CN109617887B - 一种信息处理方法、装置及存储介质 - Google Patents
一种信息处理方法、装置及存储介质 Download PDFInfo
- Publication number
- CN109617887B CN109617887B CN201811573833.1A CN201811573833A CN109617887B CN 109617887 B CN109617887 B CN 109617887B CN 201811573833 A CN201811573833 A CN 201811573833A CN 109617887 B CN109617887 B CN 109617887B
- Authority
- CN
- China
- Prior art keywords
- node
- topological graph
- abnormal
- influence
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 27
- 238000003672 processing method Methods 0.000 title claims abstract description 13
- 230000002159 abnormal effect Effects 0.000 claims abstract description 174
- 238000000034 method Methods 0.000 claims abstract description 24
- 230000006399 behavior Effects 0.000 claims description 40
- 230000015654 memory Effects 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 16
- 230000002547 anomalous effect Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 239000011435 rock Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种信息处理方法、装置及存储介质,所述方法包括:在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;基于所述至少一个目标节点拓扑图中相邻节点的影响力,确定所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力;基于所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,确定所述至少一个正常节点为异常节点的概率。如此,能够预先确定网络中潜在的异常节点,提前预防潜在的安全隐患,提高网络安全防护力。
Description
技术领域
本发明涉及互联网技术,尤其涉及一种信息处理方法、装置及存储介质。
背景技术
目前针对异常节点的发现,是通过分析用户的操作行为,比如,操作频率、操作设备、操作地点等信息,确定用户是否为异常节点。
然而现有技术给出的异常节点确定方案,对于操作频率较高的异常节点能准确识别,但需要人工设定频率阈值作为判断异常节点的标准。且都是根据用户本身的操作行为进行风险的判断,并不能根据已有的异常节点来识别潜在的异常节点,只能在异常操作执行后进行异常处理,不能进行事先预防。
发明内容
为解决上述技术问题,本发明实施例期望提供一种信息处理方法、装置及存储介质,能够预先确定网络中潜在的异常节点,提高网络安全。
本发明的技术方案是这样实现的:
本发明实施例提供了一种信息处理方法,包括:
在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;其中,所述第一异常节点为所述至少一个异常节点中任意一个异常节点,所述节点拓扑图中包含至少两个相邻节点和相邻节点的影响力;
基于所述至少一个目标节点拓扑图中相邻节点的影响力,确定所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力;
基于所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,确定所述至少一个正常节点为异常节点的概率。
上述方案中,在确定至少一个异常节点之前,所述方法还包括:基于至少两个节点的互联网协议(Internet Protocol,IP)地址和操作日志,建立至少一个节点拓扑图;其中,所述操作日志用于记录节点的操作行为。
上述方案中,所述基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图,包括:基于所述IP地址,建立至少一个第一拓扑图;其中,所述第一拓扑图中任意相邻两个节点具有相同的IP地址;基于所述操作日志,从所述至少一个第一拓扑图中获得至少一个节点拓扑图。
上述方案中,所述操作日志至少包括节点的操作行为;所述基于所述操作日志,从所述至少一个第一拓扑图中获得至少一个节点拓扑图,包括:基于所述操作行为,计算所述至少一个第一拓扑图中相邻节点之间的影响力;基于所述操作行为,得到每一个节点的至少一个操作标签;其中,所述操作标签用于表征节点操作行为的类别;基于每一个节点的至少一个操作标签,将所述至少一个第一拓扑图划分为至少一个第二拓扑图;其中,每一个第二拓扑图对应一个操作标签;将包含影响力的至少一个第二拓扑图作为所述至少一个节点拓扑图。
上述方案中,所述基于所述至少一个目标节点拓扑图中相邻节点的影响力,确定所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,包括:若正常节点与所述第一异常节点相邻时,从目标节点拓扑图中直接获取所述第一异常节点对所述正常节点的影响力;若正常节点与所述第一异常节点不相邻时,根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定所述第一异常节点对所述正常节点的影响力。
上述方案中,所述根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定所述第一异常节点对所述正常节点的影响力,包括:根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定每一条可达路径上所述第一异常节点对所述正常节点的影响力;对所述目标节点拓扑图中每一条可达路径上所述第一异常节点对所述正常节点的影响力进行累加求和,得到所述第一异常节点对所述正常节点的影响力。
上述方案中,所述基于所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,确定所述至少一个正常节点为异常节点的概率,包括:从所述至少一个目标节点拓扑图中确定包含第一正常节点的至少一个第一目标节点拓扑图;其中,所述第一正常节点为所述至少一个正常节点中的任意一个正常节点;基于所述至少一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力,确定所述第一正常节点为异常节点的概率。
上述方案中,所述基于所述至少一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力,确定所述第一正常节点为异常节点的概率,包括:对每一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力进行累加求和,得到所述第一正常节点为异常节点的概率。
本发明实施例中还提供了一种信息处理装置,所述信息处理装置包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,其中,所述处理器配置为运行所述计算机程序时,执行前述任一项所述方法的步骤。
本发明实施例中还提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现前述任一项所述的方法的步骤。
采用上述技术方案,能够在确定异常节点之后,根据节点拓扑图中相邻节点之间的影响力,确定异常节点对节点拓扑图中与其关联的正常节点的影响力,从而确定正常节点可能是潜在异常节点概率。如此,能够预先确定网络中潜在的异常节点,提前预防潜在的安全隐患,提高网络安全防护力。
附图说明
图1为本发明实施例中信息处理方法的第一流程示意图;
图2为本发明实施例中节点拓扑图的第一组成结构示意图;
图3为本发明实施例中节点拓扑图的第二组成结构示意图;
图4为本发明实施例中信息处理方法的第二流程示意图;
图5为本发明实施例中节点拓扑图的第三组成结构示意图;
图6为本发明实施例中信息处理方法的第三流程示意图;
图7为本发明实施例中信息处理装置的组成结构示意图。
具体实施方式
为了能够更加详尽地了解本发明实施例的特点与技术内容,下面结合附图对本发明实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本发明实施例。
实施例一
如图1所示,信息处理方法包括:
步骤101:在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;其中,第一异常节点为至少一个异常节点中任意一个异常节点,节点拓扑图中包含至少两个相邻节点和相邻节点的影响力;
步骤102:基于至少一个目标节点拓扑图中相邻节点的影响力,确定至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力;
步骤103:基于至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力,确定至少一个正常节点为异常节点的概率。
这里,步骤101至步骤103的执行主体可以为信息处理装置中的处理器。
实际应用中,步骤101之前该方法还包括:基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图;其中,操作日志用于记录节点的操作行为。这里,IP地址可以是为不同节点分配的公共IP地址,操作行为是指用户使用终端对网络***的各种数据操作和使用情况,比如:下载、浏览网页、发表评论、电子支付等。
根据节点的IP地址建立节点拓扑图,根据节点的操作日志确定相邻节点的影响力。实际应用中,将具有相同IP地址的节点设置为相邻的节点,相邻节点之间的操作日志的相似度越高,表面两个节点之间的相互影响的概率越大。操作日志的相似度可以理解为执行相同操作的比例,例如,访问相同网站,浏览相同页面等。
具体的,基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图,包括:基于IP地址,建立至少一个第一拓扑图;其中,第一拓扑图中任意相邻两个节点具有相同的IP地址;基于操作日志,从至少一个第一拓扑图中获得至少一个节点拓扑图。
实际应用中,所述操作日志至少包括节点的操作行为。相应的,基于操作日志,从至少一个第一拓扑图中获得至少一个节点拓扑图,包括:基于所述操作行为,计算所述至少一个第一拓扑图中相邻节点之间的影响力;基于所述操作行为,得到每一个节点的至少一个操作标签;其中,所述操作标签用于表征节点操作行为的类别;基于每一个节点的至少一个操作标签,将所述至少一个第一拓扑图划分为至少一个第二拓扑图;其中,每一个第二拓扑图对应一个操作标签;将包含影响力的至少一个第二拓扑图作为所述至少一个节点拓扑图。
如图2所示,第一拓扑图包括:节点a、b、c、d、e、f、g、h、i、j这10个节点,相邻节点之间具有相同的IP地址,即a和b、a和e、a和j之间具有相同的IP地址,不同节点之间不具有相同的IP地址,即a和g、a和f、a和i、a和h、a和b、a和c之间不具有相同的IP地址,根据a的操作日志和d、f、j的操作日志确定相邻节点之间的影响力。相邻节点之间的影响力如图中连接箭头的上方或右方所示。
实际应用中,相邻节点之间相互给予对方的影响力可以相同,如图2所示。相邻节点之间相互给予对方的影响力也可以不相同,比如,节点a对节点d的影响力为0.2、节点d对节点a的影响力为0.1。
在第一拓扑图建立完成后,根据节点的操作行为标记节点对应的至少一个操作标签,根据节点的操作标签将具有相同操作标签的节点划分在同一个拓扑图中,具有不同操作标签的节点划分在不同的拓扑图中,如图3所示,节点a与其他节点都不具备相同的操作标签,则节点a对其他的节点的影响力为0,则将节点a与周围节点的连接边删除,因此,根据节点的操作标签将原本的第一拓扑图划分成三个第二拓扑图,第二拓扑图包括第一拓扑图的至少部分节点。具体包括:由节点c、d、e、f、g组成的第二拓扑图,由节点a单独组成的第二拓扑图,由节点b、h、i、j组成的第二拓扑图。
将包含影响力的至少一个第二拓扑图作为至少一个节点拓扑图,根据异常节点从至少一个节点拓扑图中确定。若节点b为异常节点则目标节点拓扑图即为由节点b、h、i、j组成的第二拓扑图,根据节点之间的影响力,确定节点b对节点h、i、j的影响力。
这里,只是示例性的说明了节点拓扑图的获取方法,在实际应用中,一个节点可以包含很多个操作标签,且操作标签的划分粒度可以根据实际情况设定。每一个标签对应一个第二拓扑图,根据异常节点对应的一个或多个第二拓扑图,确定异常节点对第二拓扑图中正常节点的影响。
需要说明的是,异常节点属于某一个拓扑图时,才会对其中的正常节点产生影响,当异常节点不属于某一个拓扑图时,便不会对其中的任何一个节点产生影响。
实际应用中,异常节点的确定方法根据现有的检测手段,当检测到节点的操作行为异常时,确定该节点为异常节点,从而利用本发明实施例给出的上述方法判断其他正常节点受影响的概率。
采用上述技术方案,能够在确定异常节点之后,根据节点拓扑图中相邻节点之间的影响力,确定异常节点对节点拓扑图中与其关联的正常节点的影响力,从而确定正常节点可能是潜在异常节点概率。如此,能够预先确定网络中潜在的异常节点,提前预防潜在的安全隐患,提高网络安全防护力。
实施例二
为了能更加体现本发明的目的,在本发明上述实施例的基础上,进行进一步的举例说明,如图4所示,信息处理方法具体包括:
步骤401:在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;
步骤402:若正常节点与第一异常节点相邻时,从目标节点拓扑图中直接获取第一异常节点对所述正常节点的影响力;若正常节点与第一异常节点不相邻时,根据目标节点拓扑图中正常节点与第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定第一异常节点对正常节点的影响力;
步骤403:基于至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力,确定至少一个正常节点为异常节点的概率。
这里,步骤401至步骤403的执行主体可以为信息处理装置中的处理器。第一异常节点为至少一个异常节点中任意一个异常节点,节点拓扑图中包含至少两个相邻节点和相邻节点的影响力。
实际应用中,步骤401之前该方法还包括:基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图;其中,操作日志用于记录节点的操作行为。因此,操作日志中至少包括节点的操作行为。
具体的,基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图,包括:基于IP地址,建立至少一个第一拓扑图;其中,第一拓扑图中任意相邻两个节点具有相同的IP地址;基于操作行为,计算至少一个第一拓扑图中相邻节点之间的影响力;基于操作行为,得到每一个节点的至少一个操作标签;进一步地,基于操作标签,将至少一个第一拓扑图划分为至少一个第二拓扑图;其中,每一个第二拓扑图对应一个操作标签;将包含影响力的至少一个第二拓扑图作为至少一个节点拓扑图。
在建立节点拓扑图时,可以先确定单位时间段内节点使用过的IP地址,并将使用过相同IP地址的节点确定为具有关联关系的节点,即在拓扑图中为相邻节点;然后,根据单位时间段内节点的操作日志,如观看内容、发表评论等,来确定相邻节点之间的影响力,从而生成以用户为节点的第一拓扑图。
示例性的,确定相邻节点之间影响力Pi的计算公式可以为:
Pi=(1+mi/M+ni/N)*1/d
其中,Pi为目标节点对第i个节点对相邻节点的影响力;di为目标节点的度数,度数具体用于表征目标节点具有相邻节点的数量;mi为第i个相邻节点与目标节点观看相同内容的数量;M为相同IP地址下所有节点观看内容的总数量;ni为第i个相邻节点与目标节点发表相同评论的数量;N为相同IP地址下所有节点发表评论的总数量。
需要说明的是,上述观看内容、发表评论这两项信息仅为示例性的给出的两种操作行为,具体的操作行为可根据实际需求灵活设定。
进一步地,基于操作行为,得到每一个节点的至少一个操作标签;其中,操作标签用于表征节点操作行为的类别。具体的,解析操作行为;将解析后的操作行为与预设的操作标签库进行匹配,确定操作行为的至少一个操作标签。
这里,操作标签是将用户的操作行为进行分类,可以为操作行为信息中的关键字,用于指示操作对象、操作类别等关键信息。比如:视频应用1音乐应用1等;进一步视频应用1还可以对应电视剧、电影、娱乐、体育等,音乐应用2还可以对应为流行音乐、摇滚音乐、古典音乐等。根据每一个节点具有的至少一个操作标签,将第一拓扑图划分成具有不同操作标签的第二拓扑图,节点根据具有个操作标签分别位于对应的第二拓扑图中。
步骤402中具体包括:若正常节点与第一异常节点相邻时,除直接可达路径之外还包括至少一条间接可达路径;根据相邻的正常节点与第一异常节点之间的影响力,以及正常节点与第一异常节点之间至少一条间接可达路径上的至少两个相邻节点的影响力,确定第一异常节点对正常节点的影响力。
若正常节点与第一异常节点不相邻时,根据目标节点拓扑图中正常节点与第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定每一条可达路径上第一异常节点对正常节点的影响力;对目标节点拓扑图中每一条可达路径上第一异常节点对正常节点的影响力进行累加求和,得到第一异常节点对正常节点的影响力。
示例性的,若正常节点与第一异常节点不相邻时,根据目标节点拓扑图中正常节点与第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定第一异常节点对正常节点的影响力。如图5所示,节点a和节点f之间的可达路径包含acf、adf,可达路径acf上节点a对节点f的影响力为Pi ac*Pi cf,可达路径adf上节点a对节点f的影响力为Pi ad*Pi df,则第i个目标节点拓扑图中节点a对节点f的影响力Pi af=Pi ac*Pi cf+Pi ad*Pi df。
若正常节点与第一异常节点相邻时,从目标节点拓扑图中直接获取第一异常节点对正常节点的影响力。如图5所示,节点a对节点b的影响力为Pi ac,Pi ac可以从目标拓扑图中直接获得,节点a对节点e的影响力为Pi e=Pi eae+Pi ab*Pi be+Pi ac*Pi ce。
进一步地,根据每一个目标节点拓扑图中第一异常节点对正常节点的影响力,计算第一异常节点对正常节点的总影响力,总影响力用于表征正常节点为异常节点的概率。
采用上述技术方案,在挖掘出异常节点后,根据异常节点所属操作标签得到各个操作标签下对应的节点拓扑图,然后计算各个操作标签异常节点对正常节点的影响力,将所有操作标签下的影响力相加,得到这些异常节点对正常节点的总影响力,从而确定正常节点为异常节点的概率。
实施例三
为了能更加体现本发明的目的,在本发明上述实施例的基础上,进行进一步的举例说明,如图6所示,信息处理方法具体包括:
步骤601:在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;
步骤602:基于至少一个目标节点拓扑图中相邻节点的影响力,确定至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力;
步骤603:从至少一个目标节点拓扑图中确定包含第一正常节点的至少一个第一目标节点拓扑图;其中,第一正常节点为至少一个正常节点中的任意一个正常节点;
步骤604:基于至少一个第一目标节点拓扑图中第一异常节点对第一正常节点的影响力,确定第一正常节点为异常节点的概率。
这里,步骤601至步骤604的执行主体可以为信息处理装置中的处理器。第一异常节点为至少一个异常节点中任意一个异常节点,节点拓扑图中包含至少两个相邻节点和相邻节点的影响力。
实际应用中,目标节点中包含至少两个相邻节点和相邻节点的影响力,目标节点按照节点的操作标签进行分类,每一个目标节点拓扑对应一个操作标签。第一异常节点位于至少一个目标节点拓扑图中,目标节点拓扑图中还包括至少一个正常节点。
步骤602中具体包括:根据相邻节点之间的影响力,确定第一异常节点对所有正常节点的影响力。
需要说明的是,相邻节点之间的影响力可以具有方向性。例如,节点a与节点b为相邻节点时,节点a对节点b的影响力为Pab,节点b对节点a的影响力为Pba,Pab与Pba相等或者不等。
这里,第一目标节点拓扑图中包含了第一异常节点和第一正常节点,计算每一个目标节点拓扑图中第一异常节点对第一正常节点的影响力,将所有的第一目标节点拓扑图中第一异常节点对第一正常节点的影响力进行累加求和,得到第一异常节点对第一正常节点的总影响力,总影响力即为第一正常节点为异常节点的概率。
实际应用中,在确定出异常节点后,根据预先建立的节点拓扑图来确定该异常节点对其他用户的影响力。然后,根据确定出的影响力从未发现异常的节点中确定异常节点概率较大的节点,并对这些节点执行高级别的风险管控。由此可知,采用上述技术方案可以在节点未执行异常操作行为的情况下,预先确定以及预防节点执行异常操作行为的风险,从而可以有效解决现有技术中无法事先确定潜在异常节点的问题。
实施例四
基于同一发明构思,本发明实施例还提供了一种信息处理装置。图7为本发明实施例中信息处理装置的组成结构示意图,如图7所示,该信息处理装置70包括:处理器701和配置为存储能够在处理器701上运行的计算机程序的存储器702,
处理器701用于执行存储器702中存储的程序,以实现以下步骤:
在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;其中,第一异常节点为至少一个异常节点中任意一个异常节点,节点拓扑图中包含至少两个相邻节点和相邻节点的影响力;
基于至少一个目标节点拓扑图中相邻节点的影响力,确定至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力;
基于至少一个目标节点拓扑图中第一异常节点对至少一个正常节点的影响力,确定至少一个正常节点为异常节点的概率。
在一些实施例中,处理器701还用于执行存储器702中存储的程序,以实现以下步骤:基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图;其中,操作日志用于记录节点的操作行为。
在一些实施例中,处理器701还用于执行存储器702中存储的程序,以实现以下步骤:基于IP地址,建立至少一个第一拓扑图;其中,第一拓扑图中任意相邻两个节点具有相同的IP地址;基于操作日志,从至少一个第一拓扑图中获得至少一个节点拓扑图。
在一些实施例中,所述操作日志至少包括节点的操作行为;
处理器701具体用于执行存储器702中存储的程序,以实现以下步骤:基于所述操作行为,计算所述至少一个第一拓扑图中相邻节点之间的影响力;基于所述操作行为,得到每一个节点的至少一个操作标签;其中,所述操作标签用于表征节点操作行为的类别;基于每一个节点的至少一个操作标签,将所述至少一个第一拓扑图划分为至少一个第二拓扑图;其中,每一个第二拓扑图对应一个操作标签;将包含影响力的至少一个第二拓扑图作为所述至少一个节点拓扑图。
在一些实施例中,处理器701具体用于执行存储器702中存储的程序,以实现以下步骤:若正常节点与第一异常节点相邻时,从目标节点拓扑图中直接获取所述第一异常节点对所述正常节点的影响力;若正常节点与第一异常节点不相邻时,根据目标节点拓扑图中正常节点与第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定第一异常节点对正常节点的影响力。
在一些实施例中,处理器701具体用于执行存储器702中存储的程序,以实现以下步骤:根据目标节点拓扑图中正常节点与第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定每一条可达路径上第一异常节点对正常节点的影响力;对目标节点拓扑图中每一条可达路径上第一异常节点对正常节点的影响力进行累加求和,得到第一异常节点对正常节点的影响力。
在一些实施例中,处理器701具体用于执行存储器702中存储的程序,以实现以下步骤:从至少一个目标节点拓扑图中确定包含第一正常节点的至少一个第一目标节点拓扑图;其中,第一正常节点为至少一个正常节点中的任意一个正常节点;基于至少一个第一目标节点拓扑图中第一异常节点对第一正常节点的影响力,确定第一正常节点为异常节点的概率。
在一些实施例中,处理器701具体用于执行存储器702中存储的程序,以实现以下步骤:对每一个第一目标节点拓扑图中第一异常节点对第一正常节点的影响力进行累加求和,得到第一正常节点为异常节点的概率。
在实际应用中,上述存储器可以是易失性存储器(volatile memory),例如随机存取存储器(RAM,Random-Access Memory);或者非易失性存储器(non-volatile memory),例如只读存储器(ROM,Read-Only Memory),快闪存储器(flash memory),硬盘(HDD,HardDisk Drive)或固态硬盘(SSD,Solid-State Drive);或者上述种类的存储器的组合,并向处理器提供指令和数据。
上述处理器可以为特定用途集成电路(ASIC,Application Specific IntegratedCircuit)、数字信号处理装置(DSPD,Digital Signal Processing Device)、可编程逻辑装置(PLD,Programmable Logic Device)、现场可编程门阵列(Field-Programmable GateArray,FPGA)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本发明实施例不作具体限定。
在示例性实施例中,本申请实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器702,上述计算机程序可由处理器701执行,以完成前述方法步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及流程示意图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (9)
1.一种信息处理方法,其特征在于,所述方法包括:
在确定至少一个异常节点时,从至少一个节点拓扑图中确定包含第一异常节点的至少一个目标节点拓扑图;其中,所述第一异常节点为所述至少一个异常节点中任意一个异常节点,所述节点拓扑图中包含至少两个相邻节点和相邻节点的影响力;其中,所述相邻节点的影响力是根据相邻节点的操作日志的相似度确定的;
基于所述至少一个目标节点拓扑图中相邻节点的影响力,确定所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力;
基于所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,确定所述至少一个正常节点为异常节点的概率;
其中,所述基于所述至少一个目标节点拓扑图中相邻节点的影响力,确定所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,包括:
若正常节点与所述第一异常节点相邻时,从目标节点拓扑图中直接获取所述第一异常节点对所述正常节点的影响力;
若正常节点与所述第一异常节点不相邻时,根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定所述第一异常节点对所述正常节点的影响力。
2.根据权利要求1所述的方法,其特征在于,在确定至少一个异常节点之前,所述方法还包括:
基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图;其中,所述操作日志用于记录节点的操作行为。
3.根据权利要求2所述的方法,其特征在于,所述基于至少两个节点的IP地址和操作日志,建立至少一个节点拓扑图,包括:
基于所述IP地址,建立至少一个第一拓扑图;其中,所述第一拓扑图中任意相邻两个节点具有相同的IP地址;
基于所述操作日志,从所述至少一个第一拓扑图中获得至少一个节点拓扑图。
4.根据权利要求3所述的方法,其特征在于,所述操作日志至少包括节点的操作行为;
所述基于所述操作日志,从所述至少一个第一拓扑图中获得至少一个节点拓扑图,包括:
基于所述操作行为,计算所述至少一个第一拓扑图中相邻节点之间的影响力;
基于所述操作行为,得到每一个节点的至少一个操作标签;其中,所述操作标签用于表征节点操作行为的类别;
基于每一个节点的至少一个操作标签,将所述至少一个第一拓扑图划分为至少一个第二拓扑图;其中,每一个第二拓扑图对应一个操作标签;
将包含影响力的至少一个第二拓扑图作为所述至少一个节点拓扑图。
5.根据权利要求1所述的方法,其特征在于,所述根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定所述第一异常节点对所述正常节点的影响力,包括:
根据所述目标节点拓扑图中所述正常节点与所述第一异常节点之间每一条可达路径上的至少两个相邻节点的影响力,确定每一条可达路径上所述第一异常节点对所述正常节点的影响力;
对所述目标节点拓扑图中每一条可达路径上所述第一异常节点对所述正常节点的影响力进行累加求和,得到所述第一异常节点对所述正常节点的影响力。
6.根据权利要求1所述的方法,其特征在于,所述基于所述至少一个目标节点拓扑图中所述第一异常节点对至少一个正常节点的影响力,确定所述至少一个正常节点为异常节点的概率,包括:
从所述至少一个目标节点拓扑图中确定包含第一正常节点的至少一个第一目标节点拓扑图;其中,所述第一正常节点为所述至少一个正常节点中的任意一个正常节点;
基于所述至少一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力,确定所述第一正常节点为异常节点的概率。
7.根据权利要求6所述的方法,其特征在于,所述基于所述至少一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力,确定所述第一正常节点为异常节点的概率,包括:
对每一个第一目标节点拓扑图中所述第一异常节点对所述第一正常节点的影响力进行累加求和,得到所述第一正常节点为异常节点的概率。
8.一种信息处理装置,所述信息处理装置包括:处理器和配置为存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器配置为运行所述计算机程序时,执行权利要求1至7任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811573833.1A CN109617887B (zh) | 2018-12-21 | 2018-12-21 | 一种信息处理方法、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811573833.1A CN109617887B (zh) | 2018-12-21 | 2018-12-21 | 一种信息处理方法、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109617887A CN109617887A (zh) | 2019-04-12 |
CN109617887B true CN109617887B (zh) | 2021-06-15 |
Family
ID=66010328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811573833.1A Active CN109617887B (zh) | 2018-12-21 | 2018-12-21 | 一种信息处理方法、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109617887B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110120893B (zh) * | 2019-05-13 | 2022-12-13 | 恒安嘉新(北京)科技股份公司 | 一种定位网络***安全问题的方法及装置 |
CN111343161B (zh) * | 2020-02-14 | 2021-12-10 | 平安科技(深圳)有限公司 | 异常信息处理节点分析方法、装置、介质及电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106355506A (zh) * | 2016-08-15 | 2017-01-25 | 中南大学 | 一种在线社会网络中影响力最大化初始节点选取方法 |
CN106411904A (zh) * | 2016-10-10 | 2017-02-15 | 华侨大学 | 一种基于微观状态预测的网络风险控制方法 |
CN106713354A (zh) * | 2017-01-23 | 2017-05-24 | 全球能源互联网研究院 | 一种基于不可检测信息攻击预警技术的电力信息物理***脆弱性节点评估方法 |
CN107679716A (zh) * | 2017-09-19 | 2018-02-09 | 西南交通大学 | 考虑通信脆弱度的互联电网连锁故障风险评估与告警方法 |
CN108768949A (zh) * | 2018-04-28 | 2018-11-06 | 广东电网有限责任公司 | 基于马尔科夫随机场理论的随机几何数据异常定位方法 |
EP3400678A1 (en) * | 2016-01-08 | 2018-11-14 | Telefonaktiebolaget LM Ericsson (PUBL) | Graph construction for computed spring multicast |
-
2018
- 2018-12-21 CN CN201811573833.1A patent/CN109617887B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3400678A1 (en) * | 2016-01-08 | 2018-11-14 | Telefonaktiebolaget LM Ericsson (PUBL) | Graph construction for computed spring multicast |
CN106355506A (zh) * | 2016-08-15 | 2017-01-25 | 中南大学 | 一种在线社会网络中影响力最大化初始节点选取方法 |
CN106411904A (zh) * | 2016-10-10 | 2017-02-15 | 华侨大学 | 一种基于微观状态预测的网络风险控制方法 |
CN106713354A (zh) * | 2017-01-23 | 2017-05-24 | 全球能源互联网研究院 | 一种基于不可检测信息攻击预警技术的电力信息物理***脆弱性节点评估方法 |
CN107679716A (zh) * | 2017-09-19 | 2018-02-09 | 西南交通大学 | 考虑通信脆弱度的互联电网连锁故障风险评估与告警方法 |
CN108768949A (zh) * | 2018-04-28 | 2018-11-06 | 广东电网有限责任公司 | 基于马尔科夫随机场理论的随机几何数据异常定位方法 |
Non-Patent Citations (1)
Title |
---|
社交网络中基于竞争的影响力最大化研究;王浩然;《中国优秀硕士学位论文全文数据库 信息科技辑》;20170315;29-38 * |
Also Published As
Publication number | Publication date |
---|---|
CN109617887A (zh) | 2019-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7441582B2 (ja) | データ侵害を検出するための方法、装置、コンピュータ可読な記録媒体及びプログラム | |
CN108345642B (zh) | 采用代理ip爬取网站数据的方法、存储介质和服务器 | |
EP3516574B1 (en) | Enterprise graph method of threat detection | |
CN107578263B (zh) | 一种广告异常访问的检测方法、装置和电子设备 | |
EP2691848A1 (en) | Determining machine behavior | |
US11080427B2 (en) | Method and apparatus for detecting label data leakage channel | |
CN112769775B (zh) | 一种威胁情报关联分析方法、***、设备及计算机介质 | |
CN105989251B (zh) | 一种盗版安卓应用甄别方法及盗版安卓应用甄别*** | |
US11270001B2 (en) | Classification apparatus, classification method, and classification program | |
CN109685144B (zh) | 一种对视频模型做评估的方法、装置及电子设备 | |
CN109617887B (zh) | 一种信息处理方法、装置及存储介质 | |
JP7290784B1 (ja) | コード類似性に基づくファジーテスト方法、装置及び記憶媒体 | |
CN111183620B (zh) | 入侵调查 | |
US20130347109A1 (en) | Techniques for Detecting Program Modifications | |
CN112468523A (zh) | 异常流量检测方法、装置、设备及存储介质 | |
CN105657471A (zh) | 一种管理账户的方法和装置 | |
US20210250404A1 (en) | Video data storage method and device in cloud storage system | |
CN112600797A (zh) | 异常访问行为的检测方法、装置、电子设备及存储介质 | |
CN104965731A (zh) | 一种数据处理方法及电子终端 | |
US8705800B2 (en) | Profiling activity through video surveillance | |
CN112131571A (zh) | 威胁溯源方法及相关设备 | |
US10742668B2 (en) | Network attack pattern determination apparatus, determination method, and non-transitory computer readable storage medium thereof | |
US20200065233A1 (en) | Automatically establishing significance of static analysis results | |
CN108268775B (zh) | 一种Web漏洞检测方法、装置、电子设备及存储介质 | |
CN115659045A (zh) | 用户操作的识别方法、装置、存储介质以及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |