CN114615036A - 异常行为检测方法、装置、设备和存储介质 - Google Patents

异常行为检测方法、装置、设备和存储介质 Download PDF

Info

Publication number
CN114615036A
CN114615036A CN202210195796.5A CN202210195796A CN114615036A CN 114615036 A CN114615036 A CN 114615036A CN 202210195796 A CN202210195796 A CN 202210195796A CN 114615036 A CN114615036 A CN 114615036A
Authority
CN
China
Prior art keywords
behavior
baseline
data
node
behavior safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210195796.5A
Other languages
English (en)
Inventor
覃永靖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Original Assignee
Qianxin Technology Group Co Ltd
Secworld Information Technology Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qianxin Technology Group Co Ltd, Secworld Information Technology Beijing Co Ltd filed Critical Qianxin Technology Group Co Ltd
Priority to CN202210195796.5A priority Critical patent/CN114615036A/zh
Publication of CN114615036A publication Critical patent/CN114615036A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Alarm Systems (AREA)

Abstract

本发明实施例提供一种异常行为检测方法、装置、设备和存储介质,该方法包括:获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;根据目标行为安全基线对输入的行为数据进行异常行为检测。本发明实施例的方法有效地实现了异常行为的检测。

Description

异常行为检测方法、装置、设备和存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常行为检测方法、装置、设备和存储介质。
背景技术
近年来,随着互联网技术的飞速发展以及网络设备的智能化,网络安全已经成为信息保护,数据存储和使用的关键。网络用户行为对网络安全有着重要影响,用户异常行为引发的种种网络问题也变得比以往任何时刻都更加的突出。
相关技术中,用户行为的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以较好的应对已知攻击行为,但是对未知和新的攻击行为则不能有效的检测,无法适应当前严峻的网络安全态势。
发明内容
针对现有技术中的问题,本发明实施例提供一种异常行为检测方法、装置、设备和存储介质。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种异常行为检测方法,包括:
获取至少一个第一行为安全基线的基线状态和生效时间范围;
根据所述至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
根据所述目标行为安全基线对输入的行为数据进行异常行为检测。
进一步地,获取行为安全基线的编辑数据,所述编辑数据包括:行为安全基线的信息和操作方式;
根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果;
根据所述处理结果对所述至少一个第一行为安全基线的基线状态和生效时间范围,进行更新。
进一步地,若所述操作方式为更新操作,所述行为安全基线的信息包括:待更新的第一行为安全基线的标识和第二行为安全基线的数据,所述根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果,包括:
根据所述待更新的第一行为安全基线的标识,确定待更新的第一行为安全基线,并将所述待更新的第一行为安全基线更新为所述第二行为安全基线。
进一步地,若所述操作方式为删除操作,所述行为安全基线的信息包括:待删除的第一行为安全基线的标识,所述根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果,包括:
根据所述待删除的第一行为安全基线的标识,确定待删除的第一行为安全基线,并删除所述待删除的第一行为安全基线。
进一步地,若所述操作方式为更新操作,所述将所述待更新的第一行为安全基线更新为所述第二行为安全基线,包括:
将所述第二行为安全基线的数据进行反序列化处理,得到所述第二行为安全基线;
将所述待更新的第一行为安全基线更新为所述第二行为安全基线。
进一步地,所述方法还包括:
获取第二行为数据;
对所述第二行为数据基于第一节点进行第二目标处理,所述第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点;
其中,所述数据解析节点用于基于预先配置的第一格式参数对所述第二行为数据进行解析和校验;
所述数据时间生成节点用于对前一节点输出的行为数据设置时间;
所述数据过滤节点用于基于预先配置的过滤条件对前一节点输出的行为数据进行过滤处理;
所述时间窗口管理节点用于根据前一节点输出的行为数据确定至少一个时间窗口,并确定各个所述时间窗口对应的第三行为数据;
所述数据降噪节点用于对前一节点输出的行为数据进行降噪处理;
所述基线生成节点用于基于前一节点输出的行为数据生成行为安全基线。
进一步地,所述方法还包括:
获取第二节点的状态信息并对所述第二节点的状态进行监控;所述第二节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点、基线管理节点、基线检测节点;
所述基线管理节点用于对第一行为安全基线的基线状态、生效时间范围和基线生成过程进行管理;
所述基线检测节点用于对输入的第一行为数据进行异常行为检测。
进一步地,获取行为安全基线的编辑数据之后,还包括:
基于预先配置的第二格式参数对所述行为安全基线的编辑数据进行解析和校验;
若解析和校验成功,则将解析后的编辑数据发送到编辑数据路由节点,所述编辑数据路由节点用于确定所述编辑数据所对应的基线管理节点。
进一步地,所述方法还包括:
存储处理过程中产生的中间数据,所述中间数据包括以下至少一项:时间窗口管理节点生成的当前活跃时间窗口集、时间窗口对应的行为数据集、数据降噪节点进行降噪的行为数据集、基线生成节点当前正在生成的行为安全基线、基线管理节点中生成的当前基线状态。
第二方面,本发明实施例还提供了一种异常行为检测装置,包括:
获取模块,用于获取至少一个第一行为安全基线的基线状态和生效时间范围;
处理模块,用于根据所述至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
检测模块,用于根据所述目标行为安全基线对输入的行为数据进行异常行为检测。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述异常行为检测方法。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述异常行为检测方法。
第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如第一方面所述异常行为检测方法。
本发明实施例提供的异常行为检测方法、装置、设备和存储介质,通过获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;也就是当存在多个行为安全基线,且需要使用行为安全基线进行异常行为的分析和检测时,根据各个行为基线的状态和生效时间范围,就可以从多个行为安全基线中准确地确定出当前生效的行为安全基线,也就是从多个行为安全基线中准确地确定出目标行为安全基线;进而基于从多个行为安全基线中确定出的当前生效的行为安全基线,就可以对输入的用户行为数据进行检测。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的异常行为检测方法的流程示意图;
图2是本发明实施例提供的行为安全基线编辑数据处理的流程示意图;
图3是本发明实施例提供的行为数据处理的流程示意图;
图4是本发明实施例提供的行为安全基线处理的流程示意图;
图5是本发明实施例提供的节点运行状态监控的实施框架图;
图6是本发明实施例提供的中间数据存储的实施框架图;
图7是本发明实施例提供的一种异常行为检测方法的实施框架图;
图8是本发明实施例提供的异常行为检测装置的结构示意图;
图9是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例的方法可以应用于异常行为检测场景中,有效地实现异常行为的检测。
相关技术中,用户行为的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以较好的应对已知攻击行为,但是对未知和新的攻击行为则不能有效的检测,无法适应当前严峻的网络安全态势。
本发明实施例的异常行为检测方法,通过获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;也就是当存在多个行为安全基线,且需要使用行为安全基线进行异常行为的分析和检测时,根据各个行为基线的状态和生效时间范围,就可以从多个行为安全基线中准确地确定出当前生效的行为安全基线,也就是从多个行为安全基线中准确地确定出目标行为安全基线;进而基于从多个行为安全基线中确定出的当前生效的行为安全基线,就可以对输入的用户行为数据进行检测。
下面结合图1-图9以具体的实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1是本发明实施例提供的异常行为检测方法一实施例的流程示意图。如图1所示,本实施例提供的方法,包括:
步骤101、获取至少一个第一行为安全基线的基线状态和生效时间范围;
具体的,行为安全基线表示某个或某些用户在预设时间范围内至少一个时间段内发生的至少一种用户行为中各用户行为的行为数据。行为安全基线的基线状态和生效时间范围决定了如何使用行为安全基线;可选地,行为安全基线的基线状态包括以下至少一项:激活状态、初始状态、等待开始状态和等待结束状态;行为安全基线生效时间范围根据行为安全基线生效的开始时间和行为安全基线生效的结束时间确定。
例如,获取2个第一行为安全基线,分别为第一行为安全基线A和第一行为安全基线B;其中,第一行为安全基线A的基线状态为激活状态,生效时间范围为1月1日至1月5日;第一行为安全基线B的基线状态为等待开始状态,生效时间范围是1月7日至1月8日。
步骤102、根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
具体的,当存在多个行为安全基线时,若需要使用行为安全基线进行安全分析和异常检测时,需要从多个行为安全基线中确定出目标行为安全基线,也就是需要从多个行为安全基线中获取当前生效的行为安全基线,用于异常行为的检测。
例如,获取3个第一行为安全基线,分别为第一行为安全基线A和第一行为安全基线B;其中,第一行为安全基线A的基线状态为激活状态,生效时间范围为1月1日至1月5日;第一行为安全基线B的基线状态为初始状态,生效时间范围为1月1日至1月5日;第一行为安全基线C的基线状态为等待开始状态,生效时间范围是1月7日至1月8日。当需要分析和检测1月2日的用户行为数据是否存在异常时,基于第一行为安全基线A、第一行为安全基线B和第一行为安全基线C的基线状态和生效时间范围,就可以确定将第一行为安全基线A作为目标行为安全基线,用于异常行为检测。
步骤103、根据目标行为安全基线对输入的行为数据进行异常行为检测。
具体的,根据行为安全基线的状态和生效时间,从多个行为安全基线中确定出目标行为安全基线后,就可以通过目标行为安全基线对输入的行为数据进行异常行为的检测。
例如,输入待检测的行为数据a后,可以通过将行为数据a与目标行为安全基线A对应的行为数据进行对比,若两者的差异超出预设的阈值,则行为数据a为异常行为数据。
上述实施例的方法,获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;也就是当存在多个行为安全基线,且需要使用行为安全基线进行异常行为的分析和检测时,根据各个行为基线的状态和生效时间范围,就可以从多个行为安全基线中准确地确定出当前生效的行为安全基线,也就是从多个行为安全基线中准确地确定出目标行为安全基线;进而基于从多个行为安全基线中确定出的当前生效的行为安全基线,就可以对输入的用户行为数据进行检测。
在一实施例中,异常行为检测的方法还包括:获取行为安全基线的编辑数据,编辑数据包括:行为安全基线的信息和操作方式;
根据行为安全基线的信息和操作方式进行第一目标处理,得到处理结果;
根据处理结果对至少一个第一行为安全基线的基线状态和生效时间范围,进行更新。
具体的,用户行为异常检测时,根据实际需求可能需要对已经存在的第一行为安全基线的基线状态和生效时间范围进行更新。如当获取到最新的和更加准确的行为安全基线A时,为了更加准确地进行异常行为的检测,可以根据实际需要将已有的第一行为安全基线B的基线状态从激活状态更新为等待结束状态,或将第一行为安全基线B的生效时间调整从1月1日-1月5日,更新为1月1日-1月2日。本实施例中,可以通过获取的行为安全基线的编辑数据对基线进行处理;其中编辑数据包括行为安全基线的信息和操作方式,安全基线的信息包括了需要进行处理的基线,操作方式包括了对基线的具体的处理方式,也就是编辑数据包括了需要进行处理的基线和其处理方式;从而根据获取的需要处理的基线信息和处理方法,就可以完成对基线的处理,获得处理结果;进一步地,进行基线的处理,如进行基线的更新或删除后,需要对行为安全基线的基线状态和生效时间范围同步进行更新,以确保在进行异常行为检测时可以准确地确定目标基线。
可选地,若操作方式为更新操作,行为安全基线的信息包括:待更新的第一行为安全基线的标识和第二行为安全基线的数据,根据行为安全基线的信息和操作方式进行目标处理,得到处理结果,包括:
根据待更新的第一行为安全基线的标识,确定待更新的第一行为安全基线,并将待更新的第一行为安全基线更新为第二行为安全基线;也就是当编辑数据中的操作方式为更新操作,编辑数据中的行为安全基线的信息包括待更新的第一行为安全基线的标识和第二行为安全基线的数据时,根据编辑数据中的操作方式和行为安全基线的信息,将第一行为安全基线更新为第二行为安全基线。
可选地,若操作方式为更新操作,将待更新的第一行为安全基线更新为第二行为安全基线,包括:将第二行为安全基线的数据进行反序列化处理,得到第二行为安全基线;将待更新的第一行为安全基线更新为第二行为安全基线;
具体的,通过将第二行为安全基线的数据进行反序列化处理,就可以将数据转换为具有预设结构的第二行为安全基线,进一步的根据反序列化后生成的第二行为安全基线完成更新操作。
可选地,若操作方式为删除操作,行为安全基线的信息包括:待删除的第一行为安全基线的标识,根据行为安全基线的信息和操作方式进行目标处理,得到处理结果,包括:
根据待删除的第一行为安全基线的标识,确定待删除的第一行为安全基线,并删除待删除的第一行为安全基线;也就是当编辑数据中的操作方式为删除操作,编辑数据中的操作方式为删除操作时,根据编辑数据中的操作方式和行为安全基线的信息,将第一行为安全基线删除。
示例性的,如图4所示:基线管理器对行为安全基线编辑数据和行为安全基线分别进行处理:当输入为行为安全基线编辑数据时,如果是更新操作,则将行为安全基线编辑数据反序列化为行为安全基线,并将反序列化的行为安全基线更新到基线管理状态机中;如果是删除操作,则将对应的行为安全基线删除,并更新基线管理状态机;当输入为行为安全基线时,将行为安全基线更新到基线管理状态机中,更新之后将行为安全基线写入到基线数据消息队列中;当基线检测器需要使用行为安全基线进行安全分析和异常检测时,基线管理器从基线管理状态机中获取目标行为安全基线,提供给基线检测器进行异常行为检测。
可选地,获取行为安全基线的编辑数据之后,还包括:基于预先配置的第二格式参数对行为安全基线的编辑数据进行解析和校验;若解析和校验成功,则将解析后的编辑数据发送到编辑数据路由节点,编辑数据路由节点用于确定编辑数据所对应的基线管理节点;
具体的,通过对获取的行为安全基线的编辑数据,对行为安全基线的编辑数据进行解析和校验,使得可以对编辑数据进行核验,确保对基线进行合规和正确的操作,避免错误操作而影响基线和异常行为检测的准确性;进一步的,若解析和校验成功,则将解析后的编辑数据发送到编辑数据路由节点,通过编辑数据路由节点就可以将编辑数据准确的发送至对应的基线管理节点,编辑数据也就可以通过对应的基线状态机进行及时准确的管理。
示例性的,如图2所示,编辑数据解析器从基线编辑数据消息队列读取原始行为安全基线编辑数据,并对数据进行解析和校验,如果解析和校验过程发生错误,则向基线状态消息队列发送数据解析错误消息,如果解析和校验成功,则向基线编辑数据路由器发送解析后的数据;基线编辑数据路由器根据输入的行为安全基线编辑数据参数,进行数据路由,将数据发送到参数指定的基线管理器实例中,如果发送过程发生错误,则向基线状态消息队列发送数据路由错误消息;基线管理器根据输入的行为安全基线编辑数据参数来进行基线管理,包含基线生存周期管理和基线计算管理。
上述实施例的方法,通过获取行为安全基线的编辑数据,编辑数据包括:行为安全基线的信息和操作方式;根据行为安全基线的信息和操作方式进行第一目标处理,得到处理结果;根据处理结果对至少一个第一行为安全基线的基线状态和生效时间范围,进行更新;也就是通过获取编辑数据中包括的具体的待处理的基线和处理方法信息,就可以根据编辑数据中的处理方法对编辑数据中待处理的基线及时准确地进行更新或删除;也就是可以根据实际需求,快捷、准确地实现对行为安全基线的处理;进一步地,在完成行为安全基线的更新或删除后,对行为安全基线的基线状态和生效时间范围同步进行更新,使得可以根据更新后的基线状态和生效时间范围,准确地确定目标基线,以实现异常行为的检测。
在一实施例中,异常行为检测方法还包括:
获取第二行为数据;对第二行为数据基于第一节点进行第二目标处理,第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点;其中,数据解析节点用于基于预先配置的第一格式参数对第二行为数据进行解析和校验;数据时间生成节点用于对前一节点输出的行为数据设置时间;数据过滤节点用于基于预先配置的过滤条件对前一节点输出的行为数据进行过滤处理;时间窗口管理节点用于根据前一节点输出的行为数据确定至少一个时间窗口,并确定各个时间窗口对应的第三行为数据;数据降噪节点用于对前一节点输出的行为数据进行降噪处理;基线生成节点用于基于前一节点输出的行为数据生成行为安全基线。
具体的,基于行为基线对异常行为进行检测,需要以准确的基线为基础;为了获得满足实际需求的基线和更加准确的检测结果,需要对获取的行为数据进行准确的分析和处理;本实施例中通过第一节点对行为数据进行分析和处理,可选地,第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点;其中,数据解析节点可以实现对第二行为数据的解析和检验,排除错误或不合规范的数据,实现对行为数据的准确分析,也就可以获得更加准确的行为安全基线;数据时间生成节点用于对前一节点输出的行为数据设置时间,可选地,可以使用输入数据自带的时间作为当前数据的时间;也可以使用数据到达节点开始处理的时间作为当前数据的时间;通过时间生成节点可以使得所有的行为数据都按照同一个时间标准进行定义和操作,也就可以获得更加准确的行为安全基线,进而可以准确地确定基线的生效时间范围,提高异常行为检测的准确性;数据过滤节点可以基于预配置的过滤条件对行为数据进行过滤,通过数据过滤,可以将不满足过滤条件的数据丢弃,提高了数据的准确性,同时也提高了后续节点运算的效率;时间窗口管理节点用于根据前一节点输出的行为数据确定至少一个时间窗口,并确定各个时间窗口对应的第三行为数据,也就是行为安全基线通常是以时间段为单位得出的,因此为了获得行为安全基线,需要通过时间窗口管理节点准确的确定行为数据对应的时间窗口,并确定各个时间窗口对应的行为数据,以准确的获得时间窗口内的行为数据对应的行为安全基线;数据降噪节点用于对前一节点输出的行为数据进行降噪处理,提高行为数据的准确性;基线生成节点基于前一节点输出的行为数据,就可以生成行为安全基线;基于基线生成节点得到的行为安全基线,也就可以实现异常行为的检测。
示例性的,如图3所示,数据解析器从历史行为数据存储和实时行为数据消息队列中读取行为数据流,并将数据按照规则配置数据格式进行解析和校验,如果数据格式校验失败则丢弃数据;数据时间生成器根据规则时间生成配置参数从行为数据中计算对应的数据时间,并将时间设置在行为数据上;数据过滤器根据规则过滤条件对输入的行为数据进行过滤操作,如果过滤成功则将该数据发送到下级节点,过滤失败则丢弃该数据;时间窗口管理器根据规则时间窗口配置参数和行为数据时间将行为数据保存到对应的时间窗口中,在对应的时间窗口完成之后通知后续计算节点,并将行为数据集发送到后续计算节点中;数据降噪器根据规则配置的降噪参数对输入的行为数据集进行数据噪音消除工作,将行为数据集中噪音数据删除,并将最终的降噪行为数据集发送到后续计算节点中;基线生成器根据规则配置参数对输入的行为数据集中数据进行统计和学习,学习结果为行为安全基线;基线检测器使用学习完成的行为安全基线对行为数据进行安全分析和异常检测,如果发现异常则将行为异常数据写入行为异常数据消息队列中。
上述实施例的方法,基于第一节点对行为数据进行处理,其中第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点,相应的也就可以实现行为数据的解析、数据时间的设置、行为数据的过滤、行为数据对应时间窗口的管理、行为数据降噪和行为安全基线的生成;通过基于第一节点对行为数据进行处理,实现了对行为数据的准确分析和处理,提高了行为安全基线的准确性,进而也就提高了异常行为检测的准确性。
在一实施例中,异常行为检测方法还包括:
获取第二节点的状态信息并对第二节点的状态进行监控;第二节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点、基线管理节点、基线检测节点;基线管理节点用于对第一行为安全基线的基线状态、生效时间范围和基线生成过程进行管理;基线检测节点用于对输入的第一行为数据进行异常行为检测;
具体的,获得行为安全基线需要对大量的行为数据进行分析和处理,因此处理行为数据的节点所对应的状态直接影响着行为数据和行为安全基线的处理效率;为了提高行为数据和行为安全基线的处理效率,需要对节点进行处理;可选地,节点包括数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点、基线管理节点、基线检测节点;其中,基线管理节点用于对第一行为安全基线的基线状态、生效时间范围和基线生成过程进行管理;基线检测节点用于对输入的第一行为数据进行异常行为检测。可选地,对第二节点的以下至少一项状态进行监控:CPU数据统计、内存数据统计、输入数据统计、输出数据统计、错误数据统计、运行上下文数据统计;通过对第二节点中的状态信息的监控,就可以及时获取第二节点对应的状态情况,并根据状态情况确定第二节点的负荷情况,并进一步地进行优化调整,提高行为数据和行为安全基线的处理效率。
示例性的,如图5所示:各个计算节点定时向节点状态监控器报告本节点状态信息,节点状态监控器将收集的节点状态信息统计处理之后发送到节点状态数据消息队列。其中,需要报告节点状态信息的计算节点有:数据解析器、数据时间生成器、数据过滤器、时间窗口管理器、数据降噪器、基线生成器、基线管理器、基线检测器;计算节点状态信息包含:CPU数据统计、内存数据统计、输入数据统计、输出数据统计、错误数据统计、运行上下文数据统计等信息。
上述实施例的方法,通过对行为数据处理和行为安全基线处理所对应的第二节点的状态进行监控,可以及时、准确地获取节点的状态信息,也就可以准确地评估和确定节点的负荷情况;进一步地,根据节点的状态情况进行优化调整,就可以提高行为数据和行为安全基线的处理效率。
在一实施例中,异常行为检测方法还包括:
存储处理过程中产生的中间数据,中间数据包括以下至少一项:时间窗口管理节点生成的当前活跃时间窗口集、时间窗口对应的行为数据集、数据降噪节点进行降噪的行为数据集、基线生成节点当前正在生成的行为安全基线、基线管理节点中生成的当前基线状态;
具体的,基线生成和行为检测过程中,会通过多个节点对行为数据进行处理,为了防止在节点重启时或发生错误时,出现数据丢失问题,需要存储处理过程中产生的中间数据;其中,中间数据包括以下至少一项:时间窗口管理节点生成的当前活跃时间窗口集、时间窗口对应的行为数据集、数据降噪节点进行降噪的行为数据集、基线生成节点当前正在生成的行为安全基线、基线管理节点中生成的当前基线状态;也就是通过对基线生成和行为检测过程中的节点数据进行存储,可选地,可以按照预设的规则进行定期存储,以分布式数据库实现数据的实时备份,也就能够在节点重启时或发生错误时,还能够通过预先存储的数据,快捷准确的实现异常行为的检测。
示例性的,如图6所示:通过将中间结果数据持久化到分布式存储中,也就是将中间结果存储到分布式存储中,防止在发生错误或节点重启时出现数据丢失问题;数据存储所对应的计算节点包括:时间窗口管理器持久化当前活跃时间窗口集及窗口对应行为数据集、数据降噪器持久化当前降噪中的行为数据集、基线生成器持久化当前正在学习的行为安全基线、基线管理器持久化当前基线管理状态机。
上述实施例的方法,通过对基线生成和行为检测过程中的节点数据进行存储,当节点重启时或发生错误时,就能够通过预先存储的数据,快捷准确地实现异常行为的检测。
示例性的,图7是本发明实施例提供的一种异常行为检测方法的流程示意图;通过行为安全基线编辑数据处理、行为数据处理、行为安全基线处理、节点监控、数据存储方案的实施,可以系统性地实现异常行为的检测,使得整个检测过程更加地准确,有效地提升检测的准确性和效率。
下面对本发明提供的异常行为检测装置进行描述,下文描述的异常行为检测装置与上文描述的异常行为检测方法可相互对应参照。
图8是本发明提供的异常行为检测装置的结构示意图。本实施例提供的异常行为检测装置,包括:
获取模块710,用于获取至少一个第一行为安全基线的基线状态和生效时间范围;
处理模块720,用于根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
检测模块730,用于根据目标行为安全基线对输入的行为数据进行异常行为检测。
可选地,所述获取模块710,还用于:获取行为安全基线的编辑数据,编辑数据包括:行为安全基线的信息和操作方式;
所述处理模块720,还用于根据行为安全基线的信息和操作方式进行第一目标处理,得到处理结果;
根据处理结果对至少一个第一行为安全基线的基线状态和生效时间范围,进行更新。
可选地,若操作方式为更新操作,行为安全基线的信息包括:待更新的第一行为安全基线的标识和第二行为安全基线的数据,所述处理模块720,具体用于:
根据待更新的第一行为安全基线的标识,确定待更新的第一行为安全基线,并将待更新的第一行为安全基线更新为第二行为安全基线。
可选地,若操作方式为删除操作,行为安全基线的信息包括:待删除的第一行为安全基线的标识,所述处理模块720,具体用于:
根据待删除的第一行为安全基线的标识,确定待删除的第一行为安全基线,并删除待删除的第一行为安全基线。
可选地,若操作方式为更新操作,所述处理模块720,具体用于:将第二行为安全基线的数据进行反序列化处理,得到第二行为安全基线;
将待更新的第一行为安全基线更新为第二行为安全基线。
可选地,所述处理模块720,还用于:获取第二行为数据;
对第二行为数据基于第一节点进行第二目标处理,第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点;
其中,数据解析节点用于基于预先配置的第一格式参数对第二行为数据进行解析和校验;
数据时间生成节点用于对前一节点输出的行为数据设置时间;
数据过滤节点用于基于预先配置的过滤条件对前一节点输出的行为数据进行过滤处理;
时间窗口管理节点用于根据前一节点输出的行为数据确定至少一个时间窗口,并确定各个时间窗口对应的第三行为数据;
数据降噪节点用于对前一节点输出的行为数据进行降噪处理;
基线生成节点用于基于前一节点输出的行为数据生成行为安全基线。
可选地,所述处理模块720,还用于:获取第二节点的状态信息并对第二节点的状态进行监控;第二节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点、基线管理节点、基线检测节点;
基线管理节点用于对第一行为安全基线的基线状态、生效时间范围和基线生成过程进行管理;
基线检测节点用于对输入的第一行为数据进行异常行为检测。
可选地,所述处理模块720,具体用于:基于预先配置的第二格式参数对行为安全基线的编辑数据进行解析和校验;
若解析和校验成功,则将解析后的编辑数据发送到编辑数据路由节点,编辑数据路由节点用于确定编辑数据所对应的基线管理节点
可选地,装置还包括存储模块用于:存储处理过程中产生的中间数据,中间数据包括以下至少一项:时间窗口管理节点生成的当前活跃时间窗口集、时间窗口对应的行为数据集、数据降噪节点进行降噪的行为数据集、基线生成节点当前正在生成的行为安全基线、基线管理节点中生成的当前基线状态。
本发明实施例的装置,其用于执行前述任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图9示例了一种电子设备的实体结构示意图,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行异常行为检测方法,该方法包括:获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;根据目标行为安全基线对输入的行为数据进行异常行为检测。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的异常行为检测方法,该方法包括:获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;根据目标行为安全基线对输入的行为数据进行异常行为检测。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的异常行为检测方法,该方法包括:获取至少一个第一行为安全基线的基线状态和生效时间范围;根据至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;根据目标行为安全基线对输入的行为数据进行异常行为检测。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (13)

1.一种异常行为检测方法,其特征在于,包括:
获取至少一个第一行为安全基线的基线状态和生效时间范围;
根据所述至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
根据所述目标行为安全基线对输入的行为数据进行异常行为检测。
2.根据权利要求1所述的异常行为检测方法,其特征在于,所述方法还包括:
获取行为安全基线的编辑数据,所述编辑数据包括:行为安全基线的信息和操作方式;
根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果;
根据所述处理结果对所述至少一个第一行为安全基线的基线状态和生效时间范围,进行更新。
3.根据权利要求2所述的异常行为检测方法,其特征在于,若所述操作方式为更新操作,所述行为安全基线的信息包括:待更新的第一行为安全基线的标识和第二行为安全基线的数据,所述根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果,包括:
根据所述待更新的第一行为安全基线的标识,确定待更新的第一行为安全基线,并将所述待更新的第一行为安全基线更新为所述第二行为安全基线。
4.根据权利要求2所述的异常行为检测方法,其特征在于,若所述操作方式为删除操作,所述行为安全基线的信息包括:待删除的第一行为安全基线的标识,所述根据所述行为安全基线的信息和操作方式进行第一目标处理,得到处理结果,包括:
根据所述待删除的第一行为安全基线的标识,确定待删除的第一行为安全基线,并删除所述待删除的第一行为安全基线。
5.根据权利要求3所述的异常行为检测方法,其特征在于,若所述操作方式为更新操作,所述将所述待更新的第一行为安全基线更新为所述第二行为安全基线,包括:
将所述第二行为安全基线的数据进行反序列化处理,得到所述第二行为安全基线;
将所述待更新的第一行为安全基线更新为所述第二行为安全基线。
6.根据权利要求1-5任一项所述的异常行为检测方法,其特征在于,所述方法还包括:
获取第二行为数据;
对所述第二行为数据基于第一节点进行第二目标处理,所述第一节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点;
其中,所述数据解析节点用于基于预先配置的第一格式参数对所述第二行为数据进行解析和校验;
所述数据时间生成节点用于对前一节点输出的行为数据设置时间;
所述数据过滤节点用于基于预先配置的过滤条件对前一节点输出的行为数据进行过滤处理;
所述时间窗口管理节点用于根据前一节点输出的行为数据确定至少一个时间窗口,并确定各个所述时间窗口对应的第三行为数据;
所述数据降噪节点用于对前一节点输出的行为数据进行降噪处理;
所述基线生成节点用于基于前一节点输出的行为数据生成行为安全基线。
7.根据权利要求1-5任一项所述的异常行为检测方法,其特征在于,所述方法还包括:
获取第二节点的状态信息并对所述第二节点的状态进行监控;所述第二节点包括以下至少一项:数据解析节点、数据时间生成节点、数据过滤节点、时间窗口管理节点、数据降噪节点、基线生成节点、基线管理节点、基线检测节点;
所述基线管理节点用于对第一行为安全基线的基线状态、生效时间范围和基线生成过程进行管理;
所述基线检测节点用于对输入的第一行为数据进行异常行为检测。
8.根据权利要求2所述的异常行为检测方法,其特征在于,获取行为安全基线的编辑数据之后,还包括:
基于预先配置的第二格式参数对所述行为安全基线的编辑数据进行解析和校验;
若解析和校验成功,则将解析后的编辑数据发送到编辑数据路由节点,所述编辑数据路由节点用于确定所述编辑数据所对应的基线管理节点。
9.根据权利要求1-5任一项所述的异常行为检测方法,其特征在于,所述方法还包括:
存储处理过程中产生的中间数据,所述中间数据包括以下至少一项:时间窗口管理节点生成的当前活跃时间窗口集、时间窗口对应的行为数据集、数据降噪节点进行降噪的行为数据集、基线生成节点当前正在生成的行为安全基线、基线管理节点中生成的当前基线状态。
10.一种异常行为检测装置,其特征在于,包括:
获取模块,用于获取至少一个第一行为安全基线的基线状态和生效时间范围;
处理模块,用于根据所述至少一个第一行为安全基线的基线状态和生效时间范围,确定目标行为安全基线;
检测模块,用于根据所述目标行为安全基线对输入的行为数据进行异常行为检测。
11.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至9任一项所述的异常行为检测方法。
12.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至9任一项所述的异常行为检测方法。
13.一种计算机程序产品,其上存储有可执行指令,其特征在于,该指令被处理器执行时使处理器实现如权利要求1至9中任一项所述的异常行为检测方法。
CN202210195796.5A 2022-03-01 2022-03-01 异常行为检测方法、装置、设备和存储介质 Pending CN114615036A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210195796.5A CN114615036A (zh) 2022-03-01 2022-03-01 异常行为检测方法、装置、设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210195796.5A CN114615036A (zh) 2022-03-01 2022-03-01 异常行为检测方法、装置、设备和存储介质

Publications (1)

Publication Number Publication Date
CN114615036A true CN114615036A (zh) 2022-06-10

Family

ID=81861804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210195796.5A Pending CN114615036A (zh) 2022-03-01 2022-03-01 异常行为检测方法、装置、设备和存储介质

Country Status (1)

Country Link
CN (1) CN114615036A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116431276A (zh) * 2023-02-28 2023-07-14 港珠澳大桥管理局 容器安全防护方法、装置、计算机设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541647A (zh) * 2020-03-25 2020-08-14 杭州数梦工场科技有限公司 安全检测方法、装置、存储介质及计算机设备
CN112149749A (zh) * 2020-09-29 2020-12-29 北京明朝万达科技股份有限公司 异常行为检测方法、装置、电子设备及可读存储介质
CN113765881A (zh) * 2021-07-20 2021-12-07 奇安信科技集团股份有限公司 异常网络安全行为的检测方法、装置、电子设备及存储介质
CN113992340A (zh) * 2021-09-09 2022-01-28 奇安信科技集团股份有限公司 用户异常行为识别方法、装置、设备、存储介质和程序

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111541647A (zh) * 2020-03-25 2020-08-14 杭州数梦工场科技有限公司 安全检测方法、装置、存储介质及计算机设备
CN112149749A (zh) * 2020-09-29 2020-12-29 北京明朝万达科技股份有限公司 异常行为检测方法、装置、电子设备及可读存储介质
CN113765881A (zh) * 2021-07-20 2021-12-07 奇安信科技集团股份有限公司 异常网络安全行为的检测方法、装置、电子设备及存储介质
CN113992340A (zh) * 2021-09-09 2022-01-28 奇安信科技集团股份有限公司 用户异常行为识别方法、装置、设备、存储介质和程序

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116431276A (zh) * 2023-02-28 2023-07-14 港珠澳大桥管理局 容器安全防护方法、装置、计算机设备和存储介质

Similar Documents

Publication Publication Date Title
US11436196B2 (en) Alarm log compression method, apparatus, and system, and storage medium
US20180095816A1 (en) Scalable predictive early warning system for data backup event log
CN111817891A (zh) 网络故障处理方法、装置、存储介质及电子设备
CN111030857A (zh) 网络告警方法、装置、系统与计算机可读存储介质
CN111478966A (zh) 物联网协议的解析方法、装置、计算机设备及存储介质
CN108459951B (zh) 测试方法和装置
CN107800783B (zh) 远程监控服务器的方法及装置
WO2019223062A1 (zh) 系统异常的处理方法和系统
US6633834B2 (en) Baselining of data collector data
CN114430365B (zh) 故障根因分析方法、装置、电子设备和存储介质
CN111510339A (zh) 一种工业互联网数据监测方法和装置
CN114978883B (zh) 网络唤醒的管理方法、装置、电子设备及存储介质
CN114615036A (zh) 异常行为检测方法、装置、设备和存储介质
CN114528350A (zh) 集群脑裂的处理方法、装置、设备及可读存储介质
CN114172921A (zh) 一种调度录音系统的日志审计方法及装置
JP5240709B2 (ja) シンプトンを評価するためのコンピュータ・システム、並びにその方法及びコンピュータ・プログラム
CN113285824B (zh) 一种监控网络配置命令安全性的方法及装置
CN114063606B (zh) Plc协议模糊测试方法及装置、电子设备、存储介质
CN114579809A (zh) 事件分析方法、装置、电子设备及存储介质
CN114860543A (zh) 异常检测方法、装置、设备与计算机可读存储介质
CN113254313A (zh) 一种监控指标异常检测方法、装置、电子设备及存储介质
CN113961547A (zh) 一种用于分析运营商配置数据质量的方法及系统
CN115296976B (zh) 物联网设备故障检测方法、装置、设备及存储介质
CN111125130B (zh) 面向达梦数据库的账号类型分析方法、系统及存储介质
CN117389590A (zh) 告警升级处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination