CN113098888A - 异常行为预测方法、装置、设备及存储介质 - Google Patents
异常行为预测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN113098888A CN113098888A CN202110405049.5A CN202110405049A CN113098888A CN 113098888 A CN113098888 A CN 113098888A CN 202110405049 A CN202110405049 A CN 202110405049A CN 113098888 A CN113098888 A CN 113098888A
- Authority
- CN
- China
- Prior art keywords
- date
- predicted
- prediction
- historical
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例公开了一种异常行为预测方法、装置、设备及存储介质。其中,方法包括:响应于待预测日期的网络安全预测指令,确定与待预测日期对应的日期属性;获取与日期属性匹配的至少一条历史流量数据;根据各历史流量数据对待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。本发明实施例的方案,可以实现对工业互联网中可能存在的异常行为进行预测,为提升工业互联网的安全性提供依据。
Description
技术领域
本发明实施例涉及工业互联网技术领域,尤其涉及一种异常行为预测方法、装置、设备及存储介质。
背景技术
随着科学技术的不断发展,工业互联网得到了迅猛的发展。工业互联网可以极大地提高生产效率以及管理效率。
在工业互联网极大地提高生产效率以及管理效率的同时,工业互联网面临的安全问题也越来越复杂,工业互联网面聊的安全挑战也日益凸显,成为制约工业互联网发展的关键问题。
如何提前对工业互联网中可能存在的异常行为进行预测是业内关注的重点问题。
发明内容
本发明实施例提供一种异常行为预测方法,以实现对工业互联网中可能存在的异常行为进行预测。
第一方面,本发明实施例提供了一种异常行为预测方法,应用于工业互联网,包括:
响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
获取与所述日期属性匹配的至少一条历史流量数据;
根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
第二方面,本发明实施例还提供了一种异常行为预测装置,应用于工业互联网,包括:
日期属性确定模块,用于响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
历史流量数据获取模块,用于获取与所述日期属性匹配的至少一条历史流量数据;
指示信息生成模块,用于根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
第三方面,本发明实施例还提供了一种异常行为预测设备,其特征在于,所述异常行为预测设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明实施例中任一实施例所述的异常行为预测方法。
第四方面,本发明实施例还提供了一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如本发明实施例中任一实施例所述的异常行为预测方法。
本发明实施例可以应用于工业互联网,通过响应于待预测日期的网络安全预测指令,确定与待预测日期对应的日期属性;获取与日期属性匹配的至少一条历史流量数据;根据各历史流量数据对待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息,可以实现对工业互联网中可能存在的异常行为进行预测,为提升工业互联网的安全性提供依据。
附图说明
图1是本发明实施例一中的一种异常行为预测方法的流程图;
图2是本发明实施例二中的一种异常行为预测方法的流程图;
图3是本发明实施例三中的一种异常行为预测方法的流程图;
图4是本发明实施例四中的一种异常行为预测装置的结构示意图;
图5是本发明实施例五中的一种异常行为预测设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明实施例作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明实施例,而非对本发明实施例的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明实施例相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种异常行为预测方法的流程图,本实施例可适用于对预测日期的工业互联网的异常行为进行预测情况,该方法可以由异常行为预测装置来执行,该装置可以通过软件和/或硬件的方式实现,并集成在异常行为预测设备中,在本实施例中,异常行为预测设备可以为计算机、服务器或者平板电脑等;具体的,参考图1,该方法具体包括如下步骤:
步骤110、响应于待预测日期的网络安全预测指令,确定与待预测日期对应的日期属性。
其中,待预测日期可以为未发生的、未来的任意一天,例如,明天、下个月或者下个节假日等,本实施例中对其不加以限定。
在本实施例的一个可选实现方式中,在接收到待预测日期的工业互联网网络安全预测指令时,可以进一步的确定与待预测日期对应的日期属性;其中,日期属性可以为活动日、节假日或者工作日中的一项或者多项,本实施例中对其不加以限定;例如,若待预测日期为2021年9月10日,那么与该预测日期对应的日期属性可以为活动日、节假日或者活动日和节假日。
步骤120、获取与日期属性匹配的至少一条历史流量数据。
在本实施例的一个可选实现方式中,在确定与待预测日期对应的日期属性之后,可以进一步的获取与日期属性匹配的至少一条历史流量数据;其中,历史流量数据为与待预测日期的日期属性对应的,且已产生的工业互联网流量数据。
示例性的,若待预测日期为2021年9月10日,且与该预测日期对应的日期属性为活动日,则可以获取2021年9月10日之前已完成的活动日所产生的工业互联网流量数据,并将这些数据确定为与待预测日期的日期属性所匹配的历史流量数据。
步骤130、根据各历史流量数据对待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
在本实施例的一个可选实现方式中,在获取到与待预测日期的日期属性匹配的多条历史流量数据之后,可以进一步的根据各历史流量数据对待预测容器的网络安全进行预测,进而确定待预测日期是否存在异常行为。
在本实施例的一个可选实现方式中,在获取到与待预测日期的日期属性匹配的多条历史流量数据之后,可以进一步的对各历史流量数据进行分析,确定各历史流量数据的数据特征,进而确定待预测日期的流量数据的数据特征,从而实现对待预测日期的网络安全预测。
在本实施例的一个可选实现方式中,根据各历史流量数据对待预测日期的网络安全进行预测,可以包括:对各历史流量数据进行建模,生成与各历史流量数据对应的目标函数;将待预测日期输入至目标函数中,得到与待预测日期对应的预测结果。
可选的,在获取到与待预测日期的日期属性匹配的多条历史流量数据之后,可以进一步的对各历史流量数据进行建模,生成与各历史流量数据对应的目标函数;进一步的,可以将待预测日期输入至建模生成的目标函数中,从而输出与待预测日期对应的预测结果;其中,输出的预测结果可以为:存在异常行为,需要重点监控、不会存在异常行为,无需重点监控等,本实施例中对其不加以限定。
这样设置的好处在于,可以根据与待预测日期的日期属性匹配的历史流量数据快速地确定待预测日期的网络安全预测结果,为提前确定防御措施从而保证工业互联网的安全提供依据。
本实施例的方案,通过响应于待预测日期的网络安全预测指令,确定与待预测日期对应的日期属性;获取与日期属性匹配的至少一条历史流量数据;根据各历史流量数据对待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息,可以实现对工业互联网中可能存在的异常行为进行预测,为提升工业互联网的安全性提供依据。
实施例二
图2是本发明实施例二中的一种异常行为预测方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2所示,异常行为预测方法可以包括如下步骤:
步骤210、通过查询预设的日期配置表,确定与待预测日期对应的日期属性。
在本实施例的一个可选实现方式中,在获取到对待预测日期的网络安全的安全预测指令时,可以通过查询预设的日期配置表,进而确定与待预测日期对应的日期属性。需要说明的是,日期配置表可以为节假日数据表,也可以为活动日配置表,本实施例中对其不加以限定。
步骤220、获取与日期属性匹配的至少一条历史流量数据。
在本实施例的一个可选实现方式中,获取与日期属性匹配的至少一条历史流量数据,可以包括:确定与日期属性对应的目标身份标识号(Identity document,ID),在数据库中查询与目标ID匹配的至少一条历史流量数据。
可选的,在确定与待预测日期对应的日期属性之后,可以进一步确定日期属性ID,例如,确定与待预测日期对应的日期属性为节假日,则可以进一步的确定节假日的属性ID,并在数据库中查询与属性ID匹配的多条历史流量数据。
在本实施例的另一个可选实现方式中,获取与日期属性匹配的至少一条历史流量数据,还可以包括:确定与待预测日期匹配的至少一个历史参考日期,并获取与各历史参考日期匹配的至少一条历史流量数据。
可选的,若待预测日期为今年中秋节(未发生),那么与待预测日期匹配的历史参考日期可以为去年中秋节,也可为前2年或者前3年中秋节等,本实施例中对其不加以限定。进一步的,可以分别确定每个参考日期产生的历史流量数据,从而得到与待预测日期的日期属性匹配的多条历史数据。
步骤230、对各历史流量数据进行迭代训练,生成至少一个安全预测模型;通过各安全预测模型对待预测日期的网络安全进行预测。
在本实施例的一个可选实现方式中,在获取与待预测日期的日期属性匹配的至少一条历史流量数据之后,可以进一步的对各历史流量数据进行迭代训练,从而生成至少一个安全预测模型;进一步的,通过各安全预测模型对待预测日期的网络安全进行预测。
示例性的,若待预测日期的日期属性为活动日以及节假日,则可以将获取的与日期属性为活动日对应的历史流量数据进行迭代训练,得到活动日安全预测模型;将获取的与日期属性为节假日对应的历史流量数据进行迭代训练,得到节假日安全预测模型;进一步的,可以通过活动日安全预测模型以及节假日安全预测模型同时对待预测日期的网络安全进行预测。
在本实施例的一个可选实现方式中,通过各安全预测模型对待预测日期的网络安全进行预测,可以包括:将待预测日期输入至训练生成的各安全预测模型中,得到与待预测日期对应的网络安全预测结果。
可选的,在上述例子中,可以分别将待预测日期输入至训练生成的活动日安全预测模型以及节假日安全预测模型中,从而得到待预测日期的网络安全预测结果。
这样设置的好处在于,可以通过训练得到的安全预测模型快速地对待预测日期进行网络安全预测,得到安全预测结果。
本实施例的方案,可以对获取到的各历史流量数据进行迭代训练,生成至少一个安全预测模型;通过各安全预测模型对待预测日期的网络安全进行预测,可以快速地对待预测日期进行网络安全预测,并且预测准确率较高。
实施例三
图3是本发明实施例三中的一种异常行为预测方法的流程图,本实施例是对上述各技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图3所示,异常行为预测方法可以包括如下步骤:
步骤310、响应于待预测日期的网络安全预测指令,确定与待预测日期对应的日期属性。
步骤320、获取与日期属性匹配的至少一条历史流量数据。
步骤330、对各历史流量数据进行迭代训练,生成至少一个安全预测模型。
步骤340、确定与待预测日期对应的至少一个已结束的参考日期;将各参考日期输入至训练生成的各安全预测模型中,得到与各参考日期对应的参考网络安全预测结果;分别将各参考网络安全预测结果与各参考日期对应的实际结果进行比对;根据比对结果确定是否对各安全预测模型进行更新训练。
在本实施例的一个可选实现方式中,在将待预测日期输入至训练生成的各安全预测模型中,得到与待预测日期对应的网络安全预测结果之前,还可以确定是否需要对各安全预测模型进行更新训练;在具体实现中,可以获取与待预测日期对应的至少一个已结束的参考日期(例如,若待预测日期为今年中秋节(未发生),那么与待预测日期匹配的历史参考日期可以为去年中秋节,也可为前2年或者前3年中秋节等)。
进一步的,可以将各参考日期输入至训练生成的安全预测模型中,从而得到与每个参考日期对应的参考网络安全预测结果;分别将各参考网络安全预测结果与各参考日期对应的实际结果(实际网络数据)进行比对,并根据比对结果确定是否对安全预测模型进行更新训练。
在本实施例的一个可选实现方式中,如果各比对结果显示,各参考网络安全预测结果与各参考日期对应的实际结果的相似度小于设定阈值(例如,0.6、0.7或者0.8等,本实施例中对其不加以限定),则可以生成对安全预测模型进行更新训练的指示信息;此时,可以重新获取与待预测日期的日期属性对应历史流量数据,或者增加与待预测日期的日期属性对应历史流量数据的数量,从而重新对安全预测模型进行训练。
在本实施例的一个可选实现方式中,如果各比对结果显示,各参考网络安全预测结果与各参考日期对应的实际结果的相似度大于设定阈值,则无需生成对安全预测模型进行更新训练的指示信息,可以直接通过已有安全预测模型对待预测日期的网络安全进行预测。
步骤350、通过更新后的各安全预测模型对待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
本实施例的方案,将待预测日期输入至训练生成的各安全预测模型中,得到与待预测日期对应的网络安全预测结果之前,还可以确定是否需要对各安全预测模型进行更新训练;具体的,可以确定与待预测日期对应的至少一个已结束的参考日期;将各参考日期输入至训练生成的各安全预测模型中,得到与各参考日期对应的参考网络安全预测结果;分别将各参考网络安全预测结果与各参考日期对应的实际结果进行比对;根据比对结果确定是否对各安全预测模型进行更新训练,可以保证预测模型的准确度,可以准确地对待预测日期的网络安全进行预测,及时且准确地对异常行为进行预测。
为了使本领域技术人员更好地理解本实施例异常行为预测方法,下面采用一个具体示例进行说明,具体过程包括有:
步骤1:读取数据库内的流量基线规则配置表,对每一个生效的检测项rule_id循环进行步骤2~13,直至所有rule都完成基线预测。
步骤2:输入预测日期,关联查询节假日数据表及活动日配置表(日期配置表),判断该rule_id在预测日是否为节假日或活动日。
步骤3:若该rule_id在预测当天为活动日,则依据该天的活动类型ID,从数据库当中读取对应相同活动类型ID的历史流量数据进入后续建模评估阶段,否则进入步骤4。
步骤4:若该rule_id在预测当天为节假日,则从数据库当中读取最近一个月内的周末休息日及节假日的历史流量数据进入后续建模评估阶段,否则进入步骤5。
步骤5:预测日当天为正常的工作日/周末,从数据库当中读取最近连续非活动日数据进入后续建模评估阶段。
步骤6:若步骤3~5中获取的有效数据的天数少于3天,数据量过少不足以支撑建模,跳过该rule_id;否则进入步骤7。
步骤7:根据预测日的日期类型,读取最近已结束的相同日期类型当天的预测基线与实际流量进行误差评估,若评估指标低于模型重建阈值,则读取历史模型对预测日进行预测;当评估指标高于模型重建阈值,直接对历史数据进行重新建模训练。
步骤8:对预测天的数据进行数据预处理后,采用周期分解算法对原始数据进行周期分解,拆分为长期趋势,周期趋势和残差。
步骤9:采用ARIMA模型对长期趋势进行拟合,并对模型进行固化及预测,生成预测日当天的长期预测结果。
步骤10:对周期趋势按照天作为时间单位进行拆分,得到每天流量数据的趋势表现,生成预测日当天内的周期趋势。
步骤11:将步骤9~10的预测日当天的长期预测结果和预测日当天内的周期趋势叠加生成预测日当天内的预测基线值。
步骤12:对残差进行排序后,将位于正序top5%的值作为基线浮动上限值,将位于倒序top5%的值作为基线浮动下限值,并读取数据库中流量基线配置表当中的基线浮动上下限比例,生成正常流量基线上限及正常流量基线下限。
步骤13:将预测基线值及正常流量基线上下限存储到数据库当中,并将对应模型及周期参数等数据固化到本地文件当中。
需要说明的是,在实际生产环境中,当遇到活动或节假日时,其流量表现与正常工作日休息日差别较大,难以用单个模型进行拟合。本发明实施例的方案,依据预测日当天的日期类型,分别针对活动日、节假日及正常工作休息日三种类型读取对应的历史数据进行建模预测,有效解决了不同场景下流量预测波动情况。
还需要说明的是,不同的检测关键项其对应的流量表现均有区别,传统的人工使用ARIMA等时序算法模型进行调参时需要人工观测ACF/PACF图来确定P,Q阶数,当关键项个数较多时整个调参过程非常耗时,时效性难以保障。本发明实施例的方案,采用网格搜索法对自动寻找每个关键项的最优参数配置,无需人工介入。采用自评估自迭代的思路,依据模型上次的预测值与实际值的拟合效果进行模型评估,当拟合效果差于预期,则重新对模型进行训练,保证每个关键项对应模型都能进行及时更新迭代。
还需要说明的是,由于实际生产环境当中,时间颗粒度需要精确到分钟级,直接使用ARIMA模型在对长期数据直接进行差分和训练预测时表现不佳。本发明实施例的方案,通过对实际数据进行分析,直接进行差分不足以完全消除数据的周期特征。因此通过对数据进行周期拆分,分离出数据的每天的周期表现以及每周的周期表现,针对数据的长期趋势使用ARIMA模型进行拟合,再对模型预测结果与周期特征重新结合为预测,预测结果精度与实际值的绝对平均偏差比例在15%左右,符合生产需求。
本发明实施例的方案,可发现传统检测技术发现不了的未知威胁和异常行为,任何攻击都会产生与正常业务不同的流量行为,通过真实的流量行为分析发现未知威胁,相比于传统依赖特征库匹配的安全检测技术,可极大提升威胁检出率;可通过流量基线建模与分析提前预知网络内部的潜伏威胁,在造成破坏前提前预警、提前干预,相比于传统的安全检测技术,可将威胁的发现时间大大缩短;基于对工业协议的解析可识别针对工业互联网的攻击和恶意行为,可适配于IT/OT域融合网络场景。
实施例四
图4是本发明实施例四中的一种异常行为预测装置的结构示意图,该装置可以执行上述各实施例中涉及到的异常行为预测方法。参照图4,该装置包括:日期属性确定模块410、历史流量数据获取模块420以及指示信息生成模块430。
其中,日期属性确定模块410,用于响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
历史流量数据获取模块420,用于获取与所述日期属性匹配的至少一条历史流量数据;
指示信息生成模块430,用于根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
本实施例的方案,通过日期属性确定模块确定与所述待预测日期对应的日期属性;通过历史流量数据获取模块获取与所述日期属性匹配的至少一条历史流量数据;通过指示信息生成模块根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息,可以实现对工业互联网中可能存在的异常行为进行预测,为提升工业互联网的安全性提供依据。
在本实施例的一个可选实现方式中,日期属性确定模块410,具体用于
通过查询预设的日期配置表,确定与所述待预测日期对应的日期属性;
其中,所述日期属性包括下述至少一项:活动日、节假日以及工作日。
在本实施例的一个可选实现方式中,历史流量数据获取模块,具体用于
确定与所述日期属性对应的目标ID,在数据库中查询与所述目标ID匹配的至少一条历史流量数据;
或者,确定与所述待预测日期匹配的至少一个历史参考日期,并获取与各所述历史参考日期匹配的至少一条历史流量数据。
在本实施例的一个可选实现方式中,指示信息生成模块,具体用于对各所述历史流量数据进行迭代训练,生成至少一个安全预测模型;
通过各所述安全预测模型对所述待预测日期的网络安全进行预测。
在本实施例的一个可选实现方式中,指示信息生成模块,还具体用于将所述待预测日期输入至训练生成的各所述安全预测模型中,得到与所述待预测日期对应的网络安全预测结果。
在本实施例的一个可选实现方式中,异常行为预测装置,还包括:更新训练模块,用于
确定与所述待预测日期对应的至少一个已结束的参考日期;
将各所述参考日期输入至训练生成的各所述安全预测模型中,得到与各所述参考日期对应的参考网络安全预测结果;
分别将各所述参考网络安全预测结果与各所述参考日期对应的实际结果进行比对;
根据比对结果确定是否对各所述安全预测模型进行更新训练。
在本实施例的一个可选实现方式中,指示信息生成模块,还具体用于对各所述历史流量数据进行建模,生成与各所述历史流量数据对应的目标函数;
将所述待预测日期输入至所述目标函数中,得到与所述待预测日期对应的预测结果。
本发明实施例所提供的异常行为预测装置可执行本发明任意实施例所提供的异常行为预测方法,具备执行方法相应的功能模块和有益效果。
实施例五
图5为本发明实施例五提供的一种异常行为预测设备的结构示意图,如图5所示,该异常行为预测设备包括处理器50、存储器51、输入装置52和输出装置53;异常行为预测设备中处理器50的数量可以是一个或多个,图5中以一个处理器50为例;异常行为预测设备中的处理器50、存储器51、输入装置52和输出装置53可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器51作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的异常行为预测方法对应的程序指令/模块(例如,异常行为预测装置中的日期属性确定模块410、历史流量数据获取模块420以及指示信息生成模块430)。处理器50通过运行存储在存储器51中的软件程序、指令以及模块,从而执行异常行为预测设备的各种功能应用以及数据处理,即实现上述的异常行为预测方法。
存储器51可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器51可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器51可进一步包括相对于处理器50远程设置的存储器,这些远程存储器可以通过网络连接至异常行为预测设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置52可用于接收输入的数字或字符信息,以及产生与异常行为预测设备的用户设置以及功能控制有关的键信号输入。输出装置53可包括显示屏等显示设备。
实施例六
本发明实施例六还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种异常行为预测方法,该方法包括:
响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
获取与所述日期属性匹配的至少一条历史流量数据;
根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常行为预测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccessMemory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述异常行为预测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种异常行为预测方法,应用于工业互联网,其特征在于,包括:
响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
获取与所述日期属性匹配的至少一条历史流量数据;
根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
2.根据权利要求1所述的方法,其特征在于,所述确定与所述待预测日期对应的日期属性,包括:
通过查询预设的日期配置表,确定与所述待预测日期对应的日期属性;
其中,所述日期属性包括下述至少一项:活动日、节假日以及工作日。
3.根据权利要求1所述的方法,其特征在于,所述获取与所述日期属性匹配的至少一条历史数据,包括:
确定与所述日期属性对应的目标身份标识号ID,在数据库中查询与所述目标ID匹配的至少一条历史流量数据;
或者,确定与所述待预测日期匹配的至少一个历史参考日期,并获取与各所述历史参考日期匹配的至少一条历史流量数据。
4.根据权利要求1所述的方法,其特征在于,所述根据各所述历史流量数据对所述待预测日期的网络安全进行预测,包括:
对各所述历史流量数据进行迭代训练,生成至少一个安全预测模型;
通过各所述安全预测模型对所述待预测日期的网络安全进行预测。
5.根据权利要求4所述的方法,其特征在于,所述通过各所述安全预测模型对所述待预测日期的网络安全进行预测,包括:
将所述待预测日期输入至训练生成的各所述安全预测模型中,得到与所述待预测日期对应的网络安全预测结果。
6.根据权利要求5所述的方法,其特征在于,在将所述待预测日期输入至训练生成的各所述安全预测模型中,得到与所述待预测日期对应的网络安全预测结果之前,还包括:
确定与所述待预测日期对应的至少一个已结束的参考日期;
将各所述参考日期输入至训练生成的各所述安全预测模型中,得到与各所述参考日期对应的参考网络安全预测结果;
分别将各所述参考网络安全预测结果与各所述参考日期对应的实际结果进行比对;
根据比对结果确定是否对各所述安全预测模型进行更新训练。
7.根据权利要求1所述的方法,其特征在于,所述根据各所述历史流量数据对所述待预测日期的网络安全进行预测,包括:
对各所述历史流量数据进行建模,生成与各所述历史流量数据对应的目标函数;
将所述待预测日期输入至所述目标函数中,得到与所述待预测日期对应的预测结果。
8.一种异常行为预测装置,应用于工业互联网,其特征在于,包括:
日期属性确定模块,用于响应于待预测日期的网络安全预测指令,确定与所述待预测日期对应的日期属性;
历史流量数据获取模块,用于获取与所述日期属性匹配的至少一条历史流量数据;
指示信息生成模块,用于根据各所述历史流量数据对所述待预测日期的网络安全进行预测,生成是否存在异常行为的指示信息。
9.一种异常行为预测设备,其特征在于,所述异常行为预测设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的异常行为预测方法。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一所述的异常行为预测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110405049.5A CN113098888A (zh) | 2021-04-15 | 2021-04-15 | 异常行为预测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110405049.5A CN113098888A (zh) | 2021-04-15 | 2021-04-15 | 异常行为预测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113098888A true CN113098888A (zh) | 2021-07-09 |
Family
ID=76677817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110405049.5A Pending CN113098888A (zh) | 2021-04-15 | 2021-04-15 | 异常行为预测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113098888A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556253A (zh) * | 2021-07-30 | 2021-10-26 | 济南浪潮数据技术有限公司 | 预测交换机端口实时流量的方法、系统、设备和存储介质 |
| CN113645215A (zh) * | 2021-08-03 | 2021-11-12 | 恒安嘉新(北京)科技股份公司 | 异常网络流量数据的检测方法、装置、设备及存储介质 |
| CN114331063A (zh) * | 2021-12-17 | 2022-04-12 | 江苏中智系统集成工程有限公司 | 应用于智慧水务的大数据可视化处理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871879A (zh) * | 2016-05-06 | 2016-08-17 | 中国联合网络通信集团有限公司 | 网元异常行为自动检测方法及装置 |
| CN109002937A (zh) * | 2018-09-07 | 2018-12-14 | 深圳供电局有限公司 | 电网负荷预测方法、装置、计算机设备和存储介质 |
| CN109242519A (zh) * | 2018-09-25 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 一种异常行为识别方法、装置和设备 |
| CN111861000A (zh) * | 2020-07-21 | 2020-10-30 | 携程计算机技术(上海)有限公司 | 基于历史数据的日收入预测方法、系统、设备及存储介质 |
-
2021
- 2021-04-15 CN CN202110405049.5A patent/CN113098888A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871879A (zh) * | 2016-05-06 | 2016-08-17 | 中国联合网络通信集团有限公司 | 网元异常行为自动检测方法及装置 |
| CN109002937A (zh) * | 2018-09-07 | 2018-12-14 | 深圳供电局有限公司 | 电网负荷预测方法、装置、计算机设备和存储介质 |
| CN109242519A (zh) * | 2018-09-25 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 一种异常行为识别方法、装置和设备 |
| CN111861000A (zh) * | 2020-07-21 | 2020-10-30 | 携程计算机技术(上海)有限公司 | 基于历史数据的日收入预测方法、系统、设备及存储介质 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113556253A (zh) * | 2021-07-30 | 2021-10-26 | 济南浪潮数据技术有限公司 | 预测交换机端口实时流量的方法、系统、设备和存储介质 |
| CN113556253B (zh) * | 2021-07-30 | 2023-05-26 | 济南浪潮数据技术有限公司 | 预测交换机端口实时流量的方法、系统、设备和存储介质 |
| CN113645215A (zh) * | 2021-08-03 | 2021-11-12 | 恒安嘉新(北京)科技股份公司 | 异常网络流量数据的检测方法、装置、设备及存储介质 |
| CN114331063A (zh) * | 2021-12-17 | 2022-04-12 | 江苏中智系统集成工程有限公司 | 应用于智慧水务的大数据可视化处理方法及系统 |
| CN114331063B (zh) * | 2021-12-17 | 2022-12-13 | 江苏中智系统集成工程有限公司 | 应用于智慧水务的大数据可视化处理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113098888A (zh) | 异常行为预测方法、装置、设备及存储介质 | |
| CN110929036B (zh) | 电力营销稽查管理方法、装置、计算机设备和存储介质 | |
| CN111831636B (zh) | 一种数据处理方法、装置、计算机系统及可读存储介质 | |
| KR102213627B1 (ko) | 분석 소프트웨어 관리 시스템 및 분석 소프트웨어 관리 방법 | |
| CN106293891B (zh) | 多维投资指标监督方法 | |
| Jeong et al. | Anomaly teletraffic intrusion detection systems on hadoop-based platforms: A survey of some problems and solutions | |
| CN106407429A (zh) | 文件追踪方法、装置及系统 | |
| Välja et al. | A requirements based approach for automating enterprise it architecture modeling using multiple data sources | |
| CN113965389B (zh) | 一种基于防火墙日志的网络安全管理方法、设备及介质 | |
| CN107871055B (zh) | 一种数据分析方法和装置 | |
| Välja et al. | Automated architecture modeling for enterprise technology manageme using principles from data fusion: A security analysis case | |
| CN115755614A (zh) | 基于碳排监测的用能优化调控方法及装置 | |
| Chen et al. | Extension data mining method for improving product manufacturing quality | |
| CN111340404A (zh) | 构建指标体系的方法、装置及计算机存储介质 | |
| CN109669977A (zh) | 跨数据库的数据接入方法、装置、计算机设备及存储介质 | |
| CN112256687A (zh) | 一种数据处理的方法和装置 | |
| CN117118857A (zh) | 基于知识图谱的网络安全威胁管理系统及方法 | |
| US20190340540A1 (en) | Adaptive continuous log model learning | |
| Pei et al. | Estimating global completeness of event logs: A comparative study | |
| CN114860759A (zh) | 一种数据处理方法、装置、设备及可读存储介质 | |
| CN113610225A (zh) | 质量评估模型训练方法、装置、电子设备及存储介质 | |
| AU2020201689A1 (en) | Cognitive forecasting | |
| CN113743695A (zh) | 基于大数据的国际工程项目投标报价风险管理方法 | |
| CN110727532A (zh) | 一种数据修复方法、电子设备及存储介质 | |
| Ma et al. | Data management of salt cavern gas storage based on data model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210709 |
|
| RJ01 | Rejection of invention patent application after publication |