CN111683102B - Ftp行为数据处理方法、识别异常ftp行为的方法及装置 - Google Patents
Ftp行为数据处理方法、识别异常ftp行为的方法及装置 Download PDFInfo
- Publication number
- CN111683102B CN111683102B CN202010551781.9A CN202010551781A CN111683102B CN 111683102 B CN111683102 B CN 111683102B CN 202010551781 A CN202010551781 A CN 202010551781A CN 111683102 B CN111683102 B CN 111683102B
- Authority
- CN
- China
- Prior art keywords
- ftp
- user
- behavior
- probability density
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置,所述方法包括:获取FTP行为数据;基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明提高了识别异常FTP行为的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置。
背景技术
文件传输协议(File Transfer Protocol,FTP)是用于在两台计算机之间传输文件的协议。FTP解决了不同计算机上的不同操作系统之间的差异问题,实现了通用的文件传输。FTP具有易连接、易应用的特点,但是正是由于这些特点,导致其安全性不高,容易产生异常行为。因此,对异常FTP行为的识别显得尤为重要。
现有技术往往通过单一的维度对异常FTP行为进行识别。例如,根据单位时间内FTP行为登录服务器的失败次数,如果失败次数超过异常阈值,则表明该FTP行为异常。或,根据日志回溯FTP行为的登录时间,如果登录时间为非正常时间,则表明该FTP行为异常。采用上述方法识别异常FTP行为由于识别角度单一,不仅存在识别准确性差的问题,而且,当攻击者突破FTP权限后将无法有效地发现异常FTP行为。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的FTP行为数据处理方法、识别异常FTP行为的方法及装置。
依据本发明的第一个方面,本发明提供了一种FTP行为数据处理方法,所述方法包括:
获取FTP行为数据;
基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;
基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;
根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;
根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。
优选的,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值,包括:
从所述特征数据中抽取出归属于所述用户相关子特征的多个样本数据;
基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重;
基于添加有所述时间权重的所述样本数据,以及由所述样本数据的操作特征确定的目标带宽,对所述用户相关子特征进行核密度估计,获得所述用户相关子特征的概率密度值。
优选的,所述多种用户相关特征包括用户属性相关特征和用户行为相关特征,所述用户属性相关特征包括用户角色、用户工作状态、用户访问位置数量和访问不同IP数量中的一种以上用户相关子特征,所述用户行为相关特征包括用户登录时间是否异常、是否访问敏感路径、操作命令类型、是否下载文件和操作失败比例中的一种以上用户相关子特征。
优选的,所述基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重,包括:
基于所述样本数据的操作时间,确定所述样本数据的时间因子,其中,操作时间位于工作时间段内的样本数据对应的时间因子小于操作时间位于非工作时间段内的样本数据的时间因子;
基于所述操作时间的先后顺序,确定所述样本数据的顺序因子,其中,操作时间在后的样本数据对应的顺序因子大于操作时间在前的样本数据对应的顺序因子;
通过对所述时间因子和所述顺序因子求积,获得所述样本数据的时间权重,并将所述时间权重添加至所述样本数据。
优选的,所述操作特征包括操作时间和/或操作量;
在所述对所述用户相关子特征进行核密度估计之前,所述方法还包括:
根据所述操作时间和/或所述操作量对所述目标带宽进行调节,其中,当所述操作时间由工作时间段转变为非工作时间段时,减小所述目标带宽,反之,增大所述目标带宽;当所述操作量增加时,增大所述目标带宽,反之,减小所述目标带宽。
依据本发明的第二个方面,本发明提供了一种识别异常FTP行为的方法,所述方法包括:
获取多组样本FTP行为数据,并通过如权利要求1-5中任一权利要求所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值;
基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值;
获取待识别FTP行为数据,并通过如权利要求1-5中任一权利要求所述的FTP行为数据处理方法,计算所述待识别FTP行为数据的多维度概率密度值;
判断所述待识别FTP行为数据的多维度概率密度值是否小于或等于所述异常行为判定阈值;
若所述待识别FTP行为数据的多维度概率密度值小于或等于所述异常行为判定阈值,则将所述待识别FTP行为数据确定为异常FTP行为。
依据本发明的第三个方面,本发明提供了一种FTP行为数据处理装置,所述装置包括:
获取模块,用于获取FTP行为数据;
提取模块,用于基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;
估计模块,用于基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;
第一确定模块,用于根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;
第二确定模块,用于根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。
依据本发明的第四个方面,本发明提供了一种识别异常FTP行为的装置,所述装置包括:
样本获取模块,用于获取多组样本FTP行为数据,并通过如权利要求1-5中任一权利要求所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值;
阈值计算模块,用于基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值;
待识别数据获取模块,用于获取待识别FTP行为数据,并通过如权利要求1-5中任一权利要求所述的FTP行为数据处理方法,计算所述待识别FTP行为数据的多维度概率密度值;
判断模块,用于判断所述待识别FTP行为数据的多维度概率密度值是否小于或等于所述异常行为判定阈值;
异常行为确定模块,用于若所述待识别FTP行为数据的多维度概率密度值小于或等于所述异常行为判定阈值,则将所述待识别FTP行为数据确定为异常FTP行为。
依据本发明的第五个方面,本发明提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如前述第一个方面和第二方面所述的方法步骤。
依据本发明的第六个方面,本发明提供了一种计算机设备,包括存储,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如前述第一个方面和第二方面所述的方法步骤。
在本发明的FTP行为数据处理方法中,首先,获取FTP行为数据。接着,基于多种用户相关特征,对FTP行为数据进行特征提取,获得特征数据,其中,每种用户相关特征包括一种以上用户相关子特征。然后,基于特征数据,对每种用户相关子特征进行核密度估计,获得每种用户相关子特征的概率密度值。再,根据用户相关特征包含的所有用户相关子特征的概率密度值,确定每种用户相关特征的概率密度值。最后,根据所有用户相关特征的概率密度值,确定FTP行为数据的多维度概率密度值,以根据FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明通过利用多种用户相关特征计算FTP行为数据的多维度概率密度值,实现了多维度特征的关联分析,不仅扩宽了识别角度,使得识别角度不再单一,而且,即便攻击者突破了FTP权限,由于识别角度广泛,仍然能够准确地发现异常行为。最终,利用该方法能够准确地确定出FTP行为数据的多维度概率密度值,该多维度概率密度值能够准确地反映FTP行为数据的行为特点,为后续利用该多维度概率密度值准确地识别异常FTP行为奠定了基础。同时,由于本发明根据核密度估计计算用户相关子特征的概率密度值,因此能够减少数据的计算量,提高处理效率。
在本发明的识别异常FTP行为的方法中,首先,获取多组样本FTP行为数据,并通过上述FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值。接着,基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值。然后,获取待识别FTP行为数据,并通过上述FTP行为数据处理方法,计算待识别FTP行为数据的多维度概率密度值。再,判断待识别FTP行为数据的多维度概率密度值是否小于或等于异常行为判定阈值,若待识别FTP行为数据的多维度概率密度值小于或等于异常行为判定阈值,则将待识别FTP行为数据确定为异常FTP行为。由于通过FTP行为数据处理方法确定出的多维度概率密度值能够准确地反映FTP行为数据的行为特点,因此,利用该方法对异常FTP行为进行识别,能够提高识别异常FTP行为的准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考图形表示相同的部件。在附图中:
图1示出了本发明实施例中FTP行为数据处理方法的流程图;
图2示出了本发明实施例中识别异常FTP行为的方法的流程图;
图3示出了本发明实施例中FTP行为数据处理装置的结构示意图;
图4示出了本发明实施例中识别异常FTP行为的装置的结构示意图;
图5示出了本发明实施例中计算机设备的结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明第一实施例提供一种FTP行为数据处理方法,用于确定FTP行为数据的多维度概率密度值。该多维度概率密度值能够准确地反映出FTP行为数据的概率密度情况,从而,将该多维度概率密度值作为识别异常FTP行为的依据,能够提高识别的准确性。
如图1所示,本发明的FTP行为数据处理方法,包括以下步骤:
步骤11:获取FTP行为数据。
步骤12:基于多种用户相关特征,对FTP行为数据进行特征提取,获得特征数据,其中,每种用户相关特征包括一种以上用户相关子特征。
步骤13:基于特征数据,对每种用户相关子特征进行核密度估计,获得每种用户相关子特征的概率密度值。
步骤14:根据用户相关特征包含的所有用户相关子特征的概率密度值,确定每种用户相关特征的概率密度值。
步骤15:根据所有用户相关特征的概率密度值,确定FTP行为数据的多维度概率密度值,以根据FTP行为数据的多维度概率密度值对异常FTP行为进行识别。
对于步骤11而言,为了确定出某一目标用户或某一目标用户群体的FTP行为的特点,获取的FTP行为数据可以是针对某一目标用户的,也可以是针对某一目标用户群体的。通过对用户的数据或用户群体的数据进行归档,能够获得对应的FTP行为数据。进一步来讲,在获取到FTP行为数据之后,需要对数据进行预处理。预处理的过程包含定义格式、归一化处理、去掉信息不全的噪声数据以及过滤黑白名单相关的数据。
对于步骤12而言,多种用户相关特征包括用户属性相关特征和用户行为相关特征。本发明实施例将用户相关特征分为两类,一类是用户属性相关特征,另一类是用户行为相关特征。对于每种用户相关特征而言,包括一种以上用户相关子特征。具体地,用户属性相关特征包括用户角色、用户工作状态、用户访问位置数量和访问不同IP数量这四种用户相关子特征中的至少一种。用户行为相关特征包括用户登录时间是否异常、是否访问敏感路径、操作命令类型、是否下载文件和操作失败比例这五种用户相关子特征中的至少一种。
进一步来讲,FTP行为数据中包含多个FTP行为,在特征提取的过程中,针对每个FTP行为,均从多种用户相关特征的角度提取对应的特征数据。特征数据的一种具体表现形式为数据的特征值。例如,若FTP行为数据包含第一FTP行为和第二FTP行为,所需提取的特征包括用户属性相关特征和用户行为相关特征,用户属性相关特征包括上述四种用户相关子特征的全部,用户行为相关特征包括上述五种用户相关子特征的全部。那么,对FTP行为数据进行特征提取后:
针对第一FTP行为而言,得到的特征数据包括:与用户相关子特征“用户角色”对应的特征值为1,与用户相关子特征“用户工作状态”对应的特征值为2,与用户相关子特征“用户访问位置数量”对应的特征值为1,与用户相关子特征“访问不同IP数量”对应的特征值为2;与用户相关子特征“用户登录时间是否异常”对应的特征值为1,与用户相关子特征“是否访问敏感路径”对应的特征值为1,与用户相关子特征“操作命令类型”对应的特征值为3,与用户相关子特征“是否下载文件”对应的特征值为1,与用户相关子特征“操作失败比例”对应的特征值为2。
针对第二FTP行为而言,得到的特征数据包括:与用户相关子特征“用户角色”对应的特征值为2,与用户相关子特征“用户工作状态”对应的特征值为2,与用户相关子特征“用户访问位置数量”对应的特征值为1,与用户相关子特征“访问不同IP数量”对应的特征值为3;与用户相关子特征“用户登录时间是否异常”对应的特征值为1,与用户相关子特征“是否访问敏感路径”对应的特征值为1,与用户相关子特征“操作命令类型”对应的特征值为2,与用户相关子特征“是否下载文件”对应的特征值为1,与用户相关子特征“操作失败比例”对应的特征值为3。
在提取出特征数据后,且在执行步骤13之前,所述FTP行为数据处理方法还包括以下步骤:
对特征数据进行数据标准化处理。
具体来讲,由于不同类型的特征数据其度量单位不同,因此需要对特征数据进行数据标准化处理。本发明实施例通过以下公式一进行数据标准化处理:
其中,Z-score为经数据标准化处理后的特征数据,x为原始的特征数据,μ为每种用户相关子特征的均值,σ为每种用户相关子特征的方差。
进一步,对于步骤13而言,分别计算每种用户相关子特征的概率密度值。对任一种用户相关子特征进行核密度估计,获得该种用户相关子特征的概率密度值,包括以下步骤:
步骤201:从特征数据中抽取出归属于该种用户相关子特征的多个样本数据。
步骤202:基于样本数据的操作时间以及操作时间的先后顺序,为每个样本数据添加对应的时间权重。
步骤203:基于添加有时间权重的样本数据,以及由样本数据的操作特征确定的目标带宽,对用户相关子特征进行核密度估计,获得该种用户相关子特征的概率密度值。
具体来讲,在本发明中,特征提取后所需处理特征数据不仅维度多而且数据量大,为了降低处理延时,提高处理效率,本发明根据核密度估计方法计算每种用户相关子特征的概率密度值。在进行核密度估计的过程中,首先,考虑到真实环境中异常FTP行为在某些特征属性上是偏离绝大部分行为的,并且异常FTP行为通常只占很小比例,因此,假定FTP行为的用户相关子特征服从分布F。进而,将FTP行为数据映射到此分布上,使数据相对聚焦,再将其作用于核密度估计方法。通过核密度估计方法,利用概率密度曲线将每种用户相关子特征量化,同时,借助核函数,先将核函数作用于每个数据点,再将核函数的作用效果叠加起来,最终获得用户相关子特征的概率密度值。
进一步来讲,在假定用户相关子特征服从分布F后,定义其概率密度为函数f。接着,从分布F中独立抽取出n个样本数据,即(x1、x2,x3,…,xn),n为大于或等于1的整数。由于用户操作具有一定的时序性,为了准确地确定出FTP行为数据的概率密度值,本发明在计算概率密度值时考虑了时间对样本数据的影响。具体来讲,在进行核密度估计之前,先基于样本数据的操作时间以及操作时间的先后顺序,为每个样本数据添加对应的时间权重。再根据添加有时间权重的样本数据进行核密度估计。
对于如何为每个样本数据添加对应的时间权重,下面给出详细说明:
在本发明实施例中,步骤202包括以下步骤:
步骤301:基于样本数据的操作时间,确定样本数据的时间因子,其中,操作时间位于工作时间段内的样本数据对应的时间因子小于操作时间位于非工作时间段内的样本数据的时间因子。
步骤302:基于操作时间的先后顺序,确定样本数据的顺序因子,其中,操作时间在后的样本数据对应的顺序因子大于操作时间在前的样本数据对应的顺序因子。
步骤303:通过对时间因子和顺序因子求积,获得样本数据的时间权重,并将时间权重添加至样本数据。
在本发明实施例中,时间权重受到时间因子和顺序因子这两种因子的影响。对于时间因子而言,基于样本数据的操作时间,确定样本数据的时间因子。其中,操作时间位于工作时间段内的样本数据对应的时间因子小于操作时间位于非工作时间段内的样本数据的时间因子。具体来讲,为了突显非工作时间段的特殊性,以确定出异常FTP行为,在本发明实施例中,工作时间段对应的时间因子小于非工作时间段对应的时间因子。同时,无论是工作时间段还是非工作时间段,两者对应的时间因子均在大于或等于1的范围内选取。例如,将工作时间段对应的时间因子设定为1,将非工作时间段对应的时间因子设定为1.5。从而,根据样本数据的操作时间与工作时间段的关系,能够确定出样本数据的时间因子。例如,当工作时间段为8:00~18:00,其余时间为非工作时间段时,若样本数据的操作时间为9:00,那么可以确定出样本数据的时间因子为1;若样本数据的操作时间为19:00,那么可以确定出样本数据的时间因子为1.5。
对于顺序因子而言,基于操作时间的先后顺序,确定样本数据的顺序因子。其中,操作时间在后的样本数据对应的顺序因子大于操作时间在前的样本数据对应的顺序因子。具体来讲,由于时间在前的样本数据其影响力远小于时间在后的样本数据,因此,对于n个样本数据而言,首先,将其对应的时刻按照时间先后顺序进行排序,得到(t1,…,tn-1,tn)。接着,为时刻t1至时刻tn顺次添加逐渐升高的顺序因子,例如,最早的时刻t1添加的顺序因子为1/n,t2添加的顺序因子为2/n,以此类推,最晚的时刻tn添加的顺序因子为1。需要说明的是,为每个时刻添加顺序因子的过程,也是一个对样本数据赋予顺序因子的过程,即,为时刻t1添加顺序因子1/n,也就是为与时刻t1对应的样本数据添加顺序因子1/n。
进而,在确定出每个样本数据的时间因子和顺序因子之后,通过对时间因子和顺序因子求积,能够获得样本数据的时间权重。例如,若对于某一样本数据而言,其对应的时间因子为1.5,顺序因子为2/n,那么,通过将1.5与2/n求积,能够得到该样本数据的时间权重。
接着,在为每个样本数据添加对应的时间权重之后,通过以下公式二对用户相关子特征进行核密度估计:
其中,fb(x)为用户相关子特征的概率密度值,b为目标带宽,K为核函数。
在核密度估计的过程中,带宽是一个平滑参数。带宽取值不同将会使核密度估计结果出现较大差异,如果带宽过大,经核密度估计得到的概率密度曲线将会过于平滑,无法反映出特征局部区间的变化差异;如果带宽过小,概率密度曲线将会出现过拟合。在现有的核密度估计中,带宽往往是一个固定的值,而随着时间的推移,FTP行为会出现较大变动,固定的带宽难以保证核密度估计计算出准确的概率密度值。为了克服上述问题,本发明提供了一种自适应动态确定带宽的方案。具体来讲,在本发明实施例中,目标带宽由样本数据的操作特征确定,操作特征包括操作时间和/或操作量。在所述对所述用户相关子特征进行核密度估计之前,所述方法还包括:
根据操作时间和/或操作量对目标带宽进行调节。其中,当操作时间由工作时间段转变为非工作时间段时,减小目标带宽,反之,增大目标带宽。当操作量增加时,增大目标带宽,反之,减小目标带宽。
本发明通过在操作时间为非工作时间段以及操作量减少的情况下,减小目标带宽,突显了概率密度曲线局部的变化,有利于观察出细微异常的操作。同时,本发明通过在操作时间为工作时间段以及操作量增加的情况下,增大目标带宽,能够避免计算的复杂性,既保证了处理性能,又不影响判断概率密度曲线局部的变化。
进一步来讲,对于公式二中的核函数而言,其是积分值为1的非负函数。本发明采用高斯函数作为核函数进行核密度估计,从而能够使核密度估计的分布更加平滑。本发明的核函数的公式如下公式三:
本发明对FTP行为数据进行核密度估计的方法属于非参数估计方法,其可以在不利用任何先验条件的情况下,根据FTP行为数据对未知密度函数进行估计,达到所估结果与真实结果之间具有最小均方积分误差的目标。
在获得每种用户相关子特征的概率密度值之后,执行步骤104。对于步骤14而言,针对每一种用户相关特征而言,在获得该用户相关特征包含的所有用户相关子特征的概率密度值后,通过求和,获得该种用户相关特征的概率密度值。
例如,针对用户属性相关特征而言,若用户属性相关特征包含两种用户相关子特征,计算出这两种用户相关子特征的概率密度值分别为A1和A2后,通过对A1和A2求和,获得用户属性相关特征的概率密度值为A。同理,针对用户行为相关特征而言,若用户行为相关特征包含三种用户相关子特征,计算出这三种用户相关子特征的概率密度值分别为B1、B2和B3后,通过对B1、B2和B3求和,获得用户行为相关特征的概率密度值为B。
进一步,在步骤15中,通过对所有用户相关特征的概率密度值求积,获得FTP行为数据的多维度概率密度值,其公式表示如下:
其中,D(x)为FTP行为数据的多维度概率密度值,m为用户相关特征的数量,di(x)为第i种用户相关特征的概率密度值。例如,若仅包含两种用户相关特征,这两种用户相关特征的概率密度值分别为A和B,那么,用户相关特征的多维度概率密度值等于A与B乘积后的结果。
基于同一发明构思,本发明第二实施例提供一种识别异常FTP行为的方法,如图2所示,方法包括以下步骤:
步骤21:获取多组样本FTP行为数据,并通过上述第一实施例所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值。
步骤22:基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值。
步骤23:获取待识别FTP行为数据,并通过上述第一实施例所述的FTP行为数据处理方法,计算待识别FTP行为数据的多维度概率密度值。
步骤24:判断待识别FTP行为数据的多维度概率密度值是否小于或等于异常行为判定阈值。
步骤25:若待识别FTP行为数据的多维度概率密度值小于或等于异常行为判定阈值,则将待识别FTP行为数据确定为异常FTP行为,否则,将待识别FTP行为数据确定为正常FTP行为。
对于步骤21而言,首先,根据数据量的大小,确定时间聚合粒度。数据量越大,则时间聚合粒度越小;数据量越小,则时间聚合粒度越大。对于时间聚合粒度而言,细粒度的时间窗口可以以分钟或小时为单位,粗粒度的时间窗口可以以天为单位。接着,基于时间聚合粒度,获取多组样本FTP行为数据。例如,若时间聚合粒度为以天为单位,则以天为单位获取多组ftp行为数据,每组FTP行为数据包含一天中的所有FTP行为。本发明通过先根据数据量确定时间聚合粒度,再根据时间聚合粒度获取多组样本FTP行为数据,避免了采用固定的时间聚合粒度,当时间聚合粒度过大时,导致发现异常滞后,当时间聚合粒度过小时,无法涵盖异常操作行为,并且计算频繁,资源无法释放。
接着,根据本发明第一实施例所述的方法计算每组样本FTP行为数据的多维度概率密度值,由于第一实施例已经对FTP行为数据处理方法进行了详细说明,本发明实施例将不再赘述。
对于步骤22而言,在获得所有样本FTP行为数据的多维度概率密度值之后,先根据多维度概率密度值的大小对所有样本FTP行为数据进行排序,再根据预设可疑异常率,将排序结果中最小概率的临界值确定为异常行为判定阈值。例如,按照升序对所有样本FTP行为数据进行排序,密度值越小的样本FTP行为数据位置越靠前,若预设可疑异常率a为10%,当存在100组样本FTP行为数据时,由于100*10%=10,那么,将排序在第11位的样本FTP行为数据的多维度概率密度值确定为异常行为判定阈值M0。由于本发明的目的在于识别出异常的FTP行为,而,FTP行为数据的概率密度值越小,表明其越不符合分布,越有可能异常,因此,在确定异常行为判定阈值时,将最小概率的临界值作为最小概率的临界值。
在确定出异常行为判定阈值之后,基于异常行为判定阈值能够对任一待识别FTP行为数据进行识别,以判断待识别FTP行为数据是否属于异常FTP行为。具体来讲,在步骤23中,同样通过第一实施例所述的FTP行为数据处理方法,计算出待识别FTP行为数据的多维度概率密度值,此处不再赘述。
接着,判断待识别FTP行为数据的多维度概率密度值是否小于或等于异常行为判定阈值。若待识别FTP行为数据的多维度概率密度值小于或等于异常行为判定阈值,则将待识别FTP行为数据确定为异常FTP行为,否则,将待识别FTP行为数据确定为正常FTP行为。
进一步,当发现异常FTP行为时,系统发出告警,并触发相应的响应机制,包括由安全运维人员人工排查、溯源取证或进行自动化封堵,建立异常FTP行为的发现与响应的完整闭环控制。
基于同一发明构思,本发明第三实施例提供一种确定多维度概率密度值的装置,如图3所示,所述装置包括:
获取模块31,用于获取FTP行为数据;
提取模块32,用于基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;
估计模块33,用于基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;
第一确定模块34,用于根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;
第二确定模块35,用于根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据FTP行为数据的多维度概率密度值对异常FTP行为进行识别。
其中,估计模块33,包括:
抽取单元,用于从所述特征数据中抽取出归属于所述用户相关子特征的多个样本数据;
添加单元,用于基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重;
估计单元,用于基于添加有所述时间权重的所述样本数据,以及由所述样本数据的操作特征确定的目标带宽,对所述用户相关子特征进行核密度估计,获得所述用户相关子特征的概率密度值。
优选的,所述多种用户相关特征包括用户属性相关特征和用户行为相关特征,所述用户属性相关特征包括用户角色、用户工作状态、用户访问位置数量和访问不同IP数量中的一种以上用户相关子特征,所述用户行为相关特征包括用户登录时间是否异常、是否访问敏感路径、操作命令类型、是否下载文件和操作失败比例中的一种以上用户相关子特征。
优选的,所述添加单元,包括:
时间因子确定子单元,用于基于所述样本数据的操作时间,确定所述样本数据的时间因子,其中,操作时间位于工作时间段内的样本数据对应的时间因子小于操作时间位于非工作时间段内的样本数据的时间因子;
顺序因子确定子单元,用于基于所述操作时间的先后顺序,确定所述样本数据的顺序因子,其中,操作时间在后的样本数据对应的顺序因子大于操作时间在前的样本数据对应的顺序因子;
时间权重获得子单元,用于通过对所述时间因子和所述顺序因子求积,获得所述样本数据的时间权重,并将所述时间权重添加至所述样本数据。
优选的,所述操作特征包括操作时间和/或操作量,所述装置还包括:
调节模块,用于根据所述操作时间和/或所述操作量对所述目标带宽进行调节,其中,当所述操作时间由工作时间段转变为非工作时间段时,减小所述目标带宽,反之,增大所述目标带宽;当所述操作量增加时,增大所述目标带宽,反之,减小所述目标带宽。
基于同一发明构思,本发明第四实施例提供一种识别异常FTP行为的装置,如图4所示,所述装置包括:
样本获取模块41,用于获取多组样本FTP行为数据,并通过上述第一实施例所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值;
阈值计算模块42,用于基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值;
待识别数据获取模块43,用于获取待识别FTP行为数据,并通过上述第一实施例所述的FTP行为数据处理方法,计算所述待识别FTP行为数据的多维度概率密度值;
判断模块44,用于判断所述待识别FTP行为数据的多维度概率密度值是否小于或等于所述异常行为判定阈值;
异常行为确定模块45,用于若所述待识别FTP行为数据的多维度概率密度值小于或等于所述异常行为判定阈值,则将所述待识别FTP行为数据确定为异常FTP行为。
基于同一发明构思,本发明第五实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述第一实施例和第二实施例所述的方法步骤。
基于同一发明构思,本发明第六实施例还提供了一种计算机设备,如图5所示,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该计算机设备可以为包括手机、平板电脑、PDA(Personal DigitalAssistant,个人数字助理)、POS(Point of Sales,销售终端)、车载电脑等任意终端设备,以计算机设备为手机为例:
图5示出的是与本发明实施例提供的计算机设备相关的部分结构的框图。参考图5,该计算机设备包括:存储器501和处理器502。本领域技术人员可以理解,图5中示出的计算机设备结构并不构成对计算机设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图5对计算机设备的各个构成部件进行具体的介绍:
存储器501可用于存储软件程序以及模块,处理器502通过运行存储在存储器501的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器501可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储数据(比如音频数据、电话本等)等。此外,存储器501可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器502是计算机设备的控制中心,通过运行或执行存储在存储器501内的软件程序和/或模块,以及调用存储在存储器501内的数据,执行各种功能和处理数据。可选的,处理器502可包括一个或多个处理单元;优选的,处理器502可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。
在本发明实施例中,该计算机设备所包括的处理器502可以具有前述第一实施例和第二实施例所述的方法步骤所对应的功能。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以基于各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网址上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (9)
1.一种FTP行为数据处理方法,其特征在于,所述方法包括:
获取FTP行为数据;
基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;
基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;
根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;
根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别
其中,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值,包括:从所述特征数据中抽取出归属于所述用户相关子特征的多个样本数据;基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重;基于添加有所述时间权重的所述样本数据,以及由所述样本数据的操作特征确定的目标带宽,对所述用户相关子特征进行核密度估计,获得所述用户相关子特征的概率密度值;
其中,采用高斯函数作为核函数进行核密度估计,核函数的公式如下:
2.如权利要求1所述的方法,其特征在于,所述多种用户相关特征包括用户属性相关特征和用户行为相关特征,所述用户属性相关特征包括用户角色、用户工作状态、用户访问位置数量和访问不同IP数量中的一种以上用户相关子特征,所述用户行为相关特征包括用户登录时间是否异常、是否访问敏感路径、操作命令类型、是否下载文件和操作失败比例中的一种以上用户相关子特征。
3.如权利要求1所述的方法,其特征在于,所述基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重,包括:
基于所述样本数据的操作时间,确定所述样本数据的时间因子,其中,操作时间位于工作时间段内的样本数据对应的时间因子小于操作时间位于非工作时间段内的样本数据的时间因子;
基于所述操作时间的先后顺序,确定所述样本数据的顺序因子,其中,操作时间在后的样本数据对应的顺序因子大于操作时间在前的样本数据对应的顺序因子;
通过对所述时间因子和所述顺序因子求积,获得所述样本数据的时间权重,并将所述时间权重添加至所述样本数据。
4.如权利要求1所述的方法,其特征在于,所述操作特征包括操作时间和/或操作量;
在所述对所述用户相关子特征进行核密度估计之前,所述方法还包括:
根据所述操作时间和/或所述操作量对所述目标带宽进行调节,其中,当所述操作时间由工作时间段转变为非工作时间段时,减小所述目标带宽,反之,增大所述目标带宽;当所述操作量增加时,增大所述目标带宽,反之,减小所述目标带宽。
5.一种识别异常FTP行为的方法,其特征在于,所述方法包括:
获取多组样本FTP行为数据,并通过如权利要求1-4中任一权利要求所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值;
基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值;
获取待识别FTP行为数据,并通过如权利要求1-4中任一权利要求所述的FTP行为数据处理方法,计算所述待识别FTP行为数据的多维度概率密度值;
判断所述待识别FTP行为数据的多维度概率密度值是否小于或等于所述异常行为判定阈值;
若所述待识别FTP行为数据的多维度概率密度值小于或等于所述异常行为判定阈值,则将所述待识别FTP行为数据确定为异常FTP行为。
6.一种FTP行为数据处理装置,其特征在于,所述装置包括:
获取模块,用于获取FTP行为数据;
提取模块,用于基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;
估计模块,用于基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;
第一确定模块,用于根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;
第二确定模块,用于根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别;
其中,估计模块包括:抽取单元,用于从所述特征数据中抽取出归属于所述用户相关子特征的多个样本数据;添加单元,用于基于所述样本数据的操作时间以及所述操作时间的先后顺序,为每个所述样本数据添加对应的时间权重;估计单元,用于基于添加有所述时间权重的所述样本数据,以及由所述样本数据的操作特征确定的目标带宽,对所述用户相关子特征进行核密度估计,获得所述用户相关子特征的概率密度值;
其中,采用高斯函数作为核函数进行核密度估计,核函数的公式如下:
7.一种识别异常FTP行为的装置,其特征在于,所述装置包括:
样本获取模块,用于获取多组样本FTP行为数据,并通过如权利要求1-4中任一权利要求所述的FTP行为数据处理方法,分别计算每组样本FTP行为数据的多维度概率密度值;
阈值计算模块,用于基于预设可疑异常率,从计算出的所有多维度概率密度值中确定出异常行为判定阈值;
待识别数据获取模块,用于获取待识别FTP行为数据,并通过如权利要求1-4中任一权利要求所述的FTP行为数据处理方法,计算所述待识别FTP行为数据的多维度概率密度值;
判断模块,用于判断所述待识别FTP行为数据的多维度概率密度值是否小于或等于所述异常行为判定阈值;
异常行为确定模块,用于若所述待识别FTP行为数据的多维度概率密度值小于或等于所述异常行为判定阈值,则将所述待识别FTP行为数据确定为异常FTP行为。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一权利要求所述的方法步骤。
9.一种计算机设备,包括存储,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-4中任一权利要求所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010551781.9A CN111683102B (zh) | 2020-06-17 | 2020-06-17 | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010551781.9A CN111683102B (zh) | 2020-06-17 | 2020-06-17 | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111683102A CN111683102A (zh) | 2020-09-18 |
| CN111683102B true CN111683102B (zh) | 2022-12-06 |
Family
ID=72455224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010551781.9A Active CN111683102B (zh) | 2020-06-17 | 2020-06-17 | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111683102B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113542236A (zh) * | 2021-06-28 | 2021-10-22 | 中孚安全技术有限公司 | 一种基于核密度估计和指数平滑算法的异常用户检测方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800771A (zh) * | 2010-01-29 | 2010-08-11 | 北京理工大学 | 一种基于核密度估计的副本选择方法 |
| CN107103302A (zh) * | 2017-04-26 | 2017-08-29 | 重庆邮电大学 | 基于最佳检测门限的行为提取方法 |
| CN108809745A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信集团重庆有限公司 | 一种用户异常行为检测方法、装置及系统 |
| CN109150626A (zh) * | 2018-09-26 | 2019-01-04 | 郑州云海信息技术有限公司 | Ftp服务监测方法、装置、终端及计算机可读存储介质 |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109359138A (zh) * | 2018-10-19 | 2019-02-19 | 济南浪潮高新科技投资发展有限公司 | 一种基于核密度估计的异常检测方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
| JP2019159604A (ja) * | 2018-03-09 | 2019-09-19 | 株式会社インテック | 異常検知装置、異常検知方法及び異常検知プログラム |
| CN110971476A (zh) * | 2018-09-29 | 2020-04-07 | 珠海格力电器股份有限公司 | 一种文件下载行为的分析方法、系统及智能终端 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2951256C (en) * | 2015-12-08 | 2021-03-16 | Lavasoft Software Canada Inc. | Systems and methods for harmful file rating and screening in online file transfers |
-
2020
- 2020-06-17 CN CN202010551781.9A patent/CN111683102B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101800771A (zh) * | 2010-01-29 | 2010-08-11 | 北京理工大学 | 一种基于核密度估计的副本选择方法 |
| CN107103302A (zh) * | 2017-04-26 | 2017-08-29 | 重庆邮电大学 | 基于最佳检测门限的行为提取方法 |
| CN108809745A (zh) * | 2017-05-02 | 2018-11-13 | 中国移动通信集团重庆有限公司 | 一种用户异常行为检测方法、装置及系统 |
| JP2019159604A (ja) * | 2018-03-09 | 2019-09-19 | 株式会社インテック | 異常検知装置、異常検知方法及び異常検知プログラム |
| CN109167754A (zh) * | 2018-07-26 | 2019-01-08 | 北京计算机技术及应用研究所 | 一种网络应用层安全防护系统 |
| CN109150626A (zh) * | 2018-09-26 | 2019-01-04 | 郑州云海信息技术有限公司 | Ftp服务监测方法、装置、终端及计算机可读存储介质 |
| CN110971476A (zh) * | 2018-09-29 | 2020-04-07 | 珠海格力电器股份有限公司 | 一种文件下载行为的分析方法、系统及智能终端 |
| CN109359138A (zh) * | 2018-10-19 | 2019-02-19 | 济南浪潮高新科技投资发展有限公司 | 一种基于核密度估计的异常检测方法及装置 |
| CN110149343A (zh) * | 2019-05-31 | 2019-08-20 | 国家计算机网络与信息安全管理中心 | 一种基于流的异常通联行为检测方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111683102A (zh) | 2020-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
| CN109933984B (zh) | 一种最佳聚类结果筛选方法、装置和电子设备 | |
| CN107493277B (zh) | 基于最大信息系数的大数据平台在线异常检测方法 | |
| CN103336737B (zh) | 信息操纵系统及其实施的方法 | |
| CN114117311B (zh) | 数据访问风险检测方法、装置、计算机设备及存储介质 | |
| CN107679626A (zh) | 机器学习方法、装置、系统、存储介质及设备 | |
| CN110457175B (zh) | 业务数据处理方法、装置、电子设备及介质 | |
| CN110995652B (zh) | 一种基于深度迁移学习的大数据平台未知威胁检测方法 | |
| CN110753065B (zh) | 网络行为检测方法、装置、设备及存储介质 | |
| CN111191601A (zh) | 同行用户识别方法、装置、服务器及存储介质 | |
| CN113162923A (zh) | 基于用户行为的用户可信度评估方法、装置及存储介质 | |
| JP2022512195A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN110708339A (zh) | 一种基于web日志的关联分析方法 | |
| WO2010015145A1 (zh) | 过滤以及监控程序行为的方法和系统 | |
| CN111683102B (zh) | Ftp行为数据处理方法、识别异常ftp行为的方法及装置 | |
| US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
| CN113641970B (zh) | 风险检测方法、装置及计算设备 | |
| CN114564814A (zh) | 一种针对稀疏数据的动态阈值高斯核密度估计系统和方法 | |
| CN111064719A (zh) | 文件异常下载行为的检测方法及装置 | |
| Lee et al. | ATMSim: An anomaly teletraffic detection measurement analysis simulator | |
| CN110688360A (zh) | 分布式文件系统存储管理方法、装置、设备及存储介质 | |
| CN110650157B (zh) | 基于集成学习的Fast-flux域名检测方法 | |
| CN106682516A (zh) | 应用程序的检测方法、检测装置和服务器 | |
| CN114697127B (zh) | 一种基于云计算的业务会话风险处理方法及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |