CN114329449A - 系统安全检测方法和装置、存储介质及电子装置 - Google Patents
系统安全检测方法和装置、存储介质及电子装置 Download PDFInfo
- Publication number
- CN114329449A CN114329449A CN202111603679.XA CN202111603679A CN114329449A CN 114329449 A CN114329449 A CN 114329449A CN 202111603679 A CN202111603679 A CN 202111603679A CN 114329449 A CN114329449 A CN 114329449A
- Authority
- CN
- China
- Prior art keywords
- log data
- detection
- model structure
- target account
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种系统安全检测方法和装置、存储介质、电子装置,其中,上述方法包括:获取目标账号的监控日志数据;将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对第一检测结果和第二检测结果,得到比对结果;根据比对结果对目标账号进行处理;采用上述技术方案,解决了单一的检测方式的检测准确率较低的技术问题。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种系统安全检测方法和装置、存储介质及电子装置。
背景技术
随着互联网的普及,网络信息安全变得越来越重要,网络信息安全也成为一个备受关注的重要研究领域。由于互联网本身设计上的缺陷及其具有的开放性,使其极易受到攻击。
相关技术中,通常利用训练好的模型对网络攻击进行检测,并根据模型的检测结果来判断网络系统是否受到网络攻击。而单一的检测方式的检测准确率较低,不利于对网络系统的维护。
针对相关技术中,单一的检测方式的检测准确率较低的技术问题,尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种系统安全检测方法和装置、存储介质及电子装置,以至少解决相关技术中,单一的检测方式的检测准确率较低的技术问题。
根据本发明实施例的一个实施例,提供了一种系统安全检测方法,包括:获取目标账号的监控日志数据;将上述监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,上述第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将上述监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,上述第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对上述第一检测结果和上述第二检测结果,得到比对结果;根据上述比对结果对上述目标账号进行处理。
在一个示例性实施例中,在上述获取目标用户的监控日志数据之后,包括:对上述监控日志数据进行数据清洗,得到更新后的监控日志数据;将上述更新后的监控日志数据分别输入上述第一模型结构和上述第二模型结构进行检测。
在一个示例性实施例中,在上述获取目标帐号的监控日志数据之前,包括:建立目标模型结构,其中,上述目标模型结构中包括对多个特征字段进行检测的多种特征检测方式;获取多个样本日志数据;利用上述多个样本日志数据对上述目标模型结构进行训练,得到上述第一模型结构。
在一个示例性实施例中,上述将上述监控日志数据输入第二模型结构进行检测,得到第二检测结果,包括:利用上述机器学习算法对上述监控日志数据进行检测,确定上述监控日志数据对应的上述目标帐号所属的用户群体类型,其中,上述用户群体类型包括访问正常群体类型和访问异常群体类型。
在一个示例性实施例中,上述根据上述比对结果对上述目标账号进行处理,包括:在上述第一检测结果和上述第二检测结果均指示上述目标帐号属于访问异常群体类型的情况下,将上述目标帐号移入攻击者攻击系统;在上述第一检测结果和上述第二检测结果不同的情况下,将上述目标帐号移入攻击者攻击系统,并在预设时间段后释放上述目标帐号;在上述第一检测结果和上述第二检测结果均指示上述目标帐号属于访问正常群体类型的情况下,允许上述目标帐号继续访问。
在一个示例性实施例中,在将上述目标帐号移入攻击者攻击系统之后,包括:提取上述目标帐号的行为特征;利用上述行为特征对上述第一模型结构进行训练,得到更新后的第一模型结构。
根据本发明实施例的另一个实施例,还提供了一种系统安全检测装置,包括:获取模块,用于获取目标账号的监控日志数据;第一检测模块,用于将上述监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,上述第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;第二检测模块,用于将上述监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,上述第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对模块,用于比对上述第一检测结果和上述第二检测结果,得到比对结果;处理模块,用于根据上述比对结果对上述目标账号进行处理。
在一个示例性实施例中,上述装置还包括:清洗模块,用于对上述监控日志数据进行数据清洗,得到更新后的监控日志数据;第三检测模块,用于将上述更新后的监控日志数据分别输入上述第一模型结构和上述第二模型结构进行检测。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述系统安全检测方法。
根据本发明实施例的又一方面,还提供了一种电子装置,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,上述处理器通过计算机程序执行上述的系统安全检测方法。
在本发明实施例中,获取目标账号的监控日志数据;将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对第一检测结果和第二检测结果,得到比对结果;根据比对结果对目标账号进行处理;采用上述技术方案,通过利用第一模型结构和第二模型结构对监控日志数据同时进行检测,提高了检测结果的准确率,解决了单一的检测方式的检测准确率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种可选的系统安全检测方法的计算机终端的硬件结构框图;
图2是根据本发明实施例的一种可选的系统安全检测方法的流程图;
图3是根据本发明实施例的一种可选的系统安全检测方法的示意图;
图4是根据本发明实施例的另一种可选的系统安全检测方法的示意图;
图5是根据本发明实施例的一种系统安全检测装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例所提供的方法实施例可以在计算机终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种系统安全检测方法的计算机终端的硬件结构框图。如图1所示,计算机终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,在一个示例性实施例中,上述计算机终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机终端的结构造成限定。例如,计算机终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示等同功能或比图1所示功能更多的不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的系统安全检测方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种系统安全检测方法,应用于上述计算机终端,图2是根据本发明实施例的系统安全检测方法的流程图,该流程包括如下步骤:
步骤S202,获取目标账号的监控日志数据;
步骤S204,将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
步骤S206,将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
步骤S208,比对第一检测结果和第二检测结果,得到比对结果;
步骤S210,根据比对结果对目标账号进行处理。
可选地,在本实施例中,上述获取监控日志数据的获取方式可以包括但不限于查看系统日志、捕获数据包、埋点等方式;上述目标帐号可以包括但不限于任何用户登录网络系统所使用的任一帐号;上述监控日志数据可以包括但不限于用户访问网络系统所生成的所有日志数据。
可选地,在本实施例中,上述将监控日志数据输入第一模型结构进行检测可以包括但不限于将监控日志数据划分为多个不同的字段,根据字段进行特征提取和特征检测,得到检测结果,并根据检测结果为目标帐号打上相应的标签,其中,标签可以包括但不限于疑似身份标签、入侵者身份标签、正常访问标签等。
可选地,在本实施例中,上述将监控日志数据输入第二模型结构进行检测可以包括但不限于将监控日志数据划分为多个不同的字段,将多个不同的字段整合成矩阵,利用聚类算法,例如K-means算法,结合维度进行计算,得到检测结果,并根据检测结果确定目标帐号所属的用户群体类型,其中,用户群体类型可以包括但不限于访问正常群体类型和访问异常群体类型。
可选地,在本实施例中,在利用第一模型结构和第二模型结构分别检测完毕后,可以比对二者的检测结果,并根据比对结果对目标账号进行相应的处理。其中,检测结果可以包括但不限于二者的检测结果相同,二者的检测结果不同;处理方式可以包括但不限于以下多种处理方式:
S1,在第一检测结果和第二检测结果均指示目标帐号属于访问异常群体类型的情况下,将目标帐号移入攻击者攻击系统;
S2,在第一检测结果和第二检测结果不同的情况下,将目标帐号移入攻击者攻击系统,并在预设时间段后释放目标帐号;
S3,在第一检测结果和第二检测结果均指示目标帐号属于访问正常群体类型的情况下,允许目标帐号继续访问。
通过本申请实施例提供的方案,获取目标账号的监控日志数据;将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对第一检测结果和第二检测结果,得到比对结果;根据比对结果对目标账号进行处理;采用上述技术方案,通过利用第一模型结构和第二模型结构对监控日志数据同时进行检测,提高了检测结果的准确率,解决了单一的检测方式的检测准确率较低的技术问题。
在一个示例性实施例中,在获取目标用户的监控日志数据之后,包括:对监控日志数据进行数据清洗,得到更新后的监控日志数据;将更新后的监控日志数据分别输入第一模型结构和第二模型结构进行检测。
需要说明的是,从数据库中获取的原始监控日志数据有可能会出现异常缺失值、空值等,因此,为了便于后续对监控日志数据进行检测,在检测前,需要对监控日志数据进行数据清洗,并将清洗后的数据以时间为主维度存入数据库,存储时按时间分段存储。清洗方式可以包括但不限于基于所关联的大数据对异常缺失值、空值等进行填充。
例如,获取的原始监控日志数据缺少性别字段,可以从其他相关联的大数据中获取性别数据,进行填充。
通过本申请实施例提供的方案,通过对监控日志数据进行数据清洗,得到更新后的监控日志数据,可以提高数据检测的准确率。
在一个示例性实施例中,在获取目标帐号的监控日志数据之前,包括:建立目标模型结构,其中,目标模型结构中包括对多个特征字段进行检测的多种特征检测方式;获取多个样本日志数据;利用多个样本日志数据对目标模型结构进行训练,得到第一模型结构。
可选地,上述目标模型结构可以包括但不限于通过特征提取和特征检测,并以特定条件为参考依据,为符合特定条件的目标帐号打上特定标签。特征提取可以包括但不限于提取body,cookie,IP等特征字段;特征检测可以包括但不限于对提取出的特征字段进行频率检测,位置检测,身份检测,DDOS攻击检测,ICMP Flood攻击检测,传输者文件包攻击检测等。
频率检测:从监控日志数据中分析出目标帐号对网络系统的访问频率为每秒>x次,并考虑到硬件效能衰退,网络传输效能衰退,人为操作速度等因素,判断此访问行为为疑似入侵行为,进行疑似身份标签打印。其中,x可进行人工调控。
位置检测:从监控日志数据日志中分析出目标帐号访问网络系统的IP地址频繁变更,但是cookie,网卡序列号并未改变,推断此目标帐号可能使用IP代理规避检测,判断此访问行为为疑似入侵行为,进行疑似身份标签打印。
身份检测:通过账号,密码,验证码等手段在前端检测目标帐号的身份真实性,后端检测利用body,cookie,IP等特征进行核对;若账号密码输入次数≥y次,判断目标帐号可能使用撞库技术破解密码;若验证码输入时间<z秒,判断目标账号异常,可能为机器程序,后端body,cookie,请求包内容为空判断为攻击行为,出现上述情况,判断此访问行为为疑似入侵行为,进行疑似身份标签打印。其中,y,z可进行人工调控。
DDOS攻击检测:通过分析周期日志IP占有率得出均衡访问值,若突然出现大量访问IP对服务器资源大量占用,导致服务器负载不均衡,通过检测IP占有率进行入侵者身份打印。
ICMP Flood攻击检测:短时间内用大量的ICMP消息向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。进行入侵者身份打印。
传输者文件包攻击检测:系统访问者会向系统植入包含攻击手段的代码和程序,此类程序一旦运行对系统损害是无法估量的,因此,需要判断系统访问者上传的文件对运行环境是否存在危害。通过测试环境先行运行系统访问者传输的程序,记录程序运行记录,并在确定无危害后进行上传程序转移工作;若出现程序攻击行为,对程序监控日志进行备份,自动删除测试环境内文件与环境,将系统访问者进行入侵者身份打印。
通过本申请实施例提供的方案,通过利用第一模型结构提供的多种特征检测方式,提高了网络系统检测的全面性,进而提高了网络系统的安全性。
在一个示例性实施例中,将监控日志数据输入第二模型结构进行检测,得到第二检测结果,包括:利用机器学习算法对监控日志数据进行检测,确定监控日志数据对应的目标帐号所属的用户群体类型,其中,用户群体类型包括访问正常群体类型和访问异常群体类型。
上述机器学习算法可以包括但不限于获取每个目标帐号的访问次数、访问周期、系统访问频率、帐号密码输入次数、IP地址变更次数、IP资源占有率等字段,并将获取的字段整合成矩阵,利用K-means算法结合维度进行聚类计算,得出两个维度的访问者,访问者将被分成两个群体,一个是访问正常群体类型,一个是访问异常群体类型。
例如,以二维矩阵为例,矩阵1=【[帐号密码输入次数],[IP地址变更次数]】,聚类过程如图3所示。将各个帐号的矩阵数据映射到二维坐标图中,如图3(a)所示;随机选取两个初始聚类中心,如图3(b)所示,灰色“+”和黑色“+”是两个初始聚类中心;计算每个坐标点与每个聚类中心之间的距离,将每个坐标点分配给与它距离最近的聚类中心,如图3(c)所示,灰色“○”属于灰色“+”聚类中心,黑色“○”属于黑色“+”聚类中心;根据每个聚类中心现有的坐标点,重新计算聚类中心坐标,如图3(d)所示,两个聚类中心的位置发生了变化;基于更新后的聚类中心重新确定每个坐标所属的聚类中心,如图3(e)所示,灰色“○”属于灰色“+”聚类中心,黑色“○”属于黑色“+”聚类中心;根据每个聚类中心现有的坐标点,重新计算聚类中心坐标,直到满足某个终止条件,如图3(f)所示,每个聚类中心的位置都不再发生变化,聚类过程结束。
通过本申请实施例提供的方案,利用机器学习算法对监控日志数据进行检测,丰富了对监控日志数据进行检测的检测方式。
在一个示例性实施例中,根据比对结果对目标账号进行处理,包括:在第一检测结果和第二检测结果均指示目标帐号属于访问异常群体类型的情况下,将目标帐号移入攻击者攻击系统;在第一检测结果和第二检测结果不同的情况下,将目标帐号移入攻击者攻击系统,并在预设时间段后释放目标帐号;在第一检测结果和第二检测结果均指示目标帐号属于访问正常群体类型的情况下,允许目标帐号继续访问。
可选地,在第一检测结果和第二检测结果均指示目标帐号属于访问异常群体类型的情况下,由于两个检测结果均指示该目标帐号访问异常,因此,可以确定该目标帐号访问异常的概率较大,故将目标帐号移入攻击者攻击系统,该目标帐号会继续攻击,便于对攻击行为进行学习,并对第一模型结构进行改进。
在第一检测结果和第二检测结果不同的情况下,即第一模型结构检测正常,第二模型结构检测异常,或者第一模型结构检测异常,第二模型结构检测正常,可以确定该目标帐号访问异常的概率居中,违规程度较轻,故将目标帐号移入攻击者攻击系统学习攻击行为,并在预设时间段后释放该目标帐号;
在第一检测结果和第二检测结果均指示目标帐号属于访问正常群体类型的情况下,可以确定该目标帐号访问异常的概率较小,故允许目标帐号继续访问。
通过本申请实施例提供的方案,基于不同的检测结果,对目标帐号进行不同的处理,保证网络系统的正常运行。
在一个示例性实施例中,在将目标帐号移入攻击者攻击系统之后,包括:提取目标帐号的行为特征;利用行为特征对第一模型结构进行训练,得到更新后的第一模型结构。
需要说明的是,攻击者攻击系统主要功能为管制攻击者和疑似攻击者,当判定为攻击者时将攻击者引入此系统,攻击者会继续攻击,方便后台算法模型对此攻击行为进行学习深造,达到增进自身算法精准度的行为。
通过本申请实施例提供的方案,通过设置攻击者攻击系统学习攻击行为,能够提高第一模型结构的响应速度。
为了更好的理解上述系统安全检测方法的过程,以下再结合可选实施例对上述系统安全检测的实现方法流程进行说明,但不用于限定本发明实施例的技术方案。
在本实施例中提供了一种系统安全检测方法,图4是根据本发明实施例的系统安全检测方法的示意图,如图4所示,具体如下步骤:
步骤S401:确定待检测的目标帐号;
步骤S402:判断待检测的目标帐号是否首次访问网络系统;若是,转入步骤S403,若否,转入步骤S404;
步骤S403:提取目标帐号的监控日志数据并存入数据库;
步骤S404:获取目标帐号的监控日志数据并进行数据清洗;
步骤S405:对清洗后的监控日志数据进行检测,判断目标帐号是否违规;若否,转入步骤S406,若是,转入步骤S407;
步骤S406:允许目标帐号继续访问;
步骤S407:利用加以权重的第一结构模型结合之前被加入黑名单的次数进行违规分数合成;
步骤S408:判断目标帐号是否严重违规;若否,转入步骤S409,若是,转入步骤S410;
步骤S409:禁止目标帐号1-N天内暂时访问网络系统,并转入攻击者攻击系统,对攻击行为进行学习;
步骤S410:禁止目标帐号永久访问网络系统,并转入攻击者攻击系统,对攻击行为进行学习。
通过本申请实施例提供的方案,获取目标账号的监控日志数据;将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对第一检测结果和第二检测结果,得到比对结果;根据比对结果对目标账号进行处理;采用上述技术方案,通过利用第一模型结构和第二模型结构对监控日志数据同时进行检测,提高了检测结果的准确率,解决了单一的检测方式的检测准确率较低的技术问题。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例的方法。
图5是根据本发明实施例的一种系统安全检测装置的结构框图;如图5所示,包括:
获取模块501,用于获取目标账号的监控日志数据;
第一检测模块502,用于将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
第二检测模块503,用于将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
比对模块504,用于比对第一检测结果和第二检测结果,得到比对结果;
处理模块505,用于根据比对结果对目标账号进行处理。
通过本申请实施例提供的方案,获取目标账号的监控日志数据;将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;比对第一检测结果和第二检测结果,得到比对结果;根据比对结果对目标账号进行处理;采用上述技术方案,通过利用第一模型结构和第二模型结构对监控日志数据同时进行检测,提高了检测结果的准确率,解决了单一的检测方式的检测准确率较低的技术问题。
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,获取目标账号的监控日志数据;
S2,将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
S3,将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
S4,比对第一检测结果和第二检测结果,得到比对结果;
S5,根据比对结果对目标账号进行处理。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,获取目标账号的监控日志数据;
S2,将监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
S3,将监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
S4,比对第一检测结果和第二检测结果,得到比对结果;
S5,根据比对结果对目标账号进行处理。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种系统安全检测方法,其特征在于,包括:
获取目标账号的监控日志数据;
将所述监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,所述第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
将所述监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,所述第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
比对所述第一检测结果和所述第二检测结果,得到比对结果;
根据所述比对结果对所述目标账号进行处理。
2.根据权利要求1所述的系统安全检测方法,其特征在于,在所述获取目标用户的监控日志数据之后,包括:
对所述监控日志数据进行数据清洗,得到更新后的监控日志数据;
将所述更新后的监控日志数据分别输入所述第一模型结构和所述第二模型结构进行检测。
3.根据权利要求2所述的系统安全检测方法,其特征在于,在所述获取目标帐号的监控日志数据之前,包括:
建立目标模型结构,其中,所述目标模型结构中包括对多个特征字段进行检测的多种特征检测方式;
获取多个样本日志数据;
利用所述多个样本日志数据对所述目标模型结构进行训练,得到所述第一模型结构。
4.根据权利要求1所述的系统安全检测方法,其特征在于,所述将所述监控日志数据输入第二模型结构进行检测,得到第二检测结果,包括:
利用所述机器学习算法对所述监控日志数据进行检测,确定所述监控日志数据对应的所述目标帐号所属的用户群体类型,其中,所述用户群体类型包括访问正常群体类型和访问异常群体类型。
5.根据权利要求1所述的系统安全检测方法,其特征在于,所述根据所述比对结果对所述目标账号进行处理,包括:
在所述第一检测结果和所述第二检测结果均指示所述目标帐号属于访问异常群体类型的情况下,将所述目标帐号移入攻击者攻击系统;
在所述第一检测结果和所述第二检测结果不同的情况下,将所述目标帐号移入攻击者攻击系统,并在预设时间段后释放所述目标帐号;
在所述第一检测结果和所述第二检测结果均指示所述目标帐号属于访问正常群体类型的情况下,允许所述目标帐号继续访问。
6.根据权利要求5所述的系统安全检测方法,其特征在于,在将所述目标帐号移入攻击者攻击系统之后,包括:
提取所述目标帐号的行为特征;
利用所述行为特征对所述第一模型结构进行训练,得到更新后的第一模型结构。
7.一种系统安全检测装置,其特征在于,包括:
获取模块,用于获取目标账号的监控日志数据;
第一检测模块,用于将所述监控日志数据输入第一模型结构进行检测,得到第一检测结果,其中,所述第一模型结构为利用多个样本日志数据进行训练后得到的用于检测日志数据是否异常的神经网络模型;
第二检测模块,用于将所述监控日志数据输入第二模型结构进行检测,得到第二检测结果,其中,所述第二模型结构为利用机器学习算法检测日志数据对应的账号是否异常的模型;
比对模块,用于比对所述第一检测结果和所述第二检测结果,得到比对结果;
处理模块,用于根据所述比对结果对所述目标账号进行处理。
8.根据权利要求7所述的系统安全检测装置,其特征在于,所述装置还包括:
清洗模块,用于对所述监控日志数据进行数据清洗,得到更新后的监控日志数据;
第三检测模块,用于将所述更新后的监控日志数据分别输入所述第一模型结构和所述第二模型结构进行检测。
9.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至6任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至6任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111603679.XA CN114329449A (zh) | 2021-12-24 | 2021-12-24 | 系统安全检测方法和装置、存储介质及电子装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111603679.XA CN114329449A (zh) | 2021-12-24 | 2021-12-24 | 系统安全检测方法和装置、存储介质及电子装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114329449A true CN114329449A (zh) | 2022-04-12 |
Family
ID=81013696
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111603679.XA Pending CN114329449A (zh) | 2021-12-24 | 2021-12-24 | 系统安全检测方法和装置、存储介质及电子装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114329449A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296941A (zh) * | 2022-10-10 | 2022-11-04 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
-
2021
- 2021-12-24 CN CN202111603679.XA patent/CN114329449A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115296941A (zh) * | 2022-10-10 | 2022-11-04 | 北京知其安科技有限公司 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109347827B (zh) | 网络攻击行为预测的方法、装置、设备及存储介质 | |
CN104836781B (zh) | 区分访问用户身份的方法及装置 | |
US20210126931A1 (en) | System and a method for detecting anomalous patterns in a network | |
CN110677384B (zh) | 钓鱼网站的检测方法及装置、存储介质、电子装置 | |
CN110602137A (zh) | 恶意ip和恶意url拦截方法、装置、设备及介质 | |
CN109167781A (zh) | 一种基于动态关联分析的网络攻击链识别方法和装置 | |
CN110365636B (zh) | 工控蜜罐攻击数据来源的判别方法及装置 | |
CN113542227A (zh) | 账号安全防护方法、装置、电子装置和存储介质 | |
CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
CN114553523A (zh) | 基于攻击检测模型的攻击检测方法及装置、介质、设备 | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
CN112199671A (zh) | 基于人工智能的恶意数据分析方法、装置和电子装置 | |
CN112437034B (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
CN106911665B (zh) | 一种识别恶意代码弱口令入侵行为的方法及系统 | |
CN114329449A (zh) | 系统安全检测方法和装置、存储介质及电子装置 | |
CN117609974B (zh) | 一种用于技术交易平台的服务管理系统及方法 | |
CN113535823B (zh) | 异常访问行为检测方法、装置及电子设备 | |
CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN110048905B (zh) | 物联网设备通信模式识别方法及装置 | |
CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
CN117294497A (zh) | 一种网络流量异常检测方法、装置、电子设备及存储介质 | |
CN109600361B (zh) | 基于哈希算法的验证码防攻击方法、装置、电子设备及非暂态计算机可读存储介质 | |
CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
CN107332856B (zh) | 地址信息的检测方法、装置、存储介质和电子装置 | |
CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |