CN107528832B - 一种面向系统日志的基线构建与未知异常行为检测方法 - Google Patents
一种面向系统日志的基线构建与未知异常行为检测方法 Download PDFInfo
- Publication number
- CN107528832B CN107528832B CN201710660939.4A CN201710660939A CN107528832B CN 107528832 B CN107528832 B CN 107528832B CN 201710660939 A CN201710660939 A CN 201710660939A CN 107528832 B CN107528832 B CN 107528832B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- user
- behavior
- feature vector
- behaviors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种面向系统日志的基线构建与未知异常行为检测方法,该方法包括:步骤一:用户操作日志量化,即用户行为量化;步骤二:用户行为特征筛选:步骤三:异常行为检测:步骤四:异常行为描述。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化,生成行为特征向量;然后对样本进行异常标注构建出基准样本集,同时评估和筛选子特征,构成新的特征向量;最后对用户行为特征向量进行主动聚类分析,构建行为基线,检测异常行为。由于检测过程中排除了异常点,能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。
Description
技术领域
本发明涉及一种面向系统日志的基线构建与未知异常行为检测方法,它利用系统记录的用户操作和维护日志,自动分析用户的典型行为模式,构建行为基线并以此为基础检测异常的行为模式,从而对可能的未知风险进行预警,属于网络与信息安全技术领域。
背景技术
随着信息化的推进和互联网的发展,计算机系统已经成企业乃至国家的重要基础设施。与此同时,计算机系统的信息安全风险日益凸显,其中由系统内部用户引发的内源性风险所占比重越来越高,例如利用自身权限过量访问和下载客户信息,或以非常规的次序进行操作。应对内源性信息安全的传统方法主要是建立严格权限体系与管理制度。然而,这类被动方法需要预先明确风险类型及基本特征,无法检测权限内的未知的新型风险。系统的全方位防范必须要采用纵深的、多样的手段。因此产生了以主动检测为主的主动防护技术。
主动检测是动态安全技术模型的关键技术之一,扩展系统管理员的安全管理功能,提高了信息安全基础结构的完整性。目前,工业界已形成了一系列成熟的产品,并在实际中得到应用,典型的产品包括Real Secure和Snort等。面对计算机技术的快速发展和信息对抗的日益复杂化,主流的技术通过简单的聚类分析虽然能检测简单的异常行为,却存在许多的不足。实际情况中,聚合出的类别包含了异常样本在内的所有样本,异常样本使聚类中心方差较大,对应典型行为偏移较大,导致误判或漏判,使得异常行为检测效果不理想。因此,研究新的方法来提高系统的异常检测能力变得更加迫切。
发明内容
本发明要解决的技术问题:克服现有用未知异常检测方法对异常点鲁棒性不强的不足,提供一种面向系统日志的基线构建与未知异常行为检测方法。该方法利用系统记录的用户操作日志,自动分析用户的典型行为模式并构建行为基线,以此为基础检测异常的行为,并对可能的风险进行告警。
本发明的技术解决方案:一种面向系统日志的基线构建与未知异常行为检测方法,它包括用户操作日志即行为的量化、用户行为特征筛选、异常行为检测和异常因子提取等四个部分。用户操作日志量化部分,统计各类操作的频次与关联操作频次,形成行为的一阶特征向量和二阶特征向量,并构建完整的行为特征向量。用户行为特征筛选部分,首先从日志中收集样本并由人工进行异常标记,然后对特征向量中子特征的重要度进行评估,并筛选出有效的子特征。异常行为检测部分,对待检测样本的特征向量进行选择性聚类,聚合出典型的行为并构建行为基线,同时发现不典型的异常行为。异常因子提取部分,分析引发异常判定的因素,然后用异常因子对异常行为进行描述。
本发明一种面向系统日志的基线构建与未知异常行为检测方法,其具体步骤如下:
步骤一:用户操作日志量化,即用户行为量化。分析用户操作日志,从设定的时间窗口内提取表征用户行为的操作序列,并将操作序列量化为一阶特征向量和二阶特征向量。其中,一阶特征向量主要考察时间窗口内用户各类操作的概率,二阶特征向量主要考察用户关联操作的概率。两者都包含用户的操作行为信息,合并起来称为用户行为的特征向量,或简称为特征。
步骤二:用户行为特征筛选:从用户操作日志中收集用户操作数据,按时间窗口切分为样本,提取样本的特征向量并进行异常标记,形成基准样本集。利用基准样本集评估特征向量中各元素(即子特征)的重要度,并根据重要度选择出能有效表示用户行为的子特征,即为最终特征向量。
步骤三:异常行为检测:提取待检测的行为样本并构建特征向量,利用主动聚类技术对待检测样本和基准样本的特征向量进行选择性聚类分析,聚类出典型的用户行为并构建行为基线,基线外被放弃的不典型行为即为异常行为。
步骤四:异常行为描述:对检测出的异常行为样本进行分析,提取引发异常行为判定的异常因子,通过异常因子对用户的异常行为进行描述。
其中,在步骤一中所述的用户操作日志是指目标系统记录的用户操作信息。日志通常包括用户名、时间、客户端IP、操作对象、操作结果等要素。用户操作日志信息是检测和处置异常行为的重要依据。
其中,步骤一所述的用户行为的一阶特征向量计算方法为:对于考察的时间窗口,统计用户在该时间窗口内执行各类操作的频次,将该时间段内所有操作的频次组合成频次向量,对该频次向量进行归一化处理后便可得到该用户行为的一阶特征向量。
其中,步骤一所述的用户行为的二阶特征向量是指:为表征用户操作的时序关联性,构建一个二阶的统计量,该统计量中的每一项表示两个操作接连出现的频次。对二阶的统计量进行归一化处理,即为用户行为的二阶特征向量。
其中,步骤二中所述的提取样本特征向量并进行异常标记,方法如下:(1)从用户操作日志中收集用户行为样本,每个样本是一个用户在特定时间窗口内的操作日志;(2)从每个样本中提取特征向量;(3)人工对每个样本进行异常标记,其中异常标记为-1,正常标记为+1。该步骤输出的每条样本具有一个特征向量,以及+1或-1的标记。
其中,步骤二中所述的利用基准样本集评估各子特征的重要度,并根据重要度选择出能有效表示用户行为的子特征,方法如下:将异常标注后的样本集送入逻辑回归分类器进行训练,训练得到的权值与子特征一一对应,权值的大小表征了子特征的重要度,权值小于0表明其对异常识别起负面作用。去除权值小于0的子特征,权值大于0的子特征即构成新的特征向量,即为最终特征向量。
其中,在步骤三中所述的选择性聚类分析,是从用户行为日志中提取特征向量并进行特征筛选,并对待检测样本的特征向量进行选择性聚类,聚类结果中靠近聚类中心的为典型的用户行为,远离聚类中心、被抛弃的为不典型的行为即为异常行为。
其中,在步骤四中所述的异常因子是对异常行为的重要描述,是进行异常判定的依据和主要因素,包括权限内的过量操作、异常时段操作、异常次序操作,或者外部入侵者操作引发的时间异常、频率异常等。分析异常因子并对异常行为进行描述,有助于处理异常,有助于定位异常行为和风险告警。
本发明与现有技术相比的优点在于:目前主流的行为模式分析与异常检测方法直接通过聚类来分析用户行为模式,并检测异常行为。但是,这种聚类方法将异常样本包含在其聚合出的类别中,使得聚类中心方差较大,对应典型行为产生偏移,并且特征的鲁棒性较弱,易引发误检或漏检。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化,生成行为特征向量;然后对样本进行异常标注构建出基准样本集,同时评估和筛选子特征,构成新的鲁棒的特征向量;最后对用户行为特征向量进行主动聚类分析,构建行为基线,检测异常行为。由于检测过程中排除了异常点,能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。
附图说明
图1是一种面向系统日志的基线构建与未知异常行为检测方法的流程示意图。
具体实施方式
下面结合附图及本发明的实施方式对本发明的方法作进一步详细的说明。
如图1所示,本发明一种面向系统日志的基线构建与未知异常行为检测方法,具体实现步骤如下:
步骤一:用户操作日志的量化
异常行为检测主要面向信息系统(例如4A系统)或各类设备的用户操作日志。操作类型由系统定义并授权。用户操作日志通常包括用户名、时间、客户端IP、操作对象、操作结果等要素。为了从日志中发现用户的行为特征并检测出异常,需要将日志中的用户行为样本量化为特征向量。用户的行为特征向量主要考虑为如下一阶特征向量和二阶特征向量,并用以此构建完整的行为特征向量。假设目标系统中共有N类操作,具体的量化操作如下:
(1)用户行为的一阶特征向量:对于考查的时间窗口,用fn(u)表示用户u在该时间段内执行操作n的频次,则用户u在该时间段内所有操作的频次可表示为向量F(u)=(f1(u),...,fN(u))T(T表示向量转置,是标准的学符号)为了去除操作次数的影响,便于提取用户行为的典型模式,需要将频次归一化到[0,1]的概率数值。对F(u)进行归一化处理后可得: 即是用户u在该时间窗内的行为一阶特征向量。
(2)用户行为的二阶特征向量:为表征用户操作的时序性特征即操作间的关联,需要统计用户在时间窗口内相邻操作的频次,并将其转化为概率分布。于是构建二阶统计量G(u)=(f11(u),...,fNN(u))T,其中fij表示操作i和操作j接连出现的频次。同样,需要将该二阶统计量数值归一化处理到[0,1]区间,归一化后所得行为的二阶特征向量可表示为
步骤二:用户行为特征筛选
量化得到的用户行为特征向量包含了行为的一阶信息和二阶信息,这些信息在行为判定中的有效性和重要度不相同,有些信息能较好地区分正常行为和异常行为,部分信息则可能起干扰作用。对特征向量中的子特征进行选择,保留有效的子特征,能提升特征向量区分正常和异常行为的能力。用户行为特征向量的筛选过程主要包括以下三个步骤:
(1)构建基准样本集。从用户操作日志中收集样本,每个样本是某用户在特定时间窗口内的操作记录序列,人工标记每条样本是否为异常样本。首先从该样本中提取量化的特征向量x(u),其次根据样本中是否包含有异常行为对样本进行标记y,其中异常标记为-1,正常标记为+1,每个样本记为(x(u),y)。标记好的样本集称为基准样本集其中M表示样本数量。
(2)评估子特征的重要性。用户行为特征向量x(u)是个多维向量,每个维度即子特征所表达的信息不同,区分异常行为的能力也不同。通过评估每个子特征对区分异常行为的重要性,然后用特征选择方式筛选出重要的子特征,能有效提升特征的有效性。首先计算子特征d的重要度其中w为利用基准样本集所学习逻辑回归分类器的权值。
(3)构建新的特征向量。根据上一步计算的子特征重要度,选择贡献度为正的子特征构建新的特征向量。新的特征向量能充分表示用户行为,并有较好的异常行为区分能力。
步骤三:异常行为检测
异常行为检测主要通过主动聚类技术实现,根据筛选后的行为特征向量对所有用户的行为进行选择性聚类分析,即聚类出典型的用户行为,被放弃的不典型行为即为异常行为。
首先,对用户操作日志中的数据进行步骤一中的量化处理和步骤二中的特征筛选。然后,根据这些用户行为特征向量,选择性地将用户行为特征聚合为多个类簇。设c1,…,cK为当前的聚类中心,每次迭代逐一扫描未归类样本xi,并计算其与所有聚类中心的最小距离di=mink||xi-ck||,选择最小距离最小的样本argminidi(同时minidi<σ)加入聚类样本中。聚类结果分为两种类型。靠近聚类中心的行为称为典型的用户行为,即正常的用户操作;远离所有聚类中心的行为称为异常行为,这类行为不属于任何类别,在聚类中被放弃。
由此可见,对用户操作日志数据进行量化与特征筛选后,利用选择性聚类技术进行聚类分析,实现了未知异常行为检测的功能。这种方法能够准确有效地区分出正常的用户行为与异常行为。
步骤四:异常行为描述
在步骤三中检测出异常行为的基础上,分析异常行为与用户行为之间存在的特征差别,根据特征差别找出导致异常产生的因素,即的子特征。由于每个子特征具有一阶统计或二阶统计意义,因此异常行为可对应为时间异常、地点异常、频率异常等一阶异常行为,以及次序异常等二阶异常行为。通过异常因子可对异常行为进行描述,从而定位异常操作并进行告警。
由此可见,本发明可以有效的对系统中的正常用户行为与未知异常行为进行区分检测,同时分析异常因子,从而定位异常操作与异常产生原因,为风险预警解决和异常处置提供决策支持,由此为系统的信息安全提供支撑。
本发明说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:该方法步骤如下:
步骤一:用户操作日志量化,即用户行为量化;分析用户操作日志,从设定的时间窗口内提取表征用户行为的操作序列,并将操作序列量化为一阶特征向量和二阶特征向量;其中,一阶特征向量主要考察时间窗口内用户各类操作的概率,二阶特征向量主要考察用户关联操作的概率;两者都包含用户的操作行为信息,合并起来称为用户行为的特征向量,或简称为特征;
步骤二:用户行为特征筛选:从用户操作日志中收集用户操作数据,按时间窗口切分为样本,提取样本的特征向量并进行异常标记,形成基准样本集;利用基准样本集评估特征向量中各元素即子特征的重要度,并根据重要度选择出能有效表示用户行为的子特征,即为最终特征向量;
步骤三:异常行为检测:提取待检测的行为样本并构建特征向量,利用主动聚类技术对待检测样本和基准样本筛选后重新构建形成的样本的特征向量进行选择性聚类分析,聚类出典型的用户行为并构建行为基线,基线外被放弃的不典型行为即为异常行为;
步骤四:异常行为描述:对检测出的异常行为样本进行分析,提取引发异常行为判定的异常因子,通过异常因子对用户的异常行为进行描述。
2.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:在步骤一中所述的用户操作日志是目标系统记录的用户操作信息;日志至少包括用户名、时间、客户端IP、操作对象、操作结果要素。
3.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:步骤一所述的用户行为的一阶特征向量计算方法为:对于考察的时间窗口,统计用户在该时间窗口内执行各类操作的频次,将该时间段内所有操作的频次组合成频次向量,对该频次向量进行归一化处理后便可得到该用户行为的一阶特征向量。
4.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:步骤一所述的用户行为的二阶特征向量是指:为表征用户操作的时序关联性,构建一个二阶的统计量,该统计量中的每一项表示两个操作接连出现的频次,对二阶的统计量进行归一化处理,即为用户行为的二阶特征向量。
5.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:步骤二中所述的提取样本特征向量并进行异常标记,方法如下:(1)从用户操作日志中收集用户行为样本,每个样本是一个用户在特定时间窗口内的操作日志;(2)从每个样本中提取特征向量;(3)人工对每个样本进行异常标记,其中异常标记为-1,正常标记为+1;该步骤输出的每条样本具有一个特征向量,以及+1或-1的标记。
6.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:步骤二中所述的利用基准样本集评估各子特征的重要度,并根据重要度选择出能有效表示用户行为的子特征,方法如下:将异常标注后的样本集送入逻辑回归分类器进行训练,训练得到的权值与子特征一一对应,权值的大小表征了子特征的重要度,权值小于0表明其对异常识别起负面作用;去除权值小于0的子特征,权值大于0的子特征即构成新的特征向量,即为最终特征向量。
7.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:在步骤三中所述的选择性聚类分析,是从用户行为日志中提取特征向量并进行特征筛选,并对待检测样本的特征向量进行选择性聚类,聚类结果中靠近聚类中心的为典型的用户行为,远离聚类中心、被抛弃的为不典型的行为即为异常行为。
8.根据权利要求1所述的一种面向系统日志的基线构建与未知异常行为检测方法,其特征在于:在步骤四中所述的异常因子是对异常行为的重要描述,是进行异常判定的依据和主要因素,包括权限内的过量操作、异常时段操作、异常次序操作,或者外部入侵者操作引发的时间异常、频率异常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710660939.4A CN107528832B (zh) | 2017-08-04 | 2017-08-04 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710660939.4A CN107528832B (zh) | 2017-08-04 | 2017-08-04 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107528832A CN107528832A (zh) | 2017-12-29 |
CN107528832B true CN107528832B (zh) | 2020-07-07 |
Family
ID=60680761
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710660939.4A Active CN107528832B (zh) | 2017-08-04 | 2017-08-04 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107528832B (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108319851B (zh) * | 2017-12-12 | 2022-03-11 | 中国电子科技集团公司电子科学研究院 | 一种异常行为主动检测方法、设备及存储介质 |
CN109992484B (zh) * | 2018-01-02 | 2023-09-19 | 中国移动通信有限公司研究院 | 一种网络告警相关性分析方法、装置和介质 |
CN109905268B (zh) * | 2018-01-11 | 2020-11-06 | 华为技术有限公司 | 网络运维的方法及装置 |
CN108171223A (zh) * | 2018-02-27 | 2018-06-15 | 北京中晟信达科技有限公司 | 一种基于多模型多通道的人脸识别方法及系统 |
CN108829715B (zh) * | 2018-05-04 | 2022-03-25 | 慧安金科(北京)科技有限公司 | 用于检测异常数据的方法、设备和计算机可读存储介质 |
CN109145595A (zh) * | 2018-07-31 | 2019-01-04 | 顺丰科技有限公司 | 一种用户异常行为检测系统、方法、设备及存储介质 |
CN109450864B (zh) * | 2018-10-17 | 2021-06-18 | 国网河北省电力有限公司电力科学研究院 | 一种安全检测方法、装置和系统 |
CN109635993A (zh) * | 2018-10-23 | 2019-04-16 | 平安科技(深圳)有限公司 | 基于预测模型的操作行为监控方法及装置 |
CN109509327B (zh) * | 2018-10-31 | 2020-11-24 | 武汉烽火众智数字技术有限责任公司 | 一种异常行为预警方法及装置 |
CN109933502B (zh) * | 2019-01-23 | 2022-05-20 | 平安科技(深圳)有限公司 | 电子装置、用户操作记录的处理方法和存储介质 |
CN110222530A (zh) * | 2019-05-27 | 2019-09-10 | 北京奇艺世纪科技有限公司 | 一种数据库拖库行为的检测方法、装置及电子设备 |
CN110363381B (zh) * | 2019-05-31 | 2023-12-22 | 创新先进技术有限公司 | 一种信息处理方法和装置 |
CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
CN110795570B (zh) * | 2019-10-11 | 2022-06-17 | 上海上湖信息技术有限公司 | 一种用户时序行为特征提取方法及装置 |
CN110781467A (zh) * | 2019-10-22 | 2020-02-11 | 武汉极意网络科技有限公司 | 异常业务数据分析方法、装置、设备及存储介质 |
CN111538642B (zh) * | 2020-07-02 | 2020-10-02 | 杭州海康威视数字技术股份有限公司 | 一种异常行为的检测方法、装置、电子设备及存储介质 |
CN112054989B (zh) * | 2020-07-13 | 2023-03-24 | 北京天融信网络安全技术有限公司 | 一种检测模型的构建方法及批量操作异常的检测方法 |
CN112306982B (zh) * | 2020-11-16 | 2021-07-16 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
CN112905412A (zh) * | 2021-01-29 | 2021-06-04 | 清华大学 | 关键性能指标数据的异常检测方法及装置 |
CN112948211A (zh) * | 2021-02-26 | 2021-06-11 | 杭州安恒信息技术股份有限公司 | 一种基于日志处理的告警方法、装置、设备及介质 |
CN113961438B (zh) * | 2021-10-25 | 2024-04-16 | 哈尔滨工业大学 | 一种基于多粒度多层级的历史行为异常用户检测系统、方法、设备及存储介质 |
CN114500011B (zh) * | 2022-01-13 | 2023-12-05 | 中国电子科技网络信息安全有限公司 | 一种基于行为基线异常分析和事件编排的辅助决策方法 |
CN114511022B (zh) * | 2022-01-24 | 2022-12-27 | 百度在线网络技术(北京)有限公司 | 特征筛选、行为识别模型训练、异常行为识别方法及装置 |
CN114912678A (zh) * | 2022-05-10 | 2022-08-16 | 国网江苏省电力有限公司苏州供电分公司 | 电网调控异常操作在线自动检测预警方法及系统 |
CN117313019B (zh) * | 2023-11-29 | 2024-03-22 | 广州汇通国信科技有限公司 | 一种基于深度强化学习的数据异常检测方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和系统 |
US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160286351A1 (en) * | 2015-03-24 | 2016-09-29 | Exactigo, Inc. | Indoor navigation anomaly detection |
-
2017
- 2017-08-04 CN CN201710660939.4A patent/CN107528832B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9516053B1 (en) * | 2015-08-31 | 2016-12-06 | Splunk Inc. | Network security threat detection by user/user-entity behavioral analysis |
CN105653444A (zh) * | 2015-12-23 | 2016-06-08 | 北京大学 | 基于互联网日志数据的软件缺陷故障识别方法和系统 |
CN105577679A (zh) * | 2016-01-14 | 2016-05-11 | 华东师范大学 | 一种基于特征选择与密度峰值聚类的异常流量检测方法 |
Non-Patent Citations (1)
Title |
---|
Experience Report:System Log Analysis for Anomaly Detection;Shilin He等;《2016 IEEE 27th International Symposium on Software Reliability Engineering (ISSRE)》;20161208;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107528832A (zh) | 2017-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107528832B (zh) | 一种面向系统日志的基线构建与未知异常行为检测方法 | |
WO2021184630A1 (zh) | 基于知识图谱定位排污对象的方法及相关设备 | |
CN106888205B (zh) | 一种非侵入式基于功耗分析的plc异常检测方法 | |
CN106973038B (zh) | 基于遗传算法过采样支持向量机的网络入侵检测方法 | |
CN108965340B (zh) | 一种工业控制系统入侵检测方法及系统 | |
CN111782484B (zh) | 一种异常检测方法及装置 | |
CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
CN105376193B (zh) | 安全事件的智能关联分析方法与装置 | |
CN110300027A (zh) | 一种异常登录检测方法 | |
CN112988509B (zh) | 一种告警消息过滤方法、装置、电子设备及存储介质 | |
CN117081858B (zh) | 一种基于多决策树入侵行为检测方法、系统、设备及介质 | |
CN117368651B (zh) | 一种配电网故障综合分析系统及方法 | |
CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
CN116302809A (zh) | 边缘端数据分析计算装置 | |
CN117992953A (zh) | 基于操作行为跟踪的异常用户行为识别方法 | |
CN114298558B (zh) | 电力网络安全研判系统及其研判方法 | |
CN113746780A (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
CN111064719A (zh) | 文件异常下载行为的检测方法及装置 | |
CN113469247A (zh) | 网络资产异常检测方法 | |
CN110661818B (zh) | 事件异常检测方法、装置、可读存储介质和计算机设备 | |
US20230344842A1 (en) | Detection of user anomalies for software as a service application traffic with high and low variance feature modeling | |
CN112073396A (zh) | 一种内网横向移动攻击行为的检测方法及装置 | |
CN116776331A (zh) | 基于用户行为建模的内部威胁检测方法及装置 | |
CN113162904B (zh) | 一种基于概率图模型的电力监控系统网络安全告警评估方法 | |
CN114285596B (zh) | 基于机器学习的变电站终端账号异常检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |