一种面向内部网络横向移动攻击的异常检测方法与系统

本发明公开了一种面向内部网络横向移动攻击的异常检测方法与系统。方法包括以下步骤：首先在网管中心采集网络流量，将其表示为特征矩阵，并作为训练数据。其次，在网管中心，基于采集的流量建立因果交互路径，明确网内各个设备间的交互情况。然后，在网管中心基于采集的流量建立流量分类器，通过利用由多层双向深度模型架构组成高效的分类模型。之后，在网关中心基于流量业务分类器建立用户画像。最后在网管中心，基于建立的交互路径，建立异常检测与异常评估方法，并进行检测。本发明利用历史路径推理算法，结合异常评分算法，来进一步显示最有可能反映横向移动的交互路径。本发明可以成为在线旁路流量监控解决方案的一部分，用于横向移动行为检测，无需在部署的工作站上安装任何软件。本发明通过面向内部网络横向移动攻击的异常检测方法与系统对内部网络的交互行为与用户行为进行了建模，有效有效提升了检测精度。