logo好方法网

异常访问行为的检测方法、系统、存储介质和终端

发布时间:2020-09-10 发布人:admin 分类:专利技术 资料大小:1.20M 资料格式:pdf

技术摘要:
本申请提供一种异常访问行为的检测方法,包括记录终端的访问行为的访问关系集;将所述访问关系集的访问行为特征输入访问检测模型;所述访问检测模型为通过对所述终端的历史访问数据中的访问行为特征训练得到的模型;根据所述访问检测模型的输出结果确定所述访问关系集  全部
背景技术:
目前恶意攻击者往往在真实渗透测试、入侵的过程中,往往需要首先获取到内网 里面的某一台终端并以此为跳板作为渗透内网的一个跳板机。由于内网往往部署了较多的 安全设备,敏感的行为容易被安全设备发现,有经验的恶意攻击者往往会使用一些隐蔽的 手法进行内网的横向攻击,使用一些非常规的攻击手法、免杀工具甚至是未公布的0day进 行攻击达到窃取敏感信息、获取更高权限、安装后门木马或者进行内网漫游等操作。目前行 业普遍使用入侵检测设备进行内网安全检测,但是内网检出普遍基于传统的安全检测规 则,对于0day、免杀工具等未知威胁存在被绕过的可能。其次,传统安全检测只能检测一些 网络攻击行为,往往恶意攻击者在进行内网渗透时候较多的利用一些正常业务流量窃取数 据或者伪造成正常的访问方法,导致安全设备无法正常检出。 因此,如何提高终端异常访问行为的检测能力是本领域技术人员亟需解决的技术 问题。
技术实现要素:
本申请的目的是提供一种异常访问行为的检测方法、检测系统、计算机可读存储 介质和终端,能够有效降低客户侧流量监测的误报。 为解决上述技术问题,本申请提供一种异常访问行为的检测方法,具体技术方案 如下: 记录终端的访问行为的访问关系集; 将所述访问关系集的访问行为特征输入访问检测模型;所述访问检测模型为通过 对所述终端的历史访问数据中的访问行为特征训练得到的模型; 根据所述访问检测模型的输出结果确定所述访问关系集中的访问行为是否为异 常访问行为。 其中,所述记录终端的访问行为的访问关系集包括: 在所述终端受到攻击时,和/或,所述终端的安全等级变化时,记录终端的访问行 为的访问关系集。 获取预设时间范围内的历史访问数据中各访问行为的访问行为特征;所述访问行 为特征包括访问时间、访问网络特征和访问频率中的一种或任意几种的组合,所述访问网 络特征包括目的IP、目的端口、通信协议、上行流量和下行流量中一项或任意几项的组合; 对所述访问行为特征聚类训练得到所述访问检测模型。 可选的,所述访问检测模型中预先学习有正常访问特征集合及异常访问特征集 合; 4 CN 111600880 A 说 明 书 2/9 页 所述根据所述访问检测模型的输出结果确定所述访问关系集中的访问行为是否 为异常访问行为包括: 计算所述访问关系集中的访问行为特征与所述正常访问特征集合之间的第一距 离; 计算所述访问关系集中的访问行为特征与所述异常访问特征集合之间的第二距 离; 若所述第一距离大于所述第二距离,则所述访问关系集中的访问行为为异常访问 行为。 可选的,所述访问检测模型包括黑流量检测模型和白流量检测模型,将所述访问 关系集的访问行为特征输入访问检测模型包括: 将所述访问关系集的访问行为特征输入所述黑流量检测模型,得到所述黑流量检 测结果; 若所述黑流量检测结果正常,将所述访问关系集的访问行为特征输入所述白流量 检测模型。 其中,根据所述访问检测模型的输出结果确定所述访问关系集中的异常访问行为 之后,还包括: 根据所有异常访问行为确定攻击链,并利用所述攻击链进行网络攻击防护。 其中,还包括: 利用第二终端的第二访问检测模型优化所述访问检测模型,得到优化访问检测模 型; 利用所述优化访问检测模型替代所述访问检测模型进行异常访问行为检测。 本申请还提供一种异常访问行为的检测系统,具体技术方案如下: 记录模块,用于记录终端的访问行为的访问关系集; 数据输入模块,用于将所述访问关系集的访问行为特征输入访问检测模型;所述 访问检测模型为通过对所述终端的历史访问数据中的访问行为特征训练得到的模型; 异常检测模块,用于根据所述访问检测模型的输出结果确定所述访问关系集中的 访问行为是否为异常访问行为。 本申请还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程 序被处理器执行时实现如上所述的方法的步骤。 本申请还提供一种终端,包括存储器和处理器,所述存储器中存有计算机程序,所 述处理器调用所述存储器中的计算机程序时实现如上所述的方法的步骤。 本申请提供一种异常访问行为的检测方法,包括:记录终端的访问行为的访问关 系集;将所述访问关系集的访问行为特征输入访问检测模型;所述访问检测模型为通过对 所述终端的历史访问数据中的访问行为特征训练得到的模型;根据所述访问检测模型的输 出结果确定所述访问关系集中的访问行为是否为异常访问行为。 本申请通过在终端的安全等级变化时,对当前终端的访问关系集利用访问检测模 型进行检测,以确定访问关系集中的异常访问行为。而访问检测模型为通过对终端的历史 访问数据中的访问行为特征训练得到的模型,通过利用根据历史访问数据分析得到的模型 可以精确检测到入侵设备难以检测到的网络攻击,从而大幅度提高终端的安全隐患,提高 5 CN 111600880 A 说 明 书 3/9 页 终端的安全性能。本申请还提供一种异常访问行为的检测系统、计算机可读存储介质和终 端,具有上述有益效果,此处不再赘述。 附图说明 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据 提供的附图获得其他的附图。 图1为本申请实施例所提供的一种异常访问行为的检测方法的流程图; 图2为本申请实施例所提供的一种正常访问行为和异常访问行为的区分示意图; 图3为本申请实施例所提供的一种异常访问行为的检测系统结构示意图: 图4为本申请实施例所提供的一种终端的结构示意图。
下载此资料需消耗2积分,
分享到:
收藏

相关推荐