CN101902366A - 一种业务行为异常检测方法和*** - Google Patents
一种业务行为异常检测方法和*** Download PDFInfo
- Publication number
- CN101902366A CN101902366A CN2009100850325A CN200910085032A CN101902366A CN 101902366 A CN101902366 A CN 101902366A CN 2009100850325 A CN2009100850325 A CN 2009100850325A CN 200910085032 A CN200910085032 A CN 200910085032A CN 101902366 A CN101902366 A CN 101902366A
- Authority
- CN
- China
- Prior art keywords
- monitored object
- record
- occurrences
- monitoring type
- frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明提供了一种业务行为异常检测方法,包括:根据安全审计设备当前检测点之前的历史审计记录,建立用户访问业务***的正常行为模型;对安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常。本发明还提供了一种业务行为异常检测***。本发明提出的业务行为异常检测***及方法,能够根据安全审计设备的审计记录,检测在业务流程上并不违规、实际上仍然给业务***带来破坏的攻击行为。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种业务行为异常检测方法和***。
背景技术
随着信息技术的发展,以数据库服务器为核心,面向互联网的业务***得到了日益广泛的应用,如网上银行***、电子订票***等。由于数据库服务器中存储了业务***的关键数据,又与整个业务流程密切相关,保障数据库服务器的信息安全尤为重要。为了更好地对数据库服务器实施保护,网络安全审计设备得到了广泛的应用。它能够实时监测和记录用户对服务器的访问信息,一旦发现有违规的访问行为(例如未经认证的访问、越权访问),即可对违规行为进行阻断。
虽然利用安全审计设备能够对违反业务流程的行为进行及时检测和阻断,但在实际应用中却存在大量在业务流程上并不违规、实际上仍然给业务***带来破坏的攻击行为。例如在某业务***中,曾经出现过内部人员盗用其他人员的账号信息登录业务***,多次修改数据库中的记录进行牟利的信息安全事件。由于这种攻击方式的实施过程完全符合业务流程,现有的安全审计产品无法检测出来并进行报警或阻断。
目前的现有技术中,有的解决方案是根据安全配置规则对数据库访问记录进行分析,将数据库访问记录以报警/非报警分类。该方案能够对部分业务行为异常进行检测,但却存在以下不足:首先,依靠管理人员制定一套完整的安全配置规则过于繁琐,一旦出现规则未包含的攻击行为,将会导致对该类攻击行为的漏报;其次,某些攻击行为无法从一次或几次数据库访问行为记录中发现,例如针对某条访问记录在24小时内的修改频率,对于该类攻击行为就无法制定合理的安全配置规则,通过对一条或几条数据库访问记录的分析进行检测。
发明内容
本发明所要解决的技术问题是在于需要提供一种业务行为异常检测***及方法,用于根据安全审计设备的审计记录,检测在业务流程上并不违规、实际上仍然给业务***带来破坏的攻击行为。
为了解决上述问题,本发明提供了一种业务行为异常检测方法,包括:
根据安全审计设备当前检测点之前的历史审计记录,建立用户访问业务***的正常行为模型;
对安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常。
进一步地,上述方法还可具有以下特点,所述建立用户访问业务***的正常行为模型的步骤,包括:
设定监控对象及其相应的监控类型;
设定自学习阶段的起止时间;
对设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型。
进一步地,上述方法还可具有以下特点,
设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名;设定监控类型为取值范围和/或出现频率;
对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值;
判断所述历史审计记录是否包含设定的监控对象,对于包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的操作值进行统计,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。
进一步地,上述方法还可具有以下特点,如果监控对象的字段名为字符型,只允许设定监控类型为出现频率;如果监控对象的字段名为数值型,则设定监控类型为取值范围和/或出现频率。
进一步地,上述方法还可具有以下特点,所述对安全审计设备获取的当前审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常具体包括:
对实时审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述实时审计记录是否包含设定的监控对象;
对于包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的操作值进行处理,判断是否偏离了正常行为模型,如果偏离,则用户访问业务***的行为异常;
其中,所述判断是否偏离了正常行为模型是指,当所述监控对象相应的监控类型为出现频率时,则统计所述监控对象在指定时间的出现频率,比较监控对象其指定操作值的出现频率与正常行为模型的偏离程度是否超过了设定阈值;当所述监控对象的监控类型为取值范围时,则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
本发明还提出一种业务行为异常检测***,包括:
存储模块,用于存储所述安全审计设备的审计记录,包括当前观测点的实时审计记录,以及所述当前检测点之前的历史审计记录;
模型建立模块,与所述存储模块和评估模块相连,根据所述历史审计记录,建立用户访问业务***的正常行为模型;
评估模块,与所述存储模块和模型建立模块相连,用于对所述安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常。
进一步地,上述***还可具有以下特点,所述***还包括:
设置模块,与所述模型建立模块及评估模块相连,用于设定监控对象和监控类型;还用于设定自学习阶段的起止时间;
所述模型建立模块,用于根据设置模块设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型。
进一步地,上述***还可具有以下特点,
所述设置模块,设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名,还设定监控类型为取值范围和/或出现频率;
所述模型建立模块包括解析单元和统计单元:
解析单元,对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述历史审计记录是否包含设定的监控对象;
统计单元,用于对包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的信息进行统计时,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。
进一步地,上述***还可具有以下特点,所述设置模块设定监控类型时,如果监控对象的字段名为字符型,只允许设定监控类型为出现频率;如果监控对象的字段名为数值型,则设定监控类型为取值范围和/或出现频率。
进一步地,上述***还可具有以下特点,所述评估模块包括:
解析单元,用于对实时审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述实时审计记录是否包含设定的监控对象;
判断单元,用于对包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的信息进行处理,判断是否偏离了正常行为模型,如果偏离,则用户访问业务***的行为异常;
其中,所述判断是否偏离了正常行为模型是指,当所述监控对象相应的监控类型为出现频率时,则统计所述监控对象在指定时间的出现频率,比较监控对象的出现频率与正常行为模型的偏离程度是否超过了设定阈值;当所述监控对象的监控类型为取值范围时,则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
本发明提出的业务行为异常检测***及方法,能够根据安全审计设备的审计记录,检测在业务流程上并不违规、实际上仍然给业务***带来破坏的攻击行为。与现有技术相比,本发明通过自学习的方式建立用户访问业务***的正常行为模型,避免了依赖管理人员设定安全配置规则的繁琐过程,也更能反映业务***的真实情况。本发明通过设定监控类型,既能对出现频率型的异常进行检测,又能对取值范围型的异常进行检测,使得对于无法通过设置简单的安全配置规则进行检测的业务异常也能进行准确检测。
附图说明
图1为本发明中业务行为异常检测方法实施例的流程示意图。
图2为本发明中业务行为异常检测***实施例组成示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
图1为本发明中业务行为异常检测方法实施例的流程示意图。如图1所示,该方法实施例主要包括如下步骤:
步骤S110,存储安全审计设备的审计记录,包括当前观测点的实时审计记录,以及当前观测点之前的历史审计记录;
步骤S120,设定需要进行监控的监控对象,以及监控对象相应的监控类型;
监控对象包括数据库表名,以及相应的操作类型、字段名;
监控类型为取值范围和/或出现频率,如果监控对象的字段名为字符型,只允许监控出现频率;如果监控对象的字段名为数值型,可以选择监控取值范围和/或出现频率;
步骤S130,通过对安全审计设备的历史审计记录进行学习,建立用户访问业务***的正常行为模型;
具体建立方法为:
设定自学习阶段的起止时间;
根据设定的监控类型,对设定起止时间内的历史审计记录进行学习;对历史审计记录进行SQL语句解析,提取数据库表名、操作类型、字段名、操作值;
判断所述历史审计记录是否包含设定的监控对象;
具体判断方法是:将数据库表名、操作类型和字段名与监控对象进行比较,如果相同,则历史审计记录中包含所述监控对象。
对于包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的信息进行统计,建立正常行为模型,其中:
如果监控对象的监控类型为出现频率,则计算其指定时间(比如24小时,也可为其他指定时间,本发明对此不作限定)内其指定操作值的平均出现频率;如果监控对象的监控类型为取值范围,则计算其每次操作值的均值和方差。
步骤S140,对安全审计设备的实时审计记录进行分析,与正常行为模型进行比较,判断用户访问业务***的行为是否异常,具体包括:
对实时审计记录进行SQL语句解析,提取数据库表名、操作类型、字段名和操作值;
判断所述实时审计记录是否包含设定的监控对象;
具体判断方法是:将数据库表名、操作类型和字段名与监控对象进行比较,如果相同,则历史审计记录中包含所述监控对象。
对于包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的信息进行处理,判断是否偏离了正常行为模型,即评估对监控对象的操作是否偏离了正常行为模型;如果偏离,则用户访问业务***的行为异常;
其中,判断是否偏离了正常行为模型具体是指,如果是对监控对象的出现频率进行监控(即监控对象相应的监控类型为出现频率),则比较所述监控对象在指定时间内的出现频率,与正常行为模型的偏离程度是否超过了设定阈值;如果是对监控对象的取值范围进行监控(即监控对象相应的监控类型为取值范围),则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
步骤S150,如果检测出用户访问业务***的行为异常,对异常进行报警。也可以设置报警条件,在到达报警条件时才进行报警,比如多次异常后才报警。还可以将异常进行记录,生成异常日志,以进行后续统计管理。
需要说明的是,整个评估过程分为两个阶段,自学习阶段和检测阶段。先进行自学习阶段,通过自学习阶段建立用户访问业务***的正常行为模型,再利用该正常行为模型进行业务行为异常的检测,即进行第二个阶段。在自学习阶段完成后,实际应用时的检测过程,就不需要再进行自学习了,直接利用自学习阶段建立的业务***的正常行为模型进行检测即可,不用反复学习并建立正常行为模型。当然由于用户操作行为的变更、用户增加或减少等,也可以根据需要每隔一段时间更新正常行为模型。
以下是业务行为异常检测***的一个应用实例,借以更清楚地描述本发明的实施方式。
假设用户的某个业务行为中,需要登录到业务***中修改自己的某项数据。假设用户Bob的该业务行为,会导致数据库服务器中执行如下的SQL(Structured Query Language,结构化查询语言)语句:
update userscore set score=2000 where username=‘Bob’;
上述SQL语句中,“userscore”为数据库表名,“socre”、“username”为数据库字段名,“update”为操作类型,“2000”、“Bob”为操作值。
假设管理人员设定的监控对象和监控类型分别为:
监控对象1:操作类型“update”,数据库表名“userscore”,数据库字段名“username”,监控类型:出现频率。
监控对象2:操作类型“update”,数据库表名“userscore”,数据库字段名“socre”,监控类型:取值范围。
假设设定的自学习阶段的起止时间为2009.1.1 0:0:0至2009.1.31 24:0:0,则在自学习阶段,所述业务行为异常检测***将会对该时间段内的历史记录进行学习,计算监控对象1在24小时内其指定操作值的出现频率的均值和方差,以及监控对象2的操作值的取值范围的均值和方差。
假设自学***均每天使用该业务行为10次,平均每次的操作值为3000。假设管理人员设定的阈值为:用户业务行为与正常模型的偏差大于2倍方差时进行报警。
假设在完成自学习后,所述业务行为异常检测***检测到一次业务行为,导致数据库服务器中执行如下的SQL语句:
update userscore set score=4000 where username=‘Bob’;
通过对该SQL语句进行SQL解析,可以发现该行为包含了设定的监控对象1和监控对象2。假设进一步的检测发现,监控对象1中,“Bob”在24小时的出现频率已经达到了12次。由于与正常模型的偏差为2,而2倍方差值为2×2=4,因此监控对象1未偏离正常模型。
对于监控对象2,其取值为4000,与正常模型的偏差为1000,而2倍方差值为100×2=200,因此监控对象2偏离了正常模型,所述业务行为异常检测***将会对该次行为进行报警。
图2为本发明中业务行为异常检测***一实施例组成示意图。如图2所示,该业务行为异常检测***包括存储模块210、设置模块220、模型建立模块230及评估模块240,其中:
存储模块210,与所述模型建立模块230及评估模块240相连,用于存储所述安全审计设备的审计记录,包括当前观测点的实时审计记录,以及所述当前检测点之前的历史审计记录;
设置模块220,与所述模型建立模块230及评估模块240相连,设定监控对象,包括但不限于:数据库表名、操作类型、字段名;设定监控类型;还用于设定自学习阶段的起止时间;设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名,还设定监控类型为取值范围和/或出现频率;如果监控对象的字段名为字符型,只允许设定监控类型为出现频率;如果监控对象的字段名为数值型,则设定监控类型为取值范围和/或出现频率;
模型建立模块230,与所述存储模块210、设置模块220及评估模块240相连,根据所述历史审计记录及设定的监控对象进行自学习,建立用户访问业务***的正常行为模型;具体地,根据设置模块设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型。
评估模块240,与所述存储模块210、设置模块220及模型建立模块230相连,用于对所述安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常,即判断对监控对象的操作是否偏离了正常行为模型,如果异常时进行报警。
进一步地,所述模型建立模块230包括解析单元和统计单元:
解析单元,对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述历史审计记录是否包含设定的监控对象;
统计单元,用于对包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的信息进行统计时,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。
进一步地,所述评估模块240包括:
解析单元,用于对实时审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述实时审计记录是否包含设定的监控对象;
判断单元,用于对包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的信息进行处理,判断是否偏离了正常行为模型,如果偏离,则用户访问业务***的行为异常;
其中,所述判断是否偏离了正常行为模型是指,当所述监控对象相应的监控类型为出现频率时,则统计所述监控对象在指定时间的出现频率,比较监控对象的出现频率与正常行为模型的偏离程度是否超过了设定阈值;当所述监控对象的监控类型为取值范围时,则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种业务行为异常检测方法,其特征在于,包括:
根据安全审计设备当前检测点之前的历史审计记录,建立用户访问业务***的正常行为模型;
对安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常。
2.如权利要求1所述的方法,其特征在于,所述建立用户访问业务***的正常行为模型的步骤,包括:
设定监控对象及其相应的监控类型;
设定自学习阶段的起止时间;
对设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型。
3.如权利要求2所述的方法,其特征在于,
设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名;设定监控类型为取值范围和/或出现频率;
对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值;
判断所述历史审计记录是否包含设定的监控对象,对于包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的操作值进行统计,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。
4.如权利要求3所述的方法,其特征在于,如果监控对象的字段名为字符型,只允许设定监控类型为出现频率;如果监控对象的字段名为数值型,则设定监控类型为取值范围和/或出现频率。
5.如权利要求3或4所述的方法,其特征在于,所述对安全审计设备获取的当前审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常具体包括:
对实时审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述实时审计记录是否包含设定的监控对象;
对于包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的操作值进行处理,判断是否偏离了正常行为模型,如果偏离,则用户访问业务***的行为异常;
其中,所述判断是否偏离了正常行为模型是指,当所述监控对象相应的监控类型为出现频率时,则统计所述监控对象在指定时间的出现频率,比较监控对象其指定操作值的出现频率与正常行为模型的偏离程度是否超过了设定阈值;当所述监控对象的监控类型为取值范围时,则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
6.一种业务行为异常检测***,其特征在于,包括:
存储模块,用于存储所述安全审计设备的审计记录,包括当前观测点的实时审计记录,以及所述当前检测点之前的历史审计记录;
模型建立模块,与所述存储模块和评估模块相连,根据所述历史审计记录,建立用户访问业务***的正常行为模型;
评估模块,与所述存储模块和模型建立模块相连,用于对所述安全审计设备的实时审计记录进行分析,与所述正常行为模型进行比较,判断用户访问业务***的行为是否异常。
7.如权利要求6所述的***,其特征在于,所述***还包括:
设置模块,与所述模型建立模块及评估模块相连,用于设定监控对象和监控类型;还用于设定自学习阶段的起止时间;
所述模型建立模块,用于根据设置模块设定的起止时间内的历史审计记录进行自学习,根据监控对象其相应的监控类型对该监控对象的信息进行统计,从而建立正常行为模型。
8.如权利要求7所述的***,其特征在于,
所述设置模块,设定监控对象时,设定需要监控的数据库表名,以及相应的操作类型和字段名,还设定监控类型为取值范围和/或出现频率;
所述模型建立模块包括解析单元和统计单元:
解析单元,对设定的起止时间内的历史审计记录进行学习时,对历史审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述历史审计记录是否包含设定的监控对象;
统计单元,用于对包含所述监控对象的所述历史审计记录,根据监控对象其相应的监控类型对该监控对象的信息进行统计时,如果该监控对象相应的监控类型为出现频率,则计算指定时间内其指定操作值的平均出现频率;如果该监控对象相应的监控类型为取值范围,计算其操作值的均值和方差。
9.如权利要求8所述的***,其特征在于,所述设置模块设定监控类型时,如果监控对象的字段名为字符型,只允许设定监控类型为出现频率;如果监控对象的字段名为数值型,则设定监控类型为取值范围和/或出现频率。
10.如权利要求8或9所述的***,其特征在于,所述评估模块包括:
解析单元,用于对实时审计记录进行解析,提取数据库表名、操作类型、字段名和操作值,判断所述实时审计记录是否包含设定的监控对象;
判断单元,用于对包含所述监控对象的所述实时审计记录,根据监控对象相应的监控类型对监控对象的信息进行处理,判断是否偏离了正常行为模型,如果偏离,则用户访问业务***的行为异常;
其中,所述判断是否偏离了正常行为模型是指,当所述监控对象相应的监控类型为出现频率时,则统计所述监控对象在指定时间的出现频率,比较监控对象的出现频率与正常行为模型的偏离程度是否超过了设定阈值;当所述监控对象的监控类型为取值范围时,则比较所述监控对象的操作值,与正常行为模型的偏离程度是否超过了设定阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910085032.5A CN101902366B (zh) | 2009-05-27 | 2009-05-27 | 一种业务行为异常检测方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910085032.5A CN101902366B (zh) | 2009-05-27 | 2009-05-27 | 一种业务行为异常检测方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101902366A true CN101902366A (zh) | 2010-12-01 |
| CN101902366B CN101902366B (zh) | 2014-03-12 |
Family
ID=43227585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910085032.5A Expired - Fee Related CN101902366B (zh) | 2009-05-27 | 2009-05-27 | 一种业务行为异常检测方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101902366B (zh) |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609346A (zh) * | 2012-01-16 | 2012-07-25 | 深信服网络科技(深圳)有限公司 | 基于业务操作的监控方法和装置 |
| CN102945254A (zh) * | 2012-10-18 | 2013-02-27 | 福建省海峡信息技术有限公司 | 在tb级海量审计数据中发现异常数据的方法 |
| CN103685161A (zh) * | 2012-09-03 | 2014-03-26 | 北京千橡网景科技发展有限公司 | 用户行为异常处理方法和设备 |
| CN104392297A (zh) * | 2014-10-27 | 2015-03-04 | 普元信息技术股份有限公司 | 大数据环境下实现非业务流程违规行为检测的方法及*** |
| CN104468466A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机***有限公司 | 网络账户的操作管理方法及装置 |
| CN104636874A (zh) * | 2015-02-12 | 2015-05-20 | 北京嘀嘀无限科技发展有限公司 | 检测业务异常的方法及设备 |
| CN104731816A (zh) * | 2013-12-23 | 2015-06-24 | 阿里巴巴集团控股有限公司 | 一种处理异常业务数据的方法和装置 |
| CN104767640A (zh) * | 2015-03-25 | 2015-07-08 | 亚信科技(南京)有限公司 | 预警方法及预警*** |
| CN105357216A (zh) * | 2015-11-30 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种安全访问方法及*** |
| CN105407112A (zh) * | 2014-08-19 | 2016-03-16 | 中兴通讯股份有限公司 | 一种设备能力的学习方法、装置和*** |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN106548471A (zh) * | 2016-10-18 | 2017-03-29 | 安庆师范大学 | 粗精调焦的医学显微图像清晰度评价方法 |
| CN106803815A (zh) * | 2015-11-26 | 2017-06-06 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN107220530A (zh) * | 2016-03-21 | 2017-09-29 | 北大方正集团有限公司 | 基于用户业务行为分析的图灵测试方法及*** |
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及*** |
| CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、*** |
| CN107707433A (zh) * | 2017-11-14 | 2018-02-16 | 北京思特奇信息技术股份有限公司 | 一种从网络平台测试业务流程的方法及计算机设备 |
| CN107743113A (zh) * | 2016-11-23 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网站攻击的检测方法及*** |
| CN107783942A (zh) * | 2016-08-25 | 2018-03-09 | ***通信集团上海有限公司 | 一种异常行为检测方法及装置 |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN108306846A (zh) * | 2017-01-13 | 2018-07-20 | ***通信集团公司 | 一种网络访问异常检测方法及*** |
| CN108600258A (zh) * | 2018-05-09 | 2018-09-28 | 华东师范大学 | 一种面向综合电子***自生成白名单的安全审计方法 |
| CN108632097A (zh) * | 2018-05-14 | 2018-10-09 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、终端设备及介质 |
| CN108712284A (zh) * | 2018-05-18 | 2018-10-26 | 阿里巴巴集团控股有限公司 | 一种故障业务的定位方法、装置、及业务服务器 |
| CN108880841A (zh) * | 2017-05-11 | 2018-11-23 | 上海宏时数据***有限公司 | 一种业务监控***的阀值设置、异常检测***及方法 |
| CN109120629A (zh) * | 2018-08-31 | 2019-01-01 | 新华三信息安全技术有限公司 | 一种异常用户识别方法及装置 |
| CN109450869A (zh) * | 2018-10-22 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种基于用户反馈的业务安全防护方法 |
| CN110502895A (zh) * | 2019-08-27 | 2019-11-26 | 中国工商银行股份有限公司 | 接口异常调用确定方法及装置 |
| CN111385126A (zh) * | 2018-12-29 | 2020-07-07 | 华为技术有限公司 | 设备行为控制方法及装置、***、存储介质 |
| US10715546B2 (en) | 2016-11-23 | 2020-07-14 | Tencent Technology (Shenzhen) Company Limited | Website attack detection and protection method and system |
| CN112054989A (zh) * | 2020-07-13 | 2020-12-08 | 北京天融信网络安全技术有限公司 | 一种检测模型的构建方法及批量操作异常的检测方法 |
| CN112565271A (zh) * | 2020-12-07 | 2021-03-26 | 瑞数信息技术(上海)有限公司 | Web攻击检测方法和装置 |
| WO2021057131A1 (zh) * | 2019-09-27 | 2021-04-01 | 支付宝(杭州)信息技术有限公司 | 用户购票行为检测方法以及装置 |
| CN113595972A (zh) * | 2021-06-08 | 2021-11-02 | 贵州电网有限责任公司 | 基于中间件流量分析技术的web业务行为逻辑检测方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1333552C (zh) * | 2005-03-23 | 2007-08-22 | 北京首信科技有限公司 | 基于机器学习的用户行为异常的检测方法 |
| CN100488139C (zh) * | 2005-08-10 | 2009-05-13 | 华为技术有限公司 | 建立聊天室数据传输通道实现聊天消息传送的方法 |
| CN101075256A (zh) * | 2007-06-08 | 2007-11-21 | 北京神舟航天软件技术有限公司 | 数据库实时审计分析***及方法 |
-
2009
- 2009-05-27 CN CN200910085032.5A patent/CN101902366B/zh not_active Expired - Fee Related
Cited By (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102609346B (zh) * | 2012-01-16 | 2014-12-03 | 深信服网络科技(深圳)有限公司 | 基于业务操作的监控方法和装置 |
| CN102609346A (zh) * | 2012-01-16 | 2012-07-25 | 深信服网络科技(深圳)有限公司 | 基于业务操作的监控方法和装置 |
| CN103685161A (zh) * | 2012-09-03 | 2014-03-26 | 北京千橡网景科技发展有限公司 | 用户行为异常处理方法和设备 |
| CN102945254B (zh) * | 2012-10-18 | 2015-12-16 | 福建省海峡信息技术有限公司 | 在tb级海量审计数据中发现异常数据的方法 |
| CN102945254A (zh) * | 2012-10-18 | 2013-02-27 | 福建省海峡信息技术有限公司 | 在tb级海量审计数据中发现异常数据的方法 |
| CN104468466A (zh) * | 2013-09-12 | 2015-03-25 | 深圳市腾讯计算机***有限公司 | 网络账户的操作管理方法及装置 |
| CN104731816A (zh) * | 2013-12-23 | 2015-06-24 | 阿里巴巴集团控股有限公司 | 一种处理异常业务数据的方法和装置 |
| CN105407112B (zh) * | 2014-08-19 | 2020-06-05 | 中兴通讯股份有限公司 | 一种设备能力的学习方法、装置和*** |
| CN105407112A (zh) * | 2014-08-19 | 2016-03-16 | 中兴通讯股份有限公司 | 一种设备能力的学习方法、装置和*** |
| CN105577608B (zh) * | 2014-10-08 | 2020-02-07 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN105577608A (zh) * | 2014-10-08 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 网络攻击行为检测方法和装置 |
| CN104392297A (zh) * | 2014-10-27 | 2015-03-04 | 普元信息技术股份有限公司 | 大数据环境下实现非业务流程违规行为检测的方法及*** |
| CN104636874A (zh) * | 2015-02-12 | 2015-05-20 | 北京嘀嘀无限科技发展有限公司 | 检测业务异常的方法及设备 |
| CN104636874B (zh) * | 2015-02-12 | 2019-04-16 | 北京嘀嘀无限科技发展有限公司 | 检测业务异常的方法及设备 |
| CN104767640B (zh) * | 2015-03-25 | 2019-03-12 | 亚信科技(南京)有限公司 | 预警方法及预警*** |
| CN104767640A (zh) * | 2015-03-25 | 2015-07-08 | 亚信科技(南京)有限公司 | 预警方法及预警*** |
| CN106803815A (zh) * | 2015-11-26 | 2017-06-06 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN106803815B (zh) * | 2015-11-26 | 2020-03-24 | 阿里巴巴集团控股有限公司 | 一种流量控制方法和装置 |
| CN105357216A (zh) * | 2015-11-30 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种安全访问方法及*** |
| CN107220530A (zh) * | 2016-03-21 | 2017-09-29 | 北大方正集团有限公司 | 基于用户业务行为分析的图灵测试方法及*** |
| CN107783942B (zh) * | 2016-08-25 | 2021-04-13 | ***通信集团上海有限公司 | 一种异常行为检测方法及装置 |
| CN107783942A (zh) * | 2016-08-25 | 2018-03-09 | ***通信集团上海有限公司 | 一种异常行为检测方法及装置 |
| CN106548471B (zh) * | 2016-10-18 | 2019-04-05 | 安庆师范大学 | 粗精调焦的医学显微图像清晰度评价方法 |
| CN106548471A (zh) * | 2016-10-18 | 2017-03-29 | 安庆师范大学 | 粗精调焦的医学显微图像清晰度评价方法 |
| CN107743113A (zh) * | 2016-11-23 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种网站攻击的检测方法及*** |
| US10715546B2 (en) | 2016-11-23 | 2020-07-14 | Tencent Technology (Shenzhen) Company Limited | Website attack detection and protection method and system |
| CN108306846A (zh) * | 2017-01-13 | 2018-07-20 | ***通信集团公司 | 一种网络访问异常检测方法及*** |
| CN107276980A (zh) * | 2017-05-02 | 2017-10-20 | 广东电网有限责任公司信息中心 | 一种基于关联分析的用户异常行为检测方法及*** |
| CN108880841A (zh) * | 2017-05-11 | 2018-11-23 | 上海宏时数据***有限公司 | 一种业务监控***的阀值设置、异常检测***及方法 |
| CN107402957B (zh) * | 2017-06-09 | 2023-02-07 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、*** |
| CN107402957A (zh) * | 2017-06-09 | 2017-11-28 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、*** |
| CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN107888574B (zh) * | 2017-10-27 | 2020-08-14 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
| CN107707433A (zh) * | 2017-11-14 | 2018-02-16 | 北京思特奇信息技术股份有限公司 | 一种从网络平台测试业务流程的方法及计算机设备 |
| CN107707433B (zh) * | 2017-11-14 | 2020-12-11 | 北京思特奇信息技术股份有限公司 | 一种从网络平台测试业务流程的方法及计算机设备 |
| CN108600258A (zh) * | 2018-05-09 | 2018-09-28 | 华东师范大学 | 一种面向综合电子***自生成白名单的安全审计方法 |
| CN108632097B (zh) * | 2018-05-14 | 2019-12-13 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、终端设备及介质 |
| CN108632097A (zh) * | 2018-05-14 | 2018-10-09 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、终端设备及介质 |
| WO2019218475A1 (zh) * | 2018-05-14 | 2019-11-21 | 平安科技(深圳)有限公司 | 异常行为对象的识别方法、装置、终端设备及介质 |
| CN108712284B (zh) * | 2018-05-18 | 2020-11-24 | 创新先进技术有限公司 | 一种故障业务的定位方法、装置、及业务服务器 |
| CN108712284A (zh) * | 2018-05-18 | 2018-10-26 | 阿里巴巴集团控股有限公司 | 一种故障业务的定位方法、装置、及业务服务器 |
| CN109120629B (zh) * | 2018-08-31 | 2021-07-30 | 新华三信息安全技术有限公司 | 一种异常用户识别方法及装置 |
| CN109120629A (zh) * | 2018-08-31 | 2019-01-01 | 新华三信息安全技术有限公司 | 一种异常用户识别方法及装置 |
| CN109450869A (zh) * | 2018-10-22 | 2019-03-08 | 杭州安恒信息技术股份有限公司 | 一种基于用户反馈的业务安全防护方法 |
| CN111385126A (zh) * | 2018-12-29 | 2020-07-07 | 华为技术有限公司 | 设备行为控制方法及装置、***、存储介质 |
| CN111385126B (zh) * | 2018-12-29 | 2021-08-13 | 华为技术有限公司 | 设备行为控制方法及装置、***、存储介质 |
| CN110502895A (zh) * | 2019-08-27 | 2019-11-26 | 中国工商银行股份有限公司 | 接口异常调用确定方法及装置 |
| WO2021057131A1 (zh) * | 2019-09-27 | 2021-04-01 | 支付宝(杭州)信息技术有限公司 | 用户购票行为检测方法以及装置 |
| CN112054989A (zh) * | 2020-07-13 | 2020-12-08 | 北京天融信网络安全技术有限公司 | 一种检测模型的构建方法及批量操作异常的检测方法 |
| CN112565271A (zh) * | 2020-12-07 | 2021-03-26 | 瑞数信息技术(上海)有限公司 | Web攻击检测方法和装置 |
| CN113595972A (zh) * | 2021-06-08 | 2021-11-02 | 贵州电网有限责任公司 | 基于中间件流量分析技术的web业务行为逻辑检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101902366B (zh) | 2014-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101902366B (zh) | 一种业务行为异常检测方法和*** | |
| CN111475804B (zh) | 一种告警预测方法及*** | |
| US9292408B2 (en) | Automated detection of a system anomaly | |
| CN109688188A (zh) | 监控告警方法、装置、设备及计算机可读存储介质 | |
| CN108989150B (zh) | 一种登录异常检测方法及装置 | |
| CN109684160A (zh) | 数据库巡检方法、装置、设备及计算机可读存储介质 | |
| US20190138542A1 (en) | Classification of log data | |
| CN111177714A (zh) | 异常行为检测方法、装置、计算机设备和存储介质 | |
| Costante et al. | A white-box anomaly-based framework for database leakage detection | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警*** | |
| US20200204428A1 (en) | System and method of automated fault correction in a network environment | |
| Singh et al. | Sql injection detection and correction using machine learning techniques | |
| CN108092985B (zh) | 网络安全态势分析方法、装置、设备及计算机存储介质 | |
| CN116681402B (zh) | 一种基于物联网的项目信息库服务管理***及方法 | |
| CN112767008A (zh) | 企业营收趋势的预测方法、装置、计算机设备及存储介质 | |
| KR101444250B1 (ko) | 개인정보 접근감시 시스템 및 그 방법 | |
| CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
| CN111126801A (zh) | 针对装备保障能力的基于信息熵的层次分析评估*** | |
| US20160162348A1 (en) | Automated detection of a system anomaly | |
| KR20060058186A (ko) | 정보기술 위험관리시스템 및 그 방법 | |
| Salazar et al. | Monitoring approaches for security and safety analysis: application to a load position system | |
| US11526775B2 (en) | Automatically evaluating application architecture through architecture-as-code | |
| Pak et al. | Asset priority risk assessment using hidden markov models | |
| CN115706669A (zh) | 网络安全态势预测方法及*** | |
| KR20180118869A (ko) | 통합 보안 이상징후 모니터링 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140312 Termination date: 20180527 |