CN112039856A - 资产异常行为的检测方法和装置及计算机可读存储介质 - Google Patents

资产异常行为的检测方法和装置及计算机可读存储介质 Download PDF

Info

Publication number
CN112039856A
CN112039856A CN202010815898.3A CN202010815898A CN112039856A CN 112039856 A CN112039856 A CN 112039856A CN 202010815898 A CN202010815898 A CN 202010815898A CN 112039856 A CN112039856 A CN 112039856A
Authority
CN
China
Prior art keywords
network behavior
asset
assets
network
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010815898.3A
Other languages
English (en)
Inventor
虎志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Lanyun Technologies Co ltd
Original Assignee
Beijing Lanyun Technologies Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Lanyun Technologies Co ltd filed Critical Beijing Lanyun Technologies Co ltd
Priority to CN202010815898.3A priority Critical patent/CN112039856A/zh
Publication of CN112039856A publication Critical patent/CN112039856A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明实施例公开了一种资产异常行为的检测方法和装置及计算机可读存储介质,包括:获取企业网络中的资产的网络行为指标;根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。本发明实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。

Description

资产异常行为的检测方法和装置及计算机可读存储介质
技术领域
本发明实施例涉及但不限于互联网技术领域,尤指一种资产异常行为的检测方法和装置及计算机可读存储介质。
背景技术
企业安全中核心的一点,就是要保证企业中的网络资产(如服务器,办公机,网络设备等)安全。信息化时代,企业中的网络资产(即企业网络环境中的资产)是保证网络环境正常运行的关键组件、又是企业信息资源的载体,因此,网络资产的安全尤为重要。
当资产正在遭受威胁或已经被攻陷时,其网络行为往往表现出不同于同类型资产的异常行为,因此对异常行为的检测是及早发现威胁,保证资产安全的关键。
目前对资产异常行为的检测主要集中在资产的内部运行指标的异常检测,如CPU、内存、磁盘、进程运行等。这种对资产内部运行指标的检测方法中,只能检测到资产本身运行情况的异常,而在企业网络安全中,企业内部被威胁或被攻陷的资产的异常行为通常表现为网络行为异常,这种对资产内部运行指标的异常检测是无法对资产的网络行为进行检测的。
发明内容
本发明实施例提供了一种资产异常行为的检测方法和装置及计算机可读存储介质,能够对资产的网络行为进行检测。
本发明实施例提供了一种资产异常行为的检测方法,包括:
获取企业网络中的资产的网络行为指标;
根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。
在一些示例性实例中,所述网络行为指标包括以下一个或多个的任意组合:
连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;
其中,所述连接关系为所述资产主动访问过的内网的网段,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。
在一些示例性实例中,当所述网络行为指标包括连接关系时,所述获取企业网络中的资产的网络行为指标之前,该方法还包括:
分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。
在一些示例性实例中,所述分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标包括:
分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;
所述分别根据获得的历史网络行为指标确定每一个分组的基线包括:
确定每一个所述分组的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。
在一些示例性实例中,当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,所述确定资产的网络行为指标是否正常之前,该方法还包括:
分别获取企业网络中的每一个分组中的所有资产在第t时间窗内的网络行为指标;其中,所述时间窗的时间长度为单位时间,t为大于或等于1的整数;
根据获得的每一个所述分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线。
在一些示例性实例中,所述根据获得的每一个分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线包括:
确定每一个所述分组的网络行为指标的基线为[PL,PU];
其中,PL=μztj-3σztj,PU=μztj+3σztj
Figure BDA0002632664920000031
其中,μztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值,σztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差,n为第z个分组中的资产数量,xzijt为第z个分组中的第i个资产在第t时间窗内的第j中网络行为指标。
在一些示例性实例中,所述根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常包括以下一个或多个的任意组合:
当所述获得的网络行为指标在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标正常;
当所述获得的网络行为指标不在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标异常。
在一些示例性实例中,所述企业网络中的资产根据一个或一个以上维度进行分组。
本发明实施例还提出了一种资产异常行为的检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种资产异常行为的检测方法。
本发明实施例还提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种资产异常行为的检测方法的步骤。
本发明实施例包括:获取企业网络中的资产的网络行为指标;根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。本发明实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。
本发明实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明实施例技术方案的进一步理解,并且构成说明书的一部分,与本发明实施例的实施例一起用于解释本发明实施例的技术方案,并不构成对本发明实施例技术方案的限制。
图1为本发明一个实施例提出的资产异常行为的检测方法的流程图;
图2为本发明另一个实施例提出的资产异常行为的检测装置的结构组成示意图。
具体实施方式
下文中将结合附图对本发明实施例进行详细说明。需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
参见图1,本发明一个实施例提出了资产异常行为的检测方法,包括:
步骤100、获取企业网络中的资产的网络行为指标。
在一个示例性实例中,网络行为指标包括以下一个或多个的任意组合:
连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;
其中,所述连接关系为所述资产主动访问过的内网的网段,即资产主动访问过的IP地址范围,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。
在一个示例性实例中,上述单位时间可以随意设定,本发明实施例对此不作限定,具体的取值不用于限定本发明实施例的保护范围,例如,可以设定为1分钟、5分钟、1小时等。
在一个示例性实例中,可以采用以下方式实现获取企业网络中的资产的网络行为指标:
获取企业网络中的资产的流量数据;根据获得的资产的流量数据确定资产的网络行为指标。
在一个示例性实例中,可以采用以下方式实现获取企业网络中的资产的流量数据:
通过探针采集流量数据,根据采集的流量数据的源互联网协议(IP,InternetProtocol)地址判断所述流量数据是否是企业网络中的资产的流量数据。
在一个示例性实例中,根据采集的流量数据的源IP地址判断流量数据是否是企业网络中的资产的流量数据包括以下一个或多个的任意组合:
当采集的流量数据的源IP地址为企业内网的IP地址时,确定采集的流量数据为企业网络中的资产的流量数据;
当采集的流量数据的源IP地址不是企业内网的IP地址时,确定采集的流量数据不是企业网络中的资产的流量数据。
步骤101、根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。
在一个示例性实例中,企业网络中的资产根据一个或一个以上维度进行分组;其中,所述维度包括以下一个或多个的任意组合:资产类型、业务功能。当然,所述维度还可以是其他维度,本发明实施例对具体的维度不作限定,本领域技术人员可以根据实际情况来确定分组的维度。
例如,如表1所示,可以从资产类型和业务功能两个维度对资产进行分组。
标签 PC主机 交换机 服务器 ……
人事部资产 Z1 Z2
财务部资产 Z3 Z3 Z4
业务部资产 Z5 Z6
…… Zn
表1
在一个示例性实例中,根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常之前该方法还包括:确定获得的网络行为指标所在的分组的网络行为指标的基线。
具体的,可以采用以下方式获取获得的网络行为指标所在的分组的网络行为指标的基线:
在预先设置的资产和分组标识之间的第一对应关系中,查找所述资产对应的分组标识;在预先设置的分组标识和网络行为指标的基线之间的第二对应关系中,查找查找到的分组标识对应的网络行为指标的基线。
或者,在预先设置的资产和分组的网络行为指标的基线之间的第三对应关系中,查找所述资产对应的分组的网络行为指标的基线。
下面分为两种情况分别描述分组的网络行为指标的基线的获取方式。
(一)当所述网络行为指标包括连接关系时,每一个分组的网络行为指标的基线采用以下方式获得:
分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。
在一个示例性实例中,分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标包括:
分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;
所述分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线包括:
确定每一个所述分组的网络行为指标的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。
例如,采用LziIP表示第z个分组中的第i个资产在预设历史时间段T内访问过的内网的网段列表,则LziIP=[wzi1,wzi2,…,wzik,…,wzin]T,1≤k≤n,wzik表示第z个分组中的第i个资产在预设历史时间段T内访问过的第k个网段,n为第z个分组中的资产数量,那么,第z个分组中的所有资产在预设历史时间段T内访问过的内网的网段的并集即为第z个分组的基线,即LZ=Lz1IP∪Lz2IP∪...∪LznIP
本发明实施例对预设历史时间段不作限定,例如可以是一天或一周或一个月。
(二)当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,每一个分组的网络行为指标的基线采用以下方式获得:
分别获取企业网络中的每一个分组中的所有资产在第t时间窗内的网络行为指标;其中,所述时间窗的时间长度为单位时间,t为大于或等于1的整数;根据获得的每一个所述分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线。
在一个示例性实例中,根据获得的每一个分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线包括:
确定每一个所述分组的基线为[PL,PU];
其中,PL=μztj-3σztj,PU=μztj+3σztj
Figure BDA0002632664920000081
其中,μztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值,σztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差,n为第z个分组中的资产数量,xzijt为第z个分组中的第i个资产在第t时间窗内的第j中网络行为指标。
例如,采用Lztj表示第z个分组中的所有资产在第t时间窗内的第j种网络行为指标,Lztj=[xz1jt,xz2jt,…,xzijt,…,xznjt];xzijt为第z个分组中的第i个资产在第t时间窗内的第j种网络行为指标。
计算第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值:
Figure BDA0002632664920000082
计算第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差:
Figure BDA0002632664920000083
则可以得到第z个分组的第j中网络行为指标的下基线为:PL=μztj-3σztj,上基线为:PU=μztj+3σztj
在一个示例性实例中,根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常包括以下一个或多个的任意组合:
当所述获得的网络行为指标在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标正常;
当所述获得的网络行为指标不在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标异常。
下面分为两种情况分别描述如何判断资产的网络行为指标是否正常。
(一)当网络行为指标包括连接关系时,采用以下方式实现判断资产的网络行为指标是否正常:
当在资产所在的分组的所有资产在预设历史时间段内的连接关系的并集中包括获得的网络行为指标(即xziIP∈LZ,xziIP为第z个分组中的第i个资产的连接关系)时,确定资产的网络行为指标正常;
当在资产所在的分组的所有资产在预设历史时间段内的连接关系的并集中不包括获得的网络行为指标(即xziIP∈LZ,xziIP为第z个分组中的第i个资产的连接关系)时,确定资产的网络行为指标异常。
(二)当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,采用以下方式实现判断资产的网络行为指标是否正常:
当PL≤xzijt≤PU时,确定第z个分组中的第i个资产的网络行为指标正常;
当xzijt<PL或xzijt>PU时,确定第z个分组中的第i个资产的网络行为指标异常。
本发明实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。
本发明另一个实施例提出了一种资产异常行为的检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种资产异常行为的检测方法。
本发明另一个实施例提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种资产异常行为的检测方法的步骤。
参见图2,本发明另一个实施例提出了一种资产异常行为的检测装置,包括:
网络行为指标获取模块201,用于获取企业网络中的资产的网络行为指标;
网络行为指标检测模块202,用于根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。
在一个示例性实例中,网络行为指标包括以下一个或多个的任意组合:
连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;
其中,所述连接关系为所述资产主动访问过的内网的网段,即资产主动访问过的IP地址范围,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。
在一个示例性实例中,上述单位时间可以随意设定,本发明实施例对此不作限定,具体的取值不用于限定本发明实施例的保护范围,例如,可以设定为1分钟、5分钟、1小时等。
在一个示例性实例中,网络行为指标获取模块201可以采用以下方式实现获取企业网络中的资产的网络行为指标:
获取企业网络中的资产的流量数据;根据获得的资产的流量数据确定资产的网络行为指标。
在一个示例性实例中,网络行为指标获取模块201可以采用以下方式实现获取企业网络中的资产的流量数据:
通过探针采集流量数据,根据采集的流量数据的源互联网协议(IP,InternetProtocol)地址判断所述流量数据是否是企业网络中的资产的流量数据。
在一个示例性实例中,网络行为指标获取模块201具体用于采用以下一个或多个的任意组合方式实现根据采集的流量数据的源IP地址判断流量数据是否是企业网络中的资产的流量数据:
当采集的流量数据的源IP地址为企业内网的IP地址时,确定采集的流量数据为企业网络中的资产的流量数据;
当采集的流量数据的源IP地址不是企业内网的IP地址时,确定采集的流量数据不是企业网络中的资产的流量数据。
在一个示例性实例中,企业网络中的资产根据一个或一个以上维度进行分组;其中,所述维度包括以下一个或多个的任意组合:资产类型、业务功能。当然,所述维度还可以是其他维度,本发明实施例对具体的维度不作限定,本领域技术人员可以根据实际情况来确定分组的维度。
例如,如表1所示,可以从资产类型和业务功能两个维度对资产进行分组。
在一个示例性实例中,网络行为指标检测模块202还用于:确定获得的网络行为指标所在的分组的网络行为指标的基线。
具体的,网络行为指标检测模块202可以采用以下方式获取获得的网络行为指标所在的分组的网络行为指标的基线:
在预先设置的资产和分组标识之间的第一对应关系中,查找所述资产对应的分组标识;在预先设置的分组标识和网络行为指标的基线之间的第二对应关系中,查找查找到的分组标识对应的网络行为指标的基线。
或者,在预先设置的资产和分组的网络行为指标的基线之间的第三对应关系中,查找所述资产对应的分组的网络行为指标的基线。
在本发明另一个实施例中,还包括:基线确定模块203,用于获取每一个分组的网络行为指标的基线。
下面分为两种情况分别描述基线确定模块203如何获取分组的网络行为指标的基线。
(一)当所述网络行为指标包括连接关系时,网络行为指标获取模块201还用于:分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;
基线确定模块203采用以下方式获得每一个分组的网络行为指标的基线:分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。
在一个示例性实例中,网络行为指标获取模块201采用以下方式实现分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标:
分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;
基线确定模块203采用以下方式实现所述分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线:
确定每一个所述分组的网络行为指标的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。
例如,采用LziIP表示第z个分组中的第i个资产在预设历史时间段T内访问过的内网的网段列表,则LziIP=[wzi1,wzi2,…,wzik,…,wzin]T,1≤k≤n,wzik表示第z个分组中的第i个资产在预设历史时间段T内访问过的第k个网段,n为第z个分组中的资产数量,那么,第z个分组中的所有资产在预设历史时间段T内访问过的内网的网段的并集即为第z个分组的基线,即LZ=Lz1IP∪Lz2IP∪...∪LznIP
本发明实施例对预设历史时间段不作限定,例如可以是一天或一周或一个月。
(二)当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,网络行为指标获取模块201还用于:
分别获取企业网络中的每一个分组中的所有资产在第t时间窗内的网络行为指标;其中,所述时间窗的时间长度为单位时间,t为大于或等于1的整数;
基线确定模块203具体用于采用以下方式获得每一个分组的网络行为指标的基线:根据获得的每一个所述分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线。
在一个示例性实例中,基线确定模块203具体用于采用以下方式实现根据获得的每一个分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线:
确定每一个所述分组的基线为[PL,PU];
其中,PL=μztj-3σztj,PU=μztj+3σztj
Figure BDA0002632664920000131
其中,μztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值,σztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差,n为第z个分组中的资产数量,xzijt为第z个分组中的第i个资产在第t时间窗内的第j中网络行为指标。
例如,采用Lztj表示第z个分组中的所有资产在第t时间窗内的第j种网络行为指标,Lztj=[xz1jt,xz2jt,…,xzijt,…,xznjt];xzijt为第z个分组中的第i个资产在第t时间窗内的第j种网络行为指标。
计算第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值:
Figure BDA0002632664920000132
计算第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差:
Figure BDA0002632664920000133
则可以得到第z个分组的第j中网络行为指标的下基线为:PL=μztj-3σztj,上基线为:PU=μztj+3σztj
在一个示例性实例中,网络行为指标检测模块202具体用于采用以下一个或多个的任意组合方式实现根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常:
当所述获得的网络行为指标在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标正常;
当所述获得的网络行为指标不在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标异常。
下面分为两种情况分别描述网络行为指标检测模块202如何判断资产的网络行为指标是否正常。
(一)当网络行为指标包括连接关系时,网络行为指标检测模块202采用以下方式实现判断资产的网络行为指标是否正常:
当在资产所在的分组的所有资产在预设历史时间段内的连接关系的并集中包括获得的网络行为指标(即xziIP∈LZ,xziIP为第z个分组中的第i个资产的连接关系)时,确定资产的网络行为指标正常;
当在资产所在的分组的所有资产在预设历史时间段内的连接关系的并集中不包括获得的网络行为指标(即xziIP∈LZ,xziIP为第z个分组中的第i个资产的连接关系)时,确定资产的网络行为指标异常。
(二)当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,网络行为指标检测模块202采用以下方式实现判断资产的网络行为指标是否正常:
当PL≤xzijt≤PU时,确定第z个分组中的第i个资产的网络行为指标正常;
当xzijt<PL或xzijt>PU时,确定第z个分组中的第i个资产的网络行为指标异常。
本发明实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
虽然本发明实施例所揭露的实施方式如上,但所述的内容仅为便于理解本发明实施例而采用的实施方式,并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员,在不脱离本发明实施例所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明实施例的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (10)

1.一种资产异常行为的检测方法,包括:
获取企业网络中的资产的网络行为指标;
根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。
2.根据权利要求1所述的检测方法,其特征在于,其中,所述网络行为指标包括以下一个或多个的任意组合:
连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;
其中,所述连接关系为所述资产主动访问过的内网的网段,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。
3.根据权利要求2所述的检测方法,其特征在于,当所述网络行为指标包括连接关系时,所述获取企业网络中的资产的网络行为指标之前,该方法还包括:
分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。
4.根据权利要求3所述的检测方法,其特征在于,所述分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标包括:
分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;
所述分别根据获得的历史网络行为指标确定每一个分组的基线包括:
确定每一个所述分组的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。
5.根据权利要求2所述的检测方法,其特征在于,当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,所述确定资产的网络行为指标是否正常之前,该方法还包括:
分别获取企业网络中的每一个分组中的所有资产在第t时间窗内的网络行为指标;其中,所述时间窗的时间长度为单位时间,t为大于或等于1的整数;
根据获得的每一个所述分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线。
6.根据权利要求5所述的检测方法,其特征在于,其中,所述根据获得的每一个分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线包括:
确定每一个所述分组的网络行为指标的基线为[PL,PU];
其中,PL=μztj-3σztj,PU=μztj+3σztj
Figure FDA0002632664910000021
其中,μztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值,σztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差,n为第z个分组中的资产数量,xzijt为第z个分组中的第i个资产在第t时间窗内的第j中网络行为指标。
7.根据权利要求1所述的检测方法,其特征在于,其中,所述根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常包括以下一个或多个的任意组合:
当所述获得的网络行为指标在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标正常;
当所述获得的网络行为指标不在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标异常。
8.根据权利要求1所述的检测方法,其特征在于,所述企业网络中的资产根据一个或一个以上维度进行分组。
9.一种资产异常行为的检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令被所述处理器执行时,实现如权利要求1~8任一项所述的资产异常行为的检测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1~8任一项所述的资产异常行为的检测方法的步骤。
CN202010815898.3A 2020-08-14 2020-08-14 资产异常行为的检测方法和装置及计算机可读存储介质 Pending CN112039856A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010815898.3A CN112039856A (zh) 2020-08-14 2020-08-14 资产异常行为的检测方法和装置及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010815898.3A CN112039856A (zh) 2020-08-14 2020-08-14 资产异常行为的检测方法和装置及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN112039856A true CN112039856A (zh) 2020-12-04

Family

ID=73578480

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010815898.3A Pending CN112039856A (zh) 2020-08-14 2020-08-14 资产异常行为的检测方法和装置及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112039856A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
CN105610647A (zh) * 2015-12-30 2016-05-25 华为技术有限公司 一种探测业务异常的方法和服务器
CN107705149A (zh) * 2017-09-22 2018-02-16 平安科技(深圳)有限公司 数据实时监控方法、装置、终端设备及存储介质
US20200204576A1 (en) * 2018-12-21 2020-06-25 EMC IP Holding Company LLC Automated determination of relative asset importance in an enterprise system
CN111339297A (zh) * 2020-02-21 2020-06-26 广州天懋信息系统股份有限公司 网络资产异常检测方法、系统、介质和设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103532940A (zh) * 2013-09-30 2014-01-22 广东电网公司电力调度控制中心 网络安全检测方法及装置
CN105610647A (zh) * 2015-12-30 2016-05-25 华为技术有限公司 一种探测业务异常的方法和服务器
CN107705149A (zh) * 2017-09-22 2018-02-16 平安科技(深圳)有限公司 数据实时监控方法、装置、终端设备及存储介质
US20200204576A1 (en) * 2018-12-21 2020-06-25 EMC IP Holding Company LLC Automated determination of relative asset importance in an enterprise system
CN111339297A (zh) * 2020-02-21 2020-06-26 广州天懋信息系统股份有限公司 网络资产异常检测方法、系统、介质和设备

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
李卓伟: "《管理信息系统 第2版》", 31 July 2014, 中国铁道出版社 *
邹柏贤: "一种网络异常实时检测方法", 《计算机学报》 *

Similar Documents

Publication Publication Date Title
WO2019136955A1 (zh) 基于画像技术的网络异常检测方法、装置、设备及介质
CN104899952B (zh) 基于即时通讯应用的考勤方法及装置
US7860870B2 (en) Detection of abnormal user click activity in a search results page
EP3841730B1 (en) Identifying device types based on behavior attributes
CN113472607B (zh) 应用程序网络环境检测方法、装置、设备及存储介质
CN104601547A (zh) 一种非法操作的识别方法及装置
CN110417747B (zh) 一种暴力破解行为的检测方法及装置
CN108512726B (zh) 一种数据监控的方法及设备
US20190319975A1 (en) Universal link to extract and classify log data
US11698962B2 (en) Method for detecting intrusions in an audit log
CN112839014B (zh) 建立识别异常访问者模型的方法、系统、设备及介质
CN111339151B (zh) 在线考试方法、装置、设备及计算机存储介质
CN113726783A (zh) 异常ip地址识别方法、装置、电子设备及可读存储介质
CN110933115A (zh) 基于动态session的分析对象行为异常检测方法及装置
US10324956B1 (en) Automatically mapping organizations to addresses
CN109639501A (zh) 一种异常记录信息存储方法及装置
CN107612946B (zh) Ip地址的检测方法、检测装置和电子设备
CN113765850B (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN110489416B (zh) 一种基于数据处理的信息存储方法及相关设备
CN112039856A (zh) 资产异常行为的检测方法和装置及计算机可读存储介质
CN106446687B (zh) 恶意样本的检测方法及装置
CN110098983B (zh) 一种异常流量的检测方法及装置
US20200344113A1 (en) Anonymizing action implementation data obtained from incident analysis systems
CN111800409B (zh) 接口攻击检测方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201204