CN114944929B - 网络异常行为检测方法、装置、电子设备及存储介质 - Google Patents
网络异常行为检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114944929B CN114944929B CN202210301976.7A CN202210301976A CN114944929B CN 114944929 B CN114944929 B CN 114944929B CN 202210301976 A CN202210301976 A CN 202210301976A CN 114944929 B CN114944929 B CN 114944929B
- Authority
- CN
- China
- Prior art keywords
- time
- gradient
- current
- behavior
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 68
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 55
- 230000006399 behavior Effects 0.000 claims abstract description 324
- 230000004044 response Effects 0.000 claims abstract description 47
- 238000000034 method Methods 0.000 claims abstract description 41
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 238000012549 training Methods 0.000 claims abstract description 14
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 14
- 238000004458 analytical method Methods 0.000 claims description 7
- 238000012360 testing method Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 5
- 238000013135 deep learning Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Computation (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Medical Informatics (AREA)
- Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
Abstract
本发明实施例提供一种网络异常行为检测方法、装置、电子设备及存储介质,该方法包括:获取待测时间行为数据;根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到;响应于未查询到目标待测时间值,输出异常告警信息。本发明实施例提供的技术方案能够较好地识别未知和新出现的网络攻击行为,保证网络环境的安全。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种网络异常行为检测方法、装置、电子设备及存储介质。
背景技术
随着网络技术的发展,产生了多种多样的网络行为,其中不乏一些网络攻击行为,各种网络攻击行为的增加会给网络安全造成极大的威胁,对网络攻击行为进行检测显得尤为重要。
目前,网络安全分析和异常行为检测主要依赖于先验知识,采用异常行为特征对网络数据和日志进行安全检测,这种方式可以很好的应对已知的网络攻击行为,但对于未知和新出现的网络攻击行为则不能有效的检测出,无法适应当前严峻的网络安全态势。
发明内容
针对现有技术中的问题,本发明实施例提供一种网络异常行为检测方法、装置、电子设备及存储介质。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种网络异常行为检测方法,包括:
获取待测时间行为数据;
根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;
将所述目标待测时间值输入时间行为安全基线梯度树中,基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值,所述时间行为安全基线梯度树基于所述时间行为安全基线对时间行为样本数据进行训练得到;
响应于未查询到所述目标待测时间值,输出异常告警信息。
进一步地,所述时间行为安全基线中包括目标时间行为,所述根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值包括:
根据所述目标时间行为,从所述待测时间行为数据中查找对应于所述目标时间行为的时间值。
进一步地,所述时间行为安全基线中包括时间梯度信息,所述基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值包括:
从所述时间行为安全基线梯度树的根节点及所述时间梯度信息中的第一个时间梯度开始查询,响应于当前时间梯度不是所述时间梯度信息中的最后一个时间梯度,根据所述当前时间梯度的类型从所述目标待测时间值中确定所述当前时间梯度的时间值,得到第一梯度时间值;
查询所述时间行为安全基线梯度树的当前树节点是否包含所述第一梯度时间值;
响应于所述时间行为安全基线梯度树的当前树节点中未包含所述第一梯度时间值,确定出未查询到所述目标待测时间值。
进一步地,在查询所述时间行为安全基线梯度树的当前树节点是否包含所述第一梯度时间值之后,所述网络异常行为检测方法还包括:
响应于所述时间行为安全基线梯度树的当前树节点中包含所述第一梯度时间值,基于所述当前时间梯度的下一个时间梯度在所述当前树节点的子树节点中查询所述目标待测时间值。
进一步地,所述时间行为安全基线中还包括基线类型,所述基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值还包括:
响应于当前时间梯度为所述时间梯度信息中的最后一个时间梯度,根据所述当前时间梯度的类型从所述目标待测时间值中确定所述当前时间梯度的时间值,得到第二梯度时间值;
基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值。
进一步地,所述基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值包括:
响应于所述基线类型为时间区间,确定所述第二梯度时间值是否在所述时间区间限定的时间范围内;
响应于所述第二梯度时间值未在所述时间区间限定的时间范围内,确定出未查询到所述目标待测时间值。
进一步地,所述基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值包括:
响应于所述基线类型为时间点,确定所述第二梯度时间值是否记录在所述当前树节点中;
响应于所述第二梯度时间值未记录在所述当前树节点中,确定出未查询到所述目标待测时间值。
进一步地,还包括构建所述时间行为安全基线梯度树的步骤,所述构建所述时间行为安全基线梯度树的步骤包括:
获取所述时间行为样本数据;
根据所述时间行为安全基线从所述时间行为样本数据中获取目标时间行为的时间值,得到目标时间学习值;
基于所述时间行为安全基线对所述目标时间学习值进行处理,得到所述时间行为安全基线梯度树。
进一步地,所述时间行为安全基线中包括目标时间行为、时间梯度信息和基线类型,所述基于所述时间行为安全基线对所述目标时间学习值进行处理包括:
创建梯度树根节点;
将所述梯度树根节点设置为当前学习节点,且将所述时间梯度信息中的第一个时间梯度设置为当前时间学习梯度;
响应于所述当前时间学习梯度为所述时间梯度信息中的最后一个时间梯度,根据所述当前时间学习梯度的类型、所述目标时间学习值和所述基线类型确定所述当前学习节点的时间值。
进一步地,所述网络异常行为检测方法还包括:
响应于所述当前时间学习梯度不是所述时间梯度信息中的最后一个时间梯度,根据所述当前时间学习梯度的类型从所述目标时间学习值中确定所述当前时间学习梯度的时间值;
基于所述当前时间学习梯度的时间值在所述当前学习节点中查询对应的子树节点;
响应于未查询到子树节点,为所述当前学习节点新建一个子树节点,并将所述当前时间学习梯度的时间值和新建的子树节点关联,得到子树节点关联信息;
将所述子树节点关联信息保存在所述当前学习节点中。
进一步地,在基于所述当前时间学习梯度的时间值在所述当前学习节点中查询对应的子树节点之后,所述网络异常行为检测方法还包括:
响应于查询到子树节点,更新所述当前学习节点为查询到的所述子树节点,并更新所述当前时间学习梯度为所述当前时间学习梯度的下一个时间梯度。
进一步地,所述根据所述当前时间学习梯度的类型、所述目标时间学习值和所述基线类型确定所述当前学习节点的时间值包括:
根据所述当前时间学习梯度的类型从所述目标时间学习值中确定所述当前时间学习梯度的时间值;
基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值。
进一步地,所述基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值包括:
响应于所述基线类型为时间点,查询所述当前学习节点中是否记录有所述当前时间学习梯度的时间值;
响应于所述当前学习节点中未记录所述当前时间学习梯度的时间值,将所述当前时间学习梯度的时间值保存在所述当前学习节点中。
进一步地,所述基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值包括:
响应于所述基线类型为时间区间,查询所述当前学习节点中是否记录有时间区间信息;
响应于所述当前学习节点中未记录时间区间信息,将所述当前时间学习梯度的时间值作为区间的最大值和最小值构建时间区间;
将构建的时间区间保存在所述当前学习节点中。
进一步地,在查询所述当前学习节点中是否记录有时间区间信息之后,所述网络异常行为检测方法还包括:
响应于所述当前学习节点中记录有时间区间信息且所述当前时间学习梯度的时间值小于所述时间区间信息的最小值,将所述时间区间信息的最小值更新为所述当前时间学习梯度的时间值。
进一步地,在查询所述当前学习节点中是否记录有时间区间信息之后,所述网络异常行为检测方法还包括:
响应于所述当前学习节点中记录有时间区间信息且所述当前时间学习梯度的时间值大于所述时间区间信息的最大值,将所述时间区间信息的最大值更新为所述当前时间学习梯度的时间值。
第二方面,本发明实施例还提供了一种网络异常行为检测装置,包括:
第一获取模块,用于获取待测时间行为数据;
第二获取模块,用于根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;
查询模块,用于将所述目标待测时间值输入时间行为安全基线梯度树中,基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值,所述时间行为安全基线梯度树基于所述时间行为安全基线对时间行为样本数据进行训练得到;
输出模块,用于响应于未查询到所述目标待测时间值,输出异常告警信息。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的网络异常行为检测方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的网络异常行为检测方法的步骤。
第五方面,本发明实施例还提供了一种计算机程序产品,其上存储有可执行指令,该可执行指令被处理器执行时使处理器实现第一方面所述的网络异常行为检测方法的步骤。
本发明实施例提供的网络异常行为检测方法、装置、电子设备及存储介质,通过预先配置的时间行为安全基线从待测时间行为数据中获取目标待测时间值,将该目标待测时间值输入基于时间行为安全基线对时间行为样本数据进行训练得到的时间行为安全基线梯度树中,在时间行为安全基线梯度树中查找该目标待测时间值,若未查询到,则判定为异常行为,输出异常告警信息,实现了网络异常行为的检测。其中的时间行为安全基线梯度树作为网络异常行为检测的基准,通过对时间行为样本数据进行深度学习创建,能够较好地识别未知和新出现的网络攻击行为,保证网络环境的安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络异常行为检测方法的流程图之一;
图2为本发明实施例提供的构建时间行为安全基线梯度树方法的流程图;
图3为本发明实施例提供的基于时间行为安全基线对目标时间学习值进行处理以得到时间行为安全基线梯度树的方法的流程图;
图4为本发明实施例提供的确定当前学习节点的时间值方法的流程图;
图5为本发明实施例提供的网络异常行为检测方法的流程图之二;
图6为本发明实施例提供的网络异常行为检测装置的结构示意图;
图7为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
网络安全分析和检测为网络的安全运行提供了保障。相较于采用网络攻击特征的方式进行网络安全检测,基于机器学习的网络行为分析和检测方法通过对网络数据和网络日志的学习,可以统计和归纳出用户和实体的网络行为特点,通过学习出的行为安全基线能够很好地用于网络异常行为的分析和检测,达到许多基于特征的方式无法达到的效果。
在本发明实施例中,可以基于预先配置的时间行为安全基线对时间行为样本数据进行学习,得到作为网络异常行为检测基准的时间行为安全基线梯度树,然后将根据时间行为安全基线从待测时间行为数据中获取的目标待测时间值输入该时间行为安全基线梯度树中,基于时间行为安全基线在该时间行为安全基线梯度树中查询目标待测时间值,若未查询到目标待测时间值,则输出异常告警信息,实现时间类网络异常行为的检测。
图1示意性示出了本发明实施例提供的网络异常行为检测方法的流程图之一,该网络异常行为检测方法可以应用于服务器、手机、电脑等电子设备,也可以应用于设置在服务器、手机、电脑等电子设备中的网络异常行为检测装置中,该网络异常行为检测装置可以通过软件、硬件或两者的结合来实现。参照图1所示,该网络异常行为检测方法可以包括如下的步骤101~步骤104。
步骤101中,获取待测时间行为数据。
可以从网络设备中实时获取网络数据,从该网络数据中提取时间类数据作为待测时间行为数据,或者可以从网络日志中读取时间类数据作为待测时间行为数据。
步骤102中,根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值。
时间行为安全基线中可以包括目标时间行为,获取到待测时间行为数据之后,可以根据时间行为安全基线中的目标时间行为,从待测时间行为数据中查找对应于目标时间行为的时间值,得到目标待测时间值。
时间行为安全基线的相关参数可以预先配置,比如可以包括目标时间行为、时间梯度信息和基线类型中的至少一个。目标时间行为可以指示所要检测的网络行为对象,比如可以是网站登录时间、网页浏览时间等。时间梯度信息可以指示时间的层次,可以支持年、月、日、星期、小时、分钟、秒、毫秒等多个时间梯度,可以支持时间梯度序列,即可以配置多个时间梯度,且要求前一个时间梯度必须大于后一个时间梯度,比如年必须在月之前,月必须在日之前;例如,配置的时间梯度信息为[“星期”,“小时”],则可以表示时间梯度为“星期—>小时”。基线类型可以指示时间行为安全基线的时间类型,比如可以包括时间区间或时间点。
示例性的,基线类型比如可以用参数method表示,比如method=“range”时表示时间类型为时间区间,method=“point”时表示时间类型为时间点。目标时间行为比如可以用参数target表示,target参数的使用格式比如可以是target=fields[对象表达式],要求其中的对象表达式的值的数据类型必须为时间,例如target=fields[“网站登录时间”]可以表示目标时间行为选取的是网站登录时间,其中的fields表示取网站登录时间域内的数据。时间梯度信息比如可以用参数type表示,比如type=[“星期”,“小时”]表示时间梯度为“星期—>小时”。
基于上述的示例性参数,配置的时间行为安全基线比如可以是:timeModel(method=”range”,target=fields[“网站登录时间”],type=[“星期”,“小时”]),表示该时间行为安全基线针对的检测内容为:用户登录当前网站的星期和对应的具体登录小时的时间范围。基于该时间行为安全基线,可以从待测时间行为数据中查找对应于“网站登录时间”的时间值,得到目标待测时间值。
步骤103中,将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,所述时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到。
得到目标待测时间值之后,可以将该目标待测时间值输入训练好的时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,若查询到,则表示当前目标待测时间值所对应的网络时间行为正常,不会对网络形成攻击,可以结束当前的时间行为安全检测。若不能在时间行为安全基线梯度树中查询到目标待测时间值,则表示当前目标待测时间值所对应的网络时间行为异常,可能对网络造成攻击,执行步骤104。其中的时间行为安全基线梯度树可以基于时间行为安全基线对时间行为样本数据进行训练得到,可以提供时间行为安全基准。
在本发明的一种示例实施例中,时间行为安全基线中可以包括时间梯度信息,可以从时间行为安全基线梯度树的根节点及时间梯度信息中的第一个时间梯度开始查询,若当前时间梯度不是时间梯度信息中的最后一个时间梯度,则根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第一梯度时间值,然后查询时间行为安全基线梯度树的当前树节点是否包含该第一梯度时间值,若时间行为安全基线梯度树的当前树节点中未包含该第一梯度时间值,则确定出未查询到目标待测时间值,执行步骤104。若时间行为安全基线梯度树的当前树节点中包含该第一梯度时间值,则基于当前时间梯度的下一个时间梯度在当前树节点的子树节点中查询目标待测时间值,直至查询到当前树节点中不包含第一梯度时间值或查询到时间梯度信息中的最后一个时间梯度。若当前时间梯度为时间梯度信息中的最后一个时间梯度,则可以根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第二梯度时间值;然后基于该第二梯度时间值和时间行为安全基线中的基线类型查询目标待测时间值。
步骤104中,响应于未查询到目标待测时间值,输出异常告警信息。
异常告警信息比如可以以文本检测报告、图表、告警音、指示灯等其中的至少一种形式输出,指示安全分析人员做进一步的异常处理,或通过该异常告警信息直接触发异常处理流程,保证网络环境的安全。
在本发明实施例中,时间行为安全基线梯度树可以基于时间行为安全基线对时间行为样本数据进行训练得到,相应的,本发明实施例提供的网络异常行为检测方法还可以包括构建该时间行为安全基线梯度树的步骤。图2示意性示出了本发明实施例提供的构建时间行为安全基线梯度树方法的流程图,参照图2所示,可以包括如下的步骤201~步骤203。
步骤201中,获取时间行为样本数据。
可以从网络日志文件中获取历史网络数据,提取其中时间类的数据作为时间行为样本数据。
步骤202中,根据时间行为安全基线从时间行为样本数据中获取目标时间行为的时间值,得到目标时间学习值。
时间行为安全基线中可以包括目标时间行为、时间梯度信息和基线类型,可以根据时间行为安全基线中的目标时间行为从时间行为样本数据中筛选符合目标时间行为的时间值,得到目标时间学习值。
步骤203中,基于时间行为安全基线对目标时间学习值进行处理,得到时间行为安全基线梯度树。
时间行为安全基线中可以包括目标时间行为、时间梯度信息和基线类型,获取到目标时间学习值之后,可以基于时间行为安全基线中的时间梯度信息和基线类型对目标时间学习值进行处理,得到时间行为安全基线梯度树。
在本发明的一种示例实施例中,图3示意性示出了本发明实施例提供的基于时间行为安全基线对目标时间学习值进行处理以得到时间行为安全基线梯度树的方法的流程图,可以实现步骤203,参照图3所示,步骤203可以包括如下的步骤301~步骤309。
步骤301中,创建梯度树根节点。
步骤302中,将梯度树根节点设置为当前学习节点,且将时间梯度信息中的第一个时间梯度设置为当前时间学习梯度。
步骤303中,判断当前时间学习梯度是否为时间梯度信息中的最后一个时间梯度。
确定当前学习节点和当前时间学习梯度之后,可以判断当前时间学习梯度是否为时间梯度信息中的最后一个时间梯度,若是,则执行步骤304,若不是,则执行步骤305。
步骤304中,根据当前时间学习梯度的类型、目标时间学习值和基线类型确定当前学习节点的时间值。
在本发明的一种示例实施例中,可以根据当前时间学习梯度的类型从目标时间学习值中确定当前时间学习梯度的时间值,基于当前时间学习梯度的时间值和基线类型确定当前学习节点的时间值。示例性的,步骤304比如可以通过图4所示的方法实现,图4示意性示出了本发明实施例提供的确定当前学习节点的时间值方法的流程图,参照图4所示,该方法可以包括如下的步骤401~步骤411。
步骤401中,根据当前时间学习梯度的类型从目标时间学习值中确定当前时间学习梯度的时间值。
比如当前时间学习梯度的类型为“星期”,则可以从目标时间学习值中筛选出星期类的时间值,得到当前时间学习梯度的时间值。
步骤402中,获取基线类型。
基线类型可以是时间区间或时间点,若基线类型为时间点,则执行步骤403;若基线类型为时间区间,则执行步骤405。
步骤403中,查询当前学习节点中是否记录有当前时间学习梯度的时间值。若当前学习节点中未记录当前时间学习梯度的时间值,则执行步骤404;若当前学习节点中记录有当前时间学习梯度的时间值,则不做任何操作,结束当前时间行为安全基线梯度树的构建。
步骤404中,将当前时间学习梯度的时间值保存在当前学习节点中。
步骤405中,查询当前学习节点中是否记录有时间区间信息。若当前学习节点中未记录时间区间信息,则执行步骤406;若当前学习节点中记录有时间区间信息,则执行步骤408。
步骤406中,将当前时间学习梯度的时间值作为区间的最大值和最小值构建时间区间。也就是新建一个时间区间,将该时间区间的最大值和最小值都设置为当前时间学习梯度的时间值。
步骤407中,将构建的时间区间保存在当前学习节点中。
步骤408中,判断当前时间学习梯度的时间值是否小于时间区间信息的最小值。若小于,则执行步骤409;否则执行步骤410。
步骤409中,将时间区间信息的最小值更新为当前时间学习梯度的时间值。
步骤410中,判断当前时间学习梯度的时间值是否大于时间区间信息的最大值。若大于,则执行步骤411,否则结束时间行为安全基线梯度树的构建。
步骤411中,将时间区间信息的最大值更新为当前时间学习梯度的时间值。
通过图4对应实施例的方法可以在当前时间学习梯度为时间梯度信息中的最后一个时间梯度时,根据当前时间学习梯度的类型、目标时间学习值和基线类型确定出当前学习节点的时间值。
步骤305中,根据当前时间学习梯度的类型从目标时间学习值中确定当前时间学习梯度的时间值。
若当前时间学习梯度不是时间梯度信息中的最后一个时间梯度,可以根据当前时间学习梯度的类型从目标时间学习值中筛选出符合当前时间学习梯度的类型的时间值,得到当前时间学习梯度的时间值。例如,当前时间学习梯度的类型为“星期”,则可以从目标时间学习值中筛选出星期类的时间值。
步骤306中,查询当前学习节点中是否包含当前时间学习梯度的时间值对应的子树节点。若不包含,则执行步骤307;若包含,则执行步骤309。
步骤307中,为当前学习节点新建一个子树节点,并将当前时间学习梯度的时间值和新建的子树节点关联,得到子树节点关联信息。
可以通过建立当前时间学习梯度的时间值和新建的子树节点的对应关系的方式将当前时间学习梯度的时间值和新建的子树节点关联,得到的子树节点关联信息比如可以表示为:<当前时间学习梯度的时间值,子树节点>。
步骤308中,将子树节点关联信息保存在当前学习节点中。
示例性的,可以以列表的形式将子树节点关联信息保存在当前学习节点中。然后可以将新建的该子树节点作为查找到的子树节点,执行步骤309。
步骤309中,更新当前学习节点为查询到的子树节点,并更新当前时间学习梯度为当前时间学习梯度的下一个时间梯度。
更新当前学习节点和当前时间学习梯度之后,跳转至步骤303重新进行时间梯度的判断,直至时间梯度信息中的最后一个时间梯度。
通过图3对应实施例的方法,可以在根据时间行为安全基线从时间行为样本数据中获取到目标时间学习值之后,基于时间行为安全基线对该目标时间学习值进行处理得到时间行为安全基线梯度树,能够实现对时间类网络行为数据的深度学习,创建出时间行为安全基线梯度树,该时间行为安全基线梯度树可以作为网络行为的安全基线,实现网络异常行为的分析和检测。
本发明实施例提供的网络异常行为检测方法,通过预先配置的时间行为安全基线从待测时间行为数据中获取目标待测时间值,将该目标待测时间值输入基于时间行为安全基线对时间行为样本数据进行训练得到的时间行为安全基线梯度树中,在时间行为安全基线梯度树中查找该目标待测时间值,若未查询到,则判定为异常行为,输出异常告警信息,实现了网络异常行为的检测。其中的时间行为安全基线梯度树作为网络异常行为检测的基准,通过对时间行为样本数据进行深度学习创建,能够较好地识别未知和新出现的网络攻击行为,保证网络环境的安全。
基于图1对应实施例的网络异常行为检测方法及图2至图4对应实施例的时间行为安全基线梯度树构建方法,下面以配置的时间行为安全基线是timeModel(method=“range”,target=fields[“网站登录时间”],type=[“星期”,“小时”])为例,对本发明实施例提供的网络异常行为检测方法做进一步的举例说明。图5示意性示出了本发明实施例提供的网络异常行为检测方法的流程图之二,参照图5所示,该网络异常行为检测方法可以包括如下的步骤501~步骤516。
步骤501中,配置时间行为安全基线。
示例性的,可以显示时间行为安全基线配置界面,该界面中可以包括基线类型参数method、目标时间行为参数target和时间梯度信息参数type的配置控件,响应于在任一配置控件中的配置操作,配置对应的参数,响应于在时间行为安全基线配置界面上的配置操作,生成时间行为安全基线。
本示例实施例中配置的时间行为安全基线比如为timeModel(method=“range”,target=fields[“网站登录时间”],type=[“星期”,“小时”]),表示该时间行为安全基线针对的检测或深度学习的内容是:用户登录当前网站的星期和对应的具体登录小时的时间范围。
步骤502中,基于时间行为安全基线构建时间行为安全基线梯度树。时间行为安全基线梯度树的构建方法可参照图2对应实施例的方法,此处不再赘述。
步骤503中,获取待测时间行为数据。
步骤504中,根据目标时间行为参数target从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值。
步骤505中,将目标待测时间值输入时间行为安全基线梯度树中。
步骤506中,将时间行为安全基线梯度树的根节点设置为当前树节点,且将时间梯度信息参数type中的第一个时间梯度设置为当前时间梯度。
步骤507中,判断当前时间梯度是否为type中的最后一个时间梯度。若不是,则执行步骤508;若是,则执行步骤511。
步骤508中,根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第一梯度时间值。
步骤509中,查询当前树节点是否包含第一梯度时间值。若包含,则执行步骤510,否则执行步骤516。
步骤510中,将当前树节点更新为查询出的第一梯度时间值对应的子树节点,且将当前时间梯度更新为当前时间梯度的下一个时间梯度。然后跳转至步骤507继续判断。
步骤511中,根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第二梯度时间值。
步骤512中,确定基线类型参数method的类型。若为时间区间类型range,则执行步骤513;若为时间点类型point,则执行步骤514。
在本示例实施例中,method=“range”,则执行步骤513。
步骤513中,判断第二梯度时间值是否在range限定的时间范围内,也即判断第二梯度时间值是否大于等于range的最小值且小于等于range的最大值。若在range限定的时间范围内,则执行步骤515,否则确定出未查询到目标待测时间值,执行步骤516。
步骤514中,判断第二梯度时间值是否记录在当前树节点中。若记录在当前树节点中,则执行步骤515,否则确定出未查询到目标待测时间值,执行步骤516。
步骤515中,输出未检测到异常的提示信息。
步骤516中,输出异常告警信息。
本示例实施例提供的网络异常行为检测方法,可以通过对时间行为样本数据进行深度学习创建时间行为安全基线梯度树,将时间行为安全基线梯度树作为网络异常行为检测的基准,实现了网络异常行为的检测,不仅可以对已知的网络攻击行为进行检测,还能够较好地识别未知和新出现的网络攻击行为,保证了网络环境的安全。
下面对本发明提供的网络异常行为检测装置进行描述,下文描述的网络异常行为检测装置与上文描述的网络异常行为检测方法可以相互对应参照。
图6示意性示出了本发明实施例提供的网络异常行为检测装置的结构示意图,参照图6所示,该网络异常行为检测装置600可以包括第一获取模块610、第二获取模块620、查询模块630和输出模块640。其中,第一获取模块610可以用于获取待测时间行为数据;第二获取模块620可以用于根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;查询模块630可以用于将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,所述时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到;输出模块640可以用于响应于未查询到目标待测时间值,输出异常告警信息。
一种示例实施例中,时间行为安全基线中可以包括目标时间行为,第二获取模块620可以具体用于根据目标时间行为,从待测时间行为数据中查找对应于目标时间行为的时间值。
一种示例实施例中,时间行为安全基线中可以包括时间梯度信息,查询模块630可以包括第一确定单元、第一查询单元和第二确定单元。其中,第一确定单元可以用于从时间行为安全基线梯度树的根节点及时间梯度信息中的第一个时间梯度开始查询,响应于当前时间梯度不是时间梯度信息中的最后一个时间梯度,根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第一梯度时间值;第一查询单元可以用于查询时间行为安全基线梯度树的当前树节点是否包含第一梯度时间值;第二确定单元可以用于响应于时间行为安全基线梯度树的当前树节点中未包含第一梯度时间值,确定出未查询到目标待测时间值。
一种示例实施例中,查询模块630还可以包括第二查询单元,该第二查询单元可以用于响应于时间行为安全基线梯度树的当前树节点中包含第一梯度时间值,基于当前时间梯度的下一个时间梯度在当前树节点的子树节点中查询目标待测时间值。
一种示例实施例中,时间行为安全基线中还可以包括基线类型,查询模块630还可以包括第三确定单元和第三查询单元。其中,第三确定单元可以用于响应于当前时间梯度为时间梯度信息中的最后一个时间梯度,根据当前时间梯度的类型从目标待测时间值中确定当前时间梯度的时间值,得到第二梯度时间值;第三查询单元可以用于基于第二梯度时间值和基线类型查询目标待测时间值。
一种示例实施例中,第三查询单元可以包括第一确定子单元,该第一确定子单元可以用于响应于基线类型为时间区间,确定第二梯度时间值是否在时间区间限定的时间范围内;响应于第二梯度时间值未在时间区间限定的时间范围内,确定出未查询到目标待测时间值。
一种示例实施例中,第三查询单元可以包括第二确定子单元,该第二确定子单元可以用于响应于基线类型为时间点,确定第二梯度时间值是否记录在当前树节点中;响应于第二梯度时间值未记录在当前树节点中,确定出未查询到目标待测时间值。
一种示例实施例中,网络异常行为检测装置600还可以包括构建模块,该构建模块可以用于构建时间行为安全基线梯度树,该构建模块可以包括第一获取子模块、第二获取子模块和处理子模块。其中,第一获取子模块可以用于获取时间行为样本数据;第二获取子模块可以用于根据时间行为安全基线从时间行为样本数据中获取目标时间行为的时间值,得到目标时间学习值;处理子模块可以用于基于所述时间行为安全基线对所述目标时间学习值进行处理,得到所述时间行为安全基线梯度树。
一种示例实施例中,时间行为安全基线中可以包括目标时间行为、时间梯度信息和基线类型,处理子模块可以包括第一创建单元、设置单元和第四确定单元。其中,第一创建单元可以用于创建梯度树根节点;设置单元可以用于将梯度树根节点设置为当前学习节点,且将时间梯度信息中的第一个时间梯度设置为当前时间学习梯度;第四确定单元可以用于响应于当前时间学习梯度为时间梯度信息中的最后一个时间梯度,根据当前时间学习梯度的类型、目标时间学习值和基线类型确定当前学习节点的时间值。
一种示例实施例中,处理子模块还可以包括第五确定单元、第四查询单元、第二创建单元和保存单元。其中,第五确定单元可以用于响应于当前时间学习梯度不是时间梯度信息中的最后一个时间梯度,根据当前时间学习梯度的类型从目标时间学习值中确定当前时间学习梯度的时间值;第四查询单元可以用于基于当前时间学习梯度的时间值在当前学习节点中查询对应的子树节点;第二创建单元可以用于响应于未查询到子树节点,为当前学习节点新建一个子树节点,并将当前时间学习梯度的时间值和新建的子树节点关联,得到子树节点关联信息;保存单元可以用于将子树节点关联信息保存在当前学习节点中。
一种示例实施例中,处理子模块还可以包括更新单元,该更新单元可以用于响应于查询到子树节点,更新当前学习节点为查询到的子树节点,并更新当前时间学习梯度为当前时间学习梯度的下一个时间梯度。
一种示例实施例中,第四确定单元可以包括第三确定子单元和第四确定子单元。其中,第三确定子单元可以用于根据当前时间学习梯度的类型从目标时间学习值中确定当前时间学习梯度的时间值;第四确定子单元可以用于基于当前时间学习梯度的时间值和基线类型确定当前学习节点的时间值。
一种示例实施例中,第四确定子单元可以具体用于:响应于基线类型为时间点,查询当前学习节点中是否记录有当前时间学习梯度的时间值;响应于当前学习节点中未记录当前时间学习梯度的时间值,将当前时间学习梯度的时间值保存在当前学习节点中。
一种示例实施例中,第四确定子单元还可以具体用于:响应于基线类型为时间区间,查询当前学习节点中是否记录有时间区间信息;响应于当前学习节点中未记录时间区间信息,将当前时间学习梯度的时间值作为区间的最大值和最小值构建时间区间;将构建的时间区间保存在当前学习节点中。
一种示例实施例中,第四确定子单元还可以具体用于在查询当前学习节点中是否记录有时间区间信息之后,响应于当前学习节点中记录有时间区间信息且当前时间学习梯度的时间值小于时间区间信息的最小值,将时间区间信息的最小值更新为当前时间学习梯度的时间值。
一种示例实施例中,第四确定子单元还可以具体用于在查询当前学习节点中是否记录有时间区间信息之后,响应于当前学习节点中记录有时间区间信息且当前时间学习梯度的时间值大于时间区间信息的最大值,将时间区间信息的最大值更新为当前时间学习梯度的时间值。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备700可以包括:处理器(processor)710、通信接口(Communication Interface)720、存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存储器730可以通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令,以执行如图1对应实施例的网络异常行为检测方法:获取待测时间行为数据;根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到;响应于未查询到目标待测时间值,输出异常告警信息。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,可以实现如图1对应实施例的网络异常行为检测方法:获取待测时间行为数据;根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到;响应于未查询到目标待测时间值,输出异常告警信息。
又一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,可以实现如图1对应实施例的网络异常行为检测方法:获取待测时间行为数据;根据预先配置的时间行为安全基线从待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;将目标待测时间值输入时间行为安全基线梯度树中,基于时间行为安全基线在时间行为安全基线梯度树中查询目标待测时间值,时间行为安全基线梯度树基于时间行为安全基线对时间行为样本数据进行训练得到;响应于未查询到目标待测时间值,输出异常告警信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (20)
1.一种网络异常行为检测方法,其特征在于,应用于网络攻击的安全分析和检测场景中,所述方法包括:
获取待测时间行为数据;
根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;所述时间行为安全基线的参数包括目标时间行为、时间梯度信息和基线类型中的至少一个;所述时间梯度信息表示时间的层次;所述基线类型用于表示所述时间行为安全基线的时间类型;
将所述目标待测时间值输入时间行为安全基线梯度树中,基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值,所述时间行为安全基线梯度树基于所述时间行为安全基线对时间行为样本数据进行训练得到;
响应于未查询到所述目标待测时间值,输出异常告警信息。
2.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述时间行为安全基线中包括目标时间行为,所述根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值包括:
根据所述目标时间行为,从所述待测时间行为数据中查找对应于所述目标时间行为的时间值。
3.根据权利要求1所述的网络异常行为检测方法,其特征在于,所述时间行为安全基线中包括时间梯度信息,所述基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值包括:
从所述时间行为安全基线梯度树的根节点及所述时间梯度信息中的第一个时间梯度开始查询,响应于当前时间梯度不是所述时间梯度信息中的最后一个时间梯度,根据所述当前时间梯度的类型从所述目标待测时间值中确定所述当前时间梯度的时间值,得到第一梯度时间值;
查询所述时间行为安全基线梯度树的当前树节点是否包含所述第一梯度时间值;
响应于所述时间行为安全基线梯度树的当前树节点中未包含所述第一梯度时间值,确定出未查询到所述目标待测时间值。
4.根据权利要求3所述的网络异常行为检测方法,其特征在于,在查询所述时间行为安全基线梯度树的当前树节点是否包含所述第一梯度时间值之后,所述网络异常行为检测方法还包括:
响应于所述时间行为安全基线梯度树的当前树节点中包含所述第一梯度时间值,基于所述当前时间梯度的下一个时间梯度在所述当前树节点的子树节点中查询所述目标待测时间值。
5.根据权利要求3所述的网络异常行为检测方法,其特征在于,所述时间行为安全基线中还包括基线类型,所述基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值还包括:
响应于当前时间梯度为所述时间梯度信息中的最后一个时间梯度,根据所述当前时间梯度的类型从所述目标待测时间值中确定所述当前时间梯度的时间值,得到第二梯度时间值;
基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值。
6.根据权利要求5所述的网络异常行为检测方法,其特征在于,所述基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值包括:
响应于所述基线类型为时间区间,确定所述第二梯度时间值是否在所述时间区间限定的时间范围内;
响应于所述第二梯度时间值未在所述时间区间限定的时间范围内,确定出未查询到所述目标待测时间值。
7.根据权利要求5所述的网络异常行为检测方法,其特征在于,所述基于所述第二梯度时间值和所述基线类型查询所述目标待测时间值包括:
响应于所述基线类型为时间点,确定所述第二梯度时间值是否记录在所述当前树节点中;
响应于所述第二梯度时间值未记录在所述当前树节点中,确定出未查询到所述目标待测时间值。
8.根据权利要求1所述的网络异常行为检测方法,其特征在于,还包括构建所述时间行为安全基线梯度树的步骤,所述构建所述时间行为安全基线梯度树的步骤包括:
获取所述时间行为样本数据;
根据所述时间行为安全基线从所述时间行为样本数据中获取目标时间行为的时间值,得到目标时间学习值;
基于所述时间行为安全基线对所述目标时间学习值进行处理,得到所述时间行为安全基线梯度树。
9.根据权利要求8所述的网络异常行为检测方法,其特征在于,所述时间行为安全基线中包括目标时间行为、时间梯度信息和基线类型,所述基于所述时间行为安全基线对所述目标时间学习值进行处理包括:
创建梯度树根节点;
将所述梯度树根节点设置为当前学习节点,且将所述时间梯度信息中的第一个时间梯度设置为当前时间学习梯度;
响应于所述当前时间学习梯度为所述时间梯度信息中的最后一个时间梯度,根据所述当前时间学习梯度的类型、所述目标时间学习值和所述基线类型确定所述当前学习节点的时间值。
10.根据权利要求9所述的网络异常行为检测方法,其特征在于,还包括:
响应于所述当前时间学习梯度不是所述时间梯度信息中的最后一个时间梯度,根据所述当前时间学习梯度的类型从所述目标时间学习值中确定所述当前时间学习梯度的时间值;
基于所述当前时间学习梯度的时间值在所述当前学习节点中查询对应的子树节点;
响应于未查询到子树节点,为所述当前学习节点新建一个子树节点,并将所述当前时间学习梯度的时间值和新建的子树节点关联,得到子树节点关联信息;
将所述子树节点关联信息保存在所述当前学习节点中。
11.根据权利要求10所述的网络异常行为检测方法,其特征在于,在基于所述当前时间学习梯度的时间值在所述当前学习节点中查询对应的子树节点之后,所述网络异常行为检测方法还包括:
响应于查询到子树节点,更新所述当前学习节点为查询到的所述子树节点,并更新所述当前时间学习梯度为所述当前时间学习梯度的下一个时间梯度。
12.根据权利要求9所述的网络异常行为检测方法,其特征在于,所述根据所述当前时间学习梯度的类型、所述目标时间学习值和所述基线类型确定所述当前学习节点的时间值包括:
根据所述当前时间学习梯度的类型从所述目标时间学习值中确定所述当前时间学习梯度的时间值;
基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值。
13.根据权利要求12所述的网络异常行为检测方法,其特征在于,所述基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值包括:
响应于所述基线类型为时间点,查询所述当前学习节点中是否记录有所述当前时间学习梯度的时间值;
响应于所述当前学习节点中未记录所述当前时间学习梯度的时间值,将所述当前时间学习梯度的时间值保存在所述当前学习节点中。
14.根据权利要求12所述的网络异常行为检测方法,其特征在于,所述基于所述当前时间学习梯度的时间值和所述基线类型确定所述当前学习节点的时间值包括:
响应于所述基线类型为时间区间,查询所述当前学习节点中是否记录有时间区间信息;
响应于所述当前学习节点中未记录时间区间信息,将所述当前时间学习梯度的时间值作为区间的最大值和最小值构建时间区间;
将构建的时间区间保存在所述当前学习节点中。
15.根据权利要求14所述的网络异常行为检测方法,其特征在于,在查询所述当前学习节点中是否记录有时间区间信息之后,所述网络异常行为检测方法还包括:
响应于所述当前学习节点中记录有时间区间信息且所述当前时间学习梯度的时间值小于所述时间区间信息的最小值,将所述时间区间信息的最小值更新为所述当前时间学习梯度的时间值。
16.根据权利要求14所述的网络异常行为检测方法,其特征在于,在查询所述当前学习节点中是否记录有时间区间信息之后,所述网络异常行为检测方法还包括:
响应于所述当前学习节点中记录有时间区间信息且所述当前时间学习梯度的时间值大于所述时间区间信息的最大值,将所述时间区间信息的最大值更新为所述当前时间学习梯度的时间值。
17.一种网络异常行为检测装置,其特征在于,应用于网络攻击的安全分析和检测场景中,所述装置包括:
第一获取模块,用于获取待测时间行为数据;
第二获取模块,用于根据预先配置的时间行为安全基线从所述待测时间行为数据中获取目标时间行为的时间值,得到目标待测时间值;所述时间行为安全基线的参数包括目标时间行为、时间梯度信息和基线类型中的至少一个;所述时间梯度信息表示时间的层次;所述基线类型用于表示所述时间行为安全基线的时间类型;
查询模块,用于将所述目标待测时间值输入时间行为安全基线梯度树中,基于所述时间行为安全基线在所述时间行为安全基线梯度树中查询所述目标待测时间值,所述时间行为安全基线梯度树基于所述时间行为安全基线对时间行为样本数据进行训练得到;
输出模块,用于响应于未查询到所述目标待测时间值,输出异常告警信息。
18.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至16中任一项所述的网络异常行为检测方法的步骤。
19.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至16中任一项所述的网络异常行为检测方法的步骤。
20.一种计算机程序产品,其上存储有可执行指令,其特征在于,所述可执行指令被处理器执行时使所述处理器实现如权利要求1至16中任一项所述的网络异常行为检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210301976.7A CN114944929B (zh) | 2022-03-24 | 2022-03-24 | 网络异常行为检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210301976.7A CN114944929B (zh) | 2022-03-24 | 2022-03-24 | 网络异常行为检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114944929A CN114944929A (zh) | 2022-08-26 |
| CN114944929B true CN114944929B (zh) | 2024-07-05 |
Family
ID=82905819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210301976.7A Active CN114944929B (zh) | 2022-03-24 | 2022-03-24 | 网络异常行为检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114944929B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111931860A (zh) * | 2020-09-01 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 异常数据检测方法、装置、设备及存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106470118B (zh) * | 2015-08-21 | 2019-11-08 | 睿石网云(北京)科技有限公司 | 一种应用系统性能异常检测方法和系统 |
| US10673880B1 (en) * | 2016-09-26 | 2020-06-02 | Splunk Inc. | Anomaly detection to identify security threats |
| CN109922072B (zh) * | 2019-03-18 | 2021-07-16 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法及装置 |
| CN111131185B (zh) * | 2019-12-06 | 2022-12-09 | 中国电子科技网络信息安全有限公司 | 基于机器学习的can总线网络异常检测方法及装置 |
| CN112685459A (zh) * | 2020-11-16 | 2021-04-20 | 中国南方电网有限责任公司 | 一种基于K-means集群算法的攻击源特征识别方法 |
-
2022
- 2022-03-24 CN CN202210301976.7A patent/CN114944929B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111931860A (zh) * | 2020-09-01 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 异常数据检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114944929A (zh) | 2022-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111949803B (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
| CN111694718A (zh) | 内网用户异常行为识别方法、装置、计算机设备及可读存储介质 | |
| CN110941632A (zh) | 一种数据库审计方法、装置及设备 | |
| CN111478889A (zh) | 一种告警方法及装置 | |
| CN106933916B (zh) | Json字符串的处理方法及装置 | |
| CN113722134A (zh) | 一种集群故障处理方法、装置、设备及可读存储介质 | |
| CN109582504A (zh) | 一种用于苹果设备的数据恢复方法和装置 | |
| CN114329452A (zh) | 一种异常行为检测方法、装置及相关设备 | |
| CN114944929B (zh) | 网络异常行为检测方法、装置、电子设备及存储介质 | |
| CN115454781B (zh) | 基于企业架构系统的数据可视化展现方法及系统 | |
| CN114760109B (zh) | 用于安全分析的数值行为安全基线生成方法及装置 | |
| CN115630167A (zh) | 一种数据点的交叉关系展示方法、装置和设备 | |
| CN113014587B (zh) | 一种api检测方法、装置、电子设备及存储介质 | |
| CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
| CN109784053B (zh) | 过滤规则的生成方法、装置、及存储介质、电子装置 | |
| CN113935572A (zh) | 通用型线上产品异音智能检测系统及设备 | |
| CN114640509B (zh) | 用于安全分析的实时频率行为安全基线生成方法及装置 | |
| CN112612996B (zh) | 一种抽样时间粒度选取方法、装置、电子设备及存储介质 | |
| CN112380540B (zh) | Android应用安全检测方法及装置 | |
| CN115883320B (zh) | 网络设备异常分析方法、装置、电子设备及可读存储介质 | |
| CN113553587B (zh) | 一种文件检测方法、装置、设备及可读存储介质 | |
| CN110633311B (zh) | 一种数据处理方法、装置及存储介质 | |
| CN117312689B (zh) | 信息管理平台管理分析方法、系统、存储介质及智能终端 | |
| CN114615037A (zh) | 用于安全分析的实时空间行为安全基线生成方法及装置 | |
| CN112100661B (zh) | 一种数据处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |