CN114386025B - 异常检测方法、装置、电子设备及存储介质 - Google Patents
异常检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114386025B CN114386025B CN202111526821.5A CN202111526821A CN114386025B CN 114386025 B CN114386025 B CN 114386025B CN 202111526821 A CN202111526821 A CN 202111526821A CN 114386025 B CN114386025 B CN 114386025B
- Authority
- CN
- China
- Prior art keywords
- characteristic value
- access
- determining
- access address
- dimension
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 47
- 230000005856 abnormality Effects 0.000 title claims description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims description 42
- 238000004590 computer program Methods 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 5
- 230000007935 neutral effect Effects 0.000 claims description 2
- 230000006399 behavior Effects 0.000 description 19
- 230000006870 function Effects 0.000 description 13
- 238000012795 verification Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 230000001360 synchronised effect Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 206010000117 Abnormal behaviour Diseases 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000005291 magnetic effect Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2462—Approximate or statistical queries
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种异常检测方法、装置、电子设备及存储介质,该方法包括:基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息;基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种异常检测方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展,越来越多的技术,例如,区块链(Blockchain)、大数据、分布式等技术被应用在金融领域,传统金融业正在逐步向金融科技转变,然而,由于金融行业的安全性、实时性要求,金融科技也对技术提出了更高的要求。在金融科技领域下,在追踪跨系统的用户行为的场景下,各业务系统在检测到用户访问对应的系统页面时,对用户的操作进行记录,并通过集成于业务系统中用于收集用户行为日志的软件开发工具包(SDK,Software Development Kit)向日志服务器上报用户行为日志;日志服务器对各业务系统上报的用户行为日志进行分析,确定出每个业务系统对应的异常行为,并将确定出的异常行为下发至对应系统,以便对应的业务系统对异常行为进行处理。但相关技术中,确定出的异常行为不准确,且时效性较差。
发明内容
有鉴于此,本申请实施例提供一种异常检测方法、装置、电子设备及存储介质,以解决相关技术中确定出的异常行为不准确,且时效性较差的技术问题。
为达到上述目的,本申请的技术方案是这样实现的:
本申请实施例提供了一种异常检测方法,包括:
基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口(Application Programming Interface,API)网关的访问请求的访问信息;
基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出。
上述方案中,所述访问信息至少包括用户标识、访问时间和访问地址;确定访问地址对应的特征值,包括:
基于第二访问日志中的访问信息,确定出第一用户对应的第一序列;其中,所述第二访问日志包括所述第一访问日志或设定统计周期内每个单位时长对应的历史访问日志;第一序列包括第二访问日志中第一用户对应的所有访问地址;
在第一用户对应的第一序列中,确定出第一用户对应的第二序列;第二序列包括至少一个访问地址;
基于第一用户对应的第二序列,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。
上述方案中,所述计算出哈希值,包括:
在第三访问地址与第二访问地址之间的时间间隔大于或等于设定时长的情况下,将第二序列中的第三访问地址替换为设定字符串;其中,第二访问地址表征第二序列中位于设定位置的访问地址,第三访问地址表征第二序列中与第二访问地址相邻的任一访问地址;
基于更新后的第二序列计算出哈希值。
上述方案中,所述第二序列包括三个访问地址,设定位置表征中间位置。
上述方案中,所述访问信息还包括用户所属的部门、用户岗位以及发送访问地址的终端设备的标识;
所述至少一个设定维度包括以下至少之一:
第一维度,表征按用户统计特征值的出现次数;
第二维度,表征按部门统计特征值的出现次数;
第三维度,表征按岗位统计特征值的出现次数;
第四维度,表征按用户使用的终端设备统计相同的特征值的出现次数。
上述方案中,所述确定出所述第一访问地址是否异常,包括:
基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数;
基于每个单位时长的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数;其中,每个第二分数基于每个单位时长内的所述第一特征值在所有设定维度对应的第一分数确定出;
基于所述第一访问地址对应的多个第二分数,确定出所述第一访问地址是否异常。
上述方案中,所述确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,包括:
基于第一单位时长对应的所述第一特征值在第一设定维度对应的历史出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;第一设定维度表征所述至少一个设定维度中的任一设定维度;第一单位时长表征所述设定统计周期中的任一单位时长;
基于所述第一特征值在第一设定维度对应的第一出现次数和第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,以及基于所述第一特征值在所述设定统计周期中对应的最大历史出现次数以及第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
上述方案中,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,包括以下之一:
基于第一单位时长内的所述第一特征值在第一设定维度对应的历史出现次数与设定统计周期内单位时长的总数的比值,确定出第一单位时长的所述第一特征值在第一设定维度对应的第二出现次数;
基于每个单位时长内的所述第一特征值在第一设定维度对应的历史出现次数,以及所述第一特征值在每个单位时长对应的权重,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;其中,
在第一单位时长对应的时间晚于第二单位时长对应的时间的情况下,第一单位时长对应的权重大于第二单位时长对应的权重。
上述方案中,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第一差值等于零的情况下,基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在第一差值不等于零的情况下,基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
其中,所述第一差值表征所述第一特征值在所述设定统计周期中对应的最大历史出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差;
所述第二差值表征所述第一特征值在第一设定维度对应的第一出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差。
上述方案中,所述基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在所述第一特征值对应的最大历史出现次数大于零的情况下,将第一设定维度对应的第一设定分数,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在所述第一特征值对应的最大历史出现次数等于零,且存在所述第一访问地址的情况下,将第二设定分数确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
上述方案中,所述基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第二差值与第一差值的比值小于或等于零的情况下,确定第一单位时长内的所述第一特征值在第一设定维度对应的第一分数为零;
在第二差值与第一差值的比值大于零的情况下,将第二差值与第一差值之商,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
上述方案中,所述基于每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数,包括:
在设定维度的数量为1的情况下,将第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,确定为所述第一访问地址在第一单位时长对应的第二分数;
在设定维度的数量大于1的情况下,基于第一单位时长内的所述第一特征值在每个设定维度对应的第一分数和每个设定维度的设定权重,确定出所述第一访问地址在第一单位时长对应的第二分数。
上述方案中,所述方法还包括:
在所述第一访问地址异常的情况下,阻断所述第一访问地址对应的访问操作,和/或,对发送所述第一访问地址的终端设备进行访问限制。
本申请实施例还提供了一种异常检测装置,包括:
第一确定单元,用于基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息;
第二确定单元,用于基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出。
本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述异常检测方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述异常检测方法的步骤。
本申请实施例中,基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常。这样,可以直接检测到经由内置的API网关到业务系统的访问请求,基于检测到的访问请求的访问信息生成第一访问日志,因不需要各业务系统上报访问日志,提高了收集访问日志的时效性,从而提高了异常检测的时效性;由于第一特征值对应的出现次数,可以反映出用户的行为习惯,因此,本方案可以提高异常检测结果的准确度。
附图说明
图1为相关技术中的异常检测方法的实现流程示意图;
图2为本申请实施例提供的异常检测方法的实现流程示意图;
图3为本申请实施例提供的确定访问地址对应的特征值的实现流程示意图;
图4为本申请实施例提供确定第一访问地址是否异常的实现流程示意图;
图5为本申请实施例提供的确定第一分数的实现流程示意图;
图6为本申请应用实施例提供的异常检测方法的实现流程示意图;
图7为本申请实施例提供的异常检测系统的示意图;
图8为本申请实施例提供的异常检测装置的结构示意图;
图9为本申请实施例提供的电子设备的硬件组成结构示意图。
具体实施方式
如图1所示,相关技术中,需要各业务系统需要集成用于收集用户行为日志的SDK,这使得收集用户行为日志的成本较高;各业务系统需要通过各自集成的SDK向日志服务器上报用户行为日志,这使得收集用户行为日志的时效性较差。另外,日志服务器基于按人工经验设置的规则,对各业务系统上报的用户行为日志进行分析,从而确定出异常行为,这导致确定出分析出的异常行为的准确度较低。
基于此,本申请提供了一种异常检测方法,基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常。这样,可以直接检测到经由内置的API网关到业务系统的访问请求,基于检测到的访问请求的访问信息生成第一访问日志,因不需要各业务系统上报访问日志,提高了收集访问日志的时效性,从而提高了异常检测的时效性;由于第一特征值对应的出现次数,可以反映出用户的行为习惯,因此,本方案可以提高异常检测结果的准确度。
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
图2为本申请实施例提供的异常检测方法的实现流程示意图,其中,流程的执行主体为终端设备、服务器等电子设备。如图2示出的,异常检测方法包括:
步骤201:基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;其中,所述第一访问地址为所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息。
这里,电子设备中设置有API网关,用户通过终端设备触发的设定业务系统相关的登陆请求或访问请求,经由API网关到达管理对应的设定业务系统的服务器。该访问请求可以是跨系统的访问请求,也可以是非跨系统的访问请求。也就是说,在任一设定业务系统的交互界面触发的访问请求,可以用于请求访问该设定业务系统中的相关功能,也可以用于请求访问除该设定业务系统之外的其他设定业务系统的相关功能。实际应用时,API网关可以为APISIX。
用户在登陆设定业务系统之后,可以以点击该设定业务系统的交互页面中的相关功能或按钮,触发访问请求。电子设备在检测到经由API网关的访问请求的情况下,将访问请求的访问信息写入第一访问日志,第一访问日志用于实时记录单位时长内经由API网关的访问请求携带的访问信息,第一访问日志中的访问信息是实时更新的。其中,访问信息至少包括用户标识、访问时间和访问地址。
在实际应用时,单位时长为一天。也就是说,电子设备每天创建一个访问日志,用于记录当天检测到的所有访问请求携带的访问信息。
在本发明实施例中,基于第一访问日志,确定出第一访问地址对应的第一特征值的实施方式包括:
1)实施方式一:若跟踪的是当前业务系统的用户行为的场景下:
电子设备基于第一访问日志中的访问信息,确定出每个用户标识对应的第一序列,每个用户标识对应的第一序列中包括该用户标识对应的所有访问地址;基于每个用户标识对应的第一序列,确定出每个用户标识对应的第一序列中每个访问地址对应的特征值。每个用户标识对应的每个访问地址对应的特征值可以基于对应的访问地址确定出,也可以基于对应的访问地址,以及基于第一序列中与对应的访问地址相邻的至少一个访问地址确定出。实际应用时,除第一序列中的首个访问地址之外,基于第一序列中每3个相邻的访问地址中的每个访问地址,确定出每3个相邻的访问地址中处于中间位置的访问地址对应的特征值。在计算第一序列中首个访问地址对应的特征值时,采用设定的空字符串替代缺失的访问地址,或者基于首个访问地址和与首个访问地址相邻的访问地址,确定出首个访问地址对应的特征值。需要说明的是,特征值表征访问地址的特征。示例性地,访问地址对应的特征值包括哈希值。
电子设备从确定出的访问地址对应的特征值中,确定出第一访问地址对应的第一特征值;基于每个用户对应的第一特征值,确定出第一特征值在至少一个设定维度中每个维度对应的第一出现次数。
实际应用时,可以通过第一数据表记录每个用户对应的访问信息、访问信息中的访问地址对应的特征值,以及单位时长内每个特征值的出现次数。示例性地,第一数据表如下:
为了提高统计出的特征值对应的出现次数,从而提高异常检测结果的准确度,在一些实施例中,所述访问信息还包括用户所属的部门、用户岗位以及发送访问地址的终端设备的标识;
所述至少一个设定维度包括以下至少之一:
第一维度,表征按用户统计特征值的出现次数;即,基于每个用户对应的所有特征值,统计出每个用户对应的每个特征值的出现次数;
第二维度,表征按部门统计特征值的出现次数;即,基于每个部门对应的所有特征值,统计每个特征值的出现次数;
第三维度,表征按岗位统计特征值的出现次数;即,基于每个岗位对应的所有特征值,统计每个特征值的出现次数;
第四维度,表征按用户使用的终端设备统计特征值的出现次数;即,基于每台终端设备对应的所有特征值,统计每台终端设备对应的每个特征值的出现次数。
当然,在实际应用时,还可以根据实际需要设置其他的维度。
2)实施方式二:考虑到在跟踪用户的跨系统的用户行为的应用场景下,用户在访问任一业务系统中的任一功能对应的访问地址序列是固定的,为了更准确地确定出异常请求,如图3所示,在一些实施例中,采用以下步骤301至步骤303,确定出每个访问地址对应的特征值:
步骤301:基于第二访问日志中的访问信息,确定出第一用户对应的第一序列;其中,所述第二访问日志包括所述第一访问日志或设定统计周期内每个单位时长对应的历史访问日志;第一序列包括第二访问日志中第一用户对应的所有访问地址。
这里,电子设备基于第二访问日志中每个访问信息包括的用户标识和访问时间,在第二访问日志中确定出第一用户对应的第一序列。第一用户是指第二访问日志中的任一用户。
步骤302:在第一用户对应的第一序列中,确定出第一用户对应的第二序列;第二序列包括至少一个访问地址。
这里,第一用户对应的第一序列中包括的访问地址的数量大于或等于对应的第二序列中包括的访问地址的数量。
步骤303:基于第一用户对应的第二序列,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。
这里,电子设备可以通过设定算法,基于第一用户对应的第二序列中的每个访问地址,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。设定算法为用于计算哈希值的算法,包括信息摘要算法或散列算法等。实际应用时,访问地址包括域名和业务系统标识,还可以包括功能标识。示例性地,访问地址可以为http://xxxx/1/2。其中,xxxx表征域名,1表征业务系统标识,2表征功能标识。
需要说明的是,当第二访问日志为第一访问日志时,电子设备通过执行步骤301至步骤303,确定出第一访问地址对应的第一特征值。其中,第一访问地址是第二序列中位于设定位置的访问地址。
当第二访问日志为设定统计周期内每个单位时长对应的历史访问日志时,电子设备通过执行步骤301至步骤303,确定出设定统计周期内的每个单位时长对应的访问地址对应的特征值。
考虑到在实际应用时,用户连续两次触发的访问请求之间的时间间隔较长的话,可能连续两次触发的访问请求中的访问地址可能用户访问不同的功能,因此,为了提高异常检测结果的准确度,在一些实施例中,所述计算出哈希值,包括:
在第三访问地址与第二访问地址之间的时间间隔大于或等于设定时长的情况下,将第二序列中第三访问地址替换为设定字符串;其中,第二访问地址表征第二序列中位于设定位置的访问地址,第三访问地址表征第二序列中与第二访问地址相邻的访问地址;
基于更新后的第二序列中的每个访问地址,计算出哈希值。
这里,电子设备基于第三访问地址对应的访问时间和第二访问地址对应的访问时间,确定出第三访问地址与第二访问地址之间的时间间隔;在计算出的时间间隔大于或等于设定时长的情况下,将第二序列中的第三访问地址替换为设定字符串;并基于更新后的第二序列中的每个访问地址和设定字符串,计算出哈希值。实际应用时,设定字符串为按照访问地址的格式设置的空字符串。示例性地,设定时长为5分钟,当然,实际应用时也可以根据实际情况设置设定时长。
实际应用时,第二序列包括三个访问地址,设定位置表征中间位置。由此,可以兼顾计算特征值的计算量和异常检测结果的准确度。
示例性地,电子设备可以采用公式Vs=MD5(V1+V2+V3),来计算第二序列中位于中间位置的访问地址V2对应的特征值。其中,第二序列为V1 V2 V3;MD5(V1+V2+V3)表征通过信息摘要算法5(MD5,Message-DigestAlgorithm 5)计算访问地址V2对应的特征值。
需要说明的是,API网关还可以用于调用电子设备中的相关插件或相关服务对设定业务系统的登陆请求或访问请求进行验证。在对访问请求进行验证通过的情况下,将该访问请求携带的访问信息写入访问日志。
例如,在用户使用终端设备登陆第一业务系统的场景下,用户在第一业务系统的登陆界面输入用户名和密码等信息,触发登陆请求;电子设备在检测到经由API网关的登陆请求的情况下,通过API网关调用电子设备中的第一插件或第一服务,以通过第一插件或第一服务对登陆请求进行身份验证;在身份验证通过时,允许该用户登陆第一业务系统,将登陆请求发送至管理第一业务系统的服务器;在身份验证失败时,不允许该用户登陆第一业务系统,并向发送登陆请求的终端设备返回表征身份验证失败的提示信息。其中,第一业务系统泛指至少一个设定业务系统中的任一设定业务系统;第一插件表征用于身份验证的插件,第一服务表征用于身份验证的服务。
用户登陆第一业务系统之后,用户可以点击第一业务系统的交互页面中的相关功能或按钮,触发访问请求。电子设备在检测到经由API网关的访问请求的情况下,通过API网关调用电子设备中的第二插件或第二服务,通过第二插件或第二服务对检测到的访问请求进行权限验证;在权限验证通过时,允许该用户访问第一业务系统的对应功能,将访问请求发送至管理第一业务系统的服务器;在权限验证失败时,不允许该用户访问第一业务系统的对应功能,向发送访问请求的终端设备返回表征没有访问权限的提示信息。第二插件表征用于权限验证的插件;第二服务表征用于权限验证的服务。
其中,电子设备中存储有用户在每个设定的业务系统中对应的设定访问路径,设定访问路径是指具有访问权限的访问路径,且设定访问路径是可以动态更新的。对检测到的访问请求进行权限验证的过程可以为:
判断检测到的访问请求中是否包括访问地址,得到第一判断结果;在第一判断结果表征访问请求中包括访问地址的情况下,查找访问请求包括的用户标识对应的设定访问路径,并在查找到的设定访问路径中,查找与访问请求包括的访问地址匹配的设定访问路径;在查找到匹配的设定访问路径的情况下,确定权限验证通过。在第一判断结果表征访问请求中不包括访问地址,或者未查找到匹配的设定访问路径的情况下,确定权限验证失败。在访问请求中不包括访问地址的情况下,表征业务系统受到黑客攻击。
步骤202:基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出。
这里,电子设备基于设定统计周期内每个单位时长对应的历史访问日志中的访问信息,确定出每个用户标识在每个单位时长对应的第一序列;基于每个用户标识在每个单位时长对应的第一序列,确定出每个用户标识在每个单位时长对应的第一序列中每个访问地址对应的特征值;基于每个用户标识在每个单位时长对应的第一序列中每个访问地址对应的特征值,确定出每个单位时长内的每个特征值在每个设定维度对应的历史出现次数;在每个单位时长内的每个特征值在每个设定维度对应的历史出现次数中,确定出每个单位时长内第一特征值在每个设定维度对应的历史出现次数。
电子设备基于第一特征值在每个设定维度对应的第一出现次数,以及基于每个单位时长内第一特征值在每个设定维度对应的历史出现次数,确定出第一访问地址是否异常。
其中,在第一特征值在任一设定维度对应的历史出现次数为零的情况下,确定第一访问地址异常。或者,第一特征值在第一设定维度对应的第一出现次数与对应的历史出现次数相差较大时,确定第一访问地址异常。电子设备还可以基于第一特征值在每个设定维度对应的第一出现次数,以及基于每个单位时长内第一特征值在每个设定维度对应的历史出现次数,计算出第一访问地址对应的分数,并基于第一访问地址对应的分数,确定出第一访问地址是否为异常地址。例如,在第一访问地址对应的分数大于或等于设定阈值的情况下,确定第一访问地址为异常地址。在第一访问地址对应的分数小于设定阈值的情况下,确定第一访问地址不是异常地址。设定阈值基于异常的访问地址设定的。
需要说明的是,基于历史访问日志确定访问地址对应的特征值的方法,与基于第一访问日志确定访问地址对应的特征值的方法相同,此处不赘述。
为了提高确定异常检测结果的准确度,如图4所示,在一些实施例中,所述确定出所述第一访问地址是否异常,包括以下步骤401至步骤403:
步骤401:基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数。
这里,电子设备基于设定统计周期内每个单位时长对应的第一特征值在每个设定维度对应的历史出现次数,确定出设定统计周期内第一特征值在第一设定维度对应的最大历史出现次数;基于设定统计周期内每个单位时长对应的第一特征值在每个设定维度对应的历史出现次数,确定出每个单位时长内的第一特征值在每个设定维度对应的第二出现次数;基于第一特征值在每个设定维度对应的第一出现次数、设定统计周期内第一特征值在第一设定维度对应的最大历史出现次数,以及每个单位时长的第一特征值在每个设定维度对应的第二出现次数,确定出每个单位时长内的第一特征值在每个设定维度对应的第一分数。
其中,第一设定维度为至少一个设定维度中的任一设定维度。
第二出现次数与设定统计周期内包含的单位时长的总数,和/或,第一特征值在每个单位时长对应的权重有关。在设定统计周期内单位时长对应的时间越晚,该单位时长对应权重越大。
为了更准确地确定出的第一分数,从而提高异常检测结果的准确度,如图5所示,在一些实施例中,所述确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,包括以下步骤501至步骤502:
步骤501:基于第一单位时长对应的所述第一特征值在第一设定维度对应的历史出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;第一设定维度表征所述至少一个设定维度中的任一设定维度;第一单位时长表征所述设定统计周期中的任一单位时长。
这里,电子设备基于第一单位时长对应的第一特征值在第一设定维度对应的历史出现次数,以及设定统计周期内包含的单位时长的总数,确定出第一单位时长内的第一特征值在第一设定维度对应的第二出现次数。
为了更准确地确定出第二出现次数,在一些实施例中,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,包括以下之一:
基于第一单位时长内的所述第一特征值在第一设定维度对应的历史出现次数与设定统计周期内单位时长的总数的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;
基于每个单位时长内的所述第一特征值在第一设定维度对应的历史出现次数,以及所述第一特征值在每个单位时长对应的权重,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;其中,
在第一单位时长对应的时间晚于第二单位时长对应的时间的情况下,第一单位时长对应的权重大于第二单位时长对应的权重。
这里,电子设备确定出第一单位时长内的第一特征值在第一设定维度对应的历史出现次数,与设定统计周期内包含的单位时长的总数的比值,基于确定出的比值,确定出第一单位时长内的第一特征值在第一设定维度对应的第二出现次数。
实际应用时,可以基于公式计算出第一单位时长内的第一特征值在第一设定维度对应的第二出现次数。
其中,C表征第一单位时长内的第一特征值在第一设定维度对应的第二出现次数;Cn表征第一单位时长的第一特征值在第一设定维度对应的历史出现次数;m表征设定统计周期内包含的单位时长的总数。当然,在一些实施例中,也可以通过调整参数对计算出的C进行调整,从而得到调整后的C。
电子设备还可以按照以下方法确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数:
电子设备在设定统计周期内每个单位时长对应的第一特征值在第一设定维度对应的历史出现次数中,确定出第一单位时长对应的第一特征值在第一设定维度对应的历史出现次数;基于第一单位时长对应的第一特征值在第一设定维度对应的历史出现次数,以及第一特征值在第一单位时长对应的权重,确定出第一单位时长内的第一特征值在第一设定维度对应的第三出现次数;按照此方法,确定出每个单位时长内的第一特征值在第一设定维度对应的第三出现次数。
在确定出设定统计周期内每个单位时长对应的第一特征值在第一设定维度对应的第三出现次数的情况下,计算出第一特征值对应的所有第三出现次数之和,得到第一总和。
电子设备基于第一单位时长内的第一特征值在第一设定维度对应的第三出现次数与计算出的第三总和的比值,确定出第一单位时长内的第一特征值在第一设定维度对应的第二出现次数。其中,
电子设备可以将第一单位时长内的第一特征值在第一设定维度对应的第三出现次数与计算出的第三总和之商,确定为第一单位时长内的第一特征值在第一设定维度对应的第二出现次数;电子设备还可以采用设定的调整参数对确定出的商进行调整,得到第一单位时长内的第一特征值在第一设定维度对应的第二出现次数。
示例性地,可以采用以下公式确定出第一单位时长的第一特征值在第一设定维度对应的第二出现次数:
其中,C表征第一单位时长内的第一特征值在第一设定维度对应的第二出现次数;Cn表征第n个单位时长内的第一特征值在第一设定维度对应的历史出现次数;g表征第一特征值在第n个单位时长对应的权重;m表征设定统计周期内包含的单位时长的总数。需要说明的是,在实际应用时,可以采用设定系数或常数对上述公式进行调整。
步骤502:基于所述第一特征值在第一设定维度对应的第一出现次数和第一单位时长的所述第一特征值在第一设定维度对应的第二出现次数,以及基于所述第一特征值在所述设定统计周期中对应的最大历史出现次数以及第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
这里,电子设备基于设定统计周期内每个单位时长对应的第一特征值在第一设定维度对应的历史出现次数,确定出第一特征值在设定统计周期中对应的最大历史出现次数。
电子设备基于第一特征值在设定统计周期中对应的最大历史出现次数,以及第一单位时长内的第一特征值在第一设定维度对应的第二出现次数,确定出第一差值;基于第一特征值在第一设定维度对应的第一出现次数,以及第一单位时长内的第一特征值在第一设定维度对应的第二出现次数对应的第二出现次数,确定出第二差值;基于确定出的第一差值和确定出的第二差值,确定出第一单位时长内的第一特征值在第一设定维度对应的第一分数。
其中,第一差值表征第一特征值在设定统计周期中对应的最大历史出现次数与第一单位时长内的第一特征值在第一设定维度对应的第二出现次数之差。
第二差值表征第一特征值在第一设定维度对应的第一出现次数与第一单位时长内的第一特征值在第一设定维度对应的第二出现次数之差。
为了提高确定出的第一分数的准确度,进而提高异常检测结果的准确度,在一些实施例中,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第一差值等于零的情况下,基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在第一差值不等于零的情况下,基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;其中,
所述第一差值表征所述第一特征值在所述设定统计周期中对应的最大历史出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差;
所述第二差值表征所述第一特征值在第一设定维度对应的第一出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差。
这里,电子设备在计算出第一差值的情况下,判断第一差值是否等于零,在第一差值等于零的情况下,基于第一特征值在设定统计周期中对应的最大历史出现次数,确定出对应的设定分数,将确定出的设定分数确定为第一特征值在第一设定维度对应的第一分数。其中,不同的最大历史出现次数对应的设定分数可以不同。
电子设备在计算出第二差值的情况下,判断第二差值是否等于零,在第二差值不等于零的情况下,确定出第二差值与第一差值的比值,并基于确定出的比值,确定出第一单位时长内的第一特征值在第一设定维度对应的第一分数。其中,不同的比值对应的第一分数可以不同。
为了准确地确定出第一分数,从而提高异常检测结果的准确度,在一些实施例中,在第一差值等于零的情况下,所述基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在在所述第一特征值对应的最大历史出现次数大于零的情况下,将第一设定维度对应的第一设定分数,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在所述第一特征值对应的最大历史出现次数等于零,且存在所述第一访问地址的情况下,将第二设定分数确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
这里,在第一差值等于零,且第一特征值对应的最大历史出现次数大于零的情况下,表征历史访问日志中存在第一访问地址,第一特征值对应的最大历史出现次数等于第一特征值在第一设定维度对应的第二出现次数。此时,电子设备将第一设定维度对应的第一设定分数,确定为第一单位时长内的第一特征值在第一设定维度对应的第一分数。第一设定分数为第一设定维度对应的默认分数。实际应用时,该默认分数为零。
在第一差值等于零,且第一特征值对应的最大历史出现次数等于零的情况下,表征历史访问日志中不存在第一访问地址,此时,判断设定业务系统对应的访问地址中是否存在第一访问地址;在任意设定业务系统对应的访问地址中存在第一访问地址的情况下,表征第一访问地址用于访问设定业务系统中的新功能,将第二设定分数确定为第一单位时长内的第一特征值在第一设定维度对应的第一分数。第二设定分数表征新的访问地址对应的初始分数。
为了准确地确定出第一分数,从而提高异常检测结果的准确度,在一些实施例中,在第一差值不等于零的情况下,所述基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第二差值与第一差值的比值小于或等于零的情况下,确定第一单位时长内的所述第一特征值在第一设定维度对应的第一分数为零;
在第二差值与第一差值的比值大于零的情况下,将第二差值与第一差值之商,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
这里,在第一差值不等于零的情况下,判断第二差值是否等于零。在第二差值等于零的情况下,确定第一单位时长内的第一特征值在第一设定维度对应的第一分数为零。在第二差值不等于零的情况下,判断第二差值与第一差值的比值是否大于零;在第二差值与第一差值的比值小于零的情况下,确定第一特征值在第一设定维度对应的第一分数为零;在第二差值与第一差值的比值大于零的情况下,将第二差值与第一差值之商(即,第二差值/第一差值),确定为第一单位时长内的第一特征值在第一设定维度对应的第一分数。实际应用时,采用以下公式计算出第一单位时长内的第一特征值在每个设定维度对应的第一分数:
其中,Sj表征第一单位时长内的第j个设定维度对应的第一分数;Cij表征第一特征值在第j个设定维度对应的第一次数;Cuj表征第一特征值在第j个设定维度对应的第二出现次数;Cjmax表征第一特征值在第j个设定维度对应的最大历史出现次数。
步骤402:基于每个单位时长的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数;其中,每个第二分数基于每个单位时长内的所述第一特征值在所有设定维度对应的第一分数确定出。
这里,电子设备基于第一单位时长的第一特征值在所有设定维度对应的第一分数,确定出第一访问地址在第一单位时长对应的第二分数。按照同样的方法,可以计算出第一访问地址在设定统计周期内每个单位时长对应的第二分数,从而得到第一访问地址对应的多个第二分数。
其中,第一单位时长为设定统计周期内的任一单位时长。第一分数的数量与设定统计周期内单位时长的数量相同。
考虑到在实际应用中,设定维度的数量可以为1,也可以大于1,为了提高确定出的第二分数的准确度,从而提高异常检测结果的准确度,在一些实施例中,所述基于每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数,包括:
在设定维度的数量为1的情况下,将第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,确定为所述第一访问地址在第一单位时长对应的第二分数;
在设定维度的数量大于1的情况下,基于第一单位时长内的所述第一特征值在每个设定维度对应的第一分数和每个设定维度的设定权重,确定出所述第一访问地址在第一单位时长对应的第二分数。
这里,在设定维度的数量为1的情况下,将第一单位时长内的第一特征值在第一设定维度对应的第一分数,确定为第一访问地址在第一单位时长内对应的第二分数。
在设定维度的数量大于1的情况下,基于第一单位时长内的第一特征值在每个设定维度对应的第一分数和每个设定维度对应的设定权重进行加权求和,得到第一访问地址在第一单位时长对应的第二分数。
按照上述方法,电子设备可以确定出第一访问地址在设定统计周期内每个单位时长内对应的第二分数。
示例性地,在设定维度的数量为4的情况下,电子设备可以采用以下公式计算出第一访问地址在第一单位时长对应的第二分数:
S=S1W1+S2W2+S3W3+S4W4
其中,S表征第一访问地址在第一单位时长对应的第二分数;S1表征第一维度对应的第一分数,W1表征第一维度对应的设定权重;S2表征第二维度对应的第一分数,W2表征第二维度对应的设定权重;S3表征第三维度对应的第一分数,W3表征第三维度对应的设定权重;S4表征第四维度对应的第一分数,W4表征第四维度对应的设定权重。
步骤403:基于所述第一访问地址对应的多个第二分数,确定出所述第一访问地址是否异常。
这里,电子设备可以将每个第二分数与设定阈值进行比较,得到比较结果;在任一比较结果表征第二分数大于或等于设定阈值的情况下,确定第一访问地址异常;在所有比较结果均表征第二分数小于设定阈值的情况下,确定第一访问地址不是异常地址。
实际应用时,设定阈值可以为400。
为了提高异常处理的时效性,在一些实施例中,在确定出第一访问地址异常之后,所述方法还包括:
在所述第一访问地址异常的情况下,阻断所述第一访问地址对应的访问操作,和/或,对发送所述第一访问地址的终端设备进行访问限制。
这里,电子设备在确定出第一访问地址异常的情况下,阻断第一访问地址对应的访问操作,从而阻止发送第一访问地址的终端设备继续访问对应的设定业务系统。对发送第一访问地址的终端进行访问限制是指,限制发送第一访问地址的终端设备的访问操作,从而禁止对应的终端设备访问对应的业务系统或对应的业务系统的对应功能。由于,电子设备在确定出第一访问地址异常的情况下,可以直接对第一访问地址进行异常处理,不需要通知对应的业务系统对第一访问地址进行异常处理,可以减少向业务系统进行异常预警所消耗的时间,提高异常处理的时效性。
本申请实施例中,基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常。这样,可以直接检测到经由内置的API网关到业务系统的访问请求,基于检测到的访问请求的访问信息生成第一访问日志,因不需要各业务系统上报访问日志,提高了收集访问日志的时效性,从而提高了异常检测的时效性;由于第一特征值对应的出现次数,可以反映出用户的行为习惯,因此,本方案可以提高异常检测结果的准确度。
图6为本申请应用实施例提供的异常检测方法的实现流程示意图。如图6示出的,异常检测方法包括:
步骤601:基于设定统计周期内每个单位时长对应的历史访问日志,确定出每个历史访问地址对应的特征值,以及确定出设定统计周期内每个单位时长对应的特征值在每个设定维度对应的历史出现次数。
如图7所示,实际应用时,电子设备中设有API网关、登陆插件、权限插件和日志插件,电子设备支持权限管理服务、日志存储服务、权限管理服务、用户行为分析服务以及用户历史行为分析服务等。其中,
API网关可以调用登陆插件、权限插件和日志插件等。登陆插件用于供API网关对登陆请求进行身份验证;权限插件用于供API网关对访问请求进行权限验证,日志插件用于供API网关将访问请求中的访问信息写入访问日志。
权限管理服务用于更新和存储用户在各个业务系统中对应的设定访问地址,以及同步异常的访问地址。用户行为分析服务用于基于第一访问日志检测异常的访问地址,例如实现步骤101至步骤102;用户历史行为分析服务用于基于历史访问日志,确定每个访问地址对应的特征值在每个设定维度对应的历史出现次数。设定维度包括:用户维度、部门维度、岗位维度和设定维度,分别对应上文中的第一维度、第二维度、第三维度和第四维度。
其中,步骤601的实现过程,请参照上文中的相关描述,此处不赘述。
步骤602:基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的API网关的访问请求的访问信息。
其中,步骤602与步骤101相同,实现过程请参照步骤101的相关描述,此处不赘述。
步骤603:基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常。
其中,步骤603与步骤102相同,实现过程请参照步骤102的相关描述,此处不赘述。
步骤604:在所述第一访问地址异常的情况下,阻断所述第一访问地址对应的访问操作,和/或,对发送所述第一访问地址的终端设备进行访问限制。
为实现本申请实施例的方法,本申请实施例还提供了一种异常检测装置,如图8所示,该异常检测装置包括:
第一确定单元81,用于基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息;
第二确定单元82,用于基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出。
在一些实施例中,所述访问信息至少包括用户标识、访问时间和访问地址,第一确定单元81还用于:
基于第二访问日志中的访问信息,确定出第一用户对应的第一序列;其中,所述第二访问日志包括所述第一访问日志或设定统计周期内每个单位时长对应的历史访问日志;第一序列包括第二访问日志中第一用户对应的所有访问地址;
在第一用户对应的第一序列中,确定出第一用户对应的第二序列;第二序列包括至少一个访问地址;
基于第一用户对应的第二序列,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。
在一些实施例中,第一确定单元81具体用于:
在第三访问地址与第二访问地址之间的时间间隔大于或等于设定时长的情况下,将第二序列中的第三访问地址替换为设定字符串;其中,第二访问地址表征第二序列中位于设定位置的访问地址,第三访问地址表征第二序列中与第二访问地址相邻的访问地址;
基于更新后的第二序列计算出哈希值。
在一些实施例中,所述第二序列包括三个访问地址,设定位置表征中间位置。
在一些实施例中,所述访问信息还包括用户所属的部门、用户岗位以及发送访问地址的终端设备的标识;
所述至少一个设定维度包括以下至少之一:
第一维度,表征按用户统计特征值的出现次数;
第二维度,表征按部门统计特征值的出现次数;
第三维度,表征按岗位统计特征值的出现次数;
第四维度,表征按用户使用的终端设备统计相同的特征值的出现次数。
在一些实施例中,第二确定单元82具体用于:
基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数;
基于每个单位时长的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数;其中,每个第二分数基于每个单位时长内的所述第一特征值在所有设定维度对应的第一分数确定出;
基于所述第一访问地址对应的多个第二分数,确定出所述第一访问地址是否异常。
在一些实施例中,第二确定单元82具体用于:
基于第一单位时长对应的所述第一特征值在第一设定维度对应的历史出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;第一设定维度表征所述至少一个设定维度中的任一设定维度;第一单位时长表征所述设定统计周期中的任一单位时长;
基于所述第一特征值在第一设定维度对应的第一出现次数和第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,以及基于所述第一特征值在所述设定统计周期中对应的最大历史出现次数以及第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
在一些实施例中,第二确定单元82具体用于:
基于第一单位时长内的所述第一特征值在第一设定维度对应的历史出现次数与设定统计周期内单位时长的总数的比值,确定出第一单位时长的所述第一特征值在第一设定维度对应的第二出现次数;
基于每个单位时长内的所述第一特征值在第一设定维度对应的历史出现次数,以及所述第一特征值在每个单位时长对应的权重,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;其中,
在第一单位时长对应的时间晚于第二单位时长对应的时间的情况下,第一单位时长对应的权重大于第二单位时长对应的权重。
在一些实施例中,第二确定单元82具体用于:
在第一差值等于零的情况下,基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在第一差值不等于零的情况下,基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;其中,
所述第一差值表征所述第一特征值在所述设定统计周期中对应的最大历史出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差;
所述第二差值表征所述第一特征值在第一设定维度对应的第一出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差。
在一些实施例中,第二确定单元82具体用于:
在所述第一特征值对应的最大历史出现次数大于零的情况下,将第一设定维度对应的第一设定分数,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在所述第一特征值对应的最大历史出现次数等于零,且存在所述第一访问地址的情况下,将第二设定分数确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
在一些实施例中,第二确定单元82具体用于:
在第二差值与第一差值的比值小于或等于零的情况下,确定第一单位时长内的所述第一特征值在第一设定维度对应的第一分数为零;
在第二差值与第一差值的比值大于零的情况下,将第二差值与第一差值之商,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
在一些实施例中,第二确定单元82具体用于:
在设定维度的数量为1的情况下,将第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,确定为所述第一访问地址在第一单位时长对应的第二分数;
在设定维度的数量大于1的情况下,基于第一单位时长内的所述第一特征值在每个设定维度对应的第一分数和每个设定维度的设定权重,确定出所述第一访问地址在第一单位时长对应的第二分数。
在一些实施例中,该异常检测装置还包括:
异常处理单元,用于在所述第一访问地址异常的情况下,阻断所述第一访问地址对应的访问操作,和/或,对发送所述第一访问地址的终端设备进行访问限制。
实际应用时,第一确定单元81、第二确定单元82和异常处理单元可通过异常检测装置中的处理器,比如中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-Programmable Gate Array)等实现。
需要说明的是:上述实施例提供的异常检测装置在进行异常检测时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的异常检测装置与异常检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备。图9为本申请实施例提供的电子设备的硬件组成结构示意图,如图9所示,电子设备9包括:
通信接口91,能够与其它设备比如网络设备等进行信息交互;
处理器92,与所述通信接口91连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述终端侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器93上。
当然,实际应用时,电子设备9中的各个组件通过总线系统94耦合在一起。可理解,总线系统94用于实现这些组件之间的连接通信。总线系统94除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统94。
本申请实施例中的存储器93用于存储各种类型的数据以支持电子设备9的操作。这些数据的示例包括:用于在电子设备9上操作的任何计算机程序。
可以理解,存储器93可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器93旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器92中,或者由处理器92实现。处理器92可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器92中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器92可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器92可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器93,处理器92读取存储器93中的程序,结合其硬件完成前述方法的步骤。
可选地,所述处理器92执行所述程序时实现本申请实施例的各个方法中由终端实现的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器93,上述计算机程序可由终端的处理器92执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理模块中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
需要说明的是,本申请实施例中的术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多个中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种异常检测方法,其特征在于,包括:
基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息;
基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出;
所述访问信息至少包括用户标识、访问时间和访问地址;确定访问地址对应的特征值,包括:基于第二访问日志中的访问信息,确定出第一用户对应的第一序列;其中,所述第二访问日志包括所述第一访问日志或设定统计周期内每个单位时长对应的历史访问日志;第一序列包括第二访问日志中第一用户对应的所有访问地址;在第一用户对应的第一序列中,确定出第一用户对应的第二序列;第二序列包括至少一个访问地址;基于第一用户对应的第二序列,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。
2.根据权利要求1所述的方法,其特征在于,所述计算出哈希值,包括:
在第三访问地址与第二访问地址之间的时间间隔大于或等于设定时长的情况下,将第二序列中的第三访问地址替换为设定字符串;其中,第二访问地址表征第二序列中位于设定位置的访问地址,第三访问地址表征第二序列中与第二访问地址相邻的访问地址;
基于更新后的第二序列计算出哈希值。
3.根据权利要求1所述的方法,其特征在于,所述第二序列包括三个访问地址,设定位置表征中间位置。
4.根据权利要求1所述的方法,其特征在于,所述访问信息还包括用户所属的部门、用户岗位以及发送访问地址的终端设备的标识;
所述至少一个设定维度包括以下至少之一:
第一维度,表征按用户统计特征值的出现次数;
第二维度,表征按部门统计特征值的出现次数;
第三维度,表征按岗位统计特征值的出现次数;
第四维度,表征按用户使用的终端设备统计相同的特征值的出现次数。
5.根据权利要求1所述的方法,其特征在于,所述确定出所述第一访问地址是否异常,包括:
基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数;
基于每个单位时长的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数;其中,每个第二分数基于每个单位时长内的所述第一特征值在所有设定维度对应的第一分数确定出;
基于所述第一访问地址对应的多个第二分数,确定出所述第一访问地址是否异常。
6.根据权利要求5所述的方法,其特征在于,所述确定出每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,包括:
基于第一单位时长对应的所述第一特征值在第一设定维度对应的历史出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;第一设定维度表征所述至少一个设定维度中的任一设定维度;第一单位时长表征所述设定统计周期中的任一单位时长;
基于所述第一特征值在第一设定维度对应的第一出现次数和第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,以及基于所述第一特征值在所述设定统计周期中对应的最大历史出现次数以及第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
7.根据权利要求6所述的方法,其特征在于,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数,包括以下之一:
基于第一单位时长内的所述第一特征值在第一设定维度对应的历史出现次数与设定统计周期内单位时长的总数的比值,确定出第一单位时长的所述第一特征值在第一设定维度对应的第二出现次数;
基于每个单位时长内的所述第一特征值在第一设定维度对应的历史出现次数,以及所述第一特征值在每个单位时长对应的权重,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数;其中,
在第一单位时长对应的时间晚于第二单位时长对应的时间的情况下,第一单位时长对应的权重大于第二单位时长对应的权重。
8.根据权利要求6所述的方法,其特征在于,所述确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第一差值等于零的情况下,基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在第一差值不等于零的情况下,基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
其中,所述第一差值表征所述第一特征值在所述设定统计周期中对应的最大历史出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差;
所述第二差值表征所述第一特征值在第一设定维度对应的第一出现次数与第一单位时长内的所述第一特征值在第一设定维度对应的第二出现次数之差。
9.根据权利要求8所述的方法,其特征在于,所述基于设定分数确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在所述第一特征值对应的最大历史出现次数大于零的情况下,将第一设定维度对应的第一设定分数,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数;
在所述第一特征值对应的最大历史出现次数等于零,且存在所述第一访问地址的情况下,将第二设定分数确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
10.根据权利要求8所述的方法,其特征在于,所述基于第二差值与第一差值的比值,确定出第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,包括以下之一:
在第二差值与第一差值的比值小于或等于零的情况下,确定第一单位时长内的所述第一特征值在第一设定维度对应的第一分数为零;
在第二差值与第一差值的比值大于零的情况下,将第二差值与第一差值之商,确定为第一单位时长内的所述第一特征值在第一设定维度对应的第一分数。
11.根据权利要求5所述的方法,其特征在于,所述基于每个单位时长内的所述第一特征值在每个设定维度对应的第一分数,确定出所述第一访问地址对应的多个第二分数,包括:
在设定维度的数量为1的情况下,将第一单位时长内的所述第一特征值在第一设定维度对应的第一分数,确定为所述第一访问地址在第一单位时长对应的第二分数;
在设定维度的数量大于1的情况下,基于第一单位时长内的所述第一特征值在每个设定维度对应的第一分数和每个设定维度的设定权重,确定出所述第一访问地址在第一单位时长对应的第二分数。
12.根据权利要求1至11任一项所述的方法,其特征在于,所述方法还包括:
在所述第一访问地址异常的情况下,阻断所述第一访问地址对应的访问操作,和/或,对发送所述第一访问地址的终端设备进行访问限制。
13.一种异常检测装置,其特征在于,包括:
第一确定单元,用于基于第一访问日志,确定出第一访问地址对应的第一特征值,以及确定出所述第一特征值在至少一个设定维度中每个设定维度对应的第一出现次数;所述第一访问地址表征所述第一访问日志中的任一访问信息中的访问地址,用于访问至少两个设定业务系统中的任一设定业务系统;所述第一访问日志用于实时记录单位时长内经由内置的应用程序接口API网关的访问请求的访问信息;
第二确定单元,用于基于所述第一特征值在每个设定维度对应的第一出现次数,以及基于设定统计周期内每个单位时长对应的所述第一特征值在每个设定维度对应的历史出现次数,确定出所述第一访问地址是否异常;其中,设定统计周期内每个单位时长对应的所述第一特征值基于对应的单位时长对应的历史日志确定出;
所述访问信息至少包括用户标识、访问时间和访问地址;确定访问地址对应的特征值,包括:基于第二访问日志中的访问信息,确定出第一用户对应的第一序列;其中,所述第二访问日志包括所述第一访问日志或设定统计周期内每个单位时长对应的历史访问日志;第一序列包括第二访问日志中第一用户对应的所有访问地址;在第一用户对应的第一序列中,确定出第一用户对应的第二序列;第二序列包括至少一个访问地址;基于第一用户对应的第二序列,计算出哈希值,得到第一用户对应的第二序列中位于设定位置的访问地址对应的特征值。
14.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至12任一项所述的方法的步骤。
15.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至12任一项所述的方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111526821.5A CN114386025B (zh) | 2021-12-14 | 2021-12-14 | 异常检测方法、装置、电子设备及存储介质 |
| PCT/CN2022/098734 WO2023109046A1 (zh) | 2021-12-14 | 2022-06-14 | 异常检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111526821.5A CN114386025B (zh) | 2021-12-14 | 2021-12-14 | 异常检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114386025A CN114386025A (zh) | 2022-04-22 |
| CN114386025B true CN114386025B (zh) | 2024-06-04 |
Family
ID=81196608
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111526821.5A Active CN114386025B (zh) | 2021-12-14 | 2021-12-14 | 异常检测方法、装置、电子设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114386025B (zh) |
| WO (1) | WO2023109046A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114386025B (zh) * | 2021-12-14 | 2024-06-04 | 深圳前海微众银行股份有限公司 | 异常检测方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140088712A (ko) * | 2013-01-03 | 2014-07-11 | (주)엔소프테크놀러지 | 개인정보 접근감시 시스템 및 그 방법 |
| WO2021073144A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 分布式文件系统的监控方法、装置、终端及存储介质 |
| CN113312241A (zh) * | 2021-06-29 | 2021-08-27 | 中国农业银行股份有限公司 | 异常告警的方法、生成访问日志的方法以及运维系统 |
| CN113326064A (zh) * | 2021-06-10 | 2021-08-31 | 深圳前海微众银行股份有限公司 | 划分业务逻辑模块的方法、电子设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8880541B2 (en) * | 2006-11-27 | 2014-11-04 | Adobe Systems Incorporated | Qualification of website data and analysis using anomalies relative to historic patterns |
| CN105262760A (zh) * | 2015-10-30 | 2016-01-20 | 北京奇虎科技有限公司 | 一种防止恶意访问登录/注册接口的行为的方法和装置 |
| CN109246116A (zh) * | 2018-09-26 | 2019-01-18 | 北京云端智度科技有限公司 | 一种基于dns日志分析的网络异常检测系统 |
| CN111756679A (zh) * | 2019-03-29 | 2020-10-09 | 北京数安鑫云信息技术有限公司 | 一种日志分析方法、装置、存储介质和计算机设备 |
| CN110071941B (zh) * | 2019-05-08 | 2021-10-29 | 北京奇艺世纪科技有限公司 | 一种网络攻击检测方法、设备、存储介质及计算机设备 |
| CN114386025B (zh) * | 2021-12-14 | 2024-06-04 | 深圳前海微众银行股份有限公司 | 异常检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-12-14 CN CN202111526821.5A patent/CN114386025B/zh active Active
-
2022
- 2022-06-14 WO PCT/CN2022/098734 patent/WO2023109046A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20140088712A (ko) * | 2013-01-03 | 2014-07-11 | (주)엔소프테크놀러지 | 개인정보 접근감시 시스템 및 그 방법 |
| WO2021073144A1 (zh) * | 2019-10-18 | 2021-04-22 | 平安科技(深圳)有限公司 | 分布式文件系统的监控方法、装置、终端及存储介质 |
| CN113326064A (zh) * | 2021-06-10 | 2021-08-31 | 深圳前海微众银行股份有限公司 | 划分业务逻辑模块的方法、电子设备及存储介质 |
| CN113312241A (zh) * | 2021-06-29 | 2021-08-27 | 中国农业银行股份有限公司 | 异常告警的方法、生成访问日志的方法以及运维系统 |
Non-Patent Citations (1)
| Title |
|---|
| 基于机器学习的用户实体行为分析技术在账号异常检测中的应用;莫凡;何帅;孙佳;范渊;刘博;;通信技术;20200510(第05期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114386025A (zh) | 2022-04-22 |
| WO2023109046A1 (zh) | 2023-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108268354B (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| US9601000B1 (en) | Data-driven alert prioritization | |
| CN110213199B (zh) | 一种撞库攻击监控方法、装置、系统及计算机存储介质 | |
| CN110602029A (zh) | 一种用于识别网络攻击的方法和系统 | |
| CN112685711A (zh) | 基于用户风险评估的新型信息安全访问控制系统及方法 | |
| US10558810B2 (en) | Device monitoring policy | |
| CN113298638B (zh) | 根因定位方法、电子设备及存储介质 | |
| WO2021004123A1 (zh) | 基于区块链的信息处理装置、方法及存储介质 | |
| CN114386025B (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| CN114138872A (zh) | 一种应用于数字金融的大数据入侵分析方法及存储介质 | |
| US10637878B2 (en) | Multi-dimensional data samples representing anomalous entities | |
| CN112819611A (zh) | 欺诈识别方法、装置、电子设备和计算机可读存储介质 | |
| CN112839014A (zh) | 建立识别异常访问者模型的方法、系统、设备及介质 | |
| CN110191097B (zh) | 登录页面安全性的检测方法、系统、设备及存储介质 | |
| CN111541703B (zh) | 终端设备认证方法、装置、计算机设备及存储介质 | |
| CN116094849B (zh) | 应用访问鉴权方法、装置、计算机设备和存储介质 | |
| CN110365642B (zh) | 监控信息操作的方法、装置、计算机设备及存储介质 | |
| CN110442466B (zh) | 防止请求重复访问方法、装置、计算机设备及存储介质 | |
| CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 | |
| CN113342594A (zh) | 一种工控主机及其健康度动态评估方法 | |
| CN111291409B (zh) | 一种数据监控方法及装置 | |
| CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
| KR101770229B1 (ko) | 사용자별 이용 프로파일에 기초한 위협탐지 방법, 장치, 및 컴퓨터-판독가능 매체 | |
| CN112231232A (zh) | 确定测试数据模型及生成测试数据的方法、装置及设备 | |
| CN112764974B (zh) | 信息资产在线管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |