CN108446546A - 异常访问检测方法、装置、设备及计算机可读存储介质 - Google Patents
异常访问检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN108446546A CN108446546A CN201810232572.0A CN201810232572A CN108446546A CN 108446546 A CN108446546 A CN 108446546A CN 201810232572 A CN201810232572 A CN 201810232572A CN 108446546 A CN108446546 A CN 108446546A
- Authority
- CN
- China
- Prior art keywords
- access
- data
- probability
- intranet server
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种异常访问检测方法,包括:判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象;若不是合法访问对象,则根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值;当概率值小于概率阈值时,则访问对象的访问行为为异常访问;该方法能够识别小概率事件,从而全面、有效的保护内网服务器的安全;本发明公开了一种异常访问检测装置、设备及计算机可读存储介质,具有上述有益效果。
Description
技术领域
本发明涉及通讯技术领域,特别涉及一种异常访问检测方法、装置、设备及计算机可读存储介质。
背景技术
在一个企业的内网中,内网服务器是一种核心资产。其中,内网服务器包括邮件服务器、办公服务器、文件服务器、数据库服务器等。内网服务器涉及到企业正常的业务运行和数据流转。因此,内网服务器的安全是内网安全的关键环节。
虽然目前保护内网服务器安全的手段多种多样,但目前的方案大部分都不能解决一些小概率的重要异常事件。例如,用户的账号被盗或成为内鬼,去访问一般情况下不会访问的资产;用户搜集多种资产数据,造成数据泄露等。因此,如何全面、有效的保护内网服务器的安全,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种异常访问检测方法、装置、设备及计算机可读存储介质,通过对访问对象进行身份和访问行为的双重检测能够识别小概率事件,从而全面、有效的保护内网服务器的安全。
为解决上述技术问题,本发明提供一种异常访问检测方法,所述方法包括:
判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;
若不是所述合法访问对象,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;
当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
可选的,判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象,包括:
从获取的待检测网络审计数据中筛选出所述指定内网服务器对应的访问数据;
从所述访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象。
可选的,判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象,包括:
判断所述有效访问数据的访问对象的IP是否为所述指定内网服务器对应的合法网段内。
可选的,所述方法还包括:
根据用户对所述异常访问的反馈结果更新所述访问行为概率分布模型。
可选的,当所述访问对象不是所述合法访问对象,还包括:
确定所述访问对象的访问行为数据对应的访问向量;
计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度;
当所述相似度小于相似度阈值时,执行所述根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值的步骤。
可选的,计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度,包括:
利用余弦相似度算法或Jaccard相似系数计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度。
本发明还提供一种异常访问检测装置,所述装置包括:
对象异常检测模块,用于判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;
行为异常检测模块,用于当所述访问对象不是所述合法访问对象时,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
可选的,所述对象异常检测模块,包括:
第一筛选单元,用于从获取的待检测网络审计数据中筛选出所述指定内网服务器对应的访问数据;
第二筛选单元,用于从所述访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
对象异常检测单元,用于判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象。
可选的,所述对象异常检测单元具体为判断所述有效访问数据的访问对象的IP是否为所述指定内网服务器对应的合法网段内的单元。
可选的,所述装置还包括:
更新模块,用于根据用户对所述异常访问的反馈结果更新所述访问行为概率分布模型。
可选的,所述装置还包括:
相似度计算模块,用于当所述访问对象不是所述合法访问对象时,确定所述访问对象的访问行为数据对应的访问向量;计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度;当所述相似度小于相似度阈值时,触发所述行为异常检测模块。
可选的,所述相似度计算模块,包括:
相似度计算单元,用于利用余弦相似度算法或Jaccard相似系数计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度。
本发明还提供一种异常访问检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述所述异常访问检测方法的步骤。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述异常访问检测方法的步骤。
本发明所提供的一种异常访问检测方法,包括:判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象;若不是合法访问对象,则根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值;当概率值小于概率阈值时,则访问对象的访问行为为异常访问。
可见,该方法通过对访问对象进行身份和访问行为的双重检测能够识别小概率的重要异常事件,从而全面、有效的保护内网服务器的安全;本发明还提供了一种异常访问检测装置、设备及计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的异常访问检测方法的流程图;
图2为本发明实施例所提供的访问流量的历史分布示意图;
图3为本发明实施例所提供的异常访问检测装置的结构框图;
图4为本发明实施例所提供的异常访问检测设备的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前缺乏一种有效的通过内网用户访问内网服务器的行为来进行异常访问检测的方案。本实施例是以内网服务器为中心进行分析,以网络行为出发检测以内网服务器为对象的主机访问过程中的小概率的重要异常事件。具体请参考图1,图1为本发明实施例所提供的异常访问检测方法的流程图;该方法可以包括:
S100、判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象。
本实施例基于三、四层的网络流量数据即待检测网络审计数据来确定与指定内网服务器有数据交互的访问对象。本实施例中并不限定获取待检测网络审计数据的频率,例如可以是实时获取,也可以是按照预设周期获取。
进一步,用户可以对获取的全部待检测网络审计数据进行异常访问检测,即判断获取的全部待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象。也可以先对获取的全部待检测网络审计数据进行筛选,在对筛选后的待检测网络审计数据进行异常访问检测,即筛选后的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象。通过筛选可以排除一些无效访问甚至一些没有危害性的访问,通过这样筛选步骤可以提高后续检测的准确性,且能够在一定程度上提高异常访问检测的效率。本实施例并不对具体的筛选方法进行限定。例如可以是根据审计日志中相应包数、响应流量或者会话状态等参数信息制定相应的筛选规则进行筛选。例如将访问过程中响应流量小于阈值的访问视为无效访问,对应的访问数据即为无效访问数据。
具体的,该步骤主要对访问对象是否异常进行检测。本实施例并不限定指定内网服务器的种类和数量。例如用户可以仅将某一个内网服务器作为指定内网服务器,并对访问该指定内网服务器的访问进行异常访问检测。也可以指定多个内网服务器均作为指定内网服务器,并分别对这些指定内网服务器进行异常访问检测。
本实施例并不限定具体的判定访问对象是否为指定内网服务器对应的合法访问对象的方式。即通过访问对象的标识(本实施例并不对该标识进行限定,只要可以唯一识别该访问对象的身份即可)是否属于设定的合法访问对象所对应的标识。
本实施例并不限定合法访问对象的构建方法,例如用户可以提前配置指定内网服务器对应的合法访问对象。由于一般进行身份验证时都会使用访问对象的IP,因此可以提前设置指定内网服务器对应的合法IP;进一步,由于IP个体差异性比较大,为了提高访问行为的稳定性,便于举证,也可以通过网段分组确定指定内网服务器对应的合法网段。例如通过历史访问数据生成合法访问对象。具体过程可以是在读取训练数据后对每天的访问数据进行清理,并将清理后的数据进行保留。利用清理后的数据基于服务器IP、IP所在的网段以及目标端口,构造正常访问即有效访问的数据模型即形成了合法访问对象,并对每次访问指定内网服务器的上下行流量、连接时长等参数信息进行保留,为下一步访问行为的比对时提供访问行为异常检测的数据基础。
本实施例将获取的待检测网络审计数据中访问指定内网服务器的访问对象与指定内网服务器对应的合法访问对象进行对比,判断访问对象是否属于合法访问对象。若属于合法访问对象,则证明该访问对象具有合法的资格去访问指定内网服务器,即证明该访问对象是正常访问对象;若不属于合法访问对象,则证明该访问对象不具有合法的资格去访问指定内网服务器,即证明该访问对象可能是异常访问对象。
进一步,当访问对象属于合法访问对象时,即证明该访问对象是正常访问对象。因此可以通过对合法访问对象进行及时的更新,以排除账户被盗或者其他情况下(例如新加入合法的访问对象)由于合法访问对象的改变造成的异常访问检测结果的错误。
S110、若不是合法访问对象,则根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值。
S120、当概率值小于概率阈值时,则访问对象的访问行为为异常访问。
具体的,步骤S110以及步骤S120主要是对访问对象的访问行为是否异常进行检测。本实施例可以从以下方面进行访问行为检测:访问时间、连接时长、上行流量、下行流量、请求报数以及响应包数。即本实施例并不限定访问行为数据的具体内容,例如访问行为数据可以包括访问时间、上行流量、下行流量、连接时长、访问次数、请求包数以及响应包数中至少一种参数。对应的本实施例并不限定访问行为概率分布模型的构建过程。访问行为概率分布模型与访问行为数据相对应。例如当访问行为数据仅为一种参数时,对应的访问行为概率分布模型即利用该参数对应的历史数据进行训练得到。当访问行为数据仅为至少两种参数时,对应的访问行为概率分布模型即可以是分别利用每种参数对应的历史数据进行训练对应该参数的概率分布模型,并将全部的概率分布模型作为访问行为概率分布模型;也可以是利用选取的全部参数对应的历史数据进行训练得到综合的概率分布模型作为访问行为概率分布模型。
当访问行为概率分布模型具有多个参数对应的概率分布模型时,可以设定具体的访问对象的访问行为为异常访问的判定标准。本实施例对此并不进行限定。例如可以是只要存在一个参数对应的概率值小于该参数对应的概率阈值时,即可以认定访问对象的访问行为为异常访问。也可以是只要存在两个参数对应的概率值均小于各参数对应的概率阈值时,即可以认定访问对象的访问行为为异常访问。也可以是概率值小于对应概率阈值的参数的总数占访问行为数据所选取的全部参数的比例超过比例阈值时,即可以认定访问对象的访问行为为异常访问。当然,本实施例也不限定比例阈值的具体数值,例如60%。也不限定概率阈值的具体数值,用户可以根据实际需求进行选择和修改。
进一步,本实施例并不限定访问行为概率分布模型对应的概率区间的数量,也不限定每个概率区间对应的概率值;即不限定概率区间及对应的概率值的确定方式。例如基于历史的访问行为建立概率分布模型,然后对新出现的访问行为进行判断。对应上述的访问的内网服务器,可以分别建立相应的历史模型。记该内网服务器,针对提供的不同维度分别统计出历史数据中访问该内网服务器的概率分布。获取参数的历史数据,根据历史数据的范围指定概率区间,并确定在每个概率区间内存在的历史数据数量,将每个概率区间内存在的历史数据数量与历史数据总数量的比值作为各概率区间的概率值。当然也可以是其他方式进行概率区间及对应概率值的确定。
进一步,为了保证获取的模型的准确性和可靠性,本实施例中可以将构造访问行为概率分布模型所需要的历史数据进行清理。去除掉一些无效数据。例如对于一些异常的访问行为如偶尔访问一下、访问的时间很短或访问的量很少等情况,这些行为本身很容易是误报,并且危害性不大。因此需要忽略这些行为。真正比较有危害的访问在访问行为上会表现出一些明显的特征,从而可以利用这些特征对历史数据进行过滤。例如对于一些异常的访问行为,如在审计日志中响应包数和响应流量均为0,明显是内网服务器对此次访问无响应。所以在构造模型的时候如果把此类数据加入其中,会构造很多的伪正常连接的模型,容易造成结果的漏报。所以在处理数据的过程中,可以将会话状态为无效或者响应包数为0的连接先过滤掉,保证进入模型的数据都是正常的数据,保证模型的正确性。
本实施例的一个应用场景即根据用户的新访问关系与用户的原访问关系(如设定的所属分组的访问关系)的差异检测异常,以及对资源的访问行为(如访问流量)异常,可以有效识别访问对象的访问行为有重要变化等小概率事件的用户。例如主机A被入侵,访问服务器造成数据泄露;离职员工搜集各部门数据等场景均可识别。
下面请参考图2,以下行流量为例说明上述步骤S110以及步骤S120的过程。图2中将历史的访问流量行为分为四部分;根据历史的访问T(内网服务器)的流量情况得出相应区间的概率。给定一个待检测节点访问T的行为,通过其落在相应的概率区间,将该概率区间对应的概率值与概率阈值进行比较,可以给出该行为是否是异常行为。例如当访问对象对应的下行流量数据大于100M时,其属于P4概率区间,对应的概率值为0。若设定的概率阈值为0.1时,则0小于概率阈值,则该访问对象的访问行为为异常访问。
即本实施例能够帮助发现内网中的小概率可疑事件,把值得关注的潜在威胁事件检测出来。安全运维人员就可以根据访问的具体信息,进行进一步的确认、取证、排查,从而更加有效的消除内部威胁。本实施例经过多重维度(访问对象以及访问行为,进一步访问行为可以选取多种参数进行检测)的考虑,能够把误报降低,只筛选出有价值的内网用户访问内网服务器的可疑事件。
基于上述技术方案,本发明实施例提的异常访问检测方法,该方法通过对访问对象进行身份和访问行为的双重检测,即通过结合访问对象+访问行为两层逻辑,根据指定内网服务器的历史“访客”(即合法访问对象)首先发现可疑的访问对象,然后基于该“访客”的访问行为是否可疑来识别异常。即能够识别小概率的重要异常事件,从而全面、有效的保护内网服务器的安全。
基于上述实施例,为了进一步保证后续检测的正确性,本实施例对待检测网络审计数据进行清理。即本实施例中判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象可以包括:
从获取的待检测网络审计数据中筛选出指定内网服务器对应的访问数据;
从访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
判断有效访问数据的访问对象是否为指定内网服务器对应的合法访问对象。
具体的,该步骤的主要目的是在进行访问对象以及访问行为的异常检测之前,首先进行初步过滤,仅保留有异常检测价值的访问数据。这样不仅能够提高后续访问对象以及访问行为的异常检测的准确性,还能够提高整个异常访问检测的效率。即对于一些异常的访问行为如偶尔访问一下、访问的时间很短或访问的量很少等情况,这些访问行为本身很容易是误报,并且危害性不大,因此需要忽略这些访问行为。真正比较有危害的访问在行为上会表现出一些明显的特征,所以可以通过这些特征对结果进行过滤,筛选出有效访问数据。例如:对于一些异常的访问行为,如在审计日志中响应包数和响应流量均为0,明显是内网服务器对此次访问无响应。使用这类访问数据进行后续的异常访问检测容易造成结果的漏报。所以在处理数据(即待检测网络审计数据)的过程中,可以将会话状态为无效或者响应包数为0的连接先过滤掉,保证进行后续操作的访问数据都是正常的数据。
本实施例并不限定预设有效访问状态的具体内容。其可以由用户根据实际的应用场景对应的有效访问数据的有效特征进行设定。例如若访问内网服务器A的访问时间基本都会大于一个时间阈值,则就可以以此作为一个预设有效访问状态,当获取的访问数据中对应的访问行为数据的访问时间小于该时间阈值,则可以认为该访问对象不是有效访问对象,无论其是否异常都没有必要进行后续的访问对象以及访问行为的异常检测。因此该访问对象不会造成实质性危害。进一步,本实施例也不限定预设有效访问状态对应的参数种类。例如用户可以仅选取一种参数来设定预设有效访问状态,也可以同时选取多种参数来设定预设有效访问状态,且在选取多种参数来设定预设有效访问状态用户可以根据实际情况设定各个参数之间的关系。例如仅满足一个参数对应的有效状态,则该访问数据即为有效;还是需要满足选取的全部的参数对应的有效状态在可以认定为访问数据有效;还可以是在具有一定比例的参数满足对应的有效状态时认定为访问数据有效。
进一步,本实施例并不限定预设有效访问状态所需要依据的参数,例如可以是访问次数、访问时间、上行流量、下行流量、连接时长、请求包数以及响应包数中至少一种。
基于上述技术方案,本发明实施例提的异常访问检测方法,该方法通过对访问对象进行身份和访问行为的双重检测,即通过结合访问对象+访问行为两层逻辑,根据指定内网服务器的历史“访客”(即合法访问对象)首先发现可疑的访问对象,然后基于该“访客”的访问行为是否可疑来识别异常。即能够识别小概率的重要异常事件,从而全面、有效的保护内网服务器的安全。并进一步为了减少误判提高异常访问检测的准确性,本实施例通过过滤无效访问数据方法来实现。
由于基于用户IP设置指定内网服务器对应的合法访问对象时会存在由于IP个体的差异性较大,访问行为不稳定,以及不方便举证等缺点。因此基于上述任意实施例,本实施例为了解决上述问题,优选的判断有效访问数据的访问对象是否为指定内网服务器对应的合法访问对象可以包括:
判断有效访问数据的访问对象的IP是否为指定内网服务器对应的合法网段内。
其中,网段(network segment)一般指一个计算机网络中使用同一物理层设备(传输介质,中继器,集线器等)能够直接通讯的那一部分。例如,从192.168.0.1到192.168.255.255这之间就是一个网段。通过用户的网段对IP进行分组。使用网段进行分组,并基于分组来进行行为比较,可以解决上述问题。
本实施例中指定内网服务器对应的合法网段可以不止一个,例如选取三个网段作为指定内网服务器对应的合法网段。且用户可以随着企业的发展对指定内网服务器对应的合法网段进行修改。
为了进一步提高异常访问检测的效率,基于上述任意实施例,本实施例在当访问对象不是合法访问对象还可以包括:
确定访问对象的访问行为数据对应的访问向量;
计算访问向量与指定内网服务器对应的标准访问向量的相似度;
当相似度小于相似度阈值时,执行根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值的步骤。
具体的,本实施例并不限定具体的访问向量的组成内容,其可以由用户根据实际应用场景进行选择。其内容可以包括访问时间、上行流量、下行流量、连接时长、访问次数、请求包数以及响应包数中至少一种参数。例如访问向量为[访问时间上行流量连接时长访问次数请求包数]。进一步,本实施例并不限定训练访问向量的过程。例如在读取每个网段的训练数据后对每天的访问数据进行清理,并将清理后的数据进行保留。获取每次访问指定内网服务器的上下行流量、连接时长等参数的数据信息形成历史访问信息。基于网段的历史访问信息,建立相应的访问向量,即通过训练集中主机对指定内网服务器的指定参数作为访问向量。
本实施例并不限定具体相似度的计算方法。用户可以根据实际的硬件计算能力及计算精度进行选择。可选的计算访问向量与指定内网服务器对应的标准访问向量的相似度可以包括:
利用余弦相似度算法或Jaccard相似系数计算访问向量与指定内网服务器对应的标准访问向量的相似度。
其中,Jaccard相似系数(Jaccard similarity coefficient)用于比较有限样本集之间的相似性与差异性。Jaccard系数值越大,样本相似度越高。余弦相似度算法,又称为余弦相似性,是通过计算两个向量的夹角余弦值来评估他们的相似度。余弦相似度将向量根据坐标值,绘制到向量空间中,如最常见的二维空间。
当相似度小于相似度阈值时,执行根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值的步骤。当相似度不小于相似度阈值时,说明该访问对象的访问行为不存在异常现象。
进一步,当指定内网服务器对应的每个合法网段均具有标准访问向量时,本实施例并不限定具体的相似度小于相似度阈值的判断依据。例如可以只要存在相似度小于一个合法网段对应的相似度阈值时,则认定为不相似,执行根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值的步骤。即此时本实施例的指定内网服务器对应的每个合法网段均可以具有标准访问向量以及对应的相似度阈值。
下面举例说明本实施例提供的异常访问检测方法的执行流程:先通过用户访问指定内网服务器的行为是否属于此合法网段的行为初步判断(即与自身的历史访问对象比较,看是否相同)。再通过与被访问内网服务器的组别的访问行为进行比较(即判断此网段的行为是否其他正常访问此服务器的组的行为是否相似,并在不相似时进行具体的访问行为的检测)。例如,对访问资源A(一个内网服务器)的IP组进行分组(形成合法网段组A),记录组A及访问的端口信息;当有新的IP组-d以及目标端口对资源A进行访问时,将IP组-d对资源A的访问向量与组A中IP组对资源A的访问向量进行相似性比较,从而初步判断此次访问资源A是否为异常行为。这里的相似性算法不限于某一种方法,包括余弦相似系数、Jaccard相似系数等。当相似度小于相似度阈值时,根据访问行为概率分布模型确定该访问行为是否异常。
基于上述技术方案,本发明实施例提的异常访问检测方法,该方法通过对访问对象进行身份和访问行为的双重检测,即通过结合访问对象+访问行为两层逻辑,根据指定内网服务器的历史“访客”(即合法访问对象)首先发现可疑的访问对象,然后基于该“访客”的访问行为是否可疑来识别异常。即能够识别小概率的重要异常事件,从而全面、有效的保护内网服务器的安全。并进一步增加访问向量相似度判断,从而可以进一步提高异常访问检测的效率和准确性。
基于上述任意实施例,为了进一步保证模型的准确性,本实施例还可以包括:
根据用户对异常访问的反馈结果更新访问行为概率分布模型。
具体的,例如根据上述异常访问检测后得到访问异常,最后经过用户审查后确定其为正常访问时,可以利用该访问数据对访问行为概率分布模型进行更新从而可以提高访问行为概率分布模型的准确性,进一步还可以对概率阈值进行相应更新。本实施例并不限定具体的更新方式。
进一步,还可以对上述实施例中的标准访问向量以及对应的相似度阈值进行更新。和/或对合法访问对象进行更新。例如更新指定内网服务器、主机IP以及目标端口的模型。
本实施例可以包括模型建立和在线的异常访问检测两个阶段。具体的,模型建立阶段可以是获取一段时间的网络审计数据,保留内网IP对指定内网服务器的访问数据,并对其进行筛选,保留有效访问。根据保留的有效访问建立指定内网服务器、主机IP以及目标端口的模型,并建立访问关系群(即访问向量)。在线异常访问检测阶段可以是获取新的网络审计数据,保留内网IP对指定内网服务器的访问数据,并对其进行筛选,保留有效访问。对有效访问进行访问对象的异常检测以及访问行为的异常检测,并根据检测结果报出异常或者更新模型从而提高检测的准确性。
基于上述技术方案,本发明实施例提的异常访问检测方法,该方法通过对访问对象进行身份和访问行为的双重检测,即通过结合访问对象+访问行为两层逻辑,根据指定内网服务器的历史“访客”(即合法访问对象)首先发现可疑的访问对象,然后基于该“访客”的访问行为是否可疑来识别异常。即能够识别小概率的重要异常事件,从而全面、有效的保护内网服务器的安全。并进一步通过用户对异常访问的反馈结果更新访问行为概率分布模型,以提高访问行为概率分布模型的准确性,进而提高异常访问检测的准确性。
下面对本发明实施例提供的异常访问检测装置、设备及计算机可读存储介质进行介绍,下文描述的异常访问检测装置、设备及计算机可读存储介质与上文描述的异常访问检测方法可相互对应参照。
请参考图3,图3为本发明实施例所提供的异常访问检测装置的结构框图;该装置可以包括:
对象异常检测模块100,用于判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为指定内网服务器对应的合法访问对象;
行为异常检测模块200,用于当访问对象不是合法访问对象时,则根据访问行为概率分布模型确定访问对象对应的访问行为数据所属概率区间的概率值;当概率值小于概率阈值时,则访问对象的访问行为为异常访问。
基于上述实施例,对象异常检测模块100可以包括:
第一筛选单元,用于从获取的待检测网络审计数据中筛选出指定内网服务器对应的访问数据;
第二筛选单元,用于从访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
对象异常检测单元,用于判断有效访问数据的访问对象是否为指定内网服务器对应的合法访问对象。
基于上述实施例,对象异常检测单元具体为判断有效访问数据的访问对象的IP是否为指定内网服务器对应的合法网段内的单元。
基于上述任意实施例,该装置还可以包括:
更新模块,用于根据用户对异常访问的反馈结果更新访问行为概率分布模型。
基于上述任意实施例,该装置还可以包括:
相似度计算模块,用于当访问对象不是合法访问对象时,确定访问对象的访问行为数据对应的访问向量;计算访问向量与指定内网服务器对应的标准访问向量的相似度;当相似度小于相似度阈值时,触发行为异常检测模块。
基于上述实施例,相似度计算模块,包括:
相似度计算单元,用于利用余弦相似度算法或Jaccard相似系数计算访问向量与指定内网服务器对应的标准访问向量的相似度。
需要说明的是,基于上述任意实施例,所述装置可以是基于可编程逻辑器件实现的,可编程逻辑器件包括FPGA,CPLD,单片机等。
请参考图4,图4为本发明实施例所提供的异常访问检测设备的结构框图;该设备可以包括:
存储器300,用于存储计算机程序;
处理器400,用于执行计算机程序时实现判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;若不是所述合法访问对象,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
基于上述实施例,该设备还可以包括:
输入部件,用于用户输入数据;其中,所述数据可以包括异常访问的反馈结果、合法访问对象、概率值、概率阈值中至少一种。
本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;若不是所述合法访问对象,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种异常访问检测方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (14)
1.一种异常访问检测方法,其特征在于,所述方法包括:
判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;
若不是所述合法访问对象,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;
当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
2.根据权利要求1所述的方法,其特征在于,判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象,包括:
从获取的待检测网络审计数据中筛选出所述指定内网服务器对应的访问数据;
从所述访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象。
3.根据权利要求2所述的方法,其特征在于,判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象,包括:
判断所述有效访问数据的访问对象的IP是否为所述指定内网服务器对应的合法网段内。
4.根据权利要求3所述的方法,其特征在于,还包括:
根据用户对所述异常访问的反馈结果更新所述访问行为概率分布模型。
5.根据权利要求1-4任一项所述的方法,其特征在于,当所述访问对象不是所述合法访问对象,还包括:
确定所述访问对象的访问行为数据对应的访问向量;
计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度;
当所述相似度小于相似度阈值时,执行所述根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值的步骤。
6.根据权利要求5所述的方法,其特征在于,计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度,包括:
利用余弦相似度算法或Jaccard相似系数计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度。
7.一种异常访问检测装置,其特征在于,所述装置包括:
对象异常检测模块,用于判断获取的待检测网络审计数据中访问指定内网服务器的访问对象是否为所述指定内网服务器对应的合法访问对象;
行为异常检测模块,用于当所述访问对象不是所述合法访问对象时,则根据访问行为概率分布模型确定所述访问对象对应的访问行为数据所属概率区间的概率值;当所述概率值小于概率阈值时,则所述访问对象的访问行为为异常访问。
8.根据权利要求7所述的装置,其特征在于,所述对象异常检测模块,包括:
第一筛选单元,用于从获取的待检测网络审计数据中筛选出所述指定内网服务器对应的访问数据;
第二筛选单元,用于从所述访问数据中筛选出满足预设有效访问状态的访问数据作为有效访问数据;
对象异常检测单元,用于判断所述有效访问数据的访问对象是否为所述指定内网服务器对应的合法访问对象。
9.根据权利要求8所述的装置,其特征在于,所述对象异常检测单元具体为判断所述有效访问数据的访问对象的IP是否为所述指定内网服务器对应的合法网段内的单元。
10.根据权利要求9所述的装置,其特征在于,还包括:
更新模块,用于根据用户对所述异常访问的反馈结果更新所述访问行为概率分布模型。
11.根据权利要求7-10任一项所述的装置,其特征在于,还包括:
相似度计算模块,用于当所述访问对象不是所述合法访问对象时,确定所述访问对象的访问行为数据对应的访问向量;计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度;当所述相似度小于相似度阈值时,触发所述行为异常检测模块。
12.根据权利要求11所述的装置,其特征在于,所述相似度计算模块,包括:
相似度计算单元,用于利用余弦相似度算法或Jaccard相似系数计算所述访问向量与所述指定内网服务器对应的标准访问向量的相似度。
13.一种异常访问检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述异常访问检测方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述异常访问检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810232572.0A CN108446546A (zh) | 2018-03-20 | 2018-03-20 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810232572.0A CN108446546A (zh) | 2018-03-20 | 2018-03-20 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108446546A true CN108446546A (zh) | 2018-08-24 |
Family
ID=63195965
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810232572.0A Pending CN108446546A (zh) | 2018-03-20 | 2018-03-20 | 异常访问检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108446546A (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
CN110750786A (zh) * | 2019-10-30 | 2020-02-04 | 上海观安信息技术股份有限公司 | 一种账号异常访问敏感数据行为的检测方法及系统 |
CN111224936A (zh) * | 2019-11-07 | 2020-06-02 | 中冶赛迪重庆信息技术有限公司 | 用户异常请求检测方法、系统、设备以及机器可读介质 |
CN111371791A (zh) * | 2020-03-06 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问关系确定方法、装置、设备、介质 |
CN111444931A (zh) * | 2019-01-17 | 2020-07-24 | 北京京东尚科信息技术有限公司 | 异常访问数据的检测方法和装置 |
CN111507734A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 作弊请求识别方法、装置、电子设备及计算机存储介质 |
CN111563527A (zh) * | 2020-03-30 | 2020-08-21 | 北京金堤科技有限公司 | 异常事件检测方法以及装置 |
CN111666186A (zh) * | 2020-04-26 | 2020-09-15 | 杭州数梦工场科技有限公司 | 数据访问异常的检测方法、装置、存储介质及计算机设备 |
CN113014603A (zh) * | 2021-04-01 | 2021-06-22 | 刘宏达 | 基于网络安全大数据的防护联动配置方法及大数据云系统 |
CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
CN113987482A (zh) * | 2021-12-28 | 2022-01-28 | 中孚信息股份有限公司 | 一种基于fm的ip首次访问检测方法、系统及设备 |
CN115277150A (zh) * | 2022-07-21 | 2022-11-01 | 格尔软件股份有限公司 | 异常访问行为分析方法、装置、计算机设备和存储介质 |
CN117591530A (zh) * | 2024-01-17 | 2024-02-23 | 杭银消费金融股份有限公司 | 一种数据截面处理方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
US20150142623A1 (en) * | 2007-03-16 | 2015-05-21 | Finsphere Corporation | System and method for identity protection using mobile device signaling network derived location pattern recognition |
CN105357216A (zh) * | 2015-11-30 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种安全访问方法及系统 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN106714176A (zh) * | 2017-01-04 | 2017-05-24 | 北京百度网讯科技有限公司 | 一种内网服务的访问控制方法及装置 |
CN106973047A (zh) * | 2017-03-16 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种异常流量检测方法和装置 |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
-
2018
- 2018-03-20 CN CN201810232572.0A patent/CN108446546A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150142623A1 (en) * | 2007-03-16 | 2015-05-21 | Finsphere Corporation | System and method for identity protection using mobile device signaling network derived location pattern recognition |
CN101383694A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于数据挖掘技术的拒绝服务攻击防御方法和系统 |
JP2009175984A (ja) * | 2008-01-23 | 2009-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 本人認証装置、本人認証方法および本人認証プログラム |
CN105357216A (zh) * | 2015-11-30 | 2016-02-24 | 上海斐讯数据通信技术有限公司 | 一种安全访问方法及系统 |
CN105915555A (zh) * | 2016-06-29 | 2016-08-31 | 北京奇虎科技有限公司 | 网络异常行为的检测方法及系统 |
CN106714176A (zh) * | 2017-01-04 | 2017-05-24 | 北京百度网讯科技有限公司 | 一种内网服务的访问控制方法及装置 |
CN106973047A (zh) * | 2017-03-16 | 2017-07-21 | 北京匡恩网络科技有限责任公司 | 一种异常流量检测方法和装置 |
CN107592312A (zh) * | 2017-09-18 | 2018-01-16 | 济南互信软件有限公司 | 一种基于网络流量的恶意软件检测方法 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109743295A (zh) * | 2018-12-13 | 2019-05-10 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
CN109743295B (zh) * | 2018-12-13 | 2022-04-12 | 平安科技(深圳)有限公司 | 访问阈值调整方法、装置、计算机设备及存储介质 |
CN111444931A (zh) * | 2019-01-17 | 2020-07-24 | 北京京东尚科信息技术有限公司 | 异常访问数据的检测方法和装置 |
CN110750786A (zh) * | 2019-10-30 | 2020-02-04 | 上海观安信息技术股份有限公司 | 一种账号异常访问敏感数据行为的检测方法及系统 |
CN111224936A (zh) * | 2019-11-07 | 2020-06-02 | 中冶赛迪重庆信息技术有限公司 | 用户异常请求检测方法、系统、设备以及机器可读介质 |
CN111224936B (zh) * | 2019-11-07 | 2022-08-02 | 中冶赛迪重庆信息技术有限公司 | 用户异常请求检测方法、系统、设备以及机器可读介质 |
CN111371791A (zh) * | 2020-03-06 | 2020-07-03 | 深信服科技股份有限公司 | 一种访问关系确定方法、装置、设备、介质 |
CN111563527A (zh) * | 2020-03-30 | 2020-08-21 | 北京金堤科技有限公司 | 异常事件检测方法以及装置 |
CN111563527B (zh) * | 2020-03-30 | 2024-02-09 | 北京金堤科技有限公司 | 异常事件检测方法以及装置 |
CN113535501A (zh) * | 2020-04-15 | 2021-10-22 | 中移动信息技术有限公司 | 一种信息审计方法、装置、设备和计算机存储介质 |
CN111507734A (zh) * | 2020-04-15 | 2020-08-07 | 北京字节跳动网络技术有限公司 | 作弊请求识别方法、装置、电子设备及计算机存储介质 |
CN111666186A (zh) * | 2020-04-26 | 2020-09-15 | 杭州数梦工场科技有限公司 | 数据访问异常的检测方法、装置、存储介质及计算机设备 |
CN111666186B (zh) * | 2020-04-26 | 2023-09-15 | 杭州数梦工场科技有限公司 | 数据访问异常的检测方法、装置、存储介质及计算机设备 |
CN113014603A (zh) * | 2021-04-01 | 2021-06-22 | 刘宏达 | 基于网络安全大数据的防护联动配置方法及大数据云系统 |
CN113630415A (zh) * | 2021-08-10 | 2021-11-09 | 工银科技有限公司 | 网络准入控制方法、装置、系统、设备、介质和产品 |
CN113987482B (zh) * | 2021-12-28 | 2022-05-06 | 中孚信息股份有限公司 | 一种基于fm的ip首次访问检测方法、系统及设备 |
CN113987482A (zh) * | 2021-12-28 | 2022-01-28 | 中孚信息股份有限公司 | 一种基于fm的ip首次访问检测方法、系统及设备 |
CN115277150A (zh) * | 2022-07-21 | 2022-11-01 | 格尔软件股份有限公司 | 异常访问行为分析方法、装置、计算机设备和存储介质 |
CN115277150B (zh) * | 2022-07-21 | 2024-04-12 | 格尔软件股份有限公司 | 异常访问行为分析方法、装置、计算机设备和存储介质 |
CN117591530A (zh) * | 2024-01-17 | 2024-02-23 | 杭银消费金融股份有限公司 | 一种数据截面处理方法及系统 |
CN117591530B (zh) * | 2024-01-17 | 2024-04-19 | 杭银消费金融股份有限公司 | 一种数据截面处理方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108446546A (zh) | 异常访问检测方法、装置、设备及计算机可读存储介质 | |
KR102138965B1 (ko) | 계정 도난 위험 식별 방법, 식별 장치, 예방 및 통제 시스템 | |
CN111654489B (zh) | 一种网络安全态势感知方法、装置、设备及存储介质 | |
CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
Ye et al. | Probabilistic techniques for intrusion detection based on computer audit data | |
CN105357195A (zh) | web访问的越权漏洞检测方法及装置 | |
CN108989150A (zh) | 一种登录异常检测方法及装置 | |
CN108924169A (zh) | 一种可视化网络安全系统 | |
CN106254137B (zh) | 监管系统的告警根源分析系统及方法 | |
US11424993B1 (en) | Artificial intelligence system for network traffic flow based detection of service usage policy violations | |
CN110633893A (zh) | 一种策略效能监控方法、装置以及计算机设备 | |
CN114553596B (zh) | 适用于网络安全的多维度安全情况实时展现方法及系统 | |
CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
CN106302412A (zh) | 一种针对信息系统抗压性测试的智能检测系统和检测方法 | |
CN114996746A (zh) | 基于多维度信息的数据权限管理方法及系统 | |
CN108182282A (zh) | 地址真实性验证方法、装置及电子设备 | |
Edwards et al. | Analyzing and modeling longitudinal security data: Promise and pitfalls | |
Upadhyaya et al. | An analytical framework for reasoning about intrusions | |
CN111723338A (zh) | 一种检测方法和检测设备 | |
CN115795475A (zh) | 软件系统风险的确定方法、装置及电子设备 | |
CN107622065B (zh) | 一种数据处理方法及服务器 | |
Bertino et al. | Securing dbms: characterizing and detecting query floods | |
CN115706669A (zh) | 网络安全态势预测方法及系统 | |
CN112860471A (zh) | 一种基于决策流的业务操作日志审计与告警方法及系统 | |
Ahmad et al. | Proposed network forensic framework for analyzing IaaS cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180824 |
|
RJ01 | Rejection of invention patent application after publication |