CN109067794B - 一种网络行为的检测方法和装置 - Google Patents
一种网络行为的检测方法和装置 Download PDFInfo
- Publication number
- CN109067794B CN109067794B CN201811126544.7A CN201811126544A CN109067794B CN 109067794 B CN109067794 B CN 109067794B CN 201811126544 A CN201811126544 A CN 201811126544A CN 109067794 B CN109067794 B CN 109067794B
- Authority
- CN
- China
- Prior art keywords
- behavior
- network
- user
- behavior data
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种网络行为的检测方法和装置,可以获取表示目标用户的待检测网络行为的待检测行为数据,确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,其中,群体行为数据包括目标群体中各用户的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为,因此,根据目标群体的群体行为数据对目标用户的网络行为进行检测,能够提高检测的有效性和准确度。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种网络行为的检测方法和装置。
背景技术
随着互联网技术的快速发展,企业的发展与互联网的关系也越来越密切。互联网能够降低企业的运营成本、提高企业的运营效率,进而促进企业的快速发展。然而,员工的网络行为也会对企业的发展产生不良影响。例如,员工频繁访问存在安全隐患的网站,可能会导致企业的网络被攻击,进而影响网络的正常运行,甚至会造成企业的财产损失。
现有技术中,针对某一用户,通常基于该用户的历史网络行为,对该用户当前的网络行为进行检测。例如,判断该用户当前的网络行为的行为数据,与该用户的历史网络行为的行为数据的相关度是否大于预设阈值。如果相关度不大于预设阈值,则可以确定该用户当前的网络行为存在异常,进而可以限制该用户访问网络。如果相关度大于预设阈值,则可以确定该用户当前的网络行为未存在异常,则不进行任何处理。
该用户当前的网络行为的行为数据,与该用户的历史网络行为的行为数据的相关度大于预设阈值,仅能说明该用户当前的网络行为在一定程序上符合该用户的行为规律,但是,该用户当前的网络行为仍有可能会影响网络的正常运行,而现有技术并不会判定该用户当前的网络行为存在异常。可见,对该用户当前的网络行为进行检测的有效性低、准确度不高。
发明内容
本发明实施例的目的在于提供一种网络行为的检测方法和装置,可以提高检测的有效性和准确度。具体技术方案如下:
第一方面,为了达到上述目的,本发明实施例公开了一种网络行为的检测方法,所述方法包括:
获取表示目标用户的待检测网络行为的待检测行为数据;
确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;
所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,包括:
如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度。
可选的,在所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度之前,所述方法还包括:
确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,包括:
如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据与所述目标用户的历史行为数据的第二相关度。
可选的,所述方法还包括:
当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
可选的,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意统一资源定位符URL的次数、用户访问恶意域名的次数、用户访问恶意网际协议IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
第二方面,为达到上述目的,本发明实施例还公开了一种网络行为的检测装置,所述装置包括:
获取模块,用于获取表示目标用户的待检测网络行为的待检测行为数据;
确定模块,用于确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
第一处理模块,用于如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;
所述确定模块,具体用于如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度。
可选的,所述装置还包括:
第二处理模块,用于确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述第二处理模块,具体用于如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据,与所述目标用户的历史行为数据的第二相关度。
可选的,所述装置还包括:
第三处理模块,用于当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
可选的,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意统一资源定位符URL的次数、用户访问恶意域名的次数、用户访问恶意网际协议IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
第三方面,为达到上述目的,本发明实施例还公开了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面所述的方法步骤。
第四方面,为达到上述目的,本发明实施例还公开了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的方法步骤。
第五方面,为达到上述目的,本发明实施例还公开了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法步骤。
本发明实施例提供了一种网络行为的检测方法和装置,可以获取目标用户的待检测网络行为的待检测行为数据,并确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,群体行为数据包括目标群体中各用户的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为,因此,根据该群体行为数据对目标用户的网络行为进行检测,能够提高检测的有效性和准确度。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种网络行为的检测方法的流程图;
图2为本发明实施例提供的一种网络行为的检测方法的流程图;
图3为本发明实施例提供的一种网络行为的检测方法的流程图;
图4为本发明实施例提供的一种网络行为的检测方法的流程图;
图5为本发明实施例提供的一种网络行为的检测方法示例的流程图;
图6为本发明实施例提供的一种网络行为的检测装置的结构图;
图7为本发明实施例提供的一种电子设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种网络行为的检测方法和装置,可以应用于网络设备,该网络设备可以是防火墙设备、路由器或其他网关设备。针对每一用户,网络设备可以获取表示该用户的待检测网络行为的待检测行为数据,并确定待检测行为数据与该用户所属的目标群体的群体行为数据的第一相关度,其中,群体行为数据包括目标群体中各用户的历史行为数据,如果第一相关度小于第一预设相关度阈值,则网络设备可以确定待检测网络行为存在异常,进而可以对该用户的网络行为进行安全控制处理,例如,网络设备可以限制该用户访问网络。
由于目标群体的群体行为数据表示该用户所属群体的历史网络行为,能够更准确的体现该用户正常的网络行为,因此,根据目标群体的群体行为数据对该用户的待检测行为数据进行检测,能够提高检测的有效性和准确度。
参见图1,图1为本发明实施例提供的一种网络行为的检测方法的流程图,该方法可以包括以下步骤。
S101:获取表示目标用户的待检测网络行为的待检测行为数据。
其中,目标用户为网络设备当前需要对其进行网络行为检测的用户,例如,目标用户可以为公司的某一员工。
待检测网络行为数据可以包括用户的访问行为数据和/或用户的操作行为数据。访问行为数据可以包括访问网络的总时长、访问的服务器的数目等访问行为参数的参数值,操作行为数据可以包括用户发送邮件的次数、用户访问网络时搜索敏感词的次数等操作行为参数的参数值。
在实施中,当网络设备需要对目标用户在某时间段内的网络行为(即待检测网络行为)进行检测时,网络设备可以获取目标用户在该时间段内的网络行为数据(即待检测行为数据)。
本步骤中,网络设备可以对目标用户在某一天内的网络行为数据进行统计,得到待检测行为数据。示例性的,网络设备可以统计3月4日目标用户访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数,作为目标用户在3月4日的待检测行为数据,用于检测目标用户在3月4日的网络行为是否存在异常。或者,网络设备可以对目标用户在某一天内的固定时间段内的网络行为数据进行统计,得到待检测行为数据,示例性的,网络设备可以统计3月4日的下午2点至下午5点目标用户访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数,作为目标用户在3月4日的待检测行为数据,用于检测目标用户在3月4日的网络行为是否存在异常。网络设备获取待检测行为数据的时间段,可以由技术人员根据业务需要进行设置,本实施例对此并不进行限定。
S102:确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度。
其中,目标群体为目标用户所属的群体。例如,如果目标用户为某公司的销售部门的员工,则目标群体可以为该公司的销售部门的所有员工;如果目标用户为某公司的研发部门的员工,则目标群体可以为该公司的研发部门的所有员工。
群体行为数据可以包括目标群体中各用户的历史行为数据,用于表示目标群体的历史网络行为,网络设备可以预先统计目标群体的群体行为数据。目标群体的群体行为数据包含的行为参数,与待检测行为数据包含的行为参数相同,且目标群体的群体行为数据包含的行为参数所属的时间段,与待检测行为数据包含的行为参数所属的时间段相对应。例如,网络设备获取的待检测行为数据包括一天内目标用户访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数,相应的,在对待检测网络行为进行检测之前,网络设备可以获取目标群体中各用户在多个历史时刻的一天内访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数,作为群体行为数据。
在实施中,在获取待检测行为数据后,网络设备可以获取目标用户所属的目标群体的群体行为数据,并计算待检测行为数据与群体行为数据的相关度(即第一相关度)。
可选的,网络设备可以根据与群体行为数据相比待检测行为数据中存在异常的行为参数,计算第一相关度。具体的,待检测行为数据可以包括目标用户的预设行为参数的参数值,群体行为数据可以包括目标群体的预设行为参数的第一历史参数平均值,参见图2,S102可以包括以下处理步骤。
S1021:如果预设行为参数的参数值与第一历史参数平均值的差值大于第一预设行为参数阈值,则确定预设行为参数存在异常。
其中,预设行为参数和第一预设行为参数阈值,可以由技术人员根据经验进行设置。第一历史参数平均值可以为多个历史时刻,目标群体中各用户的预设行为参数的历史参数值的平均值。示例性的,预设行为参数可以为用户访问网络的总时长,预设行为参数的参数值可以为目标用户在3月4日访问网络的总时长,则网络设备可以获取目标群体中每一用户在3月1日、3月2日和3月3日访问网络的总时长,并计算每一用户在一天内访问网络的总时长的平均值,进而可以得到目标群体中所有用户在一天内访问网络的总时长的平均值,作为访问网络的总时长对应的第一历史参数平均值。
可选的,预设行为参数可以包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意统一资源定位符(Uniform ResourceLocator,URL)的次数、用户访问恶意域名的次数、用户访问恶意网际协议(InternetProtocol,IP)地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
在一个示例中,预设行为参数可以包括访问行为参数、操作行为参数。
访问行为参数包括以下参数中的至少一项:用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意URL的次数、用户访问恶意域名的次数、用户访问恶意IP地址的次数。
操作行为参数包括以下参数中的至少一项:用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
其中,用户访问网络的总时长,用于表示某时间段内用户访问网络的总时长。
用户访问网络时使用的终端的类型的数目,用于表示某时间段内用户访问网络时使用的终端的类型的个数。在一个示例中,用户访问网络时使用的终端的类型可以为电脑、手机、平板电脑,则用户访问网络时使用的终端的类型的数目为3。
用户访问的服务器的数目,用于表示某时间段内用户访问的服务器的个数。
用户浏览的网页的数目,用于表示某时间段内用户浏览的网页的个数。
用户访问恶意URL的次数,用于表示某时间段内用户访问恶意URL的次数。在一个示例中,网络设备中可以存储有记录恶意URL的恶意URL库,每当用户终端发送一次URL访问请求时,若该URL访问请求中包含的URL与恶意URL库中的恶意URL匹配,则认为用户访问了一次恶意URL。
用户访问恶意域名的次数,用于表示某时间段内用户访问恶意域名的次数。在一个示例中,网络设备中可以存储有记录恶意域名的恶意域名库,每当用户终端发送一次URL访问请求时,若该URL访问请求包含的域名与恶意域名库中的恶意域名匹配,则认为用户访问了一次恶意域名。
用户访问恶意IP地址的次数,用于表示某时间段内用户访问恶意IP地址的次数。在一个示例中,网络设备中可以存储有记录恶意IP地址的恶意IP地址库,每当用户终端发送一次URL访问请求时,若该URL访问请求对应的目的IP地址与恶意IP地址库中的恶意IP地址匹配,则认为用户访问了一次恶意IP地址。
用户访问网络时使用的IP地址的数目,用于表示某时间段内用户访问网络时使用的IP地址的个数。
用户访问网络时所处的物理位置的数目,用于表示某时间段内用户访问网络时所处的物理位置的个数。在一个示例中,员工在某时间段内分别在公司和住宅访问网络,则该员工在该时间段内访问网络时所处的物理位置的个数为2。
用户访问网络时的流量峰值,用于表示某时间段内用户访问网络时的流量值的最大值。
用户访问网络时认证成功的时长,用于表示某时间段内用户从首次上网登录认证开始到上网认证成功的时长。
用户访问网络时认证失败的次数,用于表示某时间段内用户在上网登录认证过程中认证失败的次数。
用户访问网络时使用的终端的数目,用于表示某时间段内用户访问网络时使用的终端的个数。
用户使用的应用程序的数目,用于表示某时间段内用户访问网络时使用的应用程序的个数。
用户发送邮件的次数,用于表示某时间段内用户发送邮件的次数。
用户访问网络时搜索敏感词的次数,用于表示某时间段内用户在访问网络时搜索敏感词的次数。在一个示例中,网络设备中可以存储有记录敏感词的敏感词库,每当接收到用户终端发送的用户搜索的关键词时,如果关键词包括敏感词库中的敏感词,则认为用户搜索了一次敏感词。
用户输入删除操作指令的次数,用于表示某时间段内用户删除文件的次数。
在实施中,网络设备可以将上述17类行为参数中的至少一项,作为预设行为参数,通常,预设行为参数的类别越多,网络设备可以根据较多的维度对待检测网络行为进行检测,可以进一步提高检测的有效性和准确度。
网络设备可以获取目标用户在某时间段内预设行为参数的参数值,然后,网络设备可以计算预设行为参数的参数值与第一历史参数平均值的差值。如果计算得到的差值大于第一预设行为参数阈值,网络设备可以确定预设行为参数存在异常。
例如,如果预设行为参数为用户访问网络的总时长,待检测行为数据中用户访问网络的总时长为7小时,第一历史参数平均值为4小时,第一预设行为参数阈值为2小时,则待检测行为数据中预设行为参数的参数值(即7小时),与第一历史参数平均值(即4小时)的差值为3小时,大于第一预设行为参数阈值(即2小时),此时,网络设备可以判定预设行为参数(即用户访问网络的总时长)存在异常。
需要说明的是,当预设行为参数为多类行为参数时,每一类行为参数都对应有第一历史参数平均值,每一类行为参数也都对应有第一预设行为参数阈值,用于判断待检测行为数据中该类行为参数是否存在异常。
S1022:根据存在异常的预设行为参数的数目和第一预设权值,计算待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度。
其中,第一预设权值可以由技术人员根据经验进行设置。
在实施中,网络设备可以根据存在异常的预设行为参数的数目(可以称为第一数目)和第一预设权值,计算待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度。其中,存在异常的预设行为参数的确定过程可以参考步骤S1021。
在一个示例中,第一相关度可以根据公式(1)计算得到。
其中,S1表示第一相关度,X1表示第一数目,D1表示第一预设权值。
S103:如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。
其中,第一预设相关度阈值可以由技术人员根据经验进行设置。
在实施中,网络设备可以判断第一相关度是否小于第一预设相关度阈值,当网络设备判定第一相关度小于第一预设相关度阈值时,网络设备可以确定目标用户的待检测网络行为与目标群体的历史网络行为不符,进而可以确定待检测网络行为存在异常。
例如,针对公式(1),预设行为参数为上述17类行为参数,第一预设权值D1可以为5,第一预设相关度阈值可以为0.85。如果第一数目X1为5,也即,在待检测行为数据的17类预设行为参数中,有5类预设行为参数存在异常,第一相关度S1为0.75,小于第一预设相关度阈值(即0.85),此时,网络设备可以确定目标用户的待检测网络行为与目标群体的历史网络行为不符,网络设备可以确定待检测网络行为存在异常。
可选的,该方法还可以包括以下步骤:当确定待检测网络行为存在异常时,根据存在异常的预设行为参数,确定待检测网络行为的异常原因。
在实施中,当确定待检测网络行为存在异常时,网络设备还可以根据与群体行为数据相比待检测行为数据中存在异常的预设行为参数,确定待检测网络行为的异常原因。通常来说,对于预设行为参数来说,造成该预设行为参数异常的原因通常是可以追溯的。
示例性的,与群体行为数据相比,某员工的待检测行为数据中存在异常的预设行为参数包括用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时认证成功的时长、用户发送邮件的次数和用户输入删除操作指令的次数,则网络设备可以确定该员工的账号可能被恶意盗用。在另一个例子中,如果该员工的待检测行为数据中存在异常的预设行为参数包括用户访问网络的总时长、用户浏览的网页的数目和用户使用的应用程序的数目,则网络设备可以确定该员工占用过多工作时间访问网络。
另外,网络设备也可以根据第一数目和预设行为参数的总数目的比值,判断待检测网络行为是否存在异常。
具体的,当第一数目与预设行为参数的总数目的比值大于第一比例阈值时,网络设备可以确定待检测网络行为存在异常。
其中,第一比例阈值可以由技术人员根据经验进行设置。
例如,第一比例阈值可以为1/4,预设行为参数为上述17类行为参数,第一数目为5,也即,在待检测行为数据的17类预设行为参数中,有5类预设行为参数存在异常,第一数目(即5)与预设行为参数的总数目(即17)的比值为5/17,大于第一比例阈值(即1/4),此时,网络设备可以确定目标用户的待检测网络行为与目标群体的历史网络行为不符,网络设备可以确定待检测网络行为存在异常。
可选的,该方法还可以包括以下处理步骤:如果第一相关度不小于第一预设相关度阈值,则确定待检测网络行为未存在异常。
在实施中,当网络设备判定第一相关度大于或者等于第一预设相关度阈值时,网络设备可以确定目标用户的待检测网络行为与目标群体的历史网络行为相符,进而可以确定待检测网络行为未存在异常。
基于本发明实施例提供的网络行为的检测方法,可以获取目标用户的待检测网络行为的待检测行为数据,并确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,群体行为数据包括目标群体的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为,因此,根据该群体行为数据对目标用户的网络行为进行检测,能够提高检测的有效性。
可选的,网络设备在根据群体行为数据对待检测行为数据进行检测之前,还可以根据目标用户的历史行为数据对待检测行为数据进行检测。参见图3,在S102之前,该方法还包括以下处理步骤。
S104:确定待检测行为数据与目标用户的历史行为数据的第二相关度。
其中,目标用户的历史行为数据用于表示目标用户的历史网络行为,网络设备可以预先统计目标用户的历史行为数据。目标用户的历史行为数据包含的行为参数与待检测行为数据包含的行为参数相同,且目标用户的历史行为数据包含的行为参数所属的时间段,与待检测行为数据包含的行为参数所属的时间段相对应。例如,网络设备获取的待检测行为数据包括一天内目标用户访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数,相应的,在对待检测网络行为进行检测之前,网络设备可以获取目标用户在多个历史时刻的一天内访问网络的总时长、访问的服务器的数目、发送邮件的次数和访问网络时搜索敏感词的次数。
在实施中,在获取待检测行为数据后,网络设备可以获取目标用户的历史行为数据,并计算目标用户的待检测行为数据与历史行为数据的相关度(即第二相关度)。
可选的,网络设备可以根据与历史行为数据相比待检测行为数据中存在异常的行为参数,计算第二相关度。具体的,待检测行为数据可以包括目标用户的预设行为参数的参数值,历史行为数据可以包括目标用户的预设行为参数的第二历史参数平均值,参见图4,S104可以包括以下处理步骤。
S1041:如果预设行为参数的参数值与第二历史参数平均值的差值大于第二预设行为参数阈值,则确定预设行为参数存在异常。
其中,预设行为参数和第二预设行为参数阈值,可以由技术人员根据经验进行设置。第二历史参数平均值可以为多个历史时刻,目标用户的预设行为参数的历史参数值的平均值。示例性的,预设行为参数可以为用户访问网络的总时长,预设行为参数的参数值可以为目标用户在3月4日访问网络的总时长,则网络设备可以获取目标用户在3月1日、3月2日和3月3日访问网络的总时长,并计算目标用户在一天内访问网络的总时长的平均值,作为访问网络的总时长对应的第二历史参数平均值。
可选的,预设行为参数可以包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意URL的次数、用户访问恶意域名的次数、用户访问恶意IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
针对上述17类行为参数,可以参考步骤S1021中的详细介绍。
在实施中,网络设备可以将上述17类行为参数中的至少一项,作为预设行为参数,通常,预设行为参数的类别越多,网络设备可以根据较多的维度对待检测网络行为进行检测,可以进一步提高检测的有效性和准确度。
网络设备可以获取目标用户在某时间段内预设行为参数的参数值,然后,网络设备可以计算预设行为参数的参数值与第二历史参数平均值的差值。如果计算得到的差值大于第二预设行为参数阈值,网络设备可以确定预设行为参数存在异常。
例如,如果预设行为参数为用户发送邮件的次数,待检测行为数据中用户发送邮件的次数为10,第二历史参数平均值为6,第二预设行为参数阈值为2,则待检测行为数据中预设行为参数的参数值(即10),与第二历史参数平均值(即6)的差值为4,大于第二预设行为参数阈值(即2),此时,网络设备可以判定预设行为参数(即用户发送邮件的次数)存在异常。
需要说明的是,当预设行为参数为多类行为参数时,每一类行为参数都对应有第二历史参数平均值,每一类行为参数也都对应有第二预设行为参数阈值,用于判断待检测行为数据中该类行为参数是否存在异常。
S1042:根据存在异常的预设行为参数的数目和第二预设权值,计算待检测行为数据与目标用户的历史行为数据的第二相关度。
其中,第二预设权值可以由技术人员根据经验进行设置。
在实施中,网络设备可以根据相对于历史行为数据存在异常的预设行为参数的数目(可以称为第二数目)和第二预设权值,计算目标用户的待检测行为数据与目标用户的历史行为数据的第二相关度。
在一个示例中,第二相关度可以根据公式(2)计算得到。
其中,S2表示第二相关度,X2表示第二数目,D2表示第二预设权值。
S105:判断第二相关度是否小于第二预设相关度阈值,如果第二相关度不小于第二预设相关度阈值,执行步骤S102,如果第二相关度小于第二预设相关度阈值,执行步骤S106。
其中,第二预设相关度阈值可以由技术人员根据经验进行设置。
在实施中,网络设备可以判断第二相关度是否小于第二预设相关度阈值,当网络设备判定第二相关度大于或者等于第二预设相关度阈值时,网络设备可以确定目标用户的待检测网络行为与目标用户的历史网络行为相符,此时,网络设备可以确定目标用户的待检测行为数据,与目标用户所属的目标群体的群体行为数据的第一相关度,并根据第一相关度,判断目标用户的待检测网络行为是否存在异常。
例如,针对公式(2),预设行为参数为上述17类行为参数,第二预设权值D2可以为3,第二预设相关度阈值可以为0.8。如果第二数目X2为5,则第二相关度S1为0.85,大于第二预设相关度阈值(即0.8),此时,网络设备仅可以确定目标用户的待检测网络行为与目标用户的历史网络行为相符,并不能确定目标用户的待检测网络行为未存在异常。网络设备还可以进一步计算第一相关度,并根据第一相关度,判定待检测网络行为是否存在异常。
另外,网络设备也可以根据第二数目和预设行为参数的总数目的比值,判断目标用户的待检测网络行为与目标用户的历史网络行为是否相符。
具体的,当第二数目与预设行为参数的总数目的比值小于或者等于第二比例阈值时,网络设备可以确定目标用户的待检测网络行为与目标用户的历史网络行为相符。
其中,第二比例阈值可以由技术人员根据经验进行设置。
例如,第二比例阈值可以为1/4,预设行为参数为上述17类行为参数,第二数目为4,也即,在待检测行为数据的17类预设行为参数中,有4类预设行为参数存在异常,第二数目(即4)与预设行为参数的总数目(即17)的比值为4/17,小于第二比例阈值(即1/4),此时,网络设备可以确定目标用户的待检测网络行为与目标用户的历史网络行为相符。
另外,当第二数目与预设行为参数的总数目的比值大于第二比例阈值时,网络设备可以确定目标用户的待检测网络行为与目标用户的历史网络行为不符,进而可以确定目标用户的待检测网络行为存在异常。
S106:确定待检测网络行为存在异常。
在实施中,当网络设备判定第二相关度小于第二预设相关度阈值时,网络设备可以确定目标用户的待检测网络行为与目标用户的历史网络行为不符,进而可以确定目标用户的待检测网络行为存在异常。
同理,当仅根据第二相关度确定待检测网络行为存在异常时,该方法还可以包括以下步骤:根据存在异常的预设行为参数,确定待检测网络行为的异常原因。
在实施中,当确定待检测网络行为存在异常时,网络设备还可以根据与目标用户的历史行为数据相比待检测行为数据中存在异常的预设行为参数,确定待检测网络行为的异常原因。
示例性的,与某员工的历史行为数据相比,该员工的待检测行为数据中存在异常的预设行为参数包括用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时认证成功的时长、用户发送邮件的次数和用户输入删除操作指令的次数,则网络设备可以确定该员工的账号可能被恶意盗用。再例如,如果该员工的待检测行为数据中存在异常的预设行为参数包括用户访问网络的总时长、用户浏览的网页的数目和用户使用的应用程序的数目,则网络设备可以确定该员工占用过多工作时间访问网络。
参见图5,图5为本发明实施例提供的一种网络行为的检测方法示例的流程图,该方法可以包括以下处理步骤。
S501:获取表示目标用户的待检测网络行为的待检测行为数据。
其中,待检测行为数据包括预设行为参数的参数值。
S502:如果预设行为参数的参数值与目标用户的历史行为数据中第二历史参数平均值的差值,大于第二预设行为参数阈值,则确定预设行为参数存在异常。
S503:根据存在异常的预设行为参数的数目和第二预设权值,计算待检测行为数据与目标用户的历史行为数据的第二相关度。
S504:判断第二相关度是否小于第二预设相关度阈值。
如果第二相关度小于第二预设相关度阈值,执行S505。
如果第二相关度大于或者等于第二预设相关度阈值,执行S506。
S505:确定待检测网络行为存在异常。
S506:如果预设行为参数的参数值与目标用户所属的目标群体的群体行为数据中第一历史参数平均值的差值,大于第一预设行为参数阈值,则确定预设行为参数存在异常。
S507:根据存在异常的预设行为参数的数目和第一预设权值,计算待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度。
S508:判断第一相关度是否小于第一预设相关度阈值。
如果第一相关度小于第一预设相关度阈值,执行S505。
如果第一相关度大于或者等于第一预设相关度阈值,执行S509。
S509:确定待检测网络行为未存在异常。
基于本发明实施例提供的网络行为的检测方法,可以获取目标用户的待检测网络行为的待检测行为数据,当待检测行为数据与目标用户的历史行为数据的第二相关度大于或者等于第二预设相关度阈值,则确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,群体行为数据包括目标群体中各用户的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。
目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为。当待检测行为与目标用户的历史网络行为相符时,网络设备可以进一步根据目标群体的群体行为数据,对目标用户的网络行为进行检测,能够检测出与目标用户的历史网络行为相符、但是与目标群体的历史网络行为不符的异常网络行为,能够提高检测的有效性和准确度。
与图1的方法实施例相对应,参见图6,图6为本发明实施例提供的一种网络行为的检测装置的结构图,该装置可以包括:
获取模块601,用于获取表示目标用户的待检测网络行为的待检测行为数据;
确定模块602,用于确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
第一处理模块603,用于如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;
所述确定模块602,具体用于如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度。
可选的,所述装置还包括:
第二处理模块,用于确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述第二处理模块,具体用于如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据,与所述目标用户的历史行为数据的第二相关度。
可选的,所述装置还包括:
第三处理模块,用于当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
可选的,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意URL的次数、用户访问恶意域名的次数、用户访问恶意IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
基于本发明实施例提供的网络行为的检测装置,可以获取表示目标用户的待检测网络行为的待检测行为数据,确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,群体行为数据包括目标群体中各用户的的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为,因此,根据该群体行为数据对目标用户的网络行为进行检测,能够提高检测的有效性和准确度。
本发明实施例还提供了一种电子设备,如图7所示,包括处理器701、通信接口702、存储器703和通信总线704,其中,处理器701,通信接口702,存储器703通过通信总线704完成相互间的通信,
存储器703,用于存放计算机程序;
处理器701,用于执行存储器703上所存放的程序时,以使电子设备执行网络行为的检测方法的步骤,该方法包括:
获取表示目标用户的待检测网络行为的待检测行为数据;
确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;
所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,包括:
如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度。
可选的,在所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度之前,所述方法还包括:
确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
可选的,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,包括:
如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据与所述目标用户的历史行为数据的第二相关度。
可选的,所述方法还包括:
当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
可选的,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意URL的次数、用户访问恶意域名的次数、用户访问恶意IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一网络行为的检测方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一网络行为的检测方法。
由以上可见,在本发明实施例中,可以获取表示目标用户的待检测网络行为的待检测行为数据,确定待检测行为数据与目标用户所属的目标群体的群体行为数据的第一相关度,其中,群体行为数据包括目标群体中各用户的历史行为数据,如果第一相关度小于第一预设相关度阈值,则确定待检测网络行为存在异常。目标群体的群体行为数据表示目标用户所属群体的历史网络行为,能够更准确的体现目标用户正常的网络行为,因此,根据目标群体的群体行为数据对目标用户的网络行为进行检测,能够提高检测的有效性和准确度。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、机器可读存储介质,以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种网络行为的检测方法,其特征在于,所述方法包括:
获取表示目标用户的待检测网络行为的待检测行为数据;
确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常;
所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,包括:
根据与群体行为数据相比待检测行为数据中存在异常的行为参数,计算第一相关度;
所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;所述根据与群体行为数据相比待检测行为数据中存在异常的行为参数,计算第一相关度,包括:
如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度。
2.根据权利要求1所述的方法,其特征在于,在所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度之前,所述方法还包括:
确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
3.根据权利要求2所述的方法,其特征在于,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,包括:
如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据与所述目标用户的历史行为数据的第二相关度。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
5.根据权利要求1或3所述的方法,其特征在于,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意统一资源定位符URL的次数、用户访问恶意域名的次数、用户访问恶意网际协议IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
6.一种网络行为的检测装置,其特征在于,所述装置包括:
获取模块,用于获取表示目标用户的待检测网络行为的待检测行为数据;
确定模块,用于确定所述待检测行为数据与所述目标用户所属的目标群体的群体行为数据的第一相关度,其中,所述群体行为数据包括所述目标群体中各用户的历史行为数据;
第一处理模块,用于如果所述第一相关度小于第一预设相关度阈值,则确定所述待检测网络行为存在异常;
所述确定模块,具体用于根据与群体行为数据相比待检测行为数据中存在异常的行为参数,计算第一相关度;
所述待检测行为数据包括预设行为参数的参数值,所述群体行为数据还包括所述目标群体的预设行为参数的第一历史参数平均值;所述确定模块,还具体用于如果所述预设行为参数的参数值与所述第一历史参数平均值的差值大于第一预设行为参数阈值,则确定所述预设行为参数存在异常;根据存在异常的预设行为参数的数目和第一预设权值,计算所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二处理模块,用于确定所述待检测行为数据与所述目标用户的历史行为数据的第二相关度,其中,所述历史行为数据用于表示所述目标用户的历史网络行为;
如果所述第二相关度不小于第二预设相关度阈值,执行所述确定所述待检测行为数据,与所述目标用户所属的目标群体的群体行为数据的第一相关度步骤。
8.根据权利要求7所述的装置,其特征在于,所述待检测行为数据包括预设行为参数的参数值,所述历史行为数据包括所述目标用户的预设行为参数的第二历史参数平均值;
所述第二处理模块,具体用于如果所述预设行为参数的参数值与所述第二历史参数平均值的差值大于第二预设行为参数阈值,则确定所述预设行为参数存在异常;
根据存在异常的预设行为参数的数目和第二预设权值,计算所述待检测行为数据,与所述目标用户的历史行为数据的第二相关度。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第三处理模块,用于当确定所述待检测网络行为存在异常时,根据存在异常的预设行为参数,确定所述待检测网络行为的异常原因。
10.根据权利要求6或8所述的装置,其特征在于,所述预设行为参数包括以下行为参数中的至少一项:
用户访问网络的总时长、用户访问网络时使用的终端的类型的数目、用户访问的服务器的数目、用户浏览的网页的数目、用户访问恶意统一资源定位符URL的次数、用户访问恶意域名的次数、用户访问恶意网际协议IP地址的次数、用户访问网络时使用的IP地址的数目、用户访问网络时所处的物理位置的数目、用户访问网络时的流量峰值、用户访问网络时认证成功的时长、用户访问网络时认证失败的次数、用户访问网络时使用的终端的数目、用户使用的应用程序的数目、用户发送邮件的次数、用户访问网络时搜索敏感词的次数和用户输入删除操作指令的次数。
11.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126544.7A CN109067794B (zh) | 2018-09-26 | 2018-09-26 | 一种网络行为的检测方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811126544.7A CN109067794B (zh) | 2018-09-26 | 2018-09-26 | 一种网络行为的检测方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109067794A CN109067794A (zh) | 2018-12-21 |
CN109067794B true CN109067794B (zh) | 2021-12-31 |
Family
ID=64766128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811126544.7A Active CN109067794B (zh) | 2018-09-26 | 2018-09-26 | 一种网络行为的检测方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109067794B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110189178B (zh) * | 2019-05-31 | 2023-06-20 | 创新先进技术有限公司 | 异常交易监测方法、装置及电子设备 |
CN111212028A (zh) * | 2019-11-29 | 2020-05-29 | 云深互联(北京)科技有限公司 | 一种预警方法、装置、设备和存储介质 |
CN114866296B (zh) * | 2022-04-20 | 2023-07-21 | 武汉大学 | 入侵检测方法、装置、设备及可读存储介质 |
CN115242494A (zh) * | 2022-07-13 | 2022-10-25 | 北京天融信网络安全技术有限公司 | 一种控制设备接入的方法、系统、装置及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
CN107220557A (zh) * | 2017-05-02 | 2017-09-29 | 广东电网有限责任公司信息中心 | 一种用户越权访问敏感数据行为的检测方法及系统 |
CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2547201B (en) * | 2016-02-09 | 2022-08-31 | Darktrace Holdings Ltd | Cyber security |
-
2018
- 2018-09-26 CN CN201811126544.7A patent/CN109067794B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107220557A (zh) * | 2017-05-02 | 2017-09-29 | 广东电网有限责任公司信息中心 | 一种用户越权访问敏感数据行为的检测方法及系统 |
CN107104973A (zh) * | 2017-05-09 | 2017-08-29 | 北京潘达互娱科技有限公司 | 用户行为的校验方法及装置 |
CN107888574A (zh) * | 2017-10-27 | 2018-04-06 | 深信服科技股份有限公司 | 检测数据库风险的方法、服务器及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109067794A (zh) | 2018-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
CN110798472B (zh) | 数据泄露检测方法与装置 | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
CN109688166B (zh) | 一种异常外发行为检测方法及装置 | |
CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
CN107992738B (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
WO2020000749A1 (zh) | 一种越权漏洞检测方法及装置 | |
CN110213255B (zh) | 一种对主机进行木马检测的方法、装置及电子设备 | |
CN111460445A (zh) | 样本程序恶意程度自动识别方法及装置 | |
CN113518077A (zh) | 一种恶意网络爬虫检测方法、装置、设备及存储介质 | |
CN107733699A (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
CN115190108B (zh) | 一种检测被监控设备的方法、装置、介质及电子设备 | |
US11303670B1 (en) | Pre-filtering detection of an injected script on a webpage accessed by a computing device | |
CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
CN111970262A (zh) | 网站的第三方服务启用状态的检测方法、装置和电子装置 | |
CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
JP2018022248A (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
CN113014601B (zh) | 一种通信检测方法、装置、设备和介质 | |
CN113590180B (zh) | 一种检测策略生成方法及装置 | |
CN115378655A (zh) | 漏洞检测方法及装置 | |
CN112769792A (zh) | 一种isp攻击检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |