CN114615021A - 用于安全分析的实时行为安全基线自动计算方法及装置 - Google Patents
用于安全分析的实时行为安全基线自动计算方法及装置 Download PDFInfo
- Publication number
- CN114615021A CN114615021A CN202210141843.8A CN202210141843A CN114615021A CN 114615021 A CN114615021 A CN 114615021A CN 202210141843 A CN202210141843 A CN 202210141843A CN 114615021 A CN114615021 A CN 114615021A
- Authority
- CN
- China
- Prior art keywords
- baseline
- time
- learning
- behavior
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004364 calculation method Methods 0.000 title claims abstract description 58
- 238000004458 analytical method Methods 0.000 title claims abstract description 54
- 230000006399 behavior Effects 0.000 claims abstract description 178
- 230000003542 behavioural effect Effects 0.000 claims abstract description 72
- 238000000034 method Methods 0.000 claims abstract description 48
- 238000004590 computer program Methods 0.000 claims description 16
- 238000010586 diagram Methods 0.000 description 11
- 238000001514 detection method Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 238000002360 preparation method Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种用于安全分析的实时行为安全基线自动计算方法及装置;其中,方法包括:根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;在第三时间段基于所述行为安全基线进行计算。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种用于安全分析的实时行为安全基线自动计算方法及装置。
背景技术
随着技术的发展和知识的扩散,网络攻击方法和数量也随之大幅增加,各种新攻击手段层出不穷,给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以应对已知攻击方法,但对未知和新的攻击方法的检测效率低,无法适应当前严峻的网络安全态势。
近年来随着机器学习的发展和实时计算框架的兴起,基于行为的安全分析方法开始越来越多的应用于各类安全产品中。基于行为的安全分析方法采用机器学习的方法。但是,计算和迭代行为安全基线时,操作人员需要预先指定参数,操作不便。
发明内容
本发明提供一种用于安全分析的实时行为安全基线自动计算方法及装置。
本发明提供一种用于安全分析的实时行为安全基线自动计算方法,所述方法包括:
根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;
在第三时间段基于所述行为安全基线进行计算。
根据本发明提供的一种用于安全分析的实时行为安全基线自动计算方法,所述第一时间段包括:t1至t3;其中,t3=t1+T+D;t1为所述行为安全基线的开始学习时间;T为行为安全基线学习周期;D为行为安全基线时间延迟;
所述第二时间段包括:t1至t2;其中,t2=t1+T;t2为所述行为安全基线的结束学习时间;
所述第三时间段包括:t2至t5;其中,t5=t2+T+D。
根据本发明提供的一种用于安全分析的实时行为安全基线自动计算方法,所述在第三时间段基于所述行为安全基线进行计算,包括:
在所述第三时间段基于所述行为安全基线,对所述设备在第四时间段的行为数据进行检测。
根据本发明提供的一种用于安全分析的实时行为安全基线自动计算方法,所述第四时间段包括:t2至t4;其中,t4=t2+T;t2为所述行为安全基线的结束学习时间;T为行为安全基线学习周期。
根据本发明提供的一种用于安全分析的实时行为安全基线自动计算方法,所述根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线之前,所述方法还包括:
根据行为安全基线学习周期,计算第一个行为安全基线的开始学习时间;
根据所述第一个行为安全基线的开始学习时间和行为安全基线迭代步长,确定第二个行为安全基线的开始学习时间;
依次计算后续N个行为安全基线的开始学习时间;其中,N为整数。
根据本发明提供的一种用于安全分析的实时行为安全基线自动计算方法,所述在第三时间段基于所述行为安全基线进行计算之后,所述方法还包括:
停止基于所述行为安全基线进行计算;
删除所述行为安全基线。
本发明还提供一种用于安全分析的实时行为安全基线自动计算装置,所述装置包括:
生成模块,用于根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;
计算模块,用于在第三时间段基于所述行为安全基线进行计算。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述用于安全分析的实时行为安全基线自动计算方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述用于安全分析的实时行为安全基线自动计算方法的步骤。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述用于安全分析的实时行为安全基线自动计算方法的步骤。
本发明提供的用于安全分析的实时行为安全基线自动计算方法,通过根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线,及在第三时间段基于所述行为安全基线进行计算,实现无需操作人员预先指定参数,就能自动迭代行为安全基线的学习、检测计算过程,能够无需任何介入和干预就能完成实时行为安全基线的自动计算,操作方便。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的用于安全分析的实时行为安全基线自动计算方法的流程示意图之一;
图2是本发明提供的实时行为安全基线相关的时间周期示意图;
图3是本发明提供的用于安全分析的实时行为安全基线自动计算方法的流程示意图之二;
图4是本发明提供的用于安全分析的实时行为安全基线学习流程示意图;
图5是本发明提供的用于安全分析的实时行为安全基线准备流程示意图;
图6是本发明提供的用于安全分析的实时行为安全基线关闭流程示意图;
图7为本发明提供的用于安全分析的实时行为安全基线自动计算装置的结构示意图;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图,通过一些实施例及其应用场景对本发明提供的用于安全分析的实时行为安全基线自动计算方法进行详细地说明。
本发明提供一种用于安全分析的实时行为安全基线自动计算方法,该用于安全分析的实时行为安全基线自动计算方法可适用于应对网络攻击的安全分析和检测的场景中,通过根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线,及在第三时间段基于所述行为安全基线进行计算,实现无需操作人员预先指定参数,就能自动迭代行为安全基线的学习、检测计算过程,能够无需任何介入和干预就能完成实时行为安全基线的自动计算,操作方便。
图1是本发明提供的用于安全分析的实时行为安全基线自动计算方法的流程示意图之一,如图1所示,该方法包括步骤101-步骤102,其中:
步骤101,根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线。
步骤102,在第三时间段基于所述行为安全基线进行计算。
需要说明的是,本发明提供的用于安全分析的实时行为安全基线自动计算方法可适用于应对网络攻击的安全分析和检测的场景中。该方法的执行主体可以为用于安全分析的实时行为安全基线自动计算装置,例如电子设备、或者该用于安全分析的实时行为安全基线自动计算装置中的用于执行安全分析的实时行为安全基线自动计算方法的控制模块。例如,电子设备包括手机、平板电脑或台式计算机。
可选地,图2是本发明提供的实时行为安全基线相关的时间周期示意图,如图2所示:
所述第一时间段包括:t1至t3;
所述第二时间段包括:t1至t2;
所述第三时间段包括:t2至t5;
其中,t2=t1+T;t3=t1+T+D;t5=t2+T+D;
t1为所述行为安全基线的开始学习时间;
t2为所述行为安全基线的结束学习时间;
T为行为安全基线学习周期;
D为行为安全基线时间延迟。可选地,所述在第三时间段基于所述行为安全基线进行计算的实现方式包括:在所述第三时间段基于所述行为安全基线,对所述设备在第四时间段的行为数据进行检测。其中,所述第四时间段包括:t2至t4;其中,t4=t2+T。
本发明提供了行为安全基线的多个基础参数;具体地,基础参数包括以下至少一项:
1)行为安全基线学习周期(length)(length值>0),用于定义行为安全基线的学习数据时间范围。比如行为安全基线学习周期=1天,则表示行为安全基线的学习数据时间范围为每天的0时0分0秒-23时59分59秒。
2)行为安全基线迭代步长(step)(step值>0),用于定义相邻的行为安全基线时间差值。比如如果行为安全基线迭代步长=1小时,则表示第一个行为安全基线时间范围为0时0分0秒-23时59分59秒,第二个行为安全基线时间范围为1时0分0秒-第二天0时59分59秒,依次类推。
3)行为安全基线时间延迟(lateness)(lateness值>=0),用于定义行为安全基线在学习周期停止时间到达之后多长时间停止接收学习数据。比如行为安全基线时间延迟=1分钟,假定行为安全基线时间学习周期=1天,那么对于第一个行为安全基线来说,它的学习周期为0时0分0秒-23时59分59秒,因为需要延迟1分钟,那么它将在第二天的0时1分0秒停止接收学习数据。
实际中,设备的行为数据可以包括网络数据和/或日志等。
本发明提供的用于安全分析的实时行为安全基线自动计算方法,通过根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线,及在第三时间段基于所述行为安全基线进行计算,实现无需操作人员预先指定参数,就能自动迭代行为安全基线的学习、检测计算过程,能够无需任何介入和干预就能完成实时行为安全基线的自动计算,操作方便。
可选地,生成行为安全基线之前,根据行为安全基线学习周期T,计算第一个行为安全基线的开始学习时间t1。
根据所述第一个行为安全基线的开始学习时间t1和行为安全基线迭代步长(S),确定第二个行为安全基线的开始学习时间(例如t7),t7=t6+S;其中,t7为所述第二个行为安全基线的开始学习时间;t6为所述第一个行为安全基线的开始学习时间;S为行为安全基线迭代步长。
依次计算后续N个行为安全基线的开始学习时间;其中,N为整数。
当某个行为安全基线的开始学习时间t1确定之后即可确定该行为安全基线的结束学习时间t2(即t1+T);学习时间范围位于[t1,t2)之间的所有数据。然后,检测时间范围位于[t2,t4)之间的所有数据;在t5(t4+D)时刻进入行为安全基线超时(expire)阶段,停止本行为安全基线的计算,并删除本行为安全基线。
可选地,在第三时间段基于所述行为安全基线进行计算之后,进入行为安全基线超时(expire)阶段,停止基于所述行为安全基线进行计算;删除所述行为安全基线。
图3是本发明提供的用于安全分析的实时行为安全基线自动计算方法的流程示意图之二,如图3所示,该方法包括步骤301-步骤310,其中:
步骤301,行为安全基线开始新学习周期。
步骤302,行为安全基线学习本周期内数据。
步骤303,是否到达本学习周期结束时间?如果没有,则转到步骤302,反之则转到步骤304。
步骤304,行为安全基线时间延迟>0?如果没有,则转到步骤307,反之则转到步骤305。
步骤305,继续学习行为安全基线周期内数据。
步骤306,是否到达[本学习周期结束时间+行为安全基线时间延迟]?如果没有,则转到步骤305,反之则转到步骤307。
步骤307,关闭本次行为安全基线,停止学习数据.
步骤308,行为安全基线用于计算:预测和检测异常。
步骤309,是否到达[行为安全基线结束时间+行为安全基线时间延迟+行为安全基线学习周期]?如果没有,则转到步骤308,反之则转到步骤310。
步骤310,停止本基线计算,并删除基线。
图4是本发明提供的用于安全分析的实时行为安全基线学习流程示意图,如图4所示,该方法包括步骤401-步骤405,其中:
步骤401,根据行为安全基线学习周期值计算第一个行为安全基线的开始学习时间t,并根据第一个基线的开始学习时间和行为安全基线迭代步长计算第二个行为安全基线开始学习时间:t+行为安全基线迭代步长,并依次计算后续N个行为安全基线的开始学习时间。
步骤402,当行为安全基线的开始学习时间t确定之后即可确定该行为安全基线的结束学习时间:t+行为安全基线学习周期。
步骤403,行为安全基线学习时间范围位于[行为安全基线开始学习时间t,行为安全基线结束学习时间:t+行为安全基线学习周期)之间的所有数据。
步骤404,检查当前时间是否>=[行为安全基线结束学习时间],如果没有,则转到步骤403,反之则转到步骤405。
步骤405,进入行为安全基线准备(ready)阶段。
图5是本发明提供的用于安全分析的实时行为安全基线准备流程示意图,如图5所示,该方法包括步骤501-步骤504,其中:
步骤501,学习时间范围位于[行为安全基线开始学习时间t,行为安全基线结束学习时间:t+行为安全基线学习周期)之间的所有数据。
步骤502,检测时间范围位于[行为安全基线结束学习时间,行为安全基线结束学习时间+行为安全基线学习周期)之间的所有数据
步骤503,检查当前时间是否>=(行为安全基线结束学习时间+行为安全基线时间延迟),如果没有,则转到步骤501,反之则转到步骤504。
步骤504,进入行为安全基线关闭(close)阶段。
图6是本发明提供的用于安全分析的实时行为安全基线关闭流程示意图,如图6所示,该方法包括步骤601-步骤603,其中:
步骤601,检测时间范围位于[行为安全基线结束学习时间,行为安全基线结束学习时间+行为安全基线学习周期)之间的所有数据
步骤602,检查当前时间是否>=[行为安全基线结束学习时间+行为安全基线时间延迟+行为安全基线学习周期],如果没有,则转到步骤601,反之则转到步骤603。
步骤603,进入行为安全基线超时阶段。可选地,在行为安全基线超时(expire)阶段,停止本行为安全基线的计算,并删除本行为安全基线。
下面对本发明提供的用于安全分析的实时行为安全基线自动计算装置进行描述,下文描述的用于安全分析的实时行为安全基线自动计算装置与上文描述的用于安全分析的实时行为安全基线自动计算方法可相互对应参照。
图7为本发明提供的用于安全分析的实时行为安全基线自动计算装置的结构示意图,如图7所示,该用于安全分析的实时行为安全基线自动计算装置700包括:生成模块701和计算模块702;其中,
生成模块701,用于根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成行为安全基线;
计算模块702,用于在第三时间段基于行为安全基线进行计算。
本发明提供的用于安全分析的实时行为安全基线自动计算装置,通过根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线,及在第三时间段基于所述行为安全基线进行计算,实现无需操作人员预先指定参数,就能自动迭代行为安全基线的学习、检测计算过程,能够无需任何介入和干预就能完成实时行为安全基线的自动计算,操作方便。。
可选地,所述第一时间段包括:t1至t3;其中,t3=t1+T+D;t1为所述行为安全基线的开始学习时间;T为行为安全基线学习周期;D为行为安全基线时间延迟;
所述第二时间段包括:t1至t2;其中,t2=t1+T;t2为所述行为安全基线的结束学习时间;
所述第三时间段包括:t2至t5;其中,t5=t2+T+D。
可选地,所述计算模块502,具体用于在所述第三时间段基于所述行为安全基线,对所述设备在第四时间段的行为数据进行检测。
可选地,所述第四时间段包括:t2至t4;其中,t4=t2+T;t2为所述行为安全基线的结束学习时间;T为行为安全基线学习周期。
可选地,所述计算模块602还用于:
根据行为安全基线学习周期,计算第一个行为安全基线的开始学习时间;
根据所述第一个行为安全基线的开始学习时间和行为安全基线迭代步长,确定第二个行为安全基线的开始学习时间;
依次计算后续N个行为安全基线的开始学习时间;其中,N为整数。
可选地,所述装置还包括:删除模块,用于停止基于所述行为安全基线进行计算,及删除所述行为安全基线。
图8是本发明提供的电子设备的结构示意图,如图8所示,该电子设备800包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840;其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行用于安全分析的实时行为安全基线自动计算方法,该方法包括:根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;在第三时间段基于所述行为安全基线进行计算。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,计算机程序被处理器执行时,计算机能够执行上述各方法所提供的用于安全分析的实时行为安全基线自动计算方法,该方法包括:根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;在第三时间段基于所述行为安全基线进行计算。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的用于安全分析的实时行为安全基线自动计算方法,该方法包括:根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;在第三时间段基于所述行为安全基线进行计算。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种用于安全分析的实时行为安全基线自动计算方法,其特征在于,所述方法包括:
根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;
在第三时间段基于所述行为安全基线进行计算。
2.根据权利要求1所述的方法,其特征在于,所述第一时间段包括:t1至t3;其中,t3=t1+T+D;t1为所述行为安全基线的开始学习时间;T为行为安全基线学习周期;D为行为安全基线时间延迟;
所述第二时间段包括:t1至t2;其中,t2=t1+T;t2为所述行为安全基线的结束学习时间;
所述第三时间段包括:t2至t5;其中,t5=t2+T+D。
3.根据权利要求1所述的方法,其特征在于,所述在第三时间段基于所述行为安全基线进行计算,包括:
在所述第三时间段基于所述行为安全基线,对所述设备在第四时间段的行为数据进行检测。
4.根据权利要求3所述的方法,其特征在于,所述第四时间段包括:t2至t4;其中,t4=t2+T;t2为所述行为安全基线的结束学习时间;T为行为安全基线学习周期。
5.根据权利要求1所述的方法,其特征在于,所述根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线之前,所述方法还包括:
根据行为安全基线学习周期,计算第一个行为安全基线的开始学习时间;
根据所述第一个行为安全基线的开始学习时间和行为安全基线迭代步长,确定第二个行为安全基线的开始学习时间;
依次计算后续N个行为安全基线的开始学习时间;其中,N为整数。
6.根据权利要求1所述的方法,其特征在于,所述在第三时间段基于所述行为安全基线进行计算之后,所述方法还包括:
停止基于所述行为安全基线进行计算;
删除所述行为安全基线。
7.一种用于安全分析的实时行为安全基线自动计算装置,其特征在于,所述装置包括:
生成模块,用于根据行为安全基线的开始学习时间,在第一时间段对设备在第二时间段的行为数据进行学习,生成所述行为安全基线;
计算模块,用于在第三时间段基于所述行为安全基线进行计算。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述用于安全分析的实时行为安全基线自动计算方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述用于安全分析的实时行为安全基线自动计算方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述用于安全分析的实时行为安全基线自动计算方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210141843.8A CN114615021A (zh) | 2022-02-16 | 2022-02-16 | 用于安全分析的实时行为安全基线自动计算方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210141843.8A CN114615021A (zh) | 2022-02-16 | 2022-02-16 | 用于安全分析的实时行为安全基线自动计算方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114615021A true CN114615021A (zh) | 2022-06-10 |
Family
ID=81859278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210141843.8A Pending CN114615021A (zh) | 2022-02-16 | 2022-02-16 | 用于安全分析的实时行为安全基线自动计算方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615021A (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107124442A (zh) * | 2016-02-24 | 2017-09-01 | 阿里巴巴集团控股有限公司 | 基于用户行为的资源动态调整方法及设备 |
| CN107517203A (zh) * | 2017-08-08 | 2017-12-26 | 北京奇安信科技有限公司 | 一种用户行为基线建立方法及装置 |
| CN107918579A (zh) * | 2016-10-09 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种批量生成基线数据的方法和装置 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| CN111064635A (zh) * | 2019-12-10 | 2020-04-24 | 中盈优创资讯科技有限公司 | 一种异常流量的监视方法及系统 |
| CN112073255A (zh) * | 2020-03-25 | 2020-12-11 | 长扬科技(北京)有限公司 | 基于深度学习的工控网络流量预测方法、装置 |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-02-16 CN CN202210141843.8A patent/CN114615021A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107124442A (zh) * | 2016-02-24 | 2017-09-01 | 阿里巴巴集团控股有限公司 | 基于用户行为的资源动态调整方法及设备 |
| CN107918579A (zh) * | 2016-10-09 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种批量生成基线数据的方法和装置 |
| CN107517203A (zh) * | 2017-08-08 | 2017-12-26 | 北京奇安信科技有限公司 | 一种用户行为基线建立方法及装置 |
| CN109164786A (zh) * | 2018-08-24 | 2019-01-08 | 杭州安恒信息技术股份有限公司 | 一种基于时间相关基线的异常行为检测方法、装置及设备 |
| CN109743187A (zh) * | 2018-11-23 | 2019-05-10 | 北京奇安信科技有限公司 | 工控网络异常检测方法及装置 |
| CN111064635A (zh) * | 2019-12-10 | 2020-04-24 | 中盈优创资讯科技有限公司 | 一种异常流量的监视方法及系统 |
| CN112073255A (zh) * | 2020-03-25 | 2020-12-11 | 长扬科技(北京)有限公司 | 基于深度学习的工控网络流量预测方法、装置 |
| CN112287390A (zh) * | 2020-10-23 | 2021-01-29 | 杭州数梦工场科技有限公司 | 基线的自适应调整方法及装置 |
| CN113765881A (zh) * | 2021-07-20 | 2021-12-07 | 奇安信科技集团股份有限公司 | 异常网络安全行为的检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110633200A (zh) | 用于测试智能合约的方法和设备 | |
| CN111552633A (zh) | 接口的异常调用测试方法、装置、计算机设备及存储介质 | |
| CN114430365B (zh) | 故障根因分析方法、装置、电子设备和存储介质 | |
| CN110401658B (zh) | 一种数据交互方法和交互平台 | |
| CN110321458B (zh) | 一种基于控制流图的数据流分析方法及装置 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| CN112783508B (zh) | 文件的编译方法、装置、设备以及存储介质 | |
| CN108108299B (zh) | 一种用户界面测试方法及装置 | |
| US20220046039A1 (en) | Method, device, and computer program product for abnormality detection | |
| CN111949992B (zh) | Web应用程序的自动化安全监测方法及系统 | |
| CN102982282B (zh) | 程序漏洞的检测系统和方法 | |
| CN114615021A (zh) | 用于安全分析的实时行为安全基线自动计算方法及装置 | |
| CN115348117B (zh) | 用户水平越权行为判定方法和装置 | |
| CN116306777A (zh) | 模型精度损失定位方法、装置和电子设备 | |
| CN114615032A (zh) | 行为安全基线融合学习方法、装置、电子设备及存储介质 | |
| CN110716855B (zh) | 处理器指令集测试方法及装置 | |
| CN113703916B (zh) | 面向异常检测的云虚拟机生命周期状态依赖关系提取方法 | |
| CN114338147B (zh) | 一种口令爆破攻击的检测方法及装置 | |
| CN114253867B (zh) | 基于神经网络模型的自动化测试方法、装置及系统 | |
| CN117349189B (zh) | 一种app新版本测试方法、设备及介质 | |
| CN113190844B (zh) | 一种检测方法、相关方法及相关装置 | |
| CN105407112B (zh) | 一种设备能力的学习方法、装置和系统 | |
| CN114726622B (zh) | 针对电力系统数据驱动算法的后门攻击影响评估方法及其系统和计算机存储介质 | |
| CN112685246B (zh) | 一种时序数据的处理方法及装置 | |
| CN114666092A (zh) | 用于安全分析的实时行为安全基线数据降噪方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |