CN113726786B - 异常访问行为的检测方法、装置、存储介质及电子设备 - Google Patents

异常访问行为的检测方法、装置、存储介质及电子设备 Download PDF

Info

Publication number
CN113726786B
CN113726786B CN202111014056.9A CN202111014056A CN113726786B CN 113726786 B CN113726786 B CN 113726786B CN 202111014056 A CN202111014056 A CN 202111014056A CN 113726786 B CN113726786 B CN 113726786B
Authority
CN
China
Prior art keywords
access
path
node
abnormal
access behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111014056.9A
Other languages
English (en)
Other versions
CN113726786A (zh
Inventor
余贤喆
梁淑云
殷钱安
王启凡
陶景龙
徐�明
刘胜
马影
周晓勇
魏国富
夏玉明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN202111014056.9A priority Critical patent/CN113726786B/zh
Publication of CN113726786A publication Critical patent/CN113726786A/zh
Application granted granted Critical
Publication of CN113726786B publication Critical patent/CN113726786B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种异常访问行为的检测方法、装置、存储介质及电子设备。其中方法包括:构建以网络地址为节点的访问行为图谱;基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。本申请中,通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果更加准确、合理。

Description

异常访问行为的检测方法、装置、存储介质及电子设备
技术领域
本申请涉及互联网技术领域,特别涉及一种异常访问行为的检测方法、装置、存储介质及电子设备。
背景技术
随着网络技术和业务的发展,企业内部的各种主机、网络设备、安全设备、业务系统等也越来越多,随之,用户访问权限管理也越来越复杂。目前企业多用4A(统一安全管理平台解决方案)系统和堡垒机等方式对用户进行认证已经访问设备资源,但是在网络架构较为复杂时,无法全面的监控主机之间的通信。因此对用户/目标设备的行为审计,可以从技术的角度来规范企业员工的操作行为。
然而现有的行为审计主要是基于事先制定的规则,进行关键字匹配,主要依赖人工判断,无法准确灵活的发现网络内部的跳转机异常行为,而且路径较长的情况下还无法溯源。并且其他一些通过机器学习的异常行为发现方法,需要处理大量特征信息,计算密度较高,并且也无法准确定义跳转机异常行为。
发明内容
有鉴于此,本发明提供了一种异常访问行为的检测方法、装置、存储介质及电子设备,主要目的在于解决目前存在无法准确的检测出异常访问行为的问题。
为解决上述问题,本申请提供一种异常访问行为的检测方法,包括:
构建以网络地址为节点的访问行为图谱;
基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
可选的,所述构建以网络地址为节点的访问行为图谱,具体包括:
获取与各服务器对应的访问行为信息;
基于各所述服务器的网络地址以及各所述访问行为信息,构建以网络地址为节点、以用户账号信息为节点属性、以访问时间和/或会话标志为节点间路径属性的访问行为图谱;
其中,所述访问行为信息包括如下任意一种或几种:用户账号信息、发送方的网络地址、访问时间和会话标志。
可选的,所述基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径,具体包括:
基于所述访问行为图谱获取若干极大连通子图;
确定所述目标设备的网络地址所位于的极大连通子图为目标极大连通子图;
基于所述目标极大连通子图获取所述目标设备的若干访问路径。
可选的,所述基于所述目标极大连通子图获取所述目标设备的若干访问路径,具体包括:
基于所述目标极大连通子图中各节点的节点属性和/或节点间路径属性,获取所述目标设备的若干访问路径;
其中,所述节点属性包括节点关联的用户账号信息;
所述节点间路径属性包括:访问时间和/或会话标志。
可选的,所述异常访问行为的检测方法还包括:
获取所述目标设备在预定时间段内的若干第一历史访问路径;
基于各所述第一历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值;
所述基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果,具体包括:
将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
可选的,所述异常访问行为的检测方法还包括:
获取各设备在预定时间段内的若干第二历史访问路径;
基于各所述第二历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值;
所述基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果,具体包括:
将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
可选的,在确定访问路径为异常访问行为之后,所述异常访问行为的检测方法还包括:
基于各异常访问行为的路径节点数,按照路径节点数由高到低的顺序对各异常访问行为的访问路径进行显示。
为解决上述问题,本申请提供一种异常访问行为的检测装置,包括:
构建模块,用于构建以网络地址为节点的访问行为图谱;
获取模块,用于基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
检测模块,用于基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
为解决上述问题,本申请提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述异常访问行为的测方法的步骤。
为解决上述问题,本申请提供一种电子设备,至少包括存储器、处理器,所述存储器上存储有计算机程序,所述处理器在执行所述存储器上的计算机程序时实现上述任一项所述异常访问行为的测方法的步骤。
本申请中的一种异常访问行为的检测方法、装置、存储介质及电子设备,通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果更加准确、合理。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本申请实施例一种异常访问行为的检测方法的流程图;
图2为本申请又一实施例一种异常访问行为的检测方法的流程图;
图3为本申请实施例一种异常访问行为的检测装置的框图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请实施例提供一种异常访问行为的检测方法,如图1所示,包括如下步骤:
步骤S101,构建以网络地址为节点的访问行为图谱;
本步骤中,网络地址具体可以为互联网协议地址(Internet Protocol Address,简称IP地址)。在构建访问行为图谱时,具体可以采用如下方式:首先,获取与各服务器对应的访问行为信息。具体获取访问行为信息的过程为:获取企业内网中各服务器的访问登录日志,例如收集各服务器之间的安全外壳协议(Secure Shell,简称ssh)、文件传输协议(File Transfer Protocol,简称ftp)等访问登录日志;基于各所述访问登录日志获取访问行为信息,例如从收集的访问登录日志中解析出用户账号信息、对端设备的IP地址、访问时间、访问类型、会话标志等信息以作为访问行为信息。然后,基于各所述服务器的网络地址以及各所述访问行为信息,构建以网络地址为节点、以用户账号信息为节点属性、以访问时间和/或会话标志为节点间路径属性的访问行为图谱;即在获取到访问行为信息后,以访问行为信息中的发送方的IP地址(上一级服务器的IP地址或终端设备的IP地址)为第一节点,以该访问行为信息对应的服务器的IP地址为第二节点,来建立两个节点间的路径,同时将行为信息中的用户账号信息作为第二节点的属性,将行为信息中的访问时间和/或会话标志作为第一节点和第二节点间的路径属性;重复执行上述过程对每一条访问行为信息就行节点路径的绘制,最终构建获得访问行为图谱。由于同一个服务器会在不同会话/访问行为中被多次登录,因此访问行为图谱中的同一节点(网络地址)会关联有多个用户账号信息,以表示都有哪些账号访问过该服务器。并且访问行为图谱中两个节点之间的节点间路径属性也会关联有多个,以表示这两个节点间的访问路径具体出现在哪几个访问行为中。
步骤S102,基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
本步骤在具体实施过程中,可以利用访问行为图谱来获取目标设备的网络地址与各服务器的网络地址之间的若干初始路径;然后基于各条初始路径中节点属性和/或节点间路径属性是否一致来对各初始路径进行筛选,获得最终的访问路径。通过根据节点属性和/或节点间路径属性来对初始路径进行筛选,即根据同一条路径中各节点是否关联了同一账号、各相邻节点间路径关联的访问时间是否连续以及各相邻节点间路径关联的会话标识是否一致中的一种或几种,来对各条初始路径进行筛选,以确保筛选获得的访问路径中,每个访问路径是同一账号、同一次访问所产生的,即保证各路径时连续访问所产生。
步骤S103,基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
本步骤在具体实施过程中,具体可以根据实际需要来设定路径节点数的阈值,然后再将各访问路径的节点数与该阈值进行比较,在确定节点数大于该阈值的情况下,确定该节点数对应的访问路径为存在绕行行为,即确定该访问行为异常,由此获得异常访问行为的检测结果。
本申请中通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果更加准确、合理。
为了提高对异常访问行为的检测效果,本申请又一实施例提供一种异常访问行为的检测方法,如图2所示,包括如下步骤:
步骤S201,获取与各服务器对应的访问行为信息;基于各所述服务器的网络地址以及各所述访问行为信息,构建以网络地址为节点、以用户账号信息为节点属性、以访问时间和/或会话标志为节点间路径属性的访问行为图谱;
本步骤在具体实施时,可以获取企业内网中各服务器的访问登录日志,例如收集各服务器之间的ssh、ftp等访问登录日志;基于各所述访问登录日志来获取访问行为信息,例如从收集的访问登录日志中解析出用户账号信息、对端设备的IP地址、访问时间、访问类型、会话标志等信息以作为访问行为信息。
步骤S202,基于所述访问行为图谱获取若干极大连通子图;确定所述目标设备的网络地址所位于的极大连通子图为目标极大连通子图;基于所述目标极大连通子图获取所述目标设备的若干访问路径;
在无向图中,若从定点V1到V2有路径,则称顶点V1和V2是连通的。如果图中任意一对顶点都是连通的,则称此图是连通图。极大是因为如果此时加入任何一个不在图的点集中的点都会导致它不再连通。本步骤在此处将有向图当作无向图处理,获取极大连通子图可以降低后面搜寻路径时的计算量,提高异常访问行为的检测效率。
本步骤在获得了目标极大连通子图后,就可以进一步获取目标设备的访问路径了,例如可以针对目标设备/用户所在的目标极大连通子图,利用迪杰斯特拉算法或其他合适的最短路径算法计算目标设备/用户对目标极大连通子图中其他节点的最短路径,由此来获得若干初始路径。迪杰斯特拉算法的基本思想是每次找到离源点(目标设备的IP地址对应的节点)最近的一个节点,然后以该节点为中心进行扩展,最终得到源点到其余所有点的最短路径即获得初始路径。例如,假设利用目标极大连通子图获取到节点1(目标设备的IP节点)到2-7节点的所有路径分别为[1->2,1->4->3,1->4,1->4->5,1->4->7->6,1->4->7];然后就可以对路径进行合并,获得初始路径,即合并后获得的初始路径分别为:[1->2,1->4->3,1->4->5,1->4->7->6];接着就可以通过根据节点属性和/或节点间路径属性来对各初始路径进行筛选,即根据同一条路径中各节点是否关联了同一账号、各相邻节点间路径关联的访问时间是否连续以及各相邻节点间路径关联的会话标识是否一致中的一种或几种,来对各条初始路径进行筛选,以确保筛选获得的访问路径中,每个访问路径是同一账号、同一次访问所产生的,即保证各路径是连续访问所产生。例如对“1->4->3”这条初始路径进行筛选时,可以判断节点1、节点4以及节点3是否关联有相同的用户账户,判断“1->4”这个节点间路径关联的访问时间与“4->3”这个节点间路径关联的访问时间是否连续,判断“1->4”这个节点间路径关联的会话标志与“4->3”这个节点间路径是关联的会话标志是否一致,若以上3个判断结果均为“是”,则可以确定该条路径是同一账号、同一次访问所产生的,确定其可以用作异常行为检测的路径。同理对上述各初始路径进行判断,筛选获得最终的访问路径。
步骤S203,将各所述访问路径的节点数与目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
本步骤在实施过程中,可以预先设定目标阈值,目标阈值可以采用如下两种方式来确定:
方式一:获取所述目标设备在预定时间段内的若干第一历史访问路径,其中预定时间可以为1个月、3个月等等,可以根据实际需要来调整;基于各所述第一历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值。本实施例中采用四份位数计算目标阈值的过程为:
1、对各路径的节点数按照由小到大的顺序排序;记排序前的数据为before_data;排序后的数据为after_data,简记为a1~an,用n表示路径数即节点数a的项数;
2、计算第一四分位数Q1的位置、第二四分位数Q2的位置以及第三四分位数Q3的位置,计算公式为:
Figure BDA0003239235700000081
Figure BDA0003239235700000091
Figure BDA0003239235700000092
3、计算与各四分位位置对应的节点数值,即计算与各四分位位置对应的第一四分位数Q1、第二四分位数Q2以及第三四分位数Q3,计算过程如下:
(1)当n是奇数时,分位数的值就是排序后的数据中处于的第position(Qi)(i=1,2,3)位置的值;
figure(Q1)=a[(n+1)/4]
figure(Q2)=a[2(n+1)/4]
figure(Q3)=a[3(n+1)/4]
(2)当n是偶数时,第一分位数的值的计算公式如下:
figure(Q1)=a[|(n+1)/4|]+(a[|(n+1)/4|+1]-a[|(n+1)/4|])*((n+1)/4-|(n+1)/4|)
figure(Q2)=a[|2(n+1)/4|]+(a[|2(n+1)/4|+1]-a[|2(n+1)/4|])*(2(n+1)/4-|2(n+1)/4|)
figure(Q3)=a[|3(n+1)/4|]+(a[|3(n+1)/4|+1]-a[|3(n+1)/4|])*(3(n+1)/4-|3(n+1)/4|)
其中,“||”表示取整数。
4、基于四分位距IQR计算第一目标阈值以及第二目标阈值。计算公式如下:
IQR=Q3-Q1;
第一目标阈值=Q3+1.5IQR;
第二目标阈值=Q3+3IQR;
本实施例中在计算获得上述2个目标阈值之后就可以确定3个区间,然后在进行异常行为检测时,就可以将访问路径的节点数与上述2个目标阈值进行比较,当节点数小于第一目标阈值时,,确定该节点数对应的访问路径为非异常访问行为。当节点数大于第一目标阈值小于第二目标阈值时,确定其为温和异常值,由此可以确定该节点数对应的访问路径为异常访问行为。当节点数大于第二目标阈值时,确定其为极端的异常值,由此也可以确定该节点数对应的访问路径为异常访问行为。
方式二:获取各设备在预定时间段内的若干第二历史访问路径,其中预定时间可以为1个月、3个月等等,可以根据实际需要来调整;基于各所述第二历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值。具体利用四分位数计算方式,计算获得目标阈值的过程与上述方式一中的计算过程相同,在此不再赘述。
本实施例中,目标阈值还可以通过其他方式来确定,例如采用业务经营计算方式来确定。本实施例中通过从不同维度来计算目标阈值,即从个人的维度和整体维度进行考虑,从个人维度是指将目标设备和自己历史访问路径长度相比,和自己历史同期访问路径相比。从整体的维度是指,将目标设备和所有设备同期、历史、历史同期,以及和设备所属组其他设备同期、历史、历史同期比较。从以上各个维度分别计算阈值,由此能够使得最终的异常访问行为的检测结果更加准确、合理。
步骤S204,基于各异常访问行为的路径节点数,按照路径节点数由高到低的顺序对各异常访问行为的访问路径进行显示。
本步骤中通过对异常访问行为的路径进行显示,能够使用户更加直观的了解目标设备存在哪些异常访问行为。需要说明的是,在其他实施例中对各异常访问行为的访问路径的显示方式还可以采用其他方式,并不限于本实施例中由高到低的方式,本申请对此不做限制。
本申请中,通过构建访问行为图谱,从访问行为图谱中获取目标极大连通子图,由此能够根据目标极大连通子图快速的获取到目标设备的访问路径,同时通过计算获得目标阈值,将各访问路径的节点数与目标阈值进行比较,能够更加精准的确定访问路径是否存在访问异常行为,提高了检测速率,并且保证了检测结果的准确性。
本申请又一实施例提供一种异常访问行为的检测装置,如图3所示,包括:
构建模块1,用于构建以网络地址为节点的访问行为图谱;
获取模块2,用于基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
检测模块3,用于基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
具体的,所述构建模块具体用于:获取与各服务器对应的访问行为信息;基于各所述服务器的网络地址以及各所述访问行为信息,构建以网络地址为节点、以用户账号信息为节点属性、以访问时间和/或会话标志为节点间路径属性的访问行为图谱;其中,所述访问行为信息包括如下任意一种或几种:用户账号信息、发送方的网络地址、访问时间和会话标志。
所述获取模块,具体用于:基于所述访问行为图谱获取若干极大连通子图;确定所述目标设备的网络地址所位于的极大连通子图为目标极大连通子图;基于所述目标极大连通子图获取所述目标设备的若干访问路径。
进一步的,所述获取模块用于:基于所述目标极大连通子图中各节点的节点属性和/或节点间路径属性,获取所述目标设备的若干访问路径;其中,所述节点属性包括节点关联的用户账号信息;所述节点间路径属性包括:访问时间和/或会话标志。
本实施例中的异常访问行为的检测装置还包括第一计算模块,所述第一计算模块用于:获取所述目标设备在预定时间段内的若干第一历史访问路径;基于各所述第一历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值;所述检测模块具体用于:将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
本实施例中的异常访问行为的检测装置还包括第二计算模块,所述第二计算模块用于:获取各设备在预定时间段内的若干第二历史访问路径;基于各所述第二历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值。所述检测模块具体用于:将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
本实施例中的异常访问行为的检测装置还包括显示模块,所述显示模块具体用于:基于各异常访问行为的路径节点数,按照路径节点数由高到低的顺序对各异常访问行为的访问路径进行显示。
本申请中的一种异常访问行为的检测装置通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果更加准确、合理。
本申请又一实施例提供一种计算机存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如下方法步骤:
步骤一、构建以网络地址为节点的访问行为图谱;
步骤二、基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
步骤三、基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
上述方法步骤的具体实施过程可参见上述任意异常访问行为的检测方法的实施例,本实施例在此不再重复赘述。
本申请中,通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果根据准确、合理。
本申请又一实施例提供一种电子设备,至少包括存储器、处理器,所述存储器上存储有计算机程序,所述处理器在执行所述存储器上的计算机程序时实现下方法的步骤:
步骤一、构建以网络地址为节点的访问行为图谱;
步骤二、基于目标设备的网络地址以及所述访问行为图谱,获取所述目标设备的若干访问路径;
步骤三、基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果。
上述方法步骤的具体实施过程可参见上述任意异常访问行为的检测方法的实施例,本实施例在此不再重复赘述。
本申请中,通过构建访问行为图谱,然后根据目标设备的网络地址来从该访问行为图谱中获取目标设备的访问路径,并根据各路径中节点数的多少来确定该路径是否存在访问异常行为,由此使得最终的检测结果更加准确、合理。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (9)

1.一种异常访问行为的检测方法,其特征在于,包括:
构建以网络地址为节点的访问行为图谱;
基于所述访问行为图谱获取若干极大连通子图;
确定目标设备的网络地址所位于的极大连通子图为目标极大连通子图;
基于所述目标极大连通子图获取所述目标设备的若干访问路径;
基于各所述访问路径的节点数以及预先设定的目标阈值对访问路径进行异常访问行为的判断,以在节点数大于目标阈值的情况下,确定访问路径为异常访问行为,获得异常访问行为的检测结果。
2.如权利要求1所述的方法,其特征在于,所述构建以网络地址为节点的访问行为图谱,具体包括:
获取访问各服务器产生的访问行为信息;
基于各所述服务器的网络地址以及各所述访问行为信息,构建以网络地址为节点、以用户账号信息为节点属性、以访问时间和/或会话标志为节点间路径属性的访问行为图谱;
其中,所述访问行为信息包括如下任意一种或几种:用户账号信息、发送方的网络地址、访问时间和会话标志。
3.如权利要求1所述的方法,其特征在于,所述基于所述目标极大连通子图获取所述目标设备的若干访问路径,具体包括:
基于所述目标极大连通子图中各节点的节点属性和/或节点间路径属性,获取所述目标设备的若干访问路径;
其中,所述节点属性包括节点关联的用户账号信息;
所述节点间路径属性包括:访问时间和/或会话标志。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述目标设备在预定时间段内的若干第一历史访问路径;
基于各所述第一历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值;
所述基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果,具体包括:
将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
获取各设备在预定时间段内的若干第二历史访问路径;
基于各所述第二历史访问路径中的节点数采用四分位数的计算方式,计算获得目标阈值;
所述基于各所述访问路径的节点数进行异常访问行为的判断,获得异常访问行为的检测结果,具体包括:
将各所述访问路径的节点数与所述目标阈值进行比较,确定各所述访问路径为异常访问行为或者为非异常访问行为,以获得异常访问行为的检测结果。
6.如权利要求1所述的方法,其特征在于,在确定访问路径为异常访问行为之后,所述方法还包括:
基于各异常访问行为的路径节点数,按照路径节点数由高到低的顺序对各异常访问行为的访问路径进行显示。
7.一种异常访问行为的检测装置,其特征在于,包括:
构建模块,用于构建以网络地址为节点的访问行为图谱;
获取模块,用于基于所述访问行为图谱获取若干极大连通子图;确定目标设备的网络地址所位于的极大连通子图为目标极大连通子图;基于所述目标极大连通子图获取所述目标设备的若干访问路径;
检测模块,用于基于各所述访问路径的节点数以及预先设定的目标阈值对访问路径进行异常访问行为的判断,以在节点数大于目标阈值的情况下,确定访问路径为异常访问行为,获得异常访问行为的检测结果。
8.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1-6任一项所述异常访问行为的检测方法的步骤。
9.一种电子设备,其特征在于,至少包括存储器、处理器,所述存储器上存储有计算机程序,所述处理器在执行所述存储器上的计算机程序时实现上述权利要求1-6任一项所述异常访问行为的检测方法的步骤。
CN202111014056.9A 2021-08-31 2021-08-31 异常访问行为的检测方法、装置、存储介质及电子设备 Active CN113726786B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111014056.9A CN113726786B (zh) 2021-08-31 2021-08-31 异常访问行为的检测方法、装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111014056.9A CN113726786B (zh) 2021-08-31 2021-08-31 异常访问行为的检测方法、装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN113726786A CN113726786A (zh) 2021-11-30
CN113726786B true CN113726786B (zh) 2023-05-05

Family

ID=78679877

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111014056.9A Active CN113726786B (zh) 2021-08-31 2021-08-31 异常访问行为的检测方法、装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN113726786B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378988B (zh) * 2022-10-25 2023-02-24 国网智能电网研究院有限公司 基于知识图谱的数据访问异常检测及控制方法、装置
CN116488941B (zh) * 2023-06-19 2023-09-01 上海观安信息技术股份有限公司 攻击链的检测方法、装置及设备

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600270A (zh) * 2018-05-10 2018-09-28 北京邮电大学 一种基于网络日志的异常用户检测方法及系统
CN109040073A (zh) * 2018-08-07 2018-12-18 北京神州绿盟信息安全科技股份有限公司 一种万维网异常行为访问的检测方法、装置、介质和设备
CN109450879A (zh) * 2018-10-25 2019-03-08 中国移动通信集团海南有限公司 用户访问行为监控方法、电子装置和计算机可读存储介质
CN111079138A (zh) * 2019-12-19 2020-04-28 北京天融信网络安全技术有限公司 异常访问检测方法、装置、电子设备及可读存储介质
CN111949803A (zh) * 2020-08-21 2020-11-17 深圳供电局有限公司 一种基于知识图谱的网络异常用户检测方法、装置和设备
CN112667991A (zh) * 2020-12-31 2021-04-16 北京市首都公路发展集团有限公司 一种基于行为图谱的用户身份持续认证方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11005868B2 (en) * 2018-09-21 2021-05-11 Mcafee, Llc Methods, systems, and media for detecting anomalous network activity

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600270A (zh) * 2018-05-10 2018-09-28 北京邮电大学 一种基于网络日志的异常用户检测方法及系统
CN109040073A (zh) * 2018-08-07 2018-12-18 北京神州绿盟信息安全科技股份有限公司 一种万维网异常行为访问的检测方法、装置、介质和设备
CN109450879A (zh) * 2018-10-25 2019-03-08 中国移动通信集团海南有限公司 用户访问行为监控方法、电子装置和计算机可读存储介质
CN111079138A (zh) * 2019-12-19 2020-04-28 北京天融信网络安全技术有限公司 异常访问检测方法、装置、电子设备及可读存储介质
CN111949803A (zh) * 2020-08-21 2020-11-17 深圳供电局有限公司 一种基于知识图谱的网络异常用户检测方法、装置和设备
CN112667991A (zh) * 2020-12-31 2021-04-16 北京市首都公路发展集团有限公司 一种基于行为图谱的用户身份持续认证方法及系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于上下文特征的IDS告警日志攻击场景重建方法;姜楠等;《信息网络安全》;20200710(第07期);第7-16页 *
大型冶金电气通信网络节点中攻击图谱的建立;张杰等;《电气应用》;20130420(第08期);第46-49页 *

Also Published As

Publication number Publication date
CN113726786A (zh) 2021-11-30

Similar Documents

Publication Publication Date Title
CN113726786B (zh) 异常访问行为的检测方法、装置、存储介质及电子设备
US8856360B2 (en) Automatically identifying dynamic internet protocol addresses
CN110099059B (zh) 一种域名识别方法、装置及存储介质
US20140164595A1 (en) Firewall event reduction for rule use counting
US20190065738A1 (en) Detecting anomalous entities
CN111949803A (zh) 一种基于知识图谱的网络异常用户检测方法、装置和设备
CN106534051A (zh) 一种针对访问请求的处理方法和装置
CN108366012B (zh) 一种社交关系建立方法、装置及电子设备
US20170083815A1 (en) Current behavior evaluation with multiple process models
CN108900554A (zh) Http协议资产检测方法、系统、设备及计算机介质
Leyba et al. Borders and gateways: measuring and analyzing national as chokepoints
CN110392032B (zh) 检测异常url的方法、装置及存储介质
Baumann et al. Vulnerability against internet disruptions–a graph-based perspective
CN110912933B (zh) 一种基于被动测量的设备识别方法
Morichetta et al. LENTA: Longitudinal exploration for network traffic analysis from passive data
CN114826727B (zh) 流量数据采集方法、装置、计算机设备、存储介质
US11588678B2 (en) Generating incident response action recommendations using anonymized action implementation data
CN113709097A (zh) 网络风险感知方法及防御方法
US20200328942A1 (en) Advanced Device Matching System
CN103067203A (zh) 策略一致性审计方法、装置及设备
CN111723146B (zh) 监测数据库的方法、管理系统及存储介质
Gezer Identification of abnormal DNS traffic with hurst parameter
Ren et al. Understanding User‐Level IP Blocks on the Internet
Salamatian et al. Who Squats IPv4 Addresses?
Alfasi et al. Botnet Mapping Based on Intersections of Traces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant