CN113987476B 一种失陷主机确定方法、装置、电子设备及存储介质 (新华三信息安全技术有限公司)_第1页
CN113987476B 一种失陷主机确定方法、装置、电子设备及存储介质 (新华三信息安全技术有限公司)_第2页
CN113987476B 一种失陷主机确定方法、装置、电子设备及存储介质 (新华三信息安全技术有限公司)_第3页
CN113987476B 一种失陷主机确定方法、装置、电子设备及存储介质 (新华三信息安全技术有限公司)_第4页
CN113987476B 一种失陷主机确定方法、装置、电子设备及存储介质 (新华三信息安全技术有限公司)_第5页
已阅读5页,还剩44页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

本申请实施例提供了一种失陷主机确定方目标群组中每一待检测主机在预设时长内的网行为特征数据是否为各网络行为特征数据中的事件检测结果用于指示待检测主机在预设时长案,降低了安全事件误判对失陷主机确定的影2获取目标群组中每一待检测主机在预设时长内的网络行为特获取每一待检测主机的事件检测结果;所述事件检测结果用于指示所根据每一待检测主机对应的离群检测结果和事件检测结果,确定将所述目标群组中的目标主机确定为离群主机,所述目标主机为所述第二离群点的交集中每一网络行为特征数据所对应的将所述目标群组中除目标主机以外的每一待检测主机确定所述利用孤立森林算法,确定所述各待检测主机的网络行为特征数根据每一待检测主机的网络行为特征数据,构建预设数量个孤立树,将所述异常分值大于第一异常阈值的网络行为特征数据确定所述利用箱线图算法,确定所述各待检测主机的网络行为特征数据针对所述网络行为特征数据中的每一行为类别,比较每一待若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第二异2.根据权利要求1所述的方法,其特征在于,所述网络行为特征数据包括以下至少一针对所述目标群组中的每一待检测主机,若所述离群3获取所述目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果和事所述根据每一待检测主机对应的离群检测结果和事件检测结果,确定所针对所述目标群组中的每一待检测主机,在每一预设时长若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数阈值,第一获取模块,用于获取目标群组中每一待检测主机在第二获取模块,用于获取每一待检测主机的事件检测结果第二确定模块,用于根据每一待检测主机对应的离群检测所述第一确定模块,具体用于利用孤立森林算法,确定所述各待检测将所述目标群组中的目标主机确定为离群主机,所述目标主机为所述第二离群点的交集中每一网络行为特征数据所对应的将所述目标群组中除目标主机以外的每一待检测主机确定所述第一确定模块,具体用于根据每一待检测主机的网络行为特所述第一确定模块,具体用于针对所述网络行为特征数据中的每一行为6.根据权利要求5所述的装置,其特征在于,所述网络行为特征数据包括以下至少一4第三获取模块,用于在根据每一待检测主机对应的离所述第二确定模块,具体用于针对所述目标群组中的每一待检测主长内,若该预设时长对应的离群检测结果指示该待检测主机的网络行为特征数据为离群若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数阈值,5[0002]安全事件是指尝试改变信息系统安全状态(例如改变访问控制措施、改变安全级[0012]利用孤立森林算法,确定所述各待检测主机的网络行为特征数据中的第一离群和所述第二离群点的交集中每一网络行为特征数6[0022]若待检测主机在任一行为类别的网络行为特征数据大于该行为类别所对应的第[0026]获取所述目标群组中每一待检测主机在连续的多个预设时长内的离群检测结果[0029]若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数7[0034]第二确定模块,用于根据每一待检测主机对应的离群检和所述第二离群点的交集中每一网络行为特征数[0044]第三获取模块,用于在根据每一待检测主机对应的离群检测结果和事件检测结[0046]若该待检测主机在所述多个预设时长内被确定为备选主机的次数大于预设次数8[0049]本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行一待检测主机在预设时长内的离群检测结果和事件检测结果,确定目标群组中的失陷主[0052]当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优[0061]图8为本申请实施例提供的在多个预设时长内主机失陷次数与失陷概率的一种示9[0069]步骤S101,获取目标群组中每一待检测主机在预设时长内的的离群点准确性的影响,上述目标群组中包括的待检测主机的数量可以大于预设数量阈预设时长内的日志信息,计算该待检测主机在预设时长内的每条日志的上行流量的和值,预设时长内的日志信息,计算该待检测主机在预设时长内的每条日志的下行流量的和值,[0102]在本步骤中,上述安全管理平台可以实时对每一待检测子设备可以从安全管理平台获取每一待检测主机在上述预设时长内的事件检测[0103]上述事件检测结果可以通过关联分析,用户实体行为分析(UserandEntity[0104]在本申请实施例中,上述步骤S103可以在上述步骤S101或步骤S102执行之前/之[0105]针对上述步骤S104,即根据每一待检测主机对应的离群检测结果和事件检测结[0110]电子设备根据目标群组中每一待检测主机的网络行为特征数据,利用箱线图算[0112]步骤S201,获取目标群组中每一待检测主机在预设时长内的第二离群点的交集中每一网络行为特征数据就是电子设备可以确定目标群组中的主机2和主机3标群组中除目标主机以外的每一待检测主机确定为非群点的交集中每一网络行为特征数据所对应的待检测主机(即上述目标主机)确定为目标了离群检测结果的准确性,从而提高了基于该离群检测结果所确定出的失陷主机的准确[0133]步骤S301,获取目标群组中每一待检测主机在预设时长内的[0154]步骤S304,将异常分值大于第一异常阈值的网络行为特征数据确定为第一离群[0157]通过上述步骤S302-步骤S304,电子设备可以准确确定出目标群组中特征数据属第二离群点的交集中每一网络行为特征数据[0166]步骤S401,获取目标群组中每一待检测主机在预设时长内的主机的每一行为类别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值进别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值比较结果满足上述情所对应的第二异常阈值,电子设备可以将该待检测主机的网络行为特征数据确定为离群的行为类别所对应的网络行为特征数据与该行为类别所对应的第二异常阈值比较结果满第二离群点的交集中每一网络行为特征数据[0191]步骤S601,获取目标群组中每一待检测主机在预设时长内的检测主机的离群检测结果是否指示该待检测主机在预设时长内的网络行为特征数据是否1234[0205]通过上述步骤S603-步骤S604,电子设备可以根据目标群组中每一待检测主机在[0207]步骤S701,获取目标群组中每一待检测主机在预设时长内的一待检测主机在连续的多个预设时长内离群检测结果和[0225]第一获取模块901,用于获取目标群组中每一待检测主机在预设时长内的网络行[0228]第二确定模块904,用于根据每一待检测主机对应的离群检测结果和事件检测结[0236]可选的,上述第二确定模块904,具体可以用于针对目标群组中的每一待检测主结果指示该待检测主机在预设时长内未发生安全事件,则确定该待检测主机不是失陷主[0239]第三获取模块905,用于在根据每一待检测主机对应的离群检测结果和事件检测[0241]若该待检测主机在多个预设时长内被确定为备选主机的[0242]若该待检测主机在多个预设时长内被确定为备选主机的次数不大于预设次数阈[0249]上述通信总线可以是PCI(Peri[0251]上述处理器可以是通用处理器,包括CPU(CentralProcessingUnit,中央处理数字信号处理器)、ASIC(ApplicationSpecificIntegratedCircu

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论