CN116112292A - 基于网络流量大数据的异常行为检测方法、***和介质 - Google Patents

基于网络流量大数据的异常行为检测方法、***和介质 Download PDF

Info

Publication number
CN116112292A
CN116112292A CN202310382024.7A CN202310382024A CN116112292A CN 116112292 A CN116112292 A CN 116112292A CN 202310382024 A CN202310382024 A CN 202310382024A CN 116112292 A CN116112292 A CN 116112292A
Authority
CN
China
Prior art keywords
access
network
information
data
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310382024.7A
Other languages
English (en)
Other versions
CN116112292B (zh
Inventor
夏守春
彭彪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan Congmao Technology Co ltd
Original Assignee
Hunan Congmao Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan Congmao Technology Co ltd filed Critical Hunan Congmao Technology Co ltd
Priority to CN202310382024.7A priority Critical patent/CN116112292B/zh
Publication of CN116112292A publication Critical patent/CN116112292A/zh
Application granted granted Critical
Publication of CN116112292B publication Critical patent/CN116112292B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了基于网络流量大数据的异常行为检测方法、***和介质。涉及大数据和网络技术领域。该方法包括:识别用户属性信息并结合特征信息生成网络访问流量监测图谱并提取特征数据,采集网络环境动态数据并处理获得行为评测数据,再与根据用户属性信息和网络环境动态数据处理获得的标准规范数据进行偏离度聚合计算获得访问行为异常指数,后结合检测阈值进行阈值对比检测网络流量访问行为信息状况;从而通过获取监测图谱提取特征数据并结合网络环境动态数据处理获得评测数据,并与标准规范数据进行偏离度聚合获得访问行为异常指数并对比评估访问行为信息状况,实现通过大数据处理技术对网络访问的信息进行检测评估。

Description

基于网络流量大数据的异常行为检测方法、***和介质
技术领域
本申请涉及大数据和网络技术领域,具体而言,涉及一种基于网络流量大数据的异常行为检测方法、***和介质。
背景技术
随着移动互联网的普及,网络和人们生活息息相关,而与网络的密切接触均产生流量,网络流量大数据的安全应用,特别是不同用户通过网络访问流量互通行为而产生的大量数据信息的安全性,以及在网络访问时的用户行为风险预测以及网络环境安全检测,对这些信息和行为的掌握变得愈发复杂和重要。
而目前针对网络行为的风险管控手段是根据数据监测、漏洞风险监测以及环境动向监测的软件层面,而缺少能根据用户属性特点与网络环境动态以及用户访问行为、流量交互信息进行动态检测和处理的手段,也缺乏对各类信息大数据进行有效联系处理以及精准评估的手段,导致对用户网络访问和流量相关行为的监测判断能力不足,难以实现根据用户动向和网络环境动态信息进行综合风险检测评估的技术。
针对上述问题,目前亟待有效的技术解决方案。
发明内容
本申请实施例的目的在于提供一种基于网络流量大数据的异常行为检测方法、***和介质,可以通过获取网络访问流量监测图谱提取访问流量特征数据并结合网络环境动态数据进行处理获得网络访问行为评测数据,再与用户网络访问标准规范数据进行偏离度计算并聚合获得访问行为异常指数,后进行阈值对比监测网络访问行为信息状况,实现通过大数据处理技术对网络访问行为进行检测评估。
第一方面,本申请实施例还提供了基于网络流量大数据的异常行为检测方法,包括以下步骤:
采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,包括:
根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息;
所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱,包括:
根据所述流量日志信息、访问事件信息、访问领域内容信息提取流量日志记载数据、访问事件记录数据、访问领域内容数据;
基于访问流量监测管理平台的预设访问数据链接融合模型对所述流量日志记载数据、访问事件记录数据、访问领域内容数据进行数据融合,并与所述用户身份认证信息和用户行为授权信息进行信息链接,生成网络访问流量监测图谱。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,包括:
采集所述各子时段的网络环境动态数据,所述网络环境动态数据包括异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据;
对各子时段的所述异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据进行处理,获得对应子时段的网络环境稳态系数;
根据所述网络环境稳态系数结合所述访问主体用户对应的访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据;
所述网络访问行为评测数据的计算公式为:
其中,为第i个子时段的网络访问行为评测数据,分别为第i个子时段的流量地域时间点数据、访问流量领域数据、访问流量应用数据、访问流量层级数据,为预设网络流量异动因子,为第i个子时段的网络环境稳态系数,为特征系数。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据,包括:
根据所述访问领域内容信息在预设的网络行为管理数据库中进行信息匹配,获得对应的访问行为标准评估模型;
根据所述用户身份认证信息和用户行为授权信息结合子时段的网络环境稳态系数输入至所述访问行为标准评估模型中进行评估处理,获得对应子时段的用户网络访问标准规范数据;
所述用户网络访问标准规范数据的评估公式为:
其中,为第i个子时段的用户网络访问标准规范数据,为用户身份认证信息,为用户行为授权信息,为预设的访问行为加权因子,为第i个子时段的网络环境稳态系数,为特征系数。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数,包括:
根据所述网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算,获得所述访问主体用户在对应子时段的网络访问行为偏离系数;
所述偏离度计算公式为:
其中,为第i个子时段的网络访问行为偏离系数,为预设网络流量异动因子,为特征系数;
对所述预设时间段内的所述各子时段对应的网络访问行为偏离系数进行访问轨迹聚合处理,获得所述访问主体用户在所述预设时间段内的访问行为异常指数,所述访问行为异常指数为:,其中,n为预设时间段内的子时段个数。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测方法中,所述根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况,包括:
通过所述网络行为管理数据库获取对应预设的网络行为稳态检测阈值;
根据所述访问行为异常指数与所述网络行为稳态检测阈值进行阈值对比;
若阈值对比结果符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息正常;
若阈值对比结果不符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息存在异常。
第二方面,本申请实施例提供了一种基于网络流量大数据的异常行为检测***,该***包括:存储器及处理器,所述存储器中包括基于网络流量大数据的异常行为检测方法的程序,所述基于网络流量大数据的异常行为检测方法的程序被所述处理器执行时实现以下步骤:
采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
可选地,在本申请实施例所述的基于网络流量大数据的异常行为检测***中,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,包括:
根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息;
所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
第三方面,本申请实施例还提供了一种可读存储介质,所述可读存储介质中包括基于网络流量大数据的异常行为检测方法程序,所述基于网络流量大数据的异常行为检测方法程序被处理器执行时,实现如上述任一项所述的基于网络流量大数据的异常行为检测方法的步骤。
由上可知,本申请实施例提供的一种基于网络流量大数据的异常行为检测方法、***和介质,通过网络访问流量轨迹特征信息的访问主体用户信息提取主体用户特征信息并进行属性识别获得访问主体用户属性信息,再结合特征信息生成网络访问流量监测图谱并提取各子时段的访问流量特征数据,采集网络环境动态数据并结合访问流量特征数据处理获得网络访问行为评测数据,再根据访问主体用户属性信息结合网络环境动态数据以及访问领域内容信息处理获得用户网络访问标准规范数据,再与网络访问行为评测数据进行偏离度计算获得网络访问行为偏离系数,并聚合获得访问行为异常指数,最后与网络行为稳态检测阈值进行阈值对比检测网络流量访问行为信息状况;从而通过获取网络访问流量监测图谱提取访问流量特征数据并结合网络环境动态数据进行处理获得网络访问行为评测数据,再与用户网络访问标准规范数据进行偏离度计算并聚合获得访问行为异常指数,后进行阈值对比监测网络访问行为信息状况,实现通过大数据处理技术对网络访问行为进行检测评估。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的基于网络流量大数据的异常行为检测方法的一种流程图;
图2为本申请实施例提供的基于网络流量大数据的异常行为检测方法的获得访问主体用户属性信息的一种流程图;
图3为本申请实施例提供的基于网络流量大数据的异常行为检测方法的获取网络访问流量监测图谱的一种流程图;
图4为本申请实施例提供的基于网络流量大数据的异常行为检测***的一种结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到,相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1是本申请一些实施例中的基于网络流量大数据的异常行为检测方法的一种流程图。该基于网络流量大数据的异常行为检测方法用于终端设备中,例如电脑、手机终端等。该基于网络流量大数据的异常行为检测方法,包括以下步骤:
S101、采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
S102、根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
S103、根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
S104、根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
S105、采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
S106、根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
S107、根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
S108、根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
需要说明的是,为评估在一定时间段内各类主体用户在网络访问行为的异常状况,以检测出是否由于超限访问、环境风险、安全漏洞等不安全网络要素的存在,从而造成主体用户在产生网络流量的访问行为中出现异常,本技术方案通过采集预设时间段内的网络访问流量轨迹特征信息,即用户在一定时间段内网络访问行动产生流量的行为轨迹特征,包括产生流量的访问日志信息、访问行为产生的事件记录信息、访问对象所处领域及访问内容信息、以及访问主体用户的用户关联信息,再根据访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别获得访问主体用户属性信息,根据流量日志信息、访问事件信息、访问领域内容信息结合访问主体用户属性信息生成网络访问流量监测图谱,再根据监测图谱提取各访问主体用户在预设时间段内的各子时段的访问流量特征数据,即主体用户在时间段内进行网络访问活动产生流量的特征数据,该访问流量特征数据是通过流量特征情况映射出网络访问活动的数据信息,包括流量产生地域和时间点数据、流量所属领域数据、流量对应访问活动的应用情况数据、以及流量对应访问活动的层级数据,再通过采集各子时段的网络环境动态数据并结合访问主体用户在对应子时段的访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,即根据子时段的网络环境动态情况结合流量特征数据进行处理获得评测数据,再根据访问主体用户属性信息结合网络环境动态数据相关参数以及访问领域内容信息进行处理,获得子时段的用户网络访问标准规范数据,即根据主体用户属性结合网络环境情况以及访问领域内容的信息作出的适配于该用户的标准规范数据,最后根据网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算处理,获得子时段的网络访问行为偏离系数,并对各偏离系数进行聚合,获得访问主体用户在预设时间段的访问行为异常指数,即通过对主体用户在各子时段的异常偏离情况按照时间轨迹进行聚合,得到预设时间段的整体异常参数,该异常指数反映出主体用户在预设时间段内的访问行为异常情况,最后根据该异常指数与预设的检测阈值进行阈值对比,从而判断评估该主体用户在预设时间段内产生网络流量的访问行为的异常情况,实现根据网络流量大数据对用户访问行为进行异常检测的智能技术。
请参照图2,图2是本申请一些实施例中的基于网络流量大数据的异常行为检测方法的获得访问主体用户属性信息的一种流程图。根据本发明实施例,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,具体为:
S201、根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
S202、根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息,所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
需要说明的是,为更好的评估网络访问行为与各主体用户的适配性,以及根据用户属性识别评估在网络环境下的访问行为的状况,需对用户的属性信息进行识别,根据访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息,反映出用户的身份权限级别情况,再将上述信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息,预设的流量访客属性识别模型是通过大量历史用户的特征信息和属性信息进行训练得到的可识别用户属性信息的信息处理模型,通过大量历史样本用户的特征信息对该识别模型进行训练,以提高该模型处理的准确率,将主体用户的特征信息输入至训练好的模型中得到对应的属性信息,其中包括包括用户身份认证信息和用户行为授权信息。
请参照图3,图3是本申请一些实施例中的一种基于网络流量大数据的异常行为检测方法的获取网络访问流量监测图谱的一种流程图。根据本发明实施例,所述根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱,具体为:
S301、根据所述流量日志信息、访问事件信息、访问领域内容信息提取流量日志记载数据、访问事件记录数据、访问领域内容数据;
S302、基于访问流量监测管理平台的预设访问数据链接融合模型对所述流量日志记载数据、访问事件记录数据、访问领域内容数据进行数据融合,并与所述用户身份认证信息和用户行为授权信息进行信息链接,生成网络访问流量监测图谱。
需要说明的是,为获得主体用户进行网络访问行为的动态监测情况描述,通过生产网络访问流量监测图谱描绘出访问行为所产生流量的数据监测图谱,该网络访问流量监测图谱反映出该主体用户在网络访问行为产生流量过程中的动态情况,根据预设的访问流量监测管理平台获得访问数据链接融合模型,通过该模型对主体用户相关访问数据进行数据融合,并与该主体用户的属性信息进行信息链接,从而生成该监测图谱,通过该访问数据链接融合模型根据主体用户属性信息结合访问信息相关数据进行数据链接,从而完成多数据的关联和信息融合生成该监控图谱。
根据本发明实施例,所述采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,具体为:
采集所述各子时段的网络环境动态数据,所述网络环境动态数据包括异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据;
对各子时段的所述异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据进行处理,获得对应子时段的网络环境稳态系数;
根据所述网络环境稳态系数结合所述访问主体用户对应的访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据;
所述网络访问行为评测数据的计算公式为:
其中,为第i个子时段的网络访问行为评测数据,分别为第i个子时段的流量地域时间点数据、访问流量领域数据、访问流量应用数据、访问流量层级数据,为预设网络流量异动因子,为第i个子时段的网络环境稳态系数,为特征系数(预设网络流量异动因子和特征系数通过网络行为管理数据库进行查询获得)。
需要说明的是,为获得主体用户在子时段的网络环境下的访问行为的权衡评估,实现通过数据反映用户在动态网络环境中进行访问行为的参变量,进而对用户访问行为进行评估,首先采集各子时段的网络环境动态数据,该数据反映网络环境的稳定性、安全性和攻击活跃度,包括异常告警动态数据、漏洞监测动态数据、攻击频次动态数据,再对数据进行处理,获得子时段的网络环境稳态系数,该稳态系数反映出子时段内网络环境的安全度,后根据网络环境稳态系数结合访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据,该行为评测数据是衡量该主体用户在子时段的网络环境下访问行为的量化数据;
其中,所述网络环境稳态系数的处理计算公式为:
其中,为第i个子时段的网络环境稳态系数,分别为第i个子时段的异常告警动态数据、漏洞监测动态数据、攻击频次动态数据,为特征系数。
根据本发明实施例,所述根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据,具体为:
根据所述访问领域内容信息在预设的网络行为管理数据库中进行信息匹配,获得对应的访问行为标准评估模型;
根据所述用户身份认证信息和用户行为授权信息结合子时段的网络环境稳态系数输入至所述访问行为标准评估模型中进行评估处理,获得对应子时段的用户网络访问标准规范数据;
所述用户网络访问标准规范数据的评估公式为:
其中,为第i个子时段的用户网络访问标准规范数据,为用户身份认证信息,为用户行为授权信息,为预设的访问行为加权因子,为第i个子时段的网络环境稳态系数,为特征系数(预设的访问行为加权因子和特征系数通过网络行为管理数据库进行查询获得)。
需要说明的是,为衡量主体用户进行网络访问行为的合规性,需明确与该主体用户相对应的标准规范数据,以便进一步对该主体用户的访问行为进行偏离度评估,首先根据所访问的领域内容信息在预设的网络行为管理数据库中进行信息匹配得到对应的访问行为标准评估模型,通过该模型对该主体用户的属性信息结合该子时段对应的网络环境稳态系数以及访问行为加权因子进行处理,获得对应子时段的用户网络访问标准规范数据。
根据本发明实施例,所述根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数,具体为:
根据所述网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算,获得所述访问主体用户在对应子时段的网络访问行为偏离系数;
所述偏离度计算公式为:
其中,为第i个子时段的网络访问行为偏离系数,为预设网络流量异动因子,为特征系数;
对所述预设时间段内的所述各子时段对应的网络访问行为偏离系数进行访问轨迹聚合处理,获得所述访问主体用户在所述预设时间段内的访问行为异常指数,所述访问行为异常指数为:,其中,n为预设时间段内的子时段个数,n为大于(或等于)1的自然数。
需要说明的是,在获得了主体用户对应的网络访问行为评测数据以及用户网络访问标准规范数据后,根据偏离度计算公式对该主体用户的访问行为进行偏离度评估,得到的偏离系数是反映该主体用户在某个子时段进行访问行为的合规性参数,再对预设时间段内各个子时段的偏离系数进行聚合,即通过访问行为的时间轨迹聚合获得用户在整体预设时间段内的整体偏离度情况,n为整个预设时间段内的各子时段分段个数,即主体用户的访问行为异常指数,该异常指数反映出该主体用户在该时间段内的网络环境状况下的访问行为异常度。
根据本发明实施例,所述根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况,具体为:
通过所述网络行为管理数据库获取对应预设的网络行为稳态检测阈值;
根据所述访问行为异常指数与所述网络行为稳态检测阈值进行阈值对比;
若阈值对比结果符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息正常;
若阈值对比结果不符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息存在异常。
需要说明的是,最后根据获得的访问行为异常指数与预设的检测阈值进行阈值对比,判断评估该访问主体用户在所述时间段内产生网络流量的访问行为信息的异常情况,通过网络行为管理数据库获取对应预设的网络行为稳态检测阈值,再根据该阈值与访问行为异常指数进行阈值对比,判断该访问主体用户的访问行为的异常度是否超出预设要求范围,若阈值对比符合要求,则该访问主体用户在预设时间段内的访问行为检测评估为正常,否则,则为超出预设要求范围,检测评估为存在异常,本方案中所述访问行为异常指数与网络行为稳态检测阈值的阈值对比要求需不小于预设阈值的90%。
如图4所示,本发明还公开了一种基于网络流量大数据的异常行为检测***4,包括存储器41和处理器42,所述存储器中包括基于网络流量大数据的异常行为检测方法程序,所述基于网络流量大数据的异常行为检测方法程序被所述处理器执行时实现如下步骤:
采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
需要说明的是,为评估在一定时间段内各类主体用户在网络访问行为的异常状况,以检测出是否由于超限访问、环境风险、安全漏洞等不安全网络要素的存在,从而造成主体用户在产生网络流量的访问行为中出现异常,本技术方案通过采集预设时间段内的网络访问流量轨迹特征信息,即用户在一定时间段内网络访问行动产生流量的行为轨迹特征,包括产生流量的访问日志信息、访问行为产生的事件记录信息、访问对象所处领域及访问内容信息、以及访问主体用户的用户关联信息,再根据访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别获得访问主体用户属性信息,根据流量日志信息、访问事件信息、访问领域内容信息结合访问主体用户属性信息生成网络访问流量监测图谱,再根据监测图谱提取各访问主体用户在预设时间段内的各子时段的访问流量特征数据,即主体用户在时间段内进行网络访问活动产生流量的特征数据,该访问流量特征数据是通过流量特征情况映射出网络访问活动的数据信息,包括流量产生地域和时间点数据、流量所属领域数据、流量对应访问活动的应用情况数据、以及流量对应访问活动的层级数据,再通过采集各子时段的网络环境动态数据并结合访问主体用户在对应子时段的访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,即根据子时段的网络环境动态情况结合流量特征数据进行处理获得评测数据,再根据访问主体用户属性信息结合网络环境动态数据相关参数以及访问领域内容信息进行处理,获得子时段的用户网络访问标准规范数据,即根据主体用户属性结合网络环境情况以及访问领域内容的信息作出的适配于该用户的标准规范数据,最后根据网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算处理,获得子时段的网络访问行为偏离系数,并对各偏离系数进行聚合,获得访问主体用户在预设时间段的访问行为异常指数,即通过对主体用户在各子时段的异常偏离情况按照时间轨迹进行聚合,得到预设时间段的整体异常参数,该异常指数反映出主体用户在预设时间段内的访问行为异常情况,最后根据该异常指数与预设的检测阈值进行阈值对比,从而判断评估该主体用户在预设时间段内产生网络流量的访问行为的异常情况,实现根据网络流量大数据对用户访问行为进行异常检测的智能技术。
根据本发明实施例,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,具体为:
根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息;
所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
需要说明的是,为更好的评估网络访问行为与各主体用户的适配性,以及根据用户属性识别评估在网络环境下的访问行为的状况,需对用户的属性信息进行识别,根据访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息,反映出用户的身份权限级别情况,再将上述信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息,预设的流量访客属性识别模型是通过大量历史用户的特征信息和属性信息进行训练得到的可识别用户属性信息的信息处理模型,通过大量历史样本用户的特征信息对该识别模型进行训练,以提高该模型处理的准确率,将主体用户的特征信息输入至训练好的模型中得到对应的属性信息,其中包括包括用户身份认证信息和用户行为授权信息。
根据本发明实施例,所述根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱,具体为:
根据所述流量日志信息、访问事件信息、访问领域内容信息提取流量日志记载数据、访问事件记录数据、访问领域内容数据;
基于访问流量监测管理平台的预设访问数据链接融合模型对所述流量日志记载数据、访问事件记录数据、访问领域内容数据进行数据融合,并与所述用户身份认证信息和用户行为授权信息进行信息链接,生成网络访问流量监测图谱。
需要说明的是,为获得主体用户进行网络访问行为的动态监测情况描述,通过生产网络访问流量监测图谱描绘出访问行为所产生流量的数据监测图谱,该网络访问流量监测图谱反映出该主体用户在网络访问行为产生流量过程中的动态情况,根据预设的访问流量监测管理平台获得访问数据链接融合模型,通过该模型对主体用户相关访问数据进行数据融合,并与该主体用户的属性信息进行信息链接,从而生成该监测图谱,通过该访问数据链接融合模型根据主体用户属性信息结合访问信息相关数据进行数据链接,从而完成多数据的关联和信息融合生成该监控图谱。
根据本发明实施例,所述采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,具体为:
采集所述各子时段的网络环境动态数据,所述网络环境动态数据包括异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据;
对各子时段的所述异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据进行处理,获得对应子时段的网络环境稳态系数;
根据所述网络环境稳态系数结合所述访问主体用户对应的访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据;
所述网络访问行为评测数据的计算公式为:
其中,为第i个子时段的网络访问行为评测数据,分别为第i个子时段的流量地域时间点数据、访问流量领域数据、访问流量应用数据、访问流量层级数据,为预设网络流量异动因子,为第i个子时段的网络环境稳态系数,为特征系数(预设网络流量异动因子和特征系数通过网络行为管理数据库进行查询获得)。
需要说明的是,为获得主体用户在子时段的网络环境下的访问行为的权衡评估,实现通过数据反映用户在动态网络环境中进行访问行为的参变量,进而对用户访问行为进行评估,首先采集各子时段的网络环境动态数据,该数据反映网络环境的稳定性、安全性和攻击活跃度,包括异常告警动态数据、漏洞监测动态数据、攻击频次动态数据,再对数据进行处理,获得子时段的网络环境稳态系数,该稳态系数反映出子时段内网络环境的安全度,后根据网络环境稳态系数结合访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据,该行为评测数据是衡量该主体用户在子时段的网络环境下访问行为的量化数据;
其中,所述网络环境稳态系数的处理计算公式为:
其中,为第i个子时段的网络环境稳态系数,分别为第i个子时段的异常告警动态数据、漏洞监测动态数据、攻击频次动态数据,为特征系数。
根据本发明实施例,所述根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据,具体为:
根据所述访问领域内容信息在预设的网络行为管理数据库中进行信息匹配,获得对应的访问行为标准评估模型;
根据所述用户身份认证信息和用户行为授权信息结合子时段的网络环境稳态系数输入至所述访问行为标准评估模型中进行评估处理,获得对应子时段的用户网络访问标准规范数据;
所述用户网络访问标准规范数据的评估公式为:
其中,为第i个子时段的用户网络访问标准规范数据,为用户身份认证信息,为用户行为授权信息,为预设的访问行为加权因子,为第i个子时段的网络环境稳态系数,为特征系数(预设的访问行为加权因子和特征系数通过网络行为管理数据库进行查询获得)。
需要说明的是,为衡量主体用户进行网络访问行为的合规性,需明确与该主体用户相对应的标准规范数据,以便进一步对该主体用户的访问行为进行偏离度评估,首先根据所访问的领域内容信息在预设的网络行为管理数据库中进行信息匹配得到对应的访问行为标准评估模型,通过该模型对该主体用户的属性信息结合该子时段对应的网络环境稳态系数以及访问行为加权因子进行处理,获得对应子时段的用户网络访问标准规范数据。
根据本发明实施例,所述根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数,具体为:
根据所述网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算,获得所述访问主体用户在对应子时段的网络访问行为偏离系数;
所述偏离度计算公式为:
其中,为第i个子时段的网络访问行为偏离系数,为预设网络流量异动因子,为特征系数;
对所述预设时间段内的所述各子时段对应的网络访问行为偏离系数进行访问轨迹聚合处理,获得所述访问主体用户在所述预设时间段内的访问行为异常指数,所述访问行为异常指数为:,其中,n为预设时间段内的子时段个数,n为大于(或等于)1的自然数。
需要说明的是,在获得了主体用户对应的网络访问行为评测数据以及用户网络访问标准规范数据后,根据偏离度计算公式对该主体用户的访问行为进行偏离度评估,得到的偏离系数是反映该主体用户在某个子时段进行访问行为的合规性参数,再对预设时间段内各个子时段的偏离系数进行聚合,即通过访问行为的时间轨迹聚合获得用户在整体预设时间段内的整体偏离度情况,n为整个预设时间段内的各子时段分段个数,即主体用户的访问行为异常指数,该异常指数反映出该主体用户在该时间段内的网络环境状况下的访问行为异常度。
根据本发明实施例,所述根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况,具体为:
通过所述网络行为管理数据库获取对应预设的网络行为稳态检测阈值;
根据所述访问行为异常指数与所述网络行为稳态检测阈值进行阈值对比;
若阈值对比结果符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息正常;
若阈值对比结果不符合预设阈值对比要求,则确定所述访问主体用户用户在所述预设时间段内的网络流量访问行为信息存在异常。
需要说明的是,最后根据获得的访问行为异常指数与预设的检测阈值进行阈值对比,判断评估该访问主体用户在所述时间段内产生网络流量的访问行为信息的异常情况,通过网络行为管理数据库获取对应预设的网络行为稳态检测阈值,再根据该阈值与访问行为异常指数进行阈值对比,判断该访问主体用户的访问行为的异常度是否超出预设要求范围,若阈值对比符合要求,则该访问主体用户在预设时间段内的访问行为检测评估为正常,否则,则为超出预设要求范围,检测评估为存在异常,本方案中所述访问行为异常指数与网络行为稳态检测阈值的阈值对比要求需不小于预设阈值的90%。
本发明还提供了一种可读存储介质,所述可读存储介质中包括一种基于网络流量大数据的异常行为检测方法程序,所述基于网络流量大数据的异常行为检测方法程序被处理器执行时,实现如前述的基于网络流量大数据的异常行为检测方法的步骤。
本发明公开的基于网络流量大数据的异常行为检测方法、***和介质,通过网络访问流量轨迹特征信息的访问主体用户信息提取主体用户特征信息并进行属性识别获得访问主体用户属性信息,再结合特征信息生成网络访问流量监测图谱并提取各子时段的访问流量特征数据,采集网络环境动态数据并结合访问流量特征数据处理获得网络访问行为评测数据,再根据访问主体用户属性信息结合网络环境动态数据以及访问领域内容信息处理获得用户网络访问标准规范数据,再与网络访问行为评测数据进行偏离度计算获得网络访问行为偏离系数,并聚合获得访问行为异常指数,最后与网络行为稳态检测阈值进行阈值对比检测网络流量访问行为信息状况;从而通过获取网络访问流量监测图谱提取访问流量特征数据并结合网络环境动态数据进行处理获得网络访问行为评测数据,再与用户网络访问标准规范数据进行偏离度计算并聚合获得访问行为异常指数,后进行阈值对比监测网络访问行为信息状况,实现通过大数据处理技术对网络访问行为进行检测评估。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

Claims (10)

1.基于网络流量大数据的异常行为检测方法,其特征在于,包括以下步骤:
采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
2.根据权利要求1所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,包括:
根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息;
所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
3.根据权利要求2所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱,包括:
根据所述流量日志信息、访问事件信息、访问领域内容信息提取流量日志记载数据、访问事件记录数据、访问领域内容数据;
基于访问流量监测管理平台的预设访问数据链接融合模型对所述流量日志记载数据、访问事件记录数据、访问领域内容数据进行数据融合,并与所述用户身份认证信息和用户行为授权信息进行信息链接,生成网络访问流量监测图谱。
4.根据权利要求3所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据,包括:
采集所述各子时段的网络环境动态数据,所述网络环境动态数据包括异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据;
对各子时段的所述异常告警动态数据、漏洞监测动态数据以及攻击频次动态数据进行处理,获得对应子时段的网络环境稳态系数;
根据所述网络环境稳态系数结合所述访问主体用户对应的访问流量特征数据输入访问流量行为模型中进行计算处理,获得对应子时段的网络访问行为评测数据;
所述网络访问行为评测数据的计算公式为:
其中,为第i个子时段的网络访问行为评测数据,分别为第i个子时段的流量地域时间点数据、访问流量领域数据、访问流量应用数据、访问流量层级数据,为预设网络流量异动因子,为第i个子时段的网络环境稳态系数,为特征系数。
5.根据权利要求4所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据,包括:
根据所述访问领域内容信息在预设的网络行为管理数据库中进行信息匹配,获得对应的访问行为标准评估模型;
根据所述用户身份认证信息和用户行为授权信息结合子时段的网络环境稳态系数输入至所述访问行为标准评估模型中进行评估处理,获得对应子时段的用户网络访问标准规范数据;
所述用户网络访问标准规范数据的评估公式为:
其中,为第i个子时段的用户网络访问标准规范数据,为用户身份认证信息,为用户行为授权信息,为预设的访问行为加权因子,为第i个子时段的网络环境稳态系数,为特征系数。
6.根据权利要求5所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数,包括:
根据所述网络访问行为评测数据与用户网络访问标准规范数据进行偏离度计算,获得所述访问主体用户在对应子时段的网络访问行为偏离系数;
所述偏离度计算公式为:
其中,为第i个子时段的网络访问行为偏离系数,为预设网络流量异动因子,为特征系数;
对所述预设时间段内的所述各子时段对应的网络访问行为偏离系数进行访问轨迹聚合处理,获得所述访问主体用户在所述预设时间段内的访问行为异常指数,所述访问行为异常指数为:,其中,n为预设时间段内的子时段个数。
7.根据权利要求6所述的基于网络流量大数据的异常行为检测方法,其特征在于,所述根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况,包括:
通过所述网络行为管理数据库获取对应预设的网络行为稳态检测阈值;
根据所述访问行为异常指数与所述网络行为稳态检测阈值进行阈值对比;
若阈值对比结果符合预设阈值对比要求,则确定所述访问主体用户在所述预设时间段内的网络流量访问行为信息正常;
若阈值对比结果不符合预设阈值对比要求,则确定所述访问主体用户在所述预设时间段内的网络流量访问行为信息存在异常。
8.一种基于网络流量大数据的异常行为检测***,其特征在于,该***包括:存储器及处理器,所述存储器中包括基于网络流量大数据的异常行为检测方法的程序,所述基于网络流量大数据的异常行为检测方法的程序被所述处理器执行时实现以下步骤:
采集预设时间段内的网络访问流量轨迹特征信息,所述网络访问流量轨迹特征信息包括流量日志信息、访问事件信息、访问领域内容信息以及访问主体用户信息;
根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息;
根据所述流量日志信息、访问事件信息、访问领域内容信息结合所述访问主体用户属性信息生成网络访问流量监测图谱;
根据所述网络访问流量监测图谱提取各访问主体用户在各子时段的访问流量特征数据,所述访问流量特征数据包括流量地域时间点数据、访问流量领域数据、访问流量应用数据和访问流量层级数据;
采集所述各子时段的网络环境动态数据,并结合所述访问主体用户在对应子时段的所述访问流量特征数据进行处理,获得各子时段的网络访问行为评测数据;
根据所述访问主体用户属性信息结合所述网络环境动态数据以及访问领域内容信息在预设的网络行为管理数据库中进行处理,获得所述访问主体用户在对应子时段的用户网络访问标准规范数据;
根据所述网络访问行为评测数据与对应子时段的所述用户网络访问标准规范数据进行偏离度计算处理,获得所述子时段的网络访问行为偏离系数,并对所述预设时间段内的网络访问行为偏离系数进行访问轨迹聚合,获得所述访问主体用户在预设时间段的访问行为异常指数;
根据所述访问行为异常指数与预设的网络行为稳态检测阈值进行阈值对比,检测所述访问主体用户的网络流量访问行为信息状况。
9.根据权利要求8所述的基于网络流量大数据的异常行为检测***,其特征在于,所述根据所述访问主体用户信息提取主体用户特征信息,并对访问主体用户进行属性识别,获得访问主体用户属性信息,包括:
根据所述访问主体用户信息提取主体用户特征信息,所述主体用户特征信息包括访问用户身份信息、访问用户权限信息、访问用户授权级别信息;
根据所述访问用户身份信息、访问用户权限信息、访问用户授权级别信息输入预设的流量访客属性识别模型中进行处理,获得访问主体用户属性信息;
所述访问主体用户属性信息包括用户身份认证信息和用户行为授权信息。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包括基于网络流量大数据的异常行为检测方法程序,所述基于网络流量大数据的异常行为检测方法程序被处理器执行时,实现如权利要求1至7中任一项所述的基于网络流量大数据的异常行为检测方法的步骤。
CN202310382024.7A 2023-04-12 2023-04-12 基于网络流量大数据的异常行为检测方法、***和介质 Active CN116112292B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310382024.7A CN116112292B (zh) 2023-04-12 2023-04-12 基于网络流量大数据的异常行为检测方法、***和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310382024.7A CN116112292B (zh) 2023-04-12 2023-04-12 基于网络流量大数据的异常行为检测方法、***和介质

Publications (2)

Publication Number Publication Date
CN116112292A true CN116112292A (zh) 2023-05-12
CN116112292B CN116112292B (zh) 2023-06-09

Family

ID=86264095

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310382024.7A Active CN116112292B (zh) 2023-04-12 2023-04-12 基于网络流量大数据的异常行为检测方法、***和介质

Country Status (1)

Country Link
CN (1) CN116112292B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116502925A (zh) * 2023-06-28 2023-07-28 深圳普菲特信息科技股份有限公司 基于大数据的数字工厂设备巡检评估方法、***和介质
CN117034127A (zh) * 2023-10-10 2023-11-10 广东电网有限责任公司 一种基于大数据的电网设备监测预警方法、***和介质
CN117082561A (zh) * 2023-10-12 2023-11-17 北京绿色苹果技术有限公司 一种通信网络智能监测评估方法、***和介质
CN117473475A (zh) * 2023-11-01 2024-01-30 北京宝联之星科技股份有限公司 基于可信计算的大数据安全防护方法、***和介质

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120198569A1 (en) * 2011-01-31 2012-08-02 Bank Of America Corporation Associated with abnormal application-specific activity monitoring in a computing network
US20160219067A1 (en) * 2015-01-28 2016-07-28 Korea Internet & Security Agency Method of detecting anomalies suspected of attack, based on time series statistics
US20170187737A1 (en) * 2015-12-28 2017-06-29 Le Holdings (Beijing) Co., Ltd. Method and electronic device for processing user behavior data
US20170279848A1 (en) * 2016-03-24 2017-09-28 Cisco Technology, Inc. Score boosting strategies for capturing domain-specific biases in anomaly detection systems
CN112134723A (zh) * 2020-08-21 2020-12-25 杭州数梦工场科技有限公司 网络异常监测方法、装置、计算机设备和存储介质
CN112235314A (zh) * 2020-10-29 2021-01-15 东巽科技(北京)有限公司 网络流量检测方法和装置及设备
WO2021133791A1 (en) * 2019-12-23 2021-07-01 Boon Logic Inc. Method for network traffic analysis
CN114024764A (zh) * 2021-11-12 2022-02-08 中国工商银行股份有限公司 数据库异常访问的监控方法、监控***、设备和存储介质
CN114155012A (zh) * 2020-09-04 2022-03-08 京东科技控股股份有限公司 欺诈群体识别方法、装置、服务器及存储介质
CN114422267A (zh) * 2022-03-03 2022-04-29 北京天融信网络安全技术有限公司 流量检测方法、装置、设备及介质
CN115018343A (zh) * 2022-06-09 2022-09-06 中煤科工集团重庆研究院有限公司 矿井海量瓦斯监测数据异常识别与处置***及方法
CN115378619A (zh) * 2021-05-17 2022-11-22 ***通信集团河南有限公司 敏感数据访问方法及电子设备、计算机可读存储介质

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120198569A1 (en) * 2011-01-31 2012-08-02 Bank Of America Corporation Associated with abnormal application-specific activity monitoring in a computing network
US20160219067A1 (en) * 2015-01-28 2016-07-28 Korea Internet & Security Agency Method of detecting anomalies suspected of attack, based on time series statistics
US20170187737A1 (en) * 2015-12-28 2017-06-29 Le Holdings (Beijing) Co., Ltd. Method and electronic device for processing user behavior data
US20170279848A1 (en) * 2016-03-24 2017-09-28 Cisco Technology, Inc. Score boosting strategies for capturing domain-specific biases in anomaly detection systems
WO2021133791A1 (en) * 2019-12-23 2021-07-01 Boon Logic Inc. Method for network traffic analysis
CN112134723A (zh) * 2020-08-21 2020-12-25 杭州数梦工场科技有限公司 网络异常监测方法、装置、计算机设备和存储介质
CN114155012A (zh) * 2020-09-04 2022-03-08 京东科技控股股份有限公司 欺诈群体识别方法、装置、服务器及存储介质
CN112235314A (zh) * 2020-10-29 2021-01-15 东巽科技(北京)有限公司 网络流量检测方法和装置及设备
CN115378619A (zh) * 2021-05-17 2022-11-22 ***通信集团河南有限公司 敏感数据访问方法及电子设备、计算机可读存储介质
CN114024764A (zh) * 2021-11-12 2022-02-08 中国工商银行股份有限公司 数据库异常访问的监控方法、监控***、设备和存储介质
CN114422267A (zh) * 2022-03-03 2022-04-29 北京天融信网络安全技术有限公司 流量检测方法、装置、设备及介质
CN115018343A (zh) * 2022-06-09 2022-09-06 中煤科工集团重庆研究院有限公司 矿井海量瓦斯监测数据异常识别与处置***及方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116502925A (zh) * 2023-06-28 2023-07-28 深圳普菲特信息科技股份有限公司 基于大数据的数字工厂设备巡检评估方法、***和介质
CN116502925B (zh) * 2023-06-28 2024-01-23 深圳普菲特信息科技股份有限公司 基于大数据的数字工厂设备巡检评估方法、***和介质
CN117034127A (zh) * 2023-10-10 2023-11-10 广东电网有限责任公司 一种基于大数据的电网设备监测预警方法、***和介质
CN117034127B (zh) * 2023-10-10 2023-12-08 广东电网有限责任公司 一种基于大数据的电网设备监测预警方法、***和介质
CN117082561A (zh) * 2023-10-12 2023-11-17 北京绿色苹果技术有限公司 一种通信网络智能监测评估方法、***和介质
CN117082561B (zh) * 2023-10-12 2024-01-02 北京绿色苹果技术有限公司 一种通信网络智能监测评估方法、***和介质
CN117473475A (zh) * 2023-11-01 2024-01-30 北京宝联之星科技股份有限公司 基于可信计算的大数据安全防护方法、***和介质
CN117473475B (zh) * 2023-11-01 2024-04-09 北京宝联之星科技股份有限公司 基于可信计算的大数据安全防护方法、***和介质

Also Published As

Publication number Publication date
CN116112292B (zh) 2023-06-09

Similar Documents

Publication Publication Date Title
CN116112292B (zh) 基于网络流量大数据的异常行为检测方法、***和介质
CN111275333B (zh) 污染数据处理方法和装置
KR20180013998A (ko) 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템
CN111614690A (zh) 一种异常行为检测方法及装置
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN116094837B (zh) 基于网络大数据的网终应用采集分析方法、***及介质
CN116366374B (zh) 基于大数据的电网网络管理的安全评估方法、***及介质
CN111754241A (zh) 一种用户行为感知方法、装置、设备及介质
CN115222303B (zh) 基于大数据的行业风险数据分析方法、***及存储介质
CN116305168A (zh) 一种多维度信息安全风险评估方法、***及存储介质
CN115796708B (zh) 一种工程建设用的大数据智能质检方法、***和介质
CN115358155A (zh) 一种电力大数据异常预警方法、装置、设备及可读存储介质
CN116627707A (zh) 一种用户异常操作行为的检测方法及***
CN113141276A (zh) 一种基于知识图谱的信息安全方法
CN111611519A (zh) 一种个人异常行为检测方法及装置
CN112463848A (zh) 检测用户异常行为的检测方法、***、装置和存储介质
CN117609992A (zh) 一种数据泄密检测方法、装置及存储介质
CN115619539A (zh) 贷前风险评价方法以及装置
CN114422168A (zh) 一种恶意机器流量识别方法及***
CN114547640A (zh) 涉敏操作行为判定方法、装置、电子设备及存储介质
CN113011748A (zh) 推荐效果的评估方法、装置、电子设备及可读存储介质
CN117554737B (zh) 一种车载充电器的健康状况检测方法及***
CN116955456B (zh) 基于开源情报的舆论数据处理方法及***
CN117834308B (zh) 一种网络安全态势感知方法、***和介质
CN113159915B (zh) 基于大数据的智能金融信用动态评估方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant