CN114615034A - 业务传输的控制方法、装置、处理设备及存储介质 - Google Patents
业务传输的控制方法、装置、处理设备及存储介质 Download PDFInfo
- Publication number
- CN114615034A CN114615034A CN202210193703.5A CN202210193703A CN114615034A CN 114615034 A CN114615034 A CN 114615034A CN 202210193703 A CN202210193703 A CN 202210193703A CN 114615034 A CN114615034 A CN 114615034A
- Authority
- CN
- China
- Prior art keywords
- predetermined
- service
- preset
- information
- reference evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
Abstract
本公开实施例公开了一种业务传输的控制方法、装置、处理设备及存储介质。其中,所述方法包括:检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。本公开实施例中通过动态调整所述业务安全分析模型,对预定业务的参考评估信息进行实时监测,识别网络风险的精度高,防护性强。
Description
技术领域
本发明涉及且不限于网络安全技术领域,尤其涉及一种业务传输的控制方法。
背景技术
相关技术中,基于设置好的安全规则库,对传输的流量进行安全匹配,从而确定可以信任的IP接入网络并进行传输,以防止有攻击风险的流量对网络或者服务端进行攻击。
相关技术中,安全规则库是针对已知风险建立的数据库,只能对流量采用的协议及IP进行排查,不能够对安全规则库未记录的未知风险进行预警。如此,对网络安全环境的适应性差,识别网络风险的精度低,防护性差。
发明内容
有鉴于此,本公开实施例公开了一种业务传输的控制方法、装置、处理设备及存储介质。
根据本公开实施例的第一方面,提供一种业务传输的控制方法,所述方法包括:
检测预定业务的特征信息;
基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
若所述参考评估信息符合预定条件,接收预定操作;
根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数
在一个实施例中,所述业务特征信息,包括以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
在一个实施例中,所述方法包括:
预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
在一个实施例中,所述根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作,包括:
若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;
和/或,
若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合预定条件的操作。
在一个实施例中,所述根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作,包括:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;
和/或,
若所述预定操作包括所述第一操作和第四操作,更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,所述方法还包括:
若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合预定条件时输出的预警信息。
在一个实施例中,所述方法还包括:
若所述预定操作包括第一操作和第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的的预定业务进行告警。
根据本公开实施例的第二方面,提供一种业务传输的控制装置,所述装置包括:
检测模块,用于检测预定业务的业务特征信息;
确定模块,用于:基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
处理模块,用于:若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数
在一个实施例中,所述检测模块,用于检测以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
在一个实施例中,所述装置包括:
建模模块,用于预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
在一个实施例中,所述处理模块用于:
若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;
和/或,
若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合预定条件的操作。
在一个实施例中,所述处理模块,用于:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;
和/或,
若所述预定操作包括所述第一操作和第四操作,更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,所述装置,还包括:
输出模块,若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合预定条件时输出的预警信息。
在一个实施例中,所述处理模块还用于:
若所述预定操作包括第一操作和第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务进行告警。
根据本公开实施例的第三方面,提供一种处理设备,所述处理设备包括:
存储器,用于存储可执行程序;
处理器,用于执行所述存储器中存储的可执行程序时,实现如本公开实施例中任一所述的方法。
根据本公开实施例的第四方面,提供一种计算机存储介质,所述计算机存储介质存储有可执行程序,所述可执行程序被处理器执行时,实现如本公开实施例中任一所述的方法。
本公开实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。这里,正是在业务的参考评估信息符合所述预定参数确定的预定条件的情况下,接收预定操作并基于所述预定操作确定是否更新所述业务安全分析模型中的所述预定参数。如此,针对所述业务安全分析模型中的预定参数的处理操作可以适应于所述预定业务的参考评估信息变化和所述接收到的预定操作。相较于通过固定的安全规则库对网络进行防护的方式,本公开实施例中通过业务安全分析模型对预定业务的参考评估信息进行实时监测,并基于接收到的预定操作适应性调整所述业务安全分析模型,识别网络风险的精度高,防护性强且对网络环境的适应性强。
附图说明
图1为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图2为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图3为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图4为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图5为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图6为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图7为根据一示例性实施例示出的一种业务传输的控制方法的流程示意图;
图8为根据一示例性实施例示出的一种业务传输的控制方法的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二\第三”仅仅是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本发明实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本发明实施例的目的,不是旨在限制本发明。
为了更好地理解本公开实施例,以下通过示例性实施例对相关技术中在轨道交通生产网内部署安全设备的场景进行说明:
在一个实施例中,针对预定业务的流量进行解析,并基于预先设置的安全规则库执行安全匹配;基于解析及安全匹配的结果,确定预定业务的终端地址及流量是否可以接入网络;其中,所述流量采用的协议为预定协议。
如图1所示,本公开实施例中提供了一种业务传输的控制方法,所述方法包括:
步骤11,检测预定业务的业务特征信息;
步骤12,基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
步骤13,若所述参考评估信息符合预定条件,接收预定操作;
步骤14,根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;其中,所述预定业务可以是目标对象执行的业务;所述目标对象可以是特定的终端、程序、应用、软件或者系统。或者,所述预定业务可以是针对敏感文件进行的业务;包括但不限于:对所述敏感文件进行访问、修改及传输的业务。或者,所述预定业务可以是在终端上或者在交互的多端口上进行的所有业务。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息。这里,所述预定业务为预先设置在预定业务集里的业务,基于接收到的操作,可以对预定业务集里的业务进行添加、删除及修改。
在一个实施例中,基于训练预定业务集里的业务的历史行为数据,建立所述业务安全分析模型;所述历史行为数据包括所述业务的历史业务特征信息。
在一个实施例中,检测预定业务当前的业务特征信息;基于所述业务特征信息和业务安全分析模型,确定预定业务的参考评估信息;基于所述参考评估信息与预定条件之间的关系,确定预定业务的当前行为数据是否异常;若异常,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。
如此,可以根据建立好的业务安全分析模型,对预定业务的当前业务行为进行分析评估,并根据接收到的预定操作,确定是否调整所述业务安全分析模型。实质上,这里是基于预定业务的历史业务行为,对预定业务的当前业务行为进行分析评估,分析评估的准确性高。
在一个实施例中,确定的所述预定业务的参考评估信息可以指示流量的大小、本地地址及访问信息。
在一个实施例中,所述参考评估信息符合所述预定条件是指,所述参考评估信息指示的流量大小、本地地址及访问信息中的至少一种为非正常情况。
在一个实施例中,基于所述参考评估信息与预定条件之间的关系,确定预定业务的当前行为数据是否异常。其中,所述预定条件基于业务安全分析模型中的预定参数确定;所述预定参数包括以下至少之一:预定业务的常用访问时间、常用传输协议及常用访问流量的大小。如此,能够基于预定业务的历史行为数据建立业务安全分析模型,通过所述业务安全分析模型与预定业务当前的业务特征信息,检测预定业务的当前数据是否异常,检测的依据可靠性强,检测异常的准确性高。
在一个实施例中,基于预定周期,周期性地检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作。
在一个实施例中,所述预定周期基于网络环境检测到的历史异常业务数量确定。
在一个实施例中,若所述历史异常业务数量大于第一预定值,所述预定周期小于第一值;或者,若所述历史异常数量小于第二预定值,所述预定周期大于第二值。
在一个实施例中,所述预定周期基于网络环境中检测到的攻击行为数据确定。示例性地,所述预定周期的大小与所述攻击行为数据指示的攻击频率反相关。
在一个实施例中,在设置的预定时段内,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作。
在一个实施例中,所述设置的预定时段,可以基于所述预定业务被执行的频率确定。例如,取所述频率大于预设值的时段作为预定时段,在所述预定时段内,检测预定业务的业务特征信息。
在一个实施例中,所述设置的预定时段,可以基于网络环境风险与时段只见的映射关系确定。例如,在晚上十一点至早上七点之内,网络环境风险高,易遭受网络攻击,此时,取晚上十一点至早上七点作为预定时段。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息。其中,所述业务特征信息包括以下至少之一:所述预定业务的流量信息;所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
具体地,所述预定业务可以为终端从服务器下载数据的业务,所述预定业务的流量信息可以为单位时间内下载数据的数据大小。例如,所述预定业务的流量信息可以为为1s内下载数据的数据大小。和/或,所述预定业务的访问信息可以为终端进行所述业务时访问的服务器地址、访问服务器的协议、与服务器传输数据的协议以及访问服务器的时间戳。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息。其中,所述业务特征信息包括所述预定业务的流量信息;所述流量信息包括以下至少之一:传输数据的个数、包含的字节数、总比特数、传输数据之间的间隔时间及传输数据的总体传输时间。
示例性地,所述传输数据通过信息帧的方式进行传输,所述流量信息包括以下至少之一:信息帧的个数、帧长、帧总比特数、信息帧之间的间隔时间及信息帧的总体传输时间。或者,所述传输数据通过数据包的方式进行传输,所述流量信息包括以下至少之一:数据包的个数、包长、包总比特数、数据包之间的间隔时间及数据包的总体传输时间。
在一个实施例中,所述传输数据还可以通过数据报、段、消息、元素和数据单元的方式进行传输。
在一个实施例中,检测预定业务的业务特征信息,包括:
检测预定次数的预定业务的流量信息;基于所述流量信息的平均值,确定预定业务的业务特征信息。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;其中,所述流量包括所述预定业务的上行流量和下行流量中的至少一种;若所述上行流量或所述下行流量符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;所述确定的预定业务的参考评估信息指示流量的大小、本地地址及访问信息;若所述流量的大小、本地地址及访问信息中的一种符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作。
示例性地,所述预定业务为终端从服务器下载数据的业务。若所述预定业务的参考评估信息指示终端的本地地址为境外地址;所述境外地址为非正常地址,符合预定条件,接收预定操作。和/或,若所述参考评估信息指示终端在单位时间内从服务器下载的数据总比特数在常用流量值范围外,符合预定条件,接收预定操作。和/或,在终端单向向服务器发送请求并获取数据的应用中,若所述参考评估信息指示服务器访问终端,而非终端访问服务器,接收预定操作。
如此,当预定业务的参考评估信息符合预定条件时,响应于所述预定业务的异常业务行为,接收预定操作。这里,接收预定操作的针对性强。
在一个实施例中,检测预定业务的参考评估信息业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;其中,所述预定条件基于业务安全分析模型中的基线确定;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;所述预定参数包括确定所述基线的参数。
在一个实施例中,建立的业务安全分析模型通过训练业务的历史业务特征信息,预先确定一条基线;所述基线记录了访问的地址、端口、时间段、地点、协议及流量大小的标准。
在一个实施例中,所述基线记录了业务系统内目标对象的访问信息,所述访问信息包括以下至少之一:访问地址、访问时间、传输协议及访问流量。所述目标对象为所述业务系统内实施业务的实体对象,例如,在电视监控业务系统内,所述目标对象可以为摄像机或服务器。所述目标对象的访问信息可以是常用访问时间、常用传输协议及常用访问流量的大小。
在一个实施例中,若确定的预定业务的参考评估信息符合预定条件,接收预定操作;其中,所述预定条件基于基线记录的标准值确定。例如,所述预定条件可以为:参考评估信息指示的业务数据,超出基于所述标准值确定的范围;所述范围的端值可以是分别与所述标准值相差预定数的值。
示例性地,若所述参考评估信息指示的所述预定业务的流量大小符合预定条件,接收预定操作;其中,所述预定条件指示所述预定业务的流量大小超出在预定范围内,所述预定范围为基于基线记录的流量标准值确定的范围。
在一个实施例中,检测预定业务的参考评估信息业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息指示的预定业务的流量大小、访问的地址、端口、时间段、地点及协议中的一种或多种符合预定条件,接收预定操作;其中,所述预定条件基于业务安全分析模型中的基线确定;所述基线记录了访问的地址、端口、时间段、地点、协议及流量大小的标准;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;所述预定参数包括确定所述预定条件的参数。
示例性地,在电视监控业务系统中,基线记录的摄像机的常用上行流量为3Mbps,所述摄像机按3Mbps的码率将图像传输至存储设备;基线记录的摄像机的常用下行流量为预设值,其中,所述下行流量包括摄像机调看命令或者控制执行命令的流量。若基于业务安全分析模型确定的所述摄像机的上行流量或下行流量发生突变,接受预定操作。
示例性地,在电视监控业务系统中,基线记录了摄像机的常用访问地址及访问时间,若基于业务安全分析模型确定的所述摄像机的流量的访问地址为非常用访问地址,接收预定操作;或者,若基于业务安全分析模型确定的所述摄像机的流量的访问时间为非常用访问时间,接收预定操作。
在一个实施例中,若预定业务的参考评估信息符合预定条件,接收预定操作;基于接收到的预定操作,确定针对业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;其中,所述预定参数包括以下至少之一:业务安全分析模型的基线记录的流量大小、访问的地址、端口、时间段、地点及协议;所述预定参数包括确定所述预定条件的参数。
具体地,基于接收到的预定操作,确定针对业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新或者不更新所述业务安全分析模型的基线记录的流量大小、访问的地址、端口、时间段、地点及协议。
例如,在电视监控业务系统中,若基于业务安全分析模型确定的所述摄像机的流量的访问时间为非常用访问时间,接收预定操作;基于所述预定操作,确定更新所述业务安全分析模型的基线记录的数据,包括:记录所述非常用访问时间,此时,预定条件基于记录的所述非常用访问时间确定。需要说明的是,更新后的基线中记录了所述非常用访问时间,在下一次业务安全分析模型对预定业务进行检测的过程中,将上一次记录的所述非常用访问时间视作常用访问时间。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;其中,所述预定操作可以是作用于显示控件上的一个操作,或者,所述预定操作可以是作用于多个显示控件上的多个操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作。
在一个实施例中,所述预定操作还可以是用于对所述预定业务的流量大小进行限制的控制操作。
在一个实施例中,若所述预定操作为对所述预定业务的流量大小进行限制的控制操作,不更新业务安全分析模型中的预定参数。这里,所述预定操作隐含证明所述参考评估信息符合预定条件的判断正确,无需更新业务安全分析模型中能够确定所述预定条件的预定参数。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,确定所述参考评估信息指示的异常数据;基于所述异常数据的类型与告警规则之间的映射关系,生成告警信息;接收针对于所述告警信息进行的预定操作;其中,所述告警信息为确定所述参考评估信息符合预定条件时输出的预警信息;所述预定操作包括:确认所述告警信息或忽略所述告警信息;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中所述预定参数包括确定所述预定条件的参数。
在一个实施例中,根据接收到的预定操作,确定针对业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;若所述预定操作为确认所述告警信息,不更新所述预定参数;生成告警日志;所述告警日志包括所述确认的告警信息。
在一个实施例中,设置预定集合;添加预定业务的订阅对象到所述预定集合中;其中,所述预定集合用于使所述预定业务的订阅对象不被告警。如此,通过设置预定集合,避免对添加在预定集合里的订阅对象重复告警。
在一个实施例中,检测预定业务的参考评估信息业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若预定操作包括第一操作,添加预定业务的订阅对象到所述预定集合中;或者,若预定操作包括第一操作且所述预定业务出现频率大于预定值,添加预定业务的订阅对象到所述预定集合中;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;所述第二操作为用户不忽略所述参考信息符合预定条件的操作。和/或,若预定操作为第二操作,不添加预定业务的订阅对象到预定集合中。
如此,若预定业务出现的频率大于预定值,说明预定业务被执行的次数多。此时,预定操作包括第一操作,说明被执行的预定业务的异常行为为可以被接受的业务行为,将所述预定业务的订阅对象添加到预定集合中,避免对所述被接受的业务行为进行重复告警。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作为所述第一操作,不更新业务安全分析模型中的预定参数;或者,若所述预定操作为所述第二操作,更新业务安全分析模型中的预定参数。
本公开实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。这里,正是在业务的参考评估信息符合所述预定参数确定的预定条件的情况下,接收预定操作并基于所述预定操作确定是否更新所述业务安全分析模型中的所述预定参数。如此,针对所述业务安全分析模型中的预定参数的处理操作可以适应于所述预定业务的参考评估信息变化和所述接收到的预定操作。相较于通过固定的安全规则库对网络进行防护的方式,本公开实施例中通过业务安全分析模型对预定业务的参考评估信息进行实时监测,并基于接收到的预定操作适应性调整所述业务安全分析模型,识别网络风险的精度高,防护性强且对网络环境的适应性强。
本公开实施例提供了一种业务传输的控制方法,其中,所述业务特征信息(如图1步骤12所示),包括以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
具体地,所述预定业务的参考评估信息信息可以为单位时间内传输的信息的大小。
具体地,所述访问地址可以包括预定业务进行流量传输的起始地址及目标地址。所述采用的协议可以为以下至少之一:MODBUS、IEC104及传输控制协议/因特网互联协议(TCP/IP,Transmission Control Protocol/Internet Protocol)。所述时间戳能够以下至少之一:进行流量传输的起始时间及流量传输的结束时间。
如图2所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
步骤21,预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
在一个实施例中,基于目标对象在预定时间内的业务行为,预先建立业务安全分析模型;其中,所述目标对象可以是特定的用户、程序、软件或者系统。
在一个实施例中,基于目标对象在预定时间内的业务行为,预先建立业务安全分析模型,包括:通过用户和实体行为分析(UEBA,user and entity behavior analytics),建立业务安全分析模型;所述行为分析是指对预定业务执行的业务行为数据进行训练;建立好的所述业务安全分析模型用于检测:在所述目标对象进行预定业务时,是否存在业务行为异常情况。
在一个实施例中,UEBA在行为建模的过程中会应用机器学习算法训练各类数据,如通过强化学习/半监督机器学习完成所述业务安全分析模型的建模。这里,所述强化学习/半监督机器学习是一种混合模型学习,其基础是无监督学习,能够将实际警报的解决反馈到系统中,以允许模型的微调并降低信噪比。
在一个实施例中,基于对目标对象进行业务行为分析,训练业务安全分析模型的基线;其中,所述业务安全分析模型的基线访问的地址、端口、时间段、地点及协议;所述基线用于检测以下至少之一:是否存在预定业务在非常用时间进行传输的业务行为、是否存在预定业务通过风险协议进行传输的业务行为及是否存在预定业务的传输数据大小超出预定范围的业务行为;响应于基线检测到的异常业务行为,接收针对于所述基线的处理操作;所述操作包括:更新确定所述基线的参数及不更新确定所述基线的参数。具体地,所述风险协议可以包括:远程显示(RDP,Remote Display Protocol)、文件传输协议(FTP,FileTransfer Protocol)、简单邮件传输协议(SMTP,Simple Mail Transfer Protocol)及Telnet协议等。
如此,可以通过更新所述业务安全分析模型中的预定参数,完成业务安全分析模型的自学习,使所述业务安全分析模型适应于网络环境中的业务特征信息变化,对预定业务的安全分析灵活性高。
如图3所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
步骤31,若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作;
和/或,若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合所述预定条件的操作。
在一个实施例中,检测预定业务的参考评估信息业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作为第一操作,更新业务安全分析模型的预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作。
在一个实施例中,若所述预定操作包括第一操作和第三操作,更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,若所述预定操作为第一操作且检测的所述第一操作发生的频率大于预定值,基于所述第一操作发生的频率,更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作。需要说明的是,这里,所述第一操作发生的频率,是指用户忽略相似的所述参考评估信息符合所述预定条件的操作发生的频率。所述相似的参考评估信息可以是指示相同预定业务的在相同应用场景下的不同类型的业务行为。例如,所述第一操作发生的频率,是指用户忽略终端从服务器下载数据的流量在所述预定条件外的操作发生的频率;其中,所述终端从服务器下载数据可以是下载图片、下载软件或下载数据包。这些下载行为,都应视为相似的业务行为。
在一个实施例中,若预定业务的参考评估信息符合预定条件,接收预定操作;若所述预定操作为第一操作,记录所述预定业务的业务特征信息;其中,所述第一操作为用户忽略所述所述参考评估信息符合所述预定条件的操作;若检测到的所述预定业务的业务特征信息的频率大于预定值,基于检测到所述业务特征信息的频率,更新所述预定参数。
在一些实施例中,若所述频率大于预设值,更新所述预定参数;或者,若所述频率不大于所述预设值,不更新所述预定参数。
在一些实施例中,所述用户忽略所述参考评估信息符合所述预定条件的操作可以为用户否认告警信息的操作;其中,所述告警信息用于对参考评估信息符合预定条件的预定业务进行预警。或者,所述用户忽略所述参考评估信息符合所述预定条件的操作,可以为用户确认所述预定业务的业务特征信息为待训练特征信息的操作;所述待训练特征信息是指用于所述业务安全分析模型进一步进行训练的流量。也就是说,所述待训练特征信息用于动态调整业务安全分析模型,从而使所述业务安全分析模型在之后的监测过程中,基于预定业务的相似业务特征信息确定的参考评估信息,能够符合预定条件。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作为第二操作,不更新业务安全分析模型的预定参数;其中,所述第二操作为用户不忽略所述参考评估信息符合所述预定条件的操作。
在一些实施例中,所述用户不忽略所述参考评估信息符合所述预定条件的操作可以为用户确认告警信息的操作;其中,所述告警信息用于对参考评估信息符合预定条件的预定业务进行预警。或者,所述用户不忽略所述参考评估信息符合所述预定条件的操作可以为用户否认所述预定业务的业务特征信息为待训练特征信息的操作;所述待训练流量是指用于所述业务安全分析模型进一步进行训练的流量。这里,若用户认为参考评估信息符合预定条件的所述预定业务为监测到的异常业务,则指示业务安全分析模型的监测结果正确,无需进一步调整所述业务安全分析模型,不更新所述业务安全分析模型的预定参数。
如图4所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;和/或,若所述预定操作包括所述第一操作和第四操作,不更新所述预定参数,其中,所述第四操作为将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作包括第一操作和第三操作,不更新业务安全分析模型的预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务进行告警;所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作。
示例性地,若所述预定操作包括用户忽略所述参考评估信息符合所述预定条件的操作及将预定业务的订阅对象添加至预定集合的操作,更新告警规则且不更新业务安全分析模型的预定参数;其中,所述预定参数包括:确定所述预定条件的参数;所述订阅对象指示参考评估信息符合预定条件的业务对象。这里,业务安全分析模型检测到所述预定业务的相似业务特征信息时时,由于确定预定条件的参数没有改变,依旧将下一次检测到的参考评估信息符合预定条件的所述预定业务的业务行为确定为异常业务行为。但基于更新后所述告警规则,不对所述预定业务的异常业务行为进行告警。
在一些实施例中,所述预定业务的订阅对象包括但不限于确定的预定业务的业务行为对象,也可以是所述业务行为指示的上位定义。例如,所述预定业务为检测终端从服务器下载数据。在一次检测过程中,终端从服务器下载图片的业务行为的参考评估信息符合预定条件,若接收第一操作及第三操作,将所述终端从服务器下载数据的订阅对象添加到预定集合中。所述订阅对象可以是终端下载图片的业务行为,也可以是所述终端下载视频、程序、软件及文件等的业务行为;或者,所述订阅对象可以包括所述终端传输视频、程序、软件及文件等的业务行为,其中,所述传输的业务行为包括下载、上传数据及调用服务器的控制命令等。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作包括第一操作和第三操作,基于所述预定集合,更新告警规则并更新业务安全分析模型中的预定参数;所述预定参数包括确定所述预定条件的参数;更新后的所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务进行告警。
需要说明的是,本公开实施例中,对所述预定业务进行告警,实质上是对预定业务的异常业务行为进行告警。所述预定业务的订阅对象,可以指示预定业务的异常行为类型。
在一个实施例中,若不将预定业务的订阅对象添加至预定集合,系统进行记录,根据所述订阅对象出现的频率确定是否调整业务模型。或者,即使将预定业务的订阅对象添加至预定集合,基于所述预定业务的订阅对象出现的频率确定是否更新业务安全分析模型中的预定参数。
在一个实施例中,若所述订阅对象出现的频率大于预定值,更新所述业务安全分析模型中的预定参数;或者,若所述订阅对象出现的频率小于预定值,不更新所述业务安全分析模型中的预定参数。
在一个实施例中,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,接收预定操作;若所述预定操作包括所述第一操作和第四操作,不更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
如图5所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
步骤51,若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合所述预定条件时符合输出的预警信息。
在一个实施例中,若不更新所述预定参数,输出确认后的告警信息到预定文件中,所述预定文件可以视为告警日志;所述预定文件可以是分别与各个业务类型相对应的多个文件;或者,所述预定文件可以用于存储所有告警信息的一个文件。
如图6所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
步骤61,若所述预定操作包括第一操作和第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务进行告警。
这里,所述第一操作为用户忽略所述参考评估信息符合所述预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务进行告警,包括:
针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的预定业务,基于所述告警规则与所述预定业务的异常业务行为类型之间的映射关系,确定告警信息;其中,所述告警信息可以通过图片、文字及文本框形式显示在预定显示界面上;或者,所述告警信息可以通过语音及震动等形式对所述预定业务的异常业务行为进行告警。
在一个实施例中,运维人员手动对告警进行确认与否认的操作。若经核实预定业务的业务行为正常,则手动否认告警。此时,若手动否认告警且所述预定业务的异常业务行为属于后续经常会出现的场景,则选择将所述业务行为添加到预定集合中,后续出现同样的情况不再产生告警。
为了更好的对本公开中的技术方案进行描述,如图7所示,本公开实施例提供了一种业务传输的控制方法,所述方法包括:
步骤71,采集目标对象的业务特征信息;所述业务特征信息包括以下至少之一:流量信息及日志信息;
步骤72,对目标对象的业务特征信息进行UEBA流量行为分析,建立业务安全分析模型;
步骤73,建立预定集合;其中,所述预定集合用于添加被选定的异常业务行为;设置告警规则;其中,所述告警规则用于对未被选定的异常业务行为进行告警;
步骤74,检测预定业务的业务特征信息;基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;若所述参考评估信息符合预定条件,确定所述预定业务的业务行为为异常业务行为;
步骤75,基于告警规则对异常业务行为进行告警;
步骤76,接收预定操作;其中,所述预定操作为第一操作或第二操作;所述第一操作为手动确认所述异常业务行为为待训练业务行为的操作;所述第二操作为确认所述告警的操作;
步骤77,若所述预定操作为第二操作,确认所述告警;生成告警日志。
步骤78,若所述预定操作为第一操作,确定是否选定被确定为待训练业务行为的所述异常业务行为;若是,执行步骤79;若否,执行步骤710。
步骤79,若选定所述异常业务行为,将选定的所述异常业务行为添加到预定集合中,并调整告警规则;其中,调整后的所述告警规则用于对未被添加到预定集合中的异常业务行为进行告警;执行步骤74,继续检测预定业务的业务特征信息。
步骤710,若未选定所述异常业务行为,不将所述异常业务行为添加到预定集合中;基于所述异常业务行为出现的频率,调整业务安全分析模型的预定参数;所述预定参数包括确定所述预定条件的参数;执行步骤74,继续检测预定业务的业务特征信息。
如图8所示,本公开实施例提供了一种业务传输的控制装置,所述装置包括:
检测模块81,用于检测预定业务的业务特征信息;
确定模块82,用于:基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
处理模块83,用于:若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数
在一个实施例中,所述检测模块81,用于检测以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
在一个实施例中,所述装置包括:
建模模块84,用于预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
在一个实施例中,所述处理模块83用于:
若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;
和/或,
若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合预定条件的操作。
在一个实施例中,所述处理模块83,用于:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;
和/或,
若所述预定操作包括所述第一操作和第四操作,更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
在一个实施例中,所述装置,还包括:
输出模块,用于:若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合预定条件时预定条件输出的预警信息。
在一个实施例中,所述处理模块83还用于:
若所述预定操作包括第一操作和第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的的业务进行告警;所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作。
本公开实施例提供了一种处理设备,所述处理设备包括:
存储器,用于存储可执行程序;
处理器,用于执行所述存储器中存储的可执行程序时,实现如本公开实施例中任一所述的方法。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
其中,本发明揭示的业务传输的控制方法可以应用于所述处理器中,或者由所述处理器实现。处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,业务传输的控制方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP,Digital SignalProcessor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本发明中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成本申请实施例提供的业务传输的控制方法的步骤。
本发明还提供了一种计算机存储介质,所述计算机存储介质存储有可执行程序,所述可执行程序被处理器执行时,实现如本公开实施例中任一所述的业务传输的控制方法。具体可以是计算机可读存储介质,例如包括存储计算机程序的存储器,上述计算机程序可由处理设备的处理器执行,以完成本申请实施例方法所述的步骤。计算机可读存储介质可以是ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (16)
1.一种业务传输的控制方法,其特征在于,所述方法包括:
检测预定业务的业务特征信息;
基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
若所述参考评估信息符合预定条件,接收预定操作;
根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。
2.根据权利要求1所述的方法,其特征在于,所述业务特征信息,包括以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
3.根据权利要求1所述的方法,其特征在于,所述方法包括:
预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
4.根据权利要求1所述的方法,其特征在于,所述根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作,包括:
若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;
和/或,
若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合预定条件的操作。
5.根据权利要求1所述的方法,其特征在于,所述根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作,包括:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;
和/或,
若所述预定操作包括所述第一操作和第四操作,更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
6.根据权利要求4或5任一所述的方法,其特征在于,所述方法还包括:
若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合预定条件时输出的预警信息。
7.根据权利要求5的方法,其特征在于,所述方法还包括:
若所述预定操作包括所述第一操作和所述第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的的预定业务进行告警。
8.一种业务传输的控制装置,其特征在于,所述装置包括:
检测模块,用于检测预定业务的特征信息;
确定模块,用于:基于所述业务特征信息和建立的业务安全分析模型,确定所述预定业务的参考评估信息;
处理模块,用于:若所述参考评估信息符合预定条件,接收预定操作;根据所述预定操作,确定针对所述业务安全分析模型中预定参数的处理操作;其中,所述处理操作包括:更新所述预定参数或者不更新所述预定参数;所述预定参数包括确定所述预定条件的参数。
9.根据权利要求8所述的装置,其特征在于,所述检测模块,用于检测以下至少之一:
所述预定业务的流量信息;
所述预定业务的访问信息,其中,所述访问信包括以下至少之一:所述预定业务的访问地址、采用的协议和时间戳。
10.根据权利要求8所述的装置,其特征在于,所述装置包括:
建模模块,用于预先建立所述业务安全分析模型;其中,所述业务安全分析模型用于监测所述预定业务的业务行为是否异常。
11.根据权利要求8所述的装置,其特征在于,所述处理模块用于:
若所述预定操作为第一操作,更新所述预定参数,其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作;
和/或,
若所述预定操作为第二操作,不更新所述预定参数,其中,所述第二操作为用户不忽略所述参考评估信息符合预定条件的操作。
12.根据权利要求8所述的装置,其特征在于,所述处理模块,用于:
若所述预定操作包括第一操作和第三操作,不更新所述预定参数;其中,所述第一操作为用户忽略所述参考评估信息符合预定条件的操作,所述第三操作为将所述预定业务的订阅对象添加至预定集合的操作;
和/或,
若所述预定操作包括所述第一操作和第四操作,更新所述预定参数,其中,所述第四操作为不将所述预定业务的订阅对象添加至预定集合的操作。
13.根据权利要求11或12任一所述的装置,其特征在于,所述装置,还包括:
输出模块,用于:若不更新所述预定参数,输出确认后的告警信息,其中,所述告警信息为确定所述参考评估信息符合预定条件时输出的预警信息。
14.根据权利要求12的装置,其特征在于,所述处理模块还用于:
若所述预定操作包括所述第一操作和所述第三操作,基于所述预定集合,更新告警规则;其中,所述告警规则用于针对参考评估信息符合预定条件且订阅对象不属于所述预定集合的的预定业务进行告警。
15.一种处理设备,其特征在于,所述处理设备包括:
存储器,用于存储可执行程序;
处理器,用于执行所述存储器中存储的可执行程序时,实现如权利要求1至7任一所述的方法。
16.一种计算机存储介质,其特征在于,所述计算机存储介质存储有可执行程序,所述可执行程序被处理器执行时,实现如权利要求1至7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193703.5A CN114615034B (zh) | 2022-03-01 | 2022-03-01 | 业务传输的控制方法、装置、处理设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210193703.5A CN114615034B (zh) | 2022-03-01 | 2022-03-01 | 业务传输的控制方法、装置、处理设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114615034A true CN114615034A (zh) | 2022-06-10 |
| CN114615034B CN114615034B (zh) | 2023-09-29 |
Family
ID=81859425
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210193703.5A Active CN114615034B (zh) | 2022-03-01 | 2022-03-01 | 业务传输的控制方法、装置、处理设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114615034B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100121916A1 (en) * | 2008-11-12 | 2010-05-13 | Lin Yeejang James | Method for adaptively building a baseline behavior model |
| US9661023B1 (en) * | 2013-07-12 | 2017-05-23 | Symantec Corporation | Systems and methods for automatic endpoint protection and policy management |
| CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
| CN108306846A (zh) * | 2017-01-13 | 2018-07-20 | 中国移动通信集团公司 | 一种网络访问异常检测方法及系统 |
| CN108737333A (zh) * | 2017-04-17 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种数据检测方法以及装置 |
| CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
| US20190156342A1 (en) * | 2016-07-22 | 2019-05-23 | Alibaba Group Holding Limited | Method and device for controlling service operation risk |
| CN110021150A (zh) * | 2019-03-27 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| CN111143102A (zh) * | 2019-12-13 | 2020-05-12 | 东软集团股份有限公司 | 异常数据检测方法、装置、存储介质及电子设备 |
| CN112436968A (zh) * | 2020-11-23 | 2021-03-02 | 恒安嘉新(北京)科技股份公司 | 一种网络流量的监测方法、装置、设备及存储介质 |
-
2022
- 2022-03-01 CN CN202210193703.5A patent/CN114615034B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100121916A1 (en) * | 2008-11-12 | 2010-05-13 | Lin Yeejang James | Method for adaptively building a baseline behavior model |
| US9661023B1 (en) * | 2013-07-12 | 2017-05-23 | Symantec Corporation | Systems and methods for automatic endpoint protection and policy management |
| US20190156342A1 (en) * | 2016-07-22 | 2019-05-23 | Alibaba Group Holding Limited | Method and device for controlling service operation risk |
| CN108306846A (zh) * | 2017-01-13 | 2018-07-20 | 中国移动通信集团公司 | 一种网络访问异常检测方法及系统 |
| CN108737333A (zh) * | 2017-04-17 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种数据检测方法以及装置 |
| CN106992994A (zh) * | 2017-05-24 | 2017-07-28 | 腾讯科技(深圳)有限公司 | 一种云服务的自动化监控方法和系统 |
| CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
| CN110021150A (zh) * | 2019-03-27 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置及设备 |
| CN111143102A (zh) * | 2019-12-13 | 2020-05-12 | 东软集团股份有限公司 | 异常数据检测方法、装置、存储介质及电子设备 |
| CN112436968A (zh) * | 2020-11-23 | 2021-03-02 | 恒安嘉新(北京)科技股份公司 | 一种网络流量的监测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114615034B (zh) | 2023-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
| CN109861985B (zh) | 基于风险等级划分的ip风控方法、装置、设备和存储介质 | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| CN110636075A (zh) | 一种运维管控、运维分析方法及装置 | |
| KR20160008267A (ko) | 네트워크 기반 영상감시체계에서의 사용자 행위 분석 시스템 | |
| US9485222B2 (en) | Data stream traffic control | |
| CN108055455B (zh) | 家庭监控的隐私保护方法、装置及计算机可读存储介质 | |
| US20120078864A1 (en) | Electronic data integrity protection device and method and data monitoring system | |
| CN110134700B (zh) | 数据上链方法、装置、计算机设备和存储介质 | |
| WO2020042856A1 (zh) | 安全审计系统及方法 | |
| CN110956722A (zh) | 一种智能锁异常报警的方法、设备、存储介质 | |
| CN113676490A (zh) | 一种哑终端安全检测方法、装置、设备及可读存储介质 | |
| US11316930B2 (en) | Connection control method and device | |
| CN114615034B (zh) | 业务传输的控制方法、装置、处理设备及存储介质 | |
| JP2000032437A (ja) | 画像伝送システム | |
| CN117134979A (zh) | 一种数据通信方法、装置、设备及介质 | |
| US11044277B2 (en) | System and method for identifying imaging devices | |
| CN112839049B (zh) | Web应用防火墙防护方法、装置、存储介质及电子设备 | |
| CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
| CN112615813B (zh) | kubernetes集群应用的防护方法和系统 | |
| CN110769065A (zh) | 一种远程管理方法、系统、终端设备及服务器 | |
| US11922699B1 (en) | Time-controlled access of third-party content associated with monitoring of premises | |
| CN115952025B (zh) | 一种数据管控方法、系统、终端设备及存储介质 | |
| CN114615403B (zh) | 一种办公室摄像头视频文件的访问方法、装置和系统 | |
| CN111131814A (zh) | 一种数据反馈方法、装置及机顶盒 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |