CN111585830A - 一种用户行为分析方法、装置、设备及存储介质 - Google Patents
一种用户行为分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111585830A CN111585830A CN202010217855.5A CN202010217855A CN111585830A CN 111585830 A CN111585830 A CN 111585830A CN 202010217855 A CN202010217855 A CN 202010217855A CN 111585830 A CN111585830 A CN 111585830A
- Authority
- CN
- China
- Prior art keywords
- analyzed
- network
- data
- traffic
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书一个或多个实施例提供一种用户行为分析方法、装置、设备及存储介质,该方法包括:获取待分析网络流量;其中,所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;基于所述待分析网络流量,得到待分析标记数据;基于所述待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析;通过预先建立***性的常规流量模型,然后将获取的待分析网络流量处理得到待分析标记数据,将待分析标记数据与常规流量模型进行比对,对用户行为进行分析和监测,提高网络安全性。
Description
技术领域
本说明书一个或多个实施例涉及网络管理技术领域,尤其涉及一种用户行为分析方法、装置、设备及存储介质。
背景技术
随着科技进步和社会发展,物联网已发展成为大规模、多级数字监控网络,同时依托于视频监控的各类业务也被广泛应用,城市治安、交通监管、城市管理、安全生产、食品安全等工作都已离不开物联网。
随着网络应用的日益扩大,用户行为的网络安全问题成为日益突出的重要问题,亟需对用户行为进行分析和监测,以保证网络的安全。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种用户行为分析方法,以对用户行为进行分析和监测。
基于上述目的,本说明书一个或多个实施例第一方面提供了一种用户行为分析方法,所述方法包括:
获取待分析网络流量;其中,所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;
基于所述待分析网络流量,得到待分析标记数据;
基于所述待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
可选地,所述获取待分析网络流量,包括:
在交换机上分别设置源端口和目的端口;
基于所述交换机的端口镜像功能,将所述源端口的流量数据复制到所述目的端口;
采集复制到所述目的端口的流量数据,得到所述待分析网络流量。
可选地,所述基于所述待分析网络流量,得到待分析标记数据,包括:
将所述待分析网络流量进行处理,得到待分析暗数据;
将所述待分析暗数据进行特征化,得到待分析标记数据。
可选地,所述将所述待分析网络流量进行处理,得到待分析暗数据,包括:
对所述待分析网络流量进行抽取、转换及加载,得到待分析暗数据。
可选地,所述将所述待分析暗数据进行特征化,得到待分析标记数据,包括:
根据网络协议将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据访问端口将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据特征维度将所述待分析暗数据进行特征化,得到待分析标记数据;其中,所述特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。
可选地,所述常规流量模型包括应用模型;
所述应用模型的建立方法包括:
获取常规网络流量;其中,所述常规网络流量为局域网内不同网域之间进行网络会话时所产生的网络流量;
对所述常规网络流量进行抽取、转换及加载,得到常规暗数据;
将所述常规暗数据进行特征化处理,得到常规标记数据;其中,所述常规标记数据包括常规网络应用及其对应的常规应用流量;
基于所述常规网络应用及其对应的常规应用流量之间的对应关系,构建应用模型。
可选地,所述方法还包括:
将用户行为分析的结果进行可视化展示。
基于相同的目的,本说明书一个或多个实施例第二方面提供了一种用户行为分析装置,所述装置包括:
获取模块,用户获取待分析网络流量;其中,所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;
待分析标记数据获得模块,用于基于所述待分析网络流量,得到待分析标记数据;
分析模块,用于基于所述待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
可选地,所述获取模块,具体用于:
在交换机上分别设置源端口和目的端口;
基于所述交换机的端口镜像功能,将所述源端口的流量数据复制到所述目的端口;
采集复制到所述目的端口的流量数据,得到所述待分析网络流量。
可选地,所述待分析标记数据获得模块,包括:
待分析暗数据获取单元,用于将所述待分析网络流量进行处理,得到待分析暗数据;
待分析标记数据获取单元,用于将所述待分析暗数据进行特征化,得到待分析标记数据。
可选地,待分析暗数据获取单元,具体用于:
对所述待分析网络流量进行抽取、转换及加载,得到待分析暗数据。
可选地,待分析标记数据获取单元,具体用于:
根据网络协议将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据访问端口将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据特征维度将所述待分析暗数据进行特征化,得到待分析标记数据;其中,所述特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。
可选地,所述装置还包括模型建立模块,所述模型建立模块包括应用模型建立单元,所述应用模型建立单元,用于:
获取常规网络流量;其中,所述常规网络流量为局域网内不同网域之间进行网络会话时所产生的网络流量;
对所述常规网络流量进行抽取、转换及加载,得到常规暗数据;
将所述常规暗数据进行特征化处理,得到常规标记数据;其中,所述常规标记数据包括常规网络应用及其对应的常规应用流量;
基于所述常规网络应用及其对应的常规应用流量之间的对应关系,构建应用模型。
可选地,所述装置还包括客户化展示模块,用于将用户行为分析的结果进行可视化展示。
基于相同的目的,本说明书一个或多个实施例第三方面提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本说明书第一方面任意一项所述的方法。
基于相同的目的,本说明书一个或多个实施例第四方面提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行本说明书第一方面任一所述方法。
从上面所述可以看出,本说明书一个或多个实施例提供的用户行为分析方法、装置、设备及存储介质,首先获取局域网内不同网域之间进行网络会话时所产生的待分析网络流量,然后基于待分析网络流量得到待分析标记数据,最后将待分析标记数据与预先建立的常规流量模型进行比对,分析用户行为;通过预先建立***性的常规流量模型,然后将获取的待分析网络流量处理得到待分析标记数据,将待分析标记数据与常规流量模型进行比对,对用户行为进行分析和监测,提高网络安全性。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例提供的一种用户行为分析方法的流程示意图;
图2为本说明书一个或多个实施例提供的一种用户行为分析装置的结构示意图;
图3为本说明书一个或多个实施例提供的一种更为具体的电子设备硬件结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
随着科技进步和社会发展,物联网已发展成为大规模、多级数字监控网络,同时依托于视频监控的各类业务也被广泛应用,城市治安、交通监管、城市管理、安全生产、食品安全等工作都已离不开物联网。
随着网络应用的日益扩大,用户行为的网络安全问题成为日益突出的重要问题,亟需对用户行为进行分析和监测,以保证网络的安全。
用户行为分析,是指在获得网络访问量基本数据的情况下,对有关数据进行统计、分析,从中发现用户内部网络访问的规律,并将这些规律与终端设备、网络内部应用、防火墙访问控制策略等相结合,从而发现目前网络内部各类终端设备、用户应用、用户等在网络活动中可能存在的问题,并为进一步修正或重新制定防火墙访问控制策略、设备准入策略提供依据,为物联网的安全运行提供全方位的安全保护。
现有的用户行为分析存在缺乏***性定义、对网络用户流量行为的描述维度过高、在海量网络用户流量行为数据中分析单用户流量行为比较困难的问题。
为了解决上述问题,本说明书提供了一种用户行为分析方法、装置、设备及存储介质,通过获取局域网内不同网域之间进行网络会话时所产生的待分析网络流量,然后基于待分析网络流量得到待分析标记数据,最后将待分析标记数据与预先建立的常规流量模型进行比对,分析用户行为。该方法及装置可以应用于服务器,具体不做限定。
为了便于理解,下面结合附图对该电力信息统计方法进行详细说明。
图1为本说明书提供的用户行为分析方法的流程示意图,该方法包括:
S11、获取待分析网络流量;其中,待分析网络流量为局域网内不同网域之间进行网络会话时所产生的的流量。
本实施例中,局域网可以是企业内网,局域网内不同网域,可以是企业内网的用户域网络和应用服务与网络、企业的生产区网络和管理区网络等等,具体不做限定。
为了分析用户行为,需要首先获取用户行为的分析基础,即待分析网络流量。待分析网络流量为局域网内不同网域之间相互访问的网络流量数据。
S12、基于待分析网络流量,得到待分析标记数据。
本实施例中,待分析标记数据指进行了分类标记的待分析网络数据。
在获得待分析网络流量后,可以对待分析网络流量进行处理,以待分析网络流量为基础获得待分析标记数据。待分析标记数据中包括待分析网络应用及其对应的待分析应用流量。
关于以待分析网络流量为基础获得待分析标记数据的过程,后续将会进行详细说明,在此不再赘述。
S13、基于待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
本实施例中,常规流量模型包括应用模型、防火墙策略模型、安全防护模型。
获得待分析标记数据后,可以将待分析标记数据与预先建立的常规流量模型进行比对,从而分析用户行为。
一种情况下,可以将待分析标记数据与应用模型比对,分析待分析标记数据中包括的待分析网络应用是否为正常应用行为。
一种情况下,可以基于待分析标记数据,根据防火墙策略模型生成真实访问策略,然后与本电子设备中预先设置的防火墙访问策略进行比对,确定真实访问策略与预先设置的防火墙访问策略的差异。
一种情况下,可以将待分析标记数据与安全防护模型比对,通过时间、流量、源IP地址、目的IP地址、源端口、目的端口、协议等多个维度,分析出用户正常访问流量数据、用户异常访问数据及异常访问行为等,具体不做限定。
可以理解的是,通过预先建立***性的常规流量模型,然后将获取的待分析网络流量处理得到待分析标记数据,将待分析标记数据与常规流量模型进行比对,对用户行为进行分析和监测,提高网络安全性。
在实际应用中,为了分析用户行为,需要首先采集网络流量作为用户行为分析的基础,可以采用多种方式获取待分析网络流量,如可以通过透明网桥的方式采集待分析网络流量,或者采用镜像端口的方式采集待分析网络流量等等,具体不做限定。
则,在一些可能的实施方式中,获取待分析网络流量,包括:
在交换机上分别设置源端口和目的端口;
基于交换机的端口镜像功能,将源端口的流量数据复制到目的端口;
采集复制到目的端口的流量数据,得到待分析网络流量。
在实际应用中,为了获取待分析网络流量,可以在局部网的核心层或汇聚层上设置源端口和目的端口,目的端口为复制流量的端口,源端口为被复制流量的端口,根据具体需要源端口的数量可以为一个或多个,具体不做限定。
设置好源端口和目的端口后,可以基于交换机的端口镜像功能,将源端口的流量数据复制到目的端口;执行本方法的电子设备(以下简称本电子设备)设置有镜像端口,并且本电子设备内预先安装有抓包程序;将源端口的流量数据复制到目的端口后,可以通过网线将目的端口和本电子设备的镜像端口连接,则目的端口的流量数据传输至本电子设备的镜像端口,然后通过本电子设备上安装的抓包程序采集本电子设备的镜像端口的流量数据。
在实际应用中,可以采用H3C交换机或华为交换机,具体不做限定。
一种情况下,采用H3C交换机可以采用如下方式配置端口镜像:
1)创建端口镜像组。
<H3C-7500>system-view
[H3C-7500]mirroring-group 1local
2)配置镜像目的端口。
[H3C-7500]mirroring-group 1monitor-port GigabitEthernet 1/0/2
3)配置镜像源端口,同时指定被镜像报文的方向。
[H3C-7500]mirroring-group 1mirroring-port GigabitEthernet 1/0/1both。
一种情况下,采用华为交换机可以采用如下方式配置端口镜像:
1)创建端口镜像组。
<SWITCH>system-view
[SWITCH]mirroring-group 1local
2)配置镜像目的端口。
[SWITCH]mirroring-group 1monitor-port GigabitEthernet 1/0/2
3)配置镜像源端口,同时指定被镜像报文的方向。
可以理解的是,通过采用交换机镜像端口的方式采集待分析网络流量,采集的镜像流量数据既包括网络出口的流量数据,也包括网络入口的流量数据,并且可以采集多个源端口的流量数据,端口镜像的采集方式更能节省设备资源、有着更好的性能和可扩展性。
在实际应用中,得到待分析网络流量后,需要对待分析网络流量进一步处理用于后续与常规流量模型的比对;则,在一些可能的实施方式中,基于待分析网络流量,得到待分析标记数据,包括:
将待分析网络流量进行处理,得到待分析暗数据;
将待分析暗数据进行特征化,得到待分析标记数据。
即,为了将待分析网络流量与常规流量模型进行比对,以对用户行为记性分析,获得待分析网络流量后需要进一步处理得到暗数据,然后将暗数据进一步特征化后得到待分析标记数据。
在实际应用中,为了由待分析网络流量得到待分析暗数据,可以对待分析网络流量进行抽取、转换及加载,得到待分析暗数据;并且可以采用流量识别技术对待分析网络流量进行抽取、转换及加载,即可以首先采用流量采集组件依据http、tcp、udp等协议规范解析待分析网络流量得到待分析解析数据,运用redis内存数据库对待分析解析数据进行归一化和格式化转换得到待分析转换数据;然后运用数据持久化组件将待分析转换数据存储于大数据中心;加载分析时,运用MapReduce技术将待分析转换数据以<key,value>的格式加载至内存数据库得到待分析暗数据,用于分析计算。
在实际应用中,可以在本电子设备中预先安装流量采集组件、数据持久化组件、redis内存数据库及大数据中心;大数据中心存储的数据库可以采用MYSQL数据库和MONGODB数据库相结合的方法,具体不做限定。
由待分析网络流量获得待分析暗数据后,还需要进一步将待分析暗数据特征化得到待分析标记数据;可以采用基于MapReduce编程模型的文本分类技术,依据多种规则将待分析暗数据进行特征化得到待分析标记数据。
一种情况下,可以根据网络协议将待分析暗数据进行特征化,得到待分析标记数据。例如,可以根据TCP协议或UDP协议将待分析暗数据进行特征化,得到TCP数据或UDP数据,具体不做限定。
一种情况下,可以根据访问端口将待分析暗数据进行特征化,得到待分析标记数据。例如,可以根据ICMP、SNMP等访问端口将待分析暗数据特征化为网络协议数据,或可以根据DHCP、DNS、域控等访问端口将待分析暗数据特征化为基础服务数据,或可以根据ORALE、MYSQL、SQL SERVER等访问端口将待分析暗数据特征化为数据库数据,或可以根据飞秋、QQ、各种用户专用***、***、平台、模块、网站、项目等访问端口将待分析暗数据特征化为应用数据,具体不做限定。
一种情况下,可以根据特征维度将待分析暗数据进行特征化,得到待分析标记数据。例如,可以根据时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种将待分析暗数据进行特征化,得到待分析标记数据。
可以理解的是,通过将待分析网络流量转换为待分析标记数据,将网络流量转换为***性的具有统一格式且特征化分类的标记数据,降低了网络流量的描述维度,便于和常规流量模型进行比对。
在实际应用中,为了对用户行为进行分析,需要预先根据大量网络流量数据构建常规流量模型,且常规流量模型可以包括应用模型、防火墙策略模型和安全防护模型,具体不做限定。
应用模型的构建方法如下:
获取常规网络流量;其中,常规网络流量为局域网内不同网域之间进行网络会话时所产生的网络流量;
对常规网络流量进行抽取、转换及加载,得到常规暗数据;
将常规暗数据进行特征化处理,得到常规标记数据;其中,常规标记数据包括常规网络应用及其对应的常规应用流量;
基于常规网络应用及其对应的常规应用流量之间的对应关系,构建应用模型。
即,构建应用模型时,首先获取局域网内不同网域之间进行网络会话时所产生的大量常规网络流量;然后将常规网络流量进行抽取、转换及加载得到常规暗数据,进一步将常规暗数据特征化得到常规标记数据,常规标记数据包括常规网络应用及其对应的常规应用流量,即常规标记数据包括常规网络应用及其对应的常规应用流量之间的对应关系。
上述过程即为采用流量识别技术和基于MapReduce编程模型的文本分类技术,并利用redis内存数据库和数据持久化组件,由获得的常规网络流量中识别出常规网络应用及其对应的常规应用流量,且获得常规网络应用及其对应的常规应用流量之间的对应关系。
进一步常规网络应用及其对应的常规应用流量之间的对应关系可构建应用模型,即基于常规标记数据可以构建应用模型。在实际应用中,基于常规标记数据构建应用模型时,可以将常规标记数据分为训练数据和测试数据,训练数据用来作为构建初始应用模型的基础,测试数据用于对构建好的初始应用模型进行测试,修改初始模型中存在的问题,得到最终的应用模型。利用应用模型与待分析标记数据进行比对,可以待分析标记数据中包括的待分析网络应用是否为正常应用。
在实际应用中,构建防火墙策略模型时,可以首先建立防火墙白名单,防火墙白名单为从真实存在的应用访问关系列表中,建立符合应用逻辑的访问关系表。防火墙白名单的构建方法如下:
首先,对于已识别出常规网络应用的常规网络流量,按常规网络应用进行分类、整理、去重和排序等操作,生成部分防火墙白名单;然后,对于未识别出应用的常规网络流量,按目的IP进行分类、整理、去重和排序等操作,生成另一部分防火墙白名单;最后将上述两部分防火墙白名单进行整合即得完整的防火墙白名单,基于该防火墙白名单,结合安全域拓扑,即可得到白名单防火墙访问控制策略,即防火墙策略模型。
在实际应用中,可以基于待分析标记数据,根据防火墙策略模型生成真实访问策略,然后与本电子设备中预先设置的防火墙访问策略进行比对,确定真实访问策略与预先设置的防火墙访问策略的差异。
在实际应用中,安全防护模型的构建方法为:设置白名单策略,产生防护白名单数据;设置违规报警策略即黑名单策略,产生违规报警数据即黑名单数据;对于常规网络流量,进行防护白名单和违规报警数据的处理,使常规网络流量逐渐归类于防护白名单和违规报警数据;当防护白名单和黑名单数据足够多,“可疑行为”足够少时,对于网络内部产生的新的或未知的网络镜像流量,会第一时间在“可疑行为”界面展示。通过违规报警数据的产生,可发现内部网络中的违规报警行为。通过对违规报警行为的处理,增加内部网络***的防御能力;通过对“可疑行为”的监控,完成对内部网络安全防护的监控,可及时发现内部网络的违规报警行为。
将待分析标记数据与安全防护模型比对,可以通过时间、流量、源IP地址、目的IP地址、源端口、目的端口、协议等多个维度,分析出用户正常访问流量数据、用户异常访问数据及异常访问行为等,
可以理解的是,将待分析标记数据分别与应用模型、防火墙策略模型及安全防护模型比对,可以对用户行为进行更精准的分析,及时发现异常行为,保证局域网的安全性。
在实际应用中,为了更直观的获得用户行为分析结果,可以将用户行为分析结果进行展示;则,在一些可能的实施方式中,该方法还包括:
将用户行为分析的结果进行可视化展示。
在实际应用中,根据网络应用的方向不同,可以分为不同的模块进行展示;例如,展示用户行为分析的结果时,可以分为应用识别展示、访问控制策略展示、违规报警展示、异常访问行为展示等模型,具体不做限定。还可以根据不同的维度,展示用户行为分析的结果;例如,可以分别从时间、流量、包数、源IP地址、目的IP地址、源端口、目的端口、协议等维度展示用户行为分析的结果,具体不做限定。
可以理解的是,通过将用户行为分析的结果进行可视化展示,能够更便利直观的获取用户行为分析结果,对于对用户异常行为更快做出反应,维护局域网安全。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
图2为本说明书提供的一种用户行为分析装置的结构示意图;如图2所示,该装置包括:
获取模块21,用户获取待分析网络流量;其中,待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;
待分析标记数据获得模块22,用于基于待分析网络流量,得到待分析标记数据;
分析模块23,用于基于待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
在一些可能的实施方式中,获取模块21,具体用于:
在交换机上分别设置源端口和目的端口;
基于交换机的端口镜像功能,将源端口的流量数据复制到目的端口;
采集复制到目的端口的流量数据,得到待分析网络流量。
在一些可能的实施方式中,待分析标记数据获得模块21,包括:
待分析暗数据获取单元,用于将待分析网络流量进行处理,得到待分析暗数据;
待分析标记数据获取单元,用于将待分析暗数据进行特征化,得到待分析标记数据。
在一些可能的实施方式中,待分析暗数据获取单元,具体用于:
对待分析网络流量进行抽取、转换及加载,得到待分析暗数据。
在一些可能的实施方式中,待分析标记数据获取单元,具体用于:
根据网络协议将待分析暗数据进行特征化,得到待分析标记数据;
或,
根据访问端口将待分析暗数据进行特征化,得到待分析标记数据;
或,
根据特征维度将待分析暗数据进行特征化,得到待分析标记数据;其中,特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。
在一些可能的实施方式中,该装置还包括模型建立模块(图中未示出),模型建立模块包括应用模型建立单元,应用模型建立单元,用于:
获取常规网络流量;其中,常规网络流量为局域网内不同网域之间进行网络会话时所产生的网络流量;
对常规网络流量进行抽取、转换及加载,得到常规暗数据;
将常规暗数据进行特征化处理,得到常规标记数据;其中,常规标记数据包括常规网络应用及其对应的常规应用流量;
基于常规网络应用及其对应的常规应用流量之间的对应关系,构建应用模型。
在一些可能的实施方式中,该装置还包括客户化展示模块(图中未示出),用于将用户行为分析的结果进行可视化展示。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
本说明书还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任意一项所述的用户行为分析方法。
图3示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作***和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述任一所述的用户行为分析方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种用户行为分析方法,其特征在于,所述方法包括:
获取待分析网络流量;其中,所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;
基于所述待分析网络流量,得到待分析标记数据;
基于所述待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
2.根据权利要求1所述的用户行为分析方法,其特征在于,所述获取待分析网络流量,包括:
在交换机上分别设置源端口和目的端口;
基于所述交换机的端口镜像功能,将所述源端口的流量数据复制到所述目的端口;
采集复制到所述目的端口的流量数据,得到所述待分析网络流量。
3.根据权利要求1所述的用户行为分析方法,其特征在于,所述基于所述待分析网络流量,得到待分析标记数据,包括:
将所述待分析网络流量进行处理,得到待分析暗数据;
将所述待分析暗数据进行特征化,得到待分析标记数据。
4.根据权利要求3所述的用户行为分析方法,其特征在于,所述将所述待分析网络流量进行处理,得到待分析暗数据,包括:
对所述待分析网络流量进行抽取、转换及加载,得到待分析暗数据。
5.根据权利要求3所述的用户行为分析方法,其特征在于,所述将所述待分析暗数据进行特征化,得到待分析标记数据,包括:
根据网络协议将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据访问端口将所述待分析暗数据进行特征化,得到待分析标记数据;
或,
根据特征维度将所述待分析暗数据进行特征化,得到待分析标记数据;其中,所述特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。
6.根据权利要求1所述的用户行为分析方法,其特征在于,所述常规流量模型包括应用模型;
所述应用模型的建立方法包括:
获取常规网络流量;其中,所述常规网络流量为局域网内不同网域之间进行网络会话时所产生的网络流量;
对所述常规网络流量进行抽取、转换及加载,得到常规暗数据;
将所述常规暗数据进行特征化处理,得到常规标记数据;其中,所述常规标记数据包括常规网络应用及其对应的常规应用流量;
基于所述常规网络应用及其对应的常规应用流量之间的对应关系,构建应用模型。
7.根据权利要求1所述的用户行为分析方法,其特征在于,所述方法还包括:
将用户行为分析的结果进行可视化展示。
8.一种用户行为分析装置,其特征在于,所述装置包括:
获取模块,用户获取待分析网络流量;其中,所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量;
待分析标记数据获得模块,用于基于所述待分析网络流量,得到待分析标记数据;
分析模块,用于基于所述待分析标记数据,根据预先建立的常规流量模型,进行用户行为分析。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至7任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010217855.5A CN111585830A (zh) | 2020-03-25 | 2020-03-25 | 一种用户行为分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010217855.5A CN111585830A (zh) | 2020-03-25 | 2020-03-25 | 一种用户行为分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111585830A true CN111585830A (zh) | 2020-08-25 |
Family
ID=72114870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010217855.5A Pending CN111585830A (zh) | 2020-03-25 | 2020-03-25 | 一种用户行为分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111585830A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810943A (zh) * | 2021-09-09 | 2021-12-17 | 国网信息通信产业集团有限公司北京分公司 | 智能视觉检测***及方法 |
| CN114363843A (zh) * | 2020-10-13 | 2022-04-15 | 阿里巴巴集团控股有限公司 | 话单采集方法及*** |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130139247A1 (en) * | 2011-11-29 | 2013-05-30 | Bayshore Networks, Inc. | Firewall apparatus, systems, and methods employing detection of application anomalies |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测***及检测方法 |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN109462617A (zh) * | 2018-12-29 | 2019-03-12 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
| CN109561051A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | 内容分发网络安全检测方法及*** |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护*** |
| CN109951462A (zh) * | 2019-03-07 | 2019-06-28 | 中国科学院信息工程研究所 | 一种基于全息建模的应用软件流量异常检测***及方法 |
-
2020
- 2020-03-25 CN CN202010217855.5A patent/CN111585830A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130139247A1 (en) * | 2011-11-29 | 2013-05-30 | Bayshore Networks, Inc. | Firewall apparatus, systems, and methods employing detection of application anomalies |
| CN106656991A (zh) * | 2016-10-28 | 2017-05-10 | 上海百太信息科技有限公司 | 一种网络威胁检测***及检测方法 |
| CN109561051A (zh) * | 2017-09-26 | 2019-04-02 | 中兴通讯股份有限公司 | 内容分发网络安全检测方法及*** |
| CN107749859A (zh) * | 2017-11-08 | 2018-03-02 | 南京邮电大学 | 一种面向网络加密流量的恶意移动应用检测方法 |
| CN109600317A (zh) * | 2018-11-25 | 2019-04-09 | 北京亚鸿世纪科技发展有限公司 | 一种自动识别流量并提取应用规则的方法及装置 |
| CN109889476A (zh) * | 2018-12-05 | 2019-06-14 | 国网冀北电力有限公司信息通信分公司 | 一种网络安全防护方法和网络安全防护*** |
| CN109462617A (zh) * | 2018-12-29 | 2019-03-12 | 北京威努特技术有限公司 | 一种局域网中设备通讯行为检测方法及装置 |
| CN109951462A (zh) * | 2019-03-07 | 2019-06-28 | 中国科学院信息工程研究所 | 一种基于全息建模的应用软件流量异常检测***及方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114363843A (zh) * | 2020-10-13 | 2022-04-15 | 阿里巴巴集团控股有限公司 | 话单采集方法及*** |
| CN113810943A (zh) * | 2021-09-09 | 2021-12-17 | 国网信息通信产业集团有限公司北京分公司 | 智能视觉检测***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10255370B2 (en) | Automated compliance checking through analysis of cloud infrastructure templates | |
| US8874736B2 (en) | Event extractor | |
| WO2015113450A1 (zh) | 一种可视化网络运维方法和装置 | |
| US9933772B2 (en) | Analyzing SCADA systems | |
| CN111522922A (zh) | 日志信息查询方法、装置、存储介质及计算机设备 | |
| US9596266B1 (en) | Apparatuses, methods and systems for a real-time cyber threat indicator verification mechanism | |
| CN106484611B (zh) | 基于自动化协议适配的模糊测试方法和装置 | |
| CN110750458A (zh) | 大数据平台测试方法、装置、可读存储介质及电子设备 | |
| US11856426B2 (en) | Network analytics | |
| CN111176202A (zh) | 工业控制网络的安全管理方法、装置、终端设备及介质 | |
| CN111585830A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| Rosa et al. | A comparative study of correlation engines for security event management | |
| CN109254922A (zh) | 一种服务器BMC Redfish功能的自动化测试方法及装置 | |
| CN114448830A (zh) | 一种设备检测***及方法 | |
| CN113111951A (zh) | 数据处理方法以及装置 | |
| CN113923192A (zh) | 一种流量审计方法、装置、***、设备和介质 | |
| CN112653693A (zh) | 一种工控协议分析方法、装置、终端设备及可读存储介质 | |
| CN116389099A (zh) | 威胁检测方法、装置、电子设备及存储介质 | |
| CN113419971B (zh) | 安卓***服务漏洞检测方法及相关装置 | |
| US9329960B2 (en) | Methods, systems, and computer readable media for utilizing abstracted user-defined data to conduct network protocol testing | |
| CN112882948A (zh) | 一种应用的稳定性测试方法、装置、***及存储介质 | |
| CN109462617B (zh) | 一种局域网中设备通讯行为检测方法及装置 | |
| US11102091B2 (en) | Analyzing SCADA systems | |
| CN116032581A (zh) | 网络设备安全管理方法及电子设备 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20210301 Address after: 102209 room 539, 5 / F, block C, State Grid Park, future science city, Changping District, Beijing Applicant after: STATE GRID SIJI NETWORK SECURITY (BEIJING) Co.,Ltd. Applicant after: BEIJING BRANCH OF STATE GRID INFORMATION AND COMMUNICATION INDUSTRY GROUP Co.,Ltd. Applicant after: BEIJING ELECTRIC POWER ECONOMIC TECHNOLOGY RESEARCH INSTITUTE Co.,Ltd. Applicant after: STATE GRID BEIJING ELECTRIC POWER Co. Applicant after: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Applicant after: STATE GRID CORPORATION OF CHINA Address before: 102209 room 539, 5 / F, block C, State Grid Park, future science city, Changping District, Beijing Applicant before: STATE GRID SIJI NETWORK SECURITY (BEIJING) Co.,Ltd. Applicant before: BEIJING BRANCH OF STATE GRID INFORMATION AND COMMUNICATION INDUSTRY GROUP Co.,Ltd. Applicant before: BEIJING ELECTRIC POWER ECONOMIC TECHNOLOGY RESEARCH INSTITUTE Co.,Ltd. Applicant before: STATE GRID INFORMATION & TELECOMMUNICATION GROUP Co.,Ltd. Applicant before: STATE GRID CORPORATION OF CHINA |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200825 |
|
| RJ01 | Rejection of invention patent application after publication |