CN108600270A - 一种基于网络日志的异常用户检测方法及*** - Google Patents
一种基于网络日志的异常用户检测方法及*** Download PDFInfo
- Publication number
- CN108600270A CN108600270A CN201810443348.6A CN201810443348A CN108600270A CN 108600270 A CN108600270 A CN 108600270A CN 201810443348 A CN201810443348 A CN 201810443348A CN 108600270 A CN108600270 A CN 108600270A
- Authority
- CN
- China
- Prior art keywords
- network
- user
- node
- path
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于网络日志的异常用户检测方法及***,所提供的方法包括:获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。本发明提供的方法,在经过原始日志数据进行预处理后,提取需要的数据,然后基于这些数据建立起用户行为网络模型,对日志进行分析中,将用户行为网络模型中的用户网络访问特征和每个节点的状态作为分析指标,可以定量的根据日志数据进行用户检测、异常日志检测,实现了对网络日志快捷高效科学地分析。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种基于网络日志的异常用户检测方法及***。
背景技术
随着科技的不断发展,互联网已经渗透到人们生活的方方面面。基于网络的服务为人们带来了海量的信息资源。然而,web服务的开放性便利性却使得网络攻击快速增长。网络日志作为用户行为的记录,必然成为网络安全的研究对象。目前,已经有许多web日志分析方法被提出,但几乎所有的方法把注意力集中在单一的日志上,在寻找内容的特点和多样性上,也有采用了新颖的机器学习方法等。
现有技术中,广泛应用的网络日志分析方法是模式匹配。然而,模式匹配规则的开发和维护需要有大量经验的开发人员。此外,规则库的更新速度也难以跟上攻击手段的升级速度。日志分析中使用的另一个技术是机器学习,有两种主要的方法:误用检测和异常检测。误用检测方法的目的是利用已知攻击的特征来检测攻击。但是,它不能检测零日漏洞攻击。相应的,异常检测方法建立了基于正常日志特征的模型,然后用该模型去判断日志数据的性质。异常检测一直被认为是对误用检测的补充。也有应用n-gram和其他统计特征去形成正常行为模型,虽然结果显示精度提高了,但消耗的时间也更多。
现有技术中,针对网络日志进行异常用户分析的过程中,常用的模式匹配法对开发人员的专业要求非常严格,同时规则库更新难以跟上攻击手段的变化,同时误用检测和异常检测只能对已知攻击的特征来进行检测,在新的漏洞被发现的时候,无法及时检测针对新漏洞的攻击行为。
发明内容
本发明实施例提供一种基于网络日志的异常用户检测方法及***,用以解决现有技术中针对网络日志进行异常用户分析的过程中,常用的模式匹配法对开发人员的专业要求非常严格,同时规则库更新难以跟上攻击手段的变化,同时误用检测和异常检测只能对已知攻击的特征来进行检测,在新的漏洞被发现的时候,无法及时检测针对新漏洞的攻击行为的问题。
一种基于网络日志的异常用户检测方法,包括:获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;
根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
其中,所述根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型,具体包括:基于网络日志数据集,将每一个网络日志内访问的目的地址作为节点,每一次网址之间的跳转作为路径;根据所述节点和路径,构建用户行为网络模型。
其中,所述每一个网络日志内访问的目的地址作为节点,还包括:将所述用户行为网络模型,具有相同特征的不同节点,合并为同一个节点。
其中,所述网络访问特征具体包括:用户的访问范围、用户生成的网络日志的数量和用户在预设时间内对任一节点的访问次数中的一种或多种。
其中,所述节点和路径的访问状态具体包括:每一个节点的出度、每一个节点的出度和任意两个节点之间的路径的数量中的一种或多种。
其中所述对所述网络日志数据集中的异常用户进行识别,具体包括:将访问范围大于预设访问范围且生成的网络日志的数量大于预设数量值的用户,和/或在预设时间内对任一节点的访问次数超过预设访问次数的用户,标注为异常用户。
其中,所述对所述网络日志数据集中的异常用户进行识别具体包括:对任一节点出度为0,入度小于预设范围的节点,和/或所述任意两个节点之间的路径的数量小于预设路径数量的节点,标注为异常节点。
本发明实施例还提供一种基于网络日志的异常用户检测***,包括:
模型构建模块,用于获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;
模型分析模块,用于根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行上述基于网络日志的异常用户检测方法的步骤。
本发明实施例还提供一种基于网络日志的异常用户检测设备,其特征在于,包括:
至少一个处理器;以及与所述处理器连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,执行上述基于网络日志的异常用户检测方法的步骤。
本发明实施例提供的一种基于网络日志的异常用户检测方法及***,在经过原始日志数据进行预处理后,提取需要的数据,然后基于这些数据建立起用户行为网络模型,对日志进行分析中,将用户行为网络模型中的用户网络访问特征和每个节点的状态作为分析指标,可以定量的根据日志数据进行用户检测、异常日志检测,实现了对网络日志快捷高效科学地分析。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于网络日志的异常用户检测方法的流程图示意图;
图2为本发明实施例提供的一种基于网络日志的异常用户检测***的结构示意图;
图3为本发明实施例提供的一种基于网络日志的异常用户检测方法中受试者工作特征曲线;
图4为本发明实施例提供的一种基于网络日志的异常用户检测方法中精度-召回率曲线;
图5为本发明实施例提供的一种基于网络日志的异常用户检测设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,图1为本发明实施例提供的一种基于网络日志的异常用户检测方法的流程图示意图,所提供的方法包括:
S1,获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型。
具体的,在获得了由大量网络日志组成的网络日志数据集后,由于原始日志的数据是字典类型的,主要包含了用户IP、请求时间、请求方法、请求大小、状态码、请求URL等字段,其中,请求URL可以表示为请求资源路径与可选请求参数的集合。此处将获得的网络日志进行预处理,把需要的参数从原始web日志中提取出来,并将其处理成能直接被处理的数据格式。将每一条日志中的具有相同IP的日志看做是同一个用户产生的日志,在得到预处理的日志数据后,可以通过路径间的访问关系来生成用户行为网络模型。对于每一个用户来说,可以对根据其访问的日志情况来构建属于该用户的较小的行为网络模型N1,然后可以利用所有用户的日志访问情况来构建一个较大的行为网络模型N2。
S2,根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
具体的,在构建了用户行为网络模型后,根据模型中单一用户的网络访问的特征,以及用户行为网络模型中每一个节点和路径的访问状态,作为分析指标对用户行为网络模型中的每个用户和节点进行分析,从而对异常用户和异常的节点进行识别。
通过此方法,在经过原始日志数据进行预处理后,提取需要的数据,然后基于这些数据建立起用户行为网络模型,对日志进行分析中,将用户行为网络模型中的用户网络访问特征和每个节点的状态作为分析指标,可以定量的根据日志数据进行用户检测、异常日志检测,实现了对网络日志快捷高效科学地分析。
在上述实施例的基础上,所述根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型,具体包括:
基于网络日志数据集,将每一个网络日志内访问的目的地址作为节点,每一次网址之间的跳转作为路径;根据所述节点和路径,构建用户行为网络模型。
具体的,通过用户的访问路径来构建网络,网络的节点是表示为短路径的spi集合。如果存在spi到spj的访问,则有一个从节点spi指向spj的有向边,该有向边的权值wij等于两个短路径之间的访问数。例如如果某一条URL为”/plugin/index.php?87126”,在把路径切分之后,我们可以得到两个短路径节点分别为”plugin”、”index.php”,以及连接“plugin”以及“index.php”的一条边。通过这种方式,我们可以针对包含所有用户的web日志建立起网络模型。路径是用户访问网站时的请求目的地址,它是一个多层次的路径,包含k级短路径(SP:Short Path),各级段路径之间通过符号“/”划分。路径与短路径的关系可以表示为path={sp1,sp2...,sp3}。
在上述实施例的基础上,所述每一个网络日志内访问的目的地址作为节点,还包括:将所述用户行为网络模型,具有相同特征的不同节点,合并为同一个节点。
具体的,在用户行为网络模型的构建过程中,许多短路径节点都是数字组成的,其网址具有一定的相似性,这些短路径是web应用程序所使用的用户文件夹ID,这些对异常检测并没有多大帮助,反而增加了网络的复杂性及网络计算的复杂度。因此,在模型构建过程中,可以将这些具有相同特征的网址代表的路径进当做同一路径来处理,例如一条路径为”/jwgk/35/jtgllist1.html”,将此段路径节点命名为“35”,接着我们发现好多类似路径如“/jwgk/5/jtgllist1.html”,“/jwgk/42/jtgllist2.html”等,在这里将这些短路径节点“35”、“5”和“42”进行合并,使其为同一短路径节点“35”。
通过此方法,对特征相同的路径节点进行合并,简化用户行为网络模型的结构,使用户行为网络模型的结构更加清晰。
在上述实施例的基础上,所述网络访问特征具体包括:用户的访问范围、用户生成日志的数量和用户在预设时间内对任一节点的访问次数中的一种或多种。
所述对所述网络日志数据集中的异常用户进行识别,具体包括:将访问范围大于预设访问范围且生成日志的数量大于预设数量值的用户,和/或在预设时间内对任一节点的访问次数超过预设访问次数的用户,标注为异常用户。
具体的,在对用户行为网络模型进行特征识别的时候,通过设定多个识别指标,例如用户的网络规模P1,用户生成的日志数量P2和用户的访问频率P3。
其中,用户的网络规模P1被定义为网络中边的权重的总和。该指标度量了用户的访问范围。用户生成的日志数量P2从另外一个角度度量用户的访问规模。由短路径构成的用户行为网络关注于用户访问的深度和广度,该指标更关注于用户产生的的访问日志数目。P1比较高的用户可能旨在了解整个网络的结构,但P2较高的用户可能会发起攻击,因为正常用户的访问日志数目相对来说一般是比较小的。因此在这里可以将访问范围大于预设访问范围且生成的网络日志数量大于预设数量的用户进行提取,将其标注为异常用户。
另外,用户访问频率P3也可以有效识别恶意软件,考虑到恶意用户可能不会一直使用恶意软件,所以理想的方法是计算各用户每秒请求的数量,并使最大值为P3。然而,这种方法需要大量的资源。因此,本实施例通过计算某一段时间内用户的平均访问次数。然而,时间跨度过大,课表会把正常用户淹没掉,过小则会耗费大量计算资源,所以本实施例通过计算某一用户100秒内的访问次数,并将该值作为用户访问频率。若在预设时间100秒内,单一用户对某一个节点访问次数超过预设次数,则表明该用户为异常用户。
在上述实施例的基础上,,所述节点和路径的访问状态具体包括:每一个节点的出度、每一个节点的出度和任意两个节点之间的路径的数量中的一种或多种。
其中,所述对所述网络日志数据集中的异常用户进行识别具体包括:对任一节点出度为0,入度小于预设阈值的节点,和/或所述任意两个节点之间的路径的数量小于预设路径数量的节点,标注为异常节点。
具体的,节点的访问状态主要为终端节点的异常程度P4和短路径节点的访问数目P5。终端节点被定义为出度为0的节点,这意味着这种节点不指向其他节点。终端节点的异常程度等于终端节点入度,即指向终端节点的节点数目。例如在某用户行为网络模型中,可能有多个终端节点,在其中一些终端节点中,入度的范围不在预设范围中时,则表明该终端节点有异常。
另一方面,在用户行为网络模型中,用户访问量很少的短路径一般都是异常路径,因为在所有用户中,异常用户比正常用户少。从用户总体行为的角度来看,普通用户访问的路径集中在少数路径上,访问计数较大,而在用户行为网络中广泛分布的异常短路径节点,其访问计数较小且主要是由异常用户发起的。因此,将任意两个节点之间的路径的数量小于预设路径数量的节点同样标注为异常节点。通过标注出异常的节点,则访问了这些节点的用户即为异常用户。
综上所述,本发明实施例提供的方法,通过在经过原始日志数据进行预处理后,提取需要的数据,然后基于这些数据建立起用户行为网络模型,对日志进行分析中,提出了在对日志进行分析用到的5种指标。此5种指标是我们根据日志数据的特征,结合用户行为网络模型提出的,利用此5种指标可以定量的根据日志数据进行用户检测、异常日志检测等,实现了对网络日志快捷高效科学地分析。
参考图2,图2为本发明实施例提供的一种基于网络日志的异常用户检测***的结构示意图,所提供的***包括:模型构建模块21和模型分析模块22。
其中,模型构建模块21用于获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型。
具体的,在获得了由大量网络日志组成的网络日志数据集后,由于原始日志的数据是字典类型的,主要包含了用户IP、请求时间、请求方法、请求大小、状态码、请求URL等字段,其中,请求URL可以表示为请求资源路径与可选请求参数的集合。此处将获得的网络日志进行预处理,把需要的参数从原始web日志中提取出来,并将其处理成能直接被处理的数据格式。将每一条日志中的具有相同IP的日志看做是同一个用户产生的日志,在得到预处理的日志数据后,可以通过路径间的访问关系来生成用户行为网络模型。对于每一个用户来说,可以对根据其访问的日志情况来构建属于该用户的较小的行为网络模型N1,然后可以利用所有用户的日志访问情况来构建一个较大的行为网络模型N2。
模型分析模块22用于根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
具体的,在构建了用户行为网络模型后,根据模型中单一用户的网络访问的特征,以及用户行为网络模型中每一个节点和路径的访问状态,作为分析指标对用户行为网络模型中的每个用户和节点进行分析,从而对异常用户和异常的节点进行识别。
通过此***,在经过原始日志数据进行预处理后,提取需要的数据,然后基于这些数据建立起用户行为网络模型,对日志进行分析中,将用户行为网络模型中的用户网络访问特征和每个节点的状态作为分析指标,可以定量的根据日志数据进行用户检测、异常日志检测,实现了对网络日志快捷高效科学地分析。
在本发明的又一实施例中,通过对四个网络日志数据集进行仿真模拟实验,通过设置不同的变量,来决定所有日志数据中异常用户的比例,因此,在模拟开始时,采用不同的阈值来发现在哪个阈值下该方法的性能是最好的,参考图3和图4,图3为仿真模拟中四个数据集的受试者工作特征曲线(receiver operating characteristic curve,简称ROC曲线),图4为精度-召回率曲线,如图3和图4所示,当阈值为0时,预测的异常用户数量为0,TPR、FPR和recall等于1,而精度等于正常日志的比例。当阈值达到0.001时,我们得到最大TPR和最小FPR。也就是说,分类器的性能是最好的。在四个数据集的最佳性能如下表所示。
| 数据集 | 数据集1 | 数据集2 | 数据集3 | 数据集4 |
| 精度 | 0.981557 | 0.970928 | 0.980061 | 0.986789 |
| 召回率 | 0.905464 | 0.909321 | 0.829079 | 0.873158 |
| F1函数 | 0.941976 | 0.939141 | 0.898270 | 0.926502 |
| 真正类率 | 0.905464 | 0.909321 | 0.829079 | 0.873158 |
| 假正类率 | 0.045467 | 0.096924 | 0.015703 | 0.015286 |
| 准确率 | 0.918825 | 0.907953 | 0.909458 | 0.921499 |
图5示例了基于网络日志的异常用户检测的实体结构示意图,如图5所示,该结构可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和总线540,其中,处理器510,通信接口520,存储器530通过总线540完成相互间的通信。通信接口540可以用于服务器与智能电视之间的信息传输。处理器510可以调用存储器530中的逻辑指令,以执行如下方法:获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
本实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于网络日志的异常用户检测方法,其特征在于,包括:
获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;
根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型,具体包括:
基于网络日志数据集,将每一个网络日志内访问的目的地址作为节点,每一次网址之间的跳转作为路径;
根据所述节点和路径,构建用户行为网络模型。
3.根据权利要求2所述的方法,其特征在于,所述每一个网络日志内访问的目的地址作为节点,还包括:
将所述用户行为网络模型,具有相同特征的不同节点,合并为同一个节点。
4.根据权利要求1所述的方法,其特征在于,所述网络访问特征具体包括:用户的访问范围、用户生成的网络日志的数量和用户在预设时间内对任一节点的访问次数,中的一种或多种。
5.根据权利要求1所述的方法,其特征在于,所述节点和路径的访问状态具体包括:每一个节点的出度、每一个节点的出度和任意两个节点之间的路径的数量中的一种或多种。
6.根据权利要求4所述的方法,其特征在于,所述对所述网络日志数据集中的异常用户进行识别,具体包括:
将访问范围大于预设访问范围且生成的网络日志的数量大于预设数量值的用户,和/或在预设时间内对任一节点的访问次数超过预设访问次数的用户,标注为异常用户。
7.根据权利要求5所述的方法,其特征在于,所述对所述网络日志数据集中的异常用户进行识别具体包括:
将出度为0且入度小于预设范围的节点,和/或所述任意两个节点之间的路径的数量小于预设路径数量的节点,标注为异常节点。
8.一种基于网络日志的异常用户检测***,其特征在于,包括:
模型构建模块,用于获取网络日志数据集,根据所述网络日志数据集中所有网络日志内的访问路径,构建用户行为网络模型;
模型分析模块,用于根据所述用户行为网络模型中每一个用户的网络访问特征,以及所述用户行为网络模型中每一个节点和路径的访问状态,对所述网络日志数据集中的异常用户进行识别。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1到7中任一所述的方法的步骤。
10.一种基于网络日志的异常用户检测设备,其特征在于,包括:
至少一个处理器;
以及与所述处理器连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810443348.6A CN108600270A (zh) | 2018-05-10 | 2018-05-10 | 一种基于网络日志的异常用户检测方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810443348.6A CN108600270A (zh) | 2018-05-10 | 2018-05-10 | 一种基于网络日志的异常用户检测方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108600270A true CN108600270A (zh) | 2018-09-28 |
Family
ID=63637019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810443348.6A Pending CN108600270A (zh) | 2018-05-10 | 2018-05-10 | 一种基于网络日志的异常用户检测方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108600270A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541653A (zh) * | 2020-04-02 | 2020-08-14 | 山东商业职业技术学院 | 一种数据通讯监控***及方法 |
| CN111786934A (zh) * | 2019-08-26 | 2020-10-16 | 北京京东尚科信息技术有限公司 | 检测客户端正常用户的方法以及装置 |
| CN111949803A (zh) * | 2020-08-21 | 2020-11-17 | 深圳供电局有限公司 | 一种基于知识图谱的网络异常用户检测方法、装置和设备 |
| CN113726786A (zh) * | 2021-08-31 | 2021-11-30 | 上海观安信息技术股份有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135474A (zh) * | 2014-07-18 | 2014-11-05 | 国家计算机网络与信息安全管理中心 | 基于主机出入度的网络异常行为检测方法 |
| CN105554007A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 一种web异常检测方法和装置 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及*** |
| CN106470204A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 基于请求行为特征的用户识别方法、装置、设备及*** |
| CN107465651A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法及装置 |
-
2018
- 2018-05-10 CN CN201810443348.6A patent/CN108600270A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135474A (zh) * | 2014-07-18 | 2014-11-05 | 国家计算机网络与信息安全管理中心 | 基于主机出入度的网络异常行为检测方法 |
| CN106470204A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 基于请求行为特征的用户识别方法、装置、设备及*** |
| CN105554007A (zh) * | 2015-12-25 | 2016-05-04 | 北京奇虎科技有限公司 | 一种web异常检测方法和装置 |
| CN107465651A (zh) * | 2016-06-06 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 网络攻击检测方法及装置 |
| CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及*** |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111786934A (zh) * | 2019-08-26 | 2020-10-16 | 北京京东尚科信息技术有限公司 | 检测客户端正常用户的方法以及装置 |
| CN111541653A (zh) * | 2020-04-02 | 2020-08-14 | 山东商业职业技术学院 | 一种数据通讯监控***及方法 |
| CN111949803A (zh) * | 2020-08-21 | 2020-11-17 | 深圳供电局有限公司 | 一种基于知识图谱的网络异常用户检测方法、装置和设备 |
| CN111949803B (zh) * | 2020-08-21 | 2024-05-28 | 深圳供电局有限公司 | 一种基于知识图谱的网络异常用户检测方法、装置和设备 |
| CN114765584A (zh) * | 2020-12-30 | 2022-07-19 | 苏州国双软件有限公司 | 一种用户行为监测方法、装置、电子设备及存储介质 |
| CN113726786A (zh) * | 2021-08-31 | 2021-11-30 | 上海观安信息技术股份有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
| CN113726786B (zh) * | 2021-08-31 | 2023-05-05 | 上海观安信息技术股份有限公司 | 异常访问行为的检测方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11263321B2 (en) | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions | |
| US20210019674A1 (en) | Risk profiling and rating of extended relationships using ontological databases | |
| Hajimirzaei et al. | Intrusion detection for cloud computing using neural networks and artificial bee colony optimization algorithm | |
| CN108600270A (zh) | 一种基于网络日志的异常用户检测方法及*** | |
| CN109063966B (zh) | 风险账户的识别方法和装置 | |
| CN105022960B (zh) | 基于网络流量的多特征移动终端恶意软件检测方法及*** | |
| CN109922032B (zh) | 用于确定登录账户的风险的方法、装置、设备及存储介质 | |
| CN111614690B (zh) | 一种异常行为检测方法及装置 | |
| CN106557695B (zh) | 一种恶意应用检测方法和*** | |
| Zulkifli et al. | Android malware detection based on network traffic using decision tree algorithm | |
| CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
| CN107241296B (zh) | 一种Webshell的检测方法及装置 | |
| CN113590497A (zh) | 业务服务的测试方法、装置、电子设备及存储介质 | |
| US11546380B2 (en) | System and method for creation and implementation of data processing workflows using a distributed computational graph | |
| US11516235B2 (en) | System and method for detecting bots based on anomaly detection of JavaScript or mobile app profile information | |
| US12019739B2 (en) | User behavior risk analytic system with multiple time intervals and shared data extraction | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN107368856A (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
| CN108600172A (zh) | 撞库攻击检测方法、装置、设备及计算机可读存储介质 | |
| CN113378899A (zh) | 非正常账号识别方法、装置、设备和存储介质 | |
| CN114338064A (zh) | 识别网络流量类型的方法、装置、设备和存储介质 | |
| CN113569162A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN111680167A (zh) | 一种服务请求的响应方法及服务器 | |
| CN107231383A (zh) | Cc攻击的检测方法及装置 | |
| CN112822121A (zh) | 流量识别方法、流量确定方法、知识图谱建立方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180928 |
|
| RJ01 | Rejection of invention patent application after publication |