CN110879885B - 一种在线文件非法下载检测方法和装置 - Google Patents
一种在线文件非法下载检测方法和装置 Download PDFInfo
- Publication number
- CN110879885B CN110879885B CN201911068789.3A CN201911068789A CN110879885B CN 110879885 B CN110879885 B CN 110879885B CN 201911068789 A CN201911068789 A CN 201911068789A CN 110879885 B CN110879885 B CN 110879885B
- Authority
- CN
- China
- Prior art keywords
- file
- downloading
- user
- behavior
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开了一种在线文件非法下载检测方法和装置,属于计算机技术领域。所述方法包括:获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;基于聚类算法结合统计分析获取用户下载行为基线;根据所述用户下载行为基线对用户下载行为的合法性进行检测。采用本发明,可以对文件非法下载行为进行有效检测。
Description
技术领域
本发明属于计算机技术技术领域,特别涉及一种在线文件非法下载检测方法和装置。
背景技术
随着计算技术的发展,计算机在人们的日常生活中发挥着越来越重要的作用,越来越多的人们以及企业也愿意把机密文件存储在计算机中。但与此同时,针对计算机的攻击不断涌现,一旦让攻击者得手使得机密文件泄露,将给计算机所有者或者用户带来不可估量的损失。攻击发现的越早,所能采取的补救措施就越多,造成的损失就越少。因此,在线文件非法下载检测受到了工业界的重视。传统文件非法下载检测是通过人工参与或者使用事先定义好的规则来完成的,例如事先知道发生了文件非法下载行为,则通过时间以及文件名进行人工筛选找出异常日志。当文件传输日志大小有限以及非法下载已知时,这些方法非常有效并且也十分灵活。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
若文件传输日志数量达到百万级,则人为处理日志就很不现实。不可预测的非法下载行为也不适合用预先定义的规则处理。
发明内容
为了克服上述现有技术的缺点,本发明的目的在于提供一种在线文件非法下载检测方法和装置,可以对文件非法下载行为进行有效检测。
为了实现上述目的,本发明采用的技术方案是:
一种在线文件非法下载检测方法,包括:
获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
基于聚类算法结合统计分析获取用户下载行为基线;
根据所述用户下载行为基线对用户下载行为的合法性进行检测。
所述获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,包括:
以下载文件时产生的系统日志为数据源,其中,文件传输协议包括但不限于ftp、sftp、smb;
以日志中的客户端IP地址、文件大小、文件名、下载时间为特征来表征用户的文件下载行为。
所述基于聚类算法结合统计分析获取用户下载行为基线,包括:
以每台服务器上的每个客户端IP地址为分析单位,即以每台服务器上的IP所产生的文件下载日志作为训练数据,采用聚类算法进行聚类,聚类算法包括但不限于层次聚类;
根据聚类结果,针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间和合法下载频次。
所述聚类算法包括但不限于层次及聚类,进行聚类的具体步骤如下:
步骤1:将每个数据点即每台服务器上的每个客户端IP地址的每条文件下载日志当作一个类簇,并提取日志特征,其特征向量表示为:ci→(ci,1,ci,2),其中,向量的各个维度分别表示文件下载时间、文件大小;
步骤2:计算两两类簇之间的距离;
步骤3:将距离最小的两个类簇合并为一个类簇;
步骤4:重复步骤2和步骤3,直至满足训练迭代终止条件。
所述计算两两类簇之间的距离,采用如下三种方式之一:
1)Single Linkage,计算方法是将两个组合数据点中距离最近的两个数据点间的距离作为这两个组合数据点的距离;
2)Complete Linkage,计算方法与Single Linkage相反,将两个组合数据点中距离最远的两个数据点间的距离作为这两个组合数据点的距离;
3)Average Linkage,计算方法是计算两个组合数据点中的每个数据点与其他所有数据点的距离,将所有距离的均值作为两个组合数据点间的距离;
根据数据具体情况选择最优计算方法。
所述训练迭代终止条件根据人为参与程度分为以下三种:
1)人为参与,针对每次聚类结果绘制聚类结果图,由专家挑选最符合文件下载行为分布的聚类结果;
2)全自动化,聚类结果的好坏由某种评估指标决定,包括但不限于轮廓系数、兰德指数、互信息、标准互信息等;
3)半自动化,基于全自动化结果,由专家挑选最符合文件下载行为分布的聚类结果。
所述根据聚类结果,针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间、合法下载频次,包括:
去除异常点,异常点的判别方法有以下两点:
1)基于先验经验,确定某些文件下载日志记录为非法;
2)基于聚类结果,将异常类簇即该类簇距其它类簇距离较远且类簇中数据量少于一定值视为异常点;
针对每个类簇中的正常点,统计其合法下载时间段,粒度由粗到细可分为小时、分钟、秒;
统计其合法文件大小区间,范围可在最大最小值的一定范围内上下浮动;
统计其合法下载频次,时间粒度由粗到细可分为小时、分钟、秒。
所述根据所述用户下载行为的基线对用户下载行为的合法性进行检测,包括:
对用户下载的文件进行涉敏检查,若为敏感文件则该下载行为视为非法;
针对非敏感文件进行基线比对,若不在基线范围内则将该下载行为视为非法。
所述对用户下载的文件进行涉敏检查,若为敏感文件则该下载行为视为非法,包括:
涉敏检查基于敏感文件名单采用模式匹配的方式对用户下载的文件进行检查,其中敏感文件名单可自行指定;
由于攻击者可能会修改敏感文件的文件名,而修改后的文件名不在敏感文件名单之内,从而导致涉敏检查失效。据此,对敏感文件名单进行动态更新,即对敏感文件进行监控,若敏感文件的文件名被修改,则修改后的文件名将作为“新”敏感文件名加入敏感文件名单。
本发明还提供了一种在线文件非法下载检测装置,其特征在于,所述装置包括:
数据处理模块,用于获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
聚类模块,用于基线获取之前给数据分块,使得基线更加细粒度化更加精准;
基线获取模块,用于获取用户下载行为基线;
涉敏检查模块,用于检查用户下载的文件是否为敏感文件;
检测模块,用于检测用户下载行为是否合法。
所述数据处理模块,用于:
以每台服务器上的每个客户端IP地址为分析单位,并提取相应文件下载日志中的下载时间和文件大小作为特征,表征用户的文件下载行为;
所述聚类模块,用于:
确定目标数据的分组状况,使基线粒度更细,更为准确;
去除异常点,确定正常点以用于基线分析;
所述基线获取模块,用于:
针对正常点,确定合法下载时间段,粒度由粗到细可分为小时、分钟、秒;确定合法文件大小区间,范围可在最大最小值的一定范围内上下浮动;确定合法下载频次,时间粒度由粗到细可分为小时、分钟、秒。
与现有技术相比,本发明获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,基于聚类算法结合统计分析获取用户下载行为基线,根据所述用户下载行为基线对用户下载行为的合法性进行检测,这样,当文件传输日志数量达到百万级时可以自动化地对文件下载行为进行检测,从而大幅节约人力资源;还可通过对历史数据的学习对不可预测的非法下载行为的合法性进行判决,从而降低漏报率。
附图说明
图1是本发明在线文件非法下载检测方法流程图。
图2是本发明在线文件非法下载检测装置结构示意图。
具体实施方式
为使本发明的目的、技术方案和优势更加清楚,下面将结合附图对本发明实施方式作进一步说明。
实施例1
如图1所示,本发明一种在线文件非法下载检测方法,处理流程包括以下步骤:
步骤1,获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
步骤2,基于聚类算法结合统计分析获取用户下载行为基线;
步骤3,根据所述用户下载行为基线对用户下载行为的合法性进行检测。
本发明实施例中,获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,基于聚类算法结合统计分析获取用户下载行为基线,根据所述用户下载行为基线对用户下载行为的合法性进行检测,这样,当文件传输日志数量达到百万级时可以自动化地对文件下载行为进行检测,从而大幅节约人力资源;还可通过对历史数据的学习对不可预测的非法下载行为的合法性进行判决,从而降低漏报率。
实施例2
本发明一种在线文件非法下载检测方法,该方法的执行主体为服务器。其中,服务器可以是具有检测功能的后台服务器。
下面将结合具体实施方式,对图1所示的处理流程进行详细的说明,内容可以如下:
步骤101,获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为。
在实施中,以系统日志为数据源,接收所有与文件下载相关的日志。提取日志特征,且特征向量表示为:ci→(ci,1,ci,2),其中,向量的各个维度分别表示文件下载时间以及文件大小。
步骤102,基于聚类算法结合统计分析获取用户下载行为基线。
在实施中,以每台服务器上的每个客户端IP地址为分析单位,即以每台服务器上的IP所产生的文件下载日志作为训练数据,采用层次聚类算法进行聚类,并根据聚类结果针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间、合法下载频次。具体聚类步骤如下:
步骤1,将每个数据点(即每条文件下载日志)当作一个类簇。
步骤2,计算两两类簇之间的距离。计算两个类簇数据点间距离的方法有三种,分别为Single Linkage,Complete Linkage和Average Linkage。
Single Linkage的计算方法是将两个组合数据点中距离最近的两个数据点间的距离作为这两个组合数据点的距离。这种方法容易受到极端值的影响。两个不相似的组合数据点可能由于其中的某个极端的数据点距离较近而组合在一起。
Complete Linkage的计算方法与Single Linkage相反,将两个组合数据点中距离最远的两个数据点间的距离作为这两个组合数据点的距离。Complete Linkage的问题也与Single Linkage相反,两个相似的组合数据点可能由于其中的极端值距离较远而无法组合在一起。
Average Linkage的计算方法是计算两个组合数据点中的每个数据点与其他所有数据点的距离。将所有距离的均值作为两个组合数据点间的距离。这种方法计算量比较大,但结果比前两种方法更合理。
公式中,|p-p′|表示点p和点p′之间的距离。
步骤3,找到距离最小的两个类簇并将其合并为一个类簇
步骤4,重复步骤2,步骤3,直至满足训练的迭代终止条件。
训练迭代终止条件根据人为参与程度分为以下三种:
1)人为参与,针对每次聚类结果绘制聚类结果图,由专家挑选最符合文件下载行为分布的聚类结果;
2)全自动化,聚类结果的好坏由某种评估指标决定,包括但不限于轮廓系数、兰德指数、互信息、标准互信息等;
3)半自动化,基于全自动化结果,由专家挑选最符合文件下载行为分布的聚类结果。
在本实施例中选择全自动化方式,并以轮廓系数作为评估指标。
结合聚类结果去除数据中的异常数据,判别方法:基于先验经验,确定某些文件下载日志记录为非法;基于聚类结果,将异常类簇即该类簇距其它类簇距离较远且类簇中数据量较少视为异常。
针对正常数据,统计其合法下载时间段,粒度由粗到细可分为小时、分钟、秒;统计其合法文件大小区间,范围可在最大最小值的一定范围内上下浮动;统计其合法下载频次,时间粒度由粗到细可分为小时、分钟、秒。
步骤103,根据所述用户下载行为基线对用户下载行为的合法性进行检测。
在实施中,首先对下载的文件进行涉敏检查,内容包括:基于涉敏文件名单采用模式匹配的方式对文件进行检查,涉敏文件名单可由用户自行指定。此外,由于用户或者攻击者可能会修改敏感文件的文件名,而修改后的文件名不在涉敏文件名单之内,从而导致涉敏检查失效。据此,本实施例对涉敏文件名单进行动态更新,即加入涉敏文件监控功能,若敏感文件的文件名被修改,则修改后的文件名将作为“新”敏感文件名加入涉敏文件名单。若下载文件为敏感文件则将该下载行为视为非法。针对非敏感文件则进行基线比对,若不在基线范围内则将该下载行为视为非法。
本发明实施例中,获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,基于聚类算法结合统计分析获取用户下载行为基线,根据所述用户下载行为基线对用户下载行为的合法性进行检测,这样,当文件传输日志数量达到百万级时可以自动化地对文件下载行为进行检测,从而大幅节约人力资源;还可通过对历史数据的学习对不可预测的非法下载行为的合法性进行判决,从而降低漏报率。
实施例3
基于相同的技术构思,本发明还提供了一种在线文件非法下载检测装置,如图2所示,该装置包括:
数据处理模块201,用于获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
聚类模块202,用于基线获取之前给数据分块,使得基线更加细粒度化更加精准;
基线获取模块203,用于获取用户下载行为基线;
涉敏检查模块204,用于检查用户下载的文件是否为敏感文件;
检测模块205,用于检测用户下载行为是否合法。
可选的,所述数据处理模块201,用于:
以每台服务器上的每个客户端IP地址为分析单位,并提取相应文件下载日志中的下载时间和文件大小作为特征,表征用户的文件下载行为。
可选的,所述聚类模块202,用于:
确定目标数据的分组状况,使基线粒度更细,更为准确。
去除异常点,确定正常点以用于基线分析。
可选的,所述基线获取模块203,用于:
针对正常数据,确定合法下载时间段,粒度由粗到细可分为小时、分钟、秒;确定合法文件大小区间,范围可在最大最小值的一定范围内上下浮动;确定合法下载频次,时间粒度由粗到细可分为小时、分钟、秒。
本发明实施例中,获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,基于聚类算法结合统计分析获取用户下载行为基线,根据所述用户下载行为基线对用户下载行为的合法性进行检测,这样,当文件传输日志数量达到百万级时可以自动化地对文件下载行为进行检测,从而大幅节约人力资源;还可通过对历史数据的学习对不可预测的非法下载行为的合法性进行判决,从而降低漏报率。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种在线文件非法下载检测方法,包括:
获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
基于聚类算法结合统计分析获取用户下载行为基线;
根据所述用户下载行为基线对用户下载行为的合法性进行检测;
其特征在于,
所述获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,包括:
以下载文件时产生的系统日志为数据源,其中,文件传输协议包括ftp、sftp、smb;
以日志中的客户端IP地址、文件大小、文件名、下载时间为特征来表征用户的文件下载行为;
所述基于聚类算法结合统计分析获取用户下载行为基线,包括:
以每台服务器上的每个客户端IP地址为分析单位,即以每台服务器上的IP所产生的文件下载日志作为训练数据,采用聚类算法进行聚类;
根据聚类结果,针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间和合法下载频次。
2.根据权利要求1所述在线文件非法下载检测方法,其特征在于,所述聚类算法进行聚类的具体步骤如下:
步骤1:将每个数据点即每台服务器上的每个客户端IP地址的每条文件下载日志当作一个类簇,并提取日志特征,其特征向量表示为:
,其中,向量的各个维度分别表示文件下载时间、文件大小;
步骤2:计算两两类簇之间的距离;
步骤3:将距离最小的两个类簇合并为一个类簇;
步骤4:重复步骤2和步骤3,直至满足训练迭代终止条件。
3.根据权利要求2所述在线文件非法下载检测方法,其特征在于,所述计算两两类簇之间的距离,采用如下三种方式之一:
1)Single Linkage,计算方法是将两个组合数据点中距离最近的两个数据点间的距离作为这两个组合数据点的距离;
2)Complete Linkage,计算方法与Single Linkage相反,将两个组合数据点中距离最远的两个数据点间的距离作为这两个组合数据点的距离;
3)Average Linkage,计算方法是计算两个组合数据点中的每个数据点与其他所有数据点的距离,将所有距离的均值作为两个组合数据点间的距离;
所述训练迭代终止条件根据人为参与程度采用以下三种方式之一:
1)人为参与,针对每次聚类结果绘制聚类结果图,由专家挑选最符合文件下载行为分布的聚类结果;
2)全自动化,聚类结果的好坏由某种评估指标决定,包括轮廓系数、兰德指数、互信息、标准互信息等;
3)半自动化,基于全自动化结果,由专家挑选最符合文件下载行为分布的聚类结果。
4.根据权利要求1或2或3所述在线文件非法下载检测方法,其特征在于,所述根据聚类结果,针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间、合法下载频次,包括:
去除异常点,异常点的判别方法采用以下两点之一:
1)基于先验经验,确定某些文件下载日志记录为非法;
2)基于聚类结果,将异常类簇即该类簇距其它类簇距离较远且类簇中数据量少于一定值视为异常点;
针对每个类簇中的正常点,统计其合法下载时间段,粒度由粗到细分为小时、分钟、秒;
统计其合法文件大小区间,范围在最大最小值的一定范围内上下浮动;
统计其合法下载频次,时间粒度由粗到细分为小时、分钟、秒。
5.根据权利要求1所述在线文件非法下载检测方法,其特征在于,所述根据所述用户下载行为的基线对用户下载行为的合法性进行检测,包括:
对用户下载的文件进行涉敏检查,若为敏感文件则该下载行为视为非法;
针对非敏感文件进行基线比对,若不在基线范围内则将该下载行为视为非法。
6.根据权利要求5所述在线文件非法下载检测方法,其特征在于,所述对用户下载的文件进行涉敏检查,若为敏感文件则该下载行为视为非法,包括:
涉敏检查基于敏感文件名单采用模式匹配的方式对用户下载的文件进行检查,其中敏感文件名单自行指定;
对敏感文件名单进行动态更新,即对敏感文件进行监控,若敏感文件的文件名被修改,则修改后的文件名将作为“新”敏感文件名加入敏感文件名单。
7.一种在线文件非法下载检测装置,其特征在于,所述装置包括:
数据处理模块,用于获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为;
聚类模块,用于基线获取之前给数据分块,使得基线更加细粒度化更加精准;
基线获取模块,用于获取用户下载行为基线;
涉敏检查模块,用于检查用户下载的文件是否为敏感文件;
检测模块,用于检测用户下载行为是否合法;
所述获取目标服务器文件下载日志并提取特征以表征用户的文件下载行为,包括:
以下载文件时产生的系统日志为数据源,其中,文件传输协议包括ftp、sftp、smb;
以日志中的客户端IP地址、文件大小、文件名、下载时间为特征来表征用户的文件下载行为;
所述获取用户下载行为基线,包括:
以每台服务器上的每个客户端IP地址为分析单位,即以每台服务器上的IP所产生的文件下载日志作为训练数据,采用聚类算法进行聚类;
根据聚类结果,针对每个类簇进行统计分析得出用户下载行为基线,即合法下载时间段、合法文件大小区间和合法下载频次。
8.根据权利要求7所述在线文件非法下载检测装置,其特征在于,所述数据处理模块,用于:
以每台服务器上的每个客户端IP地址为分析单位,并提取相应文件下载日志中的下载时间和文件大小作为特征,表征用户的文件下载行为;
所述聚类模块,用于:
确定目标数据的分组状况;
去除异常点,确定正常点以用于基线分析;
所述基线获取模块,用于:
针对正常点,确定合法下载时间段,粒度由粗到细分为小时、分钟、秒;确定合法文件大小区间,范围在最大最小值的一定范围内上下浮动;确定合法下载频次,时间粒度由粗到细分为小时、分钟、秒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068789.3A CN110879885B (zh) | 2019-11-05 | 2019-11-05 | 一种在线文件非法下载检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911068789.3A CN110879885B (zh) | 2019-11-05 | 2019-11-05 | 一种在线文件非法下载检测方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110879885A CN110879885A (zh) | 2020-03-13 |
| CN110879885B true CN110879885B (zh) | 2022-04-05 |
Family
ID=69728974
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911068789.3A Active CN110879885B (zh) | 2019-11-05 | 2019-11-05 | 一种在线文件非法下载检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110879885B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866276A (zh) * | 2022-03-21 | 2022-08-05 | 杭州薮猫科技有限公司 | 异常传输文件的终端检测方法、装置、存储介质及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN108596738A (zh) * | 2018-05-08 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种用户行为检测方法及装置 |
| CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8756691B2 (en) * | 2010-11-10 | 2014-06-17 | Symantec Corporation | IP-based blocking of malware |
-
2019
- 2019-11-05 CN CN201911068789.3A patent/CN110879885B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN108596738A (zh) * | 2018-05-08 | 2018-09-28 | 新华三信息安全技术有限公司 | 一种用户行为检测方法及装置 |
| CN110300027A (zh) * | 2019-06-29 | 2019-10-01 | 西安交通大学 | 一种异常登录检测方法 |
| CN110336835A (zh) * | 2019-08-05 | 2019-10-15 | 深信服科技股份有限公司 | 恶意行为的检测方法、用户设备、存储介质及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110879885A (zh) | 2020-03-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106991325B (zh) | 一种软件漏洞的防护方法和装置 | |
| CN110659502B (zh) | 一种基于文本信息关联关系分析的项目版本检测方法及系统 | |
| CN109842858B (zh) | 一种业务异常订购检测方法及装置 | |
| CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
| CN111064719B (zh) | 文件异常下载行为的检测方法及装置 | |
| CN110879885B (zh) | 一种在线文件非法下载检测方法和装置 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN112765660A (zh) | 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统 | |
| WO2023035362A1 (zh) | 用于模型训练的污染样本数据的检测方法及装置 | |
| CN115913710A (zh) | 异常检测方法、装置、设备及存储介质 | |
| CN111368128B (zh) | 目标图片的识别方法、装置和计算机可读存储介质 | |
| CN116049808B (zh) | 一种基于大数据的设备指纹采集系统及方法 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| CN110990867A (zh) | 基于数据库的数据泄露检测模型的建模方法、装置,泄露检测方法、系统 | |
| US20200210305A1 (en) | System, device and method for frozen period detection in sensor datasets | |
| CN114785616A (zh) | 数据风险检测方法、装置、计算机设备及存储介质 | |
| CN114866338A (zh) | 网络安全检测方法、装置及电子设备 | |
| CN110083517B (zh) | 一种用户画像置信度的优化方法及装置 | |
| CN111209567B (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
| CN112700270A (zh) | 评分数据处理方法、装置、设备及存储介质 | |
| CN113935034A (zh) | 基于图神经网络的恶意代码家族分类方法、装置和存储介质 | |
| GB2563530A (en) | Process search device and procss search program | |
| CN112733916B (zh) | 虚假证件图片的识别方法、装置、电子设备及存储介质 | |
| CN111193685B (zh) | 校验日志信息真伪的方法、装置、设备和介质 | |
| CN116204879B (zh) | 恶意文件检测方法、装置、电子装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |