买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：南京风启科技有限公司

摘要：本发明公开了基于非典型行为分析的跨境异常数据流动识别方法及装置，涉及数据通信技术领域。包括如下步骤：系统初始化与配置，设定检测周期，配置检测因子，控制特征提取的精确度和覆盖范围；数据采集与预处理，通过部署在网络流量入口处的低延迟接口，实时捕获数据包；违规外联IP快速匹配检查，系统对捕获的数据包的IP与违规外联IP库进行比对，判定其为违规行为，进行响应与处置；若记录不匹配，则开展违规外联泛化特征提取；违规外联行为计算判定，输出判定结果并进行安全响应。本发明提高了违规外联访问行为的检测速度和精确度，减少了因误报和漏报带来的运维困扰，提高了整体系统的稳定性和鲁棒性。

主权项：1.基于非典型行为分析的跨境异常数据流动识别方法，其特征在于，包括如下步骤：步骤S1、启动系统并初始化配置，包括：设定检测周期，用以满足不同时间段内对异常行为检测频率的需求；配置检测因子，所述检测因子包括特征提取阈值、特征重要性权重分配、时间窗口长度，用以控制特征提取的精确度和覆盖范围；步骤S2、数据采集与预处理，包括：数据包获取，通过部署在网络流量入口处的低延迟接口，实时捕获VPN数据包，用以记录元数据；周期内报文分类缓存，系统根据检测周期，对捕获的数据包进行分类缓存，用于主机网络行为检测；步骤S3，违规外联IP快速匹配检查，包括：违规IP比对与快速响应，系统对步骤S2中捕获的数据包的IP与违规外联IP库进行比对，若记录匹配，则判定其为违规行为，输出判定结果，触发告警机制，进行响应与处置；若记录不匹配，则进入步骤S4；步骤S4、违规外联泛化特征提取，所述违规外联泛化特征包括流量模式，源IP地址和目标IP地址，报文会话特征；步骤S5、违规外联行为计算判定，通过关联分析模型判定违规外联行为，若是违规外联行为，则输出判定结果，触发告警机制，进行响应与处置，并将违规外联行为实时更新到违规外联IP库；若非违规外联行为，则开展下一个主机检测，具体为：S51、特征加权，根据各泛化特征与违规外联行为的相关性，为每个特征分配预定义权重；S52、特征关联计算，采用逻辑回归算法，将加权后的泛化特征作为输入，通过学习到的模型系数进行计算，将特征的线性组合转换为违规概率，具体公式为： 其中，Py＝1|x表示在给定输入特征x的条件下，对于类别y为1的概率，即违规概率，e为自然对数的底，β0,β1,…,βn为逻辑回归模型学习到的系数，x0,x1,…,xn为输入的特征值；S53、概率阈值判定，系统根据配置的检测因子设定阈值，根据步骤S52计算出的违规概率与阈值的大小比对，判定违规外联行为。

全文数据：

权利要求：

百度查询： 南京风启科技有限公司 基于非典型行为分析的跨境异常数据流动识别方法及装置