CN110532773A - 恶意访问行为识别方法、数据处理方法、装置和设备 - Google Patents
恶意访问行为识别方法、数据处理方法、装置和设备 Download PDFInfo
- Publication number
- CN110532773A CN110532773A CN201810517431.3A CN201810517431A CN110532773A CN 110532773 A CN110532773 A CN 110532773A CN 201810517431 A CN201810517431 A CN 201810517431A CN 110532773 A CN110532773 A CN 110532773A
- Authority
- CN
- China
- Prior art keywords
- access
- data
- link
- access data
- access link
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Abstract
本发明实施例提供一种恶意访问行为识别方法、数据处理方法、装置和设备,该方法包括:根据同一用户访问服务器依次产生的N个访问数据,生成同一用户对应的访问链路;若N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对访问链路进行分类识别,以确定访问链路是否对应于恶意访问行为。本方案中,针对每个访问用户,通过生成各用户分别对应的访问链路,基于黑名单先初步筛选出潜在的恶意访问行为对应的访问链路,进而通过识别模型精确识别筛选出的访问链路是否对应于恶意访问行为,保证了恶意访问行为识别结果的准确性。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种恶意访问行为识别方法、数据处理方法、装置和设备。
背景技术
随着互联网的飞速发展,针对互联网应用的攻击行为也愈加泛滥,服务器提供的应用程序被恶意用户恶意访问,已经成为影响服务器运行安全的重要问题。
目前,一种识别恶意用户对服务器的恶意访问行为的方式是:基于预先设定的恶意访问规则来进行恶意访问行为的识别。简单来说,该预先设定的恶意访问规则描述了常见的恶意访问行为特征,比如某个恶意访问行为特征为:先创建某个进程、调用某个命令,之后又创建某个进程、调用某条命令,从而,如果某个访问行为命中该条恶意访问规则,则说明该访问行为而恶意访问行为,从而可以进行报警以提示识别到一个恶意访问行为。
但是,预先设定恶意访问规则的方式相当于穷举各种可能的恶意访问行为特征,而实际上预设设定的恶意访问规则所能覆盖的恶意访问行为较为有限,很多时候不能准确识别出实际发生的恶意访问行为。
发明内容
有鉴于此,本发明实施例提供一种恶意访问行为识别方法、数据处理方法、装置和设备,用以提高恶意访问行为的识别结果准确性。
第一方面,本发明实施例提供一种恶意访问行为识别方法,包括:
根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1;
若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
第二方面,本发明实施例提供一种恶意访问行为识别装置,包括:
生成模块,用于根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1;
识别模块,用于若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
第三方面,本发明实施例提供一种电子设备,包括第一处理器和第一存储器,所述第一存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第一处理器执行时实现上述第一方面中的恶意访问行为识别方法。该电子设备还可以包括第一通信接口,用于与其他设备或通信网络通信。
本发明实施例提供了一种计算机存储介质,用于储存存储计算机程序,所述计算机程序使计算机执行时实现上述第一方面中的恶意访问行为识别方法。
本发明实施例提供的恶意访问行为识别方法,对于某用户来说,其访问服务器的过程中往往会产生多条访问数据,该访问数据比如可以是创建的进程、调用的命令,进而可以根据这些访问数据的上下文关系生成该用户对应的访问链路,该访问链路可能是一条也可能是多条,进而,根据预先设定的黑名单判定该数据访问链路中是否包含属于黑名单中的访问数据,其中,该黑名单中的访问数据比如可以是统计得到的恶意访问行为经常会调用的命令或者与访问一些重要数据所需调用的命令。当访问链路中包含属于黑名单中的访问数据时,该访问链路即可能对应于恶意访问行为,至于是否真的对应于恶意访问行为还需进一步基于预先通过机器学习训练好的识别模型对该访问链路进行是否对应于恶意访问行为的识别,以便最终确定该访问链路是否对应于恶意访问行为。本方案中,针对每个访问用户,通过生成各用户分别对应的访问链路,基于黑名单先初步筛选出潜在的恶意访问行为对应的访问链路,进而通过识别模型精确识别筛选出的访问链路是否对应于恶意访问行为,保证了恶意访问行为识别结果的准确性。
第四方面,本发明实施例提供一种数据处理方法,包括:
获取目标账户对服务器进行访问所产生的多个访问数据;
确定所述多个访问数据中至少一个访问数据满足第一预设条件;
将所述多个访问数据组合成为访问链路;
基于预设访问链路样本,确定所述访问链路符合第二预设条件。
第五方面,本发明实施例提供一种处理处理装置,包括:
数据获取模块,用于获取目标账户对服务器进行访问所产生的多个访问数据;
数据识别模块,用于确定所述多个访问数据中至少一个访问数据满足第一预设条件;
链路生成模块,用于将所述多个访问数据组合成为访问链路;
链路识别模块,用于基于预设访问链路样本,确定所述访问链路符合第二预设条件。
第六方面,本发明实施例提供一种电子设备,包括第二处理器和第二存储器,所述第二存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第二处理器执行时实现上述第四方面中的数据处理方法。该电子设备还可以包括第二通信接口,用于与其他设备或通信网络通信。
本发明实施例提供的该数据处理方法,对于某用户来说,其访问服务器的过程中往往会产生多个访问数据,该访问数据比如可以是创建的进程、调用的命令。从而,获取目标账户对服务器进行访问所产生的多个访问数据即获得了该目标账户对应的用户访问服务器所产生的多个访问数据。当处于某种目的需要对这多个访问数据进行数据处理时,首先基于第一预设条件判定这多个访问数据是否满足处理要求,即如果多个访问数据中至少一个访问数据满足第一预设条件则认为该多个访问数据是需要被进行后续处理的数据。也就是说,基于第一预设条件选出潜在的需要被处理的对应于目标账户的多个访问数据,即当某账户对应的多个访问数据不满足第一预设条件时,该账户的多个访问数据将作为冗余数据被过滤掉,降低了需进行后续处理的数据量。当目标账户对应的多个访问数据中至少一个访问数据满足第一预设条件时,将这多个访问数据组合成为访问链路,该访问链路反映了这多个访问数据间的上下文关系,亦反映了目标账户对服务器的访问轨迹,进而,可以基于预设访问链路样本确定该组合成的访问链路符合第二预设条件,即通过预设访问链路样本与该组合成的访问链路的匹配性准确识别出该组合成的访问链路是否符合第二预设条件。其中,该第二预设条件即为数据处理目的所对应的条件,比如如果组合成的访问链路与对应于恶意访问行为的预设访问链路样本的特征匹配,则认为该访问链路对应于恶意访问行为。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意访问行为识别方法的流程图;
图2为本发明实施例提供的另一种恶意访问行为识别方法的流程图;
图3为与图2对应的一种进程间的父子关系示意图;
图4为与图2对应的一种访问链路的生成结果示意图;
图5为本发明实施例提供的恶意访问行为识别装置的结构示意图;
图6为与图5所示实施例提供的恶意访问行为识别装置对应的电子设备的结构示意图;
图7为本发明实施例提供的一种数据处理方法的流程图;
图8为本发明实施例提供的数据处理装置的结构示意图;
图9为与图8所示实施例提供的数据处理装置对应的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种,但是不排除包含至少一种的情况。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于识别”。类似地,取决于语境,短语“如果确定”或“如果识别(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当识别(陈述的条件或事件)时”或“响应于识别(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
图1为本发明实施例提供的一种恶意访问行为识别方法的流程图,本发明实施例提供的该恶意访问行为识别方法可以由服务器来执行。如图1所示,该方法包括如下步骤:
101、根据同一用户访问服务器依次产生的N个访问数据,生成同一用户对应的访问链路,N≥1。
本发明实施例中,用户对服务器的访问可以是访问服务器提供的某种应用程序,访问服务器期间所产生的访问数据可以是创建的进程、进程调用的命令(也可以称为函数)。
为了确定某用户对服务器的访问行为是否为恶意访问行为,首先需要提取出该用户访问服务器所产生的访问数据。而实际应用中,会有若干用户对服务器进行访问,从而会产生若干访问数据,因此,为确定每个用户的访问行为是否为恶意访问行为,可以从这若干访问数据中分别提取出同一用户对应的访问数据即为上述N个访问数据。
实际应用中,可选地,服务器可以每隔一定时间比如一天对已经产生的访问数据进行本发明实施例提供的恶意访问行为的识别处理;也可以实时对已经产生的访问数据进行本发明实施例提供的恶意访问行为的识别处理,只是此时需要根据某用户实时产生的访问数据更新该用户对应的访问链路。
在一可选实施例中,针对服务器中存储的已经产生的各访问数据,可以根据已经产生的各访问数据中包含的安全标识符(Security Identifiers,简称SID),获取对应于同一SID的N个访问数据,这N个访问数据即为该SID对应的用户所产生的N个访问数据。
其中,SID是标识用户、组和计算机账户的唯一的号码,一般地,SID由用户终端设备名称、用户开始访问服务器的时间、当前用户态线程的CPU耗费时间的总和这三个参数决定以保证它的唯一性。
当然,实际应用中,还可以基于其他用户身份标识来获取属于同一用户的访问数据,比如用户终端设备的设备序列号等标识。
在得到同一用户对应的N个访问数据后,根据这N个访问数据的上下文关系生成该同一用户对应的访问链路。
可选地,该上下文关系可以体现为时间顺序,从而,可以根据这N个访问数据产生的时间对这N个访问数据进行排序,从而得到访问链路。如前所述,一个访问数据中可以包括进程以及该进程调用的命令,简单来说,该命令由命令名称和命令主体构成,命令主体中会包含一种或多种参数,因此,可选地,为提高后续对访问链路的分类识别的效率,可以剔除命令主体,仅保留命令名称和进程名称,从而,一个访问数据由命令名称和进程名称构成。
另外,可选地,该上下文关系还可以体现为进程间的父子关系,具体在后续实施例中详细说明。
102、若N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对访问链路进行分类识别,以确定访问链路是否对应于恶意访问行为。
在得到上述访问链路后,首先判定该访问链路是否可能对应于恶意访问行为即相当于对该访问链路进行污点标记处理,在判定可能对应于恶意访问行为后,继而在基于识别模型准确识别该访问链路是否真的对应于恶意访问行为。
具体地,当访问链路中包含的N个访问数据中包含属于黑名单中的访问数据时,即认为该访问链路可能对应于恶意访问行为,从而可选地,可以为该访问链路打上污点标记。基于此,当获得若干用户各自对应的访问链路,并在访问链路中包含属于黑名单中的访问数据时为访问链路打上污点标记后,可以基于该污点标记提取出各具有该污点标记的访问链路,从而将这些访问链路分别输入到识别模型中进行是否对应于恶意访问行为的识别。
以访问数据包括进程以及进程调用的命令来说,上述黑名单中可以包括多个进程名称以及多个命令名称,这多个进程名称和多个命令名称可以是预先统计出的恶意访问行为经常使用到的进程、命令,也可以是访问服务器中的一些重要数据所需使用到的进程、命令,这些重要数据比如可以是权限相关的数据或者一些用户隐私数据等。
上述识别模型是预先通过大量的样本进行训练获得的,比如可以是对深度神经网络进行监督学习训练获得的。训练时所需的正样本可以是模拟正常用户对服务器进行访问而得到的若干访问链路,负样本可以是通过运行各种可以获得的恶意软件对服务器进行访问而得到的若干访问链路。
可选地,当将访问链路输入到已经训练好的识别模型后,该识别模型的输出可以是分类结果,分类结果为对应于恶意访问行为的分类标签或者为对应于正常访问行为的分类标签。
可选地,该识别模型的输出结果还可以是:对应于某种行为的概率是多少,比如对应于恶意访问行为的概率为90%,再比如对应于正常访问行为的概率为85%。从而,若识别模型输出的访问链路对应于恶意访问行为的概率大于预设阈值比如85%,则确定该访问链路对应于恶意访问行为。
当确定访问链路对应于恶意访问行为时,可选地,可以通过某种告警方式进行告警,比如通过在屏幕中显示该访问链路以及相应的用户信息进行告警。
综上,本发明实施例中,针对每个访问用户,通过生成各用户分别对应的访问链路,基于黑名单先初步筛选出潜在的恶意访问行为对应的访问链路,进而通过识别模型精确识别筛选出的访问链路是否对应于恶意访问行为,保证了恶意访问行为识别结果的准确性。
图2为本发明实施例提供的另一种恶意访问行为识别方法的流程图,如图2所示,可以包括如下步骤:
201、获取同一用户访问服务器产生的N个访问数据。
可以参见图1所示实施例中的介绍,可以基于SID等用户身份标识获取属于同一用户的N个访问数据。
202、根据N个访问数据中各自包含的进程识别号和进程创建信息,确定N个访问数据各自对应的父子关系。
203、根据父子关系生成N个访问数据对应的至少一条访问链路。
204、若至少一条访问链路中的任一访问链路中包含属于黑名单的访问数据,则根据预先训练好的识别模型对该任一访问链路进行分类识别,以确定该任一访问链路是否对应于恶意访问行为。
如前述实施例中的介绍,每个访问数据中可以包括与该访问数据对应的进程以及该进程调用的命令等数据内容,基于此,本发明实施例提供了一种基于N个访问数据中各自包含的进程之间的父子关系,生成与该N个访问数据对应的至少一条访问链路的方式,也就是说,同一用户可能对应于不止一条访问链路。
首先介绍下每个访问数据的内部组成,每个访问数据中可以包括如下组成部分:与该访问数据对应的第一进程的进程识别号和创建该第一进程的第二进程的进程识别号,以及第一进程的名称、第一进程调用的命令(命令中可以包括命令名称和命令主体)。
其中,不管是上述第一进程还是第二进程,在其初始被创建的时候,操作系统都会分配给其进程识别号(Process Identification,简称PID),用于唯一标识一个进程。
基于此,针对上述N个访问数据来说,可以根据N个访问数据中各自包含的进程识别号和进程创建信息,确定N个访问数据各自对应的父子关系,即进程间的父子关系。针对其中的任一访问数据来说,该进程创建信息即为创建该任一访问数据对应的第一进程的第二进程的相关信息,该相关信息可以体现为上述第二进程的进程识别号,也可以体现为该第二进程的进程名称,从而可以基于该第二进程的名称查询N个访问数据中的其他访问数据获得第二进程的进程识别号。
可以根据如下方式确定N个访问数据各自对应的父子关系:
针对N个访问数据中的任一访问数据来说,由于该任一访问数据中可以包括该任一访问数据对应的第一进程的进程识别号和创建该第一进程的第二进程的进程识别号,从而,可以根据如下方式对该任一访问数据进行父子关系标记:第二进程的进程识别号被标记为第一进程的父进程识别号。举例来说,假设第一进程为A,第二进程为B,则父子关系可以标记为:B.PID=A.PPID,其中,B.PID表示第二进程B的进程识别号,A.PPID表示第一进程A的父进程识别号,该标记表示第二进程B的进程识别号作为第一进程A的父进程识别号,亦即第二进程B是第一进程A的父进程。
针对N个访问数据都进行上述父子关系标记处理,从而,根据N个访问数据各自对应的父子关系生成N个访问数据对应的至少一条访问链路,可以实现为:
根据N个访问数据各自对应的父子关系标记结果,确定N个访问数据对应的至少一个进程序列,其中,每个进程序列中包含的相邻进程具有父子关系;
生成与该至少一个进程序列分别对应的访问链路。
具体地,基于N个访问数据各自对应的父子关系标记结果,可以得到N个访问数据对应的进程间的父子关系,即反映N个访问数据的进程间父子关系的至少一个进程序列。为便于理解,可以参见图3来理解该进程间的父子关系。图3中假设N个访问数据为图中示意的访问数据1、访问数据2、访问数据3和访问数据4。并且假设访问数据1中包括与访问数据1对应的进程B的进程识别号B.PID以及创建进程B的进程A的进程识别号A.PID;假设访问数据2中包括与访问数据2对应的进程C的进程识别号C.PID以及创建进程C的进程B的进程识别号B.PID;假设访问数据3中包括与访问数据3对应的进程D的进程识别号D.PID以及创建进程D的进程C的进程识别号C.PID;假设访问数据4中包括与访问数据4对应的进程E的进程识别号E.PID以及创建进程E的进程A的进程识别号A.PID。基于此,访问数据1对应的父子关系标记结果为:A.PID=B.PPID,访问数据2对应的父子关系标记结果为:B.PID=C.PPID,访问数据3对应的父子关系标记结果为:C.PID=D.PPID,访问数据4对应的父子关系标记结果为:A.PID=E.PPID。基于该标记结果,可以得到这4个访问数据对应的进程间的父子关系为如图3中所示的两种父子关系:进程A—>进程E;进程A—>进程B—>进程C—>进程D。
也就是说,根据这4个访问数据各自对应的父子关系标记结果,可以确定出这4个访问数据对应的两个进程序列,其中,一个进程序列中依次包括进程A和进程E,另一个进程序列中依次包括进程A、进程B、进程C和进程D。进而,可以生成与这两个进程序列分别对应的访问链路。可以理解的是,每个进程序列由依次包含的多个进程的进程名称构成。
针对生成的至少一个进程序列中的任一进程序列,根据如下方式生成该任一进程序列对应的访问链路:
获取该任一进程序列中各进程分别调用的命令名称;
根据如下数据结构生成该任一进程序列对应的访问链路:
[进程i的进程名称,进程i调用的命令名称,进程j的进程名称,进程j调用的命令名称],其中,进程i是进程j的父亲。
如前所述,N个访问数据中的任一访问数据中会包含与该任一访问数据对应的第一进程的进程识别号和创建该第一进程的第二进程的进程识别号,以及第一进程的名称、第一进程调用的命令(命令中可以包括命令名称和命令主体),因此,在生成上述任一进程序列后,可以从相应的访问数据中提取出与该任一进程序列中各进程分别对应的命令名称,构成上述数据结构。
承接于图3所示意的举例,假设访问数据1中进程B调用的命令为B1,访问数据2中进程C调用的命令为C1,访问数据3中进程D调用的命令为D1,访问数据4中进程E调用的命令为E1,则如图4所示,最终生成的两条访问链路分别为:[进程A_进程B_命令B1_进程C_命令C1_进程D_命令D1],[进程A_进程E_命令E1]。
可选地,在得到由进程名称、命令名称构成的至少一条访问链路后,可以分别针对每条访问链路进行编码处理,即针对任一访问链路中包含的进程名称和命令名称进行编码处理,该编码处理相当于是将以进程名称、命令名称形式表达的访问链路转换为以数字向量的形式表达。具体地,比如可以采用词向量(word2vec),词频-逆文档频率(termfrequency–inverse document frequency,简称TF-IDF)等方法进行编码处理。
基于此,在得到N个访问数据对应的至少一条访问链路后,若其中的任一访问链路中包含属于黑名单中的进程名称或命令名称,则可以对该任一访问链路进行污点标记,从而,最终根据已经训练好的识别模型分别对具有污点标记的访问链路进行分类识别,从而确定各条访问链路是否对应于恶意访问行为。
本实施例中,通过根据每个访问数据中的进程识别号进行进程间父子关系的标记,可以建立同一用户访问服务器所产生的各访问数据间的上下文关系,基于此生成同一用户对应的至少一条访问链路,对生成的各访问链路进行是否对应于恶意访问行为的识别。由于进程识别号的唯一性以及进程间创建关系的唯一性,可以保证同一用户的各访问数据的上下文关系的准确性,从而保证最终恶意访问行为识别结果的准确性。
以下将详细描述本发明的一个或多个实施例的恶意访问行为识别装置。本领域技术人员可以理解,这些恶意访问行为识别装置均可使用市售的硬件组件通过本方案所教导的步骤进行配置来构成。
图5为本发明实施例提供的恶意访问行为识别装置的结构示意图,如图5所示,该装置包括:生成模块11、识别模块12。
生成模块11,用于根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1。
识别模块12,用于若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
可选地,所述识别模块12还用于:若所述识别模型输出的所述访问链路对应于恶意访问行为的概率大于预设阈值,则确定所述访问链路对应于恶意访问行为。
可选地,所述装置还包括:获取模块13,用于根据已经产生的各访问数据中包含的安全标识符SID,获取对应于同一安全标识符SID的所述N个访问数据,所述同一安全标识符SID对应于所述同一用户。
可选地,所述生成模块11可以用于:根据所述N个访问数据中各自包含的进程识别号和进程创建信息,确定N个访问数据各自对应的父子关系;根据所述父子关系生成所述N个访问数据对应的至少一条访问链路。
其中,对于所述N个访问数据中的任一访问数据,所述任一访问数据中包括与所述任一访问数据对应的第一进程的进程识别号和创建所述第一进程的第二进程的进程识别号。基于此,所述生成模块11具体可以用于:根据如下方式对所述任一访问数据进行父子关系标记:所述第二进程的进程识别号被标记为所述第一进程的父进程识别号;根据所述N个访问数据各自对应的父子关系标记结果,确定所述N个访问数据对应的至少一个进程序列,其中,每个进程序列中包含的相邻进程具有父子关系;生成与所述至少一个进程序列分别对应的访问链路。
其中,在生成与所述至少一个进程序列分别对应的访问链路的过程中,所述生成模块11具体可以用于:对于所述至少一个进程序列中的任一进程序列,根据如下方式生成所述任一进程序列对应的访问链路:获取所述任一进程序列中各进程分别调用的命令名称;根据如下数据结构生成所述任一进程序列对应的访问链路:
[进程i的进程名称,进程i调用的命令名称,进程j的进程名称,进程j调用的命令名称];其中,所述进程i是所述进程j的父亲。
相应可选地,所述识别模块12可以用于:若所述任一进程序列对应的访问链路中包含属于所述黑名单中的进程名称或命令名称,则对所述任一进程序列对应的访问链路进行污点标记;根据所述识别模型分别对具有污点标记的访问链路进行分类识别。
可选地,所述装置还可以包括:编码模块14,用于对所述任一进程序列对应的访问链路中包含的进程名称和命令名称进行编码处理。从而,编码处理的结果输入到所述识别模块12。
图5所示装置可以执行图1至图2所示实施例的方法,本实施例未详细描述的部分,可参考对图1至图2所示实施例的相关说明。该技术方案的执行过程和技术效果参见图1至图2所示实施例中的描述,在此不再赘述。
以上描述了恶意访问行为识别装置的内部功能和结构,在一个可能的设计中,恶意访问行为识别装置的结构可实现为一电子设备,该电子设备可以是承载有可以供广大用户访问的应用程序的服务器,如图6所示,该电子设备可以包括:第一处理器21和第一存储器22。其中,所述第一存储器22用于存储支持该电子设备执行上述图1至图2所示实施例中提供的恶意访问行为识别方法的程序,所述第一处理器21被配置为用于执行所述第一存储器22中存储的程序。
所述程序包括一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第一处理器21执行时能够实现如下步骤:
根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1;
若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
可选地,所述第一处理器21还用于执行前述图1至图2所示实施例中的全部或部分步骤。
其中,所述电子设备的结构中还可以包括第一通信接口23,用于该电子设备与其他设备或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存上述电子设备所用的计算机软件指令,其包含用于执行上述图1至图2所示方法实施例中恶意访问行为识别方法所涉及的程序。
图7为本发明实施例提供的一种数据处理方法的流程图,本发明实施例提供的该数据处理方法可以由服务器来执行。如图7所示,可以包括如下步骤:
701、获取目标账户对服务器进行访问所产生的多个访问数据。
702、确定多个访问数据中至少一个访问数据满足第一预设条件。
703、将多个访问数据组合成为访问链路。
704、基于预设访问链路样本,确定访问链路符合第二预设条件。
本实施例提供的数据处理方法的目的在于,识别出某用户对服务器的访问行为是否是具有某种特征的访问行为,该某种特征的访问行为即可以通过上述第二预设条件来反映。
可选地,该目的比如为识别用户的访问是否为恶意访问行为,此时,上述第二预设条件包括所述访问链路对应于恶意访问行为。
可选地,该目的比如为预测用户是否想要访问服务器提供的某种特定功能,相应地,此时第二预设条件为该访问链路对应于访问特定功能。
为此,首先需要获取到某用户访问服务器所产生的访问数据,其中,访问数据可以包括基于用户的访问操作服务器创建的进程以及该进程调用的命令。该访问数据的具体组成可以参见前述实施例中的介绍。
本实施例中,可以通过获取目标账户对服务器进行访问所产生的多个访问数据的方式获得该目标账户对应的用户访问服务器所产生的多个访问数据。
其中,账户即为一种用户身份标识,各访问数据中都会包含有相应用户的用户身份标识比如账户,以此可以获取对应于同一账户的访问数据。
实际应用中,上述目标账户可以具体实现为访问服务器的用户终端设备的设备标识、服务器分配的安全标识符SID等。
在得到目标账户对应的多个访问数据后,可以确定这多个访问数据中是否存在至少一个访问数据满足第一预设条件,以基于该第一预设条件确定该多个访问数据是否需要进行后续的处理。也就是说,该第一预设条件可以视为数据筛选的依据,将满足该第一预设条件的目标账户对应的多个访问数据提取出来进行后续处理,相反地,如果该多个访问数据不满足上述第一预设条件,则这多个访问数据将被视为冗余数据过滤掉。从而,基于该第一预设条件可以过滤掉冗余数据,提高对访问数据的处理效率。
实际应用中,结合对访问数据进行数据处理的目的,该第一预设条件可能有所不同。比如根据前述举例的几种目的,当想要识别出用户的访问行为是否为恶意访问行为时,该第一预设条件包括上述多个访问数据中至少一个访问数据为预设污点数据。其中,可以预先设定黑名单,该黑名单中包含有多个进程名称、命令名称,从而,这多个进程名称、命令名称即为预设污点数据,从而,如果上述多个访问数据中至少一个访问数据为黑名单中的访问数据,则认为该多个访问数据需要进行后续的处理。
再比如,当想要识别出用户是否想要访问服务器提供的某种特定功能时,该第一预设条件可以为多个访问数据中至少一个访问数据对应于访问该特定功能所可能执行的各种操作中的一种。
当确定多个访问数据中至少一个访问数据满足第一预设条件后,即认为该多个访问数据符合数据处理要求,进而将该多个访问数据组合成为访问链路,其中,该访问链路反映了该多个访问数据的上下文关系。因为识别用户对服务器的访问行为是否为某种访问行为的过程中,用户访问所产生的多个访问数据的先后顺序即上下文对识别结果具有重要影响,因此,在生成上述访问链路的过程中,需顾及多个访问数据间的上下文关系。
可选地,将多个访问数据组合成为访问链路,可以实现为:
根据多个访问数据中各自包含的进程识别号和进程创建信息,确定多个访问数据之间的父子关系;根据该父子关系生成多个访问数据对应的至少一条访问链路。该生成方式的具体过程可以参见前述相关实施例中的说明,在此不赘述。如前述相关实施例中的说明,该访问链路也可以根据多个访问数据的产生时间排序结果来生成。
在生成上述访问链路后,可以基于预设访问链路样本,确定该访问链路是否符合第二预设条件。
其中,当数据处理的目的为恶意访问行为识别时,该预设访问链路样本可以包括预先收集的大量恶意访问行为对应的访问链路。可选地,可以通过将生成的访问链路与各访问链路样本进行匹配,当该生成的访问链路命中其中一个预设访问链路样本时,认为该访问链路符合第二预设条件即对应于恶意访问行为。可选地,还可以预先基于预设访问链路样本对比如深度神经网络进行训练,得到识别模型,从而,将生成的访问链路输入到该识别模型,通过该识别模型识别该访问链路是否满足第二预设条件即是否对应于恶意访问行为。
在一可选实施例中,在步骤704后,还可以包括如下步骤:对目标账户的访问行为进行处理。也就是说,当判定上述访问链路符合第二预设条件比如对应于恶意访问行为时,可以对用户的该恶意访问行为进行处理,该处理比如为进行报警、断开用户与服务器的访问连接等。
图8为本发明实施例提供的数据处理装置的结构示意图,如图8所示,该装置包括:数据获取模块31、数据识别模块32、链路生成模块33、链路识别模块34。
数据获取模块31,用于获取目标账户对服务器进行访问所产生的多个访问数据。
数据识别模块32,用于确定所述多个访问数据中至少一个访问数据满足第一预设条件。
链路生成模块33,用于将所述多个访问数据组合成为访问链路。
链路识别模块34,用于基于预设访问链路样本,确定所述访问链路符合第二预设条件。
可选地,该装置还可以包括:访问处理模块,用于在所述链路识别模块34确定所述访问链路符合第二预设条件时,对所述目标账户的访问行为进行处理。
可选地,所述链路生成模块33可以用于:根据所述多个访问数据中各自包含的进程识别号和进程创建信息,确定访问数据之间的父子关系;根据所述父子关系生成所述多个访问数据对应的至少一条访问链路。
可选地,所述第一预设条件包括所述至少一个访问数据为预设污点数据。
可选地,所述第二预设条件包括所述访问链路对应于恶意访问行为。
可选地,所述访问数据包括所述服务器创建的进程以及所述进程调用的命令。
图8所示装置可以执行图7所示实施例的方法,本实施例未详细描述的部分,可参考对图7所示实施例的相关说明。该技术方案的执行过程和技术效果参见图7所示实施例中的描述,在此不再赘述。
以上描述了数据处理装置的内部功能和结构,在一个可能的设计中,数据处理装置的结构可实现为一电子设备,该电子设备可以是承载有可以供广大用户访问的应用程序的服务器,如图9所示,该电子设备可以包括:第二处理器41和第二存储器42。其中,所述第二存储器42用于存储支持该电子设备执行上述图7所示实施例中提供的数据处理方法的程序,所述第二处理器41被配置为用于执行所述第二存储器42中存储的程序。
所述程序包括一条或多条计算机指令,其中,所述一条或多条计算机指令被所述第二处理器41执行时能够实现如下步骤:
获取目标账户对服务器进行访问所产生的多个访问数据;
确定所述多个访问数据中至少一个访问数据满足第一预设条件;
将所述多个访问数据组合成为访问链路;
基于预设访问链路样本,确定所述访问链路符合第二预设条件。
可选地,所述第二处理器41还用于执行前述图7所示实施例中的全部或部分步骤。
其中,所述电子设备的结构中还可以包括第二通信接口43,用于该电子设备与其他设备或通信网络通信。
另外,本发明实施例提供了一种计算机存储介质,用于储存上述电子设备所用的计算机软件指令,其包含用于执行上述图7所示方法实施例中数据处理方法所涉及的程序。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (18)
1.一种恶意访问行为识别方法,其特征在于,包括:
根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1;
若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据已经产生的各访问数据中包含的安全标识符SID,获取对应于同一安全标识符SID的所述N个访问数据,所述同一安全标识符SID对应于所述同一用户。
3.根据权利要求1所述的方法,其特征在于,所述根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,包括:
根据所述N个访问数据中各自包含的进程识别号和进程创建信息,确定N个访问数据各自对应的父子关系;
根据所述父子关系生成所述N个访问数据对应的至少一条访问链路。
4.根据权利要求3所述的方法,其特征在于,对于所述N个访问数据中的任一访问数据,所述任一访问数据中包括与所述任一访问数据对应的第一进程的进程识别号和创建所述第一进程的第二进程的进程识别号;
所述根据所述N个访问数据中各自包含的进程识别号和进程创建信息,确定N个访问数据各自对应的父子关系,包括:
根据如下方式对所述任一访问数据进行父子关系标记:所述第二进程的进程识别号被标记为所述第一进程的父进程识别号;
所述根据所述父子关系生成所述N个访问数据对应的至少一条访问链路,包括:
根据所述N个访问数据各自对应的父子关系标记结果,确定所述N个访问数据对应的至少一个进程序列,其中,每个进程序列中包含的相邻进程具有父子关系;
生成与所述至少一个进程序列分别对应的访问链路。
5.根据权利要求4所述的方法,其特征在于,所述生成与所述至少一个进程序列分别对应的访问链路,包括:
对于所述至少一个进程序列中的任一进程序列,根据如下方式生成所述任一进程序列对应的访问链路:
获取所述任一进程序列中各进程分别调用的命令名称;
根据如下数据结构生成所述任一进程序列对应的访问链路:
[进程i的进程名称,进程i调用的命令名称,进程j的进程名称,进程j调用的命令名称];
其中,所述进程i是所述进程j的父亲。
6.根据权利要求5所述的方法,其特征在于,所述若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,包括:
若所述任一进程序列对应的访问链路中包含属于所述黑名单中的进程名称或命令名称,则对所述任一进程序列对应的访问链路进行污点标记;
根据所述识别模型分别对具有污点标记的访问链路进行分类识别。
7.根据权利要求5所述的方法,其特征在于,所述根据预先训练好的识别模型对所述访问链路进行分类识别之前,还包括:
对所述任一进程序列对应的访问链路中包含的进程名称和命令名称进行编码处理。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
若所述识别模型输出的所述访问链路对应于恶意访问行为的概率大于预设阈值,则确定所述访问链路对应于恶意访问行为。
9.一种恶意访问行为识别装置,其特征在于,包括:
生成模块,用于根据同一用户访问服务器依次产生的N个访问数据,生成所述同一用户对应的访问链路,N≥1;
识别模块,用于若所述N个访问数据中包含属于黑名单的访问数据,则根据预先训练好的识别模型对所述访问链路进行分类识别,以确定所述访问链路是否对应于恶意访问行为。
10.一种电子设备,其特征在于,包括:存储器、处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求1至8中任一项所述的恶意访问行为识别方法。
11.一种数据处理方法,其特征在于,包括:
获取目标账户对服务器进行访问所产生的多个访问数据;
确定所述多个访问数据中至少一个访问数据满足第一预设条件;
将所述多个访问数据组合成为访问链路;
基于预设访问链路样本,确定所述访问链路符合第二预设条件。
12.根据权利要求11所述的方法,其特征在于,所述将所述多个访问数据组合成为访问链路,包括:
根据所述多个访问数据中各自包含的进程识别号和进程创建信息,确定所述多个访问数据之间的父子关系;
根据所述父子关系生成所述多个访问数据对应的至少一条访问链路。
13.根据权利要求11所述的方法,其特征在于,所述第一预设条件包括所述至少一个访问数据为预设污点数据。
14.根据权利要求11所述的方法,其特征在于,所述第二预设条件包括所述访问链路对应于恶意访问行为。
15.根据权利要求11至14中任一项所述的方法,其特征在于,所述访问数据包括所述服务器创建的进程以及所述进程调用的命令。
16.根据权利要求11至14中任一项所述的方法,其特征在于,所述方法还包括:
对所述目标账户的访问行为进行处理。
17.一种处理处理装置,其特征在于,包括:
数据获取模块,用于获取目标账户对服务器进行访问所产生的多个访问数据;
数据识别模块,用于确定所述多个访问数据中至少一个访问数据满足第一预设条件;
链路生成模块,用于将所述多个访问数据组合成为访问链路;
链路识别模块,用于基于预设访问链路样本,确定所述访问链路符合第二预设条件。
18.一种电子设备,其特征在于,包括:存储器、处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求11至16中任一项所述的数据处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810517431.3A CN110532773B (zh) | 2018-05-25 | 2018-05-25 | 恶意访问行为识别方法、数据处理方法、装置和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810517431.3A CN110532773B (zh) | 2018-05-25 | 2018-05-25 | 恶意访问行为识别方法、数据处理方法、装置和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110532773A true CN110532773A (zh) | 2019-12-03 |
| CN110532773B CN110532773B (zh) | 2023-04-07 |
Family
ID=68657035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810517431.3A Active CN110532773B (zh) | 2018-05-25 | 2018-05-25 | 恶意访问行为识别方法、数据处理方法、装置和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110532773B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN111865999A (zh) * | 2020-07-24 | 2020-10-30 | 中国工商银行股份有限公司 | 访问行为的识别方法、装置、计算设备和介质 |
| CN116451269A (zh) * | 2023-03-29 | 2023-07-18 | 北京华路时代信息技术股份有限公司 | 数据保护方法、装置、电子设备和可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
| CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
| CN107194251A (zh) * | 2017-04-01 | 2017-09-22 | 中国科学院信息工程研究所 | Android平台恶意应用检测方法及装置 |
| US20170359368A1 (en) * | 2016-06-09 | 2017-12-14 | Rapid7, Inc. | Identifying malicious identifiers |
-
2018
- 2018-05-25 CN CN201810517431.3A patent/CN110532773B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102521101A (zh) * | 2011-12-08 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 一种基于进程扫描的非法作业监控方法 |
| CN103020526A (zh) * | 2012-12-21 | 2013-04-03 | 北京奇虎科技有限公司 | 恶意程序主动拦截方法和装置及客户端设备 |
| CN104519031A (zh) * | 2013-09-30 | 2015-04-15 | 西门子公司 | 一种用于恶意网络行为检测的方法和装置 |
| US20170359368A1 (en) * | 2016-06-09 | 2017-12-14 | Rapid7, Inc. | Identifying malicious identifiers |
| CN107194251A (zh) * | 2017-04-01 | 2017-09-22 | 中国科学院信息工程研究所 | Android平台恶意应用检测方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111368291A (zh) * | 2020-02-28 | 2020-07-03 | 山东爱城市网信息技术有限公司 | 一种类蜜罐防御的实现方法及系统 |
| CN111865999A (zh) * | 2020-07-24 | 2020-10-30 | 中国工商银行股份有限公司 | 访问行为的识别方法、装置、计算设备和介质 |
| CN116451269A (zh) * | 2023-03-29 | 2023-07-18 | 北京华路时代信息技术股份有限公司 | 数据保护方法、装置、电子设备和可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110532773B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3651043B1 (en) | Url attack detection method and apparatus, and electronic device | |
| CN111475804A (zh) | 一种告警预测方法及系统 | |
| CN106778259A (zh) | 一种基于大数据机器学习的异常行为发现方法及系统 | |
| CN107835982A (zh) | 用于在计算机网络中管理安全性的方法和设备 | |
| CN108200054A (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
| CN108366045A (zh) | 一种风控评分卡的设置方法和装置 | |
| CN107341401A (zh) | 一种基于机器学习的恶意应用监测方法和设备 | |
| CN105989283A (zh) | 一种识别病毒变种的方法及装置 | |
| CN110532773A (zh) | 恶意访问行为识别方法、数据处理方法、装置和设备 | |
| CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| CN103577514A (zh) | 用于自动数据探索的方法和装置 | |
| CN110210218A (zh) | 一种病毒检测的方法以及相关装置 | |
| CN111127185A (zh) | 信贷欺诈识别模型构建方法及装置 | |
| CN108229170A (zh) | 利用大数据和神经网络的软件分析方法和装置 | |
| Dugyala et al. | Analysis of malware detection and signature generation using a novel hybrid approach | |
| Vijayalakshmi et al. | Hybrid dual-channel convolution neural network (DCCNN) with spider monkey optimization (SMO) for cyber security threats detection in internet of things | |
| CN117435999A (zh) | 一种风险评估方法、装置、设备以及介质 | |
| Mahmoud et al. | A regulative norms mining algorithm for complex adaptive system | |
| CN116865994A (zh) | 一种基于大数据的网络数据安全预测方法 | |
| Ojha et al. | Use of machine learning in forensics and computer security | |
| CN110210215A (zh) | 一种病毒检测的方法以及相关装置 | |
| Lamba | SR-MLC: Machine Learning Classifiers in Cyber Security-An Optimal Approach | |
| CN107818390A (zh) | 一种考核要求生成方法及装置 | |
| CN109784053A (zh) | 过滤规则的生成方法、装置、及存储介质、电子装置 | |
| CN111967671A (zh) | 基于支持向量数据域描述的跨境活跃用户识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40017537 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |