本发明涉及网络安全运维领域,具体涉及一种基于堡垒机的异常行为检测方法。
背景技术:
1、堡垒机作为一项关键的安全设备,承担着集中管理和监控用户对目标服务器访问的任务。旨在保护企业内部网络和系统的安全。然而,随着网络设备和网络环境的日益复杂多样化,安全运维也越来越重要,检测用户异常行为至关重要。在业界内时有发生数据泄漏、大量数据修改、删除或移动操作、未经授权访问、修改权限设置和大量数据下载等异常行为,甚至有员工可能会故意或无意地造成安全事件。
2、然而传统的基于静态规则或统计方式识别用户行为,难以适应快速变化的网络环境和动态的用户行为,容易产生误报和漏报等情况,不能快速识别和做出反应防止安全威胁进一步扩散。
3、基于规则的检测技术,基于规则的检测技术依赖于预定义的一组规则或策略来检测异常行为。这些规则通常由安全专家根据经验和已知威胁模式手工编写,这种规则方式需要持续更新和维护,以应对新的威胁模式,固定的规则容易产生误报和漏报,难以适应动态变化的行为模式。
4、基于统计分析的检测技术,基于统计分析的检测技术通过分析历史数据的统计特征,检测显著偏离这些特征的行为。通常假设数据服从某种统计分布,实际数据可能不符合这些假设。面对复杂的多维数据,统计分析方法的效果有限,需要对大量数据进行统计分析,计算开销较大。
技术实现思路
1、针对现有技术中的上述不足,本发明提供了一种基于堡垒机的异常行为检测方法。
2、为了达到上述发明目的,本发明采用的技术方案为:
3、一种基于堡垒机的异常行为检测方法,包括如下步骤:
4、s1、获取堡垒机产生的网络行为数据并进行数据预处理;
5、s2、提取预处理后网络行为数据的数据特征,对所提取的数据特征进行分割得到训练集、测试集和验证集,基于训练集的数据构建孤立森林模型;
6、s3、基于预处理后得到的数据特征训练孤立森林模型识别正常网络行为模式,利用验证集中的数据对训练完成的孤立森林模型进行优化;
7、s4、利用s3优化后的孤立森林模型进行部署,计算堡垒机生产过程中的网络行为的异常评分,根据所计算的异常评分和预设的阈值识别异常行为。
8、进一步的,所述s1中具体包括如下步骤:
9、s11、通过堡垒机接口及日志文件获取堡垒机生产的历史日志数据和行为数据;
10、s12、对s11获取的日志数据和行为数据进行清洗,去除其中的空值、重复值和异常值,并对清洗后的日志数据和行为数据进行标准化。
11、进一步的,所述s2具体包括如下步骤:
12、s21、基于所提取的堡垒机产生的网络行为数据进行特征提取,所提取的网络行为数据特征包括设备、命令类型、静态资源和访问频率;
13、s22、从所提取的所有特征中任选一个特征作为分割依据,以所选的特征的取值范围内任选一个值作为分割点阈值;
14、s23、根据s22所得到的分割点阈值将所选的对应特征中的数据分割为左子集和右子集,其中左子集为特征值小于分割点阈值的数据集合,右子集为特征值大于等于分割点阈值的数据集合;
15、s24、基于所得到的左子集和右子集进行递归分裂,重复s22-s23对每个子集继续进行分裂,每次分裂重新随机选择分割点阈值直至满足停止条件,得到以所选的特征为集合的孤立树;
16、s25、从所提取的所有特征中选择不同的特征重复上述s22-s24,完成孤立森林模型构建。
17、进一步的,所述s24中停止条件为:孤立树的最大深度达到预设限制或分割出的左子集或者右子集的样本数量为1。
18、进一步的,所述s4具体包括如下步骤:
19、s41、将实时数据点插入到所构建的孤立森林模型中,计算所插入的实时数据点在所构建的孤立森林模型的每棵树中的平均路径长度;
20、s42、利用所得到的平均路径长度计算异常评分。
21、进一步的,所述s41中平均路径长度的计算方式为:
22、
23、式中,为数据点x在孤立森林中的平均路径长度,t为孤立树的数量,为数据点x在第i棵孤立树中的路径长度。
24、进一步的,述s4中异常评分的计算方式为:
25、
26、式中,为数据点x的异常评分,为数据点x在孤立森林中的平均路径长度,为孤立森林中随机数的平均长度,且:
27、
28、n为样本数,表示第 n 个样本的谐波数,且:
29、
30、其中,为欧拉常数。
31、本发明具有以下有益效果:
32、本发明能有效解决传统方法在处理和存储大量的用户行为日志时,基于规则检测技术方法在处理时效率较低,规则越多匹配效率越慢的问题,快速识别用户异常行为。同时适应用户行为的多样性并规范用户行为操作的合规性,提高异常行为检测准确率,同时在面对复杂的多维数据时有较强的处理能力。
1.一种基于堡垒机的异常行为检测方法,其特征在于,包括如下步骤:
2.根据权利要求1所述的基于堡垒机的异常行为检测方法,其特征在于,所述s1中具体包括如下步骤:
3.根据权利要求1所述的基于堡垒机的异常行为检测方法,其特征在于,所述s2具体包括如下步骤:
4.根据权利要求3所述的基于堡垒机的异常行为检测方法,其特征在于,所述s24中停止条件为:孤立树的最大深度达到预设限制或分割出的左子集或者右子集的样本数量为1。
5.根据权利要求1所述的基于堡垒机的异常行为检测方法,其特征在于,所述s4具体包括如下步骤:
6.根据权利要求5所述的基于堡垒机的异常行为检测方法,其特征在于,所述s41中平均路径长度的计算方式为:
7.根据权利要求5所述的基于堡垒机的异常行为检测方法,其特征在于,所述s4中异常评分的计算方式为:
