CN103297267A - 一种网络行为的风险评估方法和系统 - Google Patents
一种网络行为的风险评估方法和系统 Download PDFInfo
- Publication number
- CN103297267A CN103297267A CN2013101723535A CN201310172353A CN103297267A CN 103297267 A CN103297267 A CN 103297267A CN 2013101723535 A CN2013101723535 A CN 2013101723535A CN 201310172353 A CN201310172353 A CN 201310172353A CN 103297267 A CN103297267 A CN 103297267A
- Authority
- CN
- China
- Prior art keywords
- network behavior
- bunch
- internet resources
- vector
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络行为的风险评估方法和系统,其中网络行为的风险评估方法包括:提取待评估的网络行为的特征信息,其中包括:该网络行为所涉及的网络资源的地址信息;根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量;分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;在簇风险评估值表中查找出与该待审簇相对应的风险评估值作为该网络行为的风险评估值。实现了对网络行为的定量风险评估,有利于降低网络行为带来的风险。而且,在建立知识库的过程中,包括对网络数据子集之间的关联分析和对网络行为之间的关联分析,提高了对异常或违规网络行为的识别率。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种网络行为审计的方法和系统。
背景技术
随着互联网的发展,人们的网络行为越来越频繁交织。从概念上讲,网络行为是指每个网络个体在网络中获取、发送或传输网络数据的过程,通常包括:浏览网页或视频、搜索下载文件、网络购物、发送邮件、论坛聊天、微博交流等;其中,网络数据包括数据链路层到应用层所有数据。除了正常的网络行为外,有意或无意产生的异常的网络行为会带来不便甚至损失:例如不正确的网络设置,可能会造成网络环路导致无法通讯;不正当的应用,可能产生大量数据流量阻塞网络;病毒或网络攻击,可能造成网络瘫痪或数据损坏。目前,人们通常采用网络行为审计(Network Behavior Audit或NetworkBehavior Analysis,NBA)技术来降低异常的网络行为带来的风险。
常见的网络行为审计通常通过采集网络行为产生的数据包,根据与数据包对应的网络应用协议,将数据包还原成网络数据,对网络数据进行分析,来发现异常或违规的网络数据,从而判定与该异常或违规网络数据相关的网络行为也是异常或违规的,记录该网络行为的信息、触犯的规则存储成事件记录,所述事件记录为追述、取证和分析异常或违规的网络行为提供了便利。
但是,各厂商或组织制定的网络应用协议种类繁多并动态更新,使得一个网络行为往往采用了多个网络应用协议,每个协议都产生各自的数据包,将数据包分别根据对应的网络应用协议还原成网络数据;本来应该是对应于整个网络行为的网络数据集被割裂为依赖于互相之间相对独立的网络应用协议对应的网络数据子集,这些网络数据子集是片段化或碎片化的。在网络数据集实际异常或违规的,但是分解成网络数据子集后可能每个网络数据子集都是正常的情况下,缺少对网络数据子集之间的关联分析,对该网络数据集对应的网络行为的审计将失效;此外,在单个网络行为是正常的,但若干网络行为组合起来是异常或违规的情况下,还缺少对网络行为之间的关联分析,也会造成对网络行为审计的漏审;目前只有对网络资源的风险评估,还没有对网络行为本身的风险评估。
发明内容
针对上述现有技术存在的缺陷,本发明提供了一种网络行为的风险评估方法和系统,用以对网络行为进行风险评估。
本发明提供一种网络行为的风险评估方法,包括:
提取待评估的网络行为的特征信息,其中包括:该网络行为所涉及的网络资源的地址信息;
根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量;
分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;
在簇风险评估值表中查找出与该待审簇相对应的风险评估值作为该网络行为的风险评估值。
进一步,在所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量之前,还包括:
将所述特征信息中的网络资源的地址信息与黑名单库中的地址信息进行对比;以及
所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量具体为:
在确定出所述特征信息中的网络资源的地址信息与所述黑名单库中的地址信息相匹配时,根据提取的特征信息中的网络资源的地址信息对所述网络行为向量化,得到该网络行为的网络行为向量。
较佳地,在所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量之前,还包括:
将所述待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;以及
所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量具体为:
在确定出所述待评估的网络行为所涉及的内容提要信息与所述敏感信息库中的信息相匹配时,根据提取的特征信息中的网络资源的地址信息对所述网络行为向量化,得到该网络行为的网络行为向量。
其中,所述知识库是在学习阶段预先确定的:
对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;
根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;以及
对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;
根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,并在所述知识库中存储所述关联关系;
对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
较佳地,所述网络资源的特征信息中还包括:该网络资源的协议类型信息、资源类型信息和资源内容类型信息;以及
所述网络行为的特征信息中还包括:该网络行为所涉及的网络资源的协议类型信息、资源类型信息和资源内容类型信息。
较佳地,所述网络行为向量簇的风险评估值还根据该网络行为向量簇中各网络行为向量对应的网络行为的辅助信息确定;其中,所述网络行为的辅助信息包括:网络行为的源地址和目标地址信息、网络行为的源地址和目标地址所属地域信息、网络行为涉及的协议类型信息和网络行为的起止时间信息。
本发明还提供一种网络行为的风险评估系统,包括:
特征信息提取模块,用于提取待评估的网络行为的特征信息,所述特征信息包括:该网络行为所涉及的网络资源的地址信息;
向量化模块,用于根据所述特征信息提取模块确定出的特征信息,对所述网络行为向量化,得到该网络行为的网络行为向量;
待审簇确定模块,用于分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;
风险评估模块,用于在簇风险评估值表中查找出与待审簇确定模块确定出的待审簇相对应的风险评估值作为所述网络行为的风险评估值。
所述网络行为的风险评估系统,还包括:
知识库确定模块,用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
所述知识库确定模块还用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
所述知识库确定模块还用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
其中,所述知识库确定模块具体包括:
网络资源向量簇确定单元,用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
网络行为向量簇确定单元,用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
知识库建立单元,用于用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述知识库的簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
较佳地,所述网络行为的风险评估系统,还包括:
信息比对模块,用于将所述待评估的网络行为所涉及的网络资源的地址信息与黑名单库中的地址信息进行对比;将所述待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;在确定出所述待评估的网络行为所涉及的网络资源的地址信息与所述黑名单库中的地址信息相匹配,或所述待评估的网络行为所涉及的内容提要信息与所述敏感信息库中的信息相匹配时,向所述向量化模块发送向量化通知;以及
所述向量化模块具体用于在接收到所述向量化通知后,根据所述特征信息提取模块确定出的特征信息,对所述网络行为向量化,得到该网络行为的网络行为向量。
本发明方案中的网络行为的风险评估系统,建立并利用知识库对网络行为进行风险评估。实现了对网络行为的定量风险评估,有利于降低网络行为带来的风险。而且,在建立知识库的过程中,包括对网络数据子集之间的关联分析和对网络行为之间的关联分析,提高了对异常或违规网络行为的识别率。
附图说明
图1为本发明实施例的网络行为的风险评估方法的流程图;
图2为本发明实施例的确定知识库的流程图;
图3为本发明实施例的网络行为的风险评估系统的内部结构框图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举出优选实施例,对本发明进一步详细说明。然而,需要说明的是,说明书中列出的许多细节仅仅是为了使读者对本发明的一个或多个方面有一个透彻的理解,即便没有这些特定的细节也可以实现本发明的这些方面。
本申请使用的“模块”、“系统”等术语旨在包括与计算机相关的实体,例如但不限于硬件、固件、软硬件组合、软件或者执行中的软件。例如,模块可以是,但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。举例来说,计算设备上运行的应用程序和此计算设备都可以是模块。一个或多个模块可以位于执行中的一个进程和/或线程内,一个模块也可以位于一台计算机上和/或分布于两台或更多台计算机之间。
本发明的发明人考虑到,将大量已记录的网络行为提取特征值并向量化,再对网络行为向量进行聚类,可以实现网络行为之间的关联分析;由于网络行为的网络数据集中的一部分网络数据通常来自于若干网络资源,因此将大量的现存网络资源提取特征值并向量化,对网络资源向量进行聚类,可以实现网络数据子集之间的关联分析;建立网络行为向量簇与网络资源向量簇之间的联系。根据网络行为向量簇与网络资源向量簇之间的联系,由于现存的网络资源的风险值往往是已知的,可以确定出网络行为向量簇对应的风险评估值,并将任一网络行为向量簇和其对应的风险评估值记录成簇风险评估值表。进一步的,还可以根据网络行为向量簇中各网络行为向量对应的网络行为的一些辅助信息,进一步修正网络行为向量簇对应的风险评估值。再建立知识库,该知识库包括:该簇风险评估值表与各网络行为向量簇及预先设定的敏感信息库和黑名单库。
根据利用上述知识库的网络行为风险评估系统,对新产生网络行为进行风险评估,包括:提取新产生的网络行为的特征信息,将该特征信息与黑名单库和敏感信息库中的信息比对;对所述特征信息包含了所述黑名单库或所述敏感信息库中的信息的网络行为进行向量化,得到网络行为向量;计算该网络行为向量与知识库中各网络行为向量簇的距离,确定出最小距离的那个网络行为向量簇作为待审簇;在知识库的簇风险评估值表里查找与待审簇相对应的风险评估值作为该网络行为的风险评估值。根据利用上述知识库的网络行为风险评估系统,可以对网络行为进行定量的风险评估,从而总体上降低了网络行为带来的风险。
基于以上分析,本发明提供了一种利用网络行为风险评估系统对网络行为进行风险评估的方法,具体流程如图1所述,具体包括如下步骤:
S101:提取待评估的网络行为的特征信息。
具体的,从待评估的网络行为的数据包中提取出待评估的网络行为的特征信息,提取的该网络行为的特征信息中包括:该网络行为所涉及的网络资源的地址信息。
进一步的,所述特征信息中还可以包括:该网络行为所涉及的网络资源的内容提要信息。
进一步的,提取的该网络行为的特征信息中还可以包括:该网络行为所涉及的网络资源的协议类型信息、资源类型信息和资源内容类型信息。
较优的,还可以提取待评估的网络行为的辅助信息,包括:网络行为的源地址和目标地址信息、网络行为的源地址和目标地址所属地域信息、和网络行为的起止时间信息。
S102:将提取出的特征信息与知识库中的黑名单库中的信息进行对比,当提取出的特征信息与所述黑名单库中的信息相匹配时,继续执行下一步;否则,直接结束当前流程。
具体的,将提取出的特征信息中的网络资源的地址信息与黑名单库中的地址信息进行对比;当提取出的特征信息与黑名单库中的地址信息相匹配时,继续执行下一步;否则,直接结束当前流程。
进一步的,在本步骤中还可以将待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;当该网络行为所涉及的内容提要信息与敏感信息库中的信息相匹配时,继续执行下一步;否则,直接结束当前流程。
其中,所述知识库是在学习阶段预先确定的,具体的确定方法在后面详细介绍。
其中,敏感信息库和黑名单库均为预先存储在知识库中的;敏感信息库包括:敏感的关键字;黑名单库包括:违规或异常的地址。
S103:根据提取的待评估的网络行为的特征信息,将该网络行为向量化,得到网络行为向量。
具体的,将所述特征信息中的该待评估网络行为所涉及的网络资源的地址信息进行编码计算;将得到的该网络行为所涉及的网络资源的地址编码作为该网络行为向量的元素,构成网络行为向量。
还可以将所述特征信息中的该待评估网络行为所涉及的网络资源的协议类型信息、资源类型信息和资源内容类型信息进行编码计算;将得到的该网络行为所涉及的网络资源的协议类型编码、资源类型编码和资源内容类型编码作为该网络行为向量中的元素。
S104:分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇。
S105:在知识库的簇风险评估值表中查找出与该待审簇相对应的风险评估值作为该网络行为的风险评估值。
进一步,上述步骤S105确定出的待评估的网络行为对应的风险评估值、步骤S101中提取的该网络行为的辅助信息、步骤S102中该网络行为的网络资源的地址信息与黑名单库中的地址信息的匹配结果、该网络行为所涉及的内容提要信息与敏感信息库中的信息的匹配结果,都记录到该网络行为的审计信息中。即针对每一个待评估的网络行为,其审计信息中的项目包括:风险评估值、网络资源的地址信息、与黑名单库中的地址信息的匹配结果、和与敏感信息库中的信息的匹配结果。该审计记录中的项目还可以包括:网络行为的起止时间、网络行为的源地址和目标地址,及网络行为的源地址和目标地址所在地域。
对于若干条审计记录,将若干条审计记录组成审计记录表进行统计分析,提取出不同的聚合点,按照各聚合点对审计记录表进行排序,得到各种排序的审计记录表,所述各种排序的审计记录表组成了若干条审计记录对应的若干个网络行为的行为踪迹。其中,聚合点为若干条审计记录中任一项目的内容分布。
上述步骤中所述知识库是在学习阶段预先确定的,具体确定步骤的流程如图2所示,具体包括如下步骤:
S201:对现存的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;根据各网络资源向量之间的相似性,对各网络资源向量进行聚类,得到至少一个网络资源向量簇。
具体的,收集现存的大量网络资源的网络数据,针对每一个现存的网络资源提取的特征信息,包括:网络资源的地址信息。将提取出的网络资源的地址信息进行编码计算;将得到的网络资源的地址编码作为网络资源向量的元素,构成网络资源向量。
进一步的,针对每一个现存的网络资源提取的特征信息,还可以包括:网络资源的协议类型信息、网络资源的资源类型信息(例如,电子邮件、用户组论坛等)、和网络资源的资源内容类型信息(例如,文本、图片、视频等)。将提取出的协议类型信息、资源类型信息、和资源内容类型信息分别进行编码计算;得到的协议类型编码、资源类型编码、和资源内容类型编码,也可以作为网络资源向量的元素。
对各网络资源向量进行预处理,包括:去除缺失元素的网络资源向量,去除重复的网络资源向量。
计算预处理后各网络资源向量之间的相似性,根据各网络资源向量之间的相似性,对各网络资源向量进行聚类,得到至少一个网络资源向量簇。
较优的,对网络资源向量集进行的聚类可以是k-means(k均值)聚类;而k-means聚类为现有技术,不再赘述。
S202:对已记录的网络行为,分别提取各网络行为的特征信息;并计算各网络行为的网络行为向量;根据各网络行为向量之间的相似性,对各网络行为向量进行聚类,得到至少一个网络行为向量簇。
具体的,收集已记录的大量网络行为的网络数据,针对每一个已记录的网络行为提取的特征信息,包括:网络行为所涉及的网络资源的地址信息;将提取出的网络行为所涉及的网络资源的地址信息进行编码计算;将得到的网络行为所涉及的网络资源的地址编码作为网络行为向量的元素,构成网络行为向量。
进一步的,针对每一个已记录的网络行为提取的特征信息,还可以包括:网络行为所涉及的协议类型信息、网络行为所涉及的网络资源的资源类型信息、和网络行为所涉及的网络资源的资源内容类型信息。将提取出的网络行为所涉及的协议类型信息、网络行为所涉及的网络资源的资源类型信息、和网络行为所涉及的网络资源的资源内容类型信息分别进行编码计算;得到的网络行为所涉及的协议类型编码、网络行为所涉及的网络资源的资源类型编码、和网络行为所涉及的网络资源的资源内容类型编码,也可以作为网络行为向量中的元素。
对各网络行为向量进行预处理,包括:去除缺失元素的网络行为向量,去除重复的网络行为向量。
计算预处理后各网络行为向量之间的相似性,根据各网络行为向量之间的相似性,对各网络行为向量进行聚类,得到至少一个网络行为向量簇。
较优的,对网络行为向量集进行的聚类可以是EM(Expectation-Maximization,期望最大化)聚类;而EM聚类为现有技术,不再赘述。
较优的,还可以提取每一个已记录的网络行为的辅助信息,包括:网络行为的源地址和目标地址信息、网络行为的源地址和目标地址所属地域信息、和网络行为的起止时间信息。
S203:针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,并在所述知识库中存储所述关联关系。
其中,所述网络行为向量簇中各网络行为向量中的各元素分别与所述网络资源向量簇中各网络资源向量中的各元素相对应。
S204:对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值。
具体的,对于每个网络行为向量簇,将与之关联的网络资源向量簇中各向量所对应的网络资源的风险值分别加权后,计算得到该网络行为向量簇的资源风险评估值。其中,各网络资源的风险值是预先设定的。
根据设定的策略,将该网络行为向量簇对应的资源风险评估值加权后,计算得到该网络行为向量簇的风险评估值。
网络行为向量簇的风险评估值还根据该网络行为向量簇中各网络行为向量对应的网络行为的辅助信息确定;其中,所述网络行为的辅助信息包括:网络行为的源地址和目标地址信息、网络行为的源地址和目标地址所属地域信息、网络行为涉及的协议类型信息和网络行为的起止时间信息。
根据所述网络行为的辅助信息确定出该网络行为向量簇的风险评估值的具体方法包括:
对于该网络行为向量簇中各网络行为向量对应的网络行为的源地址和目标地址信息;在预先设定的地址风险值与地址的关系表中查找出与所述源地址和目标地址相对应的各个地址风险值,将所述各个地址风险值分别加权后,计算出该网络行为向量簇的地址风险评估值;
对于该网络行为向量簇中各网络行为向量对应的网络行为的源地址和目标地址所属地域信息;在预先设定的地域风险值与地域的关系表中查找出与所述源地址和目标地址所属地域相对应的各地域风险值,将所述各个地域风险值加权后,计算出该网络行为向量簇的地域风险评估值;
对于该网络行为向量簇中各网络行为向量对应的网络行为的协议类型信息,在预先设定的协议风险值与协议类型的关系表中查找出与所述协议类型相对应的各协议风险值,将所述各个协议风险值加权后,计算出该网络行为向量簇的协议风险评估值;
对于该网络行为向量簇中各网络行为向量对应的网络行为的起止时间信息,在预先设定的时间风险值与时间的关系表中查找出与所述起止时间相对应的各时间风险值,将所述各个时间风险值加权后,计算出该网络行为向量簇的时间风险评估值;
根据设定的策略,将该网络行为向量簇对应的地址风险评估值、地域风险评估值、起止时间风险评估值分别加权后,计算得到该网络行为向量簇的风险评估值。
S205:将确定出的每一个网络行为向量簇的风险评估值,对应于该网络行为向量簇记录在簇风险评估值表中。
进一步的,将聚类后得到的各网络行为向量簇、步骤S205得到的簇风险评估值表、预先设定的敏感信息库、和预先设定的黑名单库存储组成知识库。
此外,步骤S201与步骤S202的顺序可以互换。
本发明还提供了一种网络行为的风险评估系统,该系统的内部结构框图如图3所示,具体包括:特征信息提取模块301,向量化模块302,待审簇确定模块303,和风险评估模块304。
特征信息提取模块301,用于提取待评估的网络行为的特征信息,所述特征信息包括:该网络行为所涉及的网络资源的地址信息;
向量化模块302,用于根据特征信息提取模块301确定出的特征信息,对网络行为向量化,得到该网络行为的网络行为向量;
待审簇确定模块303,用于分别计算知识库中各网络行为向量簇与向量化模块302确定出的网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;
风险评估模块304,用于在簇风险评估值表中查找出与待审簇确定模块303确定出的待审簇相对应的风险评估值作为所述网络行为的风险评估值。
进一步,上述的风险评估系统还可以包括:知识库确定模块305、信息比较模块306。
其中,知识库确定模块305用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
知识库确定模块305还用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
知识库确定模块305还用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
信息比较模块306,用于将特征信息提取模块301确定出的特征信息中的网络资源的地址信息与黑名单库中的地址信息进行对比;将待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;在确定出所述特征信息中的网络资源的地址信息与黑名单库中的地址信息相匹配,或在确定出待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息相匹配时,向向量化模块302发送向量化通知;
相应地,上述的向量化模块302具体用于在接收到向量化通知后,根据特征信息提取模块301确定出的特征信息,对所述网络行为向量化,得到该网络行为的网络行为向量。
上述知识库确定模块305中的具体结构如图3所示,具体包括:网络资源向量簇确定单元401,网络行为向量簇确定单元402和知识库建立单元403。
网络资源向量簇确定单元401,用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
网络行为向量簇确定单元402,用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
知识库建立单元403,用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述知识库的簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
此外,所述知识库包括:网络行为向量簇确定单元402确定出的各网络行为向量簇,知识库建立单元403确定出的簇风险评估值表;还可以包括:预先设定的敏感信息库和黑名单库。
综上所述,本发明方案中的网络行为的风险评估系统,建立并利用知识库对网络行为进行风险评估的方法。实现了对网络行为的定量风险评估,有利于降低网络行为带来的风险。而且,在建立知识库的过程中,包括对网络数据子集之间的关联分析和对网络行为之间的关联分析,提高了对异常或违规网络行为的识别率。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种网络行为的风险评估方法,其特征在于,包括:
提取待评估的网络行为的特征信息,其中包括:该网络行为所涉及的网络资源的地址信息;
根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量;
分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;
在簇风险评估值表中查找出与该待审簇相对应的风险评估值作为该网络行为的风险评估值。
2.如权利要求1所述的方法,其特征在于,在所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量之前,还包括:
将所述特征信息中的网络资源的地址信息与黑名单库中的地址信息进行对比;以及
所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量具体为:
在确定出所述特征信息中的网络资源的地址信息与所述黑名单库中的地址信息相匹配时,根据提取的特征信息中的网络资源的地址信息对所述网络行为向量化,得到该网络行为的网络行为向量。
3.如权利要求2所述的方法,其特征在于,在所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量之前,还包括:
将所述待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;以及
所述根据提取的特征信息对所述网络行为向量化,得到该网络行为的网络行为向量具体为:
在确定出所述待评估的网络行为所涉及的内容提要信息与所述敏感信息库中的信息相匹配时,根据提取的特征信息中的网络资源的地址信息对所述网络行为向量化,得到该网络行为的网络行为向量。
4.如权利要求1-3任一所述的方法,其特征在于,所述知识库是在学习阶段预先确定的:
对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;
根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;以及
对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;
根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,并在所述知识库中存储所述关联关系;
对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
5.如权利要求4所述的方法,其特征在于,所述网络资源的特征信息中还包括:该网络资源的协议类型信息、资源类型信息和资源内容类型信息;以及
所述网络行为的特征信息中还包括:该网络行为所涉及的网络资源的协议类型信息、资源类型信息和资源内容类型信息。
6.如权利要求4所述的方法,其特征在于,所述网络行为向量簇的风险评估值还根据该网络行为向量簇中各网络行为向量对应的网络行为的辅助信息确定;其中,所述网络行为的辅助信息包括:网络行为的源地址和目标地址信息、网络行为的源地址和目标地址所属地域信息、网络行为涉及的协议类型信息和网络行为的起止时间信息。
7.一种网络行为的风险评估系统,其特征在于,包括:
特征信息提取模块,用于提取待评估的网络行为的特征信息,所述特征信息包括:该网络行为所涉及的网络资源的地址信息;
向量化模块,用于根据所述特征信息提取模块确定出的特征信息,对所述网络行为向量化,得到该网络行为的网络行为向量;
待审簇确定模块,用于分别计算知识库中各网络行为向量簇与所述网络行为向量之间的距离,将距离最小的网络行为向量簇作为待审簇;
风险评估模块,用于在簇风险评估值表中查找出与待审簇确定模块确定出的待审簇相对应的风险评估值作为所述网络行为的风险评估值。
8.如权利要求7所述的系统,其特征在于,还包括:
知识库确定模块,用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
所述知识库确定模块还用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
所述知识库确定模块还用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
9.如权利要求8所述的系统,其特征在于,所述知识库确定模块具体包括:
网络资源向量簇确定单元,用于对现有的网络资源,分别提取各网络资源的特征信息;根据各网络资源的特征信息分别计算各网络资源的网络资源向量;其中,提取的网络资源的特征信息包括:该网络资源的地址信息;以及根据各网络资源的网络资源向量之间的相似性,对网络资源向量进行聚类,得到至少一个网络资源向量簇;
网络行为向量簇确定单元,用于对已记录的各网络行为,分别提取各网络行为的特征信息,并计算各网络行为的网络行为向量;并根据各网络行为的网络行为向量之间的相似性,对网络行为向量进行聚类,得到至少一个网络行为向量簇;
知识库建立单元,用于用于针对每个网络行为向量簇,计算该网络行为向量簇与各网络资源向量簇之间的距离,建立距离最小的网络资源向量簇与该网络行为向量簇之间的关联关系,建立包含所述关联关系的所述知识库;并对于每个网络行为向量簇,根据与之关联的网络资源向量簇中各向量所对应的网络资源的风险值,确定出该网络行为向量簇的风险评估值;并在所述知识库的簇风险评估值表中对应于该网络行为向量簇记录该风险评估值。
10.如权利要求7-9任一所述的系统,其特征在于,
信息比对模块,用于将所述待评估的网络行为所涉及的网络资源的地址信息与黑名单库中的地址信息进行对比;将所述待评估的网络行为所涉及的内容提要信息与敏感信息库中的信息进行对比;在确定出所述待评估的网络行为所涉及的网络资源的地址信息与所述黑名单库中的地址信息相匹配,或所述待评估的网络行为所涉及的内容提要信息与所述敏感信息库中的信息相匹配时,向所述向量化模块发送向量化通知;以及
所述向量化模块具体用于在接收到所述向量化通知后,根据所述特征信息提取模块确定出的特征信息,对所述网络行为向量化,得到该网络行为的网络行为向量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310172353.5A CN103297267B (zh) | 2013-05-10 | 2013-05-10 | 一种网络行为的风险评估方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310172353.5A CN103297267B (zh) | 2013-05-10 | 2013-05-10 | 一种网络行为的风险评估方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103297267A true CN103297267A (zh) | 2013-09-11 |
| CN103297267B CN103297267B (zh) | 2016-05-11 |
Family
ID=49097615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310172353.5A Active CN103297267B (zh) | 2013-05-10 | 2013-05-10 | 一种网络行为的风险评估方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103297267B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016138830A1 (zh) * | 2015-03-02 | 2016-09-09 | 阿里巴巴集团控股有限公司 | 识别风险行为的方法及装置 |
| CN106161372A (zh) * | 2015-04-09 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种基于地址匹配的风险识别方法及装置 |
| CN106888215A (zh) * | 2017-03-20 | 2017-06-23 | 北京匡恩网络科技有限责任公司 | 识别监控信息系统应用的方法及装置 |
| CN109191226A (zh) * | 2018-06-29 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 风险控制方法和装置 |
| CN110097258A (zh) * | 2019-04-12 | 2019-08-06 | 平安普惠企业管理有限公司 | 一种用户关系网络建立方法、装置及计算机可读存储介质 |
| US10484342B2 (en) | 2015-04-14 | 2019-11-19 | Alibaba Group Holding Limited | Accuracy and security of data transfer to an online user account |
| WO2020087877A1 (zh) * | 2018-10-30 | 2020-05-07 | 中国科学院信息工程研究所 | 一种隐私信息溯源取证方法、装置及系统 |
| WO2021143370A1 (zh) * | 2020-01-14 | 2021-07-22 | 支付宝(杭州)信息技术有限公司 | 资源数据的处理方法及装置 |
| CN113569656A (zh) * | 2021-07-02 | 2021-10-29 | 广州大学 | 一种基于深度学习的考场监控方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060282660A1 (en) * | 2005-04-29 | 2006-12-14 | Varghese Thomas E | System and method for fraud monitoring, detection, and tiered user authentication |
| CN102075356A (zh) * | 2010-12-31 | 2011-05-25 | 深圳市永达电子股份有限公司 | 一种网络风险评估方法与系统 |
| CN103026266A (zh) * | 2010-06-21 | 2013-04-03 | 维斯塔斯风力系统集团公司 | 风力涡轮机处的风况评估 |
| CN103095494A (zh) * | 2012-12-31 | 2013-05-08 | 北京邮电大学 | 一种电力通信网风险评估方法 |
-
2013
- 2013-05-10 CN CN201310172353.5A patent/CN103297267B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060282660A1 (en) * | 2005-04-29 | 2006-12-14 | Varghese Thomas E | System and method for fraud monitoring, detection, and tiered user authentication |
| CN103026266A (zh) * | 2010-06-21 | 2013-04-03 | 维斯塔斯风力系统集团公司 | 风力涡轮机处的风况评估 |
| CN102075356A (zh) * | 2010-12-31 | 2011-05-25 | 深圳市永达电子股份有限公司 | 一种网络风险评估方法与系统 |
| CN103095494A (zh) * | 2012-12-31 | 2013-05-08 | 北京邮电大学 | 一种电力通信网风险评估方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102125116B1 (ko) | 2015-03-02 | 2020-06-22 | 알리바바 그룹 홀딩 리미티드 | 위험성 있는 활동을 인식하기 위한 방법 및 장치 |
| KR20170125864A (ko) * | 2015-03-02 | 2017-11-15 | 알리바바 그룹 홀딩 리미티드 | 위험성 있는 활동을 인식하기 위한 방법 및 장치 |
| US10601850B2 (en) | 2015-03-02 | 2020-03-24 | Alibaba Group Holding Limited | Identifying risky user behaviors in computer networks |
| WO2016138830A1 (zh) * | 2015-03-02 | 2016-09-09 | 阿里巴巴集团控股有限公司 | 识别风险行为的方法及装置 |
| CN106161372A (zh) * | 2015-04-09 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种基于地址匹配的风险识别方法及装置 |
| US10484342B2 (en) | 2015-04-14 | 2019-11-19 | Alibaba Group Holding Limited | Accuracy and security of data transfer to an online user account |
| CN106888215A (zh) * | 2017-03-20 | 2017-06-23 | 北京匡恩网络科技有限责任公司 | 识别监控信息系统应用的方法及装置 |
| CN109191226A (zh) * | 2018-06-29 | 2019-01-11 | 阿里巴巴集团控股有限公司 | 风险控制方法和装置 |
| CN109191226B (zh) * | 2018-06-29 | 2021-10-12 | 创新先进技术有限公司 | 风险控制方法和装置 |
| WO2020087877A1 (zh) * | 2018-10-30 | 2020-05-07 | 中国科学院信息工程研究所 | 一种隐私信息溯源取证方法、装置及系统 |
| CN110097258A (zh) * | 2019-04-12 | 2019-08-06 | 平安普惠企业管理有限公司 | 一种用户关系网络建立方法、装置及计算机可读存储介质 |
| WO2021143370A1 (zh) * | 2020-01-14 | 2021-07-22 | 支付宝(杭州)信息技术有限公司 | 资源数据的处理方法及装置 |
| CN113569656A (zh) * | 2021-07-02 | 2021-10-29 | 广州大学 | 一种基于深度学习的考场监控方法 |
| CN113569656B (zh) * | 2021-07-02 | 2023-08-29 | 广州大学 | 一种基于深度学习的考场监控方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103297267B (zh) | 2016-05-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103297267A (zh) | 一种网络行为的风险评估方法和系统 | |
| KR101767454B1 (ko) | 다양한 웹 서비스 환경에서 사용자의 행위 패턴 분석을 통한 이상행위 탐지 방법과 그를 위한 장치 | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| CN108183900B (zh) | 一种挖矿脚本检测的方法、服务器、系统、终端设备及存储介质 | |
| CN104346566A (zh) | 检测隐私权限风险的方法、装置、终端、服务器及系统 | |
| CN104520871A (zh) | 漏洞矢量信息分析 | |
| WO2013112061A1 (en) | System and methods for spam detection using frequency spectra of character strings | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN103593609A (zh) | 一种可信行为识别的方法和装置 | |
| CN111090615A (zh) | 混合资产的分析处理方法、装置、电子设备及存储介质 | |
| CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| CN111353138A (zh) | 一种异常用户识别的方法、装置、电子设备及存储介质 | |
| CN104426836A (zh) | 一种入侵检测方法及装置 | |
| CN105207842A (zh) | Android外挂特征检测的方法及系统 | |
| CN110460620B (zh) | 网站防御方法、装置、设备及存储介质 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN104021324A (zh) | 字迹安全校验的方法及装置 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN109995605B (zh) | 一种流量识别方法、装置以及计算机可读存储介质 | |
| CN112765588B (zh) | 一种身份识别方法、装置、电子设备及存储介质 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN110533297B (zh) | 一种识别异常设备的方法及装置 | |
| CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 | |
| CN112688944B (zh) | 局域网安全状态检测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160325 Address after: 050200 No. 21 Changsheng Avenue, Luquan District, Hebei, Shijiazhuang Applicant after: Chinacomm System Co., Ltd. Hebei branch Address before: 050081 Zhongshan West Road, Hebei, China, No. 589, No. Applicant before: Hebei FarEast Communication System Engineering Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |