CN112565275A - 一种网络安全场景的异常检测方法、装置、设备及介质 - Google Patents

一种网络安全场景的异常检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN112565275A
CN112565275A CN202011434936.7A CN202011434936A CN112565275A CN 112565275 A CN112565275 A CN 112565275A CN 202011434936 A CN202011434936 A CN 202011434936A CN 112565275 A CN112565275 A CN 112565275A
Authority
CN
China
Prior art keywords
time sequence
abnormal
time
network security
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011434936.7A
Other languages
English (en)
Other versions
CN112565275B (zh
Inventor
姜鹏
范渊
刘博�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011434936.7A priority Critical patent/CN112565275B/zh
Publication of CN112565275A publication Critical patent/CN112565275A/zh
Application granted granted Critical
Publication of CN112565275B publication Critical patent/CN112565275B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种网络安全场景的异常检测方法,包括:获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分;根据各时序特征点的异常评分确定出各时序特征点的异常等级;确定出与各分组对象对应的时间序列的时间窗口大小,并根据时间窗口大小为各时间序列划分时间段;利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级;根据更新后的异常等级确定出网络安全场景的综合异常级别;本方法能够提高对网络安全场景的异常检测的准确度。本申请还公开了一种网络安全场景的异常检测装置、设备及计算机可读存储介质,均具有上述有益效果。

Description

一种网络安全场景的异常检测方法、装置、设备及介质
技术领域
本发明涉及网络安全领域,特别涉及一种网络安全场景的异常检测方法、装置、设备及计算机可读存储介质。
背景技术
在网络安全领域,随着数据量的快速增长,传统的网络安全设备的数据处理能力捉襟见肘,且大多基于内容检测的网络安全检测方式无法应对当前的网络攻击态势。基于网络安全数据统计量的时间序列异常检测算法可以对用户或实体建立历史行为基线,得出对应的时序特征,从而有效地发现当前用户或实体的异常行为,进而对网络安全场景进行异常检测。
而随着用户或实体数量越来越多,传统的单时序异常评分算法无法有效地感知不同时间段不同网络安全场景的综合态势,因此目前一般采用多时间序列异常点的评分方式实现快速定位到异常的网络安全场景以及异常的时间段,使得安全分析更有针对性,从而提高安全分析的效率。但是,现有技术中,一般是使用当前时间段中所有时间序列中异常评分的最大值作为该时间段的综合评分;其缺点在于使用异常评分的最大值作为综合评分不足以反映当前时段所有时序异常的综合态势,而且时间序列上的异常点也不一定是发生异常行为,有可能是正常业务行为,因此将使得确定出的异常行为不够准确,使得对网络安全场景的异常检测并不准确。
因此,如何提高对网络安全场景异常检测的准确度,是本领域技术人员目前需要解决的技术问题。
发明内容
有鉴于此,本发明的目的在于提供一种网络安全场景的异常检测方法,能够提高对网络安全场景异常检测的准确度;本发明的另一目的是提供一种网络安全场景的异常检测装置、设备及计算机可读存储介质,均具有上述有益效果。
为解决上述技术问题,本发明提供一种网络安全场景的异常检测方法,包括:
获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分;
根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级;
确定出与各所述分组对象对应的时间序列的时间窗口大小,并根据所述时间窗口大小为各所述时间序列划分时间段;
利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级;
根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别。
优选地,所述获取网络安全场景中各分组对象的时序特征的过程,具体包括:
根据所述网络安全场景确定出各所述分组对象的统计数据的时间聚合窗口;
根据所述统计数据的字段类型确定出对应的统计算子;
利用所述统计算子计算出所述时序特征。
优选地,在所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分之后,进一步包括:
利用带拉普拉斯平滑项的Min-max标准化方法分别对各所述时序特征点的异常评分进行标准化处理。
优选地,所述利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级的过程,具体包括:
确定出在当前时间段中所述网络安全场景的各所述时间序列分别对应的最大异常级别;
计算出在当前时间段中所述网络安全场景的各所述时间序列的异常级别占比;
筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级。
优选地,所述筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级的过程,具体包括:
预设第一阈值和第二阈值;
筛选出当前时间段中所述网络安全场景中所述最大异常级别中的最大值对应的异常时间序列;
根据所述异常时间序列的异常级别占比与所述第一阈值和所述第二阈值的大小关系更新所述异常时间序列的所述异常等级。
优选地,所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分的过程,具体包括:
获取所述网络安全场景中各所述分组对象的所述时序特征;
利用时间序列异常检测算法计算出与各所述时序特征对应的时序特征点的异常评分。
优选地,在所述根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别之后,进一步包括:
根据所述综合异常级别发出对应的提示信息。
为解决上述技术问题,本发明还提供一种网络安全场景的异常检测装置,包括:
获取模块,用于获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分;
第一确定模块,用于根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级;
第二确定模块,用于确定出与各所述分组对象对应的时间序列的时间窗口大小,并根据所述时间窗口大小为各所述时间序列划分时间段;
更新模块,用于利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级;
第三确定模块,用于根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别。
为解决上述技术问题,本发明还提供一种网络安全场景的异常检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述任一种网络安全场景的异常检测方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种网络安全场景的异常检测方法的步骤。
本发明提供的一种网络安全场景的异常检测方法,通过将网络安全场景中的时序特征的时序特征点的异常评分转换为对应的时序特征点的异常等级,并利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级,本方法综合考虑了各时序特征对时间序列的异常等级的影响,从而能够使得根据时间序列的异常等级确定出的网络安全场景的综合异常级别更加精准,因此本方法能够提高对网络安全场景的异常检测的准确度。
为解决上述技术问题,本发明还提供了一种网络安全场景的异常检测装置、设备及计算机可读存储介质,均具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种网络安全场景的异常检测方法的流程图;
图2为本发明实施例提供的一种利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级的示意图;
图3为本发明实施例提供的一种网络安全场景的异常检测装置的结构图;
图4为本发明实施例提供的一种网络安全场景的异常检测设备的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的核心是提供一种网络安全场景的异常检测方法,能够提高对网络安全场景异常检测的准确度;本发明的另一核心是提供一种网络安全场景的异常检测装置、设备及计算机可读存储介质,均具有上述有益效果。
为了使本领域技术人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
图1为本发明实施例提供的一种网络安全场景的异常检测方法的流程图。如图1所示,一种网络安全场景的异常检测方法包括:
S10:获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分;
S20:根据各时序特征点的异常评分确定出各时序特征点的异常等级。
具体的,在本步骤中,首先确定出网络安全场景中的分组对象,分别计算出与网络安全场景中的各分组对象分别对应的时序特征,并根据各时序特征计算出对应的时序特征点的异常评分。需要说明的是,时序特征点的异常评分指的是表征该时序特征异常的程度,该时序特征点的异常评分的分值越大,表示对应的时序特征的异常程度越大。
在计算出与各时序特征对应的时序特征点的异常评分之后,根据各时序特征点的异常评分确定出各时序特征点的异常等级。需要说明的是,在本实施例中,具体可以采用分箱法为时序特征点的异常评分确定出对应的时序特征点的异常等级,在其他的实施方式中,也可以采用其他的方式对时序特征点的异常评分进行等级划分,确定出对应的时序特征点的异常等级,本实施例对此不做限定。
S30:确定出与各分组对象对应的时间序列的时间窗口大小,并根据时间窗口大小为各时间序列划分时间段;
S40:利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级;
S50:根据更新后的异常等级确定出网络安全场景的综合异常级别。
具体的,根据各时间序列中的最大时间跨度计算时间窗口大小,并按照时间窗口大小依次为各时间序列划分时间段;可以理解的是,假设时间窗口大小为60min,划分出的时间段的时间跨度则为60min。
然后,利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级,更新过程包括等级升高或者等级降低或者等级保持不变,根据预先设置的更新规则确定。
最后,根据更新后的异常等级确定出网络安全场景的综合异常级别,具体为根据当前时间段中各时间序列分别对应的异常等级确定出网络安全场景的综合异常级别。
本发明实施例提供的一种网络安全场景的异常检测方法,通过将网络安全场景中的时序特征的时序特征点的异常评分转换为对应的时序特征点的异常等级,并利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级,本方法综合考虑了各时序特征对时间序列的异常等级的影响,从而能够使得根据时间序列的异常等级确定出的网络安全场景的综合异常级别更加精准,因此本方法能够提高对网络安全场景的异常检测的准确度。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,获取网络安全场景中各分组对象的时序特征的过程,具体包括:
根据网络安全场景确定出各分组对象的统计数据的时间聚合窗口;
根据统计数据的字段类型确定出对应的统计算子;
利用统计算子计算出时序特征。
具体的,在本实施例中,首先根据网络安全场景确定出各分组对象的统计数据的时间聚合窗口,时间聚合窗口可以为1分钟、10分钟、30分钟以及1小时等,本实施例对此不做限定。然后,根据统计数据的字段类型确定出对应的统计算子;其中,字段类型包括字符型字段和数值型字段;具体的,字符型字段可以选择distinct count(非重复计数)作为统计算子,数值型字段可以选择Max(最大值)、Min(最小值)、Sum(求和)、Median(中位数)以及Variance(方差)等作为统计算子。最后,利用统计算子计算出时序特征。
可见,本实施例提供的获取网络安全场景中各分组对象的时序特征的方法,计算过程便捷易行。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例在获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分之后,进一步包括:
利用带拉普拉斯平滑项的Min-max标准化方法分别对各时序特征点的异常评分进行标准化处理。
具体的,本实施例是在获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分,进一步对时序特征点的异常评分进行标准化处理,且具体是利用带拉普拉斯平滑项的Min-max标准化方法进行的标准化处理,具体过程如下:
Figure BDA0002828132270000071
其中,normalizedScoret,i为网络安全场景t中第i个时序特征点的异常评分标准化之后的值;scoret,i为网络安全场景t中第i个时序特征点的异常评分;nt为网络安全场景t中异常点的个数,即时序特征点的异常评分不等于0的时序特征的个数。
可以理解的是,本实施例通过进一步利用带拉普拉斯平滑项的Min-max标准化方法分别对各时序特征点的异常评分进行标准化处理,能够使得后续根据各时序特征点的异常评分确定出各时序特征点的异常等级更加精准。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级的过程,具体包括:
确定出在当前时间段中网络安全场景的各时间序列分别对应的最大异常级别;
计算出在当前时间段中网络安全场景的各时间序列的异常级别占比;
筛选出当前时间段中网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用异常级别占比更新异常时间序列的异常等级。
具体的,首先确定出在当前时间段中网络安全场景的各时间序列分别对应的最大异常级别;可以理解的是,在当前时间段中,包括多个时间序列,各时间序列中分别包括多个时序特征,各不同的时序特征分别对应有时序特征点的异常评分,各时序特征点的异常评分分别对应有时序特征点的异常等级,确定出各时间序列的最大异常级别。然后计算出在当前时间段中网络安全场景的各时间序列的异常级别占比,即在当前时间段中,最大异常级别大于或等于当前时间序列的最大异常级别的比例。然后筛选出当前时间段中网络安全场景中最大异常级别对应的异常时间序列,并利用异常级别占比更新异常时间序列的异常等级。
作为一种优选的实施方式,筛选出当前时间段中网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用异常级别占比更新异常时间序列的异常等级的过程,具体包括:
预设第一阈值和第二阈值;
筛选出当前时间段中网络安全场景中最大异常级别对应的异常时间序列;
根据异常时间序列的异常级别占比与第一阈值和第二阈值的大小关系更新异常时间序列的异常等级。
具体的,在本实施例中,预设第一阈值和第二阈值;然后筛选出当前时间段中网络安全场景中最大异常级别对应的异常时间序列;
确定出该最大异常级别对应的异常时间序列的异常级别占比,并将该异常级别占比分别与第一阈值和第二阈值进行比较;本实施例中,第一阈值小于第二阈值;若异常级别占比小于第一阈值,则需要降低该异常时间序列的异常等级;若异常级别占比大于第一阈值且小于第二阈值,则该异常时间序列的异常等级保持不变;若异常级别占比大于第二阈值,则需要升高该异常时间序列的异常等级。
需要说明的是,在实际操作中,具体是不断筛选出当前时间段中网络安全场景中最大异常级别对应的异常时间序列并对该时间序列的异常等级进行更新,直至更新后的异常级别相等,停止迭代。
可见,按照本实施例的方法调整时间序列的异常等级,操作过程便捷。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例中,获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分的过程,具体包括:
获取网络安全场景中各分组对象的时序特征;
利用时间序列异常检测算法计算出与各时序特征对应的时序特征点的异常评分。
具体的,在本实施例中,首先获取网络安全场景中各分组对象的时序特征,然后具体是利用时间序列异常检测算法计算出与各时序特征对应的时序特征点的异常评分;其中,时间序列异常检测算法可以选择简单平均模型、基于加权移动平均、指数平滑模型、ARIMA模型(Autoregressive Integrated Moving Average Model,差分整合移动平均自回归模型)等异常检测算法。需要说明的是,在实际操作中,需要为时间序列异常检测算法设置参数,且设置不同参数的同一类算法则对应为不同的时间序列异常检测算法,一个网络安全场景中仅使用同一个时间序列异常检测算法进行计算。
可见,本实施例利用时间序列异常检测算法计算出与各时序特征对应的时序特征点的异常评分,操作过程便捷易行。
在上述实施例的基础上,本实施例对技术方案作了进一步的说明和优化,具体的,本实施例在根据更新后的异常等级确定出网络安全场景的综合异常级别之后,进一步包括:
根据综合异常级别发出对应的提示信息。
具体的,在本实施例中,是在根据更新后的异常等级确定出网络安全场景的综合异常级别之后,进一步触发提示装置发出对应的提示信息,以提示用户当前确定出网络安全场景的综合异常级别的情况。
另外需要说明的是,本实施例对提示信息的类型不做限定。例如,可以是通过蜂鸣器和/或指示灯等提示装置发出的信息作为提示信息,且可以将提示装置的不同发声频率/发光频率对应设置为不同的提示信息,从而达到对多种综合异常级别进行提示的效果。
本实施例通过进一步根据综合异常级别发出对应的提示信息,以对当前确定出网络安全场景的综合异常级别的情况进行直观地提示,从而能够进一步提升用户的使用体验。
为了使本技术领域的人员更好地理解本申请中的技术方案,下面结合实际应用场景对本申请实施例中的技术方案进行详细说明。作为一种具体的实施方式,一种基于多时间序列的网络安全检测方法的过程,具体包括:
步骤1:根据不同的网络安全场景分别计算各分组对象的时序特征,利用相应的时间序列异常检测算法分别计算各时序特征对应的时序特征点的异常评分。
需要说明的是,一个网络安全场景即为一个模型,且一个网络安全场景中至少有一个分组对象,一个分组对象在一个网络安全场景中的操作异常行为即为时序特征点,多个时序特征点对应一个时间序列;并且,一个分组对象在不同的网络安全场景中得出的则是不同的时间序列。
具体的,计算时序特征的过程具体包括:
首先根据网络安全场景确定出与各分组对象对应的统计数据的时间聚合窗口,时间聚合窗口可以为1分钟、10分钟、30分钟以及1小时等;然后根据需统计的统计数据的字段类型确定出对应的统计算子;其中,字段类型包括字符型字段和数值型字段,且字符型字段可以选择distinct count(非重复计数)作为统计算子,数值型字段可以选择Max(最大值)、Min(最小值)、Sum(求和)、Median(中位数)以及Variance(方差)等作为统计算子;最后利用统计算子计算出时序特征。
具体的,时间序列异常检测算法可以选择简单平均模型、基于加权移动平均、指数平滑模型、ARIMA模型(Autoregressive Integrated Moving Average Model,差分整合移动平均自回归模型)等异常检测算法。需要说明的是,在实际操作中,需要为时间序列异常检测算法设置参数,且设置不同参数的同一类算法则对应为不同的时间序列异常检测算法,一个网络安全场景中仅使用同一个时间序列异常检测算法进行计算。
步骤2:利用带拉普拉斯平滑项的Min-max标准化方法分别对计算出的各时序特征点的异常评分进行标准化处理,具体过程如下:
Figure BDA0002828132270000111
其中,normalizedScoret,i为网络安全场景t中第i个时序特征点的异常评分标准化之后的值;scoret,i为网络安全场景t中第i个时序特征点的异常评分;nt为网络安全场景t中异常点的个数,即时序特征点的异常评分不等于0的时序特征的个数。
步骤3:利用分箱法确定出各网络安全场景中与各时序特征点的异常评分对应的时序特征点的异常等级
Figure BDA0002828132270000112
具体如下:
Figure BDA0002828132270000113
其中,异常级别越高表示该时序特征的异常程度越大,异常级别为0,即无异常。
步骤4:根据各时间序列中的最大时间跨度计算时间窗口大小,并按照时间窗口大小依次为各时间序列划分时间段。其中,时间窗口大小的计算公式如下:
Figure BDA0002828132270000114
其中,timeSpant为网络安全场景t以分钟为单位的最大时间跨度,T为网络安全场景的总个数;假设网络安全场景中最大时间跨度为1440分钟,则w=1440/24=60。
步骤5:利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级。
如图2为本发明实施例提供的一种利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级的示意图;结合图2,本实施例中的时间段为12:00-13:00,包括5个时序(时间序列),具体过程如下:
步骤5.1:确定出在当前时间段r中网络安全场景t的各时间序列分别对应的最大异常级别
Figure BDA0002828132270000121
如时序1的最大异常级别
Figure BDA0002828132270000122
为2,时序2的最大异常级别
Figure BDA0002828132270000123
为4。
步骤5.2:计算出在当前时间段r中网络安全场景t的各时间序列的异常级别占比
Figure BDA0002828132270000124
即当前时间段r中大于或等于当前时序tj异常级别的比例;如对于时序2而言,其异常级别占比
Figure BDA0002828132270000125
步骤5.3:筛选出当前时间段r中网络安全场景t中最大异常级别
Figure BDA0002828132270000126
中的最大值对应的异常时间序列ts;本实施例中,异常时间序列ts即为时序2。
Figure BDA0002828132270000127
其中,Tt为网络安全场景t中时间序列的总个数;
步骤5.4:设定第一阈值σd和第二阈值σu,判断该异常时间序列对应的异常级别占比
Figure BDA0002828132270000128
与第一阈值σd和第二阈值σu的大小关系,依据预设的更新规则更新当前时间段r中网络安全场景t的异常时间序列的异常级别levelr,t,并进入步骤5.2进行迭代操作。
具体的更新过程如下:
Figure BDA0002828132270000129
s.t.level∈[0,4];σd∈[0,1];σu∈[0,1]
具体的,本实施例中,σd=0.3,σu=0.5;首先对时序2的异常级别进行更新,时序2异常级别占比
Figure BDA00028281322700001210
为0.2,且0<0.2<σd,因此将时序2的异常级别由4更新为3;对时序5进行异常级别更新时,由于时序5的异常级别占比
Figure BDA00028281322700001211
为0.4,且σd<0.4<σu,因此将时序5的异常级别保持不变。
可见,本发明实施例提供的一种网络安全场景的异常检测方法,通过将网络安全场景中的时序特征的时序特征点的异常评分转换为对应的时序特征点的异常等级,并利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级,本方法综合考虑了各时序特征对时间序列的异常等级的影响,从而能够使得根据时间序列的异常等级确定出的网络安全场景的综合异常级别更加精准,因此本方法能够提高对网络安全场景的异常检测的准确度。
上文对于本发明提供的一种网络安全场景的异常检测方法的实施例进行了详细的描述,本发明还提供了一种与该方法对应的网络安全场景的异常检测装置、设备及计算机可读存储介质,由于装置、设备及计算机可读存储介质部分的实施例与方法部分的实施例相互照应,因此装置、设备及计算机可读存储介质部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
图3为本发明实施例提供的一种网络安全场景的异常检测装置的结构图,如图3所示,一种网络安全场景的异常检测装置包括:
获取模块31,用于获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分;
第一确定模块32,用于根据各时序特征点的异常评分确定出各时序特征点的异常等级;
第二确定模块33,用于确定出与各分组对象对应的时间序列的时间窗口大小,并根据时间窗口大小为各时间序列划分时间段;
更新模块34,用于利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级;
第三确定模块35,用于根据更新后的异常等级确定出网络安全场景的综合异常级别。
本发明实施例提供的网络安全场景的异常检测装置,具有上述网络安全场景的异常检测方法的有益效果。
图4为本发明实施例提供的一种网络安全场景的异常检测设备的结构图,如图4所示,一种网络安全场景的异常检测设备包括:
存储器41,用于存储计算机程序;
处理器42,用于执行计算机程序时实现如上述网络安全场景的异常检测方法的步骤。
本发明实施例提供的网络安全场景的异常检测设备,具有上述网络安全场景的异常检测方法的有益效果。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述网络安全场景的异常检测方法的步骤。
本发明实施例提供的计算机可读存储介质,具有上述网络安全场景的异常检测方法的有益效果。
以上对本发明所提供的网络安全场景的异常检测方法、装置、设备及计算机可读存储介质进行了详细介绍。本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。

Claims (10)

1.一种网络安全场景的异常检测方法,其特征在于,包括:
获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分;
根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级;
确定出与各所述分组对象对应的时间序列的时间窗口大小,并根据所述时间窗口大小为各所述时间序列划分时间段;
利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级;
根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别。
2.根据权利要求1所述的方法,其特征在于,所述获取网络安全场景中各分组对象的时序特征的过程,具体包括:
根据所述网络安全场景确定出各所述分组对象的统计数据的时间聚合窗口;
根据所述统计数据的字段类型确定出对应的统计算子;
利用所述统计算子计算出所述时序特征。
3.根据权利要求1所述的方法,其特征在于,在所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分之后,进一步包括:
利用带拉普拉斯平滑项的Min-max标准化方法分别对各所述时序特征点的异常评分进行标准化处理。
4.根据权利要求1所述的方法,其特征在于,所述利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级的过程,具体包括:
确定出在当前时间段中所述网络安全场景的各所述时间序列分别对应的最大异常级别;
计算出在当前时间段中所述网络安全场景的各所述时间序列的异常级别占比;
筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级。
5.根据权利要求4所述的方法,其特征在于,所述筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级的过程,具体包括:
预设第一阈值和第二阈值;
筛选出当前时间段中所述网络安全场景中所述最大异常级别中的最大值对应的异常时间序列;
根据所述异常时间序列的异常级别占比与所述第一阈值和所述第二阈值的大小关系更新所述异常时间序列的所述异常等级。
6.根据权利要求1所述的方法,其特征在于,所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分的过程,具体包括:
获取所述网络安全场景中各所述分组对象的所述时序特征;
利用时间序列异常检测算法计算出与各所述时序特征对应的时序特征点的异常评分。
7.根据权利要求1至6任一项所述的方法,其特征在于,在所述根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别之后,进一步包括:
根据所述综合异常级别发出对应的提示信息。
8.一种网络安全场景的异常检测装置,其特征在于,包括:
获取模块,用于获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分;
第一确定模块,用于根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级;
第二确定模块,用于确定出与各所述分组对象对应的时间序列的时间窗口大小,并根据所述时间窗口大小为各所述时间序列划分时间段;
更新模块,用于利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级;
第三确定模块,用于根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别。
9.一种网络安全场景的异常检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的网络安全场景的异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的网络安全场景的异常检测方法的步骤。
CN202011434936.7A 2020-12-10 2020-12-10 一种网络安全场景的异常检测方法、装置、设备及介质 Active CN112565275B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011434936.7A CN112565275B (zh) 2020-12-10 2020-12-10 一种网络安全场景的异常检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011434936.7A CN112565275B (zh) 2020-12-10 2020-12-10 一种网络安全场景的异常检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112565275A true CN112565275A (zh) 2021-03-26
CN112565275B CN112565275B (zh) 2022-09-20

Family

ID=75060341

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011434936.7A Active CN112565275B (zh) 2020-12-10 2020-12-10 一种网络安全场景的异常检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112565275B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113535823A (zh) * 2021-07-26 2021-10-22 北京天融信网络安全技术有限公司 异常访问行为检测方法、装置及电子设备

Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130054783A1 (en) * 2011-08-27 2013-02-28 At&T Intellectual Property I, L.P. Passive and comprehensive hierarchical anomaly detection system and method
US20160065604A1 (en) * 2014-08-29 2016-03-03 Linkedln Corporation Anomalous event detection based on metrics pertaining to a production system
CN105701010A (zh) * 2015-12-31 2016-06-22 北京元心科技有限公司 一种加速软件测试的方法和装置
CN106067858A (zh) * 2016-05-24 2016-11-02 中国联合网络通信集团有限公司 容器间的通信方法、装置及系统
US20180275642A1 (en) * 2017-03-23 2018-09-27 Hitachi, Ltd. Anomaly detection system and anomaly detection method
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
US20190236177A1 (en) * 2018-01-29 2019-08-01 Microsoft Technology Licensing, Llc Combination of techniques to detect anomalies in multi-dimensional time series
CN110348480A (zh) * 2019-06-05 2019-10-18 杭州立宸科技有限公司 一种非监督异常数据检测算法
CN110598851A (zh) * 2019-08-29 2019-12-20 北京航空航天大学合肥创新研究院 一种融合lstm和gan的时间序列数据异常检测方法
US20200064822A1 (en) * 2018-08-27 2020-02-27 Nec Laboratories America, Inc. Unsupervised anomaly detection, diagnosis, and correction in multivariate time series data
US20200097382A1 (en) * 2018-09-20 2020-03-26 SCREEN Holdings Co., Ltd. Data processing method, data processing apparatus, and recording medium with data processing program recorded thereon
CN111092891A (zh) * 2019-12-20 2020-05-01 杭州安恒信息技术股份有限公司 一种网络中异常点的检测方法、检测系统及相关装置
CN111209562A (zh) * 2019-12-24 2020-05-29 杭州安恒信息技术股份有限公司 一种基于潜伏行为分析的网络安全检测方法
CN111600897A (zh) * 2020-05-21 2020-08-28 杭州安恒信息技术股份有限公司 一种网络安全事件等级评估方法、设备及其相关设备
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质

Patent Citations (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130054783A1 (en) * 2011-08-27 2013-02-28 At&T Intellectual Property I, L.P. Passive and comprehensive hierarchical anomaly detection system and method
US20160065604A1 (en) * 2014-08-29 2016-03-03 Linkedln Corporation Anomalous event detection based on metrics pertaining to a production system
CN105701010A (zh) * 2015-12-31 2016-06-22 北京元心科技有限公司 一种加速软件测试的方法和装置
CN106067858A (zh) * 2016-05-24 2016-11-02 中国联合网络通信集团有限公司 容器间的通信方法、装置及系统
US20180275642A1 (en) * 2017-03-23 2018-09-27 Hitachi, Ltd. Anomaly detection system and anomaly detection method
US20190236177A1 (en) * 2018-01-29 2019-08-01 Microsoft Technology Licensing, Llc Combination of techniques to detect anomalies in multi-dimensional time series
US20200064822A1 (en) * 2018-08-27 2020-02-27 Nec Laboratories America, Inc. Unsupervised anomaly detection, diagnosis, and correction in multivariate time series data
US20200097382A1 (en) * 2018-09-20 2020-03-26 SCREEN Holdings Co., Ltd. Data processing method, data processing apparatus, and recording medium with data processing program recorded thereon
CN109818942A (zh) * 2019-01-07 2019-05-28 微梦创科网络科技(中国)有限公司 一种基于时序特征的用户帐号异常检测方法及装置
CN110348480A (zh) * 2019-06-05 2019-10-18 杭州立宸科技有限公司 一种非监督异常数据检测算法
CN110598851A (zh) * 2019-08-29 2019-12-20 北京航空航天大学合肥创新研究院 一种融合lstm和gan的时间序列数据异常检测方法
CN111092891A (zh) * 2019-12-20 2020-05-01 杭州安恒信息技术股份有限公司 一种网络中异常点的检测方法、检测系统及相关装置
CN111209562A (zh) * 2019-12-24 2020-05-29 杭州安恒信息技术股份有限公司 一种基于潜伏行为分析的网络安全检测方法
CN111600897A (zh) * 2020-05-21 2020-08-28 杭州安恒信息技术股份有限公司 一种网络安全事件等级评估方法、设备及其相关设备
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113535823A (zh) * 2021-07-26 2021-10-22 北京天融信网络安全技术有限公司 异常访问行为检测方法、装置及电子设备
CN113535823B (zh) * 2021-07-26 2023-11-10 北京天融信网络安全技术有限公司 异常访问行为检测方法、装置及电子设备

Also Published As

Publication number Publication date
CN112565275B (zh) 2022-09-20

Similar Documents

Publication Publication Date Title
CN109815084B (zh) 异常识别方法、装置和电子设备及存储介质
CN110880984A (zh) 基于模型的流量异常监测方法、装置、设备及存储介质
CN110378487B (zh) 横向联邦学习中模型参数验证方法、装置、设备及介质
CN109150564B (zh) 一种用于小区故障告警的预测方法及装置
CN110572297B (zh) 网络性能的评估方法、服务器及存储介质
CN110245574B (zh) 一种用户疲劳状态识别方法、装置及终端设备
CN109544399B (zh) 基于多源异构数据的输电设备状态评价方法及装置
CN112188531A (zh) 异常检测方法、装置、电子设备及计算机存储介质
EP3596670A1 (en) Automated decision making using staged machine learning
CN113780466A (zh) 模型迭代优化方法、装置、电子设备和可读存储介质
CN111416790B (zh) 基于用户行为的网络异常访问智能识别方法、装置、存储介质及计算机设备
CN112633998B (zh) 税务大数据决策分析方法及系统
CN112565275B (zh) 一种网络安全场景的异常检测方法、装置、设备及介质
CN112269937B (zh) 一种计算用户相似度的方法、系统及装置
CN114936614B (zh) 一种基于神经网络的作业风险识别方法及系统
CN111954232B (zh) 无线网络指标分类方法和装置
CN107357703B (zh) 一种终端应用耗电检测方法及服务器
CN112445679B (zh) 一种信息检测方法、装置、服务器及存储介质
CN114707420A (zh) 一种信贷欺诈行为识别方法、装置、设备及存储介质
CN113656452A (zh) 调用链指标异常的检测方法、装置、电子设备及存储介质
CN109086207B (zh) 页面响应故障分析方法、计算机可读存储介质及终端设备
CN113285847A (zh) 一种智能换流站监测系统的通信网络异常检测方法及系统
CN112363859A (zh) 异常判定阈值的确定方法及装置
CN112529845A (zh) 图像质量值确定方法、装置、存储介质及电子装置
CN111739009A (zh) 一种图像检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant