CN104883363A - 异常访问行为分析方法及装置 - Google Patents
异常访问行为分析方法及装置 Download PDFInfo
- Publication number
- CN104883363A CN104883363A CN201510236271.1A CN201510236271A CN104883363A CN 104883363 A CN104883363 A CN 104883363A CN 201510236271 A CN201510236271 A CN 201510236271A CN 104883363 A CN104883363 A CN 104883363A
- Authority
- CN
- China
- Prior art keywords
- access
- user
- behavior
- abnormal
- forwarding unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常访问行为分析方法及装置,属于网络安全领域。所述异常访问行为分析方法包括:获取用户访问时数据包的特征信息,特征信息为接入转发设备从数据包中提取的关键信息、接入转发设备发送的用于指示用户是否越权访问的第一参数或接入转发设备发送的用于指示用户是否异常位置登录的第二参数;根据特征信息确定用户的访问行为是否为异常访问行为;若用户的访问行为是异常访问行为,则根据与异常访问行为的类型对应的调整方式调整用户的信誉值。本发明解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种异常访问行为分析方法及装置。
背景技术
一体化标识网络将网络分为接入网与骨干网,引入了接入网标识(AccessIdentifier,AID)与路由标识(Routing Identifier,RID),从根本上解决了互联网协议地址(Internet Protocol Address,IP)双重属性的问题。一体化标识网络能很好的与现有的互联网与网络架构进行融合,尤其与传统的电信网络的融合已经成为一个新的研究方向。
在一体化标识网络中,为了能够实现网络访问时的管理,一体化标识网络可以对用户标识(UID)的不同属性进行描述并概括成用户属性标签(U_TAG),对服务标识(SID)的不同属性进行描述并概括成服务属性标签(S_TAG),并基于U_TAG和S_TAG设定策略规则。用户每次访问资源会分别查询获取请求服务中UID和SID对应的U_TAG和S_TAG,再通过查询相应的策略规则得到策略结果,从而实现服务管理。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:上述在实现服务管理时,将服务按照属性进行了划分,仅限于为用户提供了针对***,这种服务管理比较局限。
发明内容
为了解决现有技术中在实现服务管理时,仅限于为用户提供针对***,管理比较局限的问题,本发明实施例提供了一种异常访问行为分析方法及装置。所述技术方案如下:
第一方面,提供了一种异常访问行为分析方法,所述方法包括:
获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
根据所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为;
若所述用户的访问行为是异常访问行为,则根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。
可选的,所述获取用户访问时数据包的特征信息,包括:
当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流中的数据包具有相同的关键信息;
对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组所述关键信息;
将所述关键信息存储为一条流摘要记录。
可选的,所述根据所述特征信息确定所述用户的访问行为是否为异常访问行为,包括:
当所述特征信息为所述关键信息时,对存储的预定条所述流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
可选的,所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,包括:
根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
可选的,在所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值之后,还包括:
检测调整后的信誉值是否对应新的访问等级;
若调整后的信誉值对应新的访问等级,则将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
可选的,所述方法还包括:
将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
或者,
在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
第二方面,提供了一种异常访问行为分析装置,所述装置包括:
特征信息获取模块,用于获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
异常行为确定模块,用于根据所述特征信息获取模块获取的所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为;
信誉值调整模块,用于在所述异常行为确定模块确定出所述用户的访问行为是异常访问行为时,根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。
可选的,所述特征信息获取模块,包括:
接收单元,用于当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流中的数据包具有相同的关键信息;
关键信息提取单元,用于对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组关键信息;
存储单元,用于将所述关键信息提取单元提取出的所述关键信息存储为一条流摘要记录。
可选的,所述异常行为确定模块,还用于:
当所述特征信息为所述关键信息时,对所述存储单元存储的预定条所述流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
可选的,所述信誉值调整模块,还用于:
根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
可选的,所述装置还包括:
检测模块,用于检测所述信誉值调整模块调整后的信誉值是否对应新的访问等级;
访问等级调整模块,用于在所述检测模块检测到调整后的信誉值对应新的访问等级后,将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
可选的,所述装置还包括:
第一发送模块,用于将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
或者,
第二发送模块,用于在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
本发明实施例提供的技术方案带来的有益效果是:
通过获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明部分实施例中提供的异常访问行为分析方法所涉及的融合网络的示意图;
图2是本发明一个实施例中提供的异常访问行为分析方法的方法流程图;
图3是本发明另一个实施例中提供的异常访问行为分析方法的方法流程图;
图4是本发明再一个实施例中提供的异常访问行为分析方法的方法流程图;
图5是本发明一个实施例中提供的异常访问行为分析装置的结构示意图;
图6是本发明另一个实施例中提供的异常访问行为分析装置的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
请参见图1所示,其是本发明部分实施例中提供的异常访问行为分析方法所涉及的融合网络示意图,该融合网络是接入网络110和一体化标识网络120融合后得到的网络。
这里的接入网络110为通用分组无线服务(中文:General Packet RadioService,英文:GPRS)网络。
接入网络110中包括至少一个用户所持有的移动终端111,这里所讲的移动终端111可以包括智能手机,具有移动通讯功能的平板电脑、多媒体播放器或可穿戴式设备等。
接入网络110中还包括服务GPRS支持节点(英文:Serving GPRS SupportNode,简称:SGSN)112。
一体化标识网络120包括接入转发设备121、策略设备122和转发设备124,该策略设备122可以是映射/认证服务器123的一部分,也可以是包含映射/认证服务器123的设备,还可以是独立于映射/认证服务器123的设备。映射/认证服务器123可以是映射服务器和认证服务器的集群,也可以是一个设备。很显然,映射/认证服务器123也可以一个设备,或者是至少两个设备的集群。
可选的,策略设备122可以是一个设备,也可以是多个设备的集群,比如,策略设备122还可以包括用户行为分析服务器122a。
这里所讲的转发设备124一般为路由器。
这里所讲的接入转发设备121同时位于接入网络110和一体化标识网络120中,即接入转发设备121是接入网络110和一体化标识网络120融合时的边缘节点。也就是说,接入转发设备121具有接入网络110中的网关GPRS支持节点(英文:Gateway GPRS Support Node,简称:GGSN)的功能,又同时具有一体化标识网络120中路由器的功能,从而实现了接入网络110和一体化标识网络120的融合。
一般的,接入转发设备121在接收到移动终端111发送的数据包之后,会将数据包中的源接入标识AID替换为可以在一体化标识网络120中识别的路由标识RID(即转发设备124的标识),即将数据包中的源AID替换为源RID,类似的,还会将数据包中的目标AID替换为目标RID,其中路由标识RID为一体化标识网络120中路由器的标识。这样,数据包在经过接入转发设备121替换接入标识后,可以在一体化标识网络120内部根据源RID和目标RID所对应的转发路径进行转发。
可选的,接入转发设备121在接收到数据包之后,获取该数据包中的源AID和目标AID,对于数据包的源AID来讲,接入转发设备121根据该接入转发设备121的地址池确定出一个RID,建立该源AID和确定出的该RID之间的映射关系,并将该映射关系存储至该接入转发设备121的本地映射表中,同时将建立的该映射关系上传至映射/认证服务器123中进行存储。最后利用该RID替换数据包中的源AID。
对于数据包的目标AID来讲,接入转发设备121首先查找接入转发设备121中存储的对端映射表,该对端映射表包括其他各个接入转发设备的RID以及与这些接入转发设备连接的接入设备的AID之间的映射关系。
一般来讲,当一个接入转发设备A与该移动终端P建立好一次通信连接后,则会将该移动终端P的AID和与该移动终端P连接的接入转发设备的RID之间的映射关系保存至该接入转发设备A的对端映射表中。
接入转发设备121在该对端映射表中未发现与该目标AID对应的映射关系时,则向映射/认证服务器123发送映射请求,以请求获取与该目标AID对应的映射关系,并利用获取的映射关系中的RID替换该数据包中的目标AID。
而当该接入转发设备121与具有该目标AID所连接的接入转发设备通信过,则可以在该对端映射表中查找到与该目标AID对应的映射关系,并利用查找到的映射关系中的RID替换该数据包中的目标AID。可选的,该接入转发设备121还可以将获取的映射关系存储至接入转发设备121本地中的远端映射表中。
接入转发设备121对接入标识替换后的数据包进行转发。
为了能够保证对攻击行为所涉及的数据包进行有效的控制,并根据用户的访问行为限定用户的访问权限,以保证网络的安全性,本发明各个实施例中利用接入转发设备121接收到的数据包的属性确定是否调整用户的信誉值,进而调整用户的访问权限,下面通过几个实施例对一体化标识网络中的异常访问行为控制的过程进行举例说明。
本发明的各个实施例均应用于图1所示的接入网110和一体化标识网络120融合的融合网络中。以下所讲的融合网络,如无特殊说明,均应当指图1中接入网110和一体化标识网络120融合得到的网络。
请参见图2所示,其是本发明一个实施例中提供的异常访问行为分析方法的方法流程图,该异常访问行为分析方法主要以应用于图1所示融合网络中的策略设备122中进行举例说明,该异常访问行为分析方法包括:
步骤201,获取用户访问时数据包的特征信息,特征信息为接入转发设备从该数据包中提取的关键信息、接入转发设备发送的用于指示用户是否越权访问的第一参数或接入转发设备发送的用于指示用户是否异常位置登录的第二参数。
一般的,接入转发设备在接收到SGSN发送的数据包之后,为了能够使得策略设备可以得知数据包是否为攻击行为产生的数据包,接入转发设备通常会将接收到的数据包包头中的关键信息进行提取,并将提取后的关键信息发送至策略设备。
可选的,为了减少接入转发设备和策略设备之间的通信数量,以降低带宽占用,可以将多个数据包所对应的关键信息进行合并。具体的,接入转发设备可以将单位时间内获取的各个数据包按照属性进行分流,具有相同属性(即关键信息)的数据包组成一个流,对于每个流,将与该流对应的关键信息按照流模板打包成一个流摘要信息。由此可知,每个流所对应的数据包的数量是不确定的。
一般来讲,每个流摘要信息除了包含对应的关键信息之外,还可以包括组成该流的流开始时刻、流结束时刻、流保护的字节总数、流保护的数据包总数以及流捕获模块的编号(一般可以为接入转发设备GGSN的域ID)中的任意组合。
这里所讲的关键信息通常包括源接入标识AID、目的接入标识AID、源端口号、目的端口号和协议类型,即常说的数据包的五元组。可选的,该关键信息中还可以包括用户的用户标识。
通常来讲,同一个一体化标识网络内通常可以设置一个策略设备,此时该策略设备可以接收到该一体化标识网络内各个接入转发设备发送的流摘要信息。可选的,当一体化标识网络中存在的接入转发设备比较多,为了降低对策略设备处理器的要求,还可以在一体化标识网络中设置两个或两个以上策略设备,每个策略设备接收到与该策略设备对应的接入转发设备发送的流摘要信息,这些流摘要信息可以在各个策略设备之间共享,或者策略设备中的判定结果可以在各个策略设备之间共享。
在另一种可能的实现方式中,接入转发设备在接收到用户的数据包之后,为了确定该用户能否利用该数据包进行访问,接入转发设备先从存储的各个用户的访问等级中确定出该用户的访问等级,并根据数据包中的目标接入标识,确定所请求的服务器的服务等级,若用户的访问等级在服务器所要求的服务等级内,则确定该用户未越权访问;若用户的访问等级不在该服务器所要求的服务等级内,则确定该用户越权访问。为了能够通知给策略设备,接入转发设备可以向策略设备发送用于指示该用户是否越权访问的第一参数。
在再一种可能的实现方式中,接入转发设备在接收到用户的数据包之后,为了确定该用户是否为异常位置登录,接入转发设备可以获取发送该数据包的SGSN的标识,并将该SGSN的标识或者接入转发设备的标识作为第二参数发送给策略设备。由于策略设备可以根据SGSN的标识或者接入转发设备的标识确定该用户是否是在常用的位置进行的登录。
步骤202,根据特征信息确定用户的访问行为是否为异常访问行为,异常访问行为包括攻击行为、越权访问行为或异常位置登录行为。
一般来讲,策略设备在接收到该第一参数后,根据第一参数的值即可得知该用户是否为越权访问行为。
策略设备在接收到该第二参数后,策略设备检测该第二参数与该用户对应的历史第二参数进行对比,当与该用户的标识对应的第二参数与历史第二参数相同时,策略设备则认为该用户的访问行为不为异常位置登录行为;当与该用户的标识对应的第二参数与历史第二参数不同时,策略设备则认为该用户的访问行为为异常位置登录行为。
需要补充说明的是,这里的历史第二参数通常为记录的用户常用登录位置。通常情况下,策略设备在初期初始化时,通常会对用户的各个登录位置进行记录,统计一段时间段后确定用户的常用登录位置,也就是说,在初期确定用户的常用登录位置时,用户登录位置的变化并不被视为异常登录。
步骤203,若用户的访问行为是异常访问行为,则根据与该异常访问行为的类型对应的调整方式调整用户的信誉值,用户的信誉值用于限定用户的访问等级。
在第一种情况下,各个异常访问行为的调整方式均相同,此时只要确定出用户的访问行为是异常访问行为,则利用该调整方式调整用户的信誉值即可。
在第二种情况下,各种类型的异常访问行为分别对应不同的调整方式,此时需要根据与该异常访问行为的类型对应的调整方式,调整用户的信誉值。
可选的,当用户的访问行为为异常访问行为时,利用调整方式调整用户的信誉值时,均是将用户的信誉值调低。
这里所讲的用户的信誉值对应一个访问等级。比如一个信誉值区间对应一个访问等级,当用户的信誉值从相邻的较高区间降到较低区间,此时用户的访问等级则从与该较高区域的访问等级降低为与该较低区域对应的访问等级。
综上所述,本发明实施例提供的异常访问行为分析方法,通过在融合网络中,获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
由于该异常访问行为分析方法是在一体化标识网络中对GPRS网络中用户的访问行为进行的异常分析,不需要对现有的GPRS网络架构进行大规模更改,因此可以在有效保证GPRS用户访问的安全性以及对用户访问权限进行合理优化的同时,大大降低了实现成本。
请参见图3所示,其是本发明另一个实施例中提供的异常访问行为分析方法的方法流程图,该异常访问行为分析方法主要以应用于图1所示融合网络中的映射/认证服务器122中进行举例说明,该异常访问行为分析方法包括:
步骤301,获取用户访问时数据包的特征信息,特征信息为接入转发设备从该数据包中提取的关键信息、接入转发设备发送的用于指示用户是否越权访问的第一参数或接入转发设备发送的用于指示用户是否异常位置登录的第二参数。
针对第一参数和第二参数的由来已经在步骤201中进行详细说明,这里就不再赘述。
当特征信息为关键信息时,策略设备在获取用户访问时数据包的特征信息时,包括:
第一,当特征信息为关键信息时,接收接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是接入转发设备在接收到数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至流模板后得到的,每组流中的数据包具有相同的关键信息。
一般的,接入转发设备在接收到SGSN发送的数据包之后,为了能够使得策略设备可以得知数据包是否为攻击行为产生的数据包,接入转发设备通常会将接收到的数据包包头中的关键信息进行提取,并将提取后的关键信息发送至策略设备。
可选的,为了减少接入转发设备和策略设备之间的通信数量,以降低带宽占用,可以将多个数据包所对应的关键信息进行合并。具体的,接入转发设备可以将单位时间内获取的各个数据包按照属性进行分流,具有相同属性(即关键信息)的数据包组成一个流,对于每个流,将与该流对应的关键信息按照流模板打包成一个流摘要信息。由此可知,每个流所对应的数据包的数量是不确定的。
一般来讲,每个流摘要信息除了包含对应的关键信息之外,还可以包括组成该流的各个数据包中接收到的第一个数据包的时刻,接收到最后一个数据包的时刻,各个数据包所占用的字节等。
通常来讲,同一个一体化标识网络内通常可以设置一个策略设备,此时该策略设备可以接收到该一体化标识网络内各个接入转发设备发送的流摘要信息。可选的,当一体化标识网络中存在的接入转发设备比较多,为了降低对策略设备处理器的要求,还可以在一体化标识网络中设置两个或两个以上策略设备,每个策略设备接收到与该策略设备对应的接入转发设备发送的流摘要信息,这些流摘要信息可以在各个策略设备之间共享,或者策略设备中的判定结果可以在各个策略设备之间共享。
第二,对于每条流摘要信息,根据流模板从该流摘要信息中提取出一组关键信息。
第三,将提出的关键信息存储为一条流摘要记录。
可选的,将每组关键信息作为一条流摘要记录进行存储。
或者,可选的,根据流模板从流摘要信息中提取出相关参数,该相关参数包括与该流摘要信息对应的关键信息、该流摘要信息对应的流中各个数据包中接收到的第一个数据包的时刻,接收到最后一个数据包的时刻,各个数据包所占用的字节等参数。将每组相关参数作为一条流摘要记录进行存储。
步骤302,根据特征信息确定用户的访问行为是否为异常访问行为,异常访问行为包括攻击行为、越权访问行为或异常位置登录行为。
当特征信息为关键信息时,策略设备对存储的预定条流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与访问行为对应的行为类型,行为类型包括正常访问行为和各种攻击行为,攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
而策略设备根据第一参数和第二参数确定用户的访问行为是否为异常访问行为时,已经在步骤202进行过详细说明,这里就不再赘述了。
步骤303,若用户的访问行为是异常访问行为,则根据异常访问行为所对应的调整方式调整用户的信誉值,用户的信誉值用于限定用户的访问等级。
可选的,当用户同种类型的异常访问行为比较频繁时,则可以增大根据该异常访问调整信誉值的调整幅度。比如异常位置登录的越频繁,则信誉值降低的越快。
可选的,策略设备可以根据异常访问行为的类型,将用户的与异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整用户的信誉值。
步骤304,检测调整后的信誉值是否对应新的访问等级。
不同的访问等级对应不同的信誉值区间。请参见表1:
| 信誉区间 | 访问等级 |
| 0-100 | 5级 |
| 100-200 | 4级 |
| 200-400 | 3级 |
| 400-500 | 4级 |
| 500-1000 | 1级 |
每个访问等级所对应的信誉区间的范围可以相同也可以不同,比如访问等级为5级,其对应的信誉区间为0-100,而访问等级为3级时,其对应的信誉区间为200-400。
上述表1仅是示意性举例,在实际中,信誉区间的取值可能并不像表1中这么规整,每个信誉区间的两个端点值并不一定是整百或者整数。
当用户原有的信誉值为506,对应的访问等级为1级,而当该用户被调整后的信誉值为422时,则表明该用户的信誉值对应了新的访问等级,即新的访问等级为4级。
很显然,在攻击行为的威胁程度比较大,或者用户异地登录特别频繁,或者用户频繁越权访问时,用户的信誉值访问等级很可能被直接向下调整一个、两个或者两个以上的等级。也即,当异常访问行为越严重,访问等级被调整时越敏感,这样,策略设备在将用户最近的服务等级告知给接入转发设备后,接入转发设备在利用该最近的访问等级来限制用户的部分或全部服务时的及时性比较高。
步骤305,若调整后的信誉值对应新的访问等级,则将用户的访问等级调整为与调整后的信誉值对应的访问等级。
步骤306,将调整后得到的访问等级发送至接入转发设备,以通知接入转发设备利用调整后的访问等级更新用户的访问等级;或者,在接收到接入转发设备用于请求获取用户的访问等级的获取请求时,将调整后得到的访问等级发送至所述接入转发设备。
一种情况下的,当用户的访问等级发生变化时,策略设备可以主动将该用户的新的访问等级告知给接入转发设备,以便接入转方式设备根据该用户的最新访问等级为用户提供访问权限服务。
在另一种情况下,接入转发设备可以每隔预定时间,或者每次开启后,向策略设备请求获取各个用户端的访问等级,此时策略设备则可以将该用户的最新访问等级发送给该接入转发设备。
综上所述,本发明实施例提供的异常访问行为分析方法,通过获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
由于该异常访问行为分析方法是在一体化标识网络中对GPRS网络中用户的访问行为进行的异常分析,不需要对现有的GPRS网络架构进行大规模更改,因此可以在有效保证GPRS用户访问的安全性以及对用户访问权限进行合理优化的同时,大大降低了实现成本。
在一种可能的实现场景中,上述策略设备122可以是一个设备,也可以是两个或两个以上设备的集群,以下以该策略设备122包括用户行为分析服务器122a以及映射/认证服务器123为例进行举例说明。具体可以参见图4中的描述。
请参见图4所示,其是本发明再一个实施例中提供的异常访问行为分析方法的方法流程图,该异常访问行为分析方法包括:
步骤401,接入转发设备接收用户访问的数据包,对数据包进行分流,每组流中的数据包具有相同的关键信息。
一般的,接入转发设备会接收到接入网络中SGSN发送的数据包。该数据包通常是与SGSN连接的移动终端在访问时发送的。
关键信息一般位于该数据包的包头中,也即接入转发设备可以从数据包的包头中提取出关键信息。
具体的,接入转发设备可以将单位时间内获取的各个数据包按照属性进行分组,具有相同属性(即关键信息)的数据包组成一个流,对于每个流,将与该流对应的关键信息按照流模板打包成一个流摘要信息。由此可知,每个流所对应的数据包的数量是不确定的。
一般来讲,每个流摘要信息除了包含对应的关键信息之外,还可以包括组成该流的各个数据包中接收到的第一个数据包的时刻,接收到最后一个数据包的时刻,各个数据包所占用的字节等。
步骤402,对于每组流,接入转发设备将与该组流对应的关键信息按照流模板打包成流摘要信息。
步骤403,接入转发设备将流摘要信息以及流模板发送至用户行为分析服务器。
步骤404,用户行为分析服务器接收接入转发设备发送的流摘要信息以及流模板。
步骤405,用户行为分析服务器根据流模板从每条流摘要信息中提取出一组关键信息,将每组关键信息存储为一条流摘要记录,并对存储的预定条流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与访问行为对应的行为类型。
行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、DOS攻击行为和DDOS攻击行为。
为了提高判定的准确性,用户行为分析服务器可以从至少两个流摘要信息中提取的同一个用户的数据包的关键信息,并对这些关键信息进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与访问行为对应的行为类型。
步骤406,用户行为分析服务器将得到的行为类型发送至映射/认证服务器中。
步骤407,接入转发设备还根据存储的该用户的访问等级确定该用户是否越权访问,并得到用于指示该用户是否越权访问的第一参数。
比如,当第一参数被赋值为1时,则表明该用户越权访问,当该第一参数被赋值为0时,则表明该用户未越权访问。
步骤408,接入转发设备向映射/认证服务器发送第一参数和用于指示用户是否异常位置登录的第二参数。
这里的第二参数可以是SGSN的标识,也可以是接入转发设备GGSN的标识。
步骤409,映射/认证服务器接收用户行为分析服务器得到的异常访问行为的类型以及接入转发设备发送的第一参数和第二参数。
步骤410,映射/认证服务器根据第一参数确定用户的访问行为是否为越权访问行为,根据第二参数确定用户的访问行为是否为异常位置登陆行为。
步骤411,映射/认证服务器根据与异常访问行为对应的调整方式调整用户的信誉值。
步骤411与步骤203类似,具体可以参见对步骤203的描述,这里就不再赘述。
综上所述,本发明实施例提供的异常访问行为分析方法,通过获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
需要补充说明的是,在实际应用中,策略设备的架构是一个独立设备,还是多个设备的集群,可以由一体化标识网络的所包含的网络复杂度以及设备承载决定,比如,当一体化标识网络中的接入转发设备非常多,且接入转发设备外面接入的终端也非常多,此时,则可以在该一体化标识网络中设置多个策略设备。还比如,当映射/认证服务器的处理器承载比较大时,可以将策略设备分为用户行为分析服务器和映射/认证服务器。
请参见图5所示,其是本发明一个实施例中提供的异常访问行为分析装置的结构示意图,该异常访问行为分析装置可以应用于图1所示融合网络中的一体化标识网络中的认证服务器中。该异常访问行为分析装置包括:特征信息获取模块510、异常行为确定模块520和信誉值调整模块530。
特征信息获取模块510,用于获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
异常行为确定模块520,用于根据所述特征信息获取模块获取的所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为;
信誉值调整模块530,用于在所述异常行为确定模块确定出所述用户的访问行为是异常访问行为时,根据所述异常访问行为所对应的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。
在一种可能的实现方式中,请参见图6所示,该特征信息获取模块510,包括:接收单元511、关键信息提取单元512和存储单元513。
接收单元511,用于当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流,将任一组流所对应的所述关键信息添加至所述流模板后得到的,每组流中的数据包具有相同的关键信息;
关键信息提取单元512,用于对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组所述关键信息;
存储单元513,将所述关键信息提取单元512提取出的所述关键信息存储为一条流摘要记录。
在一种可能的实现方式中,该异常行为确定模块520,还用于:
当所述特征信息为所述关键信息时,对所述存储单元513存储的预定条所述流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
在一种可能的实现方式中,信誉值调整模块530,还用于:
根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
在一种可能的实现方式中,仍旧参见图6所示,该异常访问行为分析装置还包括:
检测模块540,用于检测所述信誉值调整模块调整后的信誉值是否对应新的访问等级;
访问等级调整模块550,用于在所述检测模块检测到调整后的信誉值对应新的访问等级后,将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
在一种可能的实现方式中,仍旧参见图6所示,该异常访问行为分析装置还包括:第一发送模块560,或者,第二发送模块570。
第一发送模块560,用于将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
或者,
第二发送模块570,用于在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
综上所述,本发明实施例提供的异常访问行为分析装置,通过在融合网络中,获取用户访问时的数据包的特征信息,确定用户的访问行为是否为异常访问行为,若用户的访问行为是异常访问行为,则根据与异常访问行为对应的调整方式调整用户的信誉值;由于可以实时的根据用户的异常访问行为调整用户的信誉值,以便于确定出用户的访问等级,进而根据用户的访问等级为用户提供与访问等级匹配的服务,因此解决了现有技术中在实现服务管理时,仅限于为用户提供针对***的问题;达到了可以实时为用户确定最新的访问等级,保证了用户访问的安全性的效果。
由于该异常访问行为分析装置是在一体化标识网络中对GPRS网络中用户的访问行为进行的异常分析,不需要对现有的GPRS网络架构进行大规模更改,因此可以在有效保证GPRS用户访问的安全性以及对用户访问权限进行合理优化的同时,大大降低了实现成本。
需要补充说明的是,图5和图6中的各个模块和单元的划分并不局限于此,在实际应用中,还可以根据实际需要,将这些模块或单元的全部或部分进行任意组合或合并,也可以将这些模块或单元中的全部或部分进行拆分。
需要说明的是:上述实施例中提供的异常访问行为分析装置在对用户访问时的异常行为进行分析时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将一体化网络标识网络中的认证服务器的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的异常访问行为分析装置与异常访问行为分析方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种异常访问行为分析方法,其特征在于,所述方法包括:
获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
根据所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为;
若所述用户的访问行为是异常访问行为,则根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。
2.根据权利要求1所述的方法,其特征在于,所述获取用户访问时数据包的特征信息,包括:
当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流中的数据包具有相同的关键信息;
对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组所述关键信息;
将所述关键信息存储为一条流摘要记录。
3.根据权利要求2所述的方法,其特征在于,所述根据所述特征信息确定所述用户的访问行为是否为异常访问行为,包括:
当所述特征信息为所述关键信息时,对存储的预定条所述流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
4.根据权利要求1所述的方法,其特征在于,所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,包括:
根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
5.根据权利要求1至4中任一所述的方法,其特征在于,在所述根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值之后,还包括:
检测调整后的信誉值是否对应新的访问等级;
若调整后的信誉值对应新的访问等级,则将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
或者,
在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
7.一种异常访问行为分析装置,其特征在于,所述装置包括:
特征信息获取模块,用于获取用户访问时数据包的特征信息,所述特征信息为接入转发设备从所述数据包中提取的关键信息、所述接入转发设备发送的用于指示所述用户是否越权访问的第一参数或所述接入转发设备发送的用于指示所述用户是否异常位置登录的第二参数;
异常行为确定模块,用于根据所述特征信息获取模块获取的所述特征信息确定所述用户的访问行为是否为异常访问行为,所述异常访问行为包括攻击行为、越权访问行为或异常位置登录行为;
信誉值调整模块,用于在所述异常行为确定模块确定出所述用户的访问行为是异常访问行为时,根据与所述异常访问行为的类型对应的调整方式调整所述用户的信誉值,所述用户的信誉值用于限定所述用户的访问等级;
其中,所述关键信息包括所述用户的用户标识、源接入网标识、目标接入网标识、协议类型、源端口和目标端口。
8.根据权利要求7所述的装置,其特征在于,所述特征信息获取模块,包括:
接收单元,用于当所述特征信息为所述关键信息时,接收所述接入转发设备发送的流摘要信息以及流模板,每条流摘要信息是所述接入转发设备在接收到所述数据包后对各个数据包进行分流,将任一组流所对应的关键信息添加至所述流模板后得到的,每组流中的数据包具有相同的关键信息;
关键信息提取单元,用于对于每条所述流摘要信息,根据所述流模板从所述流摘要信息中提取出一组关键信息;
存储单元,用于将所述关键信息提取单元提取出的所述关键信息存储为一条流摘要记录。
9.根据权利要求8所述的装置,其特征在于,所述异常行为确定模块,还用于:
当所述特征信息为所述关键信息时,对所述存储单元存储的预定条所述流摘要记录进行熵值量化,将量化后得到的熵值向量输入至分类器,得到与所述访问行为对应的行为类型,所述行为类型包括正常访问行为和各种攻击行为,所述攻击行为包括端口扫描行为、拒绝服务DOS攻击行为和分布式拒绝服务DDOS攻击行为。
10.根据权利要求7所述的装置,其特征在于,所述信誉值调整模块,还用于:
根据所述异常访问行为的类型,将所述用户的与所述异常访问行为同类型的异常访问行为数量进行累加,根据与累加后的数值对应的调整参数调整所述用户的信誉值。
11.根据权利要求7至10中任一所述的装置,其特征在于,所述装置还包括:
检测模块,用于检测所述信誉值调整模块调整后的信誉值是否对应新的访问等级;
访问等级调整模块,用于在所述检测模块检测到调整后的信誉值对应新的访问等级后,将所述用户的访问等级调整为与调整后的信誉值对应的访问等级。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
第一发送模块,用于将调整后得到的所述访问等级发送至所述接入转发设备,以通知所述接入转发设备利用调整后的所述访问等级更新所述用户的访问等级;
或者,
第二发送模块,用于在接收到所述接入转发设备用于请求获取所述用户的访问等级的获取请求时,将调整后得到的所述访问等级发送至所述接入转发设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236271.1A CN104883363A (zh) | 2015-05-11 | 2015-05-11 | 异常访问行为分析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510236271.1A CN104883363A (zh) | 2015-05-11 | 2015-05-11 | 异常访问行为分析方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104883363A true CN104883363A (zh) | 2015-09-02 |
Family
ID=53950697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510236271.1A Pending CN104883363A (zh) | 2015-05-11 | 2015-05-11 | 异常访问行为分析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104883363A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808639A (zh) * | 2016-02-24 | 2016-07-27 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
| CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
| CN107306252A (zh) * | 2016-04-21 | 2017-10-31 | ***通信集团河北有限公司 | 一种数据分析方法和*** |
| CN108769107A (zh) * | 2018-04-12 | 2018-11-06 | 北京奇艺世纪科技有限公司 | 一种视频调度方法、装置及电子设备 |
| CN110366009A (zh) * | 2018-03-26 | 2019-10-22 | 优酷网络技术(北京)有限公司 | 多媒体资源请求的识别方法及装置 |
| WO2020012287A1 (en) * | 2018-07-09 | 2020-01-16 | International Business Machines Corporation | Cognitive fraud prevention |
| CN111310139A (zh) * | 2020-01-21 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 行为数据识别方法、装置及存储介质 |
| CN113411353A (zh) * | 2021-08-03 | 2021-09-17 | 广州汇图计算机信息技术有限公司 | 一种网络安全防护方法及*** |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090287819A1 (en) * | 2008-05-16 | 2009-11-19 | Microsoft Corporation | System from reputation shaping a peer-to-peer network |
| CN101729321A (zh) * | 2009-12-22 | 2010-06-09 | 北京理工大学 | 一种基于信任评估机制的动态跨域访问控制方法 |
| CN104168165A (zh) * | 2014-07-02 | 2014-11-26 | 北京交通大学 | 基于gprs网络和一体化标识网络的访问控制方法和装置 |
-
2015
- 2015-05-11 CN CN201510236271.1A patent/CN104883363A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090287819A1 (en) * | 2008-05-16 | 2009-11-19 | Microsoft Corporation | System from reputation shaping a peer-to-peer network |
| CN101729321A (zh) * | 2009-12-22 | 2010-06-09 | 北京理工大学 | 一种基于信任评估机制的动态跨域访问控制方法 |
| CN104168165A (zh) * | 2014-07-02 | 2014-11-26 | 北京交通大学 | 基于gprs网络和一体化标识网络的访问控制方法和装置 |
Non-Patent Citations (5)
| Title |
|---|
| LINYING SU等: "Reputation Service and Reputation Based Access Control", 《E-PRODUCT E-SERVICE AND E-ENTERTAINMENT (ICEEE)》 * |
| SHUYING CHANG等: "A flow-based anomaly detection method using entropy and multiple traffic features", 《BROADBAND NETWORK AND MULTIMEDIA TECHNOLOGY (IC-BNMT)》 * |
| 孟庆媛: "基于信誉度的网络访问管理研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 杭静文: "一体化标识网络流量异常监测技术研究与实现", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 雷维礼: "《接入网技术》", 30 September 2006 * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105808639A (zh) * | 2016-02-24 | 2016-07-27 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
| CN105808639B (zh) * | 2016-02-24 | 2021-02-09 | 平安科技(深圳)有限公司 | 网络访问行为识别方法和装置 |
| CN107306252A (zh) * | 2016-04-21 | 2017-10-31 | ***通信集团河北有限公司 | 一种数据分析方法和*** |
| CN106060043A (zh) * | 2016-05-31 | 2016-10-26 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106060043B (zh) * | 2016-05-31 | 2019-06-07 | 北京邮电大学 | 一种异常流量的检测方法及装置 |
| CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
| CN110366009A (zh) * | 2018-03-26 | 2019-10-22 | 优酷网络技术(北京)有限公司 | 多媒体资源请求的识别方法及装置 |
| CN110366009B (zh) * | 2018-03-26 | 2022-06-17 | 阿里巴巴(中国)有限公司 | 多媒体资源请求的识别方法及装置 |
| CN108769107A (zh) * | 2018-04-12 | 2018-11-06 | 北京奇艺世纪科技有限公司 | 一种视频调度方法、装置及电子设备 |
| CN108769107B (zh) * | 2018-04-12 | 2021-11-26 | 北京奇艺世纪科技有限公司 | 一种视频调度方法、装置及电子设备 |
| CN112368992A (zh) * | 2018-07-09 | 2021-02-12 | 国际商业机器公司 | 认知欺诈预防 |
| GB2590290A (en) * | 2018-07-09 | 2021-06-23 | Ibm | Cognitive fraud prevention |
| US11095632B2 (en) | 2018-07-09 | 2021-08-17 | International Business Machines Corporation | Cognitive fraud prevention |
| GB2590290B (en) * | 2018-07-09 | 2022-03-02 | Ibm | Cognitive fraud prevention |
| WO2020012287A1 (en) * | 2018-07-09 | 2020-01-16 | International Business Machines Corporation | Cognitive fraud prevention |
| CN112368992B (zh) * | 2018-07-09 | 2023-04-04 | 国际商业机器公司 | 预防认知欺诈的计算机实现方法、***及可读存储介质 |
| CN111310139A (zh) * | 2020-01-21 | 2020-06-19 | 腾讯科技(深圳)有限公司 | 行为数据识别方法、装置及存储介质 |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
| CN113411353A (zh) * | 2021-08-03 | 2021-09-17 | 广州汇图计算机信息技术有限公司 | 一种网络安全防护方法及*** |
| CN113411353B (zh) * | 2021-08-03 | 2021-11-09 | 广州汇图计算机信息技术有限公司 | 一种网络安全防护方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104883363A (zh) | 异常访问行为分析方法及装置 | |
| AU2022263450B2 (en) | Internet of things services architecture | |
| CN105745870B (zh) | 从用于检测大流的串行多级过滤器去除头部过滤器以便清除流以实现延长操作 | |
| CN101841442B (zh) | 一种在名址分离网络中对网络异常进行检测的方法 | |
| DE112018008119T5 (de) | Modifizieren einer Ressourcenzuweisung oder einer Strategie in Reaktion auf Steuerungsinformationen von einer virtuellen Netzwerkfunktion | |
| CN109271793B (zh) | 物联网云平台设备类别识别方法及*** | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控*** | |
| CN104488231A (zh) | 利用按照需求的装置的实时网络监视和订户标识 | |
| CN105516165A (zh) | 一种识别计费欺诈的非法代理的方法、设备及*** | |
| CN101562558B (zh) | 一种终端等级划分的方法、***和设备 | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及*** | |
| DE102012220932A1 (de) | Abmildern von Auswirkungen von vorhergesagten wetterbedingten Störungen in einer Basisstation eines Mobilfunknetzes | |
| CN108416665B (zh) | 数据交互方法、装置、计算机设备和存储介质 | |
| CN109818820A (zh) | 流量数据监控方法、装置、电子设备及存储介质 | |
| US20190007326A1 (en) | Aggregating flows by endpoint category | |
| CN104702623B (zh) | Ip封锁方法及*** | |
| CN104883362A (zh) | 异常访问行为控制方法及装置 | |
| CN110719286A (zh) | 一种基于大数据的网络优化方案共享***及其方法 | |
| CN105827629A (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
| CN107426132B (zh) | 网络攻击的检测方法和装置 | |
| CN102217248B (zh) | 分布式分组流检查和处理 | |
| CN108270753A (zh) | 注销用户账号的方法及装置 | |
| CN106874423B (zh) | 搜索控制方法和*** | |
| CN106790411B (zh) | 虚拟交换机与物理交换机的非聚合端口级联***及方法 | |
| CN106257867A (zh) | 一种加密流量的业务识别方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150902 |
|
| RJ01 | Rejection of invention patent application after publication |