一种基于机器学习的日常访问模型实现方法及系统的制作方法
【技术领域】
[0001] 本发明涉及网络监控领域,尤其涉及一种基于机器学习的日常访问模型实现方法 及系统。
【背景技术】
[0002] -般来说,若企业内部资产数量庞大,如前期没有做好访控规划,则会导致控制边 界模糊,增加管理难度。且由于企业内部设备资产的不定性,存在一定的变更(例如增加或 减少)频率,则会增大访控管理的繁琐度,如防火墙A把控办公区1区,现办公区1区增加 数十台网络终端,此时若未能及时调整对应的管理策略,则会导致降低访控管理的精准度 及提高误报率,甚至会导致网络访问异常。
[0003] 因此,现有技术还有待于改进和发展。
【发明内容】
[0004] 鉴于上述现有技术的不足,本发明的目的在于提供一种基于机器学习的日常访问 模型实现方法及系统,旨在解决现有的网络访问管理方法精准度不高以及容易误报导致网 络访问异常的问题。
[0005] 本发明的技术方案如下:
[0006] 一种基于机器学习的日常访问模型实现方法,其中,包括步骤:
[0007] A、设置流量自我学习的时间范围;
[0008] B、设置流量自我学习的网络终端范围与被访问的业务系统列表;
[0009] C、采集流量并分析流量;
[0010] D、形成流量分析结果;
[0011] E、创建流量模型的异常访问规则;
[0012] F、根据分析结果结合异常访问规则生成流量模型,通过所述流量模型对网络访问 进行持续监控。
[0013] 所述的基于机器学习的日常访问模型实现方法,其中,所述步骤C具体包括:
[0014] C1、通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap格式;
[0015] C2、对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。
[0016] 所述的基于机器学习的日常访问模型实现方法,其中,所述步骤D包括:
[0017] 根据所述pcap分析输出结果,形成包括源IP、目标IP、目标端口及访问时间的流 量分析结果。
[0018] 所述的基于机器学习的日常访问模型实现方法,其中,所述异常访问规则的规则 字段包括:时间总长度、访问总次数及端口。
[0019] 所述的基于机器学习的日常访问模型实现方法,其中,所述流量模型以目标IP为 维度,聚合源IP、端口及源IP访问目标IP某端口的总次数。
[0020] 一种基于机器学习的日常访问模型实现系统,其中,包括:
[0021] 第一设置模块,用于设置流量自我学习的时间范围;
[0022] 第二设置模块,用于设置流量自我学习的网络终端范围与被访问的业务系统列 表;
[0023] 采集分析模块,用于采集流量并分析流量;
[0024] 分析结果形成模块,用于形成流量分析结果;
[0025] 规则创建模块,用于创建流量模型的异常访问规则;
[0026] 模型生成模块,用于根据分析结果结合异常访问规则生成流量模型,通过所述流 量模型对网络访问进行持续监控。
[0027] 所述的基于机器学习的日常访问模型实现方法,其中,所述采集分析模块具体包 括:
[0028] 采集单元,用于通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap 格式;
[0029] 分析单元,用于对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。
[0030] 所述的基于机器学习的日常访问模型实现方法,其中,所述分析结果形成模块具 体包括:
[0031] 分析结果形成单元,用于根据所述pcap分析输出结果,形成包括源IP、目标IP、目 标端口及访问时间的流量分析结果。
[0032] 所述的基于机器学习的日常访问模型实现方法,其中,所述异常访问规则的规则 字段包括:时间总长度、访问总次数及端口。
[0033] 所述的基于机器学习的日常访问模型实现方法,其中,所述流量模型以目标IP为 维度,聚合源IP、端口及源IP访问目标IP某端口的总次数。
[0034] 有益效果:通过本发明的流量模型可对企业内部的实际流量情况进行机器学习, 通过一定时间的自我学习,可得到符合企业内部实际的日常访问规律(网络终端对企业业 务系统的访问规律),安全管理员只需结合企业内部的实际访控要求针对实际访问规则进 行微调即可,从而提高企业内部的异常访问的精准度。另外,通过本发明的日常访问模型可 对安全设备策略进行优化或检测。
【附图说明】
[0035] 图1为本发明一种基于机器学习的日常访问模型实现方法较佳实施例的流程图。
[0036] 图2为本发明一种基于机器学习的日常访问模型实现系统较佳实施例的结果框 图。
【具体实施方式】
[0037] 本发明提供一种基于机器学习的日常访问模型实现方法及系统,为使本发明的目 的、技术方案及效果更加清楚、明确,以下对本发明进一步详细说明。应当理解,此处所描述 的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0038] 请参阅图1,图1为本发明一种基于机器学习的日常访问模型实现方法较佳实施 例的流程图,如图所示,其包括步骤:
[0039] S101、设置流量自我学习的时间范围;
[0040] 如果之前已有流量采集,则起始时间可为存在流量数据的最早时间。
[0041] S102、设置流量自我学习的网络终端范围与被访问的业务系统列表;
[0042] S103、采集流量并分析流量;
[0043] S104、形成流量分析结果;
[0044] S105、创建流量模型的异常访问规则;
[0045] S106、根据分析结果结合异常访问规则生成流量模型,通过所述流量模型对网络 访问进行持续监控。
[0046] 进一步,所述步骤S103具体包括:
[0047] S201、通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap格式;本 发明中的蓝盾设备指的是流量采集设备,例如通过嗅探法、Snmp、netflow或sflow来采集 流量。
[0048] 其中嗅探法是通过在交换机的镜像端口设置数据采集点,来捕获数据报文的,这 种方式采集的信息最全面,可以完全复制网络中的数据报文。但是由于多数厂商的设备不 支持跨VLAN或者跨模块镜像数据,因此可能需要在多个网段安装装探针,在部署上比较复 杂,一般企业网络VLAN数量很多,一般都不可能实现全部VLAN的监控。流量很大的网络中 采用端口镜像对网络设备的性能也会造成一定的影响,而且对所有数据报文都进行采集在 吞吐量很大的网络中也是难以实现的。
[0049] Snmp是一种主动的采集方式,采集程序需要定时取出路由器内存中的 IPAccounting记录,同时清空相应的内存记录,才能继续采集后续的数据,这对路由器的性 能造成较大的影响,取得的数据只包含口层的数据,没有MAC地址信息,对于伪造源口地址 的蠕虫病毒无能为力。
[0050] 早期的Netflow版本需要统计所有的网络数据报文,因此对网络设备性能影响较 大,v8以后的版本提供了采样功能,但是Netflow数据中只有基于流的统计信息,只记录 口、端口等数据,也没有MAC地址信息。
[0051] sflow采用采样的方式,通过设置一定的采样率,进行数据捕获,对网络设备的 性能影响很小。sFlow agent-般采集数据报文前128个字节,通过封装后发往sFlow receiver,数据报文中包括了完整的源和目标的MAC地址、协议类型、TCP/UDP、端口号、应 用层协议,甚至URL信息。本发明较佳的是采用sflow方式和Snmp方式。
[0052] S202、对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。
[0053] 进一步,所述步骤S104包括:
[0054] 根据所述pcap分析输出结果,形成包括源IP、目标IP、目标端口及访问时间的流 量分析结果。
[0055] 进一步,所述异常访问规则的规则字段包括:时间总长度、访问总次数及端口。
[0056] 进一步,所述流量模型以目标