常数据特征库构建模块，与所述白样本学习模型获取模块连接，用于将所述处理后的会话输入所述白样本学习模型中得到正常业务数据特征，并将所述正常业务数据特征进行存储，得到正常数据特征库。