CN114969738B - 一种接口异常行为监测方法、系统、装置及存储介质 - Google Patents
一种接口异常行为监测方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN114969738B CN114969738B CN202210586246.6A CN202210586246A CN114969738B CN 114969738 B CN114969738 B CN 114969738B CN 202210586246 A CN202210586246 A CN 202210586246A CN 114969738 B CN114969738 B CN 114969738B
- Authority
- CN
- China
- Prior art keywords
- behavior
- interface
- determining
- user
- long sequence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Probability & Statistics with Applications (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种接口异常行为监测方法、系统、装置及存储介质,其中,方法包括:获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为;本发明能够提高异常接口行为的监测准确率,可广泛应用于数据安全技术领域。
Description
技术领域
本发明涉及数据安全技术领域,尤其是一种接口异常行为监测方法、系统、装置及存储介质。
背景技术
目前,携带敏感数据的数据接口往往存在数据滥用、泄露等问题,是影响数据安全和个人信息保护的重要风险来源。现有接口异常监测方法一般采用配置方式、黑名单、特征模型等方式对独立单项用户行为、属性进行特征提炼,从数据安全的角度分析,这些方法缺少对接口行为的操作顺序进行合理性判断,其异常监测准确率偏低。
发明内容
有鉴于此,本发明实施例提供一种简单实用的接口异常行为监测方法、系统、装置及存储介质。
一方面,本发明提供了一种接口异常行为监测方法,包括:
获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为。
可选地,所述获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合,包括:
从日志系统中读取接口行为日志;
对接口行为日志中所有用户的接口行为进行字符标识,确定接口行为标识集合。
可选地,所述根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列,包括:
获取所述接口行为标识集合中每一个接口行为的接口行为时间;
根据所述接口行为时间,对第一时间段内所述接口行为标识集合中同一用户的接口行为标识进行时间排列,确定初始行为长序列。
可选地,所述根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列。
可选地,所述根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率,包括:
根据马尔科夫链对所述目标行为长序列中的每一个接口行为概率进行计算,确定接口行为概率;
根据所述接口行为概率确定每一个用户的用户长序列概率矩阵。
可选地,在所述将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为之前,包括:
对每一个用户的用户长序列概率矩阵进行拼接处理,确定群体行为概率矩阵。
另一方面,本发明实施例还公开了一种接口异常行为监测系统,包括:
第一模块,用于获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
第二模块,用于根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
第四模块,用于根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
第五模块,用于将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为。
可选地,所述第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
第一单元,用于根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
第二单元,用于根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列。
另一方面,本发明实施例还公开了一种电子装置,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如前面所述的方法。
另一方面,本发明实施例还公开了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的方法。
另一方面,本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行前面的方法。
本发明采用以上技术方案与现有技术相比,具有以下技术效果:本发明实施例通过获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为;本发明实施例通过加权马尔可夫模型对接口行为间的转移概率进行计算,提高了异常监测的准确性和扩大了监测范围。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的一种接口异常行为监测方法流程图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
参照图1,本发明实施例提供了一种接口异常行为监测方法,包括:
S101、获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
S102、根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
S103、根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
S104、根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
S105、将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为。
其中,用户的接口行为保存在接口行为日志中,通过对接口行为日志进行分析,从而对用户接口行为进行监测,能够得到接口异常行为。本发明实施例通过获取接口行为日志,对接口行为日志中的用户接口行为进行标识,得到接口行为标识集合。接口行为标识集合为对所有用户的接口行为进行标识后得到的集合。接着,本实施例根据接口行为时间对接口行为集合中每一个接口行为进行排列,得到初始行为长序列,初始行为长序列为同一用户在同一时间段内的接口行为按照时间发展先后顺序进行排列得到的长序列。然后,根据加权马尔可夫模型的特性,即无后效性和无记忆性,初始行为长序列中的某一项接口行为依赖于且仅依赖于前一项接口行为,从而重新编排构造得到目标行为长序列。紧接着,本实施例根据加权马尔可夫模型的转移概率公式,对目标行为长序列的转移概率进行计算,得到每一个用户的用户长序列概率矩阵。将用户长序列概率矩阵与群体行为概率矩阵进行对比,群体行为概率矩阵为所有用户长序列概率矩阵的组合,通过对比某一用户的长序列概率矩阵与群体行为概率矩阵的差异,能够得到异常接口行为。需要说明的是,本实施例中马尔可夫模型可以为一阶模型、二阶模型或多阶模型,并且对马尔可夫模型进行改进得到加权马尔可夫模型,使得模型既体现了频次的信息,又考虑到行为依赖关系,从而更好地反馈接口行为的特征情况。因此本实施例能够通过加权马尔可夫模型分析用户接口行为间的转移概率进行异常接口行为监测,既提高了监测的准确率,也扩大了监测的范围。
进一步作为优选的实施方式,上述步骤S101中,所述获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合,包括:
从日志系统中读取接口行为日志;
对接口行为日志中所有用户的接口行为进行字符标识,确定接口行为标识集合。
其中,本发明实施例从日志系统中读取接口行为日志,接口行为日志中保存有每个用户的接口行为记录为,根据接口行为日志对所有用户接口行为进行字符标识,字符标识可采用数字、字母、标点符号等进行标识,本实施例中首先采用小写英文符号对不同用户的接口行为标识,如第一个用户的所有接口行为使用字符a进行标识,第二个用户的所有接口行为使用字符b进行标识,以此类推,若超过26个英文字符还可以采用其他字符进行补充;接着本实施例使用数字对第一次标识的接口行为进行二次标识,如第一个用户的接口行为标识为:a1、a2、a3,如第一个用户的接口行为标识为:b1、b2、b3等,最终得到所有用户的接口行为标识集合。
进一步作为优选的实施方式,上述步骤S102中,所述根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列,包括:
获取所述接口行为标识集合中每一个接口行为的接口行为时间;
根据所述接口行为时间,对第一时间段内所述接口行为标识集合中同一用户的接口行为标识进行时间排列,确定初始行为长序列。
其中,本发明实施例对接口行为标识集合中的每一个接口行为的接口行为时间进行记录,在第一时间段内对接口行为标识集合中同一用户的接口行为标识进行时间排列,得到初始行为长序列。具体地,本实施例设置第一时间段为十二点二十分至十四点二十分,可以理解的是本实施例的第一时间段可根据实际情况进行自主设置。本实施例在第一时间段内将用户接口行为时间符合这一时间段的接口行为按照时间先后顺序进行排列,得到每一个用户的初始行为长序列,如一个初始行为长序列为:{t1,t5,t3,t6,t2,t5,t9}。
进一步作为优选的实施方式,上述步骤S103中,所述根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列。
其中,本发明实施例根据加权马尔可夫模型确定初始行为长序列的行为依赖关系,即初始行为长序列的马尔可夫性,马尔可夫性也叫做无后效性、无记忆性,即是过去只能影响现在,不能影响将来,把初始行为长序列的接口行为按顺序编成两两一组形成行为组,形成新的目标行为长序列。由于用户的一次操作用多个接口行为组成,而用户的一次操作中接口行为的时间间隔很短,可以通过对训练集进行计算连接两次用户操作的时间差形成数组,对数组进行异常值剔除,取最小值作为操作阈值。操作阈值的作用是区分用户的操作,以免因把多次用户操作误认为一次用户操作而导致模型判断异常情况误差过大。根据操作阈值对初始行为长序列进行分离操作,得到有限个离散变量组成的长序列,并且可用离散时间的n阶马尔科夫链来描述,n表示为正整数,把长序列中前后n个接口行为进行组合,得到目标行为长序列(X1,X2,...,Xm),其中X为目标行为长序列的用户接口行为,m为用户接口行为总数。
进一步作为优选的实施方式,上述步骤S104中,所述根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率,包括:
根据马尔科夫链对所述目标行为长序列中的每一个接口行为概率进行计算,确定接口行为概率;
根据所述接口行为概率确定每一个用户的用户长序列概率矩阵。
其中,本发明实施例中的目标行为长序列包含有有限个离散变量的用户接口行为,通过使用离散时间的n阶马尔科夫链对用户接口行为进行描述,通过转移概率计算每个接口行为在目标行为长序列中出现的概率,从而得到每一个用户的用户长序列概率矩阵。本实施例根据转移概率计算每个接口行为在目标行为长序列中出现的概率,转移概率公式为:
P(Xt|Xt-1,Xt-2,...,Xt-n)
=P(Xt∩Xt-1,Xt-2,...,Xt-n)/P(Xt-1,Xt-2,...,Xt-n)
=P(Xt,Xt-1,Xt-2,...,Xt-n)/P(Xt-1,Xt-2,...,Xt-n)
=C(Xt-n,...,Xt)/C(Xt-n,...,Xt-1)
上式中,P(Xt|Xt-1,Xt-2,...,Xt-n)为n阶马尔科夫(Markov链)模型的转移概率,t为正整数,C(Xt-n,...,Xt)是接口行为(Xt-n,...,Xt)在目标行为长序列(X1,X2,...,Xm)出现的频次。
式中,i为正整数,此加权Marko模型包括了接口行为在目标行为长序列出现频率的信息,又考虑了接口行为构成的上下文关系,因此可以更好反映接口行为操作特征情况。
进一步作为优选的实施方式,在所述将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为之前,包括:
对每一个用户的用户长序列概率矩阵进行拼接处理,确定群体行为概率矩阵。
其中,根据每一个用户的用户长序列概率矩阵,对同一时间段内的用户长序列概率矩阵进行拼接处理,得到群体行为概率矩阵,群体行为概率矩阵的矩阵行代表不同的用户,矩阵列表示是同一行为下不同用户的行为概率。
本发明的流程具体包括:本实施例基于加权马尔可夫模型的特性,某一项的接口行为依赖于且仅依赖于前一项的接口行为,从而重新构造得到目标行为长序列。将所有用户的的目标行为长序列进行拼接即可得到群体行为概率矩阵,本实施例对群体行为概率矩阵进行归一化处理,保证了规则的一致性。本实施例把归一化后的群体行为概率矩阵通过k-means聚类算法进行欧几里得距离计算,计算簇内每个点到簇中心的距离,将距离跟阈值相比较,如果其大于阈值则认为是异常,否则正常。k-means聚类算法中阈值的计算通过正态分布图法获得,如果数据点落在偏离均值正负2倍标准差之外的概率就不足5%,它属于小概率事件,即认为这样的数据点为异常点。同理,如果数据点落在偏离均值正负3倍标准差之外的概率将会更小,可以认为这些数据点为极端异常点。本实施例采用采用戴维森堡丁指数(DBI)判定聚类效果,戴维森堡丁指数(Davies Bouldin index,DBI)是由大卫L·戴维斯和唐纳德·堡丁提出的一种评估聚类算法优劣的指标,其中,S={S1,S2,...,Sk}表示簇。首先计算两个簇Si、Sj各自样本间的平均距离avg(S)之和及两个簇中心点ω之间的距离,然后统计所有簇的相似度的最大值,对其求均值即可得到DBI指数。DBI最小值为0,DBI指数越小,相同类别内元素之间距离越小,不同类别间距离越大,代表聚类效果越好。本实施例通过采用K-means算法等对群体行为概率进行分析,从而找到异常长序列,监测得到异常接口行为。
另一方面,本发明实施例还公开了一种接口异常行为监测系统,包括:
第一模块,用于获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
第二模块,用于根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
第四模块,用于根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
第五模块,用于将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为。
可选地,所述第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
第一单元,用于根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
第二单元,用于根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列。
与图1的方法相对应,本发明实施例还提供了一种电子装置,包括处理器以及存储器;所述存储器用于存储程序;所述处理器执行所述程序实现如前面所述的方法。
与图1的方法相对应,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有程序,所述程序被处理器执行实现如前面所述的方法。
本发明实施例还公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行图1所示的方法。
相关技术通过对这些记录进行分析和挖掘来建立一个学习模式知识库;基于社交标识来建立群体行为模式,用于计算异常行为系数;建立一定的时间段内自我更新机制,用于更新收集到的动态权重;或使用神经网络模型学习每个用户子类的行为模式,获得了正常行为模式的包络,使用训练好的神经网络预测得到客户后续正常的API接口调用行为,预测行为和客户实际API接口调用行为做比较。但是相关技术使用用户画像技术存在的主观性特征,标签准确性存在失真可能,而且用户画像存在稀疏性,使用范围有限,且没有对用户接口行为的顺序关系进行分析,监测准确率较低,且监测范围较小。
综上所述,本发明实施例具有以下优点:本发明使用加权马尔可夫模型的接口行为依赖属性计算概率,属于客观性指标,并且没有稀疏性,提高了异常行为监测的准确率,并扩大了监测范围。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外,在本发明的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本发明,但应当理解的是,除非另有相反说明,所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本发明的范围,本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管已经示出和描述了本发明的实施例,本领域的普通技术人员可以理解:在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由权利要求及其等同物限定。
以上是对本发明的较佳实施进行了具体说明,但本发明并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (7)
1.一种接口异常行为监测方法,其特征在于,包括:
获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为;
所述根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列;
在所述将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为之前,包括:
对每一个用户的用户长序列概率矩阵进行拼接处理,确定群体行为概率矩阵;
所述将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为,包括:
通过K-means算法对所述群体行为概率矩阵进行分析,从而找到异常长序列,确定异常接口行为。
2.根据权利要求1所述的一种接口异常行为监测方法,其特征在于,所述获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合,包括:
从日志系统中读取接口行为日志;
对接口行为日志中所有用户的接口行为进行字符标识,确定接口行为标识集合。
3.根据权利要求1所述的一种接口异常行为监测方法,其特征在于,所述根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列,包括:
获取所述接口行为标识集合中每一个接口行为的接口行为时间;
根据所述接口行为时间,对第一时间段内所述接口行为标识集合中同一用户的接口行为标识进行时间排列,确定初始行为长序列。
4.根据权利要求1所述的一种接口异常行为监测方法,其特征在于,所述根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率,包括:
根据马尔科夫链对所述目标行为长序列中的每一个接口行为概率进行计算,确定接口行为概率;
根据所述接口行为概率确定每一个用户的用户长序列概率矩阵。
5.一种接口异常行为监测系统,其特征在于,包括:
第一模块,用于获取接口行为日志,对所述接口行为日志中的用户接口行为进行标识,确定接口行为标识集合;
第二模块,用于根据接口行为时间对所述接口行为标识集合进行排列,确定初始行为长序列;
第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列;
第四模块,用于根据转移概率计算公式对所述目标行为长序列进行计算,确定用户长序列概率矩阵;
第五模块,用于将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为;
所述第三模块,用于根据加权马尔可夫模型对所述初始行为长序列进行编排,确定目标行为长序列,包括:
第一单元,用于根据加权马尔可夫模型确定所述初始行为长序列的行为依赖关系;
第二单元,用于根据所述行为依赖关系对所述初始行为长序列进行编排,确定目标行为长序列;
在所述第五模块,用于将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为之前,包括:
对每一个用户的用户长序列概率矩阵进行拼接处理,确定群体行为概率矩阵;
所述第五模块,用于将所述用户长序列概率矩阵与群体行为概率矩阵进行对比,确定异常接口行为,包括:
通过K-means算法对所述群体行为概率矩阵进行分析,从而找到异常长序列,确定异常接口行为。
6.一种电子装置,其特征在于,包括处理器以及存储器;
所述存储器用于存储程序;
所述处理器执行所述程序实现如权利要求1-4中任一项所述的方法。
7.一种计算机可读存储介质,其特征在于,所述存储介质存储有程序,所述程序被处理器执行实现如权利要求1-4中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210586246.6A CN114969738B (zh) | 2022-05-27 | 2022-05-27 | 一种接口异常行为监测方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210586246.6A CN114969738B (zh) | 2022-05-27 | 2022-05-27 | 一种接口异常行为监测方法、系统、装置及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114969738A CN114969738A (zh) | 2022-08-30 |
CN114969738B true CN114969738B (zh) | 2023-04-18 |
Family
ID=82955572
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210586246.6A Active CN114969738B (zh) | 2022-05-27 | 2022-05-27 | 一种接口异常行为监测方法、系统、装置及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114969738B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109919234A (zh) * | 2019-03-12 | 2019-06-21 | 辽宁工程技术大学 | 一种基于系统聚类的加权马尔科夫滑坡预警方法 |
CN110232090A (zh) * | 2019-05-29 | 2019-09-13 | 北京理工大学 | 一种多视角时间序列异常点集成检测和可视化方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103258193B (zh) * | 2013-05-21 | 2016-06-22 | 西南科技大学 | 一种基于kod能量特征的群体异常行为识别方法 |
CN105787365A (zh) * | 2014-12-24 | 2016-07-20 | Tcl集团股份有限公司 | 一种恶意应用程序的检测方法及装置 |
CN108616545B (zh) * | 2018-06-26 | 2021-06-29 | 中国科学院信息工程研究所 | 一种网络内部威胁的检测方法、系统及电子设备 |
CN109889538B (zh) * | 2019-03-20 | 2021-09-21 | 中国工商银行股份有限公司 | 用户异常行为检测方法及系统 |
CN113901455A (zh) * | 2021-10-13 | 2022-01-07 | 北京天融信网络安全技术有限公司 | 一种异常操作行为检测方法、装置、设备及介质 |
CN114003908A (zh) * | 2021-11-08 | 2022-02-01 | 北京京航计算通讯研究所 | 一种Windows PE病毒样本API标注方法及系统 |
CN114238885A (zh) * | 2021-11-18 | 2022-03-25 | 中国南方电网有限责任公司 | 用户异常登录行为识别方法、装置、计算机设备和存储介质 |
-
2022
- 2022-05-27 CN CN202210586246.6A patent/CN114969738B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109919234A (zh) * | 2019-03-12 | 2019-06-21 | 辽宁工程技术大学 | 一种基于系统聚类的加权马尔科夫滑坡预警方法 |
CN110232090A (zh) * | 2019-05-29 | 2019-09-13 | 北京理工大学 | 一种多视角时间序列异常点集成检测和可视化方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114969738A (zh) | 2022-08-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Roffo et al. | Infinite latent feature selection: A probabilistic latent graph-based ranking approach | |
US8949204B2 (en) | Efficient development of a rule-based system using crowd-sourcing | |
CN111612041B (zh) | 异常用户识别方法及装置、存储介质、电子设备 | |
CN112163008B (zh) | 基于大数据分析的用户行为数据处理方法及云计算平台 | |
US20190266619A1 (en) | Behavior pattern search system and behavior pattern search method | |
US20210073669A1 (en) | Generating training data for machine-learning models | |
CN112988440B (zh) | 一种系统故障预测方法、装置、电子设备及存储介质 | |
CN111641608A (zh) | 异常用户识别方法、装置、电子设备及存储介质 | |
CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
CN113438114A (zh) | 互联网系统的运行状态监控方法、装置、设备及存储介质 | |
CN112084330A (zh) | 一种基于课程规划元学习的增量关系抽取方法 | |
CN111639607A (zh) | 模型训练、图像识别方法和装置、电子设备及存储介质 | |
CN112686521A (zh) | 一种风控规则调优方法和系统 | |
CN115186650A (zh) | 数据检测方法及相关装置 | |
CN109784403B (zh) | 一种识别风险设备的方法以及相关设备 | |
CN116610821B (zh) | 一种基于知识图谱的企业风险分析方法、系统和存储介质 | |
CN112652351A (zh) | 硬件状态检测方法、装置、计算机设备及存储介质 | |
CN114969738B (zh) | 一种接口异常行为监测方法、系统、装置及存储介质 | |
CN111126629B (zh) | 模型的生成方法、刷单行为识别方法、系统、设备和介质 | |
CN112632000A (zh) | 日志文件聚类方法、装置、电子设备和可读存储介质 | |
CN115204322B (zh) | 行为链路异常识别方法和装置 | |
CN112463964B (zh) | 文本分类及模型训练方法、装置、设备及存储介质 | |
CN115859191A (zh) | 故障诊断方法、装置、计算机可读存储介质及计算机设备 | |
CN111784319B (zh) | 基于区块链支付网络的通信数据处理方法及大数据服务器 | |
CN112598118B (zh) | 有监督学习的标注异常处理方法、装置、存储介质及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |