IP为维度,聚合源IP、端口及源IP访问目标IP某端 口的总次数。端口如为〇,则代表全端口;多个端口通过逗号隔开","。
[0057] 实施例
[0058]S201 :设置流量自我学习的时间范围;
[0059]
[0062] S203 :采用蓝盾设备进行流量采集,流量原文保存为pcap格式。基于pcap流量原 文进行数据分析得到Pcap分析输出结果,输出源IP、目标IP、目标端口、访问时间。
[0063] S204 :根据步骤S203的pcap分析输出结果,形成流量分析结果,输出源IP、目标 IP、目标端口、访问时间,流量分析结果如下:
[0065]
[0066] S205 :创建流量模型的异常访问规则,规则字段包含:时间总长度,访问总次数, 端口(如为〇,则代表全端口;多个端口通过逗号隔开","),示例如下:
[0067]
[0068] S206 :根据流量分析结果结合异常访问规则,直接形成流量模型,以目标IP为维 度,聚合源IP、端口、源IP访问目标IP某端口的总次数。以S204的流量分析结果为基础, 流量模型如下:
[0069]
[0070]
[0071] 建立流量模型后,安全管理员可针对模型中的访问规则进行微调,如管理员认为 是异常访问,可把此规则移入流量模型黑名单。
[0072] 本发明通过流量采集设备(蓝盾设备)对企业内部流量进行采集,并分析指定时 间长度的网络流量,然后进行分析,综合分析结果以及异常访问规则来生成流量模型,在持 续监控的过程中如果出现非正常访问规则里面的网络访问时,则进行平台告警,及时知会 安全管理员,配合防火墙可极大加强网络访问控制。
[0073] 当企业通过实际流量形成了真实的流量访问模型,在此基础上配合流量监控设备 可进行企业访控精细化管理,通过传统的访控设备(如防火墙)对变动极少的企业核心网 络进行控制,变化弹性大的办公区域使用流量访问模型进行访控管理,可有效减少人工操 作失误造成的网络访控事故
[0074] 基于上述方法,本发明还提供一种基于机器学习的日常访问模型实现系统较佳实 施例,如图2所示,其包括:
[0075] 第一设置模块100,用于设置流量自我学习的时间范围;
[0076] 第二设置模块200,用于设置流量自我学习的网络终端范围与被访问的业务系统 列表;
[0077] 采集分析模块300,用于采集流量并分析流量;
[0078] 分析结果形成模块400,用于形成流量分析结果;
[0079] 规则创建模块500,用于创建流量模型的异常访问规则;
[0080] 模型生成模块600,用于根据分析结果结合异常访问规则生成流量模型,通过所述 流量模型对网络访问进行持续监控。
[0081] 进一步,所述采集分析模块300具体包括:
[0082] 采集单元,用于通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap 格式;
[0083] 分析单元,用于对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。
[0084] 进一步,所述分析结果形成模块400具体包括:
[0085] 分析结果形成单元,用于根据所述pcap分析输出结果,形成包括源IP、目标IP、目 标端口及访问时间的流量分析结果。
[0086] 进一步,所述异常访问规则的规则字段包括:时间总长度、访问总次数及端口。
[0087] 进一步,所述流量模型以目标IP为维度,聚合源IP、端口及源IP访问目标IP某端 口的总次数。
[0088] 关于上述模块单元的技术细节在前面的方法中已有详述,故不再赘述。
[0089] 综上所述,通过本发明的流量模型可对企业内部的实际流量情况进行机器学习, 通过一定时间的自我学习,可得到符合企业内部实际的日常访问规律(网络终端对企业业 务系统的访问规律),安全管理员只需结合企业内部的实际访控要求针对实际访问规则进 行微调即可,从而提高企业内部的异常访问的精准度。另外,通过本发明的日常访问模型可 对安全设备策略进行优化或检测。
[0090] 应当理解的是,本发明的应用不限于上述的举例,对本领域普通技术人员来说,可 以根据上述说明加以改进或变换,所有这些改进和变换都应属于本发明所附权利要求的保 护范围。
【主权项】
1. 一种基于机器学习的日常访问模型实现方法,其特征在于,包括步骤: A、 设置流量自我学习的时间范围; B、 设置流量自我学习的网络终端范围与被访问的业务系统列表; C、 采集流量并分析流量; D、 形成流量分析结果; E、 创建流量模型的异常访问规则; F、 根据分析结果结合异常访问规则生成流量模型,通过所述流量模型对网络访问进行 持续监控。2. 根据权利要求1所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 步骤C具体包括: C1、通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap格式; C2、对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。3. 根据权利要求2所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 步骤D包括: 根据所述pcap分析输出结果,形成包括源IP、目标IP、目标端口及访问时间的流量分 析结果。4. 根据权利要求1所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 异常访问规则的规则字段包括:时间总长度、访问总次数及端口。5. 根据权利要求1所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 流量模型以目标IP为维度,聚合源IP、端口及源IP访问目标IP某端口的总次数。6. -种基于机器学习的日常访问模型实现系统,其特征在于,包括: 第一设置模块,用于设置流量自我学习的时间范围; 第二设置模块,用于设置流量自我学习的网络终端范围与被访问的业务系统列表; 采集分析模块,用于采集流量并分析流量; 分析结果形成模块,用于形成流量分析结果; 规则创建模块,用于创建流量模型的异常访问规则; 模型生成模块,用于根据分析结果结合异常访问规则生成流量模型,通过所述流量模 型对网络访问进行持续监控。7. 根据权利要求6所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 采集分析模块具体包括: 采集单元,用于通过蓝盾设备进行流量采集,并将采集到的流量原文保存为pcap格 式; 分析单元,用于对pcap格式的流量原文进行数据分析,得到pcap分析输出结果。8. 根据权利要求7所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 分析结果形成模块具体包括: 分析结果形成单元,用于根据所述pcap分析输出结果,形成包括源IP、目标IP、目标端 口及访问时间的流量分析结果。9. 根据权利要求6所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 异常访问规则的规则字段包括:时间总长度、访问总次数及端口。10.根据权利要求6所述的基于机器学习的日常访问模型实现方法,其特征在于,所述 流量模型以目标IP为维度,聚合源IP、端口及源IP访问目标IP某端口的总次数。
【专利摘要】本发明公开一种基于机器学习的日常访问模型实现方法及系统,其中,方法包括步骤:A、设置流量自我学习的时间范围;B、设置流量自我学习的网络终端范围与被访问的业务系统列表;C、采集流量并分析流量;D、形成流量分析结果;E、创建流量模型的异常访问规则;F、根据分析结果结合异常访问规则生成流量模型,通过所述流量模型对网络访问进行持续监控。通过本发明的流量模型可对企业内部的实际流量情况进行机器学习,通过一定时间的自我学习,可得到符合企业内部实际的日常访问规律(网络终端对企业业务系统的访问规律),安全管理员只需结合企业内部的实际访控要求针对实际访问规则进行微调即可,从而提高企业内部的异常访问的精准度。另外,通过本发明的日常访问模型可对安全设备策略进行优化或检测。
【IPC分类】G06N5/02, H04L29/06, H04L12/24
【公开号】CN104994076
【申请号】CN201510293693
【发明人】陈守明, 王甜, 艾解清
【申请人】广东电网有限责任公司信息中心
【公开日】2015年10月21日
【申请日】2015年6月1日