CN102402517A - 数据库正常登录模型建立、登录行为异常检测方法及系统 - Google Patents
数据库正常登录模型建立、登录行为异常检测方法及系统 Download PDFInfo
- Publication number
- CN102402517A CN102402517A CN2010102788088A CN201010278808A CN102402517A CN 102402517 A CN102402517 A CN 102402517A CN 2010102788088 A CN2010102788088 A CN 2010102788088A CN 201010278808 A CN201010278808 A CN 201010278808A CN 102402517 A CN102402517 A CN 102402517A
- Authority
- CN
- China
- Prior art keywords
- database
- login
- message
- model
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据库正常登录模型建立方法及系统,以及一种数据库登录行为异常检测方法及系统,以克服现有技术无法在登录信息中发现可能存在异常的用户登录行为的技术问题,其中数据库正常登录模型建立方法包括:接收用户正常登录数据库产生的正常数据报文;从所述正常数据报文的字段内容中提取出登录信息;根据所述数据库的系统环境设定模型参数;根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。与现有技术相比,本发明提出的技术方案能够准确地发现用户登录行为当中隐藏的异常行为,可广泛应用于数据库业务审计产品中。
Description
技术领域
本发明涉及数据库业务审计技术,尤其涉及一种数据库正常登录模型建立方法及系统,以及一种数据库登录行为异常检测方法及系统。
背景技术
数据库业务审计技术是目前应用日益广泛的数据库安全防护技术,它通过对数据库系统中用户的各种操作行为解析、记录及分析,帮助管理人员对数据库系统进行规划预防、实时监控、违规行为阻止和事后追查网络运营事故,从而帮助用户加强对数据库系统操作行为监管、避免核心资产损失、保障数据库业务系统的正常运营等,是企业实现数据库管理和控制的最佳实践。
目前在金融、电信等行业当中均大量使用有各种类型的数据库系统,如DB2、Oracle、MySQL等等,这些行业的企业需要经常对业务系统当中的用户操作数据库进行准确详细的审计,其中对于用户登录行为的审计是必需而且重要的。通过对于各类数据库协议的解析,目前很多的数据库业务审计系统都可以准确地提取用户的登录信息,包括所使用的用户名、登录的IP地址、登录的时间等等。
本发明的发明人在实现本发明的过程中,发现现有技术至少存在如下技术缺陷:
目前的数据库业务发展趋势决定了仅仅能够提取出用户的登录信息是不够的。出于数据库安全防护角度的考虑,需要提供相应的技术,以能够在大量的登录信息中发现可能存在异常的用户登录行为。例如某系统的用户使用同事的账号多次登录后台数据库并修改其中的数据,如果仅仅依赖于传统的数据库业务审计系统,虽然可以准确地审计到每一次的登录事件,但是从系统角度看,每一次的登录事件均属于合法的数据库登录,因此无法发现其中的账号被盗用的异常。
发明内容
本发明所要解决的技术问题是需要提供一种建立数据库正常登录模型的技术,以克服现有技术无法在登录信息中发现可能存在的异常的用户登录行为的技术问题。
为了解决上述技术问题,本发明首先提供了一种数据库正常登录模型建立方法,包括如下步骤:
接收用户正常登录数据库产生的正常数据报文;
从所述正常数据报文的字段内容中提取出登录信息;
根据所述数据库的系统环境设定模型参数;
根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
优选地,从所述正常数据报文的字段内容中提取所述登录信息的步骤,包括:
根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
为了解决上述技术问题,本发明还提供了一种数据库正常登录模型建立系统,包括报文接收模块、解析和提取模块、参数设定模块以及模型建立模块,其中:
所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文;
所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;
所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;
所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
优选地,所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
本发明所要解决的另一技术问题是需要提供一种检测用户登录数据库的行为是否存在异常的技术,以克服现有技术无法在登录信息中发现可能存在的异常的用户登录行为的技术问题。
为了解决上述技术问题,本发明首先提供了一种数据库登录行为检测方法,包括如下步骤:
接收用户当前登录数据库产生的当前数据报文;
利用如权利要求1所述的正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录的行为是否存在异常的检测结果。
优选地,根据所述数据库的系统环境设定所述模型参数的步骤,包括:
根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
优选地,根据所述数据库的系统环境设定所述模型参数的步骤,包括:
根据所述数据库的系统环境设定包括IP地址段和/或用户组的所述模型参数。
为了解决上述技术问题,本发明还提供了一种数据库登录行为检测系统,包括报文接收模块、解析和提取模块、参数设定模块、模型建立模块、行为检测模块及输出模块,其中:
所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文及用户当前登录数据库产生的当前数据报文;
所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;
所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;
所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型;
所述行为检测模块,用于利用所述正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录行为是否存在异常的检测结果。
优选地,所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
优选地,所述参数设定模块用于设定包括IP地址段和/或用户组的所述模型参数。
与现有技术相比,本发明提出的技术方案能够准确地发现用户登录行为当中隐藏的异常行为,能够准确并及时地识别可能的非法使用他人账号登陆数据库的异常行为、用户非法时间登陆数据库行为以及观测周期内登陆频率异常等行为,从而在一定程度上反映出可能存在的安全隐患并上报给用户或管理员等,为数据库系统提供精确的审计及防护功能,解决了传统的数据库业务审计技术无法从用户登录数据库的行为中发现异常行为的问题。本发明技术方案可广泛应用于数据库业务审计产品中。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1是本发明实施例所述数据库正常登录模型建立方法的流程示意图;
图2是本发明实施例所述数据库登录行为异常检测方法的流程示意图;
图3是本发明实施例所述数据库正常登录模型建立系统的组成示意图;
图4是本发明实施例所述数据库登录行为异常检测系统的组成示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。
首先,如果不冲突,本发明实施例以及实施例中的各个特征的相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
实施例一、一种数据库正常登录模型建立方法
如图1所示,本实施例主要包括如下步骤:
步骤S110,接收用户正常登录数据库过程中产生的正常数据报文;
步骤S120,对所接收的正常数据报文进行协议解析和信息提取,从该正常数据报文的字段内容中提取出有用的登录信息;
步骤S130,根据数据库的系统环境设定模型参数;这一步骤的实现,可以是用户针对相应需求来实现的,接收用户根据数据库的系统环境设定的模型参数即可;
步骤S140,根据该登录信息及所设定的该模型参数,为该数据库建立用户登录该数据库的正常登录模型并存储;
至此,为数据库建立并存储了正常登录模型,之后即可根据该正常登录模型进行后续的用户登录数据库的行为检测。
上述步骤S120中,对正常数据报文进行协议解析和信息提取的过程,是按照相应的数据库协议格式从正常数据报文的字段内容中提取出有用的登录信息;本步骤的实现依赖于对不同应用环境中的不同数据库的协议解析。
具体地,例如对于DB2数据库,可以在类型为11a0的数据报文当中提取用户名,而对于Oracle数据库,则可以在数据包类型为0336的数据报文当中提取出用户名。
此后,上述步骤S120依据所提取出的用户名,根据正常数据报文中的字段内容,生成统一信息格式的登录信息,该登录信息中包括用户名、登录IP地址、登录时间以及对象数据库名等等项目。
在本实施例的一个实际应用中,所生成的登录信息如表1所示:
表1、
| 编号 | 用户名 | 登录IP地址 | 登录时间 | 对象数据库名 |
| 记录一 | Alice | 192.168.55.115 | 10-05-11-8:03 | DB2 |
| 记录二 | Bob | 162.195.126.21 | 10-05-11-8:06 | DB2 |
| 记录三 | Alice | 162.195.126.21 | 10-05-11-8:15 | DB2 |
| ..... |
其中,登录时间以“年-月-日-时:分”的格式进行记录,比如“10-05-11-8:03”表示“2010年5月11日8时3分”。
需要说明的是,一般而言,本发明技术方案的一般应用中,是先执行步骤S130中设定模型参数的步骤,然后根据所设定的模型参数从步骤S110中产生的正常数据报文中提取出登录信息(即执行步骤S120)。然而,在另一些实际应用中,先执行步骤S120,然后执行步骤S130也是可行的。因此,本实施例的步骤S120与步骤S130的施行,并没有严格的先后顺序。
用户针对具体需求设定模型参数时,可以是从步骤S120的登录信息中选取全部或部分项目来完成的。对于不同的数据库环境,需要检测的对象可能是不同的。例如对于某些数据库环境,需要对某些特定用户的登录行为进行审计,主要针对的是某些特权用户的行为监控。而对于某些数据库环境需要对某些特定IP地址进行用户登录行为,尤其是某些涉密环境下的登录进行进行监控。
因此,上述步骤S130中设定模型参数,主要是为了明确模型参数设定后所针对检测的对象,比如主要是对用户名进行检测,还是主要对登陆IP地址进行检测,等等。例如沿用表1的数据,对于其中的三项记录,若设定参数为按用户Alice的登录行为建立正常登录模型,则记录一和记录三是有效记录,可以用于建立正常登录模型;若设定参数为按IP地址162.195.126.21的登录行为建立正常登录模型,则记录二和记录三是有效记录,可以用于建立正常登录模型。
当然,步骤S130当中设定的模型参数也可以是IP地址段和/或用户组等。至于模型参数是IP地址段和/或用户组等的情形,请参照本实施例一并理解。
上述步骤S140可以采用自学习的方式进行正常登录模型的生成,在这其中,可根据需要采用周期性地自学习方式或非周期性地自学习方式进行该正常登录模型的生成。
不失一般性,本实施例的一个实际应用中,模型参数设定为检测前述表1中的用户Alice的登录行为,并采用周期性地学习方式进行正常登录模型的生成。
本实际应用中,根据之前7天的上午8:00-9:00的登录信息作为建立正常登录模型的数据对象。在该时间段内的观测周期为5分钟,则每天该时间段内的观测周期为12个,过去7天的总观测周期为84个。由这7天内用户Alice的登录信息,可以得到该用户Alice在此84个观测周期内的登录次数,据此即可生成该时间段内(上午8:00-9:00)用户Alice的正常登录模型。
本实际应用中利用下述表达式计算检测用的模型阈值:
其中,
N表示包含数据的观测周期的数量;
xi表示一个观测周期内的登陆次数;
σ为方差,表示用户登录行为异常检测步骤进行实时检测的模型阈值。
如上所述,采用的是周期性地自学习算法,并且参考的是过去7天的数据,则该模型阈值将根据历史数据的不同以天为单位进行更新。实际应用中,后续进行异常检测时,正常登录模型是以其中最新的模型阈值为准。
沿用表1所示应用,用户Alice在5月11日7:00-8:00之间的登录次数为2次。假设历史5天的7:00-8:00的登录数据分别为3、1、2、3和2次,则根据前述表达式计算出阈值σ=0.83。假设第6天的登录为3次,则3-2.2=0.8<σ,认为登录行为正常;假设第7天登录次数为7次,则7-3=4>4σ,此时认为登录行为出现重度异常。
实施例二、一种数据库登录行为异常检测方法
本实施例以前述实施例一所建立的正常登录模型,进行用户登录数据库的登录行为的检测。如图2所示,本实施例主要包括如下步骤:
步骤S210,接收用户当前登录数据库过程中产生的当前数据报文;
步骤S220,利用前述实施例一步骤S140所建立的正常登录模型,对步骤S210所接收的当前数据报文进行登录行为检测,获得步骤S210中用户当前登录数据库的行为是否存在异常的检测结果;
步骤S230,将该检测结果输出显示给用户或者管理员等检测管理方;
至此,根据该检测结果即可获知步骤S210中用户登录数据库是否存在异常登录的行为。
在实际应用中,如果获知步骤S210中的用户异常登录数据库,则可以通过鉴权措施对该异常登录数据库的用户进行进一步的权限核实。
在实时监控应用中,步骤S220中将某观测周期内统计的用户登陆行为的实际值与相应的模型阈值进行比较,根据实际值与模型阈值的偏离程度判断用户登陆行为是否存在异常。
用户登陆行为的实际值与正常登录模型中相应的模型阈值进行比较时,可以采用单边比较,比如只有实际值大于等于模型阈值时才产生异常报警,如果实际值小于模型阈值,则无论偏差有多大均不产生异常报警。
具体地,判断方法比如为:
(如3σ):轻度异常;
例如,假设当前时间点为上午6:30,需要统计分析的对象为所有用户登录数据库的行为,则当前统计的用户登陆次数的实际值,需要与自学习阶段建立的上午6:00-7:00的用户登录次数的模型阈值进行比较;该模型阈值为:登录次数均值
为100,方差σ为15,判断标准为默认标准(如轻度异常、中度异常、严重异常的临界值分别为如前所述的2σ、3σ和4σ)。在当前观测周期内,观测到用户登录数据库的次数为120次,则根据模型阈值判断:120-100=20<2×15=30,因此当前用户登录数据库的行为为正常。
实施例三、一种数据库正常登录模型建立系统
结合图1所示的实施例一,本实施例如图3所示,主要包括报文接收模块310、解析和提取模块320、参数设定模块330以及模型建立模块340,其中:
报文接收模块310,用于接收用户正常登录数据库过程中产生的正常数据报文;
解析和提取模块320,与报文接收模块310相连,用于对所接收的正常数据报文进行协议解析和信息提取,从正常数据报文的字段内容中提取出有用的登录信息;
参数设定模块330,用于根据实际数据库系统环境设定模型参数;
模型建立模块340,与解析和提取模块320及参数设定模块330相连,根据该登录信息及所设定的模型参数,为该数据库建立用户登录该数据库的正常登录模型并存储。
其中,上述参数设定模块330用于根据数据库的系统环境,利用解析和提取模块320提取出的登录信息设定该模型参数。
本实施例所述的数据库正常登录模型建立系统,在技术方案上与实施例一所述的数据库正常登录模型建立方法,在实质上是相互对应的,因此本实施例的技术方案可以结合图1所示数据库正常登录模型建立方法进行对应理解,此处不再赘述。但是应当说明的是,本实施例的技术方案虽然简写,但基于前述实施例一的存在,因此也应当视为完整地公开。
实施例四、一种数据库登录行为异常检测系统
结合图1所示的实施例一、图2所示的实施例二以及图3所示的实施例三,本实施例如图4所示,主要包括报文接收模块410、解析和提取模块420、参数设定模块430、模型建立模块440、行为检测模块450及输出模块460,其中:
报文接收模块410,用于接收用户登录数据库过程中产生的数据报文,包括为了建立正常登录模型的用户正常登录数据库过程中产生的正常数据报文,和用于进行异常检测的用户当前登录数据库过程中产生的当前数据报文;
解析和提取模块420,与报文接收模块410相连,用于对所接收的正常数据报文进行协议解析和信息提取,从数据报文的字段内容中提取出有用的登录信息;
参数设定模块430,用于根据实际数据库系统环境设定模型参数;
模型建立模块440,与解析和提取模块420及参数设定模块430相连,根据该登录信息及所设定的模型参数,为该数据库建立用户登录该数据库的正常登录模型并存储;
行为检测模块450,与报文接收模块410及模型建立模块440相连,用于利用该正常登录模型对该当前数据报文进行登录行为检测,获得用户当前登录数据库的行为是否存在异常的检测结果;
输出模块460,与该行为检测模块450相连,用于将该检测结果输出显示给用户或者管理员等检测管理方。
其中,上述参数设定模块430可以用于根据数据库的系统环境,利用解析和提取模块420提取出的登录信息设定该模型参数。
其中,上述行为检测模块450可以进一步用于利用该正常登录模型对当前数据报文进行登录行为检测时,对该正常登录模型进行自学习,以利用最新的正常登录模型进行登录行为的检测。
本实施例所述的数据库登录行为检测系统,在技术方案上与前述的实施例二所述的数据库登录行为检测方法,在实质上是相互对应的,因此本实施例的技术方案可以结合图1所示数据库正常登录模型建立方法、图2所示数据库登录行为检测方法以及图3所示数据库正常登录模型建立系统的技术方案进行对应理解,此处不再赘述。但是应当说明的是,本实施例的技术方案虽然简写,但基于前述实施例一、实施例二及实施例三的存在,因此也应当视为完整地公开。
本发明提出的技术方案,在实际数据库业务环境下通过对实际数据报文进行解析及用户登录行为的信息进行采集和提取,据此生成正常登录模型,并以此模型为基础对数据库用户的登录行为进行检测。同时,该正常登录模型可在检测过程中通过自学习的方式不断更新以适应实时检测的需要。
本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
虽然本发明所揭露的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
Claims (10)
1.一种数据库正常登录模型建立方法,其特征在于,包括如下步骤:
接收用户正常登录数据库产生的正常数据报文;
从所述正常数据报文的字段内容中提取出登录信息;
根据所述数据库的系统环境设定模型参数;
根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
2.根据权利要求1所述的方法,其特征在于,从所述正常数据报文的字段内容中提取所述登录信息的步骤,包括:
根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
3.一种数据库登录行为异常检测方法,其特征在于,包括如下步骤:
接收用户当前登录数据库产生的当前数据报文;
利用如权利要求1所述的正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录的行为是否存在异常的检测结果。
4.根据权利要求3所述的方法,其特征在于,根据所述数据库的系统环境设定所述模型参数的步骤,包括:
根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
5.根据权利要求3所述的方法,其特征在于,根据所述数据库的系统环境设定所述模型参数的步骤,包括:
根据所述数据库的系统环境设定包括IP地址段和/或用户组的所述模型参数。
6.一种数据库正常登录模型建立系统,其特征在于,包括报文接收模块、解析和提取模块、参数设定模块以及模型建立模块,其中:
所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文;
所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;
所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;
所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型。
7.根据权利要求6所述的系统,其特征在于:
所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
8.一种数据库登录行为异常检测系统,其特征在于,包括报文接收模块、解析和提取模块、参数设定模块、模型建立模块、行为检测模块及输出模块,其中:
所述报文接收模块,用于接收用户正常登录数据库产生的正常数据报文及用户当前登录数据库产生的当前数据报文;
所述解析和提取模块,用于从所述正常数据报文的字段内容中提取出登录信息;
所述参数设定模块,用于根据所述数据库的系统环境设定模型参数;
所述模型建立模块,用于根据所述登录信息及所述模型参数,为所述数据库建立正常登录模型;
所述行为检测模块,用于利用所述正常登录模型对所述当前数据报文进行登录行为检测,获得用户当前登录行为是否存在异常的检测结果。
9.根据权利要求8所述的系统,其特征在于:
所述报文接收模块用于根据所述模型参数从所述正常数据报文的字段内容中提取出所述登录信息。
10.根据权利要求8所述的系统,其特征在于:
所述参数设定模块用于设定包括IP地址段和/或用户组的所述模型参数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102788088A CN102402517A (zh) | 2010-09-09 | 2010-09-09 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102788088A CN102402517A (zh) | 2010-09-09 | 2010-09-09 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102402517A true CN102402517A (zh) | 2012-04-04 |
Family
ID=45884733
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102788088A Pending CN102402517A (zh) | 2010-09-09 | 2010-09-09 | 数据库正常登录模型建立、登录行为异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102402517A (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882874A (zh) * | 2012-09-29 | 2013-01-16 | 合一网络技术(北京)有限公司 | 一种用户服务权限保护装置及方法 |
| CN102932344A (zh) * | 2012-10-26 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 桌面虚拟化环境中的客户端信息审计方法和系统 |
| CN103793484A (zh) * | 2014-01-17 | 2014-05-14 | 五八同城信息技术有限公司 | 分类信息网站中的基于机器学习的欺诈行为识别系统 |
| WO2015043491A1 (zh) * | 2013-09-30 | 2015-04-02 | 腾讯科技(深圳)有限公司 | 一种用于对互联网账号的登录进行安全验证的方法及系统 |
| CN104537285A (zh) * | 2014-12-10 | 2015-04-22 | 微梦创科网络科技(中国)有限公司 | 一种网络用户注册防刷方法及装置 |
| CN105281971A (zh) * | 2014-07-23 | 2016-01-27 | 江苏威盾网络科技有限公司 | 一种基于可信度的网络账号异常检测方法 |
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN105743904A (zh) * | 2016-03-14 | 2016-07-06 | 上海携程商务有限公司 | 网站的用户信息的泄露检测方法和系统 |
| CN105915364A (zh) * | 2015-12-08 | 2016-08-31 | 乐视网信息技术(北京)股份有限公司 | 一种防止用户身份被恶意分享的方法及其装置 |
| CN106469179A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 一种信息监控方法及装置 |
| CN107335220A (zh) * | 2017-06-06 | 2017-11-10 | 广州华多网络科技有限公司 | 一种消极用户的识别方法、装置及服务器 |
| CN107426750A (zh) * | 2017-07-18 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 一种手机注册失败自动诊断方法及系统 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101464889A (zh) * | 2008-12-23 | 2009-06-24 | 深圳市迈科龙电子有限公司 | 数据库安全监控装置和方法 |
| CN101719824A (zh) * | 2009-11-24 | 2010-06-02 | 北京信息科技大学 | 一种基于网络行为检测的信任度评估系统和方法 |
-
2010
- 2010-09-09 CN CN2010102788088A patent/CN102402517A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649311A (zh) * | 2005-03-23 | 2005-08-03 | 北京首信科技有限公司 | 基于机器学习的用户行为异常检测系统和方法 |
| CN101464889A (zh) * | 2008-12-23 | 2009-06-24 | 深圳市迈科龙电子有限公司 | 数据库安全监控装置和方法 |
| CN101719824A (zh) * | 2009-11-24 | 2010-06-02 | 北京信息科技大学 | 一种基于网络行为检测的信任度评估系统和方法 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882874A (zh) * | 2012-09-29 | 2013-01-16 | 合一网络技术(北京)有限公司 | 一种用户服务权限保护装置及方法 |
| CN102932344A (zh) * | 2012-10-26 | 2013-02-13 | 曙光信息产业(北京)有限公司 | 桌面虚拟化环境中的客户端信息审计方法和系统 |
| WO2015043491A1 (zh) * | 2013-09-30 | 2015-04-02 | 腾讯科技(深圳)有限公司 | 一种用于对互联网账号的登录进行安全验证的方法及系统 |
| CN104519032A (zh) * | 2013-09-30 | 2015-04-15 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
| CN104519032B (zh) * | 2013-09-30 | 2019-02-01 | 深圳市腾讯计算机系统有限公司 | 一种互联网账号的安全策略及系统 |
| CN103793484A (zh) * | 2014-01-17 | 2014-05-14 | 五八同城信息技术有限公司 | 分类信息网站中的基于机器学习的欺诈行为识别系统 |
| CN103793484B (zh) * | 2014-01-17 | 2017-03-15 | 五八同城信息技术有限公司 | 分类信息网站中的基于机器学习的欺诈行为识别系统 |
| CN105281971A (zh) * | 2014-07-23 | 2016-01-27 | 江苏威盾网络科技有限公司 | 一种基于可信度的网络账号异常检测方法 |
| CN105471819A (zh) * | 2014-08-19 | 2016-04-06 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN105471819B (zh) * | 2014-08-19 | 2019-08-30 | 腾讯科技(深圳)有限公司 | 账号异常检测方法及装置 |
| CN104537285A (zh) * | 2014-12-10 | 2015-04-22 | 微梦创科网络科技(中国)有限公司 | 一种网络用户注册防刷方法及装置 |
| CN106469179A (zh) * | 2015-08-21 | 2017-03-01 | 阿里巴巴集团控股有限公司 | 一种信息监控方法及装置 |
| CN105915364A (zh) * | 2015-12-08 | 2016-08-31 | 乐视网信息技术(北京)股份有限公司 | 一种防止用户身份被恶意分享的方法及其装置 |
| CN105743904A (zh) * | 2016-03-14 | 2016-07-06 | 上海携程商务有限公司 | 网站的用户信息的泄露检测方法和系统 |
| CN107992744A (zh) * | 2016-10-26 | 2018-05-04 | 珠海市魅族科技有限公司 | 登陆行为的风险识别方法和装置 |
| CN108540431A (zh) * | 2017-03-03 | 2018-09-14 | 阿里巴巴集团控股有限公司 | 账号类型的识别方法、装置和系统 |
| CN107335220A (zh) * | 2017-06-06 | 2017-11-10 | 广州华多网络科技有限公司 | 一种消极用户的识别方法、装置及服务器 |
| CN107335220B (zh) * | 2017-06-06 | 2021-01-26 | 广州华多网络科技有限公司 | 一种消极用户的识别方法、装置及服务器 |
| CN107426750A (zh) * | 2017-07-18 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 一种手机注册失败自动诊断方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102402517A (zh) | 数据库正常登录模型建立、登录行为异常检测方法及系统 | |
| AU2017221858B2 (en) | Graph database analysis for network anomaly detection systems | |
| US11531766B2 (en) | Systems and methods for attributing security vulnerabilities to a configuration of a client device | |
| Garitano et al. | A review of SCADA anomaly detection systems | |
| US9697100B2 (en) | Event correlation | |
| Barbosa et al. | Exploiting traffic periodicity in industrial control networks | |
| CN101902366A (zh) | 一种业务行为异常检测方法和系统 | |
| CN105704146A (zh) | Sql防注入的系统与方法 | |
| CN101272286B (zh) | 网络入侵事件关联检测方法 | |
| CN108259202A (zh) | 一种ca监测预警方法和ca监测预警系统 | |
| CN101321084A (zh) | 在计算机环境中利用关联规则挖掘为计算实体产生配置规则的方法和装置 | |
| CN107547572B (zh) | 一种基于伪随机数的can总线通信方法 | |
| CN101950271A (zh) | 一种基于建模技术的软件安全性测试方法 | |
| CN101883017A (zh) | 一种网络安全状态评估系统及方法 | |
| JP2012150805A (ja) | システムアプリケーション処理に関連する詐欺を検出するシステムおよび方法 | |
| CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
| CN108183897B (zh) | 一种信息物理融合系统安全风险评估方法 | |
| CN103378991A (zh) | 一种在线服务异常监测方法及其监测系统 | |
| Singh et al. | Sql injection detection and correction using machine learning techniques | |
| CN108989118A (zh) | 一种基于go语言的企业级私有区块链部署工具 | |
| CN105096034A (zh) | 电子政务的实现方法和电子政务系统 | |
| US20160219069A1 (en) | Method for detecting anomalies in network traffic | |
| CN107040532B (zh) | 一种使用验证码校验的数据评估装置 | |
| CN111191683B (zh) | 基于随机森林和贝叶斯网络的网络安全态势评估方法 | |
| CN112713996B (zh) | 基于区块链的故障验证方法、服务器和终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120404 |