CN111756745B - 告警方法、告警装置、终端设备及计算机可读存储介质 - Google Patents
告警方法、告警装置、终端设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111756745B CN111756745B CN202010591246.6A CN202010591246A CN111756745B CN 111756745 B CN111756745 B CN 111756745B CN 202010591246 A CN202010591246 A CN 202010591246A CN 111756745 B CN111756745 B CN 111756745B
- Authority
- CN
- China
- Prior art keywords
- target
- user
- information
- behavior
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Alarm Systems (AREA)
Abstract
本申请适用于信息安全技术领域,提供了告警方法、告警装置、终端设备及计算机可读存储介质,一种告警方法,包括:基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息,其中,所述目标告警信息基于所述指定用户的网络数据生成,所述网络数据基于所述指定用户对网络的访问得到;若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,对所述指定用户进行告警。通过上述方法,可以提升告警的准确性。
Description
技术领域
本申请属于信息安全技术领域,尤其涉及告警方法、告警装置及终端设备。
背景技术
目前,随着信息交互越来越多,信息安全也越来越受到各个企业的重视。为了保证企业的信息安全,往往需要对各个员工以及相关用户的泄密事件等违规操作事件进行告警。目前常用的信息安全监控方式往往是通过检测操作日志的形式检测用户的操作,若检测到用户触发指定操作,则针对用户触发的指定操作进行告警。然而,通过查询日志中用户的操作来进行监控往往容易造成误报、漏报,导致告警的准确率下降。
发明内容
本申请实施例提供了告警方法、告警装置及终端设备,可以提升告警的准确性。
第一方面,本申请实施例提供了一种告警方法,包括:
基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;
若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息,其中,上述目标告警信息基于上述指定用户的网络数据生成,上述网络数据基于上述指定用户对网络的访问得到;
若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警。
第二方面,本申请实施例提供了一种告警装置,包括:
获取模块,用于基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;
检测模块,用于若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息,其中,上述目标告警信息基于上述指定用户的网络数据生成,上述网络数据基于上述指定用户对网络的访问得到;
确定模块,用于若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警。
第三方面,本申请实施例提供了一种终端设备,包括存储器、处理器、显示器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,其特征在于,上述处理器执行上述计算机程序时实现如第一方面上述的告警方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现如第一方面上述的告警方法。
第五方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行上述第一方面中上述的告警方法。
本申请实施例与现有技术相比存在的有益效果是:本申请实施例中,基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,可以通过上述第一行为特征数据反映指定用户对指定终端的操作行为,从而在后续对指定用户的操作行为进行分析;若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定上述指定用户存在异常行为,则可以认为上述指定用户的操作中存在异常,因此,可以再检测是否获取到对上述指定用户的目标告警信息;其中,上述目标告警信息可以基于上述指定用户的网络数据确定,上述网络数据基于上述指定用户对网络的访问得到,从而可以在检测到上述指定用户存在异常行为之后,结合上述网络数据判断上述指定用户的异常行为是否有可能涉及通过网络的不法访问以及不当传输等等情况,并在检测到异常行为和上述目标告警信息之后,对上述指定用户进行告警,以减小个人偶尔的行为偏差所导致的误报,提升了告警的准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一实施例提供的一种告警方法的流程示意图;
图2是本申请一实施例提供的步骤S101的一种流程示意图;
图3是本申请一实施例提供的一种告警装置的结构示意图;
图4是本申请一实施例提供的终端设备的结构示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本申请实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。
应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本申请说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本申请实施例提供的告警方法可以应用于服务器、台式电脑、手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer,UMPC)、上网本、个人数字助理(personal digital assistant,PDA)等终端设备上,本申请实施例对终端设备的具体类型不作任何限制。
具体地,图1示出了本申请实施例提供的一种告警方法的流程图,该告警方法可以应用于终端设备。
如图1所示,该告警方法可以包括:
步骤S101,基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据。
本申请实施例中,上述指定用户可以根据实际应用场景来确定。例如,若在一些场景中,上述指定用户可以为特定企业的企业员工账号;而在另一些场景中,上述指定用户可以指通过特定受限网络进行通信的用户等等。示例性的,上述指定用户可以通过用户名称、用户编号、手机号以及邮箱等信息来进行标识。上述操作信息可以基于上述终端设备对上述操作的记录方式来确定。示例性的,上述操作信息可以包括日志信息、表格信息以及文本信息等等中的至少一种。具体的,上述操作信息可以包括诸如用户操作日志、安全日志、应用访问日志、网络访问日志以及记录诸如查询结果等操作结果的文件中的至少一种。上述操作信息的来源也可以根据实际场景来确定。例如,可以通过特定的网络接口、特定应用等等获取到上述操作信息。
需要说明的是,上述操作信息可以为上述指定用户在特定时间段内的操作信息,该特定时间段的截止时间可以为获取指定用户的第一行为特征数据的当前时刻,也可以是当前时刻以前。例如,在一些示例中,可以获取24小时之前至当前时刻的操作信息;而在一些示例中,可以获取当前时刻的前一天的上午九点到晚上10点之间的操作信息。或者,上述操作信息也可以为实时操作信息,此时,可以根据本申请实施例对上述操作信息进行实时监控。
上述指定终端可以为执行本申请实施例的终端设备,也可以为其他终端设备。当上述指定终端为其他终端设备时,可以通过指定终端向执行本申请实施例的终端设备发送上述操作信息,以使得执行本申请实施例的终端设备根据上述操作信息,获取指定用户的第一行为特征数据。
本申请实施例中,上述第一行为特征数据可以用于表征上述指定用户对指定终端的操作的类型、频率、操作时间、操作事项等等中的至少一种。其中,示例性的,上述第一行为特征数据可以包括至少一个行为特征和/或上述行为特征所对应的数据。可以从操作信息中提取至少一个行为特征,并获取上述行为特征所对应的数据,从而获取到指定用户的第一行为特征数据。例如,上述第一行为特征数据可以包括向外网发送文件的个数和频率、访问网站的域名信息、登陆的应用的名单以及连接的网络的类型等等。相应的,可以从安全日志中,获得上述指定用户向外网发送文件的个数和频率;或者,应用访问日志中获得登陆的应用的名单;或者,网络访问日志中获得连接的网络的类型。
在一些实施例中,上述基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据可以包括:
获取上述指定用户对指定终端的操作所获得的操作信息;
对上述操作信息进行数据预处理,获得预处理后的操作信息;
对上述操作信息进行信息提取,获得指定用户的第一行为特征数据。
其中,上述数据预处理可以包括诸如数据去重、数据过滤、数据清洗等预处理,以减小上述操作信息中的重复信息以及无用信息,提升后续信息提取的效率。
在一些实施例中,上述基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,包括:
步骤S201,从上述指定用户所对应的互联网接口处,获取目标时间段内的 DNS信息和/或流量信息;
步骤S202,获取目标时间段内上述指定用户的日志信息;
步骤S203,对上述日志信息,以及上述DNS信息和/或流量信息进行信息提取,获得上述第一行为特征数据。
本申请实施例中,上述域名系统(Domain Name System,DNS)信息可以包括DNS查询日志信息和/或DNS查询结果数据。其中,上述DNS用于域名与IP地址的相互转换,以及控制因特网的电子邮件的发送。因此,通过上述 DNS信息,可以确定上述指定用户所访问的域名的情况。上述流量信息可以指示上述指定用户通过上述指定终端经由互联网所传输的流量情况。上述日志信息可以来自上述指定终端中的一个或两个以上日志。例如,上述日志信息可以包括诸如用户操作日志、安全日志、应用访问日志以及网络访问日志中的至少一个日志的信息。通过上述日志信息,可以确定上述指定用户对指定终端的各种类型的操作的信息,从而在一些情况下可以获取到多个维度的特征数据以作为上述第一行为特征数据。
其中,上述目标时间段的时长以及开始时刻和截止时刻可以根据实际情况确定。例如,在一些示例中,上述目标时间段的截止时刻可以为获取指定用户的第一行为特征数据的当前时刻,也可以是当前时刻以前。而在一些示例中,上述目标时间段可以为24小时之前的时刻至当前时刻的时间段;而在一些示例中,上述目标时间段可以为当前时刻的前一天的上午九点到晚上10点之间的时间段。
步骤S102,若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息,其中,上述目标告警信息基于上述指定用户的网络数据生成,上述网络数据基于上述指定用户对网络的访问得到。
本申请实施例中,示例性的,上述指定用户所对应的目标指标可以预先根据上述指定用户上述的目标用户群组和/或上述指定用户的历史操作信息得到。上述目标指标可以有至少一个,其中,上述第一行为特征数据中,可以包括分别对应各个目标指标的特征数据。此外,也可以通过机器学习或者其他统计学方法确定上述目标指标。
其中,示例性的,上述指定用户上述的目标用户群组可以根据上述指定用户的属性信息来确定。上述属性特征可以指上述指定用户在诸如特定企业、特定组织中的身份、级别、职责以及部门等特征。上述指定用户的历史操作信息可以包括当前时刻之前的某一时间段内的操作信息,例如,可以包括当前时刻之前100天内的操作信息。通过上述历史操作信息,可以提取出指定用户在相应的时间段内的历史操作所对应的历史行为特征数据,并通过计算历史行为特征数据中的各个行为特征的平均值等方式,确定历史行为特征数据中各个行为特征所对应的标准值,并将计算得到的各个行为特征所对应的标准值作为上述指定用户的至少部分目标指标,以表征用户的日常行为方式等信息。
本申请实施例中,可以通过比对上述第一行为特征数据和上述指定用户所对应的目标指标,判断上述第一行为特征数据相对于上述目标指标的偏离情况,从而确定上述指定用户是否存在异常行为。其中,确定存在异常行为的具体判断标准可以有多种,例如,若上述第一行为特征数据与对应的上述目标指标之间的比值大于预设值,则可以认为上述指定用户存在异常行为。在一些示例中,上述第一行为特征数据可以包括多个行为特征数据,相应的,上述目标指标可以包括多个指标,因此,将该多个行为特征数据分别与对应的指标进行比对,获得各个比对子结果,再根据各个比对子结果,判断上述指定用户是否存在异常行为。示例性的,若存在至少一个比对子结果不符合对应的指定条件,则上述指定用户存在异常行为。
本申请实施例中,上述目标告警信息可以是在上述指定终端中生成的,也可以是除上述指定终端之外的其他终端生成并传输至上述指定终端的。其中,可以是上述其他终端或者上述指定终端获取到上述指定用户的网络数据之后,根据上述网络数据判断上述网络数据是否满足预设告警条件,若上述网络数据满足预设告警条件,则生成上述目标告警信息。
上述目标告警信息可以用于对上述指定用户对网络的异常访问等情况进行提示。生成上述目标告警信息所要满足的预设告警条件的设置方式可以有多种。
上述目标告警信息基于上述指定用户的网络数据生成。示例性的,上述网络数据可以包括诸如域名,IP地址,统一资源定位符(Uniform Resource Locator, URL),文件哈希值以及数字证书等等中的至少一种。当然,上述目标告警信息还可以基于其他数据来生成,而不仅限于上述网络数据,例如,还可以根据特定应用信息、特定服务信息、进程等信息来生成。具体的预设告警条件在此不作限制,例如,可以是所述指定用户的网络数据中,出现异常的数据的个数大于预设数值,则生成所述目标告警信息。示例性的,上述预设告警条件可以基于数据失陷指标(Indicator Of Data Compromise,IODC)来确定。在一些情况下,上述数据失陷指标也可以称为失陷指标(Indicator Of Compromise,IOC)。上述数据失陷指标可以包括网络数据和对应的主机数据,例如,上述数据失陷指标可以包括相应终端所访问的域名,IP地址,URL,文件哈希值以及Secure socket layer(SSL)证书,以及相应终端上运行的服务和进程等。
在一些实施例中,上述目标指标包括至少一个目标群组指标;
在若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息之前,还包括:
基于上述指定用户的至少两个属性特征,确定上述指定用户所属的目标用户群组;
从预设数据库中,获取属于上述目标用户群组的所有用户在第一时间段内的第二行为特征数据;
根据上述第二行为特征数据,确定上述目标用户群组的至少一个群组指标,并将上述目标用户群组的至少一个群组指标作为至少一个上述目标群组指标。
本申请实施例中,上述第一行为特征数据中可以包括对应各个目标群组指标的特征数据。
上述属性特征可以用于标识上述指定用户的某些个人属性或者社会属性。例如,上述属性特征可以指上述指定用户在诸如特定企业、特定组织中的身份、级别、职责以及部门等的特征。根据上述属性特征,可以确定上述指定用户的目标用户群组。
上述属性特征可以通过多种方式得到。例如,可以从上述指定用户预先提交的表格等文件中提取得到,或者,可以从预先存储于上述指定终端中的用户数据中提取得到。示例性的,可以获取上述指定终端中的活动目录(Active Directory,AD)域的域控制器中的轻量目录访问协议(Lightweight Directory Access Protocol,LDAP)用户数据。具体的,上述LDAP用户数据中可以存储有指定用户、指定终端与与指定终端连接的外部设备等对象、各个对象的账户、密码,以及分别用于标识各个对象的属性的信息;因此,可以从上述LDAP用户数据中获取上述指定用户的属性特征。
其中,目标用户群组中的各个用户的属性特征可以相同或者相似。一般来说,由于属性特征相同或者相似,上述目标用户群组的各个用户对相应的终端的操作往往存在一定的相似性。例如,上述目标用户群组中的用户为在同一公司的同一部门工作,工作职能相似且工作年限接近的员工,则上述目标用户群组中的各个员工的工作内容以及工作模式往往较为接近,导致上述目标用户群组中的各个员工对各自的终端的操作往往也存在一定的相似性。因此,可以根据上述目标用户群组中的各个用户的行为特征数据,确定该目标用户群组的目标群组指标,并将目标群组指标作为指定用户的至少部分目标指标。
本申请实施例中,示例性的,可以将上述第二行为特征数据中的各个特征数据的平均值或者中位数等作为上述目标用户群组的至少一个群组指标,并将上述目标用户群组的至少一个群组指标作为至少一个上述目标群组指标,从而可以评估上述指定用户的操作行为相对于上述目标用户群组中的员工行为基准的偏离情况,以判断上述指定用户的操作行为是否异常。
传统的信息安全监控中,仅仅是监控特定操作是否发生来判断用户是否违规。相较于传统的信息安全监控,本申请实施例中可以结合其他相似属性的用户的操作来设置目标群组指标,可以基于群组的行为特征来对指定用户进行异常行为分析,从而可以发现传统的信息安全监控中无法发现的潜在异常行为,从而使得告警更为准确。
在一些实施例中,上述目标指标包括至少一个目标个人指标;
在若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息之前,还包括:
获取上述指定用户在第二时间段内的第三行为特征数据,并根据上述第三行为特征数据,确定至少一个上述目标个人指标。
本申请实施例中,上述第一行为特征数据中可以包括对应各个目标个人指标的特征数据。
本申请实施例中,上述第二时间段的时长可以根据实际场景来确定。上述第二时间段可以为当前时刻之前的一个某一时间段。上述指定用户在第二时间段内的第三行为特征数据可以根据上述指定用户在上述第二时间段内的历史操作信息得到。例如,上述历史操作信息可以包括当前时刻之前100天内的操作信息。通过上述历史操作信息,可以提取出指定用户在相应的第二时间段内的历史操作所对应的第三行为特征数据,并通过计算第三行为特征数据中的各个行为特征的平均值、中位数等方式,确定第三行为特征数据中的各个行为特征所对应的标准值,并将计算得到的第三行为特征数据中的各个行为特征所对应的标准值作为上述指定用户的至少一个上述目标个人指标,以表征指定用户的日常行为方式。
本申请实施例中,根据上述目标个人指标,可以评估上述指定用户的当前操作行为相对于指定用户的日常行为方式的偏离情况,以及时发现上述指定用户的异常行为。
在一些实施例中,上述目标指标可以包括至少一个目标群组指标和至少一个目标个人指标,从而可以从多个维度对上述指定用户的操作行为进行评估,提升异常评估的全面性。
步骤S103,若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警。
本申请实施例中,对上述指定用户进行告警的告警方式可以根据所检测到的异常行为和所获取的目标告警信息的具体内容具体确定。例如,可以在特定的服务平台中向指定用户以及相关管理账号推送告警提示,上述告警提示的形式可以是文字、图像或者语音等等。此外,也可以通过限制上述指定用户的网络权限或者账号权限等等方式来防止进一步的信息泄露。
在一些实施例中,上述若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息,包括:
将上述第一行为特征数据中的各个特征数据与对应的目标指标分别进行比对;
若上述第一行为特征数据中的任一特征数据与对应的目标指标的比对结果不符合对应的预设条件,则确定上述指定用户存在一次异常行为;
若确定上述指定用户存在至少一次异常行为,则获取上述指定用户的异常行为的次数,并检测是否获取到对上述指定用户的目标告警信息;
上述若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警,包括:
若获取到上述目标告警信息,则根据上述指定用户的异常行为的次数和上述目标告警信息,对上述指定用户进行告警。
本申请实施例中,可以结合上述指定用户的异常行为的次数和上述目标告警信息来判断信息安全受到威胁的程度,以降低单一的、偶尔的行为偏差的干扰。
本申请实施例中,上述异常行为可以认为是根据用户的操作行为进行分析而确定的,但是在一些情况下,上述异常行为也可能是用户偶尔的行为偏差。因此,若仅根据用户的异常行为进行判断,很可能会导致大量的误报情况。而本申请实施例中,若确定出上述指定用户存在异常行为,则可以检测是否获取到对上述指定用户的目标告警信息,而若获取到上述目标告警信息,则可以结合上述目标告警信息判断指定用户的异常行为有可能涉及通过网络的不法访问以及不当传输等等情况,进而可以根据上述异常行为和上述目标告警信息,对上述指定用户进行告警,从而减小可误报的概率,提升了告警的准确性。
在一些实施例中,上述若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警,包括:
若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,确定上述指定用户所对应的告警等级;
根据上述告警等级,确定对上述指定用户的告警方式;
根据上述告警方式,对上述指定用户进行告警。
本申请实施例中,可以根据上述异常行为和上述目标告警信息,判断信息安全受到威胁的程度,从而确定相应的告警等级,以采用有针对性的告警方式对指定用户进行告警,防范信息泄露等安全问题产生。
示例性的,可以根据上述异常行为的个数、各个异常行为所对应的权重以及上述目标告警信息的对应分值等信息,确定相应的告警等级。
本申请实施例中,具体的告警方式可以根据实际场景需求来确定。示例性的,可以将上述异常行为和上述目标告警信息以及对应的告警等级存储至指定的安全预警分析平台,并在上述安全预警分析平台的前端页面进行展示;此外,也可以通过上述安全预警分析平台或者邮件、短信等方式通知指定用户以及相应的管理员等。
在一些实施例中,上述根据上述告警等级,确定对上述指定用户的告警方式,包括:
若上述告警等级为第一等级,则向上述指定用户发送关于上述异常行为和上述目标告警信息的告警信息;
若上述告警等级为第二等级,则断开上述指定用户的终端设备的网络连接。
本申请实施例中,各个告警等级所对应的告警方式可以预先确定。在一些示例中,上述第一等级可以认为是高威胁等级,此时,可以通过发送邮件、发送特定系统信息或者短信通知等方式,向上述指定用户发送关于上述异常行为和上述目标告警信息的告警信息,以使得指定用户能够进行反馈;此外,还可以进一步将指定用户的反馈发送给信息安全审计人员等,以由信息安全审计人员进一步核查。上述第二等级可以认为是严重威胁等级,此时,可以认为信息安全受到严重威胁,因此,可以通过断开上述指定用户的终端设备的网络连接,避免指定用户通过网络继续进行不法访问以及信息的不当传输,从而可以保证信息安全。
本申请实施例中,基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,可以通过上述第一行为特征数据反映指定用户对指定终端的操作行为,从而在后续对指定用户的操作行为进行分析;若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定上述指定用户存在异常行为,则可以认为上述指定用户的操作中存在异常,因此,可以再检测是否获取到对上述指定用户的目标告警信息;其中,上述目标告警信息可以基于上述指定用户的网络数据确定,上述网络数据基于上述指定用户对网络的访问得到,从而可以在检测到上述指定用户存在异常行为之后,结合上述网络数据判断上述指定用户的异常行为是否有可能涉及通过网络的不法访问以及不当传输等等情况,并在检测到异常行为和上述目标告警信息之后,对上述指定用户进行告警,以减小个人偶尔的行为偏差所导致的误报,提升了告警的准确性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
对应于上文实施例上述的告警方法,图3示出了本申请实施例提供的一种告警装置的结构框图,为了便于说明,仅示出了与本申请实施例相关的部分。
参照图3,该告警装置3包括:
获取模块301,用于基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;
检测模块302,用于若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定出上述指定用户存在异常行为,则检测是否获取到对上述指定用户的目标告警信息,其中,上述目标告警信息基于上述指定用户的网络数据生成,上述网络数据基于上述指定用户对网络的访问得到;
确定模块303,用于若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,对上述指定用户进行告警。
可选的,上述获取模块301具体包括:
第一获取单元,用于从上述指定用户所对应的互联网接口处,获取目标时间段内的DNS信息和/或流量信息;
第二获取单元,用于获取目标时间段内上述指定用户的日志信息;
信息提取单元,用于对上述日志信息,以及上述DNS信息和/或流量信息进行信息提取,获得上述第一行为特征数据。
可选的,上述目标指标包括至少一个目标群组指标;
上述告警装置3还包括:
第二确定模块,用于基于上述指定用户的至少两个属性特征,确定上述指定用户所属的目标用户群组;
第二获取模块,用于从预设数据库中,获取属于上述目标用户群组的所有用户在第一时间段内的第二行为特征数据;
第三确定模块,用于根据上述第二行为特征数据,确定上述目标用户群组的至少一个群组指标,并将上述目标用户群组的至少一个群组指标作为至少一个上述目标群组指标。
可选的,上述目标指标包括至少一个目标个人指标;
上述告警装置3还包括:
第三获取模块,用于获取上述指定用户在第二时间段内的第三行为特征数据,并根据上述第三行为特征数据,确定至少一个上述目标个人指标。
可选的,上述检测模块302具体包括:
比对单元,用于将上述第一行为特征数据中的各个特征数据与对应的目标指标分别进行比对;
第一确定单元,用于若上述第一行为特征数据中的任一特征数据与对应的目标指标的比对结果不符合对应的预设条件,则确定上述指定用户存在一次异常行为;
第三获取单元,用于若确定上述指定用户存在至少一次异常行为,则获取上述指定用户的异常行为的次数,并检测是否获取到对上述指定用户的目标告警信息;
上述确定模块303具体用于:
若获取到上述目标告警信息,则根据上述指定用户的异常行为的次数和上述目标告警信息,对上述指定用户进行告警。
可选的,上述确定模块303具体包括:
第二确定单元,用于若获取到上述目标告警信息,则根据上述异常行为和上述目标告警信息,确定上述指定用户所对应的告警等级;
第三确定单元,用于根据上述告警等级,确定对上述指定用户的告警方式;
告警单元,用于根据上述告警方式,对上述指定用户进行告警。
可选的,上述第三确定单元具体包括:
发送子单元,用于若上述告警等级为第一等级,则向上述指定用户发送关于上述异常行为和上述目标告警信息的告警信息;
处理子单元,用于若上述告警等级为第二等级,则断开上述指定用户的终端设备的网络连接。
本申请实施例中,基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,可以通过上述第一行为特征数据反映指定用户对指定终端的操作行为,从而在后续对指定用户的操作行为进行分析;若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定上述指定用户存在异常行为,则可以认为上述指定用户的操作中存在异常,因此,可以再检测是否获取到对上述指定用户的目标告警信息;其中,上述目标告警信息可以基于上述指定用户的网络数据确定,上述网络数据基于上述指定用户对网络的访问得到,从而可以在检测到上述指定用户存在异常行为之后,结合上述网络数据判断上述指定用户的异常行为是否有可能涉及通过网络的不法访问以及不当传输等等情况,并在检测到异常行为和上述目标告警信息之后,对上述指定用户进行告警,以减小个人偶尔的行为偏差所导致的误报,提升了告警的准确性。
需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将上述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图4为本申请一实施例提供的终端设备的结构示意图。如图4所示,该实施例的终端设备4包括:至少一个处理器40(图4中仅示出一个)、存储器41 以及存储在上述存储器41中并可在上述至少一个处理器40上运行的计算机程序42,上述处理器40执行上述计算机程序42时实现上述任意各个告警方法实施例中的步骤。
上述终端设备4可以是服务器、手机、可穿戴设备、增强现实(augmented reality,AR)/虚拟现实(virtual reality,VR)设备、桌上型计算机、笔记本、台式电脑以及掌上电脑等计算设备。该终端设备可包括,但不仅限于,处理器40、存储器41。本领域技术人员可以理解,图4仅仅是终端设备4的举例,并不构成对终端设备4的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如还可以包括输入设备、输出设备、网络接入设备等。其中,上述输入设备可以包括键盘、触控板、指纹采集传感器(用于采集用户的指纹信息和指纹的方向信息)、麦克风、摄像头等,输出设备可以包括显示器、扬声器等。
上述处理器40可以是中央处理单元(Central Processing Unit,CPU),该处理器40还可以是其他通用处理器、数字信号处理器(Digital Signal Processor, DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
上述存储器41在一些实施例中可以是上述终端设备4的内部存储单元,例如终端设备4的硬盘或内存。上述存储器41在另一些实施例中也可以是上述终端设备4的外部存储设备,例如上述终端设备4上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,上述存储器41还可以既包括上述终端设备4的内部存储单元也包括外部存储设备。上述存储器41用于存储操作系统、应用程序、引导装载程序(Boot Loader)、数据以及其他程序等,例如上述计算机程序的程序代码等。上述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。
另外,尽管未示出,上述终端设备4还可以包括网络连接模块,如蓝牙模块Wi-Fi模块、蜂窝网络模块等等,在此不再赘述。
本申请实施例中,上述处理器40执行上述计算机程序42以实现上述任意各个告警方法实施例中的步骤时,基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,可以通过上述第一行为特征数据反映指定用户对指定终端的操作行为,从而在后续对指定用户的操作行为进行分析;若根据上述第一行为特征数据和上述指定用户所对应的目标指标确定上述指定用户存在异常行为,则可以认为上述指定用户的操作中存在异常,因此,可以再检测是否获取到对上述指定用户的目标告警信息;其中,上述目标告警信息可以基于上述指定用户的网络数据确定,上述网络数据基于上述指定用户对网络的访问得到,从而可以在检测到上述指定用户存在异常行为之后,结合上述网络数据判断上述指定用户的异常行为是否有可能涉及通过网络的不法访问以及不当传输等等情况,并在检测到异常行为和上述目标告警信息之后,对上述指定用户进行告警,以减小个人偶尔的行为偏差所导致的误报,提升了告警的准确性。
本申请实施例还提供了一种计算机可读存储介质,上述计算机可读存储介质存储有计算机程序,上述计算机程序被处理器执行时实现可实现上述各个方法实施例中的步骤。
本申请实施例提供了一种计算机程序产品,当计算机程序产品在终端设备上运行时,使得终端设备执行时实现可实现上述各个方法实施例中的步骤。
上述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,上述计算机程序包括计算机程序代码,上述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。上述计算机可读介质至少可以包括:能够将计算机程序代码携带到拍照装置/终端设备的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM, RandomAccess Memory)、电载波信号、电信信号以及软件分发介质。例如U 盘、移动硬盘、磁碟或者光盘等。在某些司法管辖区,根据立法和专利实践,计算机可读介质不可以是电载波信号和电信信号。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的实施例中,应该理解到,所揭露的装置/网络设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/网络设备实施例仅仅是示意性的,例如,上述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
以上上述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (9)
1.一种告警方法,其特征在于,包括:
基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;
若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息,其中,所述目标告警信息基于所述指定用户的网络数据生成,所述网络数据基于所述指定用户对网络的访问得到;所述目标告警信息为根据所述网络数据判断所述网络数据是否满足预设告警条件,若所述网络数据满足预设告警条件,则生成所述目标告警信息;所述预设告警条件基于数据失陷指标确定;其中,所述数据失陷指标包括终端所访问的域名、IP地址、URL、文件哈希值以及SSL证书,以及终端上运行的服务和进程;
若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,对所述指定用户进行告警;
所述目标指标包括至少一个目标群组指标;
在若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息之前,还包括:
基于所述指定用户的至少两个属性特征,确定所述指定用户所属的目标用户群组;
从预设数据库中,获取属于所述目标用户群组的所有用户在第一时间段内的第二行为特征数据;
根据所述第二行为特征数据,确定所述目标用户群组的至少一个群组指标,并将所述目标用户群组的至少一个群组指标作为至少一个所述目标群组指标。
2.如权利要求1所述的告警方法,其特征在于,所述基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据,包括:
从所述指定用户所对应的互联网接口处,获取目标时间段内的DNS信息和/或流量信息;
获取目标时间段内所述指定用户的日志信息;
对所述日志信息,以及所述DNS信息和/或流量信息进行信息提取,获得所述第一行为特征数据。
3.如权利要求1所述的告警方法,其特征在于,所述目标指标包括至少一个目标个人指标;
在若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息之前,还包括:
获取所述指定用户在第二时间段内的第三行为特征数据,并根据所述第三行为特征数据,确定至少一个所述目标个人指标。
4.如权利要求1所述的告警方法,其特征在于,所述若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息,包括:
将所述第一行为特征数据中的各个特征数据与对应的目标指标分别进行比对;
若所述第一行为特征数据中的任一特征数据与对应的目标指标的比对结果不符合对应的预设条件,则确定所述指定用户存在一次异常行为;
若确定所述指定用户存在至少一次异常行为,则获取所述指定用户的异常行为的次数,并检测是否获取到对所述指定用户的目标告警信息;
所述若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,对所述指定用户进行告警,包括:
若获取到所述目标告警信息,则根据所述指定用户的异常行为的次数和所述目标告警信息,对所述指定用户进行告警。
5.如权利要求1至4任意一项所述的告警方法,其特征在于,所述若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,对所述指定用户进行告警,包括:
若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,确定所述指定用户所对应的告警等级;
根据所述告警等级,确定对所述指定用户的告警方式;
根据所述告警方式,对所述指定用户进行告警。
6.如权利要求5所述的告警方法,其特征在于,所述根据所述告警等级,确定对所述指定用户的告警方式,包括:
若所述告警等级为第一等级,则向所述指定用户发送关于所述异常行为和所述目标告警信息的告警信息;
若所述告警等级为第二等级,则断开所述指定用户的终端设备的网络连接。
7.一种告警装置,其特征在于,包括:
获取模块,用于基于指定用户对指定终端的操作所获得的操作信息,获取指定用户的第一行为特征数据;
检测模块,用于若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为,则检测是否获取到对所述指定用户的目标告警信息,其中,所述目标告警信息基于所述指定用户的网络数据生成,所述网络数据基于所述指定用户对网络的访问得到;所述目标告警信息为根据所述网络数据判断所述网络数据是否满足预设告警条件,若所述网络数据满足预设告警条件,则生成所述目标告警信息;所述预设告警条件基于数据失陷指标确定;其中,所述数据失陷指标包括终端所访问的域名、IP地址、URL、文件哈希值以及SSL证书,以及终端上运行的服务和进程;
确定模块,用于若获取到所述目标告警信息,则根据所述异常行为和所述目标告警信息,对所述指定用户进行告警;
所述目标指标包括至少一个目标群组指标;
所述告警装置,还包括:
第二确定模块,用于基于所述指定用户的至少两个属性特征,确定所述指定用户所属的目标用户群组;
第二获取模块,用于从预设数据库中,获取属于所述目标用户群组的所有用户在第一时间段内的第二行为特征数据;
第三确定模块,用于根据所述第二行为特征数据,确定所述目标用户群组的至少一个群组指标,并将所述目标用户群组的至少一个群组指标作为至少一个所述目标群组指标。
8.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的告警方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的告警方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010591246.6A CN111756745B (zh) | 2020-06-24 | 2020-06-24 | 告警方法、告警装置、终端设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010591246.6A CN111756745B (zh) | 2020-06-24 | 2020-06-24 | 告警方法、告警装置、终端设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111756745A CN111756745A (zh) | 2020-10-09 |
| CN111756745B true CN111756745B (zh) | 2022-12-06 |
Family
ID=72677262
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010591246.6A Active CN111756745B (zh) | 2020-06-24 | 2020-06-24 | 告警方法、告警装置、终端设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111756745B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112769867A (zh) * | 2021-02-05 | 2021-05-07 | 国网福建省电力有限公司电力科学研究院 | 一种针对变电站仿真设备的安全评估方法 |
| CN113569944B (zh) * | 2021-07-26 | 2024-06-04 | 北京奇艺世纪科技有限公司 | 一种异常用户识别方法、装置、电子设备及存储介质 |
| CN115273231A (zh) * | 2022-07-25 | 2022-11-01 | 京东方科技集团股份有限公司 | 信息处理方法、装置、存储介质及电子设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10567535B2 (en) * | 2017-01-27 | 2020-02-18 | International Business Machines Corporation | Monitoring and alerting a user to variants from predicted patterns based on real time device analysis |
| CN108537243B (zh) * | 2017-03-06 | 2020-09-11 | 中国移动通信集团北京有限公司 | 一种违规告警方法及装置 |
| CN107566163B (zh) * | 2017-08-10 | 2020-11-06 | 奇安信科技集团股份有限公司 | 一种用户行为分析关联的告警方法及装置 |
| CN109660502A (zh) * | 2018-09-28 | 2019-04-19 | 平安科技(深圳)有限公司 | 异常行为的检测方法、装置、设备及存储介质 |
| CN109688166B (zh) * | 2019-02-28 | 2021-06-04 | 新华三信息安全技术有限公司 | 一种异常外发行为检测方法及装置 |
-
2020
- 2020-06-24 CN CN202010591246.6A patent/CN111756745B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN111756745A (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111756745B (zh) | 告警方法、告警装置、终端设备及计算机可读存储介质 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| WO2021012509A1 (zh) | 一种异常账号检测方法、装置及计算机存储介质 | |
| CN111031035B (zh) | 一种敏感数据访问行为监控方法及装置 | |
| CN109543891B (zh) | 容量预测模型的建立方法、设备及计算机可读存储介质 | |
| US9871826B1 (en) | Sensor based rules for responding to malicious activity | |
| CN108881271B (zh) | 一种代理主机的反向追踪溯源方法及装置 | |
| CN109684863B (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| CN113132297A (zh) | 数据泄露的检测方法及装置 | |
| CN115329381A (zh) | 基于敏感数据的分析预警方法、装置、计算机设备及介质 | |
| CN110572358A (zh) | 数据泄露处理方法、装置、电子设备及存储介质 | |
| CN117609992A (zh) | 一种数据泄密检测方法、装置及存储介质 | |
| CN112085588B (zh) | 规则模型的安全性的确定方法、装置和数据处理方法 | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN111212153A (zh) | Ip地址核查方法、装置、终端设备及存储介质 | |
| CN116633666A (zh) | 网络异常行为检测方法、装置、电子设备及存储介质 | |
| CN113904828B (zh) | 接口的敏感信息检测方法、装置、设备、介质和程序产品 | |
| CN114238279A (zh) | 数据库安全防护方法、装置、系统、存储介质和电子设备 | |
| CN114969450A (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| CN113961414A (zh) | 一种日志数据的处理方法、装置、设备及存储介质 | |
| CN112084504A (zh) | 病毒文件的处理方法、装置、电子设备及可读存储介质 | |
| CN110418020B (zh) | 名单状态信息处理方法、装置、电子终端及存储介质 | |
| CN112764974B (zh) | 信息资产在线管理方法及系统 | |
| CN116915463B (zh) | 一种调用链数据安全分析方法、装置、设备及存储介质 | |
| CN117729038A (zh) | 一种分析待处理数据的方法、装置、介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |