CN111368290A - 一种数据异常检测方法、装置及终端设备 - Google Patents
一种数据异常检测方法、装置及终端设备 Download PDFInfo
- Publication number
- CN111368290A CN111368290A CN201811599678.0A CN201811599678A CN111368290A CN 111368290 A CN111368290 A CN 111368290A CN 201811599678 A CN201811599678 A CN 201811599678A CN 111368290 A CN111368290 A CN 111368290A
- Authority
- CN
- China
- Prior art keywords
- click event
- click
- event
- target server
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/29—Graphical models, e.g. Bayesian networks
- G06F18/295—Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computing Systems (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Artificial Intelligence (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种数据异常检测方法、装置及终端设备,所述方法包括:获取用户访问目标服务器的目标数据,根据所述目标数据,确定所述用户所访问的第一资源序列信息,获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型,根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率,基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。通过本方法,可以从全局和局部的角度进行异常检测,提高检测的准确性。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种数据异常检测方法、装置及终端设备。
背景技术
随着互联网技术和应用的飞速发展,Web应用已经成为人们生活工作所使用的主流应用。Web应用给人们带来了较大的便利,但同时也成为黑客主要的攻击目标。
常见的针对Web应用的异常检测方法主要有两种,都是对Web日志进行分析,从中获取网站访问用户的访问行为。其中,第一种是基于规则将用户的访问行为与典型攻击访问进行匹配和检测,如基于SQL(StructuredQuery Language,结构化查询语言)注入、跨站脚本攻击(XSS,CrossSiteScripting)、缓冲区溢出等进行匹配和检测,第二种是针对存在异常访问的用户访问行为与建立的正常行为模式进行匹配和检测等。
但是,针对已知类型的攻击检测,仅能发现攻击行为中包含的与已知类型的攻击相匹配的部分攻击行为,无法进行全局性的解析,同时,针对异常访问行为的检测方法无法对用户访问行为中单个URL的特征进行检测,而且需建立正常行为的模式库,成本较高,异常检测的准确性较低。
发明内容
本申请实施例提供的一种数据异常检测方法,所述方法包括:
获取用户访问目标服务器的目标数据;
根据所述目标数据,确定所述用户所访问的第一资源序列信息;
获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
可选地,在所述获取用户访问目标服务器的目标数据之前,所述方法还包括:
获取用户访问所述目标服务器的样本数据;
根据所述样本数据,确定所述用户所访问的第二资源序列信息;
获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
获取所述点击事件类之间的第二转移概率;
由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵;
其中,所述点击事件类的个数小于或等于所述第二资源序列信息的个数。
可选地,所述第二点击事件包含一个或多个URI,所述对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类,包括:
根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
基于所述转换值,计算每两个所述第二点击事件之间的相似度;
如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
可选地,所述对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型,包括:
分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
可选地,所述分别计算所述第一点击事件与所述点击事件类的相似度,包括:
确定每个所述点击事件类中的代表点击事件;
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
可选地,所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常,包括:
如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
可选地,所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常,包括:
将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
可选地,所述方法还包括:
对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
本申请实施例还提供一种数据异常检测装置,所述装置包括:
第一获取模块,用于获取用户访问目标服务器的目标数据;
第一确定模块,用于根据所述目标数据,确定所述用户所访问的第一资源序列信息;
第一分类模块,用于获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
概率确定模块,用于根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
异常检测模块,用于基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
可选地,所述装置还包括:
第二获取模块,用于获取用户访问所述目标服务器的样本数据;
第二确定模块,用于根据所述样本数据,确定所述用户所访问的第二资源序列信息;
第二分类模块,用于获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
概率获取模块,用于获取所述点击事件类之间的第二转移概率;
矩阵构建模块,用于由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵。
可选地,所述第二点击事件包含一个或多个URI,所述第二分类模块,包括:
转换单元,用于根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
计算单元,用于基于所述转换值,计算每两个所述第二点击事件之间的相似度;
第一分类单元,用于如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
可选地,所述第一分类模块,包括:
第二分类单元,用于分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
可选地,所述第二分类单元,用于:
确定每个所述点击事件类中的代表点击事件;
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
可选地,所述异常检测模块,包括:
第一判断单元,用于如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
可选地,所述异常检测模块,包括:
获取单元,用于将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
第二判断单元,用于如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
可选地,所述装置还包括:
预处理模块,用于对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
本申请实施例还提供一种终端设备,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述实施例提供的数据异常检测方法的步骤。
本申请实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述实施例提供的数据异常检测方法的步骤。
本申请实施例采用下述技术方案:
通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本申请一种数据异常检测方法实施例流程示意图;
图2为本申请一种构建马尔科夫链的示意图;
图3为本申请另一种数据异常检测方法实施例流示意图;
图4为本申请一种数据异常检测装置实施例结构示意图;
图5为本申请一种终端设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
实施例1
如图1所示,本申请实施例提供一种数据异常检测方法,该方法的执行主体可以为终端设备,其中,该终端设备可以如个人计算机等设备,也可以如手机、平板电脑等移动终端设备,该终端设备可以为用户使用的终端设备。该方法具体可以包括以下步骤:
在步骤S102中,获取用户访问目标服务器的目标数据。
其中,目标服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群,目标服务器可以是某网站(如网络购物网站或搜索网站等)的后台服务器。目标数据可以是用户访问该目标服务器所产生的流量数据,可以包括用户访问的时间戳、源IP地址、目的IP地址、域名以及访问的统一资源标识符(URI,UniformResourceIdentifier)等。
在实施中,随着互联网技术和应用的飞速发展,Web应用已经成为人们生活工作所使用的主流应用方式,成为标准的应用交互接口。Web应用给人们带来了较大的便利,但同时也成为黑客主要的攻击目标。常见的针对Web应用的异常检测方法主要有两种,都是对Web日志进行分析,从中获取网站访问用户的访问行为。第一种是基于规则将用户的访问行为与典型攻击访问进行匹配和检测,如SQL(StructuredQueryLanguage)注入、跨站脚本攻击(XSS,Cross SiteScripting)、缓冲区溢出等,第二种是针对存在异常访问的用户访问行为与建立的正常行为模式进行匹配和检测,如恶意爬取网站信息、恶意扫描网站漏洞、应用层DDOS攻击等。上述两种方法较为常见,且容易实现。
但是,针对已知类型的攻击检测,无法对攻击者的攻击行为进行全局性的解析,同时,针对异常访问行为的检测方法无法对用户访问行为中单个URL的特征进行检测,而且需建立正常行为的模式库,成本较高。为此,本申请实施例提供一种能够解决上述问题的技术方案,具体可以包括以下内容:
目标数据可以是用户访问目标服务器所产生的数据,可以包括用户访问该目标服务器的时间戳、用户对该目标服务器下多个URI的访问记录,以及用户访问的源IP地址、目的IP地址和域名等,其中,域名可以用于区分不同的目标服务器,可以将域名相同的服务器的数据划分为一类,可以分别对属于不同类的目标服务器的数据进行分析,源IP地址可以用于区分不同的用户。
当用户对目标服务器进行访问时,可以产生多个目标数据,可以通过路由转发设备(如交换机或路由器等)的端口镜像功能,通过镜像端口获取目标服务器的目标数据。
在步骤S104中,根据目标数据,确定用户所访问的第一资源序列信息。
其中,第一资源序列信息可以是包含一个或多个URI的会话序列的信息。
在实施中,当获取到目标数据后,可以提取出目标数据中包含的URI序列,例如,目标数据中可以包含多个属性数据,如用户访问的源IP、目标IP、域名、时间戳和URI等,可以将域名相同(即同一目标服务器)的目标数据提取出来,然后将目标数据中包含的URI提取出来,例如,用户在访问淘宝网的服务器时,可以登录淘宝网首页,在淘宝网首页进入女装频道,然后进入一家女装店铺,上述过程中,可以产生三个URI,即淘宝网首页的URI(可记为URI1)、女装频道首页的URI(可记为URI2)、女装店铺的URI(可记为URI3),这三个URI和对应的访问时间戳可以组合成为用户访问该目标服务器的第一资源序列信息。
此外,用户在访问目标服务器时,可以根据用户访问URI的时间,对第一资源序列信息进行划分。例如,可以根据预设的时间阈值,将多个URI划分为不同的第一资源序列,如,预设的时间阈值为30分钟,即相邻两个URI之间的时间间隔如果小于30分钟,则将这两个URI划分为同一资源序列,如果相邻两个URI之间的时间间隔大于30分钟,则将这两个URI划分为不同的资源序列,例如,用户访问百度网站的时间为11点01分,用户在11点02分在百度网站查看国内新闻,然后在12点整又查看了天气情况,接着用户在12点01分又查阅了相关财经信息,最后关闭该页面,在这一访问过程中,会产生一系列带有时间戳的URI,根据URI的时间戳和预设的时间阈值(即30分钟),可以将上述访问过程产生的目标数据划分为两个第一资源序列信息,即,第一个第一资源序列信息包括百度首页的URI、国内新闻页面的URI,第二个第一资源序列信息包括天气情况页面的URI和相关财经信息页面的URI。
在步骤S106中,获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型。
其中,第一点击事件可以是用户在访问目标服务器时所进行任意点击事件。
在实施中,当用户在访问目标服务器时,可以产生一个或多个点击事件,点击事件包括跳转点击事件和关闭点击事件,第一点击事件即为跳转点击事件,点击事件可以包含一个或多个URI,例如,用户在访问百度网站时,在百度首页点击查看天气情况,然后在天气情况页面点击相关财经信息,进入财经信息页面后,点击关闭,在这一访问过程中,可以包括三个点击事件,第一个点击事件包含百度首页的URI和天气情况页面的URI,第二个点击事件可以包含天气情况页面的URI和财经信息页面的URI,第三个点击事件为关闭页面,即只包含财经信息页面的URI,其中,第一点击事件包括第一个点击事件和第二个点击事件,第三个点击事件为关闭点击事件。
此外,可以根据用户的点击时间对第一点击事件中包含的URI进行划分,例如,在5秒内连续点击了三个URI,则该第一点击事件中就包含了三个URI,如上述在访问百度网站时,如果用户在5秒内从百度首页点击进入天气情况,再从天气情况页面点击进入相关财经页面,在相关财经页面停留了1分钟后,从相关财经页面点击进入地图页面,则该第一资源序列信息中包含两个第一点击事件,第一个第一点击事件中包含三个URI(即百度首页URI、天气情况页面URI和相关财经页面URI),第二个第一点击事件中包含两个URI(相关财经页面URI和地图页面URI),对划分第一点击事件中包含的URI的时间阈值的设定可以根据实际应用场景而有所不同,本申请实施例对此不做限定。
获得第一点击事件后,可以对第一点击事件进行分类,得到每个点击事件所属的事件类型,例如,可以根据相邻两次URI的跳转时间与预设的时间阈值之间的对应来对点击事件进行分类,如表1所示。
表1
相邻两次URI的跳转时间 | 事件类型 |
小于30秒 | 事件类型1 |
大于等于30且小于1分钟 | 事件类型2 |
大于1分钟 | 事件类型3 |
表2
用户点击URI | 点击时间 |
百度首页 | 11点1分1秒 |
天气情况 | 11点1分3秒 |
财经信息 | 11点4分 |
关闭 | 11点5分 |
根据表1,以上述用户访问百度网站为例,如果第一点击事件中的第一个点击事件中,用户从百度首页点击进入天气情况页面,从表2可以看出,第一个点击事件相邻两次URI的跳转时间为2秒,属于事件类型1,相应的,第二个点击事件相邻两次URI(即从天气情况页面跳转到财经信息页面)的跳转时间大于1分钟,属于事件类型3,以此类推,在得到目标数据的第一资源序列信息后,可以对其中包含的第一点击事件的时间戳,对所有第一点击事件进行分类,得到每个第一点击事所属的事件类型。如果第一点击事件中包含多个URI,则可以计算多次跳转的总时间,然后根据总时间对第一点击事件所属的时间类型进行判断。
此外,上述实施例提供的是一种可选地、可实现的分类方法,具体的分类方法可以是多种多样的,可以根据实际应用场景的不同而有所不同,本申请实施例对此不做限定。
在步骤S108中,根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率。
其中,预先训练的马尔科夫矩阵可以是根据该目标服务器的任意数据训练得到的马尔科夫转移矩阵。
在实施中,根据得到的事件类型构建基于事件类型的马尔科夫矩阵,例如,如图2所示,目标数据中包含4个第一点击事件,这4个第一点击事件分别属于事件类型1(T1)、事件类型3(T3)、事件类型2(T2)和事件类型1(T1),即,得到的马尔科夫链上的四个状态分别是事件类型1、事件类型3、事件类型2和事件类型1,根据表3所示的预先训练的马尔科夫转移矩阵,可以确定该马尔科夫链上每相邻两个状态之间的第一转移概率。
表3
从表3中可以看出,该第一资源序列信息对应的基于事件类型的马尔科夫链中包含的第一转移概率分别是P2(T1-T3)、P8(T3-T2)和P4(T2-T1)。
在步骤S110中,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常。
在实施中,可以对第一转移概率是否大于预设阈值或小于预设阈值的总数进行判断,根据判断结果确定对目标服务器的访问是否出现异常,例如,以上述用户访问数据为例,根据表3,可以确定P2为0.2,P8为0,P4为0.5,预设的判断规则可以是第一转移概率中数值为0的转移概率的个数如果大于1,则对目标服务器的访问出现异常,由于该目标数据中概率数值为0的第一转移概率的个数不大于1,所以对目标服务器的访问不存在异常。
此外,对目标服务器的访问是否出现异常的判断方法可以是多种多样的,上述实施例提供的是一种可选地、可实现的判断方法,可以根据实际应用场景的不同选择不同的判断方法,本申请实施例对此不做限定。
本申请实施例提供一种数据异常检测方法,通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常,这样,通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
实施例2
如图3所示,本申请实施例提供一种数据异常检测方法,该方法的执行主体可以为终端设备,其中,该终端设备可以如个人计算机等设备,也可以如手机、平板电脑等移动终端设备,该终端设备可以为用户使用的终端设备。该方法具体可以包括以下步骤:
在步骤S302中,获取用户访问目标服务器的样本数据。
其中,样本数据可以是预定时间内用户访问该目标服务器所产生的流量数据,可以包括用户访问的时间戳、源IP地址、目的IP地址、域名以及访问的统一资源标识符等,例如2018年1月-2018年6月所有访问该目标服务器的流量数据。
上述步骤S302的具体处理过程可以参见实施例一S102中的相关内容,再此不再赘述。
在步骤S304中,对样本数据进行预处理。
其中,预处理可以包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测等。
在实施中,当获取到样本数据后,可以对样本数据进行预处理,例如对预定参数的处理、对预定噪声页面的过滤处理,以及对目标服务器的域名进行检测等,其中,对预定参数的处理可以是对样本数据中的URI进行简化处理,去除URI中的预定参数,如,样本数据中包含一个URI为http://xxx.com.cn/xxx/UI/index.aspx?_abcdef&&callback=123,对预定参数的处理可以是删除URI中包含的预定参数,如http、com、cn等参数,对该URI进行处理后可以得到简化后的URI,即,/xxx/ui/index.aspx。预定参数可以根据实际应用的需求而有所不同,本申请实施例对此不做限定。用户在访问目标服务器时,可以产生多个噪声页面,如登陆页面、辅助页面等,这些页面伴随业务出现,起到辅助页面展示、信息搜集等作用,可以根据页面带有的表征字符串判定是否为噪声页面,例如,登录页面的URI中会带有login字符串(根据目标服务器的不同,登陆页面带有的表征字符串可以不同),辅助页面可以是URI以.axd、.ashx、.js、.jpghandler.aspx、等结尾的页面(根据目标服务器的不同,辅助页面的URI后缀也可以不同),根据上述表征字符串可以将样本数据中的噪声页面进行过滤,对域名的检测可以保证获取的样本数据是来自同一目标服务器。
在步骤S306中,根据样本数据,确定用户所访问的第二资源序列信息。
上述步骤S306的具体处理过程可以参见实施例一S104中的相关内容,再此不再赘述。
在步骤S308中,获取第二资源序列信息中包含的第二点击事件,并对每个第二点击事件进行分类,得到每个第二点击事件所属的点击事件类。
上述步骤S308的具体处理过程可以参见实施例一S106中的相关内容,再此不再赘述。
在实际应用中,上述步骤S308的处理方式可以多种多样,以下再提供一种可选的实现方式,具体可以参见下述步骤一~步骤三处理。
步骤一,根据转换规则,对每个第二点击事件包含的URI进行转换,得到转换值。
在实施中,可以根据预设的转换规则,将每个第二点击事件包含的URI进行转换,例如,可以将URI中包含的英文字母对应转换为数字,并计算所有数值的和,将得到对应的和值作为转换值,如上述简化后的URI(/xxx/ui/index.aspx),对该URI进行数值转换,得到24,24,24,21,7,7,14,4,5,24,1,18,16,24,计算和值为214,即该URI的转换值为214。
此外,还可以通过哈希函数对每个URI进行计算,得到对应的哈希值作为转换值,常用的哈希函数有直接取余法、平方取中法、乘法取整法等,可以根据实际应用场景选取具体的哈希函数对URI进行转换处理。
在对URI进行转换后,根据转换值,可以将第二点击事件转换为多个转换值的集合。
除上述提供的转换规则,还可以有多种转换方法,具体的转换方法可以根据实际应用场景的不同而有所不同,本申请实施例对此不做限定。
步骤二,基于转换值,计算每两个第二点击事件之间的相似度。
在实施中,当第二点击事件中包含的URI都转换为转换值后,可以根据转换值,极端每两个第二点击事件之间的相似度,例如,第一个第二点击事件包含三个URI,对应的转换值集合为(20,21,22),第二个第二点击事件包含2个URI,对应的转换值集合为(21,24),则这两个第二点击事件之间的相似度可以是两个转换值相同的个数(1个,即21)与不同的个数(3个,即20,22,24)的比值,即1/3。
步骤三,如果相似度大于预设分类阈值,则将相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个第二点击事件所属的点击事件类。
其中,点击事件类的个数可以小于或等于第二资源序列信息中包含的URI的个数。
在实施中,如果两个第二点击事件之间的相似度大于预设分类阈值,则可以将这两个第二点击事件划分为同一点击事件类,对样本数据中包含第二资源序列信息中所有的第二点击事件进行相似度的计算,以将每个第二点击事件都划分到相应的点击事件类中,在分类完成后,对所有的点击事件类进行类别的标注。例如,如表4所示,表4位同一用户(IP地址相同)在预定时间内访问目标服务器产生的样本数据,该样本数据中包含三条第二资源序列信息,每一个第二资源序列信息中都包含多个第二点击事件,对第二点击事件中包含的URI转换后得到表4,对表4中的点击事件1-点击事件8分别两两计算相似度,相似度的预设分类阈值为1/2,如果两个第二点击事件之间的相似度大于1/3,则可以将这两个第二点击事件划分为一个点击事件类,计算后的点击事件类可以如表5所示。
表4
表5
如果计算后的点击事件类的个数大于所有第二点击事件中包含的URI的个数,则认为此次分类失败,可以对预设分类阈值进行调整(调小),直到计算后的点击事件类的个数小于或等于所有第二点击事件中包含的URI的个数。如上述第二点击事件1~第二点击事件8总共包含8个URI,则计算后的点击事件类不得大于8,如果大于8,则需将预设分类阈值(1/2)调小(如调为1/3)。
在步骤S310中,获取点击事件类之间的第二转移概率。
在实施中,可以根据点击事件类中包含的第二点击事件,计算点击事件类之间的第二转移概率,可以分别计算第一个点击事件类中包含的所有第二点击事件到第二个点击事件类中的所有第二点击事件的转移概率,然后对第一个点击事件类中所有点击事件的转移概率求平均值。例如,表5中得到点击事件类1-3,以计算点击事件1到点击事件2的第二转移概率为例,点击事件类1中包含第二点击事件1和第二点击事件6,点击事件类2中包含第二点击事件5和第二点击事件7,可以计算第二点击事件1到第二点击事件2的转移概率(P1)和到第二点击事件5的转移概率(P2),然后计算第二点击事件6到第二点击事件2的转移概率(P3)和到第二点击事件5的转移概率(P4),最后求P1~P4的平均概率P5,则P5就为点击事件类1到点击事件类2的第二转移概率。
其中,以计算第二点击事件4到第二点击事件8的第二转移概率为例,第二点击事件4可以转移到第二点击事件5和第二点击事件8,则第二点击事件4到第二点击事件8的第二转移概率为1/2。
此外,对第二转移概率的计算可以不限于上述实施例提供的计算方法,上述方法是一种可选地、可实现的计算方法,本申请实施例对具体的第二转移概率的计算方法不做具体限定,可以根据实际应用场景的不同而有所不同。
在步骤S312中,由点击事件类之间的第二转移概率构建马尔科夫转移矩阵。
在实施中,如表6所示,可以由点击事件类之间的第二转移概率构建马尔科夫矩阵。
表6
其中,P12可以是点击事件类1到点击事件类2的第二转移概率。
在步骤S314中,获取用户访问目标服务器的目标数据。
上述步骤S314的具体处理过程可以参见实施例一S102中的相关内容,再此不再赘述。
在步骤S316中,对目标数据进行预处理,其中,预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
上述步骤S302的具体处理过程可以参见上述实施例S304中的相关内容,再此不再赘述。
在步骤S318中,根据目标数据,确定用户所访问的第一资源序列信息。
上述步骤S318的具体处理过程可以参见实施例一S104中的相关内容,再此不再赘述。
在步骤S320中,获取第一资源序列信息中包含的第一点击事件,分别计算第一点击事件与点击事件类的相似度,将相似度最高的点击事件类确定为第一点击事件所属的事件类型。
在实施中,可以根据转换规则,将每个第一点击事件包含的URI进行转换,得到转换值,然后计算第一点击事件与点击事件类的相似度,例如,可以将第一点击事件逐一与点击事件类中包含的点击事件进行对比,将得到的多个相似度值做平均值处理,然后将平均值作为第一点击事件与该点击事件类的相似度,然后将相似度最高的点击事件类确定为第一点击事件所属的事件类型,例如,第一点击事件在转换后,得到的转换值集合可以为(1,8,7),点击事件类可以如表5所示,分别计算第一点击事件与表5中三个点击事件类的相似度,结果可以如表7所示,
表7
从表7可以看出,第一点击事件与点击事件类2的相似度最高,则第一点击事件属于点击事件类2。
在实际应用中,上述步骤S310的处理方式可以多种多样,以下再提供一种可选的实现方式,具体可以参见下述步骤一和步骤二处理。
步骤一,确定每个点击事件类中的代表点击事件。
其中,代表点击事件可以是每个点击类中与类中其他点击事件的相似度最高的点击事件。
以表5的点击事件类2为例,可以计算第二点击事件4与第二点击事件5的相似度,第二点击事件4与第二点击事件7的相似度,再将两个相似度求平均,得到的值即为第二点击事件4与类中其他点击事件的相似度,以此类推,可以得到第二点击事件5和第二点击事件7的类中相似度,在对这三个第二点击事件的相似度进行对比,将相似度最高的第二点击事件(如第二点击事件4)作为点击事件类2的代表点击事件。
步骤二,分别计算第一点击事件与每个点击事件类中的代表点击事件之间的相似度。
在实施中,当计算得到每个点击事件类中的代表点击事件后,可以分别计算第一点击事件与每个点击事件类中的代表点击事件之间的相似度,将相似度最高的代表点击事件所属的点击事件类作为第一点击事件所属的事件类型。
在步骤S322中,根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率。
上述步骤S322的具体处理过程可以参见实施例一S108中的相关内容,再此不再赘述。
在步骤S324中,如果第一转移概率中包含小于预设概率阈值的目标转移概率,且目标转移概率的数量大于第一预设阈值,则目标服务器的访问出现异常。
在实施中,如果预设概率阈值为0.1,第一预设阈值为3,如果第一转移概率中小于0.1的目标转移概率有4个,则目标服务器的访问出现异常。
或者可以根据马尔科夫链中概率值非零的第一转移概率进行异常检测判断,如步骤S326~S328所示:
在步骤S326中,将马尔科夫链中概率值非零的第一转移概率相乘,得到相应的乘积,并获取乘积的预定次数方根。
在实施中,如果马尔科夫链汇总概率值非零的第一转移概率相乘的结果为0.64,求该乘积的平方根,得到数值为0.8。
在步骤S328中,如果预定次数方根小于第二预设阈值,则目标服务器的访问出现异常。
在实施中,如果第二预设阈值为0.9,得到的平方根为0.8,则目标服务器的访问出现异常。
本申请实施例提供一种数据异常检测方法,通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常,这样,通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
实施例3
以上为本申请实施例提供的数据异常检测方法,基于同样的思路,本申请实施例还提供一种数据异常检测装置,如图4所示。
该数据异常检测装置包括:第一获取模块401,第一确定模块402,第一分类模块403,概率确定模块404,异常检测模块405,其中:
第一获取模块401,用于获取用户访问目标服务器的目标数据;
第一确定模块402,用于根据所述目标数据,确定所述用户所访问的第一资源序列信息;
第一分类模块403,用于获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
概率确定模块404,用于根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
异常检测模块405,用于基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
在本申请实施例中,所述装置还包括:
第二获取模块,用于获取用户访问所述目标服务器的样本数据;
第二确定模块,用于根据所述样本数据,确定所述用户所访问的第二资源序列信息;
第二分类模块,用于获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
概率获取模块,用于获取所述点击事件类之间的第二转移概率;
矩阵构建模块,用于由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵;
在本申请实施例中,所述第二点击事件包含一个或多个URI,所述第二分类模块,包括:
转换单元,用于根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
计算单元,用于基于所述转换值,计算每两个所述第二点击事件之间的相似度;
第一分类单元,用于如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
在本申请实施例中,所述第一分类模块403,包括:
第二分类单元,用于分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
在本申请实施例中,所述第二分类单元,用于:
确定每个所述点击事件类中的代表点击事件;
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
在本申请实施例中,所述异常检测模块405,包括:
第一判断单元,用于如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
在本申请实施例中,所述异常检测模块405,包括:
获取单元,用于将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
第二判断单元,用于如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
在本申请实施例中,所述装置还包括:
预处理模块,用于对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
本申请实施例提供一种数据异常检测装置,通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常,这样,通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
实施例4
图5为实现本申请各个实施例的一种移动终端的硬件结构示意图,
该移动终端500包括但不限于:射频单元501、网络模块502、音频输出单元503、输入单元504、传感器505、显示单元506、用户输入单元507、接口单元508、存储器509、处理器510、以及电源511等部件。本领域技术人员可以理解,图5中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。在本申请实施例中,移动终端包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。
其中,处理器510,用于获取用户访问目标服务器的目标数据;
处理器510,还用于根据所述目标数据,确定所述用户所访问的第一资源序列信息;
处理器510,还用于获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
此外,处理器510,还用于根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
另外,所述处理器510,还用于基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
此外,所述处理器510,还用于获取用户访问所述目标服务器的样本数据;
另外,所述处理器510,还用于根据所述样本数据,确定所述用户所访问的第二资源序列信息;
此外,所述处理器510,还用于获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
此外,所述处理器510,还用于获取所述点击事件类之间的第二转移概率;
此外,处理器510,还用于由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵;
另外,所述处理器510,还用于根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
此外,所述处理器510,还用于基于所述转换值,计算每两个所述第二点击事件之间的相似度;
另外,所述处理器510,还用于如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
此外,所述处理器510,还用于分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
此外,所述处理器510,还用于确定每个所述点击事件类中的代表点击事件;
此外,处理器510,还用于分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
另外,所述处理器510,还用于如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
此外,所述处理器510,还用于将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
另外,所述处理器510,还用于如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
此外,对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
本申请实施例提供一种终端设备,通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常,这样,通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
应理解的是,本申请实施例中,射频单元501可用于收发信息或通话过程中,信号的接收和发送,具体的,将来自基站的下行数据接收后,给处理器510处理;另外,将上行的数据发送给基站。通常,射频单元501包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元501还可以通过无线通信系统与网络和其他设备通信。
移动终端通过网络模块502为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元503可以将射频单元501或网络模块502接收的或者在存储器509中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元503还可以提供与移动终端500执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元503包括扬声器、蜂鸣器以及受话器等。
输入单元504用于接收音频或视频信号。输入单元504可以包括图形处理器(GraphicsProcessingUnit,GPU)5041和麦克风5042,图形处理器5041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元506上。经图形处理器5041处理后的图像帧可以存储在存储器509(或其它存储介质)中或者经由射频单元501或网络模块502进行发送。麦克风5042可以接收声音,并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元501发送到移动通信基站的格式输出。
移动终端500还包括至少一种传感器505,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板5061的亮度,接近传感器可在移动终端500移动到耳边时,关闭显示面板5061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别移动终端姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器505还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元506用于显示由用户输入的信息或提供给用户的信息。显示单元506可包括显示面板5061,可以采用液晶显示器(LiquidCrystalDisplay,LCD)、有机发光二极管(OrganicLight-EmittingDiode,OLED)等形式来配置显示面板5061。
用户输入单元507可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元507包括触控面板5071以及其他输入设备5072。触控面板5071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板5071上或在触控面板5071附近的操作)。触控面板5071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器510,接收处理器510发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板5071。除了触控面板5071,用户输入单元507还可以包括其他输入设备5072。具体地,其他输入设备5072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
进一步的,触控面板5071可覆盖在显示面板5061上,当触控面板5071检测到在其上或附近的触摸操作后,传送给处理器510以确定触摸事件的类型,随后处理器510根据触摸事件的类型在显示面板5061上提供相应的视觉输出。虽然在图5中,触控面板5071与显示面板5061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板5071与显示面板5061集成而实现移动终端的输入和输出功能,具体此处不做限定。
接口单元508为外部装置与移动终端500连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元508可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端500内的一个或多个元件或者可以用于在移动终端500和外部装置之间传输数据。
存储器509可用于存储软件程序以及各种数据。存储器509可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器509可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器510是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器509内的软件程序和/或模块,以及调用存储在存储器509内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。处理器510可包括一个或多个处理单元;优选的,处理器510可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器510中。
移动终端500还可以包括给各个部件供电的电源511(比如电池),优选的,电源511可以通过电源管理系统与处理器510逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
优选的,本申请实施例还提供一种移动终端,包括处理器510,存储器509,存储在存储器509上并可在所述处理器510上运行的计算机程序,该计算机程序被处理器510执行时实现上述数据异常检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
实施例5
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述数据异常检测方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-OnlyMemory,简称ROM)、随机存取存储器(RandomAccessMemory,简称RAM)、磁碟或者光盘等。
本申请实施例提供一种计算机可读存储介质,通过获取用户访问目标服务器的目标数据,根据目标数据,确定用户所访问的第一资源序列信息,然后获取第一资源序列信息中包含的第一点击事件,并对每个第一点击事件进行分类,得到每个第一点击事件所属的事件类型,然后根据得到的事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定马尔科夫链中每相邻两个状态之间的第一转移概率,最后,基于马尔科夫链中每相邻两个状态之间的第一转移概率,确定对目标服务器的访问是否出现异常,这样,通过对构建的基于事件类型的马尔科夫链的检测,可以从全局性的角度来检测用户对目标服务器的访问是否存在异常,同时,根据马尔科夫链中每相邻两个状态之间的第一转移概率进行异常判断,可以兼顾对用户对目标服务器的每一个点击事件的异常判断,从全局性和局部性两个角度对用户访问的目标数据进行检测,提高了检测准确性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (18)
1.一种数据异常检测方法,其特征在于,所述方法包括:
获取用户访问目标服务器的目标数据;
根据所述目标数据,确定所述用户所访问的第一资源序列信息;
获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
2.根据权利要求1所述的方法,其特征在于,在所述获取用户访问目标服务器的目标数据之前,所述方法还包括:
获取用户访问所述目标服务器的样本数据;
根据所述样本数据,确定所述用户所访问的第二资源序列信息;
获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
获取所述点击事件类之间的第二转移概率;
由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵。
3.根据权利要求2所述的方法,其特征在于,所述第二点击事件包含一个或多个URI,所述对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类,包括:
根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
基于所述转换值,计算每两个所述第二点击事件之间的相似度;
如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
4.根据权利要求2所述的方法,其特征在于,所述对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型,包括:
分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
5.根据权利要求2所述的方法,其特征在于,所述分别计算所述第一点击事件与所述点击事件类的相似度,包括:
确定每个所述点击事件类中的代表点击事件;
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
6.根据权利要求1所述的方法,其特征在于,所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常,包括:
如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
7.根据权利要求1所述的方法,其特征在于,所述基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常,包括:
将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
8.根据权利要求2所述的方法,其特征在于,所述方法还包括:
对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
9.一种数据异常检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取用户访问目标服务器的目标数据;
第一确定模块,用于根据所述目标数据,确定所述用户所访问的第一资源序列信息;
第一分类模块,用于获取所述第一资源序列信息中包含的第一点击事件,并对每个所述第一点击事件进行分类,得到每个所述第一点击事件所属的事件类型;
概率确定模块,用于根据得到的所述事件类型构建的马尔科夫链和预先训练的马尔可夫转移矩阵,确定所述马尔科夫链中每相邻两个状态之间的第一转移概率;
异常检测模块,用于基于所述马尔科夫链中每相邻两个状态之间的第一转移概率,确定对所述目标服务器的访问是否出现异常。
10.根据权利要求1所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于获取用户访问所述目标服务器的样本数据;
第二确定模块,用于根据所述样本数据,确定所述用户所访问的第二资源序列信息;
第二分类模块,用于获取所述第二资源序列信息中包含的第二点击事件,并对每个所述第二点击事件进行分类,得到每个所述第二点击事件所属的点击事件类;
概率获取模块,用于获取所述点击事件类之间的第二转移概率;
矩阵构建模块,用于由所述点击事件类之间的第二转移概率构建所述预先训练的马尔科夫转移矩阵。
11.根据权利要求10所述的装置,其特征在于,所述第二点击事件包含一个或多个URI,所述第二分类模块,包括:
转换单元,用于根据预设转换规则,对每个所述第二点击事件包含的URI进行转换,得到转换值;
计算单元,用于基于所述转换值,计算每两个所述第二点击事件之间的相似度;
第一分类单元,用于如果所述相似度大于预设分类阈值,则将所述相似度对应的两个第二点击事件划分为一个点击事件类,以确定每个所述第二点击事件所属的点击事件类。
12.根据权利要求10所述的装置,其特征在于,所述第一分类模块,包括:
第二分类单元,用于分别计算所述第一点击事件与所述点击事件类的相似度,将相似度最高的点击事件类确定为所述第一点击事件所属的事件类型。
13.根据权利要求10所述的装置,其特征在于,所述第二分类单元,用于:
确定每个所述点击事件类中的代表点击事件;
分别计算所述第一点击事件与每个所述点击事件类中的代表点击事件之间的相似度。
14.根据权利要求9所述的装置,其特征在于,所述异常检测模块,包括:
第一判断单元,用于如果所述第一转移概率中包含小于预设概率阈值的目标转移概率,且所述目标转移概率的数量大于第一预设阈值,则所述目标服务器的访问出现异常。
15.根据权利要求9所述的装置,其特征在于,所述异常检测模块,包括:
获取单元,用于将所述马尔科夫链中概率值非零的所述第一转移概率相乘,得到相应的乘积,并获取所述乘积的预定次数方根;
第二判断单元,用于如果所述预定次数方根小于第二预设阈值,则所述目标服务器的访问出现异常。
16.根据权利要求10所述的装置,其特征在于,所述装置还包括:
预处理模块,用于对所述目标数据和所述样本数据进行预处理,其中,所述预处理包括预定参数的处理、过滤预定噪声页面、对目标服务器的域名进行检测。
17.一种终端设备,其特征在于,包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的数据异常检测方法的步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的数据异常检测方法的步骤。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811599678.0A CN111368290B (zh) | 2018-12-26 | 2018-12-26 | 一种数据异常检测方法、装置及终端设备 |
EP19903504.9A EP3905085A4 (en) | 2018-12-26 | 2019-11-25 | METHOD AND DEVICE FOR DETECTING DATA ANOMALIES AND TERMINAL |
PCT/CN2019/120713 WO2020134790A1 (zh) | 2018-12-26 | 2019-11-25 | 一种数据异常检测方法、装置及终端设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811599678.0A CN111368290B (zh) | 2018-12-26 | 2018-12-26 | 一种数据异常检测方法、装置及终端设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111368290A true CN111368290A (zh) | 2020-07-03 |
CN111368290B CN111368290B (zh) | 2023-06-09 |
Family
ID=71128325
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811599678.0A Active CN111368290B (zh) | 2018-12-26 | 2018-12-26 | 一种数据异常检测方法、装置及终端设备 |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3905085A4 (zh) |
CN (1) | CN111368290B (zh) |
WO (1) | WO2020134790A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153033A (zh) * | 2020-09-16 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种检测webshell的方法和装置 |
CN116599861A (zh) * | 2023-07-18 | 2023-08-15 | 海马云(天津)信息技术有限公司 | 检测云服务异常的方法、服务器设备和存储介质 |
CN117234859A (zh) * | 2023-11-14 | 2023-12-15 | 苏州元脑智能科技有限公司 | 一种性能事件监控方法、装置、设备和存储介质 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111859709B (zh) * | 2020-07-31 | 2022-10-18 | 河北地质大学 | 一种含水层结构变异转移概率的地质统计模拟方法及装置 |
CN112491877A (zh) * | 2020-11-26 | 2021-03-12 | 中孚安全技术有限公司 | 一种用户行为序列异常检测方法、终端及存储介质 |
CN112541551B (zh) * | 2020-12-16 | 2023-11-24 | 中国联合网络通信集团有限公司 | 加油站用户信息处理方法、装置及服务器 |
CN115085951B (zh) * | 2021-03-10 | 2024-05-28 | 中国移动通信集团山东有限公司 | 车联网安全预警方法和电子设备 |
CN115134102A (zh) * | 2021-03-24 | 2022-09-30 | 北京字节跳动网络技术有限公司 | 异常访问检测方法、装置、存储介质及电子设备 |
CN113780407B (zh) * | 2021-09-09 | 2024-06-11 | 恒安嘉新(北京)科技股份公司 | 一种数据检测方法、装置、电子设备及存储介质 |
CN114567678B (zh) * | 2022-02-28 | 2024-06-14 | 天翼安全科技有限公司 | 一种云安全服务的资源调用方法、装置及电子设备 |
CN115758095A (zh) * | 2023-01-10 | 2023-03-07 | 昆明理工大学 | 一种基于类马尔可夫模型的多维特征动态异常积分模型 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201218716A (en) * | 2010-10-20 | 2012-05-01 | Chunghwa Telecom Co Ltd | Website assault detection system and method |
CN107402921A (zh) * | 2016-05-18 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 识别用户行为的事件时序数据处理方法、装置及系统 |
JP2018055294A (ja) * | 2016-09-27 | 2018-04-05 | Kddi株式会社 | 時系列のイベント群から異常状態を検知するプログラム、装置及び方法 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7860870B2 (en) * | 2007-05-31 | 2010-12-28 | Yahoo! Inc. | Detection of abnormal user click activity in a search results page |
US8381292B1 (en) * | 2008-12-30 | 2013-02-19 | The Uab Research Foundation | System and method for branding a phishing website using advanced pattern matching |
CN103605738B (zh) * | 2013-11-19 | 2017-03-15 | 北京国双科技有限公司 | 网页访问数据统计方法及装置 |
CN105554007B (zh) * | 2015-12-25 | 2019-01-04 | 北京奇虎科技有限公司 | 一种web异常检测方法和装置 |
CN107153584A (zh) * | 2016-03-03 | 2017-09-12 | 中兴通讯股份有限公司 | 异常检测方法及装置 |
CN106027577B (zh) * | 2016-08-04 | 2019-04-30 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
KR20180073299A (ko) * | 2016-12-22 | 2018-07-02 | 주식회사 퓨쳐시스템 | 통계를 이용한 비정상 이벤트 탐지 장치 및 그 방법 |
-
2018
- 2018-12-26 CN CN201811599678.0A patent/CN111368290B/zh active Active
-
2019
- 2019-11-25 WO PCT/CN2019/120713 patent/WO2020134790A1/zh unknown
- 2019-11-25 EP EP19903504.9A patent/EP3905085A4/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201218716A (en) * | 2010-10-20 | 2012-05-01 | Chunghwa Telecom Co Ltd | Website assault detection system and method |
CN107402921A (zh) * | 2016-05-18 | 2017-11-28 | 阿里巴巴集团控股有限公司 | 识别用户行为的事件时序数据处理方法、装置及系统 |
JP2018055294A (ja) * | 2016-09-27 | 2018-04-05 | Kddi株式会社 | 時系列のイベント群から異常状態を検知するプログラム、装置及び方法 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
Non-Patent Citations (2)
Title |
---|
谢逸等: "基于Web用户浏览行为的统计异常检测", 《软件学报》 * |
韩红光等: "基于Makov链状态转移概率矩阵的网络入侵检测", 《控制工程》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112153033A (zh) * | 2020-09-16 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种检测webshell的方法和装置 |
CN116599861A (zh) * | 2023-07-18 | 2023-08-15 | 海马云(天津)信息技术有限公司 | 检测云服务异常的方法、服务器设备和存储介质 |
CN117234859A (zh) * | 2023-11-14 | 2023-12-15 | 苏州元脑智能科技有限公司 | 一种性能事件监控方法、装置、设备和存储介质 |
CN117234859B (zh) * | 2023-11-14 | 2024-03-12 | 苏州元脑智能科技有限公司 | 一种性能事件监控方法、装置、设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP3905085A4 (en) | 2022-09-07 |
CN111368290B (zh) | 2023-06-09 |
WO2020134790A1 (zh) | 2020-07-02 |
EP3905085A1 (en) | 2021-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111368290B (zh) | 一种数据异常检测方法、装置及终端设备 | |
US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
CN103425736B (zh) | 一种网页信息识别方法、装置及系统 | |
CN110674662B (zh) | 一种扫描方法及终端设备 | |
CN106096366A (zh) | 一种信息处理方法、装置和设备 | |
CN113190646B (zh) | 一种用户名样本的标注方法、装置、电子设备及存储介质 | |
CN113079123B (zh) | 一种恶意网站的检测方法、装置及电子设备 | |
CN107506646A (zh) | 恶意应用的检测方法、装置及计算机可读存储介质 | |
CN107766358A (zh) | 一种页面分享的方法及相关装置 | |
CN111753520B (zh) | 一种风险预测方法、装置、电子设备及存储介质 | |
CN103455751B (zh) | 一种密码提示的生成方法、装置和终端设备 | |
CN107992615B (zh) | 一种网址推荐方法、服务器及终端 | |
CN115618403A (zh) | 数据安全处理方法、装置、计算机设备及可读存储介质 | |
WO2021223177A1 (zh) | 异常文件检测方法及相关产品 | |
CN109450853B (zh) | 恶意网站判定方法、装置、终端及服务器 | |
CN112256748A (zh) | 一种异常检测方法、装置、电子设备及存储介质 | |
CN110378798B (zh) | 异构社交网络构建方法、群组推荐方法、装置及设备 | |
CN109670105B (zh) | 搜索方法及移动终端 | |
CN108600356B (zh) | 一种消息推送方法及装置 | |
CN108804615B (zh) | 一种分享方法及服务器 | |
CN110781390A (zh) | 一种信息推荐方法及移动终端 | |
CN113220949B (zh) | 一种隐私数据识别系统的构建方法及装置 | |
CN111131605B (zh) | 消息管理方法、电子设备及计算机可读存储介质 | |
US11567822B2 (en) | Method of monitoring closed system, apparatus thereof and monitoring device | |
CN111901740B (zh) | 一种数据的处理方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |