CN109450864B - 一种安全检测方法、装置和系统 - Google Patents

一种安全检测方法、装置和系统 Download PDF

Info

Publication number
CN109450864B
CN109450864B CN201811210613.2A CN201811210613A CN109450864B CN 109450864 B CN109450864 B CN 109450864B CN 201811210613 A CN201811210613 A CN 201811210613A CN 109450864 B CN109450864 B CN 109450864B
Authority
CN
China
Prior art keywords
behavior
service
business
vector
gravity center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811210613.2A
Other languages
English (en)
Other versions
CN109450864A (zh
Inventor
董立勉
左晓军
侯波涛
郗波
王春璞
刘惠颖
张君艳
邢文茹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Original Assignee
Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd filed Critical Electric Power Research Institute of State Grid Hebei Electric Power Co Ltd
Priority to CN201811210613.2A priority Critical patent/CN109450864B/zh
Publication of CN109450864A publication Critical patent/CN109450864A/zh
Application granted granted Critical
Publication of CN109450864B publication Critical patent/CN109450864B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例公开了一种安全检测方法、装置和系统,所述安全检测方法包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。

Description

一种安全检测方法、装置和系统
技术领域
本发明实施例涉及但不限于大数据网络安全分析领域,尤指一种安全检测方法、装置和系统。
背景技术
随着信息技术(IT,Information Technology)在各行各业的深入发展,以及IT技术自身的复杂化,IT技术趋向于结构上的分层化以及广泛使用分布式的部署,传统单一的网络运维方式越来越不能满足变化的IT技术、层出不穷的新型攻击手段。虚拟化云计算等技术也在原有的结构下,重新改变了IT部署的方式。
近年来,随着用户数目的增加,网络规模成指数增长;与此同时,网络所承载的业务类型也呈现出多样化、综合化的趋势。这种大规模结构不仅造成业务分析的困难,而且由于大量不同业务的相互影响导致网络状态不断发生变化,业务运行的可控性和安全性得不到保障。在复杂的网络环境下,需要进行安全性检测。
相关的安全检测方法针对可疑连接或可疑资产进行,往往采用单节点、分区域的检测策略来发现单点问题,无法实现对业务级别的安全检测。
发明内容
本发明实施例提供了一种安全检测方法、装置和系统,能够实现对业务级别的安全检测。
本发明实施例提供了一种安全检测方法,包括以下步骤至少之一:
确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
在本发明实施例中,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。
在本发明实施例中,当确定预设通信范围内存在业务异常时,该方法还包括:进行业务异常告警。
在本发明实施例中,当确定预设通信范围内不存在业务异常时,该方法还包括:根据所述业务行为重心向量更新所述业务行为重心基线向量。
在本发明实施例中,所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差为所述业务行为重心向量中发生变化的业务链的数量和业务行为重心基线向量中业务链的数量的比值。
在本发明实施例中,所述确定预设通信范围内的业务行为重心向量包括:
获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
根据所述业务链模型数据计算所述业务行为重心向量。
在本发明实施例中,所述获取预设通信范围内的业务行为元数据包括:
获取所述预设通信范围内的网络镜像流量数据和应用日志;
根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。
在本发明实施例中,所述根据网络镜像流量数据和应用日志构建业务行为元数据包括:
从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;
对所述业务行为信息进行去重处理;
根据去重处理后的业务行为信息构建业务行为元数据。
在本发明实施例中,所述根据业务行为元数据确定业务链模型数据包括:
根据所述业务行为元数据构建业务链;
根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;
根据所述业务链和业务链行为向量确定业务链模型数据。
在本发明实施例中,所述根据所述业务链模型数据计算所述业务行为重心向量包括:
采用聚类分析方法计算每一类业务链模型数据的几何重心;
所有类业务链模型数据的几何重心构成业务行为重心向量。
在本发明实施例中,所述采用聚类分析方法计算每一类业务链模型数据的几何重心包括:
随机初始化所有类业务链模型数据的中心点;
计算每个所述业务链模型数据中的业务链到中心点的距离,将所述业务链模型数据划分到与所述业务链模型数据的业务链的距离最近的中心点所属的类中;
重新计算每一类业务链模型数据的中心点;
重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。
本发明实施例提出了一种安全检测装置,包括以下模块至少之一:
第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
本发明实施例提出了一种安全检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种安全检测方法的至少之一步骤。
本发明实施例提出了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一种安全检测方法的至少之一步骤。
本发明实施例提出了一种安全检测系统,包括:
第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;
其中,所述第一确定模块和第二确定模块设置在不同的设备中。
本发明实施例包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。
本发明实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明实施例技术方案的进一步理解,并且构成说明书的一部分,与本发明实施例的实施例一起用于解释本发明实施例的技术方案,并不构成对本发明实施例技术方案的限制。
图1为本发明一个实施例提出的安全检测方法的流程图;
图2为本发明另一个实施例提出的安全检测装置的结构组成示意图;
图3为本发明另一个实施例提出的安全检测装置的结构组成示意图。
具体实施方式
下文中将结合附图对本发明实施例进行详细说明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
参见图1,本发明一个实施例提出了一种安全检测方法,包括以下步骤至少之一:
步骤100、确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征。
在本发明实施例中,确定预设通信范围内的业务行为重心向量包括:
获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,InternetProtocol)地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
根据所述业务链模型数据计算所述业务行为重心向量。
其中,获取预设通信范围内的业务行为元数据包括:
获取所述预设通信范围内的网络镜像流量数据和应用日志;
根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。
其中,网络镜像流量数据即是镜像的原始报文。
其中,可以采用文本或syslog协议采集业务系统的应用日志,这里不再赘述。
其中,根据网络镜像流量数据和应用日志构建业务行为元数据包括:
从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;
对业务行为信息进行去重处理;
根据去重处理后的业务行为信息构建业务行为元数据。
其中,可以采用会话重组技术来识别属于同一个会话的网络镜像流量数据和应用日志,这里不再赘述。
其中,业务行为信息包括:时间、源IP地址、目的IP地址、源端口、目的端口、网络层协议、应用层协议、字节数。
其中,业务行为元数据包括:开始时间和/或结束时间、源IP地址、目的 IP地址、源端口、目的端口、网络层协议、应用层协议、持续时间(即结束时间和开始时间之差)、报文数量、总字节数。
其中,根据业务行为元数据确定业务链模型数据包括:
根据所述业务行为元数据构建业务链;
根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;
根据所述业务链和业务链行为向量确定业务链模型数据。
其中,根据业务行为元数据中的源IP地址和目的IP地址构建业务链。如某企业运营人员在企业资源计划(ERP,Enterprise Resource Planning)系统上新增了一个销售订单,该运营人员使用的主机(IP1)访问了ERP网站(IP2),该网站又在数据库系统上(IP3)增加了一条数据库记录,在这个业务过程中的业务链就是“IP1-IP2-IP3”。本发明实施例的安全检测方法会持续、自动的计算业务行为元数据,不断挖掘这样的业务链。所有的业务链集合就形成了大型企业内负责业务系统的交互关系网。
其中,业务链行为向量包括但不限于:
活跃连接数量、网络服务端口、网络协议分布、报文数量、字节总数、业务访问平均时间间隔等。
其中,活跃连接数量即为属于同一业务链的业务行为元数据的数量。
其中,网络服务端口包括:源端口、目的端口。
其中,网络协议分布包括属于同一业务链的业务行为元数据中,同一网络层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值,以及同一应用层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值。
其中,报文数量为属于同一业务链的业务行为元数据的报文数量之和。
其中,字节总数为属于同一业务链的业务行为元数据的总字节数之和。
其中,业务访问平均时间间隔为属于同一业务链的业务行为元数据的持续时间的平均值。
其中,业务链模型数据包括:业务链开始时间和结束时间、业务链和业务链行为向量。
在另一个实施例中,业务链模型数据还包括:业务链建模计算子引擎标志,用于记录业务链模型数据的来源。
其中,根据所述业务链模型数据计算所述业务行为重心向量包括:
采用聚类分析方法计算每一类业务链模型数据的几何重心;
所有类业务链模型数据的几何重心构成业务行为重心向量。
其中,将物理或抽象对象的集合分成由类似的对象组成的多个类的过程被称为聚类。由聚类所生成的簇是一组数据对象的集合,这些对象与同一个簇中的对象彼此相似,与其他簇中的对象相异。“物以类聚,人以群分”,在自然科学和社会科学中,存在着大量的分类问题。
传统的聚类方法有多种,本检测方法中我们采用划分方法(partitioningmethods)进行聚类计算。给定一个有N个元组或者纪录的数据集,分裂法将构造K个分组,每一个分组就代表一个聚类,K<N。而且这K个分组满足下列条件:(1)每一个分组至少包含一个数据纪录;(2)每一个数据纪录属于且仅属于一个分组(注意:这个要求在某些模糊聚类算法中可以放宽);对于给定的K,算法首先给出一个初始的分组方法,以后通过反复迭代的方法改变分组,使得每一次改进之后的分组方案都较前一次好,而所谓好的标准就是:同一分组中的记录越近越好,而不同分组中的纪录越远越好。在实际操作中,我们用K-MEANS算法。
具体的,采用聚类分析方法计算每一类业务链模型数据的几何重心包括:
随机初始化所有类业务链模型数据的中心点;其中,中心点是与同一类业务链模型数据中的每个业务链模型数据中的业务链的距离相同的业务链模型数据中的业务链;中心点的数量即类的数量是已知的;
计算每个业务链模型数据中的业务链到中心点的距离,将业务链模型数据划分到与业务链模型数据的业务链的距离最近的中心点所属的类中;
重新计算每一类业务链模型数据的中心点;
重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。
其中,计算每个业务链模型数据中的业务链到中心点的距离包括:
按照公式
Figure GDA0002817451610000081
计算每个业务链模型数据中的业务链到中心点的距离;
其中,dist(xi,xj)为第i个业务链模型数据中的业务链到第j个中心点的距离,D为业务链对应的业务链行为向量的维数,xi,d为第i个业务链模型数据中的业务链对应的业务链行为向量的第d个特征属性,xj,d为第j个中心点对应的业务链行为向量的第d个特征属性。
其中,也可以多次随机初始化所有类业务链模型数据的中心点,然后选择运行结果最好的一个。
步骤101、根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
在本发明实施例中,根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。
其中,业务行为重心基线向量可以根据经验预先设定,或者采用与业务行为重心向量相同的方法获得,这里不再赘述。
其中,可以将业务行为重心向量中发生变化的业务链的数量和业务行为中心基线向量中业务链的数量的比值作为业务行为重心向量与预先设置的业务行为重心基线向量的偏差。具体公式如下:
设当前业务行为重心向量中业务链的总个数为C;
业务行为重心向量基线中业务链的总个数为B;
当前业务行为重心向量与业务行为重心向量基线相比,保持不变的业务链的个数为:N,那么偏差的计算为:(|C-N|)/B。
其中,只要当前业务行为重心向量的业务链与业务行为重心向量基线中的任意一个业务链相同,说明该当前业务行为重心向量的该业务链保持不变;当当前业务行为重心向量的业务链与业务行为重心向量基线中的所有业务链均不相同时,说明该当前业务行为重心向量的该业务链发生变化。
在本发明另一个实施例中,当确定预设通信范围内存在业务异常时,该方法还包括:进行业务异常告警。
在本发明另一个实施例中,当确定预设通信范围内不存在业务异常时,该方法还包括:根据所述业务行为重心向量更新所述业务行为重心基线向量。
具体的,将业务行为重心基线向量更新为业务行为重心向量和原业务行为重心基线向量的平均值。
本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。
参见图2,本发明另一个实施例提出了一种安全检测装置,包括以下模块至少之一:
第一确定模块201,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块202,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
在本发明实施例中,第一确定模块201包括获取子模块2011、确定子模块2012、计算子模块2013;
其中,获取子模块2011,用于获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
确定子模块2012,用于根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,Internet Protocol)地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
计算子模块2013,用于根据所述业务链模型数据计算所述业务行为重心向量。
其中,获取子模块2011包括:镜像单元20111、获取单元20112和构建单元20113;
其中,镜像单元20111,用于获取所述预设通信范围内的网络镜像流量数据;
获取单元20112,用于获取预设通信范围内的应用日志;
构建单元20113,用于根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。
其中,网络镜像流量数据即是镜像的原始报文。
其中,获取单元20112可以采用文本或syslog协议采集业务系统的应用日志,这里不再赘述。
其中,构建单元20113具体用于:
从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;
对业务行为信息进行去重处理;
根据去重处理后的业务行为信息构建业务行为元数据。
其中,构建单元20113可以采用会话重组技术来识别属于同一个会话的网络镜像流量数据和应用日志,这里不再赘述。
其中,业务行为信息包括:时间、源IP地址、目的IP地址、源端口、目的端口、网络层协议、应用层协议、字节数。
其中,业务行为元数据包括:开始时间和/或结束时间、源IP地址、目的 IP地址、源端口、目的端口、网络层协议、应用层协议、持续时间(即结束时间和开始时间之差)、报文数量、总字节数。
其中,确定子模块2012具体用于:
根据所述业务行为元数据构建业务链;
根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;
根据所述业务链和业务链行为向量确定业务链模型数据。
其中,确定子模块2012根据业务行为元数据中的源IP地址和目的IP地址构建业务链。如某企业运营人员在企业资源计划(ERP,Enterprise Resource Planning)系统上新增了一个销售订单,该运营人员使用的主机(IP1)访问了ERP网站(IP2),该网站又在数据库系统上(IP3)增加了一条数据库记录,在这个业务过程中的业务链就是“IP1-IP2-IP3”。本发明实施例的安全检测方法会持续、自动的计算业务行为元数据,不断挖掘这样的业务链。所有的业务链集合就形成了大型企业内负责业务系统的交互关系网。
其中,业务链行为向量包括但不限于:
活跃连接数量、网络服务端口、网络协议分布、报文数量、字节总数、业务访问平均时间间隔等。
其中,活跃连接数量即为属于同一业务链的业务行为元数据的数量。
其中,网络服务端口包括:源端口、目的端口。
其中,网络协议分布包括属于同一业务链的业务行为元数据中,同一网络层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值,以及同一应用层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值。
其中,报文数量为属于同一业务链的业务行为元数据的报文数量之和。
其中,字节总数为属于同一业务链的业务行为元数据的总字节数之和。
其中,业务访问平均时间间隔为属于同一业务链的业务行为元数据的持续时间的平均值。
其中,业务链模型数据包括:业务链开始时间和结束时间、业务链和业务链行为向量。
在另一个实施例中,业务链模型数据还包括:业务链建模计算子引擎标志,用于记录业务链模型数据的来源。
其中,计算子模块2013具体用于:
采用聚类分析方法计算每一类业务链模型数据的几何重心;
所有类业务链模型数据的几何中心构成业务行为重心向量。
其中,将物理或抽象对象的集合分成由类似的对象组成的多个类的过程被称为聚类。由聚类所生成的簇是一组数据对象的集合,这些对象与同一个簇中的对象彼此相似,与其他簇中的对象相异。“物以类聚,人以群分”,在自然科学和社会科学中,存在着大量的分类问题。
传统的聚类方法有多种,本检测方法中我们采用划分方法(partitioningmethods)进行聚类计算。给定一个有N个元组或者纪录的数据集,分裂法将构造K个分组,每一个分组就代表一个聚类,K<N。而且这K个分组满足下列条件:(1)每一个分组至少包含一个数据纪录;(2)每一个数据纪录属于且仅属于一个分组(注意:这个要求在某些模糊聚类算法中可以放宽);对于给定的K,算法首先给出一个初始的分组方法,以后通过反复迭代的方法改变分组,使得每一次改进之后的分组方案都较前一次好,而所谓好的标准就是:同一分组中的记录越近越好,而不同分组中的纪录越远越好。在实际操作中,我们用K-MEANS算法。
其中,计算子模块2013具体用于采用以下方式实现计算每一类业务链模型数据的几何重心:
随机初始化所有类业务链模型数据的中心点;其中,中心点是与同一类业务链模型数据中的每个业务链模型数据中的业务链的距离相同的业务链模型数据中的业务链;中心点的数量即类的数量是已知的;
计算每个业务链模型数据中的业务链到中心点的距离,将业务链模型数据划分到与业务链模型数据的业务链的距离最近的中心点所属的类中;
重新计算每一类业务链模型数据的中心点;
重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。
其中,计算子模块2013具体用于采用以下方式实现计算每个业务链模型数据中的业务链到中心点的距离:
按照公式
Figure GDA0002817451610000131
计算每个业务链模型数据中的业务链到中心点的距离;
其中,dist(xi,xj)为第i个业务链模型数据中的业务链到第j个中心点的距离,D为业务链对应的业务链行为向量的维数,xi,d为第i个业务链模型数据中的业务链对应的业务链行为向量的第d个特征属性,xj,d为第j个中心点对应的业务链行为向量的第d个特征属性。
其中,计算子模块2013也可以多次随机初始化所有类业务链模型数据的中心点,然后选择运行结果最好的一个。
在本发明实施例中,第二确定模块202具体用于采用以下至少之一确定预设通信范围内是否存在业务异常:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。
其中,业务行为重心基线向量可以根据经验预先设定,或者采用与业务行为重心向量相同的方法获得,这里不再赘述。
其中,计算子模块2013可以将业务行为重心向量中发生变化的业务链的数量和业务行为中心基线向量中业务链的数量的比值作为业务行为重心向量与预先设置的业务行为重心基线向量的偏差。具体公式如下:
设当前业务行为重心向量中业务链的总个数为C;
业务行为重心向量基线中业务链的总个数为B;
当前业务行为重心向量与业务行为重心向量基线相比,保持不变的业务链的个数为:N,那么偏差的计算为:(|C-N|)/B。
也就是说,只要当前业务行为重心向量的业务链与业务行为重心向量基线中的任意一个业务链相同,说明该当前业务行为重心向量的该业务链保持不变;当当前业务行为重心向量的业务链与业务行为重心向量基线中的所有业务链均不相同时,说明该当前业务行为重心向量的该业务链发生变化。
在本发明另一个实施例中,第二确定模块202还用于:
当确定预设通信范围内存在业务异常时,进行业务异常告警。
在本发明另一个实施例中,第二确定模块202还用于:
当确定预设通信范围内不存在业务异常时,根据所述业务行为重心向量更新所述业务行为重心基线向量。
具体的,第二确定模块202将业务行为重心基线向量更新为业务行为重心向量和原业务行为重心基线向量的平均值。
本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。
本发明另一个实施例提出了一种安全检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种安全检测方法的至少之一步骤。
本发明另一个实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种安全检测方法的至少之一步骤。
本发明另一个实施例提出了一种安全检测系统,包括:
第一确定模块201,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块202,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;
其中,所述第一确定模块201和第二确定模块202设置在不同的设备中。
在本发明实施例中,第一确定模块201包括获取子模块2011、确定子模块2012、计算子模块2013;
其中,获取子模块2011,用于获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
确定子模块2012,用于根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,Internet Protocol)地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
计算子模块2013,用于根据所述业务链模型数据计算所述业务行为重心向量。
其中,获取子模块2011、确定子模块2012和计算子模块2013设置在不同的设备中。
其中,获取子模块2011包括:镜像单元20111、获取单元20112和构建单元20113;
其中,镜像单元20111,用于获取所述预设通信范围内的网络镜像流量数据;
获取单元20112,用于获取预设通信范围内的应用日志;
构建单元20113,用于根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。
其中,镜像单元20111、获取单元20112和构建单元20113分别设置在不同的设备中,具体的,镜像单元20111可以设置在路由交换设备中,获取单元20112可以设置在应用服务器中,构建单元20113、确定子模块2012和计算子模块2013可以采用集群实现。
其中,构建单元20113和确定子模块2012可以设置在同一个设备中,计算子模块2013设置在另一个设备中。
在本发明另一个实施例中,可以通过一个独立的设备或集群来存储业务链模型数据。
其中,网络镜像流量数据即是镜像的原始报文。
其中,获取单元20112可以采用文本或syslog协议采集业务系统的应用日志,这里不再赘述。
其中,构建单元20113具体用于:
从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;
对业务行为信息进行去重处理;
根据去重处理后的业务行为信息构建业务行为元数据。
其中,构建单元20113可以采用会话重组技术来识别属于同一个会话的网络镜像流量数据和应用日志,这里不再赘述。
其中,业务行为信息包括:时间、源IP地址、目的IP地址、源端口、目的端口、网络层协议、应用层协议、字节数。
其中,业务行为元数据包括:开始时间和/或结束时间、源IP地址、目的 IP地址、源端口、目的端口、网络层协议、应用层协议、持续时间(即结束时间和开始时间之差)、报文数量、总字节数。
其中,确定子模块2012具体用于:
根据所述业务行为元数据构建业务链;
根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;
根据所述业务链和业务链行为向量确定业务链模型数据。
其中,确定子模块2012根据业务行为元数据中的源IP地址和目的IP地址构建业务链。如某企业运营人员在企业资源计划(ERP,Enterprise Resource Planning)系统上新增了一个销售订单,该运营人员使用的主机(IP1)访问了ERP网站(IP2),该网站又在数据库系统上(IP3)增加了一条数据库记录,在这个业务过程中的业务链就是“IP1-IP2-IP3”。本发明实施例的安全检测方法会持续、自动的计算业务行为元数据,不断挖掘这样的业务链。所有的业务链集合就形成了大型企业内负责业务系统的交互关系网。
其中,业务链行为向量包括但不限于:
活跃连接数量、网络服务端口、网络协议分布、报文数量、字节总数、业务访问平均时间间隔等。
其中,活跃连接数量即为属于同一业务链的业务行为元数据的数量。
其中,网络服务端口包括:源端口、目的端口。
其中,网络协议分布包括属于同一业务链的业务行为元数据中,同一网络层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值,以及同一应用层协议所在的业务行为元数据的总字节数之和和同一业务链的业务行为元数据的总字节数的比值。
其中,报文数量为属于同一业务链的业务行为元数据的报文数量之和。
其中,字节总数为属于同一业务链的业务行为元数据的总字节数之和。
其中,业务访问平均时间间隔为属于同一业务链的业务行为元数据的持续时间的平均值。
其中,业务链模型数据包括:业务链开始时间和结束时间、业务链和业务链行为向量。
在另一个实施例中,业务链模型数据还包括:业务链建模计算子引擎标志,用于记录业务链模型数据的来源。
其中,计算子模块2013具体用于:
采用聚类分析方法计算每一类业务链模型数据的几何重心;
所有类业务链模型数据的几何中心构成业务行为重心向量。
其中,将物理或抽象对象的集合分成由类似的对象组成的多个类的过程被称为聚类。由聚类所生成的簇是一组数据对象的集合,这些对象与同一个簇中的对象彼此相似,与其他簇中的对象相异。“物以类聚,人以群分”,在自然科学和社会科学中,存在着大量的分类问题。
传统的聚类方法有多种,本检测方法中我们采用划分方法(partitioningmethods)进行聚类计算。给定一个有N个元组或者纪录的数据集,分裂法将构造K个分组,每一个分组就代表一个聚类,K<N。而且这K个分组满足下列条件:(1)每一个分组至少包含一个数据纪录;(2)每一个数据纪录属于且仅属于一个分组(注意:这个要求在某些模糊聚类算法中可以放宽);对于给定的K,算法首先给出一个初始的分组方法,以后通过反复迭代的方法改变分组,使得每一次改进之后的分组方案都较前一次好,而所谓好的标准就是:同一分组中的记录越近越好,而不同分组中的纪录越远越好。在实际操作中,我们用K-MEANS算法。
其中,计算子模块2013具体用于采用以下方式实现计算每一类业务链模型数据的几何重心:
随机初始化所有类业务链模型数据的中心点;其中,中心点是与同一类业务链模型数据中的每个业务链模型数据中的业务链的距离相同的业务链模型数据中的业务链;中心点的数量即类的数量是已知的;
计算每个业务链模型数据中的业务链到中心点的距离,将业务链模型数据划分到与业务链模型数据的业务链的距离最近的中心点所属的类中;
重新计算每一类业务链模型数据的中心点;
重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。
其中,计算子模块2013具体用于采用以下方式实现计算每个业务链模型数据中的业务链到中心点的距离:
按照公式
Figure GDA0002817451610000191
计算每个业务链模型数据中的业务链到中心点的距离;
其中,dist(xi,xj)为第i个业务链模型数据中的业务链到第j个中心点的距离,D为业务链对应的业务链行为向量的维数,xi,d为第i个业务链模型数据中的业务链对应的业务链行为向量的第d个特征属性,xj,d为第j个中心点对应的业务链行为向量的第d个特征属性。
其中,计算子模块2013也可以多次随机初始化所有类业务链模型数据的中心点,然后选择运行结果最好的一个。
在本发明实施例中,第二确定模块202具体用于采用以下至少之一确定预设通信范围内是否存在业务异常:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。
其中,业务行为重心基线向量可以根据经验预先设定,或者采用与业务行为重心向量相同的方法获得,这里不再赘述。
其中,可以将业务行为重心向量中业务链的数量和业务行为中心基线向量中业务链的数量的比值作为业务行为重心向量与预先设置的业务行为重心基线向量的偏差。
在本发明另一个实施例中,第二确定模块202还用于:
当确定预设通信范围内存在业务异常时,进行业务异常告警。
在本发明另一个实施例中,第二确定模块202还用于:
当确定预设通信范围内不存在业务异常时,根据所述业务行为重心向量更新所述业务行为重心基线向量。
具体的,第二确定模块202将业务行为重心基线向量更新为业务行为重心向量和原业务行为重心基线向量的平均值。
本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。
参见图3,作为本发明实施例的安全检测系统的一个示例说明本发明实施例的安全检测系统的结构组成,该安全检测系统包括:
路由交换设备301,用于获取所述预设通信范围内的网络镜像流量数据;
应用服务器302,用于获取预设通信范围内的应用日志;
构建设备303,用于根据所述网络镜像流量数据和应用日志构建所述业务行为元数据;
第一集群304,用于根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,Internet Protocol)地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;根据所述业务链模型数据计算所述业务行为重心向量;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
在本发明实施例中,第一集群304包括:至少一个业务链建模计算子引擎设备3041和业务重心计算子引擎设备3042;
其中,业务链建模计算子引擎设备3041,用于根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,Internet Protocol) 地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
业务重心计算子引擎设备3042,用于根据所述业务链模型数据计算所述业务行为重心向量;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
在本发明另一个实施例中,还包括:
第二集群305,用于存储业务链模型数据。
在本发明实施例中,业务链建模计算子引擎设备可以有多个,根据用户的业务分布情况部署,如针对省级系统,可以在每个市部署一个业务链建模计算子引擎设备,而业务重心计算子引擎设备只有一个部署在中心节点即可,如针对省级系统,只需要在总部部署即可。
在本发明实施例中,业务链建模计算子引擎设备与业务重心计算子引擎设备可以通过syslog协议、Java数据库连接(JDBC,Java DataBase Connectivity) 协议或网页服务(webservice)协议进行数据交互和命令控制。
在本发明实施例中,针对业务链模型数据的存储,也可以采用独立的分布式数据集群(即第二集群305)进行存储,业务链建模计算子引擎设备将计算所得的业务链模型数据存储至分布式数据集群中(如Hadoop、ElasticSearch 等),业务重心计算子引擎设备从分布式数据集群中读取业务链模型数据并进行进一步的重心分析。
具体的实现过程与前述实施例相同,这里不再赘述。
本发明实施例基于大数据分析技术,从业务操作自身出发,构建业务链,有效分析业务宏观安全,克服了传统检测方法基于单个连接或单个资产分析的不足;本发明实施例将分布式计算的思想无缝融合在安全检测的全过程,可动态扩展以适应不断扩大的IT业务规模。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质) 和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明实施例所揭露的实施方式如上,但所述的内容仅为便于理解本发明实施例而采用的实施方式,并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员,在不脱离本发明实施例所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明实施例的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (13)

1.一种安全检测方法,包括以下步骤:
确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;
其中,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常;
其中,所述确定预设通信范围内的业务行为重心向量包括:
获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
根据所述业务链模型数据计算所述业务行为重心向量。
2.根据权利要求1所述的安全检测方法,其特征在于,当确定预设通信范围内存在业务异常时,该方法还包括:进行业务异常告警。
3.根据权利要求1所述的安全检测方法,其特征在于,当确定预设通信范围内不存在业务异常时,该方法还包括:根据所述业务行为重心向量更新所述业务行为重心基线向量。
4.根据权利要求1所述的安全检测方法,其特征在于,所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差为所述业务行为重心向量中发生变化的业务链的数量和业务行为重心基线向量中业务链的数量的比值。
5.根据权利要求1所述的安全检测方法,其特征在于,所述获取预设通信范围内的业务行为元数据包括:
获取所述预设通信范围内的网络镜像流量数据和应用日志;
根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。
6.根据权利要求5所述的安全检测方法,其特征在于,所述根据网络镜像流量数据和应用日志构建业务行为元数据包括:
从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;
对所述业务行为信息进行去重处理;
根据去重处理后的业务行为信息构建业务行为元数据。
7.根据权利要求1所述的安全检测方法,其特征在于,所述根据业务行为元数据确定业务链模型数据包括:
根据所述业务行为元数据构建业务链;
根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;
根据所述业务链和业务链行为向量确定业务链模型数据。
8.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述业务链模型数据计算所述业务行为重心向量包括:
采用聚类分析方法计算每一类业务链模型数据的几何重心;
所有类业务链模型数据的几何重心构成业务行为重心向量。
9.根据权利要求8所述的安全检测方法,其特征在于,所述采用聚类分析方法计算每一类业务链模型数据的几何重心包括:
随机初始化所有类业务链模型数据的中心点;
计算每个所述业务链模型数据中的业务链到中心点的距离,将所述业务链模型数据划分到与所述业务链模型数据的业务链的距离最近的中心点所属的类中;
重新计算每一类业务链模型数据的中心点;
重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。
10.一种安全检测装置,包括以下模块:
第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;
其中,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常;
其中,所述确定预设通信范围内的业务行为重心向量包括:
获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
根据所述业务链模型数据计算所述业务行为重心向量。
11.一种安全检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令被所述处理器执行时,实现如权利要求1~9任一项所述的安全检测方法的步骤。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~9任一项所述的安全检测方法的步骤。
13.一种安全检测系统,包括:
第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;
第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;
其中,所述第一确定模块和第二确定模块设置在不同的设备中;
其中,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;
当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常;
其中,所述确定预设通信范围内的业务行为重心向量包括:
获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;
根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;
根据所述业务链模型数据计算所述业务行为重心向量。
CN201811210613.2A 2018-10-17 2018-10-17 一种安全检测方法、装置和系统 Active CN109450864B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811210613.2A CN109450864B (zh) 2018-10-17 2018-10-17 一种安全检测方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811210613.2A CN109450864B (zh) 2018-10-17 2018-10-17 一种安全检测方法、装置和系统

Publications (2)

Publication Number Publication Date
CN109450864A CN109450864A (zh) 2019-03-08
CN109450864B true CN109450864B (zh) 2021-06-18

Family

ID=65547264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811210613.2A Active CN109450864B (zh) 2018-10-17 2018-10-17 一种安全检测方法、装置和系统

Country Status (1)

Country Link
CN (1) CN109450864B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN107743113A (zh) * 2016-11-23 2018-02-27 腾讯科技(深圳)有限公司 一种网站攻击的检测方法及系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7779471B2 (en) * 2005-04-05 2010-08-17 Cisco Technology, Inc. Method and system for preventing DOS attacks
CN103138986B (zh) * 2013-01-09 2016-08-03 天津大学 一种基于可视分析的网站异常访问行为的检测方法
CN107135183A (zh) * 2016-02-26 2017-09-05 中国移动通信集团河北有限公司 一种流量数据监测方法和装置
CN106209893B (zh) * 2016-07-27 2019-03-19 中国人民解放军信息工程大学 基于业务过程模型挖掘的内部威胁检测系统及其检测方法
CN107528832B (zh) * 2017-08-04 2020-07-07 北京中晟信达科技有限公司 一种面向系统日志的基线构建与未知异常行为检测方法
CN107302547B (zh) * 2017-08-21 2021-07-02 深信服科技股份有限公司 一种web业务异常检测方法及装置
CN107733937A (zh) * 2017-12-01 2018-02-23 广东奥飞数据科技股份有限公司 一种异常网络流量检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
CN107743113A (zh) * 2016-11-23 2018-02-27 腾讯科技(深圳)有限公司 一种网站攻击的检测方法及系统

Also Published As

Publication number Publication date
CN109450864A (zh) 2019-03-08

Similar Documents

Publication Publication Date Title
CN109684181B (zh) 告警根因分析方法、装置、设备及存储介质
US11637762B2 (en) MDL-based clustering for dependency mapping
US11237897B2 (en) Detecting and responding to an anomaly in an event log
US10902062B1 (en) Artificial intelligence system providing dimension-level anomaly score attributions for streaming data
CN111565205B (zh) 网络攻击识别方法、装置、计算机设备和存储介质
Manzoor et al. Fast memory-efficient anomaly detection in streaming heterogeneous graphs
CN110168523A (zh) 改变监测跨图查询
US20220263860A1 (en) Advanced cybersecurity threat hunting using behavioral and deep analytics
WO2017160409A1 (en) Real-time detection of abnormal network connections in streaming data
US8898269B2 (en) Reconciling network management data
US11196633B2 (en) Generalized correlation of network resources and associated data records in dynamic network environments
US11811839B2 (en) Managed distribution of data stream contents
US11159564B2 (en) Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time
US20220019887A1 (en) Anomaly detection in network topology
US20230244812A1 (en) Identifying Sensitive Data Risks in Cloud-Based Enterprise Deployments Based on Graph Analytics
Al-Utaibi et al. Intrusion detection taxonomy and data preprocessing mechanisms
CN108540427A (zh) 冲突检测方法和检测设备、访问控制方法和访问控制装置
US20240004993A1 (en) Malware detection in containerized environments
CN113987492A (zh) 一种告警事件的确定方法及装置
CN108337100B (zh) 一种云平台监测的方法和装置
US8676844B2 (en) Graph authorization
CN117614693A (zh) 一种基于行为流量的云内安全威胁检测方法
JP6616045B2 (ja) 異種混在アラートのグラフベース結合
CN109450864B (zh) 一种安全检测方法、装置和系统
Jusko et al. Using behavioral similarity for botnet command-and-control discovery

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant