CN111818050A - 目标访问行为检测方法、***、装置、设备及存储介质 - Google Patents
目标访问行为检测方法、***、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111818050A CN111818050A CN202010652958.4A CN202010652958A CN111818050A CN 111818050 A CN111818050 A CN 111818050A CN 202010652958 A CN202010652958 A CN 202010652958A CN 111818050 A CN111818050 A CN 111818050A
- Authority
- CN
- China
- Prior art keywords
- data
- time
- similarity
- access
- time series
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 174
- 230000000737 periodic effect Effects 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 30
- 239000012634 fragment Substances 0.000 claims abstract description 26
- 230000006399 behavior Effects 0.000 claims description 118
- 230000004044 response Effects 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 17
- 238000000605 extraction Methods 0.000 claims description 16
- 230000000977 initiatory effect Effects 0.000 claims description 16
- 230000015654 memory Effects 0.000 claims description 15
- 238000007781 pre-processing Methods 0.000 claims description 14
- 230000000007 visual effect Effects 0.000 claims description 14
- 230000001186 cumulative effect Effects 0.000 claims description 7
- 238000004422 calculation algorithm Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 238000004590 computer program Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 10
- 230000002093 peripheral effect Effects 0.000 description 10
- 230000001133 acceleration Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000001914 filtration Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000010606 normalization Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012216 screening Methods 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- 238000009499 grossing Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 239000000919 ceramic Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000006641 stabilisation Effects 0.000 description 1
- 238000011105 stabilization Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种目标访问行为检测方法、装置、设备及存储介质,属于网络安全技术领域。方法包括:对时间序列特征数据进行周期检测,得到时间序列特征数据对应的访问周期;根据访问周期,对时间序列特征数据进行分段,得到至少两个数据片段;对至少两个数据片段进行相似性检测;响应于相似性检测的检测结果指示时间序列特征数据为周期性相似数据,确定时间序列特征数据对应的行为属于目标访问行为。上述技术方案,通过周期检测获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种目标访问行为检测方法、***、装置、设备及存储介质。
背景技术
在网络安全技术领域,可疑外网IP周期连接(Recurring Rare IP Access)是指在特定的局域网内部(如企业内网),在某段历史时间中,存在某个主机有周期性地访问外部稀有IP(Internet Protocol,网际互连协议)的行为,且该局域网内部的其他主机几乎没有或者从不访问该稀有IP。可疑外网IP周期性连接行为属于远程控制(Command&Control)攻击手段,及时的检测出可疑外网IP周期性连接行为可以有效的保护特定的局域网的安全。
目前,由于可疑外网IP周期连接具有一定的周期性,因此可以根据人为设定的周期对访问数据进行采样分段,然后计算每段的均值方差,基于统计规则来判断是否包含周期分量,从而检测是否为可疑外网IP周期连接。
上述技术方案,人为设定的周期很容易被绕过,从而无法检测出可疑外网IP周期性连接行为。
发明内容
本申请实施例提供了一种目标访问行为检测方法、***、装置、设备及存储介质,通过对时间序列特征数据进行周期检测,来获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。技术方案如下:
一方面,提供了一种目标访问行为检测方法,方法包括:
对时间序列特征数据进行周期检测,得到所述时间序列特征数据对应的访问周期,所述时间序列特征数据用于表示目标时长内的网络访问数据的特征;
根据所述访问周期,对所述时间序列特征数据进行分段,得到至少两个数据片段;
对所述至少两个数据片段进行相似性检测;
响应于所述相似性检测的检测结果指示所述时间序列特征数据为周期性相似数据,确定所述时间序列特征数据对应的行为属于目标访问行为。
另一方面,提供了一种目标访问行为检测装置,装置包括:
周期检测模块,用于对时间序列特征数据进行周期检测,得到所述时间序列特征数据对应的访问周期,所述时间序列特征数据用于表示目标时长内的网络访问数据的特征;
数据划分模块,用于根据所述访问周期,对所述时间序列特征数据进行分段,得到至少两个数据片段;
相似性检测模块,用于对所述至少两个数据片段进行相似性检测;
确定模块,用于响应于所述相似性检测的检测结果指示所述时间序列特征数据为周期性相似数据,确定所述时间序列特征数据对应的行为属于目标访问行为。
在一种可选的实现方式中,所述周期检测模块,用于将所述时间序列特征数据转换为频域数据;根据所述频域数据的幅频关系,确定幅值最高的访问频率为访问周期。
在一种可选的实现方式中,所述相似性检测模块,包括:
相似度获取子模块,用于分别获取时间相邻的两个数据片段之间的相似度;
目标数据片段获取子模块,用于获取相似度不大于相似度阈值的数据片段作为目标数据片段;
检测结果获取子模块,用于响应于所述目标数据片段在所述至少两个数据片段中所占的比例大于目标比例,确定所述时间序列特征数据为周期性相似数据作为检测结果。
在一种可选的实现方式中,所述相似度获取子模块,包括:
动态时间规整距离获取单元,用于对于任意时间相邻的两个数据片段,获取所述两个数据片段之间的动态时间规整距离,所述动态时间规整距离用于表示两个数据片段之间最短的累积欧式距离;
相似度确定单元,用于根据所述动态时间规整距离,确定所述两个数据片段之间的相似度。
在一种可选的实现方式中,所述相似度确定单元,用于获取所述时间序列特征数据的序列长度;根据所述序列长度,对所述动态时间规整距离进行归一化,得到所述两个数据片段之间的相似度。
在一种可选的实现方式中,所述确定模块,用于响应于所述检测结果指示所述时间序列特征数据为周期性相似数据,获取所述时间序列特征数据包括的目标访问地址,所述目标访问地址为访问指向的地址;获取对照数据包括的目标发起地址的第一数量,所述对照数据为非目标访问行为的时间序列特征数据,所述目标发起地址为向所述目标访问地址发起访问的地址;响应于所述第一数量不大于预设的第二数量,确定所述时间序列特征数据对应的行为属于目标访问行为。
在一种可选的实现方式中,所述装置还包括:
日志数据获取模块,用于获取目标时长内的流量日志数据;
数据预处理模块,用于对所述流量日志数据进行预处理,得到待检测的所述网络访问数据;
特征提取模块,用于对所述网络访问数据进行特征提取,得到至少一条时间序列特征数据。
在一种可选的实现方式中,所述装置还包括:
数据转换模块,用于将所述时间序列特征数据转换为可视化数据;
展示模块,用于在可视化展示界面对所述可视化数据进行展示。
另一方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器用于存储至少一段程序代码,所述至少一段程序代码由所述处理器加载并执行以实现本申请实施例中的目标访问行为检测方法中所执行的操作。
另一方面,提供了一种存储介质,所述存储介质中存储有至少一段程序代码,所述至少一段程序代码用于执行本申请实施例中的目标访问行为检测方法。
另一方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机程序代码,该计算机程序代码存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序代码,处理器执行该计算机程序代码,使得该计算机设备执行上述方面或者上述方面的各种可选实现方式中提供的目标访问行为检测方法。
本申请实施例提供的技术方案带来的有益效果是:
在本申请实施例中,通过对时间序列特征数据进行周期检测,来获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例提供的一种目标访问行为检测方法的实施环境示意图;
图2是根据本申请实施例提供的一种目标访问行为检测方法的流程图;
图3是根据本申请实施例提供的一种目标访问行为检测方法的流程图;
图4是根据本申请实施例提供的一种时域数据转换为频域数据的示意图;
图5是本申请实施例提供的一种DWT距离的示意图;
图6是根据本申请实施例提供的另一种目标访问行为检测方法的流程图;
图7是根据本申请实施例提供的一种目标访问行为检测***的示意图;
图8是根据本申请实施例提供的一种可视化展示界面的示意图;
图9是根据本申请实施例提供的一种检测场景配置界面的示意图;
图10是根据本申请实施例提供的一种目标访问行为检测装置的框图;
图11是根据本申请实施例提供的一种终端的结构框图;
图12是根据本申请实施例提供的一种服务器的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
为了便于理解本申请实施例的技术过程,下面对本申请实施例所涉及的一些名词进行解释:
云安全(Cloud Security)是指基于云计算商业模式应用的安全软件、硬件、用户、机构、安全云平台的总称。云安全融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,并发送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云安全主要研究方向包括:1.云计算安全,主要研究如何保障云自身及云上各种应用的安全,包括云计算机***安全、用户数据的安全存储与隔离、用户接入认证、信息传输安全、网络攻击防护、合规审计等;2.安全基础设施的云化,主要研究如何采用云计算新建与整合安全基础设施资源,优化安全防护机制,包括通过云计算技术构建超大规模安全事件、信息采集与处理平台,实现对海量信息的采集与关联分析,提升全网安全事件把控能力及风险控制能力;3.云安全服务,主要研究各种基于云计算平台为用户提供的安全服务,如防病毒服务等。
可疑外网IP周期连接(Recurring Rare IP Access)是指在特定的局域网内部(如企业内网),在某段历史时间中,存在某个主机有周期性地访问外部稀有IP(InternetProtocol,网际互连协议)的行为,且该局域网内部的其他主机几乎没有或者从不访问该稀有IP。
传输控制协议(TCP,TransmissionControlProtocol),是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC793定义。TCP旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠TCP提供可靠的通信服务。TCP假设它可以从较低级别的协议获得简单的,可能不可靠的数据报服务。原则上,TCP应该能够在从硬线连接到分组交换或电路交换网络的各种通信***之上操作。
以下,对本申请的实施环境进行介绍。
在本申请实施例中,电子设备能够被提供为终端或者服务器,可选的,当电子设备被提供为终端时,由该终端实现目标访问行为检测方法所执行的操作;可选的,当被提供为服务器时,由该服务器实现目标访问行为检测方法所执行的操作,该服务器接收终端发送的网络访问数据,由服务器基于接收到的网络访问数据进行特征提取和检测,得到检测结果;可选的,通过由该服务器和终端交互来实现目标访问行为检测方法所执行的操作。
图1是根据本申请实施例提供的一种目标访问行为检测方法的实施环境示意图。以电子设备被提供为服务器为例,参见图1,该实施环境包括终端110和服务器120。
终端110以及服务器120可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。终端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端110可以基于局域网内部(如企业内网)分配的内网IP(Internet Protocol,网际互连协议)来访问外网IP,以浏览外网内容。
服务器120可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。服务器120用于提供时间序列特征数据的检测、存储等服务。可选地,服务器120可以承担主要检测工作,终端110可以承担次要检测工作;或者,服务器120承担次要检测工作,终端110承担主要检测工作;或者,服务器120或终端110分别可以单独承担检测工作;或者,服务器120和终端110之间采用分布式检测架构进行协同检测。
可选地,服务器120可以由接入服务器、后台服务器和数据库服务器构成。接入服务器用于为终端110提供接入服务。后台服务器用于提供检测服务。后台服务器可以是一台或多台。当后台服务器是多台时,存在至少两台后台服务器用于提供不同的服务,和/或,存在至少两台后台服务器用于提供相同的服务,比如以负载均衡方式提供同一种服务,本申请实施例对此不加以限定。
终端110可以泛指多个终端中的一个,本实施例仅以终端110来举例说明。不同终端对应的内网IP不同。本领域技术人员可以知晓,上述终端的数量可以更多或更少。比如上述终端可以为一个,或者上述终端为几十个或几百个,或者更多数量。本申请实施例对终端的数量和设备类型不加以限定。
图2是根据本申请实施例提供的一种目标访问行为检测方法的流程图。如图2所示,该目标访问行为检测方法包括以下步骤:
201、计算机设备对时间序列特征数据进行周期检测,得到时间序列特征数据对应的访问周期,该时间序列特征数据用于表示目标时长内的网络访问数据的特征。
在本申请实施例中,在检测内网IP访问外网IP的行为是否属于目标访问行为,如可疑外网IP周期连接行为时,服务器能够针对该内网IP和外网IP获取目标时长内的网络访问数据,然后对该网络访问数据进行特征提取,得到时间序列特征数据。可选的,时间序列特征数据包括发起访问的第一地址,访问指向的第二地址,发起访问的时间戳以及访问期间的数据传输值,服务器将内网IP作为发起访问的第一地址,将外网IP作为访问指向的第二地址。计算机设备能够对获取的时间序列特征数据进行周期检测,以确定该时间序列特征数据对应的访问周期。由于该访问周期是基于算法自动获取的,避免了人为设定的周期容易被绕过的问题。
202、计算机设备根据访问周期,对时间序列特征数据进行分段,得到至少两个数据片段。
在本申请实施例中,计算机设备能够基于获取到的访问周期对时间序列特征数据进行分段。例如访问周期为T,时间序列特征数据对应的目标时长为N,则计算机设备能够将访问数据分成N/T个数据片段。其中,N和T为正整数。如果N/T小于2,则表示该时间序列特征数据为无周期序列,不需要再进行后续步骤。如果N/T大于等于2,则表示该时间序列特征数据为周期序列,执行步骤203。
203、计算机设备对至少两个数据片段进行相似性检测。
在本申请实施例中,计算机设备在得到至少两个数据片段后,能够比较时间相邻的两个数据片段的相似度。可选的,在有M个数据片段时,计算机设备能够获得M-1个相似度,并将该M-1个相似度以列表形式存储。其中,M为正整数。计算机设备能够通过该列表中存储的各相似度与预设的相似度阈值之间的大小关系,确定各数据片段是否相似。计算机设备能够根据相似的数据片段在各数据片段中的占比,来确定相似性检测的检测结果。该检测结果能够表示时间序列特征数据为周期性相似序列或者周期性序列。
204、响应于相似性检测的检测结果指示时间序列特征数据为周期性相似数据,计算机设备确定该时间序列特征数据对应的行为属于目标访问行为。
在本申请实施例中,计算机设备在得到相似性检测的检测结果后,在基于检测结果确定该时间序列特征数据为周期性相似数据时,即可确定该时间序列特征数据对应的行为属于目标访问行为。可选的,计算机设备在基于检测结果确定该时间序列特征数据为周期性相似数据时,还能够基于该时间序列特征数据中包括的访问指向的地址,对该时间序列特征数据进行过滤,以减少误检测的发生,提高检测的准确率。
在本申请实施例中,通过对时间序列特征数据进行周期检测,来获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。
在本申请实施例中,由计算机设备来实施本申请实施例提供的技术方案,该计算机设备能够被配置为服务器,也能够被配置为终端。当然还能够通过服务器和终端的交互来实施本申请实施例提供的技术方案,本申请实施例对此不进行限制。
图3是根据本申请实施例提供的一种目标访问行为检测方法的流程图,如图3所示,在本申请实施例中以计算机设备被配置为服务器为例进行说明。该目标访问行为检测方法包括以下步骤:
301、服务器对待检测的网络访问数据进行特征提取,得到至少一条时间序列特征数据。
在本申请实施例中,用户通过特定的局域网内部(如企业内网)与外网进行数据交换时,服务器能够记录发起数据交换的双方的IP地址、发起时间、结束时间、数据传输量等内容,并以流量日志的形式进行存储。在进行目标访问行为的检测时,服务器能够获取一定时间段内记录的流量日志,得到目标时长对应的流量日志,然后对该流量日志进行预处理操作,过滤得到由内部IP指向外部IP的数据作为待检测的网络访问数据,该待检测的网络访问数据为目标时长内的网络访问数据。服务器在对网络访问数据进行特征提取时,能够以发起访问的内网IP为源IP,以访问指向的外网IP为目标IP进行特征提取,提取的特征值为数据传输量的大小。服务器能够将源IP、外网IP、发起网络访问的时间戳以及数据传输量作为时间序列特征数据。
例如,服务器获取的待检测的网络访问数据为三个小时的网络访问数据,该网络访问数据包括多个源IP以及对应的目的IP,针对每一源IP和对应的目的IP,服务器提取该源IP发起访问的时间戳,然后以z分钟为粒度,累积在z分钟内TCP的bytes_toserver传输数据量的大小。其中,z的范围为1≤z≤60,z∈Z+。服务器以src_ip表示源IP,以dest_ip表示目的IP,以timestamp表示时间戳,时间戳以分钟为单位;以data_vol表示数据传输量,数据传输量以千字节为单位;得到时间序列特征数据{src_ip:**.130.14.**,dest_ip:**.98.75.**,timestamp:30,data_vol:1000}。
需要说明的是,服务器能够通过平滑滤波器对得到的至少一条时间序列特征数据进行降噪平滑处理,以减少该时间序列特征数据的噪声,使其变化较为平滑。另外,若该时间序列特征数据为稀疏的时间序列特征数据,则不做降噪平滑处理。其中,稀疏的时间特征数据的判定标准是:该时间序列特征数据中包括的特征值的0范数占比大于98%时,判定为稀疏的时间序列特征数据。0范数表示向量中非零元素的个数。
302、对于任一时间序列特征数据,服务器对该时间序列特征数据进行周期检测,得到时间序列特征数据对应的访问周期。
在本申请实施例中,服务器能够通过周期检测算法来检测时间序列特征数据的周期性,获取时间序列特征数据的访问周期。可选的,该周期检测算法为FFT(Fast FourierTransform,快速傅里叶变换)。可选的,服务器能够通过FFT将该时间序列特征数据由时域数据转换为频域数据,然后服务器根据该频域数据的幅频关系,来确定访问周期。由于对于周期时不变的时间序列,基于FFT能够准确高效的检测出周期性,提高周期检测的效率和准确性。
例如,参见图4所示,图4是根据本申请实施例提供的一种时域数据转换为频域数据的示意图。转换前为时间序列特征数据对应的图,该时间序列特征数据的周期为1440分钟,经过FFT转换后的数据为幅频图,相应的,幅度最高的点对应的横坐标为1440,即频率为1440。
需要说明的是,FFT对时变信号以及非周期时间序列特征数据进行周期检测,得到的访问周期需要进行进一步的验证。参见步骤303。
303、服务器根据访问周期,对时间序列特征数据进行分段,得到至少两个数据片段。
在本申请实施例中,服务器在得到访问周期后,能够基于该访问周期,将对应于目标时长的时间序列特征数据分成若干个数据片段,得到至少两个数据片段。如果进行分段后,服务器得到的数据片段少于两个,则表示该该时间序列特征数据为无周期序列,不需要再进行后续检测步骤。
例如,访问周期为T,时间序列特征数据对应的目标时长为N,则计算机设备能够将访问数据分成N/T个数据片段。其中,N和T为正整数。如果N/T小于2,则表示该时间序列特征数据为无周期序列,不需要再进行后续步骤。如果N/T大于等于2,则表示该时间序列特征数据为周期序列,继续执行后续步骤。
304、服务器对至少两个数据片段进行相似性检测。
在本申请实施例中,服务器能够根据各数据片段之间是否相似,来判断整个时间序列特征数据是否为周期性相似数据。
在一种可选的实现方式中,服务器能够分别获取时间相邻的两个数据片段之间的相似度。然后,获取相似度不大于相似度阈值的数据片段作为目标数据片段。响应于目标数据片段在至少两个数据片段中所占的比例大于目标比例,服务器能够确定该时间序列特征数据为周期性相似数据作为检测结果;响应于目标数据片段在至少两个数据片段中所占的比例不大于目标比例,服务器能够确定时间序列特征数据为周期性数据作为检测结果。其中,目标比例可以为50%、60%以及70%等,本申请实施例对此不进行限制。通过在相似度不大于相似度阈值的数据片段所占的比例大于目标比例时,确定整个时间序列特征数据为周期性相似序列,而在相似度不大于相似度阈值的数据片段所占的比例不大于目标比例时,确定整个时间序列特征数据为周期性序列,从而能够过滤掉具有周期性但不具有相似性的时间序列特征数据,提高了检测结果的准确性。
在一种可选的实现方式中,服务器能够通过DWT(Dynamic Time Warping,动态时间规整)算法来确定数据片段之间的相似度。相应的,服务器分别获取时间相邻的两个数据片段之间的相似度的步骤为:对于任意时间相邻的两个数据片段,服务器能够获取该两个数据片段之间的动态时间规整距离,该动态时间规整距离用于表示两个数据片段之间最短的累积欧式距离。然后服务器能够根据该动态时间规整距离,确定该两个数据片段之间的相似度。通过计算两个数据片段之间的DWT距离,能够较为准确的反应两个数据片段之间的相似程度。
例如,参见图5所示,图5是本申请实施例提供的一种DWT距离的示意图。如图5所示,有两个时间序列特征数据x(t1)和y(t2),两个时间序列特征数据对应的时间长度分别为n和m,则可以组成一个n×m的矩阵D(i,j),其中,,每个矩阵的值d(i,j)=|x(i)-y(j)|为x(i)和y(j)的欧式距离。DWT能够获取从D(0,0)到D(n,m)之间的最短路径
该最短路径即为上述两个时间序列特征数据x(t1)和y(t2)的相似度值。
需要说明的是,由于DTW对于稀疏的时间序列特征数据的相似性检测的参考性较低。因此为了确保检测的有效性,对于稀疏的时间序列特征数据进行单独的统计对比。而对于非稀疏的时间序列特征数据进行DTW相似度计算。其中,稀疏的时间特征数据的判定标准是:该时间序列特征数据中包括的特征值的0范数占比大于98%时,判定为稀疏的时间序列特征数据。0范数表示向量中非零元素的个数。
在一种可选的实现方式中,由于DTW的计算结果受到多个因素的影响,而相似度阈值的设定与DTW的计算结果相关,因此服务器在计算DTW之前,先对所有时间序列特征数据进行归一化操作。然后将DTW与时间序列特征数据的长度作为相似度值。相应的,服务器根据动态时间规整距离,确定两个数据片段之间的相似度的步骤为:服务器能够获取时间序列特征数据的序列长度,然后根据该序列长度,对动态时间规整距离进行归一化,得到两个数据片段之间的相似度。由于DTW是两个序列最短的累积欧式距离,当序列长度越长,那么累加值就越大,通过用DTW值除以时间序列特征数据的长度,能够使得不同时间序列特征数据的标准统一。
例如,相似度值表示为
其中,length(x)表示时间序列特征数据的序列长度。当两个数据片段的相似度不大于相似度阈值,即相似度阈值大于相似度时,表示两个数据片段相似,否则不相似。则对于整个时间序列特征数据来说,在有N个数据片段时,服务器能够得到N-1个相似度,该N-1个相似度存储在dist_list列表中。当列表中超过50%的相似度表示数据片段为相似时,则确定时间序列特征数据为周期性相似序列,否则确定为周期序列。
305、响应于相似性检测的检测结果指示时间序列特征数据为周期性相似数据,服务器确定该时间序列特征数据对应的行为属于目标访问行为。
在本申请实施例中,若检测结果指示时间序列特征数据为周期性相似数据,则表示该时间序列特征数据中包括的源IP周期性访问同一个目的IP,且传输数据量的大小相似,基于此,服务器能够确定该时间序列特征数据对应的行为,即源IP周期性访问同一个目的IP的行为属于目标访问行为。该目标方位行为指的是可疑外网IP周期连接行为。
在一种可选的实现方式中,服务器还能够根据对照数据对该时间序列特征数据进行进一步的筛选。相应的,服务器响应于检测结果指示时间序列特征数据为周期性相似数据,确定时间序列特征数据对应的行为属于目标访问行为的步骤为:响应于检测结果指示时间序列特征数据为周期性相似数据,服务器能够获取该时间序列特征数据包括的目标访问地址,该目标访问地址为访问指向的地址。然后,服务器能够获取对照数据包括的访问该目标访问地址的目标发起地址的第一数量,该对照数据为非目标访问行为的时间序列特征数据。响应于第一数量不大于预设的第二数量,服务器能够确定该时间序列特征数据对应的行为属于目标访问行为。通过基于对照数据来对书剑序列特征数据进行进一步的筛选,排除正常的访问行为对应的时间序列特征数据,能够提高检测结果的准确性。
例如,服务器将被检测为周期性相似数据的时间序列特征数据作为可疑数据,对于可疑数据中包括的所有目的IP中的任一目的IP,也即访问指向的外网IP地址,服务器统计固定时间,如24小时内,正常流量即确定为非目标访问行为的时间序列特征数据中访问该目的IP的源IP的数量,通过去重计数得到第一数量normal_count。如果该第一数量大于预设的第二数量mormal_th,则判定该目的IP被访问次数较多,访问该目的IP的行为不属于目标访问行为,否则属于目标访问行为。
306、响应于相似性检测的检测结果指示时间序列特征数据为周期性数据,服务器确定该时间序列特征数据对应的行为不属于目标访问行为。
需要说明的是,上述步骤301至步骤306是本申请提供的目标访问行为检测方法的可选实现方式,相应的,该目标访问行为检测方法还有其他可选的实现方式,例如参见图6所示,图6是根据本申请实施例提供的另一种目标访问行为检测方法的流程图。如图6所示,包括以下步骤:601、TCP流量预处理;602、TCP数据特征提取;603、构建时间序列特征数据;604、FFT周期性检测;605、DTW相似性检测;606、筛选策略对结果进行过滤;607、对过滤剩余的时间序列特征数据进行排序。本申请实施例对此不进行限制。
需要说明的是,上述目标访问行为检测方法能够应用于目标访问行为检测***中,如图7所示,该***包括数据接入处理层、特征提取层、算法层、策略层以及归一化输出层。相应的,该目标访问行为检测***的工作流程为:701、TCP流量预处理;702、特征提取;703、构建时间序列特征数据以及周期检测和相似性检测;704、确定时间序列特征数据对应的行为是否属于目标访问行为;705、时间序列特征数据转换为可视化数据;706、页面展示。
其中,数据接入预处理层,用于获取流量日志数据,调度预处理任务对流量日志数据进行预处理,得到待检测的网络访问数据。相应的,数据接入预处理层得到待检测的网络访问数据的步骤参见上述步骤301,在此不再赘述。
需要说明的是,数据接入预处理层在对流量日志数据进行预处理时,还可以设置关键字段,对流量日志进行进一步的过滤,以得到符合检测任务要求的网络访问数据。
特征提取层,用于调度特征提取任务对网络访问数据进行特征提取,得到至少一条时间序列特征数据。当对流量日志的预处理操作完成时,特征提取层能够调度特征提取任务,将处理好的网络访问数据送入特征提取模块,进行特征提取,得到时间序列特征数据。还能够用于对时间序列特征数据中的缺失值进行填充以及排序。相应的,特征提取层进行特征提取的步骤参见上述步骤301,在此不再赘述。
算法层,用于调度算法任务对至少一条时间序列特征数据分别进行检测,获取至少一个检测结果,该检测结果用于指示对应的时间序列特征数据是否为周期性相似数据。其中检测过程包括周期检测和相似性检测两个步骤,则算法层,用于对于任一时间序列特征数据,对该时间序列特征数据进行周期检测,得到访问周期;根据该访问周期,对该时间序列特征数据进行分段,得到至少两个数据片段;对该至少两个数据片段进行相似性检测,获取检测结果。相应的,算法层进行检测的步骤可以参见上述步骤302至步骤304,在此不再赘述。
策略层,用于调度策略任务,根据至少一个检测结果对至少一条时间序列特征数据进行过滤,得到对应的行为属于目标访问行为的时间序列特征数据。相应的,策略层对至少一条时间序列特征数据进行过滤的步骤可以参见上述步骤305,在此不再赘述。
需要说明的是,策略层还能够设置白名单、动态策略等过滤方式对至少一条时间序列特征数据进行过滤,本申请实施例对此不进行限制。
归一化输出层,用于调度归一化任务,将对应的行为属于目标访问行为的时间序列特征数据转换为可视化数据,可视化数据用于进行可视化展示。还能够用于举证数据拉取、归一化以及将数据写入数据库等,数据库可以为mysql、kafka(由Apache软件基金会开发的一个开源流处理平台)或者ES(Elasticsearch是一个基于Lucene的搜索服务器)等。
例如,参见图8所示,图8是根据本申请实施例提供的一种可视化展示界面的示意图。如图8所示,包括排序在前10的外网IP对应的选项卡。用户通过点击界面左侧展示的任一选项卡,即可在界面右侧上方展示该外网IP被访问的日期的图像,在界面右侧下方展示访问该外网IP的至少一个内网IP的选项卡,用户通过点击任一内网IP对应的选项卡,可以观看该内网IP访问该外网IP的统计数据。
需要说明的是,用户在使用该目标访问行为检测***进行目标访问行为检测检测时,可以通过检测场景配置界面自定义配置检测内容,该检测场景配置界面包括特征数据配置选项、算法配置选项以及策略配置选项。特征数据配置选项用于配置时间序列特征数据包括的内容,也即特征提取的特征;算法配置选项用于配置检测过程中用到的算法,如上述FFT算法和DTW算法等;策略配置选项用于配置对检测结果的筛选策略,如上述对照数据筛选、白名单筛选等。用户可以通过拖拽的方式设置目标访问行为检测方法的流程。
例如,参见图9所示,图9是根据本申请实施例提供的一种检测场景配置界面的示意图。如图9所示,检测场景配置界面左侧包括特征数据、算法以及策略三个配置选项,检测场景配置界面右侧为用于已配置完毕的检测流程,该流程包括:特征数据的形式为形式A2,算法为算法B3,策略为策略C1。
在本申请实施例中,通过对时间序列特征数据进行周期检测,来获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。
图10是根据本申请实施例提供的一种目标访问行为检测装置的框图。该装置用于执行上述目标访问行为检测方法执行时的步骤,参见图10,装置包括:周期检测模块1001,数据划分模块1002,相似性检测模块1003以及确定模块1004。
周期检测模块1001,用于对时间序列特征数据进行周期检测,得到该时间序列特征数据对应的访问周期,该时间序列特征数据用于表示目标时长内的网络访问数据的特征;
数据划分模块1002,用于根据该访问周期,对该时间序列特征数据进行分段,得到至少两个数据片段;
相似性检测模块1003,用于对该至少两个数据片段进行相似性检测;
确定模块1004,用于响应于该相似性检测的检测结果指示该时间序列特征数据为周期性相似数据,确定该时间序列特征数据对应的行为属于目标访问行为。
在一个可能实现的方式中,该周期检测模块1001,用于将该时间序列特征数据转换为频域数据;根据该频域数据的幅频关系,确定幅值最高的访问频率为访问周期。
在一个可能实现的方式中,该相似性检测模块1003,包括:
相似度获取子模块,用于分别获取时间相邻的两个数据片段之间的相似度;
目标数据片段获取子模块,用于获取相似度不大于相似度阈值的数据片段作为目标数据片段;
检测结果获取子模块,用于响应于该目标数据片段在该至少两个数据片段中所占的比例大于目标比例,确定该时间序列特征数据为周期性相似数据作为检测结果。
在一种可能的实现方式中,该相似度获取子模块,包括:
动态时间规整距离获取单元,用于对于任意时间相邻的两个数据片段,获取该两个数据片段之间的动态时间规整距离,该动态时间规整距离用于表示两个数据片段之间最短的累积欧式距离;
相似度确定单元,用于根据该动态时间规整距离,确定该两个数据片段之间的相似度。
在一种可能的实现方式中,该相似度确定单元,用于获取该时间序列特征数据的序列长度;根据该序列长度,对该动态时间规整距离进行归一化,得到该两个数据片段之间的相似度。
在一种可能的实现方式中,该确定模块1004,用于响应于该检测结果指示该时间序列特征数据为周期性相似数据,获取该时间序列特征数据包括的目标访问地址,该目标访问地址为访问指向的地址;获取对照数据包括的目标发起地址的第一数量,该对照数据为非目标访问行为的时间序列特征数据,该目标发起地址为向该目标访问地址发起访问的地址;响应于该第一数量不大于预设的第二数量,确定该时间序列特征数据对应的行为属于目标访问行为。
在一种可能的实现方式中,该装置还包括:
日志数据获取模块,用于获取目标时长内的流量日志数据;
数据预处理模块,用于对该流量日志数据进行预处理,得到待检测的该网络访问数据;
特征提取模块,用于对该网络访问数据进行特征提取,得到至少一条时间序列特征数据。
在一种可能的实现方式中,该装置还包括:
数据转换模块,用于将该时间序列特征数据转换为可视化数据;
展示模块,用于在可视化展示界面对该可视化数据进行展示。
在本申请实施例中,通过周期检测模块对时间序列特征数据进行周期检测,来获取访问周期,避免了人为设定的周期容易被绕过的问题,再通过数据划分模块和相似性检测模块对时间序列特征数据分段后的数据片段进行相似性检测,能够校验周期的合理性,从而能够通过确定模块较为准确的确定对应的行为属于目标访问行为的时间序列特征数据。
需要说明的是:上述实施例提供的目标访问行为检测装置在进行检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的目标访问行为检测装置与目标访问行为检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
在本申请实施例中,计算机设备能够被配置为终端或者服务器,当计算机设备被配置为终端时,可以由终端作为执行主体来实施本申请实施例提供的技术方案,当计算机设备被配置为服务器时,可以由服务器作为执行主体来实施本申请实施例提供的技术方案,也可以通过终端和服务器之间的交互来实施本申请提供的技术方案,例如技术人员通过终端从服务器获取时间序列特征数据,基于该时间序列特征数据确定时间序列特征数据对应的行为属于目标访问行为,本申请实施例对此不作限定。
计算机设备配置为终端,图11是根据本申请实施例提供的一种终端1100的结构框图。该终端1100可以是:智能手机、平板电脑、MP3播放器(Moving Picture Experts GroupAudio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture ExpertsGroup Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、笔记本电脑或台式电脑。终端1100还可能被称为用户设备、便携式终端、膝上型终端、台式终端等其他名称。
通常,终端1100包括有:处理器1101和存储器1102。
处理器1101可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1101可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1101也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1101可以集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1101还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1102可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1102还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1102中的非暂态的计算机可读存储介质用于存储至少一个程序代码,该至少一个程序代码用于被处理器1101所执行以实现本申请中方法实施例提供的目标访问行为检测方法。
在一些实施例中,终端1100还可选包括有:***设备接口1103和至少一个***设备。处理器1101、存储器1102和***设备接口1103之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与***设备接口1103相连。具体地,***设备包括:射频电路1104、显示屏1105、摄像头组件1106、音频电路1107、定位组件1108和电源1109中的至少一种。
***设备接口1103可被用于将I/O(Input/Output,输入/输出)相关的至少一个***设备连接到处理器1101和存储器1102。在一些实施例中,处理器1101、存储器1102和***设备接口1103被集成在同一芯片或电路板上;在一些其他实施例中,处理器1101、存储器1102和***设备接口1103中的任意一个或两个可以在单独的芯片或电路板上实现,本实施例对此不加以限定。
射频电路1104用于接收和发射RF(Radio Frequency,射频)信号,也称电磁信号。射频电路1104通过电磁信号与通信网络以及其他通信设备进行通信。射频电路1104将电信号转换为电磁信号进行发送,或者,将接收到的电磁信号转换为电信号。可选地,射频电路1104包括:天线***、RF收发器、一个或多个放大器、调谐器、振荡器、数字信号处理器、编解码芯片组、用户身份模块卡等等。射频电路1104可以通过至少一种无线通信协议来与其它终端进行通信。该无线通信协议包括但不限于:城域网、各代移动通信网络(2G、3G、4G及5G)、无线局域网和/或WiFi(Wireless Fidelity,无线保真)网络。在一些实施例中,射频电路1104还可以包括NFC(Near Field Communication,近距离无线通信)有关的电路,本申请对此不加以限定。
显示屏1105用于显示UI(User Interface,用户界面)。该UI可以包括图形、文本、图标、视频及其它们的任意组合。当显示屏1105是触摸显示屏时,显示屏1105还具有采集在显示屏1105的表面或表面上方的触摸信号的能力。该触摸信号可以作为控制信号输入至处理器1101进行处理。此时,显示屏1105还可以用于提供虚拟按钮和/或虚拟键盘,也称软按钮和/或软键盘。在一些实施例中,显示屏1105可以为一个,设置在终端1100的前面板;在另一些实施例中,显示屏1105可以为至少两个,分别设置在终端1100的不同表面或呈折叠设计;在另一些实施例中,显示屏1105可以是柔性显示屏,设置在终端1100的弯曲表面上或折叠面上。甚至,显示屏1105还可以设置成非矩形的不规则图形,也即异形屏。显示屏1105可以采用LCD(Liquid Crystal Display,液晶显示屏)、OLED(Organic Light-EmittingDiode,有机发光二极管)等材质制备。
摄像头组件1106用于采集图像或视频。可选地,摄像头组件1106包括前置摄像头和后置摄像头。通常,前置摄像头设置在终端的前面板,后置摄像头设置在终端的背面。在一些实施例中,后置摄像头为至少两个,分别为主摄像头、景深摄像头、广角摄像头、长焦摄像头中的任意一种,以实现主摄像头和景深摄像头融合实现背景虚化功能、主摄像头和广角摄像头融合实现全景拍摄以及VR(Virtual Reality,虚拟现实)拍摄功能或者其它融合拍摄功能。在一些实施例中,摄像头组件1106还可以包括闪光灯。闪光灯可以是单色温闪光灯,也可以是双色温闪光灯。双色温闪光灯是指暖光闪光灯和冷光闪光灯的组合,可以用于不同色温下的光线补偿。
音频电路1107可以包括麦克风和扬声器。麦克风用于采集用户及环境的声波,并将声波转换为电信号输入至处理器1101进行处理,或者输入至射频电路1104以实现语音通信。出于立体声采集或降噪的目的,麦克风可以为多个,分别设置在终端1100的不同部位。麦克风还可以是阵列麦克风或全向采集型麦克风。扬声器则用于将来自处理器1101或射频电路1104的电信号转换为声波。扬声器可以是传统的薄膜扬声器,也可以是压电陶瓷扬声器。当扬声器是压电陶瓷扬声器时,不仅可以将电信号转换为人类可听见的声波,也可以将电信号转换为人类听不见的声波以进行测距等用途。在一些实施例中,音频电路1107还可以包括耳机插孔。
定位组件1108用于定位终端1100的当前地理位置,以实现导航或LBS(LocationBased Service,基于位置的服务)。定位组件1108可以是基于美国的GPS(GlobalPositioning System,全球定位***)、中国的北斗***、俄罗斯的格雷纳斯***或欧盟的伽利略***的定位组件。
电源1109用于为终端1100中的各个组件进行供电。电源1109可以是交流电、直流电、一次性电池或可充电电池。当电源1109包括可充电电池时,该可充电电池可以支持有线充电或无线充电。该可充电电池还可以用于支持快充技术。
在一些实施例中,终端1100还包括有一个或多个传感器1110。该一个或多个传感器1110包括但不限于:加速度传感器1111、陀螺仪传感器1112、压力传感器1113、指纹传感器1114、光学传感器1115以及接近传感器1116。
加速度传感器1111可以检测以终端1100建立的坐标系的三个坐标轴上的加速度大小。比如,加速度传感器1111可以用于检测重力加速度在三个坐标轴上的分量。处理器1101可以根据加速度传感器1111采集的重力加速度信号,控制显示屏1105以横向视图或纵向视图进行用户界面的显示。加速度传感器1111还可以用于游戏或者用户的运动数据的采集。
陀螺仪传感器1112可以检测终端1100的机体方向及转动角度,陀螺仪传感器1112可以与加速度传感器1111协同采集用户对终端1100的3D动作。处理器1101根据陀螺仪传感器1112采集的数据,可以实现如下功能:动作感应(比如根据用户的倾斜操作来改变UI)、拍摄时的图像稳定、游戏控制以及惯性导航。
压力传感器1113可以设置在终端1100的侧边框和/或显示屏1105的下层。当压力传感器1113设置在终端1100的侧边框时,可以检测用户对终端1100的握持信号,由处理器1101根据压力传感器1113采集的握持信号进行左右手识别或快捷操作。当压力传感器1113设置在显示屏1105的下层时,由处理器1101根据用户对显示屏1105的压力操作,实现对UI界面上的可操作性控件进行控制。可操作性控件包括按钮控件、滚动条控件、图标控件、菜单控件中的至少一种。
指纹传感器1114用于采集用户的指纹,由处理器1101根据指纹传感器1114采集到的指纹识别用户的身份,或者,由指纹传感器1114根据采集到的指纹识别用户的身份。在识别出用户的身份为可信身份时,由处理器1101授权该用户执行相关的敏感操作,该敏感操作包括解锁屏幕、查看加密信息、下载软件、支付及更改设置等。指纹传感器1114可以被设置在终端1100的正面、背面或侧面。当终端1100上设置有物理按键或厂商Logo时,指纹传感器1114可以与物理按键或厂商Logo集成在一起。
光学传感器1115用于采集环境光强度。在一个实施例中,处理器1101可以根据光学传感器1115采集的环境光强度,控制显示屏1105的显示亮度。具体地,当环境光强度较高时,调高显示屏1105的显示亮度;当环境光强度较低时,调低显示屏1105的显示亮度。在另一个实施例中,处理器1101还可以根据光学传感器1115采集的环境光强度,动态调整摄像头组件1106的拍摄参数。
接近传感器1116,也称距离传感器,通常设置在终端1100的前面板。接近传感器1116用于采集用户与终端1100的正面之间的距离。在一个实施例中,当接近传感器1116检测到用户与终端1100的正面之间的距离逐渐变小时,由处理器1101控制显示屏1105从亮屏状态切换为息屏状态;当接近传感器1116检测到用户与终端1100的正面之间的距离逐渐变大时,由处理器1101控制显示屏1105从息屏状态切换为亮屏状态。
本领域技术人员可以理解,图11中示出的结构并不构成对终端1100的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
计算机设备配置为服务器。图12是根据本申请实施例提供的一种服务器的结构示意图,该服务器1200可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(Central Processing Units,CPU)1201和一个或一个以上的存储器1202,其中,所述存储器1202中存储有至少一条程序代码,所述至少一条程序代码由所述处理器1201加载并执行以实现上述各个方法实施例提供的目标访问行为检测方法。当然,该服务器还可以具有有线或无线网络接口、键盘以及输入输出接口等部件,以便进行输入输出,该服务器还可以包括其他用于实现设备功能的部件,在此不做赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质应用于计算机设备,该计算机可读存储介质中存储有至少一条程序代码,该至少一条程序代码用于被处理器执行并实现本申请实施例中的目标访问行为检测方法中计算机设备所执行的操作。
本申请实施例还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机程序代码,该计算机程序代码存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机程序代码,处理器执行该计算机程序代码,使得该计算机设备执行上述方面或者上述方面的各种可选实现方式中提供的目标访问行为检测方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序代码来指示相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本申请的可选实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种目标访问行为检测方法,其特征在于,所述方法包括:
对时间序列特征数据进行周期检测,得到所述时间序列特征数据对应的访问周期,所述时间序列特征数据用于表示目标时长内的网络访问数据的特征;
根据所述访问周期,对所述时间序列特征数据进行分段,得到至少两个数据片段;
对所述至少两个数据片段进行相似性检测;
响应于所述相似性检测的检测结果指示所述时间序列特征数据为周期性相似数据,确定所述时间序列特征数据对应的行为属于目标访问行为。
2.根据权利要求1所述的方法,其特征在于,所述对时间序列特征数据进行周期检测,得到所述时间序列特征数据对应的访问周期,包括:
将所述时间序列特征数据转换为频域数据;
根据所述频域数据的幅频关系,确定幅值最高的访问频率为访问周期。
3.根据权利要求1所述的方法,其特征在于,所述对所述至少两个数据片段进行相似性检测,包括:
分别获取时间相邻的两个数据片段之间的相似度;
获取相似度不大于相似度阈值的数据片段作为目标数据片段;
响应于所述目标数据片段在所述至少两个数据片段中所占的比例大于目标比例,确定所述时间序列特征数据为周期性相似数据作为检测结果。
4.根据权利要求3所述的方法,其特征在于,所述分别获取时间相邻的两个数据片段之间的相似度,包括:
对于任意时间相邻的两个数据片段,获取所述两个数据片段之间的动态时间规整距离,所述动态时间规整距离用于表示两个数据片段之间最短的累积欧式距离;
根据所述动态时间规整距离,确定所述两个数据片段之间的相似度。
5.根据权利要求4所述的方法,其特征在于,所述根据所述动态时间规整距离,确定所述两个数据片段之间的相似度,包括:
获取所述时间序列特征数据的序列长度;
根据所述序列长度,对所述动态时间规整距离进行归一化,得到所述两个数据片段之间的相似度。
6.根据权利要求1所述的方法,其特征在于,所述响应于所述检测结果指示所述时间序列特征数据为周期性相似数据,确定所述时间序列特征数据对应的行为属于目标访问行为,包括:
响应于所述检测结果指示所述时间序列特征数据为周期性相似数据,获取所述时间序列特征数据包括的目标访问地址,所述目标访问地址为访问指向的地址;
获取对照数据包括的目标发起地址的第一数量,所述对照数据为非目标访问行为的时间序列特征数据,所述目标发起地址为向所述目标访问地址发起访问的地址;
响应于所述第一数量不大于预设的第二数量,确定所述时间序列特征数据对应的行为属于目标访问行为。
7.根据权利要求1所述的方法,其特征在于,所述对时间序列特征数据进行周期检测之前,所述方法还包括:
获取目标时长内的流量日志数据;
对所述流量日志数据进行预处理,得到待检测的所述网络访问数据;
对所述网络访问数据进行特征提取,得到至少一条时间序列特征数据。
8.根据权利要求1所述的方法,其特征在于,所述确定所述时间序列特征数据对应的行为属于目标访问行为之后,所述方法还包括:
将所述时间序列特征数据转换为可视化数据;
在可视化展示界面对所述可视化数据进行展示。
9.一种目标访问行为检测装置,其特征在于,所述装置包括:
周期检测模块,用于对时间序列特征数据进行周期检测,得到所述时间序列特征数据对应的访问周期,所述时间序列特征数据用于表示目标时长内的网络访问数据的特征;
数据划分模块,用于根据所述访问周期,对所述时间序列特征数据进行分段,得到至少两个数据片段;
相似性检测模块,用于对所述至少两个数据片段进行相似性检测;
确定模块,用于响应于所述相似性检测的检测结果指示所述时间序列特征数据为周期性相似数据,确定所述时间序列特征数据对应的行为属于目标访问行为。
10.根据权利要求9所述的装置,其特征在于,所述周期检测模块,用于将所述时间序列特征数据转换为频域数据;根据所述频域数据的幅频关系,确定幅值最高的访问频率为访问周期。
11.根据权利要求9所述的装置,其特征在于,所述相似性检测模块,包括:
相似度获取子模块,用于分别获取时间相邻的两个数据片段之间的相似度;
目标数据片段获取子模块,用于获取相似度不大于相似度阈值的数据片段作为目标数据片段;
检测结果获取子模块,用于响应于所述目标数据片段在所述至少两个数据片段中所占的比例大于目标比例,确定所述时间序列特征数据为周期性相似数据作为检测结果。
12.根据权利要求11所述的装置,其特征在于,所述相似度获取子模块,包括:
动态时间规整距离获取单元,用于对于任意时间相邻的两个数据片段,获取所述两个数据片段之间的动态时间规整距离,所述动态时间规整距离用于表示两个数据片段之间最短的累积欧式距离;
相似度确定单元,用于根据所述动态时间规整距离,确定所述两个数据片段之间的相似度。
13.根据权利要求12所述的装置,其特征在于,所述相似度确定单元,用于获取所述时间序列特征数据的序列长度;根据所述序列长度,对所述动态时间规整距离进行归一化,得到所述两个数据片段之间的相似度。
14.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器用于存储至少一段程序代码,所述至少一段程序代码由所述处理器加载并执行权利要求1至8任一权利要求所述的目标访问行为检测方法。
15.一种存储介质,其特征在于,所述存储介质用于存储至少一段程序代码,所述至少一段程序代码用于执行权利要求1至8任一权利要求所述的目标访问行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010652958.4A CN111818050B (zh) | 2020-07-08 | 2020-07-08 | 目标访问行为检测方法、***、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010652958.4A CN111818050B (zh) | 2020-07-08 | 2020-07-08 | 目标访问行为检测方法、***、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111818050A true CN111818050A (zh) | 2020-10-23 |
| CN111818050B CN111818050B (zh) | 2024-01-19 |
Family
ID=72842600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010652958.4A Active CN111818050B (zh) | 2020-07-08 | 2020-07-08 | 目标访问行为检测方法、***、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111818050B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112529708A (zh) * | 2020-12-25 | 2021-03-19 | 深圳前海微众银行股份有限公司 | 一种客户识别方法及装置、电子设备 |
| CN113358164A (zh) * | 2021-06-07 | 2021-09-07 | 芯视界(北京)科技有限公司 | 流量检测方法及装置、电子设备和存储介质 |
| CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
| WO2024000904A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375345A (zh) * | 2016-10-28 | 2017-02-01 | 中国科学院信息工程研究所 | 一种基于周期性检测的恶意软件域名检测方法及*** |
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| US20180234444A1 (en) * | 2017-02-15 | 2018-08-16 | Microsoft Technology Licensing, Llc | System and method for detecting anomalies associated with network traffic to cloud applications |
| CN109600398A (zh) * | 2019-01-28 | 2019-04-09 | 杭州数梦工场科技有限公司 | 一种账号使用行为检测方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和*** |
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、***及存储介质 |
| US10645100B1 (en) * | 2016-11-21 | 2020-05-05 | Alert Logic, Inc. | Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning |
| CN111147459A (zh) * | 2019-12-12 | 2020-05-12 | 北京网思科平科技有限公司 | 一种基于dns请求数据的c&c域名检测方法及装置 |
-
2020
- 2020-07-08 CN CN202010652958.4A patent/CN111818050B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| CN106375345A (zh) * | 2016-10-28 | 2017-02-01 | 中国科学院信息工程研究所 | 一种基于周期性检测的恶意软件域名检测方法及*** |
| US10645100B1 (en) * | 2016-11-21 | 2020-05-05 | Alert Logic, Inc. | Systems and methods for attacker temporal behavior fingerprinting and grouping with spectrum interpretation and deep learning |
| US20180234444A1 (en) * | 2017-02-15 | 2018-08-16 | Microsoft Technology Licensing, Llc | System and method for detecting anomalies associated with network traffic to cloud applications |
| CN109600398A (zh) * | 2019-01-28 | 2019-04-09 | 杭州数梦工场科技有限公司 | 一种账号使用行为检测方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和*** |
| CN110611684A (zh) * | 2019-09-27 | 2019-12-24 | 国网电力科学研究院有限公司 | 一种周期性Web访问行为的检测方法、***及存储介质 |
| CN111147459A (zh) * | 2019-12-12 | 2020-05-12 | 北京网思科平科技有限公司 | 一种基于dns请求数据的c&c域名检测方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112529708A (zh) * | 2020-12-25 | 2021-03-19 | 深圳前海微众银行股份有限公司 | 一种客户识别方法及装置、电子设备 |
| CN112529708B (zh) * | 2020-12-25 | 2024-06-04 | 深圳前海微众银行股份有限公司 | 一种客户识别方法及装置、电子设备 |
| CN113358164A (zh) * | 2021-06-07 | 2021-09-07 | 芯视界(北京)科技有限公司 | 流量检测方法及装置、电子设备和存储介质 |
| CN113358164B (zh) * | 2021-06-07 | 2024-03-05 | 芯视界(北京)科技有限公司 | 流量检测方法及装置、电子设备和存储介质 |
| WO2024000904A1 (zh) * | 2022-06-30 | 2024-01-04 | 方未科技(荷兰) | 一种流量检测方法、装置、设备及可读存储介质 |
| CN115473789A (zh) * | 2022-09-16 | 2022-12-13 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
| CN115473789B (zh) * | 2022-09-16 | 2024-02-27 | 深信服科技股份有限公司 | 告警处理方法以及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111818050B (zh) | 2024-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108306771B (zh) | 日志上报方法、装置及*** | |
| CN111818050B (zh) | 目标访问行为检测方法、***、装置、设备及存储介质 | |
| CN110674022B (zh) | 行为数据获取方法、装置及存储介质 | |
| CN111262887B (zh) | 基于对象特征的网络风险检测方法、装置、设备及介质 | |
| CN110222789B (zh) | 图像识别方法及存储介质 | |
| CN109815150B (zh) | 应用测试方法、装置、电子设备及存储介质 | |
| CN111931877B (zh) | 目标检测方法、装置、设备及存储介质 | |
| CN110839128B (zh) | 拍照行为检测方法、装置及存储介质 | |
| CN110569220B (zh) | 游戏资源文件的展示方法、装置、终端及存储介质 | |
| CN111614634A (zh) | 流量检测方法、装置、设备及存储介质 | |
| CN110414232B (zh) | 恶意程序预警方法、装置、计算机设备及存储介质 | |
| CN108132790B (zh) | 检测无用代码的方法、装置及计算机存储介质 | |
| CN110851510A (zh) | 基于区块链的交易***的数据处理方法及装置 | |
| CN111078521A (zh) | 异常事件的分析方法、装置、设备、***及存储介质 | |
| CN112084811A (zh) | 身份信息的确定方法、装置及存储介质 | |
| CN111178343A (zh) | 基于人工智能的多媒体资源检测方法、装置、设备及介质 | |
| CN111416996B (zh) | 多媒体文件检测方法、播放方法、装置、设备及存储介质 | |
| CN110647881A (zh) | 确定图像对应的卡片类型的方法、装置、设备及存储介质 | |
| CN112749590B (zh) | 目标检测方法、装置、计算机设备和计算机可读存储介质 | |
| CN111068323A (zh) | 智能速度检测方法、装置、计算机设备及存储介质 | |
| CN108537040B (zh) | 电信诈骗木马程序拦截方法、装置、终端及存储介质 | |
| CN107944024B (zh) | 一种确定音频文件的方法和装置 | |
| CN111586279A (zh) | 确定拍摄状态的方法、装置、设备及存储介质 | |
| CN111931712A (zh) | 人脸识别方法、装置、抓拍机及*** | |
| CN110969072A (zh) | 模型优化方法、设备及图像分析*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40030768 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |