CN108696486B - 一种异常操作行为检测处理方法及装置 - Google Patents

一种异常操作行为检测处理方法及装置 Download PDF

Info

Publication number
CN108696486B
CN108696486B CN201710230138.4A CN201710230138A CN108696486B CN 108696486 B CN108696486 B CN 108696486B CN 201710230138 A CN201710230138 A CN 201710230138A CN 108696486 B CN108696486 B CN 108696486B
Authority
CN
China
Prior art keywords
preset time
value
entropy
log
log type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710230138.4A
Other languages
English (en)
Other versions
CN108696486A (zh
Inventor
叶紫光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Henan Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Henan Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN201710230138.4A priority Critical patent/CN108696486B/zh
Publication of CN108696486A publication Critical patent/CN108696486A/zh
Application granted granted Critical
Publication of CN108696486B publication Critical patent/CN108696486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods

Abstract

本发明实施例提供一种异常操作行为检测处理方法及装置。所述方法包括:采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。所述装置用于执行上述方法。本发明提供的方法及装置提高了异常操作行为检测的效率和准确性。

Description

一种异常操作行为检测处理方法及装置
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种异常操作行为检测处理方法及装置。
背景技术
随着计算机技术与网络应用的快速发展,人们的工作、生活、学习越来越越智能化、自动化,内部部署的网络设备与信息系统不间断地将各种操作行为记录为日志数据,包括系统执行由自然人发出指令的操作行为、机器人发出的操作行为,而日志数据是服务改进、系统审计、安全分析、数据挖掘等应用的重要数据源,通过日志数据进行异常操作行为检测越来越受到关注。
异常操作行为检测作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。异常操作行为检测可以看作是一个分类问题,就是对给定的审计数据进行分类:什么样的数据是正常的,什么样的数据是异常的。在应用运行的过程中,应用本身和各种监控程序都会产生各类应用日志来记录应用的状态、重要的运行事件和网络流量等,因此,应用日志适合用来进行异常检测。现有技术条件下,异常操作行为检测方法通常是通过人工参与或者使用预先定义好的规则进行应用日志分析,并且大都是基于单个数据包进行检测,异常检测的报警信息为孤立的异常事件。这样以来,由于对应用日志的假设有较大的依赖性,对异常操作行为识别性能较低;当程序产生了百万行日志时,人工处理应用日志效率非常低,不可预测的异常事件也不适合用预先定义的规则进行处理;除此之外,当出现大规模异常行为时,很难从报警信息中直观获取异常操作行为的特点,难以从整体上评估当前的安全状况。上述的种种原因都会大大影响应用运行过程中的异常操作行为检测效率和准确性。
因此,如何提出一种方法提高异常操作行为检测效率和准确性的问题是目前业界亟待解决的需要课题。
发明内容
针对现有技术中的缺陷,本发明实施例提供一种异常操作行为检测处理方法及装置。
一方面,本发明实施例提供一种异常操作行为检测处理方法,包括:
采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;
根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
另一方面,本发明实施例提供一种异常操作行为检测处理装置,包括:
获取单元,用于采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;
计算单元,用于根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
分析单元,用于根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
本发明实施例提供的异常操作行为检测处理方法及装置,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的异常操作行为检测处理方法的流程示意图;
图2为本发明实施例提供的归一化熵值图谱;
图3为本发明一实施例提供的异常操作行为检测处理装置的结构示意图;
图4为本发明另一实施例提供的异常操作行为检测处理装置的结构示意图;
图5为本发明实施例提供的电子设备实体装置结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的异常操作行为检测处理方法的流程示意图,如图1所示,本实施例提供一种异常操作行为检测处理方法,包括:
S1、采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;
具体地,在一个信息系统中,所述日志数据信息记录了网络和系统的所有操作行为信息,异常操作行为检测处理装置采集预设时间段内的日志数据信息,获取所述日志数据信息包括的日志类型,并获取每个日志类型对应的操作行为的执行次数和相应的执行时间。例如,所述装置获取到的预设时间段内的日志数据信息包括A类日志和B类日志,获取所述A类日志对应的操作行为的执行次数为两次,第一次的执行时间为2017年3月1日12:03,第二次的执行时间为2017年3月1日15:25;同样获取所述B类日志对应的操作行为的执行次数为一次,相应的执行时间为2017年2月27日20:00。可以理解的是,所述各日志类型对应的操作行为包括人为操作行为和机器人操作行为;记录所述操作行为的日志类型包括:ssh日志、telnet日志、ftp日志、业务应用登录日志、操作日志等不同的日志类型;所述各日志类型对应的操作行为的执行时间为执行所述操作行为所对应的时刻,所述预设时间段可以根据实际情况进行调整,此处不做具体限定。
S2、根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
具体地,所述装置根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例,并且计算在所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例,然后按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值。可以理解的是,所述第一预设时间维度可以是周,所述第二预设时间维度可以是小时;相应地,所述第一预设时间维度对应的单位时间段为1天,所述第二预设时间维度对应的单位时间段为1小时;当然,所述第一预设时间维度和所述第二预设时间维度可以根据实际情况进行调整,此处不做具体限定。
S3、根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
具体地,所述装置根据所述第一归一化熵值和所述第二归一化熵值若判断获知所述日志类型对应的操作行为的分布程度为聚集分布,则判定所述日志类型对应的操作行为为异常操作行为;若判断获知所述日志类型对应的操作行为的分布程度为分散分布,则判定所述日志类型对应的操作行为为正常操作行为。应当说明的是,所述装置可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
本发明实施例提供的异常操作行为检测处理方法,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
在上述实施例的基础上,进一步地,所述根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值,包括:
根据所述执行次数和执行时间计算各日志类型对应的第一特征值和第二特征值;其中,所述第一特征值为在所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;所述第二特征值为在所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;
根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值。
具体地,所述装置根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例作为所述各日志类型在第一预设时间维度上的第一特征值;根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例作为所述各日志类型在第一预设时间维度上的第一特征值;然后,按照归一化熵算法分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值。
在上述实施例的基础上,进一步地,根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值,包括:
根据公式:
Figure GDA0001350563700000061
计算所述第一归一化熵值和所述第二归一化熵值;其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。
具体地,熵(Entropy)的来自于统计热力学,用于表达一个热力学系统混乱的程度,所述热力学系统越混乱,其熵值就越高;反之,所述热力学系统越是有序,那么对应的熵值也就越低。在信息理论中,熵主要采用数值形式表达系统随机变量取值的不确定性程度,所述随机变量取值的不确定性越大,熵值也就越大,则确定所述系统需要的信息量就越大,而信息量是时间发生概率的连续函数,因此,可以通过熵值对系统有序化程度的度量从而进行系统异常操作行为的检测。熵的计算公式为:
Figure GDA0001350563700000071
其中,Entropy(t)0为熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。不同的单位时间段对应的p(i|tk)越接近,且n的值越大,则熵值Entropy(t)0越大,由此可知,由于所述预设时间段包括的所述第一预设时间维度对应的单位时间段的个数与所述第二预设时间维度对应的单位时间段的个数不同,会导致熵值变化,因此需要对所述熵的计算公式进行如下标准化:
当p(i|tk)对于所有tk均相等时,所述熵值最大,则有:
Figure GDA0001350563700000072
其中,Entropy(t)max为最大熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数。
假设存在
Figure GDA0001350563700000073
使得当n变化时,y值不变,则有:
Figure GDA0001350563700000074
假设y=1,则:
Figure GDA0001350563700000075
因此,标准化的熵计算公式可以写为:
Figure GDA0001350563700000081
其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。
根据公式:
Figure GDA0001350563700000082
计算所述第一归一化熵值和所述第二归一化熵值。
本发明实施例提供的异常操作行为检测处理方法,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
在上述实施例的基础上,进一步地,所述根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,包括:
若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
具体地,所述装置若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,也就是所述第一归一化熵值与0的差值和所述第二归一化熵值与0的差值均小于第一预设阈值,确定所述日志类型对应的操作行为的分布程度为聚集分布,则判定所述日志类型对应的操作行为为异常操作行为。应当说明的是,所述装置可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
在上述各实施例中,所述根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,包括:
若判断获知所述第一归一化熵值与1的差值的绝对值以及所述第二归一化熵值与1的差值的绝对值均小于第二预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
具体地,所述装置若判断获知所述第一归一化熵值与1的差值和所述第二归一化熵值与1的差值均小于第二预设阈值,确定所述日志类型对应的操作行为的分布程度为分散分布,则判定所述日志类型对应的操作行为为异常操作行为,并且可进一步判定所述异常操作行为是机器人操作行为。应当说明的是,所述装置可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
本发明实施例提供的异常操作行为检测处理方法,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
下面以具体实施例对本发明实施例提供的异常操作行为检测处理方法详细说明:
异常操作行为检测处理装置采集1周内的日志数据信息,获取所述日志数据信息包括的日志类型共397个,并获取每个日志类型对应的操作行为的执行次数和相应的执行时间,根据所述执行次数和所述相应的执行时间计算所述各个日志类型在一周内的第一天到第七天的所述第一特征值,根据所述第一特征值计算所述各日志类型对应的归一化周熵值(第一归一化熵值);并且根据所述执行次数和所述相应的执行时间计算所述各日志类型的在所述一周内每一天的第1个小时到第24个小时对应的第二特征值,根据所述第二特征值计算所述各日志类型对应的归一化0-24小时熵值(第二归一化熵值)。
图2为本发明实施例提供的归一化熵值图谱,如图2所示,按照每个日志类型将所述第一归一化熵值和所述第二归一化熵值投影到二维坐标系中,获得归一化熵值图谱,在所述二维坐标系的坐标原点处有两个点分别为P和Q,这两个点对应的两种日志类型的归一化周熵值和归一化0-24小时熵值均为0,或者与0的差值小于第一预设阈值,则可以确定这两种日志类型在所述一周中只分布在其中的一天中,且在所述一天中只分布在其中的一个小时内,这两种日志类型是“角色互斥”和“非实名帐号”,因此,可以确定“角色互斥”和“非实名帐号”为异常操作。在所述二维坐标系中的右上方的H点,H点对应的日志类型为“一机双号组网--一机双号组网”,H点对应的日志类型的归一化周熵值和归一化0-24小时熵值为0.9992,非常趋近于1,也就是与1的差值小于预设阈值,表明所述H点对应的日志类型在的操作在所述一周内的每一天0-24小时的每个小时内操作数目非常接近,因此,可以确定“一机双号组网--一机双号组网”的操作为异常操作,并且极有可能不是由人工完成,而是机器或者系统定时操作,需要深入调查。
图3为本发明一实施例提供的异常操作行为检测处理装置的结构示意图,如图3所示,本发明实施例提供一种异常操作行为检测处理装置,包括:获取单元301、计算单元302和分析单元303,其中:
获取单元301用于采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;
计算单元302用于根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
分析单元303用于根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
具体地,在一个信息系统中,所述日志数据信息记录了网络和系统的所有操作行为信息,获取单元301采集预设时间段内的日志数据信息,获取所述日志数据信息包括的日志类型,并获取每个日志类型对应的操作行为的执行次数和相应的执行时间。例如,获取单元301获取到的预设时间段内的日志数据信息包括A类日志和B类日志,获取所述A类日志对应的操作行为的执行次数为两次,第一次的执行时间为2017年3月1日12:03,第二次的执行时间为2017年3月1日15:25;同样获取所述B类日志对应的操作行为的执行次数为一次,相应的执行时间为2017年2月27日20:00。计算单元302根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例,并且计算单元302计算在所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例,然后,计算单元302按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值。分析单元303根据所述第一归一化熵值和所述第二归一化熵值若判断获知所述日志类型对应的操作行为的分布程度为聚集分布,则判定所述日志类型对应的操作行为为异常操作行为;分析单元303若判断获知所述日志类型对应的操作行为的分布程度为分散分布,则判定所述日志类型对应的操作行为为正常操作行为。
可以理解的是,所述各日志类型对应的操作行为包括人为操作行为和机器人操作行为;记录所述操作行为的日志类型包括:ssh日志、telnet日志、ftp日志、业务应用登录日志、操作日志等不同的日志类型;所述各日志类型对应的操作行为的执行时间为执行所述操作行为所对应的时刻;所述预设时间段可以根据实际情况进行调整,此处不做具体限定;所述第一预设时间维度可以是周,所述第二预设时间维度可以是小时;相应地,所述第一预设时间维度对应的单位时间段为1天,所述第二预设时间维度对应的单位时间段为1小时;当然,所述第一预设时间维度和所述第二预设时间维度可以根据实际情况进行调整,此处不做具体限定。应当说明的是,分析单元303可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
本发明实施例提供的异常操作行为检测处理装置,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
图4为本发明另一实施例提供的异常操作行为检测处理装置的结构示意图,如图4所示,本发明实施例提供的异常操作行为检测处理装置包括获取单元401、计算单元402和分析单元403,获取单元401和分析单元403与上述实施例中的获取单元301和分析单元303一致,计算单元402包括第一计算子单元403和第二计算子单元404,其中:
第一计算子单元403用于根据所述执行次数和执行时间计算各日志类型在对应的第一特征值和所述第二预设时间维度上的第二特征值;其中,所述第一特征值为所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;所述第二特征值为所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;
第二计算子单元404用于根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值。
具体地,第一计算子单元403根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在所述预设时间段包括的、各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例作为所述各日志类型在第一预设时间维度上的第一特征值;第一计算子单元403根据所述各日志类型对应的操作行为的所述执行次数和执行时间计算在在所述预设时间段包括的、各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型对应的操作行为的总操作次数的比例作为所述各日志类型在第一预设时间维度上的第一特征值;然后,第二计算子单元404按照归一化熵算法分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值。
在上述实施例的基础上,进一步地,第二子单元404具体用于:
根据公式:
Figure GDA0001350563700000131
计算所述第一归一化熵值和所述第二归一化熵值;其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。
具体地,熵(Entropy)的来自于统计热力学,用于表达一个热力学系统混乱的程度,所述热力学系统越混乱,其熵值就越高;反之,所述热力学系统越是有序,那么对应的熵值也就越低。在信息理论中,熵主要采用数值形式表达系统随机变量取值的不确定性程度,所述随机变量取值的不确定性越大,熵值也就越大,则确定所述系统需要的信息量就越大,而信息量是时间发生概率的连续函数,因此,可以通过熵值对系统有序化程度的度量从而进行系统异常操作行为的检测。熵的计算公式为:
Figure GDA0001350563700000141
其中,Entropy(t)0为熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。不同的单位时间段对应的p(i|tk)越接近,且n的值越大,则熵值Entropy(t)0越大,由此可知,由于所述预设时间段包括的所述第一预设时间维度对应的单位时间段的个数与所述第二预设时间维度对应的单位时间段的个数不同,会导致熵值变化,因此需要对所述熵的计算公式进行如下标准化:
当p(i|tk)对于所有tk均相等时,所述熵值最大,则有:
Figure GDA0001350563700000142
其中,Entropy(t)max为最大熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数。
假设存在
Figure GDA0001350563700000143
使得当n变化时,y值不变,则有:
Figure GDA0001350563700000144
假设y=1,则:
Figure GDA0001350563700000145
因此,标准化的熵计算公式可以写为:
Figure GDA0001350563700000146
其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。第二子单元404根据公式:
Figure GDA0001350563700000151
计算所述第一归一化熵值和所述第二归一化熵值。
本发明实施例提供的异常操作行为检测处理装置,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
在上述实施例的基础上,进一步地,分析单元303具体用于:
若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
具体地,分析单元303若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,也就是所述第一归一化熵值与0的差值和所述第二归一化熵值与0的差值均小于第一预设阈值,确定所述日志类型对应的操作行为的分布程度为聚集分布,则判定所述日志类型对应的操作行为为异常操作行为。应当说明的是,分析单元303可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
在上述各实施例中,分析单元303具体用于:
若判断获知所述第一归一化熵值与1的差值的绝对值以及所述第二归一化熵值与1的差值的绝对值均小于第二预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
具体地,分析单元303若判断获知所述第一归一化熵值与1的差值和所述第二归一化熵值与1的差值均小于第二预设阈值,确定所述日志类型对应的操作行为的分布程度为分散分布,则判定所述日志类型对应的操作行为为异常操作行为,并且可进一步判定所述异常操作行为是机器人操作行为。应当说明的是,分析单元303可以根据所述第一归一化熵值和所述第二归一化熵值绘制归一化熵值图谱,根据所述归一化熵值图谱判定所述各日志类型对应的操作行为的分布程度,当然,也可以通过其他方式进行异常操作行为分析,具体可以根据实际情况进行调整,此处不做具体限定。
本发明实施例提供的异常操作行为检测处理装置,通过根据采集到的预设时间段内的日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间,并根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型在第一预设时间维度上的第一归一化熵值和在第二预设时间维度上的第二归一化熵值,从而根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,提高了异常操作行为检测的效率和准确性。
本发明提供的装置的实施例具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图5为本发明实施例提供的电子设备实体装置结构示意图,如图5所示,该电子设备可以包括:处理器(processor)501、存储器(memory)502和总线503,其中,处理器501,存储器502通过总线503完成相互间的通信。处理器501可以调用存储器502中的逻辑指令,以执行如下方法:采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析。
此外,上述的存储器503中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种异常操作行为检测处理方法,其特征在于,包括:
采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;所述各日志类型对应的操作行为包括人为操作行为和机器人操作行为;
根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,确定异常操作行为是人工行为还是机器或系统行为。
2.根据权利要求1所述的方法,其特征在于,所述根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值,包括:
根据所述执行次数和执行时间计算各日志类型对应的第一特征值和第二特征值;其中,所述第一特征值为所述预设时间段包括的各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;所述第二特征值为所述预设时间段包括的各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;
根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值。
3.根据权利要求2所述的方法,其特征在于,根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值,包括:
根据公式:
Figure FDA0002774375390000011
计算所述第一归一化熵值和所述第二归一化熵值;其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,包括:
若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
5.根据权利要求1-4任意一项所述的方法,其特征在于,所述根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,包括:
若判断获知所述第一归一化熵值与1的差值的绝对值以及所述第二归一化熵值与1的差值的绝对值均小于第二预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
6.一种异常操作行为检测处理装置,其特征在于,包括:
获取单元,用于采集预设时间段内的日志数据信息,并根据所述日志数据信息分别获取各日志类型对应的操作行为的执行次数和执行时间;所述各日志类型对应的操作行为包括人为操作行为和机器人操作行为;
计算单元,用于根据所述执行次数和执行时间,按照预设规则分别计算所述各日志类型对应的第一归一化熵值和第二归一化熵值;其中,所述第一归一化熵值为所述各日志类型在第一预设时间维度上的熵值,所述第二归一化熵值为所述各日志类型在第二预设时间维度上的熵值;
分析单元,用于根据所述第一归一化熵值和所述第二归一化熵值进行异常操作行为分析,确定异常操作行为是人工行为还是机器或系统行为。
7.根据权利要求6所述的装置,其特征在于,所述计算单元包括:
第一计算子单元,用于根据所述执行次数和执行时间计算各日志类型对应的第一特征值和所述第二预设时间维度上的第二特征值;其中,所述第一特征值为所述预设时间段包括的各所述第一预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;所述第二特征值为所述预设时间段包括的各所述第二预设时间维度对应的单位时间段内,所述各日志类型的操作次数占所有所述日志类型总操作次数的比例;
第二计算子单元,用于根据所述第一特征值和所述第二特征值计算所述第一归一化熵值和所述第二归一化熵值。
8.根据权利要求7所述的装置,其特征在于,所述第二计算子单元具体用于:
根据公式:
Figure FDA0002774375390000031
计算所述第一归一化熵值和所述第二归一化熵值;其中,Entropy(t)为所述第一归一化熵值或第二归一化熵值,n为所述预设时间段包括的、所述第一预设时间维度对应的单位时间段的个数或所述第二预设时间维度对应的单位时间段的个数,tk为第k个所述第一预设时间维度对应的所述单位时间段或所述第二预设时间维度对应的单位时间段,i为日志类型,p(i|tk)为日志类型i对应的所述第一特征值或所述第二特征值。
9.根据权利要求6所述的装置,其特征在于,所述分析单元具体用于:
若判断获知所述第一归一化熵值和所述第二归一化熵值均小于第一预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
10.根据权利要求6-9任意一项所述的装置,其特征在于,所述分析单元具体用于:
若判断获知所述第一归一化熵值与1的差值的绝对值以及所述第二归一化熵值与1的差值的绝对值均小于第二预设阈值,则确定所述日志类型对应的操作行为为异常操作行为。
CN201710230138.4A 2017-04-10 2017-04-10 一种异常操作行为检测处理方法及装置 Active CN108696486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710230138.4A CN108696486B (zh) 2017-04-10 2017-04-10 一种异常操作行为检测处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710230138.4A CN108696486B (zh) 2017-04-10 2017-04-10 一种异常操作行为检测处理方法及装置

Publications (2)

Publication Number Publication Date
CN108696486A CN108696486A (zh) 2018-10-23
CN108696486B true CN108696486B (zh) 2021-03-05

Family

ID=63842406

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710230138.4A Active CN108696486B (zh) 2017-04-10 2017-04-10 一种异常操作行为检测处理方法及装置

Country Status (1)

Country Link
CN (1) CN108696486B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291334A (zh) * 2018-12-07 2020-06-16 中国移动通信集团陕西有限公司 一种操作行为安全审计方法及装置
CN110334517B (zh) * 2019-07-05 2021-05-14 北京可信华泰信息技术有限公司 可信策略的更新方法及装置、可信安全管理平台
CN111444534A (zh) * 2020-03-12 2020-07-24 中国建设银行股份有限公司 监测用户操作的方法、装置、设备和计算机可读介质
CN112612887A (zh) * 2020-12-25 2021-04-06 北京天融信网络安全技术有限公司 日志处理方法、装置、设备和存储介质
CN116781984B (zh) * 2023-08-21 2023-11-07 深圳市华星数字有限公司 一种机顶盒数据优化存储方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法
CN106357434A (zh) * 2016-08-30 2017-01-25 国家电网公司 一种基于熵分析的智能电网通信网络流量异常检测方法
CN106453226A (zh) * 2016-07-21 2017-02-22 柳州龙辉科技有限公司 一种检测地址熵值的方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI369623B (en) * 2008-11-07 2012-08-01 Chunghwa Telecom Co Ltd Control system and protection method for integrated information security service

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105847283A (zh) * 2016-05-13 2016-08-10 深圳市傲天科技股份有限公司 一种基于信息熵方差分析的异常流量检测方法
CN106453226A (zh) * 2016-07-21 2017-02-22 柳州龙辉科技有限公司 一种检测地址熵值的方法
CN106357434A (zh) * 2016-08-30 2017-01-25 国家电网公司 一种基于熵分析的智能电网通信网络流量异常检测方法

Also Published As

Publication number Publication date
CN108696486A (zh) 2018-10-23

Similar Documents

Publication Publication Date Title
CN108696486B (zh) 一种异常操作行为检测处理方法及装置
CN113518011B (zh) 异常检测方法和装置、电子设备及计算机可读存储介质
CN111309539A (zh) 一种异常监测方法、装置和电子设备
CN112188531A (zh) 异常检测方法、装置、电子设备及计算机存储介质
CN112988509A (zh) 一种告警消息过滤方法、装置、电子设备及存储介质
CN109857618B (zh) 一种监控方法、装置及系统
CN111984442A (zh) 计算机集群系统的异常检测方法及装置、存储介质
CN106257438A (zh) 用于为单变量时间序列信号实时检测离群值的系统和方法
CN114595210A (zh) 一种多维数据的异常检测方法、装置及电子设备
CN111064719B (zh) 文件异常下载行为的检测方法及装置
CN109308225B (zh) 一种虚拟机异常检测方法、装置、设备及存储介质
CN113949652B (zh) 基于人工智能的用户异常行为检测方法、装置及相关设备
CN115622867A (zh) 一种工控系统安全事件预警分类方法及系统
CN107688619B (zh) 一种日志数据处理方法及装置
CN113204692A (zh) 数据处理任务执行进度的监测方法及装置
CN110769003B (zh) 一种网络安全预警的方法、系统、设备及可读存储介质
CN112650608A (zh) 异常根因定位方法以及相关装置、设备
CN110825466B (zh) 一种程序卡顿的处理方法以及卡顿处理装置
CN110928942A (zh) 指标数据监控管理方法及装置
CN115168154A (zh) 一种基于动态基线的异常日志检测方法、装置及设备
CN112398706B (zh) 数据评估标准确定方法、装置及存储介质、电子设备
US20220263725A1 (en) Identifying Unused Servers
CN109086207B (zh) 页面响应故障分析方法、计算机可读存储介质及终端设备
CN113051128B (zh) 功耗检测方法、装置、电子设备及存储介质
CN117439827B (zh) 一种网络流量大数据分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant