CN112291272B - 网络威胁检测方法、装置、设备及计算机可读存储介质 - Google Patents
网络威胁检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112291272B CN112291272B CN202011544700.9A CN202011544700A CN112291272B CN 112291272 B CN112291272 B CN 112291272B CN 202011544700 A CN202011544700 A CN 202011544700A CN 112291272 B CN112291272 B CN 112291272B
- Authority
- CN
- China
- Prior art keywords
- preset
- threat detection
- network entity
- network
- graph model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/284—Relational databases
- G06F16/288—Entity relationship models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种网络威胁检测方法、装置、设备及计算机可读存储介质,该方法包括步骤:获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。本发明在进行网络威胁检测的过程中,加入了各用户行为之间的关系,从而增加了第一网络威胁检测结果的影响因子,使得以此进行网络威胁检测所得到的第一网络威胁检测结果更加准确,提高了检测网络威胁的准确性。
Description
技术领域
本发明涉及网络问题检测技术领域,尤其涉及一种网络威胁检测方法、装置、设备及计算机可读存储介质。
背景技术
随着网络时代的发展,对于网络,特别是企业网络面临的最主要的威胁有来自内部员工非正常行为(包括无意识的非正常行为和有意识的非正常行为)和APT(AdvancedPersistent Threat,高级长期威胁)等。现有方法在预测上述网络威胁时,通常是将用户的各种操作(如日志信息)转换为序列,这些序列保存了检测所需的信息(如日志条目之间的顺序关系等),然后使用顺序处理技术,例如,深度学习(从过去的事件中学习并预测下一个事件)。本质上,这些方法是对用户的正常行为进行建模,并将与正常行为的偏差标记为异常。然而,这些方法忽略了很多隐藏关系,例如,同一用户不同行为之间的关系等,因为往往同一用户的日常行为在一段时间内相对来说是规则的,现有的预测方法往往忽略了这些,导致最终得到的网络威胁预测结果不够准确。
由此可知,目前用于网络威胁检测的方法在检测网络威胁时,存在不够准确的问题。
发明内容
本发明的主要目的在于提供一种网络威胁检测方法、装置、设备及计算机可读存储介质,旨在解决现有的在检测网络威胁时,存在不够准确的技术问题。
为实现上述目的,本发明提供一种网络威胁检测方法,所述网络威胁检测方法包括步骤:
获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;
根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;
根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。
优选地,所述获取预设网络实体图模型的步骤之前,包括:
从预设日志数据中提取所述至少一个实体和各所述实体对应的属性;
根据所述属性生成所述关系。
优选地,所述至少一个实体还包括用户行为主体和用户行为目标,构建所述预设网络实体图模型的步骤,包括:
将所述用户行为主体和所述用户行为目标作为节点,以及将所述用户行为作为边,构建第一初始网络实体图模型;所述边连接各所述节点;
将所述第一初始网络实体图模型中的节点改变为由所述用户行为构成,以及将所述第一初始网络实体图模型中的边改变为由所述用户行为主体和所述用户行为目标构成,生成第二初始网络实体图模型,得到所述预设网络实体图模型。
优选地,所述至少一个实体还包括用户行为主机,所述生成第二初始网络实体图模型的步骤之后,还包括:
将所述用户行为主机作为节点,并根据预设添加方式将所述用户行为主机添加入所述第二初始网络实体图模型,生成第三初始网络实体图模型,将所述第二初始网络实体图模型和所述第三初始网络实体图模型作为所述预设网络实体图模型;或,
将所述第三初始网络实体图模型作为所述预设网络实体图模型。
优选地,所述方法还包括:
输入所述第三初始网络实体图模型至预设社团发现算法,得到第二网络威胁检测结果。
优选地,所述根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量的步骤,包括:
根据所述关系和预设随机游走算法生成所述预设网络实体图模型中所述用户行为对应的元路径;
根据预设向量化算法序列化表示所述元路径中的用户行为,得到所述网络实体表示向量。
优选地,所述方法还包括:
对所述第一网络威胁检测结果和/或所述第二网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
根据预设投票机制对所述威胁可能性高的用户行为进行投票,确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
此外,为实现上述目的,本发明还提供一种网络威胁检测装置,所述网络威胁检测装置包括:
获取模块,用于获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;
向量化模块,用于根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;
检测模块,用于根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。
此外,为实现上述目的,本发明还提供一种网络威胁检测设备,所述网络威胁检测设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的网络威胁检测程序,所述网络威胁检测程序被所述处理器执行时实现如上所述的网络威胁检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有网络威胁检测程序,所述网络威胁检测程序被处理器执行时实现如上所述的网络威胁检测方法的步骤。
本发明通过获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。实现了通过获取预设网络实体图模型中的用户行为和各用户行为之间的关系,并对用户行为和关系进行向量化操作,得到网络实体表示向量,根据预设网络威胁检测算法对网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果,在进行网络威胁检测的过程中,加入了各用户行为之间的关系,从而增加了第一网络威胁检测结果的影响因子,使得以此进行网络威胁检测所得到的第一网络威胁检测结果更加准确,提高了检测网络威胁的准确性。
附图说明
图1是本发明网络威胁检测方法第一实施例的流程示意图;
图2是本发明网络威胁检测方法第二实施例的流程示意图;
图3是本发明网络威胁检测装置较佳实施例的功能模块示意图;
图4是本发明实施例方案涉及的硬件运行环境的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种网络威胁检测方法,参照图1,图1为本发明网络威胁检测方法第一实施例的流程示意图。
本发明实施例提供了网络威胁检测方法的实施例,需要说明的是,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。网络威胁检测方法可应用于服务器中,为了便于描述,以下省略执行主体描述网络威胁检测方法的各个步骤。网络威胁检测方法包括:
步骤S110,获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为。
具体地,获取预设网络实体图模型,该预设网络实体图模型为异质图模型,该预设网络实体图模型中包括至少一个实体和各实体之间的关系,其中,至少一个实体包括用户行为。
需要说明的是,异质图模型为异质图神经网络,该异质图神经网络属于图神经网络的一种,主要研究的是异质图上的神经网络,其中,异质图是指含有不同类型节点和不同类型边的图。其中,至少一个实体既包括不同类型节点也包括不同类型边。
需要说明的是,各实体之间的关系,其实质上是隐含包括的,而不实际参与组成异质图神经网络,具体地,实体有其相对应的属性,例如,在实体为用户行为并且该用户行为为登录操作时,其属性可为该登录操作对应的认证方式、时间等,而各登录操作之间的属性具有差异性,例如,时间为上午8时的登录操作和时间为下午4时的登录操作,这两个登录操作的时间不同,即这两个用户行为之间存在先后关系;此外,各实体之间的关系除单个实体之间的关系外,还可为实体组合之间的关系,该实体组合包括多个实体,例如,在一个小时内,存在多个登录操作,且各登录操作的属性存在区别,例如,认证方式不完全相同,而在该一个小时的前一个小时内,也存在多个登录操作,且各登录操作的认证方式完全相同,则这两个用户行为组合之间的属性不同,即这两个用户行为组合之间存在更新关系。
进一步地,所述至少一个实体还包括用户行为主体和用户行为目标,构建所述预设网络实体图模型的步骤,包括:
步骤a,将所述用户行为主体和所述用户行为目标作为节点,以及将所述用户行为作为边,构建第一初始网络实体图模型;所述边连接各所述节点。
具体地,至少一个实体还包括用户行为主体和用户行为目标,通过该用户行为主体、用户行为目标和上述用户行为以及各用户行为之间的关系可完成第一初始网络实体图模型。
具体地,将用户行为主体和用户行为目标作为节点,以及将用户行为作为边,各节点通过边进行连接,例如,一用户行为主体通过一用户行为与另一用户行为主体连接;再如,一用户行为主体通过一用户行为与一用户行为目标连接。
需要说明的是,用户行为主体可包括用户,对于同一用户,其具有唯一的标识符,用户对应的属性可包括用户类型(例如,注册用户和非注册用户)、注册时间、登录频率等;用户行为目标可包括网站,网站对应的属性可包括网站标题、URL(Uniform ResourceLocator,统一资源定位器)信息等。
步骤b,将所述第一初始网络实体图模型中的节点改变为由所述用户行为构成,以及将所述第一初始网络实体图模型中的边改变为由所述用户行为主体和所述用户行为目标构成,生成第二初始网络实体图模型,得到所述预设网络实体图模型。
具体地,将第一初始网络实体图模型中的节点改变为由用户行为构成,以及将第一初始网络实体图模型中的边改变为由用户行为主体和用户行为目标构成,即,将第一初始网络实体图模型中的节点对应的实体和边对应的实体互换,生成第二初始网络实体图模型,得到预设网络实体图模型,即,将第二初始网络实体图模型作为预设网络实体图模型。例如,第一初始网络实体图模型中的节点“用户A”通过边“登录B”和节点“网站C”相互连接,则在第二初始网络实体图模型中,边“用户A”与节点“登录B”连接,同时节点“登录B”与边“网站C”连接。
进一步地,所述至少一个实体还包括用户行为主机,所述生成第二初始网络实体图模型的步骤之后,还包括:
步骤c,将所述用户行为主机作为节点,并根据预设添加方式将所述用户行为主机添加入所述第二初始网络实体图模型,生成第三初始网络实体图模型,将所述第二初始网络实体图模型和所述第三初始网络实体图模型作为所述预设网络实体图模型;或,将所述第三初始网络实体图模型作为所述预设网络实体图模型。
具体地,至少一个实体还包括用户行为主机,将该用户行为主机作为节点,并根据预设添加方式将用户行为主机添加入第二初始网络实体图模型,生成第三初始网络实体图模型,将第二初始网络实体图模型和第三初始网络实体图模型;或,将第三初始网络实体图模型作为预设网络实体图模型。
可以理解的是,一个用户行为主机可对应多个用户行为,即往第二初始网络实体图模型中加入用户行为主机之后,会影响生成的元路径。例如,第三初始网络实体图模型中存在元路径为“登录3-访问3-下载3”的操作序列,而第二初始网络实体图模型中则不存在该元路径。
需要说明的是,该预设添加方式可包括所有与用户行为主机相关联的用户行为均建立与该用户行为主机建立连接。
可以理解的是,通过第三初始网络实体图模型得到的元路径中会包括用户行为主机,例如,元路径为“操作1-主机1-操作2-主机2”的序列。而在将元路径序列化之前,会去掉其中的用户行为主机部分,例如,上述的元路径在去掉用户行为主机部分后,得到“操作1-操作2”的序列。
进一步地,所述方法还包括:
步骤d,输入所述第三初始网络实体图模型至预设社团发现算法,得到第二网络威胁检测结果。
具体地,输入第三初始网络实体图模型至预设社团发现算法,得到第二网络威胁检测结果。
需要说明的是,对于不同的算法,其输入可能存在区别,对于上述聚类算法和异常检测算法,在输入预设网络实体图模型之前,需要将预设网络实体图模型进行向量化;而对于预设社团发现算法,其输入为第三初始网络实体图模型,且不需要进行向量化。
需要说明的是,预设社团发现算法为图上的社团发现算法,例如,标签传播算法、Fast unfolding算法等。
需要说明的是,第二网络威胁检测结果为将孤立为分入社团的点作为异常。
步骤S120,根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量。
具体地,根据预设向量化算法对预设网络实体图模型进行向量化操作,得到网络实体表示向量。
需要说明的是,向量化的过程为将预设网络实体图模型映射到低维向量空间的过程,并且表示成的向量形式还应该尽量的保留预设网络实体图模型的结构信息(例如,各实体之间的连接)和潜在的特性(例如,各实体之间的关系)。
需要说明的是,预设向量化算法包括word2vec、 GloVe等。其中,word2vec是一种无监督算法,广泛用于NLP(Natural Language Processing,自然语言处理)领域中,但是其整体的向量化思路是可以用于其他序列问题中的,word2vec适合的情况就是对于一个序列的数据,并且在该序列的局部数据间存在着很强的关联。
进一步地,所述根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量的步骤,包括:
步骤e,根据所述关系和预设随机游走算法生成所述预设网络实体图模型中所述用户行为对应的元路径。
具体地,根据上述各实体之间的关系和预设随机游走算法生成预设网络实体图模型中用户行为的元路径。
需要说明的是,根据用户行为设计的元路径为如“登录-访问-下载”或“访问-访问-访问”这类连续的操作序列,该连续操作序列应当是网络中常见的操作过程组合,例如,“登录-登录-登录”为网络中非常见的操作过程组合,可以理解的是,一般情况下,用户不会一直只登录而不做其他操作。
需要说明的是,在生成用户行为的元路径时,由于一个用户行为可能和一个或多个用户行为相连,在选择下一跳用户行为时,需要在多个用户行为中作出抉择。本实施例中,通过对加权的用户行为的属性进行抉择,具体为根据属性的相似性进行选择,例如,属性为登录操作的时间,两个登录操作的时间间隔越短,其相似性越高,将相似性最高的登录操作作为下一跳登录操作。例如,在经过元路径“访问-访问-访问”进行随机游走的过程中,一个“访问”操作可能和多个“访问”操作相连,此时,需要从该多个“访问”操作中选择出一个“访问”操作作为下一跳“访问”操作,即,先确定各“访问”操作的属性的相似度,选择属性的相似度最高的“访问”操作作为下一跳“访问”操作。
需要说明的是,属性的相似度确定除上述通过单一属性进行确定外,还可通过属性组合进行确定,属性组合为多个属性组成的集合,在通过属性组合进行属性的相似度确定时,可根据不同场景为各属性设计不同的权重,之后根据各属性和相应的权重进行属性的相似度确定。例如,在选择下一跳操作时,多个操作中存在两类操作,分别为“访问”操作和“登录”操作,其中,“访问”操作的数量多于“登录”操作,则“访问”操作的属性的权重高于“登录”操作的属性的权重。
步骤f,根据预设向量化算法序列化表示所述元路径中的用户行为,得到所述网络实体表示向量。
具体地,根据预设向量化算法序列化表示元路径中的用户行为,得到网络实体表示向量,以方便后续的网络威胁检测算法对用户行为进行网络威胁检测。
需要说明的是,序列化的过程为将对象(用户行为)的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
进一步地,所述获取预设网络实体图模型的步骤之前,包括:
步骤g,从预设日志数据中提取所述至少一个实体和各所述实体对应的属性。
具体地,从预设日志数据中提取至少一个实体和各实体对应的属性。
需要说明的是,在一个网络系统中,可以在多处获取各类日志数据,例如,该预设日志数据可来自网络流量审计设备,该网络流量审计设备包括防火墙、网络交换机等,该预设日志数据主要包括用户行为、用户行为主体和用户行为目标,以及用户行为、用户行为主体和用户行为目标对应的属性等。而由于日志数据的数据量大,且其中的内容满足网络威胁检测,将预设日志数据作为各实体及其对应的属性的来源,提高了网络威胁检测的正确性。
步骤h,根据所述属性生成所述关系。
具体地,根据属性生成各用户行为之间的关系。
步骤S130,根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。
具体地,根据预设网络威胁检测算法对网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。
需要说明的是,预设网络威胁检测算法包括聚类算法(例如,K均值聚类算法和DBSCAN(Density-Based Spatial Clustering of Applications with Noise,基于密度的聚类算法)等)、异常检测算法(孤立森林算法等)等,其中,部分算法对应的部分第一网络威胁检测结果为各用户行为是异常的概率,另一部分算法对应的另一部分第一网络威胁检测结果为各用户行为是否是异常。
本实施例通过获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。实现了通过获取预设网络实体图模型中的用户行为和各用户行为之间的关系,并对用户行为和关系进行向量化操作,得到网络实体表示向量,根据预设网络威胁检测算法对网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果,在进行网络威胁检测的过程中,加入了各用户行为之间的关系,从而增加了第一网络威胁检测结果的影响因子,使得以此进行网络威胁检测所得到的第一网络威胁检测结果更加准确,提高了检测网络威胁的准确性。
进一步地,参照图2,基于本发明网络威胁检测方法第一实施例,提出第二实施例,所述方法还包括:
步骤S240,对所述第一网络威胁检测结果和/或所述第二网络威胁检测结果进行预设排序方式排序,得到排序结果。
具体地,对第一网络威胁检测结果、第二网络威胁检测结果、或第一网络威胁检测结果与第二网络威胁检测结果共同进行预设排序方式排序,得到排序结果。
需要说明的是,对于第一网络威胁检测结果和/或第二网络威胁检测结果为各用户行为是异常的概率的情况,其预设排序方式为根据概率的大小进行排序,例如,根据概率从大到小对相应的用户行为进行排序,得到部分排序结果;对于第一网络威胁检测结果和/或第二网络威胁检测结果为各用户行为是否是异常的情况,可以通过发现顺序进行排序,得到另一部分排序结果。将两部分排序结果作为最终的排序结果。
步骤S250,选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为。
具体地,选取排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为。例如,预设排名阈值为5,则选取排序结果中序号小于或等于5的所有用户行为。
步骤S260,根据预设投票机制对所述威胁可能性高的用户行为进行投票,确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
具体地,根据预设投票机制对威胁可能性高的用户行为进行投票,确定预设数量的部分威胁可能性高的用户行为为第三网络威胁检测结果,即第三网络威胁检测结果为部分第一网络威胁检测结果。可以理解的是,各用户行为是异常的概率超过50%时,可确定该用户行为是异常,各用户行为是异常的概率不超过50%时,可确定该用户行为不是异常。
需要说明的是,预设投票机制是根据各算法对于同一用户行为的网络威胁检测结果进行投票的机制,各算法对一用户行为是否是异常进行投票,即通过一用户行为是异常的票数与参与投票的算法总数之间的比值,若该比值大于或等于0.5,则确定该用户行为是异常;若该比值小于0.5,则确定该用户行为是正常。例如,预设网络威胁检测算法包括算法1、算法2、算法3和算法4,其中,算法1和算法3得到的网络威胁检测结果为各用户行为是异常的概率,算法2和算法4得到的网络威胁检测结果为各用户行为是否是异常,由算法1、算法2、算法3和算法4对“登录1”操作进行网络威胁检测,算法1的网络威胁检测结果为80%,算法3的网络威胁检测结果为60%,算法2和算法4的网络威胁检测结果均为是,则各算法对于“登录1”操作为异常的投票结果为全票通过;再如,预设网络威胁检测算法包括算法1、算法2、算法3和算法4,其中,算法1和算法3得到的网络威胁检测结果为各用户行为是异常的概率,算法2和算法4得到的网络威胁检测结果为各用户行为是否是异常,由算法1、算法2、算法3和算法4对“登录2”操作进行网络威胁检测,算法1的网络威胁检测结果为55%,算法3的网络威胁检测结果为40%,算法2和算法4的网络威胁检测结果均为否,则各算法对于“登录2”操作为异常的投票结果为3票未通过、1票通过,即“登录2”操作为正常。
本实施例通过对第一网络威胁检测结果和/或第二网络威胁检测结果进行预设排序方式排序,并提取其中排名靠前的威胁可能性高的用户行为,通过预设投票机制确定第一网络威胁检测结果和/或第二网络威胁检测结果中部分威胁可能性高的用户行为,形成第三网络威胁检测结果,从而提高了网络威胁检测结果的准确性。
此外,本发明还提供一种网络威胁检测装置,如图3所示,所述网络威胁检测装置包括:
获取模块10,用于获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;
向量化模块20,用于根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;
检测模块30,用于根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果。
进一步地,所述网络威胁检测装置还包括:
提取模块,用于从预设日志数据中提取所述至少一个实体和各所述实体对应的属性;
第一生成模块,用于根据所述属性生成所述关系。
进一步地,所述至少一个实体还包括用户行为主体和用户行为目标,在构建所述预设网络实体图模型方面,所述网络威胁检测装置还包括:
构建模块,用于将所述用户行为主体和所述用户行为目标作为节点,以及将所述用户行为作为边,构建第一初始网络实体图模型;所述边连接各所述节点;
第二生成模块,用于将所述第一初始网络实体图模型中的节点改变为由所述用户行为构成,以及将所述第一初始网络实体图模型中的边改变为由所述用户行为主体和所述用户行为目标构成,生成第二初始网络实体图模型,得到所述预设网络实体图模型。
进一步地,所述至少一个实体还包括用户行为主机,所述网络威胁检测装置还包括:
第三生成模块,用于将所述用户行为主机作为节点,并根据预设添加方式将所述用户行为主机添加入所述第二初始网络实体图模型,生成第三初始网络实体图模型,将所述第二初始网络实体图模型和所述第三初始网络实体图模型;或,将所述第三初始网络实体图模型作为预设网络实体图模型。
进一步地,所述网络威胁检测装置还包括:
输入模块,用于输入所述第三初始网络实体图模型至预设社团发现算法,得到第二网络威胁检测结果。
进一步地,在所述根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量方面,向量化模块20具体用于:
根据所述关系和预设随机游走算法生成所述预设网络实体图模型中所述用户行为对应的元路径;根据预设向量化算法序列化表示所述元路径中的用户行为,得到所述网络实体表示向量。
进一步地,所述网络威胁检测装置还包括:
排序模块,用于对所述第一网络威胁检测结果和/或所述第二网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取模块,用于选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
投票模块,用于根据预设投票机制对所述威胁可能性高的用户行为进行投票;
确定模块,用于确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
本发明网络威胁检测装置具体实施方式与上述网络威胁检测方法各实施例基本相同,在此不再赘述。
此外,本发明还提供一种网络威胁检测设备。如图4所示,图4是本发明实施例方案涉及的硬件运行环境的结构示意图。
需要说明的是,图4即可为网络威胁检测设备的硬件运行环境的结构示意图。
如图4所示,该网络威胁检测设备可以包括:处理器1001,例如CPU,存储器1005,用户接口1003,网络接口1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,网络威胁检测设备还可以包括RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。
本领域技术人员可以理解,图4中示出的网络威胁检测设备结构并不构成对网络威胁检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络威胁检测程序。其中,操作系统是管理和控制网络威胁检测设备硬件和软件资源的程序,支持网络威胁检测程序以及其它软件或程序的运行。
在图4所示的网络威胁检测设备中,用户接口1003主要用于接收日志数据;网络接口1004主要用于后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1005中存储的网络威胁检测程序,并执行如上所述的网络威胁检测方法的步骤。
本发明网络威胁检测设备具体实施方式与上述网络威胁检测方法各实施例基本相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有网络威胁检测程序,所述网络威胁检测程序被处理器执行时实现如上所述的网络威胁检测方法的步骤。
本发明计算机可读存储介质具体实施方式与上述网络威胁检测方法各实施例基本相同,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,设备,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种网络威胁检测方法,其特征在于,所述网络威胁检测方法包括以下步骤:
获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;
根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;
根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果;
对所述第一网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
根据预设投票机制对所述威胁可能性高的用户行为进行投票,确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
2.如权利要求1所述的方法,其特征在于,所述获取预设网络实体图模型的步骤之前,包括:
从预设日志数据中提取所述至少一个实体和各所述实体对应的属性;
根据所述属性生成所述关系。
3.如权利要求1或2任一项所述的方法,其特征在于,所述至少一个实体还包括用户行为主体和用户行为目标,构建所述预设网络实体图模型的步骤,包括:
将所述用户行为主体和所述用户行为目标作为节点,以及将所述用户行为作为边,构建第一初始网络实体图模型;所述边连接各所述节点;
将所述第一初始网络实体图模型中的节点改变为由所述用户行为构成,以及将所述第一初始网络实体图模型中的边改变为由所述用户行为主体和所述用户行为目标构成,生成第二初始网络实体图模型,得到所述预设网络实体图模型。
4.如权利要求3所述的方法,其特征在于,所述至少一个实体还包括用户行为主机,所述生成第二初始网络实体图模型的步骤之后,还包括:
将所述用户行为主机作为节点,并根据预设添加方式将所述用户行为主机添加入所述第二初始网络实体图模型,生成第三初始网络实体图模型,将所述第二初始网络实体图模型和所述第三初始网络实体图模型作为所述预设网络实体图模型;或,
将所述第三初始网络实体图模型作为所述预设网络实体图模型。
5.如权利要求4所述的方法,其特征在于,所述方法还包括:
输入所述第三初始网络实体图模型至预设社团发现算法,得到第二网络威胁检测结果。
6.如权利要求5所述的方法,其特征在于,所述根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量的步骤,包括:
根据所述关系和预设随机游走算法生成所述预设网络实体图模型中所述用户行为对应的元路径;
根据预设向量化算法序列化表示所述元路径中的用户行为,得到所述网络实体表示向量。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
对所述第二网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
根据预设投票机制对所述威胁可能性高的用户行为进行投票,确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果;
或,
对所述第一网络威胁检测结果和所述第二网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
根据预设投票机制对所述威胁可能性高的用户行为进行投票,确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
8.一种网络威胁检测装置,其特征在于,所述网络威胁检测装置包括:
获取模块,用于获取预设网络实体图模型;所述预设网络实体图模型包括至少一个实体和各所述实体之间的关系;所述至少一个实体包括用户行为;
向量化模块,用于根据预设向量化算法对所述预设网络实体图模型进行向量化操作,得到网络实体表示向量;
检测模块,用于根据预设网络威胁检测算法对所述网络实体表示向量进行网络威胁检测,得到第一网络威胁检测结果;
排序模块,用于对所述第一网络威胁检测结果进行预设排序方式排序,得到排序结果;
选取模块,用于选取所述排序结果中排名小于或等于预设排名阈值的威胁可能性高的用户行为;
投票模块,用于根据预设投票机制对所述威胁可能性高的用户行为进行投票;
确定模块,用于确定预设数量的部分所述威胁可能性高的用户行为为第三网络威胁检测结果。
9.一种网络威胁检测设备,其特征在于,所述网络威胁检测设备包括存储器、处理器和存储在所述存储器上并可在所述处理器上运行的网络威胁检测程序,所述网络威胁检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络威胁检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有网络威胁检测程序,所述网络威胁检测程序被处理器执行时实现如权利要求1至7中任一项所述的网络威胁检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011544700.9A CN112291272B (zh) | 2020-12-24 | 2020-12-24 | 网络威胁检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011544700.9A CN112291272B (zh) | 2020-12-24 | 2020-12-24 | 网络威胁检测方法、装置、设备及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112291272A CN112291272A (zh) | 2021-01-29 |
CN112291272B true CN112291272B (zh) | 2021-05-11 |
Family
ID=74426222
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011544700.9A Active CN112291272B (zh) | 2020-12-24 | 2020-12-24 | 网络威胁检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112291272B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112910929B (zh) * | 2021-03-24 | 2022-01-04 | 中国科学院信息工程研究所 | 基于异质图表示学习的恶意域名检测方法及装置 |
CN113190844B (zh) * | 2021-05-20 | 2024-05-28 | 深信服科技股份有限公司 | 一种检测方法、相关方法及相关装置 |
CN114826707B (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
CN115913616A (zh) * | 2022-09-23 | 2023-04-04 | 清华大学 | 基于异构图异常链路发现的横向移动攻击检测方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105335519A (zh) * | 2015-11-18 | 2016-02-17 | 百度在线网络技术(北京)有限公司 | 模型生成方法及装置、推荐方法及装置 |
CN110909348A (zh) * | 2019-09-26 | 2020-03-24 | 中国科学院信息工程研究所 | 一种内部威胁检测方法及装置 |
CN110958220A (zh) * | 2019-10-24 | 2020-04-03 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010007612A1 (en) * | 2008-06-22 | 2010-01-21 | Beanywhere Israel Ltd. | Sharing multimedia content |
US10412106B2 (en) * | 2015-03-02 | 2019-09-10 | Verizon Patent And Licensing Inc. | Network threat detection and management system based on user behavior information |
US10237294B1 (en) * | 2017-01-30 | 2019-03-19 | Splunk Inc. | Fingerprinting entities based on activity in an information technology environment |
CN108665513B (zh) * | 2017-03-27 | 2021-04-06 | 腾讯科技(深圳)有限公司 | 基于用户行为数据的绘图方法和装置 |
CN111046237B (zh) * | 2018-10-10 | 2024-04-05 | 京东科技控股股份有限公司 | 用户行为数据处理方法、装置、电子设备及可读介质 |
-
2020
- 2020-12-24 CN CN202011544700.9A patent/CN112291272B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105335519A (zh) * | 2015-11-18 | 2016-02-17 | 百度在线网络技术(北京)有限公司 | 模型生成方法及装置、推荐方法及装置 |
CN110909348A (zh) * | 2019-09-26 | 2020-03-24 | 中国科学院信息工程研究所 | 一种内部威胁检测方法及装置 |
CN110958220A (zh) * | 2019-10-24 | 2020-04-03 | 中国科学院信息工程研究所 | 一种基于异构图嵌入的网络空间安全威胁检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112291272A (zh) | 2021-01-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112291272B (zh) | 网络威胁检测方法、装置、设备及计算机可读存储介质 | |
CN111355697B (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
CN108280115B (zh) | 识别用户关系的方法及装置 | |
CN108491720B (zh) | 一种应用识别方法、系统以及相关设备 | |
CN111400504A (zh) | 企业关键人的识别方法和装置 | |
CN110399722B (zh) | 一种病毒家族生成方法、装置、服务器及存储介质 | |
CN113572752B (zh) | 异常流量的检测方法和装置、电子设备、存储介质 | |
CN109658120B (zh) | 一种业务数据处理方法以及装置 | |
CN113011471A (zh) | 一种社交群体的划分方法、划分系统及相关装置 | |
CN110909222A (zh) | 基于聚类的用户画像建立方法、装置、介质及电子设备 | |
CN114138968B (zh) | 一种网络热点的挖掘方法、装置、设备及存储介质 | |
CN111163072A (zh) | 机器学习模型中特征值的确定方法、装置及电子设备 | |
CN112231570A (zh) | 推荐系统托攻击检测方法、装置、设备及存储介质 | |
CN114611081B (zh) | 账号类型识别方法、装置、设备、存储介质及产品 | |
CN114490923A (zh) | 相似文本匹配模型的训练方法、装置、设备及存储介质 | |
CN113935034A (zh) | 基于图神经网络的恶意代码家族分类方法、装置和存储介质 | |
CN112052399B (zh) | 一种数据处理方法、装置和计算机可读存储介质 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN109992960B (zh) | 一种伪造参数检测方法、装置、电子设备及存储介质 | |
CN116561338A (zh) | 工业知识图谱生成方法、装置、设备及存储介质 | |
CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
CN110489568B (zh) | 生成事件图的方法、装置、存储介质和电子设备 | |
CN117009153A (zh) | 集群检测方法、装置、电子设备和计算机可读存储介质 | |
CN114124417B (zh) | 一种大规模网络下可扩展性增强的漏洞评估方法 | |
CN110197066B (zh) | 一种云计算环境下的虚拟机监控方法及监控系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |