[发明专利]一种基于语义分析的可信行为库生成方法有效
| 申请号: | 201811211727.9 | 申请日: | 2018-10-18 |
| 公开(公告)号: | CN109508541B | 公开(公告)日: | 2022-03-18 |
| 发明(设计)人: | 刘博;范渊;杨锦峰;聂桂兵;龙文洁 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06K9/62 |
| 代理公司: | 杭州中成专利事务所有限公司 33212 | 代理人: | 周世骏 |
| 地址: | 310051 浙江省杭州*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及网络安全技术,旨在提供一种基于语义分析的可信行为库生成方法。该方法包括:日志解析与标准化;将实时获取的日志行为信息与行为库中存储的所有行为信息进行元素比对,在遍历比对同时计算其相似度;根据相似度与阈值的关系,分类处理日志的行为信息;在经过一个计算周期T的运行之后,在行为库中存储若干条行为样本的记录;通过K‑means算法建立可信行为库。本发明通过分析标准化日志后,获取行为信息,经过行为相似性计算得到行为库,对行为库采用K‑means算法聚类后,删除离群点,得到可信行为库。该方法适用范围广,能够高效建立可信行为样本。 | ||
| 搜索关键词: | 一种 基于 语义 分析 可信 行为 生成 方法 | ||
【主权项】:
1.一种基于语义分析的可信行为库生成方法,其特征在于,包括下述步骤:(1)日志解析与标准化在日志审计设备中配置日志解析格式,将业务系统产生的日志接入日志审计设备并进行解析,得到满足分析格式需求的行为信息;(2)相似度计算建立用于存储行为信息的行为库,设置用于比对的计算周期T和相似度阈值G;实时获取步骤(1)中日志的行为信息,利用ratio函数将新获取的行为信息与行为库中存储的所有行为信息进行元素比对,在遍历比对同时计算其相似度g;(3)实时行为信息的处理如果该实时获取日志的行为信息与某个日志字符串对比后的相似度g大于或等于阈值G,则将二者归为一类;在将该实时日志的发生时间存入相应类别后,停止继续计算;如果该实时获取日志经遍历比对后,其相似度g计算结果均小于阈值G,则认为该日志的行为信息属于新类型,应将其存入行为库中;在经过一个计算周期T的运行之后,即能在行为库中存储若干条行为样本的记录;(4)建立可信行为库利用行为库中累积存储的行为样本,通过K‑means算法建立可信行为库;具体如下:从步骤(3)最终得到的行为库中任取K个样本作为初始的簇中心,计算每个样本到各簇中心的距离d,将各样本分别归入距离最小的簇中心内;遍历完所有对象之后,使用每个聚类中的样本距离均值作为新的簇中心,新的簇中心有k个;重复上述过程,直至满足最小平方误差准则;然后找出离群点并作删除处理,最终建立可信行为库。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201811211727.9/,转载请声明来源钻瓜专利网。
