[发明专利]一种基于机器学习的离群资产检测方法及系统

权利要求书

1.一种基于机器学习的离群资产检测方法，其特征在于，包括如下步骤：

S1：对资产基本信息进行预处理，形成资产统计信息，并存储到资产统计表中；

S2：把资产统计信息作为离群资产算法模型的输入信息，应用离群资产算法模型，生成不属于任何簇的离群资产信息；

S3：把离群资产信息写入离群资产表。

2.根据权利要求1所述的基于机器学习的离群资产检测方法，其特征在于，所述资产基本信息包括：

资产信息、资产漏洞信息、资产告警信息和资产访问信息。

3.根据权利要求2所述的基于机器学习的离群资产检测方法，其特征在于，所述步骤S1具体为：

对资产信息、资产漏洞信息、资产告警信息、资产访问信息基于资产ID进行关联；基于资产ID和资产状态分组聚合生成资产统计信息；

把资产统计信息存储到资产统计表中。

4.根据权利要求1所述的基于机器学习的离群资产检测方法，其特征在于，所述离群资产算法模型采用K-Means聚类算法，K-Means聚类算法的聚类个数K设置为6，K-Means聚类算法采用的距离函数为欧几里得距离函数。

5.根据权利要求4所述的基于机器学习的离群资产检测方法，其特征在于，所述K-Means聚类算法具体包括：

将需要度量样本之间的距离，用p个资产属性来表示n个样本的数据矩阵如下：

其中，x代表资产统计信息属性的取值，x_np代表第n个资产的第p个属性，资产属性包括资产状态、资产漏洞数、资产告警数和资产访问数；

度量资产之间的相似性采用欧几里得距离函数，具体如下：

其中，d(i,j)代表第i个资产与第j个资产之间的欧几里得距离，x_ip代表第i个资产的第p个属性, x_jp代表第j个资产的第p个属性。

6.根据权利要求4所述的基于机器学习的离群资产检测方法，其特征在于，所述步骤S2具体包括：

S21：从资产统计表中随机选取K个资产统计对象作为初始的聚类中心；

S22：分别计算每个资产统计对象到各个聚类中心的距离，将对象分配到距离最近的聚类中；

S23：所有资产统计对象分配完成后，重新计算K个聚类中心；

S24：将本次计算得到的K个聚类中心与前一次计算得到的K个聚类中心比较，判断聚类中心是否发生变化，若是，则转到步骤S22，否则转到步骤S25；

S25：输出聚类结果；

S26：计算每个聚类的正常半径；

S27：从每个聚类中，找出大于正常半径的点，即离群点，并从聚类中剔除，形成不属于任何簇的离群资产信息。

7.根据权利要求6所述的基于机器学习的离群资产检测方法，其特征在于，所述聚类的正常半径为聚类的平均距离与1.5倍标准差之和。

8.根据权利要求1所述的基于机器学习的离群资产检测方法，其特征在于，所述步骤S3包括：

使用预设的离群资产的数据结果进行离群资产信息的整理，形成离群资产；

把离群资产写入离群资产表。

9.一种基于机器学习的离群资产检测系统，其特征在于，包括：

资产数据存储库，用于存储资产基本信息、离群资产信息，以及对资产基本信息进行信息预处理生成的资产统计信息；

计算单元，用于把资产统计信息作为离群资产算法模型的输入信息，应用离群资产算法模型，生成不属于任何簇的离群资产信息。

10.根据权利要求9所述的基于机器学习的离群资产检测系统，其特征在于，所述资产数据存储库包括：

资产信息存储单元，用于使用资产信息表存储资产信息，资产信息表的数据项包括资产ID、资产名称、资产状态和登记时间；

资产漏洞信息存储单元，用于使用资产漏洞表存储资产的漏洞信息，资产漏洞表的数据项包括主键、资产ID、漏洞类型和漏洞检测时间，资产漏洞表的资产ID与资产信息表的资产ID关联；

资产告警信息存储单元，用于使用资产告警表存储资产的监控告警信息，资产告警表的数据项包括主键、资产ID、告警类型和告警时间，资产告警表的资产ID与资产信息表的资产ID关联；

资产访问信息存储单元，用于使用资产访问表存储资产对外访问或访问该资产的访问信息，资产访问表的数据项包括主键、资产ID、访问类型和访问时间；

资产统计信息存储单元，用于使用资产统计表存储经过预处理的资产统计信息，资产统计表的数据项包括主键、统计日期，资产ID、资产状态、漏洞个数、告警个数、访问次数等，资产统计表的资产ID与资产信息表的资产ID关联；

离群资产信息存储单元，用于使用离群资产表存储经过离群资产算法模型形成的不属于任何簇的离群资产信息，离群资产表的数据项包括主键、资产ID，资产名称、检测时间，异常描述和处置状态。