CN110909380A - 一种异常文件访问行为监控方法和装置 - Google Patents
一种异常文件访问行为监控方法和装置 Download PDFInfo
- Publication number
- CN110909380A CN110909380A CN201911094271.7A CN201911094271A CN110909380A CN 110909380 A CN110909380 A CN 110909380A CN 201911094271 A CN201911094271 A CN 201911094271A CN 110909380 A CN110909380 A CN 110909380A
- Authority
- CN
- China
- Prior art keywords
- log
- user
- monitoring
- file
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明一种异常文件访问行为监控方法,用以解决针对Linux服务器的异常文件删除、修改等行为的识别。该方法如下步骤:从历史日志中学习生成用户访问权限白名单;基于流式数据,通过多种***日志关联分析,识别出流式数据中的文件访问行为;基于所述用户访问权限白名单过滤,识别异常删除、修改行为。该装置包含日志采集单元、离线训练单元和行为监控单元。与现有技术相比,本发明的有益效果是:1)可监控更加广泛的文件***;2)通过机器学习算法生成白名单,过滤正常访问行为,减少误报率;3)基于流处理框架进行实时检测。
Description
技术领域
本发明涉及日志大数据领域,尤其涉及一种异常文件访问行为监控方法和装置。
背景技术
在操作***运行过程中,用户的每次操作都会留下痕迹,这就是日志,每个日志文件由日志记录组成,其中每条日志记录对应一个单独发生的事件。日志***是操作***中一个非常重要的组成部分。它可以记录下用户产生的所有行为并按照规范格式表达出来。这种记录下来的信息,对于***状态监控、***安全审计和用户行为监控有着十分重要的意义。
现有的基于日志的安全审计方法多是建立在日志记录完整的前提下,对多粒度的异常行为进行识别,具有极大的局限性,无法在攻击者实施攻击后删除或修改日志文件擦出攻击痕迹的情况下有效识别出攻击行为。因此,如何对文件***进行监控,识别出非法删除修改行为是目前日志安全审计研究必须考虑的一个问题。
在生产环境中,通常服务器集群的正常使用者会有一定的群组性特征,同一群组内的使用者具有相似业务背景,即具有相似访问行为。
发明内容
根据上述研究背景和问题,本发明提供了一种异常文件访问行为监控方法和装置,用于对服务器集群进行安全审计,过滤正常用户对文件的访问行为,准确识别出用户对文件的异常访问行为。
一种异常文件访问行为监控方法具体步骤如下:
步骤1、配置监控日志
配置实时的记录用户操作命令及部分用户属性信息的日志记录,所记录的用户属性信息可自定义,范围包括但不限于:用户名,用户远端IP,操作发生时间,操作发生目录,操作目标文件,操作命令。
步骤2、采集***历史日志
采集的***日志包括但不限于:定制的监控文件访问行为的日志和定制的记录用户操作命令的日志。
步骤3、计算用户相似度
提取每个用户对不同文件的访问行为,定义用户的向量表示:n维向量,其中n为所有文件的总数,若用户访问过该文件,则相应位置置为1,反之,置为0。
步骤4、获取用户访问权限优先级排序
基于步骤3得到的相似度矩阵,以相似度为权重加权计算所有邻居用户对所有文件的访问系数并累加,作为当前用户文件访问权限优先级排序。其中访问系数定义如下:若用户访问过该文件,则系数为1,反之,系数为0。
步骤5、提取用户访问权限白名单
考虑到该名单应包含所有用户在历史数据中显式访问过的文件,该名单不应毫无根据的或一概而论的扩充所有用户的访问权限。基于上述事实情况,在生成白名单时,从用户文件访问权限优先级排序中选取包含历史数据中当前用户显式访问的所有日志文件的最小top N集合,作为该用户的访问权限列表,即该用户访问权限白名单。
步骤6、实时监控***日志
基于Spark Streaming流处理框架接收流式日志数据,通过Spark的微批处理机制实现对***日志的实时监控。
步骤7、多源日志关联识别文件访问行为。
通过多***日志关联分析,识别流式日志数据中包含的文件访问行为,具体过程:基于流式数据,关联记录用户操作的日志和定制的监控日志,对于每条从监控日志中得到的记录,在记录用户操作的日志中查找满足以下条件的记录:监控日志中记录的时间戳比该条记录用户操作的日志中的记录的时间大,但是不超过一个很短的时间,这一时间阈值可根据***实际情况自行调整并给出默认推荐值。可以认为在这一时间范围内的记录用户操作的日志中的日志记录可能存在与该条监控日志记录对应同一操作行为的记录。对比监控日志与记录用户操作的日志中记录的操作执行目录、操作命令与操作目标日志等信息,找到与监控日志记录相应的记录用户操作的日志中的记录。从上述两种日志中识别用户进行的文件删改操作。
步骤8、白名单过滤
将上述文件访问行为基于上述白名单进行过滤,过滤掉用户对权限内的文件进行访问的访问行为,得到最终异常文件访问行为。
步骤9、提取输出结果信息并输出
从最终异常文件访问行为日志中提取多维度输出信息,包括但不限于用户名、登录时的远端IP、操作命令、操作执行目录、操作目标文件及是否成功删除或修改等信息,最终输出或持久化到包括但不限于消息队列,数据库,文件***或分布式文件***。
与现有技术相比,本发明的有益效果是:
1)可监控更加广泛的文件***。
2)通过生成白名单,过滤正常访问行为,减少误报率。
3)基于流处理框架进行实时检测。
附图说明
图1是本发明异常文件访问行为监控的流程图。
图2是本发明异常文件访问行为装置的原理图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明一种异常文件访问行为监控方法,包括:
步骤1、配置监控日志
配置实时的记录用户操作命令及部分用户属性信息的日志记录,所记录的用户属性信息可自定义,范围包括但不限于:用户名,用户远端IP,操作发生时间,操作发生目录,操作目标文件,操作命令。
步骤2、采集***历史日志
采集的***日志包括但不限于:定制的监控文件访问行为的日志和定制的记录用户操作命令的日志,分别发送历史日志数据到数据库***(Hadoop Database,HBase)、发送实时日志数据到分布式发布订阅消息***(Kafka)。
步骤3、计算用户相似度
从数据库***(Hadoop Database,HBase)获取历史日志数据提取每个用户对不同文件的访问行为,定义用户的向量表示:n维向量,其中n为所有文件的总数,若用户访问过该文件,则相应位置置为1,反之,置为0。计算所有用户两两之间的相似度,并生成相似度矩阵。距离度量根据需要可选择欧包括但不限于几里德距离、皮尔逊相关系数或Cosine相似度,计算原则:
欧几里德距离(Euclidean Distance)
当用欧几里德距离表示相似度,一般采用以下公式进行转换:距离越小,相似度越大。
皮尔逊相关系数(Pearson Correlation Coefficient)
其中n为向量的维度,sx,sy是x和y的样品标准偏差。
Cosine相似度(Cosine Similarity)
其中x、y是两个不同用户的向量表示,xi和yi表示两个用户向量的第i维取值。
步骤4、获取用户访问权限优先级排序
基于步骤3得到的相似度矩阵,以相似度为权重加权计算所有邻居用户对所有文件的访问系数并累加,作为当前用户文件访问权限优先级排序。其中访问系数定义如下:若用户访问过该文件,则系数为1,反之,系数为0。
步骤5、提取用户访问权限白名单
考虑到该名单应包含所有用户在历史数据中显式访问过的文件,该名单不应毫无根据的或一概而论的扩充所有用户的访问权限。基于上述事实情况,在生成白名单时,从用户文件访问权限优先级排序中选取包含历史数据中当前用户显式访问的所有日志文件的最小top N集合,作为该用户的访问权限列表,即该用户访问权限白名单。
步骤6、实时监控***日志
从分布式发布订阅消息***(Kafka)中实时消费日志数据,并转换为SparkStreaming数据流,基于Spark Streaming流处理框架接收流式日志数据,通过Spark的微批处理机制实现对***日志的实时监控。
步骤7、多源日志关联识别文件访问行为。
通过多***日志关联分析,识别流式日志数据中包含的文件访问行为,具体过程:基于流式数据,关联记录用户操作的日志和定制的监控日志,对于每条从监控日志中得到的记录,在记录用户操作的日志中查找满足以下条件的记录:监控日志中记录的时间戳比该条记录用户操作的日志中的记录的时间大,但是不超过一个很短的时间,这一时间阈值可根据***实际情况自行调整并给出默认推荐值。可以认为在这一时间范围内的记录用户操作的日志中的日志记录可能存在与该条监控日志记录对应同一操作行为的记录。对比监控日志与记录用户操作的日志中记录的操作执行目录、操作命令与操作目标日志等信息,找到与监控日志记录相应的记录用户操作的日志中的记录。从上述两种日志中识别用户进行的文件删改操作。
步骤8、白名单过滤
将上述文件访问行为基于上述白名单进行过滤,过滤掉用户对权限内的文件进行访问的访问行为,得到最终异常文件访问行为。
步骤9、提取输出结果信息并输出
从最终异常文件访问行为日志中提取多维度输出信息,包括但不限于用户名、登录时的远端IP、操作命令、操作执行目录、操作目标文件及是否成功删除或修改等信息,最终输出或持久化到包括但不限于从分布式发布订阅消息***(Kafka),数据库(postgreSQL),文件***或分布式文件***(Hadoop Database File System,HDFS)。
相应地,本发明提供了一种异常文件访问行为监控装置,如图1所示,包括:
日志采集单元101、离线训练单元102及行为监控单元103;
日志采集单元101,包括:分布式文件***(Hadoop Distributed File System,HDFS)、数据库***(Hadoop Database,HBase)及分布式发布订阅消息***(Kafka),分别向离线训练单元102和行为监控单元103提供数据接口,分别发送历史日志数据到数据库***(Hadoop Database,HBase)、发送实施日志数据到分布式发布订阅消息***(Kafka);
离线训练单元102,从日志采集单元101提供的数据接口数据库***(HadoopDatabase,HBase)获取历史日志数据1011,基于spark大数据平台,依次完成如下步骤:提取用户访问文件列表1021、计算用户邻居节点列表1022、计算用户访问权限列表1023、生成用户访问文件白名单1024;
生成用户访问文件白名单1024输出用户访问文件白名单到数据库(postgreSQL);
行为监控单元103,从日志采集单元101提供的数据接口分布式发布订阅消息***(Kafka)中实时消费日志数据1012,并转换为Spark Streaming数据流,基于SparkStreaming流处理框架,依次进行多日志关联分析1031、识别所有文件删改行为1032、识别非法文件删改行为1033;
识别非法文件删改行为1033从数据库(postgreSQL)读取生成用户访问文件白名单1024步骤生成的用户访问文件白名单。
综上,本发明包括了基于相似度的用户访问权限白名单补全研究和基于多源日志关联的文件访问行为识别研究,其中:
基于相似度的用户访问权限白名单补全研究,是从历史数据提取每个用户对不同文件的访问次数,作为该用户的向量表示,计算所有用户两两之间的相似度,计算原则包括但不限于欧几里得距离、皮尔逊相关系数等,生成相似度矩阵。基于用户相似度,计算所有用户的邻居用户,并根据邻居用户相似度为权重加权计算获得当前用户对所有文件的访问权限,获取用户访问权限优先级排序。考虑到该名单应包含所有用户在历史数据中显式访问过的文件,该名单不应毫无根据的或一概而论的扩充所有用户的访问权限。基于上述事实情况,在生成白名单时,从选取包含历史数据中当前用户显式访问的所有日志文件的最小top N集合,作为该用户的访问权限列表,即该用户访问权限白名单。
基于多源日志关联的文件访问行为识别研究,则是基于流式数据,关联记录用户操作的日志和定制的监控日志,对于每条从监控日志中得到的记录,在记录用户操作的日志中查找满足以下条件的记录:监控日志中记录的时间戳比该条记录用户操作的日志中的记录的时间大,但是不超过一个很短的时间,这一时间阈值可根据***实际情况自行调整并给出默认推荐值。可以认为在这一时间范围内的记录用户操作的日志中的记录记录可能存在与该条监控日志记录描述同一操作行为的记录。对比监控日志与记录用户操作的日志中记录的操作执行目录、操作命令与操作目标日志等信息,找到与监控日志记录相应的记录用户操作的日志中的记录。从上述两种日志中识别用户进行的日志删改操作,并提取多维度信息并输出。
本发明的异常日志访问行为识别,支持用户自定义的配置监控策略,实现对目标日志或目录的访问行为监控,通过多源日志融合,从流式数据中识别出异常日志访问行为,并提取出包括但不限于操作用户名,登录时的远端IP,操作命令,操作执行目录,操作目标文件及是否删除或修改成功等多维度信息。同时,采用基于用户的协同过滤算法,从历史数据中挖掘学习用户访问日志文件权限白名单,极大的减少了检测过程中的误报率,提供更加精确的识别结果。
Claims (10)
1.一种异常文件访问行为监控方法,其特征在于,包括:
步骤1、配置监控日志
配置实时的记录用户操作命令及部分用户属性信息的日志记录;
配置监控日志访问行为的日志记录;
步骤2、采集***历史日志
步骤3、计算用户相似度
提取每个用户对不同文件的访问行为,定义用户的向量表示为n维向量,其中n为所有文件的总数,若用户访问过该文件,则相应位置置为1,反之,置为0,计算所有用户两两之间的相似度,根据需要选择距离度量,并生成相似度矩阵;
步骤4、获取用户访问权限优先级排序
基于步骤3得到的相似度矩阵,以相似度为权重加权计算所有邻居用户对所有文件的访问系数并累加,作为当前用户文件访问权限优先级排序,其中访问系数定义如下:若用户访问过该文件,则系数为1,反之,系数为0;
步骤5、提取用户访问权限白名单
在生成白名单时,从用户文件访问权限优先级排序中选取包含历史数据中当前用户显式访问的所有日志文件的最小top N集合,作为该用户的访问权限列表,即该用户访问权限白名单;
步骤6、实时监控***日志
基于Spark Streaming流处理框架接收流式日志数据,通过Spark的微批处理机制实现对***日志的实时监控;
步骤7、多源日志关联识别文件访问行为
通过多***日志关联分析,识别流式日志数据中包含的文件访问行为;
步骤8、白名单过滤
将所述文件访问行为基于所述白名单进行过滤,过滤掉用户对权限内的文件进行访问的访问行为,得到最终异常文件访问行为;
步骤9、提取输出结果信息并输出。
2.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤1中,所记录的用户属性信息根据需求自定义,范围包括:用户名、用户远端IP、操作发生时间、操作发生目录、操作目标文件以及操作命令中的任意一种或几种;所述监控日志访问行为包括:利用audit审计工具,对指定的文件或文件目录进行监控,记录对指定文件或文件目录的修改行为。
3.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤2中,采集的***日志包括:定制的记录用户操作命令的日志和定制的监控文件访问行为的日志。
4.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤3中,用户相似度计算选择的距离度量包括欧几里德距离、皮尔逊相关系数或Cosine相似度。
5.根据权利要求4所述异常文件访问行为监控方法,其特征在于,所述欧几里德距离(Euclidean Distance)计算方法如下
当用欧几里德距离表示相似度,则采用以下公式进行转换:
距离越小,相似度越大;
其中x、y是两个不同用户的向量表示,xi和yi表示两个用户向量的第i维取值;
所述皮尔逊相关系数(Pearson Correlation Coefficient)计算方法如下
其中sx,sy是x和y的样品标准偏差;
所述Cosine相似度(Cosine Similarity)计算方法如下
6.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤5中,所述最小top N集合,指的是:在排序后的用户访问权限列表中,顺序遍历,直到找到包含历史数据中当前用户显示访问的所有日志文件的最小下标,即为N值,所得到的最小序列即为最小top N序列。
7.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤7中,基于流式数据,关联记录用户操作的日志和定制的监控日志,对于每条从监控日志中得到的记录,在记录用户操作的日志中查找满足以下条件的记录:监控日志中记录的时间戳比该条记录用户操作的日志中的记录的时间大,但是不超过一个预设的时间阈值,这一时间阈值可根据***实际情况自行调整并给出默认推荐值;在这一时间范围内的记录用户操作的日志中的日志记录可能存在与该条监控日志记录对应同一操作行为的记录,对比监控日志与记录用户操作的日志中记录的包括操作执行目录、操作命令与操作目标日志在内的信息,找到与监控日志记录相应的记录用户操作的日志中的记录,从两种日志中识别用户进行的文件删改操作。
8.根据权利要求1所述异常文件访问行为监控方法,其特征在于,所述步骤9中,从最终异常文件访问行为日志中提取多维度输出信息,包括用户名、登录时的远端IP、操作命令、操作执行目录、操作目标文件及是否成功删除或修改等信息,最终输出或持久化到包括但不限于消息队列,数据库,文件***或分布式文件***。
9.一种异常文件访问行为监控装置,其特征在于,包括:
日志采集单元,用于配置***日志,并采集服务器日志,发送到数据流中供行为识别单元使用;
离线训练单元,用于从历史数据中提取用户访问权限白名单;
行为监控单元,实时监控数据流,从中识别出异常文件访问行为。
10.根据权利要求8所述异常文件访问行为监控装置,其特征在于,所述日志采集单元还包括:
日志配置子单元,用于根据需求配置记录用户操作的日志和定制的监控日志。
日志监控子单元,用于通过脚本监控目标日志文件,采集日志更新信息。
日志发送子单元,用于将采集到的更新日志发送到消息队列,供行为监控单元后续处理;
所述离线训练单元从历史日志数据中学习用户行为特征,基于相似度对用户邻居节点进行划分,学习完整的用户访问权限;
所述行为监控单元还包括:
流式数据接收子单元,用于消费消息队列数据,并将数据对接到Spark Streaming数据流,供检测子单元处理。
检测子单元,用于从流式数据中识别出异常文件访问行为,并提取多维度输出信息;
结果输出子单元,用于将提取到的输出信息输出或持久化到包括但不限于消息队列,数据库,文件***或分布式文件***。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911094271.7A CN110909380B (zh) | 2019-11-11 | 2019-11-11 | 一种异常文件访问行为监控方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911094271.7A CN110909380B (zh) | 2019-11-11 | 2019-11-11 | 一种异常文件访问行为监控方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110909380A true CN110909380A (zh) | 2020-03-24 |
| CN110909380B CN110909380B (zh) | 2021-10-19 |
Family
ID=69817145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911094271.7A Active CN110909380B (zh) | 2019-11-11 | 2019-11-11 | 一种异常文件访问行为监控方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110909380B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111768283A (zh) * | 2020-07-01 | 2020-10-13 | 厦门力含信息技术服务有限公司 | 一种改进型协同过滤算法模型的财务大数据分析方法 |
| CN112241551A (zh) * | 2020-09-30 | 2021-01-19 | 航天信息股份有限公司 | 一种面向数据库访问的用户行为管控方法及*** |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008051736A2 (en) * | 2006-10-12 | 2008-05-02 | Honeywell International Inc. | Architecture for unified threat management |
| CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
| CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试***和方法 |
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰***有限公司 | 提供用于访问控制的智能组的***和方法 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN106411947A (zh) * | 2016-11-24 | 2017-02-15 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
| US20170063906A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Complex event processing of computer network data |
| CN107026851A (zh) * | 2017-03-22 | 2017-08-08 | 西安电子科技大学 | 一种基于流式数据处理的实时***保护方法 |
| CN107196976A (zh) * | 2017-07-27 | 2017-09-22 | 元清信息技术(上海)有限公司 | 一种基于视频协议的审计网关及其方法和*** |
| CN107493277A (zh) * | 2017-08-10 | 2017-12-19 | 福建师范大学 | 基于最大信息系数的大数据平台在线异常检测方法 |
| CN107707541A (zh) * | 2017-09-28 | 2018-02-16 | 小花互联网金融服务(深圳)有限公司 | 一种流式的基于机器学习的攻击行为日志实时检测方法 |
| CN107957716A (zh) * | 2016-10-17 | 2018-04-24 | 费希尔-罗斯蒙特***公司 | 用于将过程控制数据流式传输到远程设备的方法和*** |
| CN108021715A (zh) * | 2017-12-29 | 2018-05-11 | 西安交通大学 | 基于语义结构特征分析的异构标签融合*** |
| CN109388538A (zh) * | 2018-09-13 | 2019-02-26 | 西安交通大学 | 一种基于内核的文件操作行为监控方法及装置 |
| US20190268302A1 (en) * | 2016-06-10 | 2019-08-29 | Sophos Limited | Event-driven malware detection for mobile devices |
-
2019
- 2019-11-11 CN CN201911094271.7A patent/CN110909380B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008051736A2 (en) * | 2006-10-12 | 2008-05-02 | Honeywell International Inc. | Architecture for unified threat management |
| CN101650768A (zh) * | 2009-07-10 | 2010-02-17 | 深圳市永达电子股份有限公司 | 基于自动白名单的Windows终端安全保障方法与*** |
| CN103119907A (zh) * | 2010-07-21 | 2013-05-22 | 思杰***有限公司 | 提供用于访问控制的智能组的***和方法 |
| CN103023710A (zh) * | 2011-09-21 | 2013-04-03 | 阿里巴巴集团控股有限公司 | 一种安全测试***和方法 |
| CN104333553A (zh) * | 2014-11-11 | 2015-02-04 | 安徽四创电子股份有限公司 | 一种基于黑白名单组合的海量数据权限控制策略 |
| CN106156628A (zh) * | 2015-04-16 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种用户行为分析方法及装置 |
| US20170063906A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Complex event processing of computer network data |
| US20170063896A1 (en) * | 2015-08-31 | 2017-03-02 | Splunk Inc. | Network Security System |
| US20190268302A1 (en) * | 2016-06-10 | 2019-08-29 | Sophos Limited | Event-driven malware detection for mobile devices |
| CN106295355A (zh) * | 2016-08-11 | 2017-01-04 | 南京航空航天大学 | 一种面向Linux服务器的主动安全保障方法 |
| CN107957716A (zh) * | 2016-10-17 | 2018-04-24 | 费希尔-罗斯蒙特***公司 | 用于将过程控制数据流式传输到远程设备的方法和*** |
| CN106411947A (zh) * | 2016-11-24 | 2017-02-15 | 广州华多网络科技有限公司 | 一种实时阈值自适应流量预警方法及装置 |
| CN107026851A (zh) * | 2017-03-22 | 2017-08-08 | 西安电子科技大学 | 一种基于流式数据处理的实时***保护方法 |
| CN107196976A (zh) * | 2017-07-27 | 2017-09-22 | 元清信息技术(上海)有限公司 | 一种基于视频协议的审计网关及其方法和*** |
| CN107493277A (zh) * | 2017-08-10 | 2017-12-19 | 福建师范大学 | 基于最大信息系数的大数据平台在线异常检测方法 |
| CN107707541A (zh) * | 2017-09-28 | 2018-02-16 | 小花互联网金融服务(深圳)有限公司 | 一种流式的基于机器学习的攻击行为日志实时检测方法 |
| CN108021715A (zh) * | 2017-12-29 | 2018-05-11 | 西安交通大学 | 基于语义结构特征分析的异构标签融合*** |
| CN109388538A (zh) * | 2018-09-13 | 2019-02-26 | 西安交通大学 | 一种基于内核的文件操作行为监控方法及装置 |
Non-Patent Citations (8)
| Title |
|---|
| HWEJOO LEE: "A Data Streaming Performance Evaluation using Resource Constrained Edge Device", 《ICTC 2017》 * |
| LOVELIFE110: "基于***日志分析进行异常检测", 《HTTPS://BLOG.CSDN.NET/QQ_3873431/ARTICLE/DETAILS/102950527》 * |
| PINGHUI WANG: "Inferring Higher-Order Structure Statistics of Large Networks from Sampled Edges", 《IEEE TRANSACTIONS ON KNOWLEDGE AND DATA ENGINEERING》 * |
| STEFAN NUESCH: "Real-Time Anomaly Detection in Water Distribution Networks using Spark Streaming", 《HTTPS://EXASCALE.INFO/ASSERTS/PDF/STUDENTS/NEUSCH_SPARK_STREAMING.PDF》 * |
| 李哲: "基于关联规则的日志分析***的研究与设计", 《微型电脑应用》 * |
| 李扬: "一种基于用户行为相似度的协同推荐算法", 《第6届全国人机交互学术会议(CHCI2010)》 * |
| 蒋宏宇: "多源网络安全日志数据融合与可视分析方法研究", 《西南科技大学学报》 * |
| 陈万志: "结合白名单过滤和神经网络的工业控制网络入侵检测方法", 《计算机应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111768283A (zh) * | 2020-07-01 | 2020-10-13 | 厦门力含信息技术服务有限公司 | 一种改进型协同过滤算法模型的财务大数据分析方法 |
| CN112241551A (zh) * | 2020-09-30 | 2021-01-19 | 航天信息股份有限公司 | 一种面向数据库访问的用户行为管控方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110909380B (zh) | 2021-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11822640B1 (en) | User credentials verification for search | |
| CN110691070B (zh) | 一种基于日志分析的网络异常预警方法 | |
| CN112528279B (zh) | 一种入侵检测模型的建立方法和装置 | |
| CN110933115B (zh) | 基于动态session的分析对象行为异常检测方法及装置 | |
| CN108282460B (zh) | 一种面向网络安全事件的证据链生成方法及装置 | |
| CN111027615A (zh) | 基于机器学习的中间件故障预警方法和*** | |
| CN110909380B (zh) | 一种异常文件访问行为监控方法和装置 | |
| CN114548706A (zh) | 一种业务风险的预警方法以及相关设备 | |
| US11509669B2 (en) | Network data timeline | |
| CN111866196A (zh) | 一种域名流量特征提取方法、装置、设备及可读存储介质 | |
| CN111935064A (zh) | 一种工控网络威胁自动隔离方法及*** | |
| CN112256880A (zh) | 文本识别方法和装置、存储介质及电子设备 | |
| CN113141276A (zh) | 一种基于知识图谱的信息安全方法 | |
| CN117221087A (zh) | 告警根因定位方法、装置及介质 | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| Skopik et al. | Online log data analysis with efficient machine learning: A review | |
| CN112583847B (zh) | 一种面向中小企业网络安全事件复杂分析的方法 | |
| CN117176482B (zh) | 一种大数据网络安全防护方法及*** | |
| CN113901441A (zh) | 一种用户异常请求检测方法、装置、设备及存储介质 | |
| CN116599743A (zh) | 4a异常绕行检测方法、装置、电子设备及存储介质 | |
| CN111340075B (zh) | 一种ics的网络数据检测方法及装置 | |
| CN117527401A (zh) | 用于流量日志的网络攻击识别方法及其装置、电子设备 | |
| CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 | |
| CN115001781B (zh) | 一种终端网络状态安全监测方法 | |
| US10223529B2 (en) | Indexing apparatus and method for search of security monitoring data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |