[发明专利]日志行为分析的训练方法、身份安全风险预测方法

说明书

本发明公开了一种日志行为分析的训练方法及预测方法，其训练方法，包括：对日志数据进行结构化处理，获得各种单一行为的日志数据；对每种单一行为的日志数据进行标注，标注出日志行为；根据设定的评分标准，对所有日志行为进行风险评分；将标注好的日志数据有序输入到训练模型中，进行训练；获得预测日志行为的预测模型。本发明利用机器学的方式代替了传统的规则分析方式，能够全自动化、更智能、更全面地对日志行为进行智能化地分析。

技术领域

本发明涉及信息安全技术领域，特别是涉及日志行为分析的训练方法、身份安全风险预测方法。

背景技术

随着社会的发展，个人计算机与其他智能设备的普及，数字时代的到来，人们的生活、工作、以及金融服务等都离不开网络，因此其资产越来越依赖于互联网，从而对人们的隐私带来的挑战越来越突出。在这种大背景下，对访问的身份认证，保证访问的身份安全就直接影响到资产的安全，隐私的安全等。

现有的技术主要是通过规则设定，然后利用规则分析来进行风险识别，这种方法对强信号的安全事件，比如恶意软件，阻断服务攻击(Denial of Service Attack)和分布式阻断服务攻击(Distributed Denial of Service Attack)等的识别能力比较有效。

但是，现有技术对弱信号的安全事件，比如低频渗透(Low DensityPenetration)，高级持续威胁(Advanced Persistent Threats)和一些基于算法的攻击等的识别能力不够理想，其原因是弱信号的安全事件往往比较复杂，对于基于算法的攻击，其规则分析无法适应算法变化带来的新情况，从而无法判别访问的身份安全风险。

发明内容

为克服上述现有技术存在的不足，本发明之目的在于提供一种日志行为分析的训练方法、身份安全风险预测方法，能够全自动、智能、全面的评估访问的身份安全的风险。

为达上述及其它目的，本发明提出一种日志行为分析的训练方法，包括：

对日志数据进行结构化处理，获得各种单一行为的日志数据；

对每种单一行为的日志数据进行标注，标注出日志行为；

根据设定的评分标准，对所有日志行为进行风险评分；

将标注好的日志数据有序输入到训练模型中，进行训练；

获得预测日志行为的预测模型。

进一步地，所述训练模型为隐马尔科夫模型。

进一步地，对日志数据进行结构化处理，获得各种单一行为的日志数据包括：

对日志数据进行清洗；

将日志数据按设定的分隔符分割成各种单一行为的日志数据。

本发明还公开一种基于日志行为的身份安全风险预测方法，包括步骤：

将新生成的日志数据实时输入到预测模型中；

预测模型根据该新生成的日志数据进行处理，获得日志行为；

根据设定的行为评分表，得出日志行为的评分结果；

根据评分结果判断是否属于风险访问。

进一步地，所述预测模型为上述方法训练获得的预测模型。

进一步地，根据评分结果判断是否属于风险访问之后还包括步骤：

若访问的评分结果在评分表可接受的范围，则允许访问；

若访问的评分结果不在评分表可接受的范围，则拒绝访问。

进一步地，若访问的评分结果不在评分表可接受的范围，则拒绝访问的步骤还包括：