CN107566163A - 一种用户行为分析关联的告警方法及装置 - Google Patents
一种用户行为分析关联的告警方法及装置 Download PDFInfo
- Publication number
- CN107566163A CN107566163A CN201710680840.0A CN201710680840A CN107566163A CN 107566163 A CN107566163 A CN 107566163A CN 201710680840 A CN201710680840 A CN 201710680840A CN 107566163 A CN107566163 A CN 107566163A
- Authority
- CN
- China
- Prior art keywords
- user
- targeted customer
- behaviors log
- user behaviors
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明实施例公开一种用户行为分析关联的告警方法及装置,其中,方法包括:获取目标用户行为日志;若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。本发明实施例能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种用户行为分析关联的告警方法及装置。
背景技术
计算机网络和移动互联网应用的快速发展,给社会工作和生活带来极大便利,但各种网络安全问题所造成的威胁和损失也越来越大。
随着信息技术的飞速发展和集群规模的不断扩大,随之产生海量的日志数据,日志数据记录了系统的运行信息,而且,用户的网络行为越来越多样化,当用户对在系统上进行操作时,也会产生海量的用户行为日志。因此,对网络用户的行为进行识别,判断发现异常行为事件并进行告警,保证网络的安全更显得尤为重要。
鉴于此,如何对用户行为日志进行分析,以实现高可信度、低误报率的判断异常行为事件并进行告警成为目前需要解决的技术问题。
发明内容
由于现有方法存在上述问题,本发明实施例提出一种用户行为分析关联的告警方法及装置。
第一方面,本发明实施例提出一种用户行为分析关联的告警方法,包括:
获取目标用户行为日志;
若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;
各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;
对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
可选地,所述获取目标用户行为日志,包括:
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
可选地,所述处理模块,包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,所述根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块,包括:
将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块,
根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
可选地,所述方法还包括:
接收用户设置的固定时间间隔;
相应地,所述各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警,包括:
所述机器学习模块根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位;
所述统计分析模块根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警;
所述逻辑分析模块对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警;
所述特征匹配模块将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
可选地,所述方法还包括:
接收用户输入的反馈信息;
相应地,所述机器学习模块还在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节;
所述对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警,还包括:
根据接收到的用户输入的反馈信息,实时调整汇总算法。
可选地,在生成所述目标用户行为日志的最终告警之后,所述方法还包括:
将所述最终告警存入数据库中,并向用户进行展示。
第二方面,本发明实施例还提出一种用户行为分析关联的告警装置,包括:
获取模块,用于获取目标用户行为日志;
分发模块,用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;
处理模块,用于各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;
汇总关联模块,用于对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
可选地,所述获取模块,具体用于
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
可选地,所述处理模块,包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,所述分发模块,具体用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则
将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块,
根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
可选地,所述装置还包括:
时间单元调度模块,用于接收用户设置的固定时间间隔;
相应地,所述机器学习模块,用于根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位;
所述统计分析模块,用于根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警;
所述逻辑分析模块,用于对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警;
所述特征匹配模块,用于将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
可选地,所述装置还包括:
用户反馈模块,用于接收用户输入的反馈信息并发送给所述机器学习模块和所述汇总关联模块;
相应地,所述机器学习模块,还用于在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节;
所述汇总关联模块,还用于
根据接收到的用户输入的反馈信息,实时调整汇总算法。
可选地,所述装置还包括:
告警模块,用于将所述最终告警存入数据库中,并向用户进行展示。
第三方面,本发明实施例还提出一种电子设备,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述方法。
由上述技术方案可知,本发明实施例通过获取目标用户行为日志;若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警,由此,能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1为本发明一实施例提供的一种用户行为分析关联的告警方法的流程示意图;
图2为本发明一实施例提供的一种用户行为分析关联的告警装置的结构示意图;
图3为本发明一实施例提供的电子设备的逻辑框图。
具体实施方式
下面结合附图,对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
图1示出了本发明一实施例提供的一种用户行为分析关联的告警方法的流程示意图,如图1所示,本实施例的用户行为分析关联的告警方法,包括:
S101、获取目标用户行为日志。
需要说明的是,所述目标用户行为日志中的数据具有统一的数据类型和格式。
S102、若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块。
可以理解的是,所述白名单为可信赖的用户名单,默认白名单中用户的所有行为(操作)均是安全的,所述黑名单为不可信赖的用户名单,所述黑名单中用户的所有行为(操作)均是异常的。在所述步骤S102中,若所述目标用户行为日志中的用户命中白名单,则直接结束,即不对此用户进行行为分析;若所述目标用户行为日志中的用户命中黑名单,则直接产生告警。
S103、各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警。
可以理解的是,本实施例根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块进行处理,能够提高并发处理能力。
S104、对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
可以理解的是,为避免单个处理模块产生基本告警误报的情况,本实施例对各处理模块产生的基本告警进行汇总关联确认,设计定期反查最近的数据库,能够得到可信度、威胁度较大的最终告警。例如,某账号触发了基本告警1:在非常用地点登录,又触发了基本告警2:大量下载文件动作,则会关联两条基本告警,生成威胁度及可信度较高的一个最终告警:该用户在非常用点登录,且正在大量下载文件。
本实施例的用户行为分析关联的告警方法,可以利用处理器实现,通过获取目标用户行为日志,若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块,各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警,对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警,由此,能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
进一步地,在上述方法实施例的基础上,本实施例所述S101可以包括:
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
举例来说,若初始用户行为日志是时间戳,则会添加对应的24小时字段,并对初始用户行为日志中的动作行为统一进行分类。
本实施例通过对初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,可以确保收入的日志经过预处理达到统一分析。
进一步地,在上述方法实施例的基础上,本实施例所述处理模块,可以包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,上述步骤S102中的“根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块”,可以包括图中未示出的步骤A1-A4:
A1、将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
A2、若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块;
其中,所述目标用户行为日志的操作信息,可以包括:所述目标用户行为日志的行为、操作对象、用户账户等操作信息,本实施例并不对其进行限制,也可以包括目标用户行为日志的其他操作信息。
A3、根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
A4、若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
例如,所述目标用户行为日志的目的IP(网络之间互连的协议)与其所属用户的上一条日志的目的IP发生了变化,则会在特征匹配模块进行处理,以检测所述目标用户行为日志的目的IP是否是恶意的,即判断用户是否发生异常。
本实施例根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块(包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块),能够提高并发处理能力。
进一步地,在上述方法实施例的基础上,本实施例所述方法还可以包括:
接收用户设置的固定时间间隔,例如所述固定时间间隔可以包括:天、周、月、季度、年等,本实施例并不对其进行限制;
相应地,上述步骤S103可以包括图中未示出的步骤B1-B4:
B1、所述机器学习模块根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位。
具体地,举例来说,所述上下文驱动的最小时间单位可以为一个会话集,即一个用户相邻几次的操作集合。所述会话集的划分可以基于接收到的目标用户行为日志,判断相邻两次操作的时间间隔是否小于等于会话集的超时时间间隔;若是,则将所述相邻两次操作划分到同一会话集里,否则,将所述相邻两次操作划分到不同的会话集里,所述超时时间间隔大于或等于一次会话的超时时间。
其中,所述会话集的超时时间间隔可以基于接收到的目标用户行为日志,学习用户的操作间隔长短,通过聚合得到的;或者,所述会话集的超时时间间隔也可以根据实际情况预先设置。
其中,用户组的划分可以通过内网域及机器学习两种方法。内网域比如从AD域获取部门或组织架构成员;机器学习,则通过用户的访问对象,操作权限及动作,来聚合划分。
具体地,本实施例所述方法还可以包括:接收用户输入的反馈信息;
相应地,上述步骤B1还可以包括:机器学习模块在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节。
举例来说,一个用户访问云服务时间段的学习,若此用户的学习时间段误报较高,则会增加这个用户及组的时间段的聚合个数,以便适应这种场景。举个例子,假如一个用户的访问时间,聚合个数我们设为2个,一个是上午为中心点,一个是下午为中心点。如果用户通常是上午,下午,和晚上三个点登陆服务,则有可能会造成误报,因此需要根据反馈自动调整聚合个数,以便更精细的刻画用户的基线。当然聚合个数也有一定的上限,不然会产生漏报的情况。比如,访问云服务时间点是24小时,如果设8个中心点,则3个小时便为一个聚合中心点,这样显然很难找到异常时间点的,从而产生了漏报。
可以理解的是,本实施例通过对所述学习算法中的参数进行动态调节,所述机器学习模块对用户是否异常的判断结果更加准确,可在用户发生异常时产生可信度更高的基本告警。
可以理解的是,所述机器学习模块是动态学习的,以便适应不断变化的环境。机器学习主要是一些分类、决策算法。所述机器学习模块可以实现算法选取、样本生成、基线建立、异常判断、自我调节的步骤。
算法选取:系统根据实际意义灵活选取算法,比如聚合适用于有中心点的,决策树适用于有决策依据,有限流程,贝叶斯定理适用有条件概率参数的。通过各类学习算法适应不同异常检测场景,能够发现网络行为异常。
样本生成:样本会被当做参数代入到机器学习算法。样本需真正代表它在实际意义与机器学习算法里的关系。有的样本在用户行为日志里不能直接获取到,需要根据算法参数及实际意义进行生成。
基线建立:基线建立也是样本训练的过程。
异常判断:需要根据实际意义,进行一些修改。不一定和中心点偏离值较大就异常。
自我调节:即接收反馈,来指导学习过程。比如修改中心点个数。
以下是具体两个实例来进行说明。
(1)一个用户访问云服务常用时间段的基线建立:
算法选取:聚合算法
样本生成:有的样本根据用户行为日志是不能直接获取的,需要生成。一个用户访问的时间段,放在一天24小时里去讨论更有实际意义。其实访问的时间段是一个线段的概念,不是一个点的概念。一条用户行为日志是一个点的概念。因此,需要根据用户行为划分合理的时间段。根据时间情况,一个用户的集中操作时间即一个会话集,可以认为是一个样本时间段。比如早上8:00登录云应用,9:00退出,9:10登录,10:00退出。下午2:00再次登录。则我们认为用户的一个登录时间段是8:00到10:00.这样是有实际意义的。
基线建立:通过足够量的样本训练,从而确定了用户登录中心点。如果聚合中心点个数为2,则一般会上午一个,下午或晚上一个中心点。
异常判断:根据建立的基线,当新的样本参数过来后,根据距离中心点的偏离度,便可判断是否是异常的。
自我调节:若接收到误报率较高的反馈,则可以适当加大中心点个数,以便匹配有的用户早中晚都有工作习惯的情况。
(2)一个用户的特定行为次数的基线建立:
算法选取:聚合算法
样本生成:可选择一个会话集里的特定行为次数,比如删除动作。一个会话集为时间计量单位是有实际意义的。
基线建立:根据用户的每次会话集的删除动作次数,进行统计,并当做样本传给聚合算法。聚合算法最后算得删除次数中心点。比如每次会话集删除2次。
异常判断:根据实际意义,只有删除动作次数大于中心点,且偏离值较大时,才算异常。不然,删除动作次数小于中心点,即使偏离值较大也不算异常。因此,异常判断需要根据实际意义加上一些额外判断来选择。
自我调节:根据反馈,来进行参数调节。
B2、所述统计分析模块根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警。
例如,若用户在预设时间段(即短时间)内登陆失败,且超过预设的失败次数阈值,则会产生基本告警。
B3、所述逻辑分析模块对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警。
例如,若某账号5分钟前在美国出现的,现在却在莫斯科出现了,物理距离跨度大且时间短,且排除了VPN(虚拟专用网络)代理等因素,则认为此用户账号存在账号泄露或账号分享的风险,产生基本告警。具体告警信息的分类为引擎系统内置大类。
B4、所述特征匹配模块将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
可以理解的是,本步骤是负责特征匹配相关的检测。例如,某用户账号上一次访问的目的IP为IP1,当前访问的目的IP为IP2,IP1与IP2不同,则会进入到所述特征匹配模块对IP2进行IP信誉库匹配,如果匹配成功,则确定用户发生异常并产生基本告警。
本实施例可根据日志类型,判断用户的不同异常情况,产生基本告警,可使后续对各处理模块产生的基本告警进行汇总关联后,生成可靠度更高的最终告警。
进一步地,在上述方法实施例的基础上,若本实施例所述方法还包括:接收用户输入的反馈信息;
相应地,上述步骤S104,还可以包括:
根据接收到的用户输入的反馈信息,实时调整汇总算法。
可以理解的是,本实施例通过实时调整汇总算法,可以关联生成级别更高、可信度更高的最终告警的结果。
进一步地,在上述方法实施例的基础上,在上述步骤S104生成所述目标用户行为日志的最终告警之后,本实施例所述方法还可以包括:
将所述最终告警存入数据库中,并向用户进行展示。例如,可以在界面上向用户展示所述最终告警,可以通过邮件、短信等通讯方式向用户展示所述最终告警,本实施例并不对其进行限制,也可以通过其他方式向用户展示所述最终告警。
可以理解的是,向用户展示所述最终告警后,可以使用户得知异常行为事件,进行后续相关处理,以提高网络的安全性。
本实施例的用户行为分析关联的告警方法,能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
图2示出了本发明一实施例提供的一种用户行为分析关联的告警装置的结构示意图,如图2所示,本实施例的用户行为分析关联的告警装置,包括:获取模块21、分发模块22、处理模块23和汇总关联模块24;其中:
所述获取模块21,用于获取目标用户行为日志,所述目标用户行为日志中的数据具有统一的数据类型和格式;
所述分发模块22,用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;
所述处理模块23,用于各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;
所述汇总关联模块24,用于对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
具体地,所述获取模块21获取目标用户行为日志,所述目标用户行为日志中的数据具有统一的数据类型和格式;所述分发模块22若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;所述处理模块23各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;所述汇总关联模块24对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
可以理解的是,为避免单个处理模块产生基本告警误报的情况,本实施例所述汇总关联模块对各处理模块产生的基本告警进行汇总关联确认,设计定期反查最近的数据库,能够得到可信度、威胁度较大的最终告警。例如,某账账号触发了基本告警1:在非常用地点登录,又触发了基本告警2:大量下载文件动作,则会关联两条基本告警,生成威胁度及可信度较高的一个最终告警:该用户在非常用点登录,且正在大量下载文件。
本实施例的用户行为分析关联的告警装置,能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
进一步地,在上述方法实施例的基础上,本实施例所述获取模块21,可具体用于
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
本实施例通过对初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,可以确保收入的日志经过预处理达到统一分析。
进一步地,在上述方法实施例的基础上,本实施例所述处理模块23,可以包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,所述分发模块22,可具体用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则
将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块;
根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
其中,所述目标用户行为日志的操作信息,可以包括:所述目标用户行为日志的行为、操作对象、用户账户等操作信息,本实施例并不对其进行限制,也可以包括目标用户行为日志的其他操作信息。
例如,所述目标用户行为日志的目的IP(网络之间互连的协议)与其所属用户的上一条日志的目的IP发生了变化,则会在特征匹配模块进行处理,以检测所述目标用户行为日志的目的IP是否是恶意的,即判断用户是否发生异常。
本实施例的分发模块根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块(包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块),能够提高并发处理能力。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
时间单元调度模块,用于接收用户设置的固定时间间隔;
相应地,所述机器学习模块,可用于根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位;
所述统计分析模块,可用于根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警;
所述逻辑分析模块,可用于对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警;
所述特征匹配模块,可用于将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
可以理解的是,所述机器学习模块的具体说明可参考上述方法实施例中的说明,此处不再赘述。
本实施例根据日志类型,判断用户的不同异常情况,产生基本告警,可使后续对各处理模块产生的基本告警进行汇总关联后,生成可靠度更高的最终告警。
进一步地,在上述方法实施例的基础上,所述装置还可以包括图中未示出的:
用户反馈模块,用于接收用户输入的反馈信息并发送给所述机器学习模块和所述汇总关联模块;
相应地,所述机器学习模块,还可用于在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节;
所述汇总关联模块,还可用于
根据接收到的用户输入的反馈信息,实时调整汇总算法。
可以理解的是,本实施例通过对所述学习算法中的参数进行动态调节,所述机器学习模块对用户是否异常的判断结果更加准确,可在用户发生异常时产生可信度更高的基本告警。
可以理解的是,本实施例所述汇总关联模块通过实时调整汇总算法,可以关联生成级别更高、可信度更高的最终告警的结果。
进一步地,在上述方法实施例的基础上,本实施例所述装置还可以包括图中未示出的:
告警模块,用于将所述最终告警存入数据库中,并向用户进行展示。例如,可以在界面上向用户展示所述最终告警,可以通过邮件、短信等通讯方式向用户展示所述最终告警,本实施例并不对其进行限制,也可以通过其他方式向用户展示所述最终告警。
可以理解的是,向用户展示所述最终告警后,可以使用户得知异常行为事件,进行后续相关处理,以提高网络的安全性。
本实施例的用户行为分析关联的告警方法,能够判断网络中的异常行为事件并进行告警,可信度更高,且减少了误报率,提高了网络的安全性。
本实施例的用户行为分析关联的告警装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图3示出了本发明实施例提供的一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器11、存储器12、总线13及存储在存储器12上并可在处理器11上运行的计算机程序;
其中,所述处理器11,存储器12通过所述总线13完成相互间的通信;
所述处理器11执行所述计算机程序时实现上述各方法实施例所提供的方法,例如包括:获取目标用户行为日志,所述目标用户行为日志中的数据具有统一的数据类型和格式;若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例所提供的方法,例如包括:获取目标用户行为日志,所述目标用户行为日志中的数据具有统一的数据类型和格式;若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
本领域内的技术人员应明白,本申请的实施例可提供为方法、装置、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置/系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (14)
1.一种用户行为分析关联的告警方法,其特征在于,包括:
获取目标用户行为日志;
若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;
各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;
对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
2.根据权利要求1所述的方法,其特征在于,所述获取目标用户行为日志,包括:
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
3.根据权利要求1所述的方法,其特征在于,所述处理模块,包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,所述根据日志类型,按照预设规则,将所述目标用户行为日志分发给相应的处理模块,包括:
将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块;
根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
接收用户设置的固定时间间隔;
相应地,所述各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警,包括:
所述机器学习模块根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位;
所述统计分析模块根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警;
所述逻辑分析模块对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警;
所述特征匹配模块将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
接收用户输入的反馈信息;
相应地,所述机器学习模块还在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节;
所述对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警,还包括:
根据接收到的用户输入的反馈信息,实时调整汇总算法。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在生成所述目标用户行为日志的最终告警之后,所述方法还包括:
将所述最终告警存入数据库中,并向用户进行展示。
7.一种用户行为分析关联的告警装置,其特征在于,包括:
获取模块,用于获取目标用户行为日志;
分发模块,用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则根据日志类型,按照预设分发规则,将所述目标用户行为日志分发给相应的处理模块;
处理模块,用于各处理模块按照预设处理规则,对接收到的目标用户行为日志进行分析处理,以对接收到的目标用户行为日志中的各类异常产生基本告警;
汇总关联模块,用于对各处理模块产生的基本告警进行汇总关联,生成所述目标用户行为日志的最终告警。
8.根据权利要求7所述的装置,其特征在于,所述获取模块,具体用于
获取初始用户行为日志;
对所述初始用户行为日志进行格式修正及转换,使所述初始用户行为日志中的数据具有统一的数据类型和格式,进而获得目标用户行为日志。
9.根据权利要求7所述的装置,其特征在于,所述处理模块,包括:机器学习模块、统计分析模块、逻辑分析模块和特征匹配模块;
相应地,所述分发模块,具体用于若所述目标用户行为日志中的用户同时不在白名单和黑名单内,则
将所有日志类型的目标用户行为日志均分发给所述机器学习模块;
若所述目标用户行为日志的操作信息在预设的统计规则范围内,则将所述目标用户行为日志分发给所述统计分析模块;
根据所述目标用户行为日志的上下文,确定所述目标用户行为日志是否属于逻辑分析模块,若所述目标用户行为日志属于逻辑分析模块,则将所述目标用户行为日志分发给所述逻辑分析模块;
若所述目标用户行为日志为其所属用户的会话的第一条日志,或者所述目标用户行为日志和其所属用户的上一条日志的特征关系发生变化,则将所述目标用户行为日志分发给所述特征匹配模块。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
时间单元调度模块,用于接收用户设置的固定时间间隔;
相应地,所述机器学习模块,用于根据接收到的目标用户行为日志,利用学习算法,对用户及用户组依据不同的时间单位进行不同维度的画像,来判断用户是否发生异常,并在用户发生异常时产生基本告警,其中,所述不同的时间单位包括:固定时间间隔和上下文驱动的预设最小时间单位;
所述统计分析模块,用于根据接收到的目标用户行为日志,对用户的各类行为进行统计处理,若用户某一类行为超过其对应的阈值范围,则确定用户发生异常并产生基本告警;
所述逻辑分析模块,用于对接收到的目标用户行为日志的上下文逻辑关系进行分析,若接收到的目标用户行为日志的上下文逻辑关系发生异常,则确定用户发生异常并产生基本告警;
所述特征匹配模块,用于将接收到的目标用户行为日志中发生变化的特征与该特征的信誉库进行匹配,若匹配成功,则确定用户发生异常并产生基本告警。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
用户反馈模块,用于接收用户输入的反馈信息并发送给所述机器学习模块和所述汇总关联模块;
相应地,所述机器学习模块,还用于在接收到用户输入的反馈信息中包含误报率较高的反馈时,对所述学习算法中的参数进行动态调节;
所述汇总关联模块,还用于
根据接收到的用户输入的反馈信息,实时调整汇总算法。
12.根据权利要求7-11中任一项所述的装置,其特征在于,所述装置还包括:
告警模块,用于将所述最终告警存入数据库中,并向用户进行展示。
13.一种电子设备,其特征在于,包括:处理器、存储器、总线及存储在存储器上并可在处理器上运行的计算机程序;
其中,所述处理器,存储器通过所述总线完成相互间的通信;
所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的方法。
14.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710680840.0A CN107566163B (zh) | 2017-08-10 | 2017-08-10 | 一种用户行为分析关联的告警方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710680840.0A CN107566163B (zh) | 2017-08-10 | 2017-08-10 | 一种用户行为分析关联的告警方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107566163A true CN107566163A (zh) | 2018-01-09 |
CN107566163B CN107566163B (zh) | 2020-11-06 |
Family
ID=60975274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710680840.0A Active CN107566163B (zh) | 2017-08-10 | 2017-08-10 | 一种用户行为分析关联的告警方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107566163B (zh) |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
CN109344617A (zh) * | 2018-09-16 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种物联网资产安全画像方法与系统 |
CN109934267A (zh) * | 2019-02-19 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 模型检测方法及装置 |
WO2019174155A1 (zh) * | 2018-03-15 | 2019-09-19 | 平安科技(深圳)有限公司 | 一种应用图标的显示方法及终端设备 |
CN110457896A (zh) * | 2019-07-02 | 2019-11-15 | 北京人人云图信息技术有限公司 | 在线访问的检测方法及检测装置 |
CN110677271A (zh) * | 2019-08-16 | 2020-01-10 | 平安科技(深圳)有限公司 | 基于elk的大数据告警方法、装置、设备及存储介质 |
CN110717605A (zh) * | 2019-10-10 | 2020-01-21 | 腾讯科技(深圳)有限公司 | 基于区块链的访问信息处理方法及装置 |
CN111428440A (zh) * | 2018-12-24 | 2020-07-17 | 中移动信息技术有限公司 | 一种基于条件概率的时序日志样本自动标注方法及装置 |
CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
CN111526060A (zh) * | 2020-06-16 | 2020-08-11 | 网易(杭州)网络有限公司 | 业务日志的处理方法及系统 |
CN111597084A (zh) * | 2019-02-20 | 2020-08-28 | 长鑫存储技术有限公司 | 安全预警方法及装置、电子设备、存储介质 |
CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
CN111913860A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN112434244A (zh) * | 2020-11-23 | 2021-03-02 | 北京八分量信息科技有限公司 | 基于ueba进行日志处理的方法、装置及相关产品 |
CN112507265A (zh) * | 2020-11-23 | 2021-03-16 | 北京八分量信息科技有限公司 | 基于树结构进行异常侦测的方法、装置及相关产品 |
CN113485886A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 告警日志的处理方法和装置、存储介质及电子装置 |
CN113556254A (zh) * | 2021-08-02 | 2021-10-26 | 北京天融信网络安全技术有限公司 | 一种异常告警的方法、装置、电子设备及可读存储介质 |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
CN116756736A (zh) * | 2023-08-24 | 2023-09-15 | 深圳红途科技有限公司 | 用户异常行为分析方法、装置、计算机设备及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
US20160156655A1 (en) * | 2010-07-21 | 2016-06-02 | Seculert Ltd. | System and methods for malware detection using log analytics for channels and super channels |
WO2016138830A1 (zh) * | 2015-03-02 | 2016-09-09 | 阿里巴巴集团控股有限公司 | 识别风险行为的方法及装置 |
CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
CN106982150A (zh) * | 2017-03-27 | 2017-07-25 | 重庆邮电大学 | 一种基于Hadoop的移动互联网用户行为分析方法 |
-
2017
- 2017-08-10 CN CN201710680840.0A patent/CN107566163B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101610174A (zh) * | 2009-07-24 | 2009-12-23 | 深圳市永达电子股份有限公司 | 一种日志关联分析系统与方法 |
US20160156655A1 (en) * | 2010-07-21 | 2016-06-02 | Seculert Ltd. | System and methods for malware detection using log analytics for channels and super channels |
CN104239197A (zh) * | 2014-10-10 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于大数据日志分析的管理用户异常行为发现方法 |
WO2016138830A1 (zh) * | 2015-03-02 | 2016-09-09 | 阿里巴巴集团控股有限公司 | 识别风险行为的方法及装置 |
CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
CN106982150A (zh) * | 2017-03-27 | 2017-07-25 | 重庆邮电大学 | 一种基于Hadoop的移动互联网用户行为分析方法 |
Cited By (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019174155A1 (zh) * | 2018-03-15 | 2019-09-19 | 平安科技(深圳)有限公司 | 一种应用图标的显示方法及终端设备 |
CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
CN109344617A (zh) * | 2018-09-16 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种物联网资产安全画像方法与系统 |
CN111428440A (zh) * | 2018-12-24 | 2020-07-17 | 中移动信息技术有限公司 | 一种基于条件概率的时序日志样本自动标注方法及装置 |
CN111428440B (zh) * | 2018-12-24 | 2023-08-15 | 中移动信息技术有限公司 | 一种基于条件概率的时序日志样本自动标注方法及装置 |
CN109934267B (zh) * | 2019-02-19 | 2023-10-20 | 创新先进技术有限公司 | 模型检测方法及装置 |
CN109934267A (zh) * | 2019-02-19 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 模型检测方法及装置 |
CN111597084A (zh) * | 2019-02-20 | 2020-08-28 | 长鑫存储技术有限公司 | 安全预警方法及装置、电子设备、存储介质 |
CN111597084B (zh) * | 2019-02-20 | 2023-06-16 | 长鑫存储技术有限公司 | 安全预警方法及装置、电子设备、存储介质 |
CN110457896A (zh) * | 2019-07-02 | 2019-11-15 | 北京人人云图信息技术有限公司 | 在线访问的检测方法及检测装置 |
CN110677271A (zh) * | 2019-08-16 | 2020-01-10 | 平安科技(深圳)有限公司 | 基于elk的大数据告警方法、装置、设备及存储介质 |
CN110677271B (zh) * | 2019-08-16 | 2022-06-24 | 平安科技(深圳)有限公司 | 基于elk的大数据告警方法、装置、设备及存储介质 |
CN110717605A (zh) * | 2019-10-10 | 2020-01-21 | 腾讯科技(深圳)有限公司 | 基于区块链的访问信息处理方法及装置 |
CN110717605B (zh) * | 2019-10-10 | 2023-10-13 | 腾讯科技(深圳)有限公司 | 基于区块链的访问信息处理方法及装置 |
CN111488572A (zh) * | 2020-03-27 | 2020-08-04 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
CN111488572B (zh) * | 2020-03-27 | 2024-01-19 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
CN111526060A (zh) * | 2020-06-16 | 2020-08-11 | 网易(杭州)网络有限公司 | 业务日志的处理方法及系统 |
CN111756745A (zh) * | 2020-06-24 | 2020-10-09 | Oppo(重庆)智能科技有限公司 | 告警方法、告警装置及终端设备 |
CN111913860A (zh) * | 2020-07-15 | 2020-11-10 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
CN111913860B (zh) * | 2020-07-15 | 2024-02-27 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
CN112507265B (zh) * | 2020-11-23 | 2024-03-01 | 北京八分量信息科技有限公司 | 基于树结构进行异常侦测的方法、装置及相关产品 |
CN112364284A (zh) * | 2020-11-23 | 2021-02-12 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN112434244A (zh) * | 2020-11-23 | 2021-03-02 | 北京八分量信息科技有限公司 | 基于ueba进行日志处理的方法、装置及相关产品 |
CN112364284B (zh) * | 2020-11-23 | 2024-01-30 | 北京八分量信息科技有限公司 | 基于上下文进行异常侦测的方法、装置及相关产品 |
CN112507265A (zh) * | 2020-11-23 | 2021-03-16 | 北京八分量信息科技有限公司 | 基于树结构进行异常侦测的方法、装置及相关产品 |
CN113485886B (zh) * | 2021-06-25 | 2023-07-21 | 青岛海尔科技有限公司 | 告警日志的处理方法和装置、存储介质及电子装置 |
CN113485886A (zh) * | 2021-06-25 | 2021-10-08 | 青岛海尔科技有限公司 | 告警日志的处理方法和装置、存储介质及电子装置 |
CN113556254A (zh) * | 2021-08-02 | 2021-10-26 | 北京天融信网络安全技术有限公司 | 一种异常告警的方法、装置、电子设备及可读存储介质 |
CN114205146B (zh) * | 2021-12-10 | 2024-01-26 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
CN114205146A (zh) * | 2021-12-10 | 2022-03-18 | 北京天融信网络安全技术有限公司 | 一种多源异构安全日志的处理方法及装置 |
CN116756736A (zh) * | 2023-08-24 | 2023-09-15 | 深圳红途科技有限公司 | 用户异常行为分析方法、装置、计算机设备及存储介质 |
CN116756736B (zh) * | 2023-08-24 | 2024-03-22 | 深圳红途科技有限公司 | 用户异常行为分析方法、装置、计算机设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN107566163B (zh) | 2020-11-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107566163A (zh) | 一种用户行为分析关联的告警方法及装置 | |
CN111931860B (zh) | 异常数据检测方法、装置、设备及存储介质 | |
US20230419807A1 (en) | Building risk analysis system with natural language processing for threat ingestion | |
US11586972B2 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
US20220210200A1 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
Li et al. | Machine learning‐based IDS for software‐defined 5G network | |
US10101244B2 (en) | Self-learning simulation environments | |
US9679243B2 (en) | System and method for detecting platform anomalies through neural networks | |
CN105095048B (zh) | 一种基于业务规则的监控系统告警关联处理方法 | |
WO2019067627A1 (en) | SYSTEMS AND METHODS OF RISK ANALYSIS | |
CN111901171B (zh) | 异常检测和归因方法、装置、设备及计算机可读存储介质 | |
CN111178456A (zh) | 异常指标检测方法、装置、计算机设备和存储介质 | |
CN113556258B (zh) | 一种异常检测方法及装置 | |
KR20180108446A (ko) | Ict 인프라 관리 시스템 및 이를 이용한 ict 인프라 관리 방법 | |
CN111917877A (zh) | 物联网设备的数据处理方法及装置、电子设备、存储介质 | |
CN109711155A (zh) | 一种预警确定方法和装置 | |
CN103905440A (zh) | 一种基于日志和snmp信息融合的网络安全态势感知分析方法 | |
CN106254137A (zh) | 监管系统的告警根源分析系统及方法 | |
CN113159615A (zh) | 一种工业控制系统信息安全风险智能测定系统及方法 | |
CN110471821A (zh) | 异常变更检测方法、服务器及计算机可读存储介质 | |
US20160259869A1 (en) | Self-learning simulation environments | |
CN112559831A (zh) | 链路监控方法、装置、计算机设备及介质 | |
KR20190001501A (ko) | 통신망의 인공지능 운용 시스템 및 이의 동작 방법 | |
CN112395156A (zh) | 故障的告警方法和装置、存储介质和电子设备 | |
US20180276566A1 (en) | Automated meta parameter search for invariant based anomaly detectors in log analytics |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: Qianxin Technology Group Co.,Ltd. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: Beijing Qi'anxin Technology Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |