本發(fā)明涉及信息安全，尤其涉及一種基于ε機(jī)的行為異常檢測方法和系統(tǒng)。

背景技術(shù)：

1、隨著互聯(lián)網(wǎng)時(shí)代的發(fā)展，內(nèi)部威脅、零日漏洞和dos攻擊等攻擊行為日益增加，網(wǎng)絡(luò)安全變得越來越重要。入侵檢測系統(tǒng)(ids)是一種積極主動的安全防護(hù)技術(shù)，通過對網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)視，能夠有效感知網(wǎng)絡(luò)攻擊，為安全管理人員提供響應(yīng)決策。當(dāng)前，入侵檢測在軍事、醫(yī)療、交通、物聯(lián)網(wǎng)安全、工業(yè)控制系統(tǒng)等領(lǐng)域均有廣泛應(yīng)用。

2、入侵檢測系統(tǒng)是監(jiān)視和分析網(wǎng)絡(luò)通信的系統(tǒng)，通過主動響應(yīng)來識別異常行為?；诋惓５木W(wǎng)絡(luò)入侵檢測(anomaly-based?network?intrusion?detection?system，anids)是在網(wǎng)絡(luò)流量中監(jiān)測發(fā)現(xiàn)不符合預(yù)期正常行為的異常模式，當(dāng)檢測行為與正常行為偏離較大時(shí)，發(fā)出告警信息。anids由于不依賴固定簽名進(jìn)行檢測，能夠抵御零日攻擊和簽名混淆。然而，由于網(wǎng)絡(luò)流量的多樣性，這往往導(dǎo)致anids出現(xiàn)較高的假陽性率。而且容積率高，很難找到正常和異常配置文件之間的邊界以進(jìn)行入侵檢測。此外，anids容易受到模仿攻擊，即攻擊者修改攻擊特征，使其與良性特征相似，缺乏對未知流量和行為的檢測能力。

3、基于此，需要一種新的解決方案。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的主要目的在于針對當(dāng)前網(wǎng)絡(luò)空間安全領(lǐng)域基于異常的網(wǎng)絡(luò)入侵檢測系統(tǒng)對未知流量和行為的檢測能力的不足，提供一種基于ε機(jī)的行為異常檢測方法和系統(tǒng)，通過融合工作流狀態(tài)機(jī)、ε機(jī)等方法，發(fā)現(xiàn)隱含的行為模式，從而能夠?qū)ο到y(tǒng)中隱含的未知流量和異常行為進(jìn)行檢測，滿足網(wǎng)絡(luò)空間安全防護(hù)需要。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供一種基于ε機(jī)的行為異常檢測方法，包括：

3、基于系統(tǒng)業(yè)務(wù)行為的工作流程構(gòu)建工作流有限狀態(tài)機(jī)；

4、基于檢測得到的系統(tǒng)業(yè)務(wù)操作行為數(shù)據(jù)和所述工作流有限狀態(tài)機(jī)，利用因果態(tài)分割重構(gòu)算法，構(gòu)建系統(tǒng)ε機(jī)；

5、通過異常度閾值，對不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算，判定狀態(tài)向量對應(yīng)的隱含行為模式是否正常。

6、在本發(fā)明提供的基于ε機(jī)的行為異常檢測方法中，檢測系統(tǒng)業(yè)務(wù)操作行為產(chǎn)生的時(shí)間序列數(shù)據(jù)；

7、基于所述工作流有限狀態(tài)機(jī)，對所述時(shí)間序列數(shù)據(jù)利用小波空間法進(jìn)行時(shí)間序列符號化，得到符號化序列；

8、將所述符號化序列等分成多個等長子序列，對每個子序列進(jìn)行kolmogorov-smirnov檢驗(yàn)，采用因果態(tài)分割重構(gòu)算法重構(gòu)每個序列的ε機(jī)，并得到表達(dá)系統(tǒng)隱含模式的因果態(tài)集。

9、在本發(fā)明提供的基于ε機(jī)的行為異常檢測方法中，通過異常度閾值，對不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算，判定狀態(tài)向量對應(yīng)的隱含行為模式是否正常的步驟包括：

10、提取每個因果態(tài)集的特征向量；

11、計(jì)算不同特征向量之間的異常度，在計(jì)算得到的異常度大于所述異常度閾值，則判定所述特征向量對應(yīng)的隱含行為模式存在異常。

12、在本發(fā)明提供的基于ε機(jī)的行為異常檢測方法中，通過計(jì)算特征向量之間的歐式距離和夾角來得到不同特征向量之間的異常度。

13、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種基于ε機(jī)的行為異常檢測系統(tǒng)，包括：

14、工作流有限狀態(tài)機(jī)構(gòu)建模塊，用于基于系統(tǒng)業(yè)務(wù)行為的工作流程構(gòu)建工作流有限狀態(tài)機(jī)；

15、系統(tǒng)ε機(jī)構(gòu)建模塊，用于基于檢測得到的系統(tǒng)業(yè)務(wù)操作行為數(shù)據(jù)和所述工作流有限狀態(tài)機(jī)，利用因果態(tài)分割重構(gòu)算法，構(gòu)建系統(tǒng)ε機(jī)；

16、行為異常檢測模塊，用于通過異常度閾值，對不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算，判定狀態(tài)向量對應(yīng)的隱含行為模式是否正常。

17、在本發(fā)明提供的基于ε機(jī)的行為異常檢測系統(tǒng)中，所述系統(tǒng)ε機(jī)構(gòu)建模塊包括：

18、數(shù)據(jù)獲取單元，用于檢測系統(tǒng)業(yè)務(wù)操作行為產(chǎn)生的時(shí)間序列數(shù)據(jù)；

19、符號化處理單元，用于基于所述工作流有限狀態(tài)機(jī)，對所述時(shí)間序列數(shù)據(jù)利用小波空間法進(jìn)行時(shí)間序列符號化，得到符號化序列，并將所述符號化序列等分成多個等長子序列；

20、ε機(jī)重構(gòu)單元，用于對每個子序列進(jìn)行kolmogorov-smirnov檢驗(yàn)，采用因果態(tài)分割重構(gòu)算法重構(gòu)每個序列的ε機(jī)，并得到表達(dá)系統(tǒng)隱含模式的因果態(tài)集。

21、在本發(fā)明提供的基于ε機(jī)的行為異常檢測系統(tǒng)中，所述行為異常檢測模塊包括：

22、特征提取單元，用于提取每個因果態(tài)集的特征向量；

23、判斷單元，用于計(jì)算不同特征向量之間的異常度，在計(jì)算得到的異常度大于所述異常度閾值，則判定所述特征向量對應(yīng)的隱含行為模式存在異常。

24、在本發(fā)明提供的基于ε機(jī)的行為異常檢測系統(tǒng)中，通過計(jì)算特征向量之間的歐式距離和夾角來得到不同特征向量之間的異常度。

25、本發(fā)明還提供一種基于ε機(jī)的行為異常檢測裝置，包括處理器和存儲器，所述存儲器存儲有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上所述的基于ε機(jī)的行為異常檢測方法的步驟。

26、本發(fā)明提供的基于ε機(jī)的行為異常檢測系統(tǒng)和方法具有以下有益效果：本發(fā)明基于系統(tǒng)業(yè)務(wù)行為的工作流程步驟構(gòu)建相應(yīng)工作流有限狀態(tài)機(jī)，通過行為的有限狀態(tài)數(shù)據(jù)的檢測以及因果態(tài)分割重構(gòu)算法，構(gòu)建相應(yīng)的隱含模式發(fā)現(xiàn)ε機(jī)，通過ε機(jī)對未知行為的隱含異常模式進(jìn)行檢測，具有檢測精度高的特點(diǎn)以及動態(tài)檢測能力。

技術(shù)特征：

1.一種基于ε機(jī)的行為異常檢測方法，其特征在于，包括以下步驟：

2.如權(quán)利要求1所述的基于ε機(jī)的行為異常檢測方法，其特征在于，基于檢測得到的業(yè)務(wù)工作流狀態(tài)數(shù)據(jù)和所述工作流有限狀態(tài)機(jī)，利用因果態(tài)分割重構(gòu)算法，構(gòu)建系統(tǒng)ε機(jī)的步驟包括：

3.如權(quán)利要求2所述的基于ε機(jī)的行為異常檢測方法，其特征在于，通過異常度閾值，對不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算，判定狀態(tài)向量對應(yīng)的隱含行為模式是否正常的步驟包括：

4.如權(quán)利要求3所述的基于ε機(jī)的行為異常檢測方法，其特征在于，通過計(jì)算特征向量之間的歐式距離和夾角來得到不同特征向量之間的異常度。

5.一種基于ε機(jī)的行為異常檢測系統(tǒng)，其特征在于，包括以下步驟：

6.如權(quán)利要求5所述的基于ε機(jī)的行為異常檢測系統(tǒng)，其特征在于，所述系統(tǒng)ε機(jī)構(gòu)建模塊包括包括：

7.如權(quán)利要求6所述的基于ε機(jī)的行為異常檢測系統(tǒng)，其特征在于，所述行為異常檢測模塊包括：

8.如權(quán)利要求7所述的基于ε機(jī)的行為異常檢測系統(tǒng)，其特征在于，通過計(jì)算特征向量之間的歐式距離和夾角來得到不同特征向量之間的異常度。

9.一種基于ε機(jī)的行為異常檢測裝置，其特征在于，包括處理器和存儲器，所述存儲器存儲有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至4中任一項(xiàng)的基于ε機(jī)的行為異常檢測方法的步驟。

技術(shù)總結(jié)
本發(fā)明公開了一種基于ε機(jī)的行為異常檢測方法和系統(tǒng)。方法包括：基于系統(tǒng)業(yè)務(wù)行為的工作流程構(gòu)建工作流有限狀態(tài)機(jī)；基于檢測得到的系統(tǒng)業(yè)務(wù)操作行為數(shù)據(jù)和所述工作流有限狀態(tài)機(jī)，利用因果態(tài)分割重構(gòu)算法，構(gòu)建系統(tǒng)ε機(jī)；通過異常度閾值，對不同序列數(shù)據(jù)得到的系統(tǒng)ε機(jī)的狀態(tài)向量進(jìn)行異常度計(jì)算，判定狀態(tài)向量對應(yīng)的隱含行為模式是否正常。本發(fā)明基于系統(tǒng)業(yè)務(wù)行為的工作流程步驟構(gòu)建相應(yīng)工作流有限狀態(tài)機(jī)，通過行為的有限狀態(tài)數(shù)據(jù)的檢測以及因果態(tài)分割重構(gòu)算法，構(gòu)建相應(yīng)的隱含模式發(fā)現(xiàn)ε機(jī)；通過ε機(jī)對未知行為的隱含異常模式進(jìn)行檢測，具有檢測精度高的特點(diǎn)，以及動態(tài)檢測能力。

技術(shù)研發(fā)人員：戚建淮,鄭偉范,成飏,宋晶,唐娟,崔宸
受保護(hù)的技術(shù)使用者：深圳市永達(dá)電子信息股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19