CN108933785B - 网络风险监控方法、装置、计算机设备及存储介质 - Google Patents
网络风险监控方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN108933785B CN108933785B CN201810699243.7A CN201810699243A CN108933785B CN 108933785 B CN108933785 B CN 108933785B CN 201810699243 A CN201810699243 A CN 201810699243A CN 108933785 B CN108933785 B CN 108933785B
- Authority
- CN
- China
- Prior art keywords
- access
- log
- risk
- network
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
- G06F18/2415—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
- G06F18/24155—Bayesian classification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Algebra (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了网络风险监控方法、装置、计算机设备及存储介质。该方法包括:对网络访问进行实时监控以生成访问日志;根据访问日志中的项目信息识别访问日志的类型;通过贝叶斯分类算法结合预设的标签分类规则对第一类访问日志进行风险分级;通过KMeans聚类算法对第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对第二类访问日志进行风险分级以得到与访问日志相对应的网络访问的风险等级;根据所得到的风险等级发出相应的报警提示信息。通过对具有不同特点的访问日志采用不同的分类算法对访问日志进行风险分级,通过不同的算法对不同类的访问日志进行风险分级,能够访问日志的特点进行针对性地风险分级,提高了对网络风险的监控效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络风险监控方法、装置、计算机设备及存储介质。
背景技术
大型企业为了保存数据信息,需设置用于存放和管理数据信息的企业终端。然而企业终端接入互联网后,需面对网络上的各种安全威胁,金融行业所需防范的安全威胁尤为突出,因此需为企业终端设置网络风险监控。
传统的网络风险监控方法均为被动监控方法,因此只能在受到威胁后进行事后分析并防范再次受到相同威胁,且由于传统方法会因海量疑似事件造成网络威胁误报率较高的问题,从而导致网络风险监控效率低下,因此传统的网络风险监控方法存在对网络风险的监控效率较低的问题。
发明内容
本发明实施例提供了一种网络风险监控方法、装置、计算机设备及存储介质,旨在解决现有技术方法中存在对网络风险的监控效率不高的问题。
第一方面,本发明实施例提供了一种网络风险监控方法,其包括:
对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;
根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;
若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;
若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;
根据所得到的网络访问的风险等级发出相应的报警提示信息。
第二方面,本发明实施例提供了一种网络风险监控装置,其包括:
网络访问监控单元,用于对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;
标签判断单元,用于根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;
第一分级单元,用于若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;
第二分级单元,用于若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;
报警提示单元,用于根据所得到的网络访问的风险等级发出相应的报警提示信息。
第三方面,本发明实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的网络风险监控方法。
第四方面,本发明实施例还提供了一种存储介质,其中所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述第一方面所述的网络风险监控方法。
本发明实施例提供了一种网络风险监控方法、装置、计算机设备及存储介质。通过对访问日志中的日志项目是否具有标签进行判断,通过不同的算法对不同类的访问日志进行风险分级,根据分级结果对网络访问发出相应的报警提示信息,能够根据访问日志的特点针对性地进行风险分级,大幅提高风险分级的速度,提高了对网络风险的监控效率。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络风险监控方法的流程示意图;
图2为本发明实施例提供的网络风险监控方法的应用场景示意图;
图3为本发明实施例提供的网络风险监控方法的子流程示意图;
图4为本发明实施例提供的网络风险监控方法的另一子流程示意图;
图5为本发明实施例提供的网络风险监控方法的另一子流程示意图;
图6为本发明实施例提供的网络风险监控方法的另一流程示意图;
图7为本发明实施例提供的网络风险监控装置的示意性框图;
图8为本发明实施例提供的网络风险监控装置的子单元示意性框图;
图9为本发明实施例提供的网络风险监控装置的另一子单元示意性框图;
图10为本发明实施例提供的网络风险监控装置的另一子单元示意性框图;
图11为本发明实施例提供的网络风险监控装置的另一示意性框图;
图12为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1,图1是本发明实施例提供的网络风险监控方法的示意流程图,图2为本发明实施例提供的网络威胁监控方法的应用场景示意图,该网络风险监控方法应用于管理服务器10中,该方法通过安装于管理服务器10中的应用软件进行执行,多台用户终端20通过接入互联网对管理服务器10进行网络访问。其中,用户终端20是具有接入互联网功能的终端设备,例如台式电脑、笔记本电脑、平板电脑或手机等;管理服务器10是用于为互联网用户(用户终端20的使用者)提供网络访问的企业终端。
如图1所示,该方法包括步骤S101~S105。
S101、对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息。
对网络访问进行实时监控以生成访问日志,对所生成的访问日志进行存储。其中,网络访问即是互联网用户通过用户终端与管理服务器之间进行数据交互的过程,对网络访问进行实时监控也即是对用户终端与管理服务器进行数据交互的过程进行实时监控,对用户终端与管理服务器进行数据的交互过程进行记录即是生成访问日志,对所生成的访问日志进行存储,以使管理服务器能够获取已存储的访问日志并进行分析。
其中,访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息,具体的日志项目包括日志编号、用户名、账号、源地址、目的地址、访问时间、日志类型、网络流量、安全级别、攻击类型等。其中,日志编号即是所生成的访问日志的编号信息,通过日志编号可对访问日志进行读取和识别;用户名即是互联网用户在管理服务器中预存的真实姓名,通过用户名可了解每一个网络访问所对应的个人;账号即是互联网用户登录管理服务器所使用的账号信息;源地址即是互联网用户发起网络访问的地址信息,也即是互联网用户所使用的用户终端接入互联网的IP地址;目的地址即是互联网用户所访问的管理服务器中主机的IP地址;访问时间即是发起网络访问的时间信息;日志类型即是对日志类型进行标识的信息;网络流量即是网络访问进行交互的数据流量信息;安全级别即是对网络访问的安全性进行分类的标识信息;攻击类型即是网络访问对管理服务器进行网络攻击的类型信息。
S102、根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。
获取访问日志中具体的项目信息,根据项目信息对访问日志的类型进行识别,具体的,访问日志的类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。其中,项目信息即是访问日志中相应日志项目的具体内容,标签即是在访问日志的日志项目中添加的对网络访问的特征进行描述的信息。由于网络访问具有各种不同的特征,管理服务器在生成访问日志时会在部分访问日志的项目信息中添加已知的标签,因此通过项目信息即可判断访问日志中的日志项目是否具有标签,进而判断访问日志中是否包含有标签。若访问日志中包含具有标签的日志项目,也即是第一类访问日志,则采用贝叶斯分类算法对访问日志进行风险分级;若访问日志中不包含具有标签的日志项目,也即是第二类访问日志,则采用KMeans聚类算法对访问日志进行风险分级。
管理服务器在对网络访问进行监控的过程中,部分网络访问在生成访问日志时,日志类型、安全级别及攻击类型等日志项目中均可添加已知的标签。具体的,日志类型的标签包括:业务日志、审批日志、财务日志、管理日志、系统维护日志;安全级别的标签包括:告警、拦截、提示、安全;攻击类型的标签包括:跨站、撞库、DDOS。
例如,获取得到访问日志的具体信息如表1所示。
表1
如表1中所示,日志编号为10011的访问日志中,日志类型、安全级别及攻击类型三个日志项目的项目信息中包含已知的标签,则日志编号为10011的访问日志的项目信息中包含标签,也即该访问日志的日志项目中具有标签,日志编号为10016的访问日志中,所有的日志项目的项目信息中均不包含已知的标签,则日志编号为10016的访问日志的项目信息中不包含标签,也即该访问日志的日志项目中不具有标签。
在本实施例中,通过项目信息判断访问日志中的日志项目是否具有标签,根据访问日志中是否包含具有标签的项目信息对访问日志的类型进行判断,并通过不同的算法对不同类的访问日志进行风险分级,能够根据访问日志的特点针对性地进行风险分级,大幅提高风险分级的速度,在实际应用中具有非常良好的使用效果。
S103、若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级。
若所述访问日志为第一类访问日志,获取预设的标签分类规则,通过贝叶斯分类算法结合标签分类规则对包含标签的访问日志进行风险分级,根据风险分级结果获取与第一类访问日志相对应的网络访问的风险等级。
具体的,预设的标签分类规则中包含标签与风险等级的映射关系,因此可通过贝叶斯分类算法结合标签与风险等级的映射关系,对包含标签的访问日志进行风险分级,根据风险分级结果获取与访问日志相对应的网络访问的风险等级。
在一实施例中,如图3所示,步骤S103包括子步骤S1031和S1032。
S1031、获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率。
获取标签分类规则中风险等级与标签的映射关系,其中,同一风险等级映射一个或多个标签。将访问日志中包含的标签与风险等级所映射的标签相匹配,获取访问日志与风险等级中相同标签的数量,计算相同标签的数量与风险等级所映射的标签总数的商值,即是访问日志与风险等级的匹配概率。
例如,预设的标签分类规则中包含四个风险等级以及与四个风险等级相映射的标签。“风险等级极高”与“撞库、告警、财务日志”相映射;“风险等级较高”与“DDOS、拦截、系统维护日志”相映射;“风险等级中等”与“跨站、提示、管理日志”相映射;“风险等级较低”与“业务日志、审批日志、安全”相映射。
如表1所示,日志编号为10012的访问日志中包含的标签为“业务日志、安全”,通过贝叶斯分类算法结合映射关系,该访问日志与风险等级极高不具有相同标签,计算得到该访问日志与风险等级极高的匹配概率为0/3=0,则与风险等级较高的匹配概率为0/3=0;与风险等级中等的匹配概率为0/3=0%,该访问日志与风险等级较低中相同标签的数量为2个,风险等级较低所映射的标签总数为3个,则与风险等级较低的匹配概率为2/3=66.67。通过类似的方法可计算得到多个访问日志分别与四个风险等级的匹配概率。
S1032、从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
获取访问日志与风险等级的匹配概率,选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。由于访问日志与多个风险等级之间的匹配概率各不相同,因此可选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。若访问日志与某一风险等级的匹配概率最高,则表明该访问日志与这一风险等级的契合度最高,即可将访问日志对应的网络访问归入这一风险等级。
例如,日志编号为10012的访问日志与风险等级极高的匹配概率为0,与风险等级较高的匹配概率为0,与风险等级中等的匹配概率为0,与风险等级较低的匹配概率为66.67%;该访问日志与风险等级较低的匹配概率最高,则选择风险等级较低作为与访问日志对应的网络访问的风险等级。
S104、若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级。
若所述访问日志为第二类访问日志,并通过KMeans聚类算法对第二类访问日志中的日志项目进行归类,根据日志项目的归类结果获取与访问日志相对应的网络访问的风险等级。
具体的,需通过KMeans聚类算法结合预设的参考点和预设相似值计算得到日志项目的基准范围,并根据基准范围判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类,统计访问日志中超出基准范围的日志项目数量,并根据超出基准范围的日志项目数量确定与访问日志相对应的网络访问的风险等级。
在一实施例中,如图4所示,步骤S104包括子步骤S1041、S1042、S1043和S1044。
S1041、通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围。
通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围,并根据得到的基准范围。其中,对同一日志项目进行归类时,将超出基准范围的日志项目归为第一类,将未超出基准范围的日志项目归为第二类。项目参考点即是访问日志中日志项目的参考值,预设相似值即是与项目参考点之间的近似程度,基准范围即是与项目参考点的近似程度大于预设相似值所组成的集合。
例如,针对访问日志中的网络流量,预设的项目参考点为25kb,预设相似值为25%,则计算得到的基准范围即是与项目参考点的近似程度大于25%的项目信息所组成的集合,则基准范围的最小值为(1-(1-0.25))×25kb,基准范围的最大值为(1+(1-0.75))×25kb,基准范围为大于等于6.25kb、小于等于43.25kb。
S1042、根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果。
根据得到的基准范围,判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类,从而得到日志项目的归类结果。
例如,根据上述基准范围对表1中的网络流量这一日志项目进行归类得到的归类结果中,日志编号为10015的网络流量120kb超出基准范围,日志编号为10017的网络流量83kb超出基准范围。
S1043、根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。
根据日志项目的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。
例如,编号为10016的访问日志中有3个日志项目超出了基准范围;编号为10017的访问日志中有2个日志项目超出了基准范围;编号为10018的访问日志中有1个日志项目超出了基准范围。
S1044、根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
根据统计得到的超出基准范围的日志项目数量确定访问日志相对应的网络访问的风险等级,超出基准范围的日志项目数量越多,则访问日志相对应的网络访问的风险等级越高。
例如,对访问日志进行风险分级的结果包含四个风险等级,“风险等级极高”对应访问日志中超出基准范围的日志项目不小于3个,“风险等级较高”对应访问日志中超出基准范围的日志项目为2个,“风险等级中等”对应访问日志中超出基准范围的日志项目为1个,“风险等级较低”对应访问日志中不包含超出基准范围的日志项目。根据上述数量统计结果对网络访问进行风险分级的结果为,则编号为10016的访问日志相对应的网络访问风险等级为“风险等级极高”;编号为10017的访问日志相对应的网络访问风险等级为“风险等级较高”;编号为10018的访问日志相对应的网络访问风险等级为“风险等级中等”。
S105、根据所得到的网络访问的风险等级发出相应的报警提示信息。
在得到网络访问的风险等级后,可根据所得到的网络访问的风险等级对网络访问进行排序,根据排序结果对具有不同风险等级的网络访问分别发出相应的报警提示信息。
在一实施例中,如图5所示,步骤S105包括子步骤S1051和S1052。
S1051、根据所得到的风险等级对网络访问进行排序。
在得到网络访问的风险等级后,可根据网络访问的风险等级对网络访问进行排序,将具有最高风险等级的网络访问排在最前面。
S1052、从具有最高风险等级的网络访问开始依次发出报警提示信息。
根据排序结果从具有最高风险等级的网络访问开始,发出报警提示信息,而风险等级不高的网络访问则最后发出报警提示信息,无风险等级以及风险等级较低的网络访问,则无需发出报警提示信息。由于具有最高风险等级的网络访问需优先发出报警提示信息,提示管理员尽快对高风险等级的网络访问进行查证和处理。
在一实施例中,如图6所示,步骤S101之后还包括步骤S1001、S1002、S1003和S1004。
S1001、获取访问日志中的账号及访问时间。
获取访问日志中的账号及访问时间。其中,账号即是互联网用户登录管理服务器所使用的账号信息,访问时间即是发起网络访问的时间信息。
S1002、对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果。
根据预设的单位时间段对同一账号的访问次数进行统计。单位时间段即是预设的一个时间段,例如,单位时间段可预设为10分钟、20分钟或30分钟。
S1003、根据所述次数统计结果计算得到账号的访问次数阈值。
结合中位数、平均数、方差或修正方差等计算方法对统计结果进行计算以得到账号的访问次数阈值。统计单位时间段内同一账号的访问次数,并结合中位数、平均数、方差或修正方差等计算方法,即可计算得到账号的访问次数阈值。
S1004、根据所述访问次数阈值对所述账号的当前网络访问进行监控。
根据访问次数阈值对账号的当前网络访问进行监控。具体的,若单位时间段内账号的网络访问次数超出账号的访问次数阈值,则表明当前账号存在异常访问行为,向管理员发出报警提示信息;若单位时间段内账号的网络访问次数未超出账号的访问次数阈值,则不会发出报警提示信息。
例如,统计10个单位时间段内账号XSJ的访问次数依次为:5、3、0、7、6、9、8、5、6、3。通过中位数计算得到账号XSJ的访问次数阈值为5.5,则可根据访问次数阈值5.5对账号XSJ的当前网络访问进行监控。若在单位时间段内,账号XSJ的访问次数超过5.5次,则表明账号XSJ存在异常的网络访问行为,向管理员发出报警提示信息。
在一实施例中,步骤S101之后还包括步骤:获取访问日志中的目的地址及主机日志中的服务器地址,通过Apriori算法对目的地址与服务器地址是否存在关联进行分析,若目的地址与服务器地址存在关联则发出报警提示信息。
主机日志即是管理服务器中主机端所记载的日志信息。获取访问日志中的目的地址,以及主机日志中的服务器地址,通过Apriori算法对目的地址与服务器地址是否存在关联进行分析,若目的地址与服务器地址存在关联,则表明该服务器具有被入侵的风险,需向管理员发出报警提示信息。
通过对访问日志中的日志项目是否具有标签进行判断,根据访问日志的特点采用不同的分类算法对访问日志进行风险分级,通过不同的算法对不同类的访问日志进行风险分级,能够访问日志的特点进行针对性地风险分级,大幅提高风险分级的速度,提高了对网络风险的监控效率。
本发明实施例还提供一种网络风险监控装置,该网络风险监控装置用于执行前述网络风险监控方法的任一实施例。具体地,请参阅图7,图7是本发明实施例提供的网络风险监控装置的示意性框图。网络风险监控装置100可以配置于管理服务器10中。
如图7所示,网络风险监控装置100包括网络访问监控单元101、标签判断单元102、第一分级单元103、第二分级单元104、报警提示单元105。
网络访问监控单元101,用于对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息。
对网络访问进行实时监控以生成访问日志,对所生成的访问日志进行存储。其中,网络访问即是互联网用户通过用户终端与管理服务器之间进行数据交互的过程,对网络访问进行实时监控也即是对用户终端与管理服务器进行数据交互的过程进行实时监控,对用户终端与管理服务器进行数据的交互过程进行记录即是生成访问日志,对所生成的访问日志进行存储,以使管理服务器能够获取已存储的访问日志并进行分析。
其中,访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息,具体的日志项目包括日志编号、用户名、账号、源地址、目的地址、访问时间、日志类型、网络流量、安全级别、攻击类型等。其中,日志编号即是所生成的访问日志的编号信息,通过日志编号可对访问日志进行读取和识别;用户名即是互联网用户在管理服务器中预存的真实姓名,通过用户名可了解每一个网络访问所对应的个人;账号即是互联网用户登录管理服务器所使用的账号信息;源地址即是互联网用户发起网络访问的地址信息,也即是互联网用户所使用的用户终端接入互联网的IP地址;目的地址即是互联网用户所访问的管理服务器中主机的IP地址;访问时间即是发起网络访问的时间信息;日志类型即是对日志类型进行标识的信息;网络流量即是网络访问进行交互的数据流量信息;安全级别即是对网络访问的安全性进行分类的标识信息;攻击类型即是网络访问对管理服务器进行网络攻击的类型信息。
标签判断单元102,用于根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。
获取访问日志中具体的项目信息,根据项目信息对访问日志的类型进行识别,具体的,访问日志的类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志。其中,项目信息即是访问日志中相应日志项目的具体内容,标签即是在访问日志的日志项目中添加的对网络访问的特征进行描述的信息。由于网络访问具有各种不同的特征,管理服务器在生成访问日志时会在部分访问日志的项目信息中添加已知的标签,因此通过项目信息即可判断访问日志中的日志项目是否具有标签,进而判断访问日志中是否包含有标签。若访问日志中包含具有标签的日志项目,也即是第一类访问日志,则采用贝叶斯分类算法对访问日志进行风险分级;若访问日志中不包含具有标签的日志项目,也即是第二类访问日志,则采用KMeans聚类算法对访问日志进行风险分级。
管理服务器在对网络访问进行监控的过程中,部分网络访问在生成访问日志时,日志类型、安全级别及攻击类型等日志项目中均可添加已知的标签。
在本实施例中,通过项目信息判断访问日志中的日志项目是否具有标签,根据访问日志中是否包含具有标签的项目信息对访问日志的类型进行判断,并通过不同的算法对不同类的访问日志进行风险分级,能够根据访问日志的特点针对性地进行风险分级,大幅提高风险分级的速度,在实际应用中具有非常良好的使用效果。
第一分级单元103,用于若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级。
若所述访问日志为第一类访问日志,获取预设的标签分类规则,通过贝叶斯分类算法结合标签分类规则对包含标签的访问日志进行风险分级,根据风险分级结果获取与第一类访问日志相对应的网络访问的风险等级。
具体的,预设的标签分类规则中包含标签与风险等级的映射关系,因此可通过贝叶斯分类算法结合标签与风险等级的映射关系,对包含标签的访问日志进行风险分级,根据风险分级结果获取与访问日志相对应的网络访问的风险等级。
其他发明实施例中,如图8所示,所述第一分级单元103包括子单元:匹配概率计算单元1031、风险等级选择单元1032。
匹配概率计算单元1031,用于获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率。
获取标签分类规则中风险等级与标签的映射关系,其中,同一风险等级映射一个或多个标签。将访问日志中包含的标签与风险等级所映射的标签相匹配,获取访问日志与风险等级中相同标签的数量,计算相同标签的数量与风险等级所映射的标签总数的商值,即是访问日志与风险等级的匹配概率。
风险等级选择单元1032,用于从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
获取访问日志与风险等级的匹配概率,选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。由于访问日志与多个风险等级之间的匹配概率各不相同,因此可选择匹配概率最高的风险等级作为与访问日志相对应的网络访问的风险等级。若访问日志与某一风险等级的匹配概率最高,则表明该访问日志与这一风险等级的契合度最高,即可将访问日志对应的网络访问归入这一风险等级。
第二分级单元104,用于若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级。
若所述访问日志为第二类访问日志,并通过KMeans聚类算法对第二类访问日志中的日志项目进行归类,根据日志项目的归类结果获取与访问日志相对应的网络访问的风险等级。
具体的,需通过KMeans聚类算法结合预设的参考点和预设相似值计算得到日志项目的基准范围,并根据基准范围判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类,统计访问日志中超出基准范围的日志项目数量,并根据超出基准范围的日志项目数量确定与访问日志相对应的网络访问的风险等级。
其他发明实施例中,如图9所示,所述第二分级单元104包括子单元:基准范围计算单元1041、日志项目归类单元1042、统计单元1043、风险等级获取单元1044。
基准范围计算单元1041,用于通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围。
通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围,并根据得到的基准范围。其中,对同一日志项目进行归类时,将超出基准范围的日志项目归为第一类,将未超出基准范围的日志项目归为第二类。项目参考点即是访问日志中日志项目的参考值,预设相似值即是与项目参考点之间的近似程度,基准范围即是与项目参考点的近似程度大于预设相似值所组成的集合。
日志项目归类单元1042,用于根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果。
根据得到的基准范围,判断访问日志中相应日志项目是否超出基准范围以对日志项目进行归类,从而得到日志项目的归类结果。
统计单元1043,用于根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。
根据日志项目的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果。
风险等级获取单元1044,用于根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
根据统计得到的超出基准范围的日志项目数量确定访问日志相对应的网络访问的风险等级,超出基准范围的日志项目数量越多,则访问日志相对应的网络访问的风险等级越高。
报警提示单元105,用于根据所得到的网络访问的风险等级发出相应的报警提示信息。
在得到网络访问的风险等级后,可根据所得到的网络访问的风险等级对网络访问进行排序,根据排序结果对具有不同风险等级的网络访问分别发出相应的报警提示信息。
其他发明实施例中,如图10所示,所述报警提示单元105包括子单元:等级排序单元1051和信息发送单元1052。
等级排序单元1051,用于根据所得到的风险等级对网络访问进行排序。
在得到网络访问的风险等级后,可根据网络访问的风险等级对网络访问进行排序,将具有最高风险等级的网络访问排在最前面。
信息发送单元1052,用于从具有最高风险等级的网络访问开始依次发出报警提示信息。
根据排序结果从具有最高风险等级的网络访问开始,发出报警提示信息,而风险等级不高的网络访问则最后发出报警提示信息,无风险等级以及风险等级较低的网络访问,则无需发出报警提示信息。由于具有最高风险等级的网络访问需优先发出报警提示信息,提示管理员尽快对高风险等级的网络访问进行查证和处理。
其他发明实施例中,如图11所示,所述网络风险监控装置100还包括子单元:账号及访问时间获取单元1001、访问次数统计单元1002、次数阈值计算单元1003和账号监控单元1004。
账号及访问时间获取单元1001,用于获取访问日志中的账号及访问时间。
获取访问日志中的账号及访问时间。其中,账号即是互联网用户登录管理服务器所使用的账号信息,访问时间即是发起网络访问的时间信息。
访问次数统计单元1002,用于对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果。
根据预设的单位时间段对同一账号的访问次数进行统计。单位时间段即是预设的一个时间段,例如,单位时间段可预设为10分钟、20分钟或30分钟。
次数阈值计算单元1003,用于根据所述次数统计结果计算得到账号的访问次数阈值。
结合中位数、平均数、方差或修正方差等计算方法对统计结果进行计算以得到账号的访问次数阈值。统计单位时间段内同一账号的访问次数,并结合中位数、平均数、方差或修正方差等计算方法,即可计算得到账号的访问次数阈值。
账号监控单元1004,用于根据所述访问次数阈值对所述账号的当前网络访问进行监控。
根据访问次数阈值对账号的当前网络访问进行监控。具体的,若单位时间段内账号的网络访问次数超出账号的访问次数阈值,则表明当前账号存在异常访问行为,向管理员发出报警提示信息;若单位时间段内账号的网络访问次数未超出账号的访问次数阈值,则不会发出报警提示信息。
此外,网络风险监控装置100还包括子单元:地址关联单元。地址关联单元,用于获取访问日志中的目的地址及主机日志中的服务器地址,通过Apriori算法对目的地址与服务器地址是否存在关联进行分析,若目的地址与服务器地址存在关联则发出报警提示信息。
主机日志即是管理服务器中主机端所记载的日志信息。获取访问日志中的目的地址,以及主机日志中的服务器地址,通过Apriori算法对目的地址与服务器地址是否存在关联进行分析,若目的地址与服务器地址存在关联,则表明该服务器具有被入侵的风险,需向管理员发出报警提示信息。
通过对访问日志中的日志项目是否具有标签进行判断,根据访问日志的特点采用不同的分类算法对访问日志进行风险分级,通过不同的算法对不同类的访问日志进行风险分级能够访问日志的特点进行针对性地风险分级,大幅提高风险分级的速度,提高了对网络风险的监控效率。
上述网络风险监控装置可以实现为计算机程序的形式,该计算机程序可以在如图12所示的计算机设备上运行。
请参阅图12,图12是本发明实施例提供的计算机设备的示意性框图。该计算机设备500设备可以是管理服务器10。
参阅图12,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行网络风险监控方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行网络风险监控方法。
该网络接口505用于进行网络通信,如为网络访问提供数据流量的传输等。本领域技术人员可以理解,图12中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下功能:对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;根据所得到的网络访问的风险等级发出相应的报警提示信息。
在一实施例中,处理器502在执行通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级的步骤时,执行如下操作:获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率;从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
在一实施例中,处理器502在执行通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级的步骤时,执行如下操作:通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围;根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果;根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果;根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
在一实施例中,处理器502在执行根据所得到的网络访问的风险等级发出相应的报警提示信息的步骤时,执行如下操作:根据所得到的风险等级对网络访问进行排序;从具有最高风险等级的网络访问开始依次发出报警提示信息。
在一实施例中,处理器502在执行对网络访问进行实时监控以生成访问日志的步骤之后,还执行如下操作:获取访问日志中的账号及访问时间;对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果;根据所述次数统计结果计算得到账号的访问次数阈值;根据所述访问次数阈值对所述账号的当前网络访问进行监控。
本领域技术人员可以理解,图12中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图12所示实施例一致,在此不再赘述。
应当理解,在本发明实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本发明的另一实施例中提供存储介质。该存储介质可以为非易失性的计算机可读存储介质。该存储介质存储有计算机程序,其中计算机程序包括程序指令。该程序指令被处理器执行时实现以下步骤:对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;根据所得到的网络访问的风险等级发出相应的报警提示信息。
在一实施例中,所述若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级的步骤包括:获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率;从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
在一实施例中,所述若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级的步骤,包括:通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围;根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果;根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果;根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
在一实施例中,所述根据所得到的网络访问的风险等级发出相应的报警提示信息的步骤,包括:根据所得到的风险等级对网络访问进行排序;从具有最高风险等级的网络访问开始依次发出报警提示信息。
在一实施例中,所述对网络访问进行实时监控以生成访问日志的步骤之后,还包括:获取访问日志中的账号及访问时间;对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果;根据所述次数统计结果计算得到账号的访问次数阈值;根据所述访问次数阈值对所述账号的当前网络访问进行监控。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种网络风险监控方法,其特征在于,包括:
对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;
根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;其中,所述标签为访问日志中与日志类型、安全级别及攻击类型三个日志项目对应的项目信息;
若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;
若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;
根据所得到的网络访问的风险等级发出相应的报警提示信息;
所述对网络访问进行实时监控以生成访问日志之后,还包括:
获取访问日志中的账号及访问时间;
对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果;
根据所述次数统计结果计算得到账号的访问次数阈值;
根据所述访问次数阈值对所述账号的当前网络访问进行监控。
2.根据权利要求1所述的网络风险监控方法,其特征在于,所述通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级,包括:
获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率;
从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
3.根据权利要求1所述的网络风险监控方法,其特征在于,所述通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级,包括:
通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围;
根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果;
根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果;
根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
4.根据权利要求1所述的网络风险监控方法,其特征在于,所述根据所得到的网络访问的风险等级发出相应的报警提示信息,包括:
根据所得到的风险等级对网络访问进行排序;
从具有最高风险等级的网络访问开始依次发出报警提示信息。
5.一种网络风险监控装置,其特征在于,包括:
网络访问监控单元,用于对网络访问进行实时监控以生成访问日志,所述访问日志中包含多个日志项目,所述日志项目所包含的具体内容为项目信息;
标签判断单元,用于根据访问日志中的项目信息识别访问日志的类型,所述类型包括日志项目中具有标签的第一类访问日志以及日志项目中不具有标签的第二类访问日志;其中,所述标签为访问日志中与日志类型、安全级别及攻击类型三个日志项目对应的项目信息;
第一分级单元,用于若所述访问日志为第一类访问日志,通过贝叶斯分类算法结合预设的标签分类规则对所述第一类访问日志进行风险分级,以得到与所述第一类访问日志相对应的网络访问的风险等级;
第二分级单元,用于若所述访问日志为第二类访问日志,通过KMeans聚类算法对所述第二类访问日志中的日志项目进行归类,根据日志项目的归类结果对所述第二类访问日志进行风险分级以得到与所述第二类访问日志相对应的网络访问的风险等级;
报警提示单元,用于根据所得到的网络访问的风险等级发出相应的报警提示信息;
还包括:账号及访问时间获取单元,用于获取访问日志中的账号及访问时间;
访问次数统计单元,用于对同一账号在预设的单位时间段内的访问次数进行统计以得到次数统计结果;
次数阈值计算单元,用于根据所述次数统计结果计算得到账号的访问次数阈值;
账号监控单元,用于根据所述访问次数阈值对所述账号的当前网络访问进行监控。
6.根据权利要求5所述的网络风险监控装置,其特征在于,所述第一分级单元,包括:
匹配概率计算单元,用于获取标签分类规则中预设的风险等级与标签的映射关系,根据映射关系结合贝叶斯分类算法计算第一类访问日志与预设的风险等级的匹配概率;
风险等级选择单元,用于从计算得到的匹配概率中选取概率值最高的风险等级作为与第一类访问日志相对应的网络访问的风险等级。
7.根据权利要求5所述的网络风险监控装置,其特征在于,所述第二分级单元,包括:
基准范围计算单元,用于通过KMeans聚类算法结合预设的项目参考点和预设相似值计算得到日志项目的基准范围;
日志项目归类单元,用于根据基准范围判断第二类访问日志中相应的日志项目是否超出基准范围以对日志项目进行归类而得到的归类结果;
统计单元,用于根据所得到的归类结果对访问日志中超出基准范围的日志项目数量进行统计以得到数量统计结果;
风险等级获取单元,用于根据所述数量统计结果确定与第二类访问日志相对应的网络访问的风险等级。
8.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的网络风险监控方法。
9.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至4任一项所述的网络风险监控方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810699243.7A CN108933785B (zh) | 2018-06-29 | 2018-06-29 | 网络风险监控方法、装置、计算机设备及存储介质 |
PCT/CN2018/109488 WO2020000763A1 (zh) | 2018-06-29 | 2018-10-09 | 网络风险监控方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810699243.7A CN108933785B (zh) | 2018-06-29 | 2018-06-29 | 网络风险监控方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108933785A CN108933785A (zh) | 2018-12-04 |
CN108933785B true CN108933785B (zh) | 2021-02-05 |
Family
ID=64447362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810699243.7A Active CN108933785B (zh) | 2018-06-29 | 2018-06-29 | 网络风险监控方法、装置、计算机设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN108933785B (zh) |
WO (1) | WO2020000763A1 (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109684172A (zh) * | 2018-12-17 | 2019-04-26 | 泰康保险集团股份有限公司 | 基于访问频率的日志推送方法、系统、设备及存储介质 |
CN110191094B (zh) * | 2019-04-26 | 2022-04-08 | 奇安信科技集团股份有限公司 | 异常数据的监控方法及装置、存储介质、终端 |
CN112015946B (zh) * | 2019-05-30 | 2023-11-10 | 中国移动通信集团重庆有限公司 | 视频检测方法、装置、计算设备及计算机存储介质 |
CN110650140B (zh) * | 2019-09-25 | 2022-01-25 | 杭州安恒信息技术股份有限公司 | 基于kmeans的攻击行为监测方法及装置 |
CN111404903B (zh) * | 2020-03-09 | 2022-08-09 | 深信服科技股份有限公司 | 一种日志处理方法、装置、设备及存储介质 |
CN111953665B (zh) * | 2020-07-28 | 2022-08-30 | 深圳供电局有限公司 | 服务器攻击访问识别方法及系统、计算机设备、存储介质 |
CN113703325B (zh) * | 2020-10-30 | 2024-02-13 | 天翼数字生活科技有限公司 | 一种智能家居终端失陷的检测方法和系统 |
CN112685711A (zh) * | 2021-02-02 | 2021-04-20 | 杭州宁达科技有限公司 | 基于用户风险评估的新型信息安全访问控制系统及方法 |
CN113037728B (zh) * | 2021-02-26 | 2023-08-15 | 上海派拉软件股份有限公司 | 一种实现零信任的风险判定方法、装置、设备及介质 |
CN113240266A (zh) * | 2021-05-11 | 2021-08-10 | 北京沃东天骏信息技术有限公司 | 一种风险管理方法和装置 |
CN113568887A (zh) * | 2021-07-30 | 2021-10-29 | 中国工商银行股份有限公司 | 一种基于大数据平台的运维操作监控方法及装置 |
CN113726785B (zh) * | 2021-08-31 | 2022-11-11 | 平安普惠企业管理有限公司 | 网络入侵检测方法、装置、计算机设备以及存储介质 |
CN113935057B (zh) * | 2021-12-14 | 2022-03-25 | 北京中科金财科技股份有限公司 | 一种基于门限的同态加密隐私保护装置及方法 |
CN114466009A (zh) * | 2021-12-22 | 2022-05-10 | 天翼云科技有限公司 | 数据处理方法、边缘超融合端、云端及可读存储介质 |
CN116112257B (zh) * | 2023-01-29 | 2024-07-26 | 北京神州泰岳软件股份有限公司 | 一种机器账号识别方法及装置 |
CN117454396B (zh) * | 2023-10-24 | 2024-07-05 | 深圳市马博士网络科技有限公司 | 一种私有云系统的强制访问控制系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685016A (zh) * | 2012-06-06 | 2012-09-19 | 济南大学 | 互联网流量区分方法 |
US9043905B1 (en) * | 2012-01-23 | 2015-05-26 | Hrl Laboratories, Llc | System and method for insider threat detection |
CN105138661A (zh) * | 2015-09-02 | 2015-12-09 | 西北大学 | 一种基于Hadoop的网络安全日志k-means聚类分析系统及方法 |
CN106375331A (zh) * | 2016-09-23 | 2017-02-01 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
CN107623677A (zh) * | 2017-08-08 | 2018-01-23 | 国家电网公司 | 数据安全性的确定方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107145587A (zh) * | 2017-05-11 | 2017-09-08 | 成都四方伟业软件股份有限公司 | 一种基于大数据挖掘的医保反欺诈系统 |
CN107679734A (zh) * | 2017-09-27 | 2018-02-09 | 成都四方伟业软件股份有限公司 | 一种用于无标签数据分类预测的方法和系统 |
CN108038049B (zh) * | 2017-12-13 | 2021-11-09 | 西安电子科技大学 | 实时日志控制系统及控制方法、云计算系统及服务器 |
-
2018
- 2018-06-29 CN CN201810699243.7A patent/CN108933785B/zh active Active
- 2018-10-09 WO PCT/CN2018/109488 patent/WO2020000763A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9043905B1 (en) * | 2012-01-23 | 2015-05-26 | Hrl Laboratories, Llc | System and method for insider threat detection |
CN102685016A (zh) * | 2012-06-06 | 2012-09-19 | 济南大学 | 互联网流量区分方法 |
CN105138661A (zh) * | 2015-09-02 | 2015-12-09 | 西北大学 | 一种基于Hadoop的网络安全日志k-means聚类分析系统及方法 |
CN106375331A (zh) * | 2016-09-23 | 2017-02-01 | 北京网康科技有限公司 | 一种攻击组织的挖掘方法及装置 |
CN107623677A (zh) * | 2017-08-08 | 2018-01-23 | 国家电网公司 | 数据安全性的确定方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108933785A (zh) | 2018-12-04 |
WO2020000763A1 (zh) | 2020-01-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108933785B (zh) | 网络风险监控方法、装置、计算机设备及存储介质 | |
US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
US20220014560A1 (en) | Correlating network event anomalies using active and passive external reconnaissance to identify attack information | |
US9679131B2 (en) | Method and apparatus for computer intrusion detection | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US12058177B2 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
JP2018530066A (ja) | 低信頼度のセキュリティイベントによるセキュリティインシデントの検出 | |
US20130081065A1 (en) | Dynamic Multidimensional Schemas for Event Monitoring | |
US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
US20210136120A1 (en) | Universal computing asset registry | |
CN105009132A (zh) | 基于置信因子的事件关联 | |
US11575702B2 (en) | Systems, devices, and methods for observing and/or securing data access to a computer network | |
CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
CN109561097B (zh) | 结构化查询语言注入安全漏洞检测方法、装置、设备及存储介质 | |
CA3078261A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
CN113711559A (zh) | 检测异常的系统和方法 | |
CN112784281A (zh) | 一种工业互联网的安全评估方法、装置、设备及存储介质 | |
US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
US20240231909A1 (en) | System and method for universal computer asset normalization and configuration management | |
Sarabi et al. | Prioritizing Security Spending: A Quantitative Analysis of Risk Distributions for Different Business Profiles. | |
Hatcher et al. | Machine learning-based mobile threat monitoring and detection | |
CN113225325B (zh) | 一种ip黑名单确定方法、装置、设备及存储介质 | |
US11853173B1 (en) | Log file manipulation detection | |
US20240232385A1 (en) | A scenario-based cyber security system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |