CN111669383B - 安全基线的确定方法及装置 - Google Patents
安全基线的确定方法及装置 Download PDFInfo
- Publication number
- CN111669383B CN111669383B CN202010471101.2A CN202010471101A CN111669383B CN 111669383 B CN111669383 B CN 111669383B CN 202010471101 A CN202010471101 A CN 202010471101A CN 111669383 B CN111669383 B CN 111669383B
- Authority
- CN
- China
- Prior art keywords
- terminals
- service type
- terminal
- determining
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
- G06F18/232—Non-hierarchical techniques
- G06F18/2321—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions
- G06F18/23213—Non-hierarchical techniques using statistics or function optimisation, e.g. modelling of probability density functions with fixed number of clusters, e.g. K-means clustering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种安全基线的确定方法及装置,涉及通信技术领域,用于确定终端的安全基线。该方法包括:服务器获取N个终端中每一个终端的第一标签和第二标签,根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端;之后,服务器根据属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线。本申请应用于确定终端的安全基线的过程中。
Description
技术领域
本申请涉及物联网领域,尤其涉及一种安全基线的确定方法及装置。
背景技术
在物联网领域中,黑客可以借助于服务器技术(Distributed Denial ofService,DDoS),将多个计算机联合起来作为攻击平台,对一个或多个终端发动DDoS攻击,从而成倍地提高DDoS攻击的威力。
目前,根据DDoS攻击的特点,传统检测DDoS攻击的方法主要是对终端的网络数据量(流量和连接数)进行监控,并对终端设置统一的安全基线。若终端的网络数据量大于安全基线,则判定该终端受到DDoS攻击。
然而,终端的业务类型不同,终端的网络数据量也不同。现有技术中针对不同业务类型的终端,往往设置统一的安全基线,导致在判定终端是否受到DDoS攻击时经常产生误判。因此,如何准确地判断终端是否受到DDoS攻击,成为一个亟待解决的问题。
发明内容
本申请提供一种安全基线的确定方法及装置,用于准确地判断终端是否受到DDoS攻击。
为达到上述目的,本申请采用如下技术方案:
第一方面,本申请提供一种安全基线的确定方法,该方法包括:
服务器获取N个终端中每一个终端的第一标签和第二标签,第一标签用于指示终端的流量类型对应的业务类型,第二标签用于指示终端的IMSI号对应的业务类型,N为正整数;根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端,Q为小于等于N的正整数;根据属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线。
基于上述技术方案,服务器可以根据N个终端中每一个终端的第一标签(终端的流量类型与业务类型的映射关系)和第二标签(终端的IMSI号与业务类型的映射关系),对N个终端进行分类,从而确定终端的业务类型。由于服务器已经确定终端的业务类型,因此服务器可以根据该业务类型正常情况下(未遭受DDoS攻击)的网络数据量,确定一个合适的安全基线,从而使服务器可以根据安全基线准确地判断终端是否受到DDoS攻击。
一种可能的设计中,服务器根据N个终端中每一个终端的第一标签,确定属于第一业务类型的X个终端,X个终端为N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数;根据N个终端中每一个终端的第二标签,确定属于第一业务类型的Y个终端,Y个终端为N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数;根据X个终端中每一个终端的特征值,确定第一业务类型的第一特征值,特征值用于反映终端所属的业务类型的特征,第一特征值为X个终端的特征值的平均值;根据Y个终端的特征值和第一业务类型的第一特征值,从Y个终端中,确定属于第一业务类型的J个终端,J为小于等于Y的正整数;根据X个终端的特征值和J个终端的特征值,确定第一业务类型的第二特征值,第二特征值为X个终端的特征值和J个终端的特征值的平均值;根据X个终端和J个终端,确定U个终端,U个终端为N个终端中与X+J个终端无交集的终端,U为小于N的正整数;根据第一业务类型的第二特征值和K均值聚类算法,从U个终端中,确定属于第一业务类型的K个终端,K为小于等于U的正整数;根据X个终端、J个终端、以及K个终端,确定属于第一业务类型的Q个终端,X+J+K=Q。
一种可能的设计中,服务器判断Y个终端中每一个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值是否小于阈值;若第i个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值,则确定第i个终端属于第一业务类型,第i个终端为Y个终端中的任意一个终端,i小于等于Y的为正整数;根据特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
一种可能的设计中,服务器获取Q个终端中每一个终端的特征值;根据Q个终端中每一个终端的特征值,确定第一业务类型的第三特征值,第三特征值为Q个终端的特征值的平均值;根据第一业务类型的第三特征值,确定第一业务类型的终端的安全基线。
一种可能的设计中,该方法还包括:服务器获取T个终端中每一个终端的第一标签和第二标签,T个终端与N个终端之间无交集,T为正整数;根据第一业务类型的第三特征值、T个终端中每一个终端的第一标签和第二标签,从T个终端中,确定属于第一业务类型的Z个终端,Z为小于等于T的正整数;根据Q个终端和Z个终端,确定更新的第一业务类型的终端的安全基线。
第二方面,本申请提供一种安全基线的确定装置,该装置包括:
获取单元,用于获取N个终端中每一个终端的第一标签和第二标签,第一标签用于指示终端的流量类型对应的业务类型,第二标签用于指示终端的IMSI号对应的业务类型,N为正整数。
处理单元,用于根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端,Q为小于等于N的正整数;还用于根据属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线。
一种可能的设计中,处理单元,还用于根据N个终端中每一个终端的第一标签,确定属于第一业务类型的X个终端,X个终端为N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数;还用于根据N个终端中每一个终端的第二标签,确定属于第一业务类型的Y个终端,Y个终端为N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数;还用于根据X个终端中每一个终端的特征值,确定第一业务类型的第一特征值,特征值用于反映终端所属的业务类型的特征,第一特征值为X个终端的特征值的平均值。处理单元,还用于根据Y个终端的特征值和第一业务类型的第一特征值,从Y个终端中,确定属于第一业务类型的J个终端,J为小于等于Y的正整数;还用于根据X个终端的特征值和J个终端的特征值,确定第一业务类型的第二特征值,第二特征值为X个终端的特征值和J个终端的特征值的平均值;还用于根据X个终端和J个终端,确定U个终端,U个终端为N个终端中与X+J个终端无交集的终端,U为小于N的正整数;还用于根据第一业务类型的第二特征值和K均值聚类算法,从U个终端中,确定属于第一业务类型的K个终端,K为小于等于U的正整数;还用于根据X个终端、J个终端、以及K个终端,确定属于第一业务类型的Q个终端,X+J+K=Q。
一种可能的设计中,处理单元,还用于根据判断Y个终端中每一个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值是否小于阈值;若第i个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值,则确定第i个终端属于第一业务类型,第i个终端为Y个终端中的任意一个终端,i小于等于Y的为正整数;还用于根据特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
一种可能的设计中,获取单元,还用于获取Q个终端中每一个终端的特征值。
处理单元,还用于根据Q个终端中每一个终端的特征值,确定第一业务类型的第三特征值,第三特征值为Q个终端的特征值的平均值;还用于根据第一业务类型的第三特征值,确定第一业务类型的终端的安全基线。
第三方面,本申请提供了一种安全基线的确定的装置,该装置包括:处理器和通信接口;通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的安全基线的确定方法。
第四方面,本申请提供了一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行上述第一方面和第一方面的任一种可能的实现方式中所描述的安全基线的确定方法。
第五方面,本申请提供一种包含指令的计算机程序产品,当计算机程序产品在计算机上运行时,使得计算机执行上述第一方面和第一方面的任一种可能的实现方式中所描述的安全基线的确定方法。
第六方面,本申请提供一种芯片,芯片包括处理器和通信接口,通信接口和处理器耦合,处理器用于运行计算机程序或指令,以实现如第一方面和第一方面的任一种可能的实现方式中所描述的安全基线的确定方法。
上述方案中,安全基线的确定装置、计算机设备、计算机存储介质、计算机程序产品或者芯片所能解决的技术问题以及实现的技术效果可以参见上述第一方面所解决的技术问题以及技术效果,在此不再赘述。
附图说明
图1为本申请实施例提供的一种安全基线的确定方法的流程示意图;
图2为本申请实施例提供的另一种终端的业务分类方法的流程示意图;
图3为本申请实施例提供的另一种安全基线的确定方法的流程示意图;
图4为本申请实施例提供的一种安全基线的确定装置的结构示意图;
图5为本申请实施例提供的另一种安全基线的确定装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
本文中字符“/”,一般表示前后关联对象是一种“或者”的关系。例如,A/B可以理解为A或者B。
本申请的说明书和权利要求书中的术语“第一”和“第二”是用于区别不同的对象,而不是用于描述对象的特定顺序。
此外,本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括其他没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或模块。
另外,在本申请实施例中,“示例性的”、或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”、或者“例如”等词旨在以具体方式呈现概念。
为了便于理解本申请的技术方案,在对本申请实施例的安全基线的确定方法进行详细介绍之前,先对相关技术词语进行介绍。
1、GN接口
Gn接口是同一PLMN中SGSN与SGSN之间,以及SGSN与GGSN之间的接口。该接口协议支持用户数据和有关信令的传输,支持移动性管理(MM)。Gn接口可以采用TCP/IP协议,也可以在基于IP的骨干网中采用GPRS通道协议(GTP)。
2、安全基线
安全基线,是一种在测量、计算或定位中的基本参照。如海岸基线,是水位到达的水位线。类比于“木桶理论”,可以认为安全基线是安全木桶的最短板,或者是最低的安全要求。在本发明实施例中,安全基线是终端在正常情况下(未遭受DDoS攻击)的网络数据量的最大值。
3、k均值聚类算法
k均值聚类算法(k-means clustering algorithm)是一种迭代求解的聚类分析算法。其步骤是,将数据分为K组,则随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。每分配一个样本,聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件。终止条件包括以下任意一项:没有(或最小数目)对象被重新分配给不同的聚类、没有(或最小数目)聚类中心再发生变化、误差平方和局部最小。
需要说明的是,计算机设备、服务器、网关、基站、核心网网元等均可作为本申请技术方案的执行主体。下面以计算机设备为例,对本申请实施例所提供的技术方案进行介绍。
以下结合具体实施例,对本发明实施例所提供的安全基线的确定方法进行介绍。
如图1所示,为本申请实施例提供的安全基线的确定方法,该方法包括以下步骤:
S101、服务器获取N个终端中每一个终端的第一标签和第二标签。
其中,第一标签用于指示终端的流量类型对应的业务类型,第二标签用于指示终端的IMSI号对应的业务类型,N为正整数。
一种可能的设计中,第一标签包括终端的流量类型与业务类型的映射策略。例如,第一终端的流量类型为摩拜单车,则第一终端的第一标签用于指示摩拜单车对应的业务类型为共享单车业务。
需要说明的是,在Gn接口的通用话单中,包含了终端的流量类型字段,该流量类型字段能够标记业务类型。服务器可以根据终端的流量类型字段,获取第一标签。
一种可能的设计中,第二标签包括终端的IMSI号与业务类型的映射策略。例如,第一终端的IMSI号为0001,则第一终端的第二标签用于指示0001对应的业务类型为智能抄表业务。
需要说明的是,运营商在为终端发放SIM卡时,会针对不同业务类型的终端发放不同号段的SIM卡,因此服务器可以根据SIM卡的号段,获取IMSI号与业务类型的映射策略。但是实际运营中经常出现行业客户,改变物联网卡的应用对象,这样就破坏了原有的业务映射关系,仅依靠卡号判断会出现误判
在本发明实施例中,第一标签还可以为业务包解析指纹,第二标签还可以为业务卡源指纹,本发明实施例对此不做限定。
S102、服务器根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端。
在本发明实施例中,该N个终端属于M种业务类型,该第一业务类型为M种业务类型的任意一种业务类型。业务类型可以包括:共享单车业务、智能抄表业务、电子支付业务、智能安防业务等,本发明实施例对此不做限定。
其中,Q为小于等于N的正整数。
需要说明的是,在Gn接口的通用话单中,许多终端的流量类型字段为空值,导致服务器获取的第一标签也为空值。在实际运营中,部分厂商会改变SIM卡对应的终端,例如,SIM卡本来对应的是共享单车业务的终端,在改变SIM卡对应的终端后,SIM卡对应的是智能抄表业务的终端。这样一来,服务器在根据IMSI号判断终端业务类型时容易产生误判。因此,服务器仅仅根据第一标签或者第二标签无法对终端进行有效分类,需要根据第一标签和第二标签对终端进行分类。具体对于终端的业务分类的过程,可以参考步骤S201-S207,此处不再赘述。
S103、服务器根据属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线。
一种可能的实现方式,服务器获取Q个终端中每一个终端的特征值;并根据Q个终端中每一个终端的特征值,确定第一业务类型的第三特征值,根据第一业务类型的第三特征值,确定第一业务类型的终端的安全基线。
其中,特征值用于反映终端所属的业务类型的特征,第三特征值为Q个终端的特征值的平均值。
在本发明实施例中,每一个终端的特征值包括上/下行平均流量、上/下行流量方差、上/下行平均包数、上/下行包数方差、上/下行平均连接数、上/下行连接数方差、业务平均持续时间、业务持续时间方差、平均目的IP数、以及目的IP数方差中的一项或多项。本发明实施例对此不做限定。
需要说明的是,服务器可以获取Q个终端中每一个终端的同一个特征值(例如每一个终端的上行平均流量),并计算出Q个终端的上行平均流量的平均值。
可以理解的是,平均值可以反映数据集中趋势。因此,第三特征值可以反映第一业务类型的终端的整体特征。
一种可能的设计中,服务器通过公式一确定第一业务类型的终端的安全基线:
J=K×T 公式一
其中,J为第一业务类型的终端的安全基线,K为常数,T为第三特征值。
需要说明的是,K可以由服务器根据业务类型进行自主设定,本发明实施例对此不做限定。
可以理解的是,一组数据的数据量越大,该组数据的平均值越具有代表性。因此,为了保证第一业务类型的终端的安全基线的合理性,安全基线会随着新的终端增加而更新。具体对于安全基线的更新的描述,可以参考步骤S301-S303,此处不再赘述。
可选的,在确定第一业务类型的终端的安全基线后,服务器可以根据安全基线判断终端是否受到DDoS攻击。若终端的特征值大于等于安全基线,则服务器判断终端受到DDoS攻击;若终端的特征值小于安全基线,则服务器判断终端未受到DDoS攻击。
示例性的,服务器确定第一业务类型的安全基线(例如特征值为上行平均流量)为10M/S。若终端属于第一业务类型,其上行平均流量为9M/S,终端的上行平均流量小于安全基线,则服务器判断终端未受到DDoS攻击。
可以理解的是,本发明技术方案在根据业务类型确定终端的安全基线后,服务器就可以根据终端的业务类型设置安全基线,避免将所有终端的安全基线设置为相同的数值,造成服务器无法准确判断终端是否受到DDoS攻击。
基于上述技术方案,服务器可以根据N个终端中每一个终端的第一标签(终端的流量类型与业务类型的映射关系)和第二标签(终端的IMSI号与业务类型的映射关系),对N个终端进行分类,从而确定终端的业务类型。由于服务器已经确定终端的业务类型,因此服务器可以根据该业务类型正常情况下(未遭受DDoS攻击)的网络数据量,确定一个合适的安全基线,从而使服务器可以根据安全基线准确地判断终端是否受到DDoS攻击。
下面对服务器根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端的流程,进行具体介绍。如图2所示,为本申请实施例提供的终端的业务分类方法,该方法包括以下步骤:
S201、服务器根据N个终端中每一个终端的第一标签,确定属于第一业务类型的X个终端。
其中,X个终端为N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数。
需要说明的是,该X个终端包括以下两种终端。
第一种终端、第一标签不为空值、第二标签不为空值的终端。
第二种终端、第一标签不为空值、第二标签为空值的终端。
可以理解的是,终端的第一标签不为空值,则服务器对终端进行业务类型的分类时,优先根据第一标签对终端进行分类。
S202、服务器根据N个终端中每一个终端的第二标签,确定属于第一业务类型的Y个终端。
其中,Y个终端为N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数。
可以理解的是,若终端的第一标签为空值、第二标签不为空值,则服务器对终端进行业务类型的分类时,根据第二标签对终端进行分类。
S203、服务器根据X个终端中每一个终端的特征值,确定第一业务类型的第一特征值。
其中,第一特征值为X个终端的特征值的平均值。
S204、服务器根据Y个终端的特征值和第一业务类型的第一特征值,从Y个终端中,确定属于第一业务类型的J个终端。
其中,J为小于等于Y的正整数。
一种可能的实现方式,服务器判断Y个终端中每一个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值是否小于阈值。若第i个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值,则服务器确定第i个终端属于第一业务类型。也就是说,服务器可以遍历Y个终端,将每一个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值进行比较,并确定属于第一业务类型的终端。
其中,第i个终端为Y个终端中的任意一个终端,i小于等于Y的为正整数。
之后,服务器根据特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
S205、服务器根据X个终端的特征值和J个终端的特征值,确定第一业务类型的第二特征值。
其中,第二特征值为X个终端的特征值和J个终端的特征值的平均值。也就是说,服务器将X个终端和J个终端作为一组数据,第二特征值为该组数据(X个终端和J个终端)的特征值的平均值。
可以理解的是,一组数据的数据量越大,该组数据的平均值越具有代表性。因此,相较于第一特征值(X个终端的特征值的平均值),第二特征值更能准确反映第一业务类型的特征。
S206、服务器根据X个终端和J个终端,确定U个终端。
其中,U个终端为N个终端中与X+J个终端无交集的终端,U为小于N的正整数。
需要说明的是,该U个终端中包括以下两种终端。
第一种终端为第一标签为空值、第二标签为空值的终端。
第二种终端为Y个终端中未能根据第二标签确定业务类型的终端。
S207、服务器根据第一业务类型的第二特征值和K均值聚类算法,从U个终端中,确定属于第一业务类型的K个终端。
其中,K为小于等于U的正整数。
一种可能的实现方式,服务器以第二特征值作为K均值聚类算法的初始中心点,根据每一个终端的特征值,从U个终端中,确定属于第一业务类型的K个终端。
S208、服务器根据X个终端、J个终端、以及K个终端,确定属于第一业务类型的Q个终端。
其中,X+J+K=Q。
基于图2所示的技术方案,服务器可以分别跟据第一标签、第二标签以及特征值,对终端进行业务类型的分类,从而提高终端业务分类的准确度。
为了保证第一业务类型的终端的安全基线的合理性,安全基线会随着新的终端增加而更新。如图3所示,为本申请实施例提供的安全基线的确定方法,该方法包括以下步骤:
S301、服务器获取T个终端中每一个终端的第一标签和第二标签。
其中,T个终端与N个终端之间无交集,T为正整数。也就是说,该T个终端为N个终端以外的新终端。
S302、服务器根据第一业务类型的第三特征值、T个终端中每一个终端的第一标签和第二标签,从T个终端中,确定属于第一业务类型的Z个终端。
其中,Z为小于等于T的正整数。
一种可能的实现方式,服务器根据T个终端中每一个终端的第一标签和第二标签,对T个终端进行分类,确定属于第一业务类型的L个终端,并确定第四特征值,其具体实现方式可参考步骤S201-S205,此处不再赘述。
其中,第四特征值为L个终端的特征值的平均值,L为小于等于T的正整数。
服务器根据第二特征值和第四特征值,确定更新的第二特征值。例如,服务器计算第二特征值和第四特征值的平均值,确定更新的第二特征值,本发明实施例对此不做限定。
服务器根据更新的第二特征值和K均值聚类算法,对T-L个终端进行分类,确定属于第一业务类型的I个终端。其中,I为小于等于T的正整数。
服务器根据L个终端和I个终端,确定属于第一业务类型的Z个终端。其中,I+L=Z。
S303、服务器根据Q个终端和Z个终端,确定更新的第一业务类型的终端的安全基线。
一种可能的实现方式,服务器获取Q个终端和Z个终端中每一个终端的特征值;并根据Q个终端和Z个终端中每一个终端的特征值,确定更新的第一业务类型的第三特征值,根据更新的第一业务类型的第三特征值,确定更新的第一业务类型的终端的安全基线。其具体实现方式可以参考步骤S103,此处不再赘述。
基于图3所示的技术方案,服务器能够不断地获取新的终端的特征值,并且更新业务类型的特征值,进而更新业务类型的终端的安全基线,保障了安全基线的合理性。
上述主要从计算机设备的角度对本申请实施例提供的方案进行了介绍。可以理解的是,计算机设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本申请所公开的实施例描述的各示例的安全基线的确定方法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本申请实施例可以根据上述方法示例对安全基线的确定装置进行功能模块或者功能单元的划分,例如,可以对应各个功能划分各个功能模块或者功能单元,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块或者功能单元的形式实现。其中,本申请实施例中对模块或者单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
如图4所示,本发明实施例提供了一种安全基线的确定装置,包括:
获取单元101,用于获取N个终端中每一个终端的第一标签和第二标签,第一标签用于指示终端的流量类型对应的业务类型,第二标签用于指示终端的IMSI号对应的业务类型,N为正整数。
处理单元102,用于根据N个终端中每一个终端的第一标签和第二标签,从N个终端中,确定属于第一业务类型的Q个终端,Q为小于等于N的正整数;还用于根据属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线。
可选的,处理单元102,还用于根据N个终端中每一个终端的第一标签,确定属于第一业务类型的X个终端,X个终端为N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数;还用于根据N个终端中每一个终端的第二标签,确定属于第一业务类型的Y个终端,Y个终端为N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数;还用于根据X个终端中每一个终端的特征值,确定第一业务类型的第一特征值,特征值用于反映终端所属的业务类型的特征,第一特征值为X个终端的特征值的平均值。处理单元102,还用于根据Y个终端的特征值和第一业务类型的第一特征值,从Y个终端中,确定属于第一业务类型的J个终端,J为小于等于Y的正整数;还用于根据X个终端的特征值和J个终端的特征值,确定第一业务类型的第二特征值,第二特征值为X个终端的特征值和J个终端的特征值的平均值;还用于根据X个终端和J个终端,确定U个终端,U个终端为N个终端中与X+J个终端无交集的终端,U为小于N的正整数;还用于根据第一业务类型的第二特征值和K均值聚类算法,从U个终端中,确定属于第一业务类型的K个终端,K为小于等于U的正整数;还用于根据X个终端、J个终端、以及K个终端,确定属于第一业务类型的Q个终端,X+J+K=Q。
可选的,处理单元102,还用于根据判断Y个终端中每一个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值是否小于阈值;若第i个终端的特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值,则确定第i个终端属于第一业务类型,第i个终端为Y个终端中的任意一个终端,i小于等于Y的为正整数;还用于根据特征值与第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
可选的,获取单元101,还用于获取Q个终端中每一个终端的特征值。
处理单元102,还用于根据Q个终端中每一个终端的特征值,确定第一业务类型的第三特征值,第三特征值为Q个终端的特征值的平均值;还用于根据第一业务类型的第三特征值,确定第一业务类型的终端的安全基线。
图5示出了上述实施例中所涉及的安全基线的确定装置的又一种可能的结构。该安全基线的确定装置包括:处理器201和通信接口202。处理器201用于对装置的动作进行控制管理,例如,执行上述方法实施例中所示的方法流程中的各个步骤,和/或用于执行本文所描述的技术的其它过程。通信接口202用于支持该安全基线的确定装置与其他网络实体的通信。安全基线的确定装置还可以包括存储器203和总线204,存储器203用于存储装置的程序代码和数据。
其中,上述处理器201可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,单元和电路。该处理器可以是中央处理器,通用处理器,数字信号处理器,专用集成电路,现场可编程门阵列或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框,单元和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
存储器203可以包括易失性存储器,例如随机存取存储器;该存储器也可以包括非易失性存储器,例如只读存储器,快闪存储器,硬盘或固态硬盘;该存储器还可以包括上述种类的存储器的组合。
总线204可以是扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。总线204可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请实施例提供一种包含指令的计算机程序产品,当该计算机程序产品在计算机上运行时,使得该计算机执行上述方法实施例中的安全基线的确定方法。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当该指令在计算机上运行时,使得该计算机执行上述方法实施例所示的方法流程中的安全基线的确定方法。
其中,计算机可读存储介质,例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit,ASIC)中。在本申请实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
由于本发明的实施例中的安全基线的确定装置、计算机可读存储介质、计算机程序产品可以应用于上述方法,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何在本申请揭露的技术范围内的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种安全基线的确定方法,其特征在于,所述方法包括:
获取N个终端中每一个终端的第一标签和第二标签,所述第一标签用于指示终端的流量类型对应的业务类型,所述第二标签用于指示终端的IMSI号对应的业务类型,N为正整数;
根据所述N个终端中每一个终端的所述第一标签和所述第二标签,从所述N个终端中,确定属于第一业务类型的Q个终端,Q为小于等于N的正整数;
根据所述属于第一业务类型的Q个终端,确定所述第一业务类型的终端的安全基线;
所述根据所述N个终端中每一个终端的所述第一标签和所述第二标签,从所述N个终端中,确定属于第一业务类型的Q个终端,包括:
根据所述N个终端中每一个终端的所述第一标签,确定属于第一业务类型的X个终端,所述X个终端为所述N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数;
根据所述N个终端中每一个终端的所述第二标签,确定属于第一业务类型的Y个终端,所述Y个终端为所述N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数;
根据所述X个终端中每一个终端的特征值,确定第一业务类型的第一特征值,所述特征值用于反映终端所属的业务类型的特征,所述第一特征值为所述X个终端的特征值的平均值;
根据所述Y个终端的特征值和所述第一业务类型的第一特征值,从所述Y个终端中,确定属于第一业务类型的J个终端,J为小于等于Y的正整数;
根据所述X个终端的特征值和所述J个终端的特征值,确定所述第一业务类型的第二特征值,所述第二特征值为所述X个终端的特征值和所述J个终端的特征值的平均值;
根据所述X个终端和所述J个终端,确定U个终端,所述U个终端为所述N个终端中与所述X+J个终端无交集的终端,U为小于N的正整数;
根据所述第一业务类型的第二特征值和K均值聚类算法,从所述U个终端中,确定属于第一业务类型的K个终端,K为小于等于U的正整数;
根据所述X个终端、所述J个终端、以及所述K个终端,确定属于第一业务类型的Q个终端,X+J+K=Q。
2.根据权利要求1所述的安全基线的确定方法,其特征在于,所述根据所述Y个终端的特征值和所述第一业务类型的第一特征值,从所述Y个终端中,确定属于第一业务类型的J个终端,包括:
判断所述Y个终端中每一个终端的特征值与所述第一业务类型的第一特征值之间的差值的绝对值是否小于阈值;
若第i个终端的特征值与所述第一业务类型的第一特征值之间的差值的绝对值小于阈值,则确定所述第i个终端属于第一业务类型,所述第i个终端为所述Y个终端中的任意一个终端,i小于等于Y的为正整数;
根据特征值与所述第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
3.根据权利要求2所述的安全基线的确定方法,其特征在于,所述根据所述属于第一业务类型的Q个终端,确定第一业务类型的终端的安全基线,包括:
获取所述Q个终端中每一个终端的特征值;
根据所述Q个终端中每一个终端的特征值,确定所述第一业务类型的第三特征值,所述第三特征值为所述Q个终端的特征值的平均值;
根据所述第一业务类型的第三特征值,确定所述第一业务类型的终端的安全基线。
4.根据权利要求3所述的安全基线的确定方法,其特征在于,所述方法还包括:
获取T个终端中每一个终端的第一标签和第二标签,所述T个终端与所述N个终端之间无交集,T为正整数;
根据所述第一业务类型的第三特征值、所述T个终端中每一个终端的所述第一标签和所述第二标签,从所述T个终端中,确定属于第一业务类型的Z个终端,Z为小于等于T的正整数;
根据所述Q个终端和所述Z个终端,确定更新的所述第一业务类型的终端的安全基线。
5.一种安全基线的确定装置,其特征在于,所述装置包括:
获取单元,用于获取N个终端中每一个终端的第一标签和第二标签,所述第一标签用于指示终端的流量类型对应的业务类型,所述第二标签用于指示终端的IMSI号对应的业务类型,N为正整数;
处理单元,用于根据所述N个终端中每一个终端的所述第一标签和所述第二标签,从所述N个终端中,确定属于第一业务类型的Q个终端,Q为小于等于N的正整数;还用于根据所述属于第一业务类型的Q个终端,确定所述第一业务类型的终端的安全基线;
所述处理单元,还用于根据所述N个终端中每一个终端的所述第一标签,确定属于第一业务类型的X个终端,所述X个终端为所述N个终端中属于第一业务类型且第一标签不为空值的终端,X为小于等于N的正整数;还用于根据所述N个终端中每一个终端的所述第二标签,确定属于第一业务类型的Y个终端,所述Y个终端为所述N个终端中属于第一业务类型且第一标签为空值、第二标签不为空值的终端,Y为小于等于N的正整数;还用于根据所述X个终端中每一个终端的特征值,确定第一业务类型的第一特征值,所述特征值用于反映终端所属的业务类型的特征,所述第一特征值为所述X个终端的特征值的平均值;
所述处理单元,还用于根据所述Y个终端的特征值和所述第一业务类型的第一特征值,从所述Y个终端中,确定属于第一业务类型的J个终端,J为小于等于Y的正整数;还用于根据所述X个终端的特征值和所述J个终端的特征值,确定所述第一业务类型的第二特征值,所述第二特征值为所述X个终端的特征值和所述J个终端的特征值的平均值;还用于根据所述X个终端和所述J个终端,确定U个终端,所述U个终端为所述N个终端中与所述X+J个终端无交集的终端,U为小于N的正整数;还用于根据所述第一业务类型的第二特征值和K均值聚类算法,从所述U个终端中,确定属于第一业务类型的K个终端,K为小于等于U的正整数;还用于根据所述X个终端、所述J个终端、以及所述K个终端,确定属于第一业务类型的Q个终端,X+J+K=Q。
6.根据权利要求5所述的安全基线的确定装置,其特征在于,
所述处理单元,还用于根据判断所述Y个终端中每一个终端的特征值与所述第一业务类型的第一特征值之间的差值的绝对值是否小于阈值;若第i个终端的特征值与所述第一业务类型的第一特征值之间的差值的绝对值小于阈值,则确定所述第i个终端属于第一业务类型,所述第i个终端为所述Y个终端中的任意一个终端,i小于等于Y的为正整数;还用于根据特征值与所述第一业务类型的第一特征值之间的差值的绝对值小于阈值的终端,确定属于第一业务类型的J个终端。
7.根据权利要求6所述的安全基线的确定装置,其特征在于,
所述获取单元,还用于获取所述Q个终端中每一个终端的特征值;
所述处理单元,还用于根据所述Q个终端中每一个终端的特征值,确定所述第一业务类型的第三特征值,所述第三特征值为所述Q个终端的特征值的平均值;还用于根据所述第一业务类型的第三特征值,确定所述第一业务类型的终端的安全基线。
8.根据权利要求7所述的安全基线的确定装置,其特征在于,
所述获取单元,还用于获取T个终端中每一个终端的第一标签和第二标签,所述T个终端与所述N个终端之间无交集,T为正整数;
根所述处理单元,还用于据所述第一业务类型的第三特征值、所述T个终端中每一个终端的所述第一标签和所述第二标签,从所述T个终端中,确定属于第一业务类型的Z个终端,Z为小于等于T的正整数;还用于根据所述Q个终端和所述Z个终端,确定更新的所述第一业务类型的终端的安全基线。
9.一种安全基线的确定装置,其特征在于,包括:处理器、存储器和通信接口;其中,通信接口用于所述安全基线的确定装置和其他设备或网络通信;所述存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该安全基线的确定装置运行时,处理器执行该存储器存储的该计算机执行指令,以使该安全基线的确定装置执行权利要求1-4任一项中所述的安全基线的确定方法。
10.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当计算机执行该指令时,该计算机执行上述权利要求1-4任一项中所述的安全基线的确定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010471101.2A CN111669383B (zh) | 2020-05-28 | 2020-05-28 | 安全基线的确定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010471101.2A CN111669383B (zh) | 2020-05-28 | 2020-05-28 | 安全基线的确定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111669383A CN111669383A (zh) | 2020-09-15 |
CN111669383B true CN111669383B (zh) | 2022-04-12 |
Family
ID=72385029
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010471101.2A Active CN111669383B (zh) | 2020-05-28 | 2020-05-28 | 安全基线的确定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111669383B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147327A (zh) * | 2019-12-23 | 2020-05-12 | 中国联合网络通信集团有限公司 | 网络质量的评估方法及装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100617310B1 (ko) * | 2004-09-25 | 2006-08-30 | 한국전자통신연구원 | 네트워크 트래픽 이상 징후 감지 장치 및 그 방법 |
CN104219165A (zh) * | 2014-09-25 | 2014-12-17 | 中国人民解放军信息工程大学 | 业务带宽控制方法和装置 |
CN105992280B (zh) * | 2015-02-13 | 2019-06-28 | 中国移动通信集团浙江有限公司 | 一种数据处理方法及装置 |
US11379860B2 (en) * | 2017-01-19 | 2022-07-05 | Mastercard International Incorporated | System for control group optimization to identify optimal baseline algorithm |
CN107087301B (zh) * | 2017-06-14 | 2020-06-19 | 中国联合网络通信集团有限公司 | 一种节能方法、装置及移动管理节点 |
CN110474850A (zh) * | 2019-08-23 | 2019-11-19 | 苏宁云计算有限公司 | 业务接口的流量控制方法、装置、计算机设备和存储介质 |
CN110784458B (zh) * | 2019-10-21 | 2023-04-18 | 新华三信息安全技术有限公司 | 流量异常检测方法、装置及网络设备 |
-
2020
- 2020-05-28 CN CN202010471101.2A patent/CN111669383B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147327A (zh) * | 2019-12-23 | 2020-05-12 | 中国联合网络通信集团有限公司 | 网络质量的评估方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN111669383A (zh) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3780541B1 (en) | Identity information identification method and device | |
CN111985726B (zh) | 资源数量预测方法、装置、电子设备及存储介质 | |
CN110830986A (zh) | 一种物联网卡异常行为检测方法、装置、设备及存储介质 | |
CN105550175A (zh) | 恶意账户识别方法及装置 | |
CN108805174A (zh) | 聚类方法及装置 | |
CN111372242A (zh) | 欺诈识别方法、装置、服务器及存储介质 | |
CN112487495A (zh) | 基于大数据和云计算的数据处理方法及大数据服务器 | |
CN112737798B (zh) | 主机资源分配方法、装置及调度服务器、存储介质 | |
CN110674832B (zh) | 互联网用户所属企业的识别方法、装置和终端 | |
CN111669383B (zh) | 安全基线的确定方法及装置 | |
CN108009036B (zh) | 一种定位导致数据异常的操作的方法及服务器 | |
CN111369790B (zh) | 过车记录校正方法、装置、设备及存储介质 | |
CN107332806B (zh) | 移动设备标识的设置方法及装置 | |
CN112532645A (zh) | 一种物联网设备运行数据监测方法、系统及电子设备 | |
CN109274725B (zh) | 互联网交易定位方法、装置及服务器 | |
CN111669765B (zh) | 网络扩容方法、装置、控制设备及存储介质 | |
CN112328515B (zh) | 设备检测方法及装置 | |
CN115330140A (zh) | 一种基于数据挖掘的建筑风险预测方法及其预测系统 | |
CN112995909B (zh) | 一种sim卡分配方法、装置、服务器和计算机可读存储介质 | |
CN115935775A (zh) | 神经网络模型训练方法、装置、设备及存储介质 | |
CN112874360A (zh) | 充电桩的启充方法、装置以及计算机可读存储介质 | |
CN116107761B (zh) | 性能调优方法、系统、电子设备及可读存储介质 | |
CN111401224B (zh) | 目标检测方法、装置及电子设备 | |
CN113676913B (zh) | 邻区列表配置方法、装置及服务器 | |
CN111884848A (zh) | 网络切片的选择方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |