CN109842628A - 一种异常行为检测方法及装置 - Google Patents
一种异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN109842628A CN109842628A CN201910150602.8A CN201910150602A CN109842628A CN 109842628 A CN109842628 A CN 109842628A CN 201910150602 A CN201910150602 A CN 201910150602A CN 109842628 A CN109842628 A CN 109842628A
- Authority
- CN
- China
- Prior art keywords
- data
- audit data
- user
- history
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明的实施例公开一种异常行为检测方法及装置,涉及网络安全技术领域,能够对用户的审计数据进行关联规则分析以及相似度挖掘,从而及时发现用户的异常行为。该方法包括:对获取的历史的审计数据进行数据类型变换生成第一数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;将历史用户关联序列与获取的实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,进而确定用户操作是否存在异常行为。本发明实施例应用于网络***。
Description
本申请要求于2018年12月13日提交中国专利局、申请号为201811528545.4、发明名称为“一种用户异常行为检测方法及装置”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明的实施例涉及通信技术领域,尤其涉及一种异常行为检测方法及装置。
背景技术
随着网络信息技术的发展,企业面临的网络攻击也在显著增加,快速发展的业务,不断变化的分布式IT环境(内部部署,云,移动)和日益分散的员工队伍。现如今,网络威胁的隐蔽性,使得合规检查变得复杂,尤其是多变的未知外部攻击和无法预判的内部威胁,如:破坏者逃避企业的控制并绕过身份访问控制和各种类型的威胁防护等。而现有技术中通过设置阈值来触发警报的方式来解决,但这种方式会导致企业安全团队可能淹没在每天数百万的警报中,使得真正有违规行为的警报没有优先处理。
发明内容
本发明的实施例提供一种异常行为检测方法及装置,能够对用户的审计数据进行关联规则分析以及相似度挖掘,从而及时发现用户的异常行为。
为达到上述目的,本发明采用如下技术方案:
第一方面,提供一种异常行为检测方法,该方法包括:获取实时的审计数据以及预设时间段的历史的审计数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;对历史的审计数据进行数据类型变换生成第一数据;对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
在上述方法中,首先,对获取的历史的审计数据进行数据类型变换生成第一数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;然后,对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;最后,将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,进而确定用户操作是否存在异常行为。本发明实施例能够对用户的审计数据进行关联规则分析以及相似度挖掘,从而及时发现用户的异常行为。
第二方面,提供一种异常行为检测装置,该异常行为检测装置包括:获取单元,用于获取实时的审计数据以及预设时间段的历史的审计数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;处理单元,用于对获取单元获取的历史的审计数据进行数据类型变换生成第一数据;处理单元,还用于对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;处理单元,还用于将历史用户关联序列与获取单元获取的实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
可以理解地,上述提供的异常行为检测装置用于执行上文所提供的第一方面对应的方法,因此,其所能达到的有益效果可参考上文第一方面对应的方法以及下文具体实施方式中对应的方案的有益效果,此处不再赘述。
第三方面,提供了一种异常行为检测装置,该异常行为检测装置的结构中包括处理器和存储器,存储器用于与处理器耦合,保存该异常行为检测装置必要的程序指令和数据,处理器用于执行存储器中存储的程序指令,使得该异常行为检测装置执行第一方面的方法。
第四方面,提供一种计算机存储介质,计算机存储介质中存储有计算机程序代码,当计算机程序代码在如第三方面的异常行为检测装置上运行时,使得异常行为检测装置执行上述第一方面的方法。
第五方面,提供一种计算机程序产品,该计算机程序产品储存有上述计算机软件指令,当计算机软件指令在如第三方面的异常行为检测装置上运行时,使得异常行为检测装置执行如上述第一方面方案的程序。
附图说明
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明的实施例提供的一种异常行为检测方法的流程示意图;
图2为本发明的实施例提供的一种用户行为分析***的框架图;
图3为本发明的实施例提供的一种异常行为检测装置的结构示意图;
图4为本发明的实施例提供的又一种异常行为检测装置的结构示意图;
图5为本发明的实施例提供的再一种异常行为检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
还需要说明的是,本发明实施例中,“的(英文:of)”,“相应的(英文:corresponding,relevant)”和“对应的(英文:corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
异常行为分析,是一种提前发现潜在威胁的新型技术,它是一种通过不断收集历史数据,然后根据这些数据建立模型来对异常行为事件进行检测的技术。它是一种“动态检测”技术,与一般的“静态检测”技术不同,基于特征检测的“静态检测”技术只能检测到库文件中已有威胁。异常行为分析可以检测从网络层到应用层的用户、服务器的异常行为,提前发现潜在威胁。而现有技术中通过设置阈值来触发警报的方式来发现用户异常行为,但这种方式会导致企业安全团队可能淹没在每天数百万的警报中,使得真正有违规行为的警报没有优先处理。
基于上述技术背景以及现有技术中存在的问题,参照图1,本发明实施例提供一种异常行为检测方法,该方法包括:
101、获取实时的审计数据以及预设时间段的历史的审计数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型。
示例性的,审计数据可以由4A平台收集。
102、对历史的审计数据进行数据类型变换生成第一数据。
在步骤102之前,还包括:S1、对历史的审计数据进行数据清洗;其中,数据清洗具体包括以下的一项或多项:将时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。
示例性的,将时间戳转换为时间片段,可以分为四个时间片段;具体包括:dawm(00:00:01~05:59:59)、am(06:00:00~11:59:59)、pm(12:00:00~17:59:59)以及nt(18:00:00~23:59:59)。若时间戳属于00:00:01~05:59:59的时间范围内,可转换为时间片段dawm;若时间戳属于06:00:00~11:59:59的时间范围内,可转换为时间片段am;若时间戳属于12:00:00~17:59:59的时间范围内,可转换为时间片段pm;若时间戳属于18:00:00~23:59:59的时间范围内,可转换为时间片段nt。删除异常IP地址(如:10.102.10.2008)。另外,IP地址上报时异常前置英文字符删除(如:ssh10.101.1.112,可将该IP地址变更为10.101.1.112),这里的IP地址包括客户端IP地址以及目标网络IP地址。此外,审计数据还可以包括依据时间戳添加的星期几(星期一至星期天)、几点(0点到23点)以及用户主从账号;若用户主从账号为空的数据,可将其变更用户名为:Administrator。参照表1,其中表1为经过数据清洗后的shell命令审计记录实例:
表1
另外,对历史的审计数据进行数据类型变换生成第一数据,具体包括:将历史的审计数据转换为数字矩阵类型的第一数据。
例如,历史的审计数据包括至少一条操作记录,假设操作记录只包含时间戳、客户端IP地址、目标网络IP地址以及操作类型,对历史的审计数据进行数据清洗后主要包括四个规则对象,分别为时间区间、客户端IP地址、目标网络IP地址以及操作类型;当设定的时间区间的条件为pm、客户端IP地址的条件为192.168.0.1、目标网络IP地址的条件为192.168.0.10以及操作类型的条件为ls时。以表1中的用户名为Adam为例,将表1中用户名为Adam对应产生的四个规则对象分别与上述对应设定的条件进行比对。若相同,则为1;若不同,则为0。那么对表1中用户名为Adam对应产生的四个规则对象进行矩阵变换后生成的第二数据为(0,1,1,0)的行矩阵。需要说明的是,获取历史的审计数据一般不止一条,所以可对至少一条历史的审计数据进行数据清洗后,并进行矩阵变换,数据类型变换过程与上述的相同,此处不再赘述。然后将根据数据类型变换后生成的至少一条行矩阵合并生成一个x×4矩阵;其中x表示历史的审计数据中操作记录的条目数。
103、对第一数据根据关联规则挖掘算法计算生成历史用户关联序列。
在一种实现方式中,对第一数据根据Apriori算法计算生成历史用户关联序列。需要说明的是,采用Apriori算法统计的变量主要包括:支持度、置信度以及提升度。其中,支持度的计算公式为support(A->C)=support(A∪C),range(范围):[0,1];置信度的计算公式为confidence(A->C)=support(A+C)/support(A),range(范围):[0,1];提升度的计算公式为lift(A->C)=confidence(A->C)/support(C),range(范围):[0,∞]。然后,根据支持度、置信度以及提升度计算获得历史用户关联序列。这里,可以设置支持度大于等于0.05,置信度大于等于0.5,提升度大于1。
104、将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
其中,将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数,具体包括:对历史关联序列与实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。
具体的,莱文斯坦距离原理主要是计算获得字符串a、b间的距离;字符串a可以是本发明实施例中的历史用户关联序列,字符串b可以是本发明实施例中的实时的审计数据,计算公式如下所示:
其中,距离i表示字符串a的长度,j表示字符串b的长度。
另外,在步骤104之前,还包括:S2、对实时的审计数据进行数据清洗。
在一种实现方式中,由于考虑到可能存在历史的审计数据不足或者新用户入库数据无法获取历史的审计数据的情况,还可以采取如下方式计算相似度分数:
对上述提到的四个规则对象(时间区间、客户端IP、目标IP、shell命令首字符)分别做统计,下面以IP地址为例,以下为最基础统计的先验概率:
上面公式中:Pr表示概率,IP和user表示未知量,IP为用户IP,user为用户唯一标识,x和userid为已知量,x为10.21.24.2的用户所用IP,userid在文中为主账户、从账户合并。α、β为B分布中的两个变量,这两个变量为了在用户的历史记录中添加“假想”登录来平滑用户的登录概率,具体来说,例如添加事件数β=1,并假设IP地址的登录率为α=0.2。获得结果如下:
对于4个规则对象均根据如上公式计算获得的先验概率计算平均概率作为相似度分数,公式如下:
Pr(User_similarity)=mean(Pr(Date|srcIP|dstIP|Oper))
其中,Pr(User_similarity)表示平均概率;Pr(Date|srcIP|dstIP|Oper)依次表示用户时间区间、客户端IP、目标IP、shell命令首字符四个的先验概率,mean表示均值。
更优的,参照图2,建立每个用户全方位的审计***。基于历史数据源(即历史的审计数据)进行关联规则挖掘算法生成历史用户关联序列(用户常用行为),并根据历史用户关联序列做基线分析。利用上述异常行为检测方法获取的用户操作异常行为(如合作伙伴操作root数据等)做行为分析。其中,数据源(包括历史的审计数据(即历史数据源)和实时的审计数据(即实时数据源))的获取来源包括但不限于以下的一项或多项:VPN日志、主机日志、数据库日志、应用服务器、防火墙以及堡垒机。然后,根据上述的基线分析以及行为分析作出关系分析/名单分析,并将上述的行为分析、关系分析/名单分析、基线分析进行关联并拉取用户操作权限名单进行上下文联系。最后,将行为分析、关系分析/名单分析、基线分析以及上下文联系引入到规则、模型及场景三种计算引擎中,判断出用户是属于外部威胁、内部威胁或正常用户。
在上述方法中,首先,对获取的历史的审计数据进行数据类型变换生成第一数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;然后,对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;最后,将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,进而确定用户操作是否存在异常行为。本发明实施例能够对用户的审计数据进行关联规则分析以及相似度挖掘,从而及时发现用户的异常行为。
参照图3,本发明实施例提供异常行为检测装置30,该异常行为检测装置30包括:
获取单元301,用于获取实时的审计数据以及预设时间段的历史的审计数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型。
处理单元302,用于对获取单元301获取的历史的审计数据进行数据类型变换生成第一数据。
处理单元302,还用于对第一数据根据关联规则挖掘算法计算生成历史用户关联序列。
处理单元302,还用于将历史用户关联序列与获取单元301获取的实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
在一种示例性的方案中,处理单元302,具体用于将获取单元301获取的历史的审计数据转换为数字矩阵类型的第一数据。
在一种示例性的方案中,处理单元302,还用于对获取单元301获取的历史的审计数据进行数据清洗;其中,数据清洗具体包括以下的一项或多项:将时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。
在一种示例性的方案中,处理单元302,具体用于对历史关联序列与获取单元301获取的实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。
由于本发明实施例中的异常行为检测装置可以应用于实施上述方法实施例,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
在采用集成的单元的情况下,图4示出了上述实施例中所涉及的异常行为检测装置30的一种可能的结构示意图。异常行为检测装置30包括:处理模块401、通信模块402和存储模块403。处理模块401用于对异常行为检测装置30的动作进行控制管理,例如,处理模块401用于支持异常行为检测装置30执行图1中的过程101~103。通信模块402用于支持异常行为检测装置30与其他实体的通信。存储模块403用于存储异常行为检测装置30的程序代码和数据。
其中,处理模块401可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块402可以是收发器、收发电路或通信接口等。存储模块403可以是存储器。
当处理模块401为如图5所示的处理器,通信模块402为图5的收发器,存储模块403为图5的存储器时,本申请实施例所涉及的异常行为检测装置30可以为如下的异常行为检测装置30。
参照图5所示,该异常行为检测装置30包括:处理器501、收发器502、存储器503和总线504。
其中,处理器501、收发器502、存储器503通过总线504相互连接;总线504可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器501可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
存储器503可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器503用于存储执行本申请方案的应用程序代码,并由处理器501来控制执行。收发器502用于接收外部设备输入的内容,处理器501用于执行存储器503中存储的应用程序代码,从而实现本申请实施例中的交易跟踪方法。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DigitalSubscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本发明实施例还提供一种计算机程序产品,该计算机程序产品可直接加载到存储器中,并含有软件代码,该计算机程序产品经由计算机载入并执行后能够实现上述的异常行为检测方法。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的***、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DigitalSubscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本发明实施例还提供一种计算机程序产品,该计算机程序产品可直接加载到存储器中,并含有软件代码,该计算机程序产品经由计算机载入并执行后能够实现上述的异常行为检测方法。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种异常行为检测方法,其特征在于,包括:
获取实时的审计数据以及预设时间段的历史的审计数据;其中,所述审计数据包括用户通过客户端访问网络的至少一条操作记录,所述操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;
对所述历史的审计数据进行数据类型变换生成第一数据;
对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列;
将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数,并将所述相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
2.根据权利要求1所述的异常行为检测方法,其特征在于,所述对所述历史的审计数据进行数据类型变换生成第一数据,具体包括:将所述历史的审计数据转换为数字矩阵类型的所述第一数据。
3.根据权利要求1所述的异常行为检测方法,其特征在于,所述对所述历史的审计数据进行数据类型变换生成第一数据之前,还包括:
对所述历史的审计数据进行数据清洗;其中,所述数据清洗具体包括以下的一项或多项:将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。
4.根据权利要求1所述的异常行为检测方法,其特征在于,所述将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数,具体包括:
对所述历史关联序列与所述实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。
5.一种异常行为检测装置,其特征在于,包括:
获取单元,用于获取实时的审计数据以及预设时间段的历史的审计数据;其中,所述审计数据包括用户通过客户端访问网络的至少一条操作记录,所述操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;
处理单元,用于对所述获取单元获取的所述历史的审计数据进行数据类型变换生成第一数据;
所述处理单元,还用于对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列;
所述处理单元,还用于将所述历史用户关联序列与所述获取单元获取的所述实时的审计数据进行相似度挖掘生成相似度分数,并将所述相似度分数与预设阈值比较,确定用户操作是否存在异常行为。
6.根据权利要求5所述的异常行为检测装置,其特征在于,包括:
所述处理单元,具体用于将所述获取单元获取的所述历史的审计数据转换为数字矩阵类型的所述第一数据。
7.根据权利要求5所述的异常行为检测装置,其特征在于,包括:
所述处理单元,还用于对所述获取单元获取的所述历史的审计数据进行数据清洗;其中,所述数据清洗具体包括以下的一项或多项:将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。
8.根据权利要求5所述的异常行为检测装置,其特征在于,包括:
所述处理单元,具体用于对所述历史关联序列与所述获取单元获取的所述实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。
9.一种异常行为检测装置,其特征在于,所述异常行为检测装置的结构中包括处理器和存储器,存储器用于与处理器耦合,保存所述异常行为检测装置必要的程序指令和数据,处理器用于执行存储器中存储的程序指令,使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法。
10.一种计算机存储介质,其特征在于,计算机存储介质中存储有计算机程序代码,当计算机程序代码在如权利要求9所述的异常行为检测装置上运行时,使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法。
11.一种计算机程序产品,其特征在于,计算机程序产品储存有计算机软件指令,当计算机软件指令在如权利要求9的异常行为检测装置上运行时,使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法的程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811528545 | 2018-12-13 | ||
| CN2018115285454 | 2018-12-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109842628A true CN109842628A (zh) | 2019-06-04 |
Family
ID=66885090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910150602.8A Pending CN109842628A (zh) | 2018-12-13 | 2019-02-28 | 一种异常行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109842628A (zh) |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110298178A (zh) * | 2019-07-05 | 2019-10-01 | 北京可信华泰信息技术有限公司 | 可信策略学***台 |
| CN110473084A (zh) * | 2019-07-17 | 2019-11-19 | 中国银行股份有限公司 | 一种异常检测方法和装置 |
| CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN110505196A (zh) * | 2019-07-02 | 2019-11-26 | 中国联合网络通信集团有限公司 | 物联网卡异常检测方法及装置 |
| CN111090885A (zh) * | 2019-12-20 | 2020-05-01 | 北京天融信网络安全技术有限公司 | 一种用户行为审计方法、装置、电子设备及存储介质 |
| CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及*** |
| CN111565187A (zh) * | 2020-04-30 | 2020-08-21 | 深信服科技股份有限公司 | 一种dns异常检测方法、装置、设备及存储介质 |
| CN111597180A (zh) * | 2020-05-19 | 2020-08-28 | 山东汇贸电子口岸有限公司 | 一种基于存储过程的otrs***的数据清洗方法 |
| CN111614611A (zh) * | 2020-04-01 | 2020-09-01 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN111639317A (zh) * | 2020-05-24 | 2020-09-08 | 中信银行股份有限公司 | 自动识别高危授权用户方法、装置、电子设备及存储介质 |
| CN111858285A (zh) * | 2020-07-30 | 2020-10-30 | 北京达佳互联信息技术有限公司 | 视频操作行为的异常识别方法、装置、服务器及存储介质 |
| CN112491779A (zh) * | 2019-09-12 | 2021-03-12 | 中移(苏州)软件技术有限公司 | 一种异常行为检测方法及装置、电子设备 |
| CN112565183A (zh) * | 2020-10-29 | 2021-03-26 | 中国船舶重工集团公司第七0九研究所 | 一种基于流式动态时间规整算法的网络流量异常检测方法及装置 |
| CN113419890A (zh) * | 2021-06-30 | 2021-09-21 | 中国银行股份有限公司 | 异常类型检测方法、装置、服务器及介质 |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
| CN113535823A (zh) * | 2021-07-26 | 2021-10-22 | 北京天融信网络安全技术有限公司 | 异常访问行为检测方法、装置及电子设备 |
| CN113556338A (zh) * | 2021-07-20 | 2021-10-26 | 龙海 | 一种计算机网络安全异常操作拦截方法 |
| CN113742184A (zh) * | 2020-06-05 | 2021-12-03 | 国家计算机网络与信息安全管理中心 | 构建用户历史行为表示向量、用户行为异常检测方法及装置 |
| CN114416916A (zh) * | 2020-10-12 | 2022-04-29 | 中移动信息技术有限公司 | 异常用户检测方法、装置、设备及存储介质 |
| CN116049551A (zh) * | 2023-01-13 | 2023-05-02 | 北京景安云信科技有限公司 | 网页操作的识别管控*** |
| CN116886430A (zh) * | 2023-08-17 | 2023-10-13 | 奇墨科技(广州)有限公司 | 检测指标异常的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN105912652A (zh) * | 2016-04-08 | 2016-08-31 | 华南师范大学 | 基于关联规则和用户属性的异常行为检测方法和*** |
| CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
| CN108710562A (zh) * | 2018-05-10 | 2018-10-26 | 深圳市腾讯网络信息技术有限公司 | 异常记录的合并方法、装置及设备 |
-
2019
- 2019-02-28 CN CN201910150602.8A patent/CN109842628A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
| CN105912652A (zh) * | 2016-04-08 | 2016-08-31 | 华南师范大学 | 基于关联规则和用户属性的异常行为检测方法和*** |
| CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
| CN108710562A (zh) * | 2018-05-10 | 2018-10-26 | 深圳市腾讯网络信息技术有限公司 | 异常记录的合并方法、装置及设备 |
Non-Patent Citations (2)
| Title |
|---|
| 章鲁: "《生物医学数据挖掘》", 29 February 2008, 上海科学技术出版社 * |
| 郝文宁: "《数据分析与数据挖掘实验指导书》", 31 March 2016, 国防工业出版社 * |
Cited By (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110505196B (zh) * | 2019-07-02 | 2021-08-31 | 中国联合网络通信集团有限公司 | 物联网卡异常检测方法及装置 |
| CN110505196A (zh) * | 2019-07-02 | 2019-11-26 | 中国联合网络通信集团有限公司 | 物联网卡异常检测方法及装置 |
| CN110298178B (zh) * | 2019-07-05 | 2021-07-27 | 北京可信华泰信息技术有限公司 | 可信策略学***台 |
| CN110298178A (zh) * | 2019-07-05 | 2019-10-01 | 北京可信华泰信息技术有限公司 | 可信策略学***台 |
| CN110473084A (zh) * | 2019-07-17 | 2019-11-19 | 中国银行股份有限公司 | 一种异常检测方法和装置 |
| CN112491779B (zh) * | 2019-09-12 | 2022-06-10 | 中移(苏州)软件技术有限公司 | 一种异常行为检测方法及装置、电子设备 |
| CN112491779A (zh) * | 2019-09-12 | 2021-03-12 | 中移(苏州)软件技术有限公司 | 一种异常行为检测方法及装置、电子设备 |
| CN110505247A (zh) * | 2019-09-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 攻击检测方法、装置、电子设备及存储介质 |
| CN111182533B (zh) * | 2019-12-06 | 2023-09-08 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及*** |
| CN111182533A (zh) * | 2019-12-06 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种互联网攻击团伙的定位方法及*** |
| CN111090885A (zh) * | 2019-12-20 | 2020-05-01 | 北京天融信网络安全技术有限公司 | 一种用户行为审计方法、装置、电子设备及存储介质 |
| CN111614611B (zh) * | 2020-04-01 | 2022-11-08 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN111614611A (zh) * | 2020-04-01 | 2020-09-01 | 中国电力科学研究院有限公司 | 一种用于电网嵌入式终端的网络安全审计方法及装置 |
| CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
| CN111565187A (zh) * | 2020-04-30 | 2020-08-21 | 深信服科技股份有限公司 | 一种dns异常检测方法、装置、设备及存储介质 |
| CN111597180A (zh) * | 2020-05-19 | 2020-08-28 | 山东汇贸电子口岸有限公司 | 一种基于存储过程的otrs***的数据清洗方法 |
| CN111639317B (zh) * | 2020-05-24 | 2023-05-09 | 中信银行股份有限公司 | 自动识别高危授权用户方法、装置、电子设备及存储介质 |
| CN111639317A (zh) * | 2020-05-24 | 2020-09-08 | 中信银行股份有限公司 | 自动识别高危授权用户方法、装置、电子设备及存储介质 |
| CN113742184A (zh) * | 2020-06-05 | 2021-12-03 | 国家计算机网络与信息安全管理中心 | 构建用户历史行为表示向量、用户行为异常检测方法及装置 |
| CN113742184B (zh) * | 2020-06-05 | 2024-03-26 | 国家计算机网络与信息安全管理中心 | 构建用户历史行为表示向量、用户行为异常检测方法及装置 |
| CN111858285B (zh) * | 2020-07-30 | 2024-03-12 | 北京达佳互联信息技术有限公司 | 视频操作行为的异常识别方法、装置、服务器及存储介质 |
| CN111858285A (zh) * | 2020-07-30 | 2020-10-30 | 北京达佳互联信息技术有限公司 | 视频操作行为的异常识别方法、装置、服务器及存储介质 |
| CN114416916A (zh) * | 2020-10-12 | 2022-04-29 | 中移动信息技术有限公司 | 异常用户检测方法、装置、设备及存储介质 |
| CN112565183A (zh) * | 2020-10-29 | 2021-03-26 | 中国船舶重工集团公司第七0九研究所 | 一种基于流式动态时间规整算法的网络流量异常检测方法及装置 |
| CN113419890A (zh) * | 2021-06-30 | 2021-09-21 | 中国银行股份有限公司 | 异常类型检测方法、装置、服务器及介质 |
| CN113556338A (zh) * | 2021-07-20 | 2021-10-26 | 龙海 | 一种计算机网络安全异常操作拦截方法 |
| CN113535823A (zh) * | 2021-07-26 | 2021-10-22 | 北京天融信网络安全技术有限公司 | 异常访问行为检测方法、装置及电子设备 |
| CN113535823B (zh) * | 2021-07-26 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 异常访问行为检测方法、装置及电子设备 |
| CN116049551B (zh) * | 2023-01-13 | 2023-08-25 | 北京景安云信科技有限公司 | 网页操作的识别管控*** |
| CN116049551A (zh) * | 2023-01-13 | 2023-05-02 | 北京景安云信科技有限公司 | 网页操作的识别管控*** |
| CN116886430A (zh) * | 2023-08-17 | 2023-10-13 | 奇墨科技(广州)有限公司 | 检测指标异常的方法 |
| CN116886430B (zh) * | 2023-08-17 | 2024-02-23 | 奇墨科技(广州)有限公司 | 检测指标异常的方法、装置及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109842628A (zh) | 一种异常行为检测方法及装置 | |
| US11343268B2 (en) | Detection of network anomalies based on relationship graphs | |
| US20180302425A1 (en) | Detecting fraud by correlating user behavior biometrics with other data sources | |
| JP2022512192A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
| Fischer et al. | NStreamAware: Real-time visual analytics for data streams to enhance situational awareness | |
| KR102542720B1 (ko) | 제로 트러스트 보안을 위한 행동 인터넷 기반 지능형 데이터 보안 플랫폼 서비스 제공 시스템 | |
| US8984633B2 (en) | Automated security analytics platform with visualization agnostic selection linked portlets | |
| US10200388B2 (en) | Automated security analytics platform with multi-level representation conversion for space efficiency and incremental persistence | |
| US20200042700A1 (en) | Automated threat alert triage via data provenance | |
| WO2014144081A1 (en) | Identity and asset risk score intelligence and threat mitigation | |
| US20180300465A1 (en) | Multiple input neural networks for detecting fraud | |
| JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
| CN109347808B (zh) | 一种基于用户群行为活动的安全分析方法 | |
| EP3742700B1 (en) | Method, product, and system for maintaining an ensemble of hierarchical machine learning models for detection of security risks and breaches in a network | |
| US11140123B2 (en) | Community detection based on DNS querying patterns | |
| US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
| US11315010B2 (en) | Neural networks for detecting fraud based on user behavior biometrics | |
| US20240089278A1 (en) | Anomalous network behaviour identification | |
| Vavilis et al. | An anomaly analysis framework for database systems | |
| CN113918938A (zh) | 一种持续免疫安全***的用户实体行为分析方法及*** | |
| CN112968873B (zh) | 一种用于隐私数据传输的加密方法和装置 | |
| JP6616045B2 (ja) | 異種混在アラートのグラフベース結合 | |
| JP6517468B2 (ja) | 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム | |
| CN110392032A (zh) | 检测异常url的方法、装置及存储介质 | |
| CN113923037B (zh) | 一种基于可信计算的异常检测优化装置、方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190604 |
|
| RJ01 | Rejection of invention patent application after publication |