基于机器学习的业务访问模型及其实现方法
【技术领域】
[0001]本发明涉及数据处理技术领域,尤其涉及一种基于机器学习的业务访问模型及其实现方法。
【背景技术】
[0002]企业内部资产数量庞大,如前期没有做好访控规划,则会导致控制边界模糊,增加管理难度。且由于企业内部资产的不定性,存在一定的变更(增加或减少)频率,会增大访控管理的繁琐度,若未能及时调整对应的管理策略,则会导致降低见访控管理的精准度及提高误报率。
[0003]有鉴于此,现有技术有待改进和提高。
【发明内容】
[0004]鉴于上述现有技术的不足之处,本发明的目的在于提供一种基于机器学习的业务访问模型及其实现方法,旨在解决现有企业业务管理中存在的控制边界模糊、管理难度大等问题。
[0005]为了达到上述目的,本发明采取了以下技术方案:
[0006]一种基于机器学习的业务访问模型,其中,包括:、
[0007]抓包单元,用于对数据进行网络抓包,获取相应的流量包;
[0008]提取单元,用于根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议;
[0009]匹配单元,用于将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
[0010]所述的基于机器学习的业务访问模型,其中,所述抓包单元中流量包的格式为PCAP0
[0011]所述的基于机器学习的业务访问模型,其中,还包括:
[0012]建模单元,用于定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
[0013]一种基于机器学习的业务访问模型的实现方法,其中,包括以下步骤:
[0014]S1、对数据进行网络抓包,获取相应的流量包;
[0015]S2、根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议;
[0016]S3、将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
[0017]所述的基于机器学习的业务访问模型的实现方法,其中,所述步骤SI之前还包括:
[0018]S0、定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
[0019]所述的基于机器学习的业务访问模型的实现方法,其中,所述步骤SI中流量包的格式为PCAP。
[0020]有益效果:本发明提供的基于机器学习的业务访问模型及其实现方法,对企业内部的实际流量情况进行机器学习,通过一定时间的自我学习,可得到符合企业内部实际的业务访问规律,安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调,即可得出业务访问模型,从而提高企业内部的异常访问的精准度。
【附图说明】
[0021]图1为本发明的基于机器学习的业务访问模型的结构框图。
[0022]图2为本发明的基于机器学习的业务访问模型的实现方法的流程图。
【具体实施方式】
[0023]本发明提供一种基于机器学习的业务访问模型及其实现方法。为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0024]本发明的思路是:首先,定位需要监督的业务系统(目标系统),调取数据库本身存在的资源;然后,访问目标系统,完成建模。具体来说,终端资助发起针对目标系统的网络访问,发起IP访问目标系统的端口 ;然后,管理员针对此端口设置访问状态(允许或拒绝),此为人为制定的规则。
[0025]请参阅图1,其为本发明的基于机器学习的业务访问模型的结构框图。如图所示,包括:
[0026]抓包单元100,用于对数据进行网络抓包,获取相应的流量包;
[0027]提取单元200,用于根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议;
[0028]匹配单元300,用于将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
[0029]具体来说,抓包单元100用于对数据进行网络抓包,获取相应的流量包。因为是基于流量进行分析,因此必须要抓包,抓取分析源,至于如何抓包其是通过现有技术:所述抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。在本实施例中,所有的访问包或流量包,格式为 PCAP0
[0030]所述提取单元200,用于根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议。所述提取方法为现有技术,这里就不多做赘述了。
[0031]所述匹配单元300用于将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。具体来说,发起IP、目标IP、发起端口与存在业务访问模型里的某条规则匹配,如存在,则判定允许操作或可正常访问,如拒绝,则产生对应的告警信息,判定为异常访问。其最终结果为:发起IP允许还是拒绝访问目标ip的目标端口。
[0032]所述基于机器学习的业务访问模型能针对企业内部的实际流量情况进行机器学习,通过一定时间的自我学习,可得到符合企业内部实际的业务访问规律,安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调,即可得出业务访问模型,从而提高企业内部的异常访问的精准度。
[0033]进一步地,所述的基于机器学习的业务访问模型还包括:
[0034]建模单元,用于定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
[0035]本发明还提供了一种基于机器学习的业务访问模型的实现方法,如图2所示,包括以下步骤:
[0036]S100、对数据进行网络抓包,获取相应的流量包;
[0037]S200、根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议;
[0038]S300、将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
[0039]进一步地,所述的基于机器学习的业务访问模型的实现方法中,所述步骤SlOO之前还包括:
[0040]S0、定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
[0041]综上所述,本发明提供的基于机器学习的业务访问模型及其实现方法,对企业内部的实际流量情况进行机器学习,通过一定时间的自我学习,可得到符合企业内部实际的业务访问规律,安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调,即可得出业务访问模型,从而提高企业内部的异常访问的精准度。
[0042]可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及本发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种基于机器学习的业务访问模型,其特征在于,包括: 抓包单元,用于对数据进行网络抓包,获取相应的流量包; 提取单元,用于根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议; 匹配单元,用于将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
2.根据权利要求1所述的基于机器学习的业务访问模型,其特征在于,所述抓包单元中流量包的格式为PCAP。
3.根据权利要求1所述的基于机器学习的业务访问模型,其特征在于,还包括: 建模单元,用于定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
4.一种基于机器学习的业务访问模型的实现方法,其特征在于,包括以下步骤: 51、对数据进行网络抓包,获取相应的流量包; 52、根据流量包里的通讯层信息来提取流量包里的五元组,所述五元组包括:发起IP、目标IP、发起端口、目标端口和协议; 53、将所述五元组与业务访问模型的相关规则进行匹配,若存在,则判定允许操作或正常访问;否则产生对应的告警信息,判定为异常访问。
5.根据权利要求4所述的基于机器学习的业务访问模型的实现方法,其特征在于,所述步骤SI之前还包括: S0、定位需要监督的目标系统,调取数据库本身存在的资源;发起针对目标系统的网络访问,发起IP访问目标系统的端口,针对所述端口设置访问状态,建立业务访问模型。
6.根据权利要求4所述的基于机器学习的业务访问模型的实现方法,其特征在于,所述步骤SI中流量包的格式为PCAP。
【专利摘要】本发明提供了基于机器学习的业务访问模型及其实现方法,对企业内部的实际流量情况进行机器学习,通过一定时间的自我学习,可得到符合企业内部实际的业务访问规律,安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调,即可得出业务访问模型,从而提高企业内部的异常访问的精准度。
【IPC分类】H04L29-06, H04L12-26
【公开号】CN104852830
【申请号】CN201510293094
【发明人】王甜, 魏理豪, 艾解清
【申请人】广东电网有限责任公司信息中心
【公开日】2015年8月19日
【申请日】2015年6月1日