CN115174270A - 一种行为异常检测方法、装置、设备及介质 - Google Patents
一种行为异常检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115174270A CN115174270A CN202211077440.8A CN202211077440A CN115174270A CN 115174270 A CN115174270 A CN 115174270A CN 202211077440 A CN202211077440 A CN 202211077440A CN 115174270 A CN115174270 A CN 115174270A
- Authority
- CN
- China
- Prior art keywords
- rule
- analysis result
- behavior
- user
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种行为异常检测方法、装置、设备及介质,涉及计算机技术领域,包括:获取用户访问网络隧道产生的隧道流量;对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。通过本申请的上述技术方案,能够有效增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种行为异常检测方法、装置、设备及介质。
背景技术
目前,网络安全中存在一种需求场景,客户期望将自己的资产托管到安全平台上,将安全平台的安全能力赋予给托管设备,同时也可以通过安全平台实现对资产的监控、登录管理等行为。那么对于安全托管平台来说,通过网络隧道可以实现登录管理这个功能,同时需要保证登录资产的用户一定是合法的用户。目前有很多现有技术能够做到对登录用户的认证,例如VPN(虚拟专用网络)、IPsec(Internet Protocol Security,互联网安全协议)。现有技术中是通过内外网加密单元,对传输数据进行加密保证数据不被盗取。
由上可见,在行为异常检测的过程中,如何增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率是本领域有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种AER功能配置方法、装置、设备及介质,能够有效增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。其具体方案如下:
第一方面,本申请公开了一种行为异常检测方法,包括:
获取用户访问网络隧道产生的隧道流量;
对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;
判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;
判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
可选的,所述获取用户访问网络隧道产生的隧道流量,包括:
基于预设接口获取用户访问网络隧道产生的隧道流量,并将所述隧道流量发送至本地的隧道流量采集程序;
利用预设的隧道流量采集程序采集并记录所述隧道流量。
可选的,所述对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库,包括:
对所述隧道流量进行分析,以得到包含用户IP所在地、用户访问时间以及访问流量信息的分析结果;
将包含用户IP所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。
可选的,所述判断所述分析结果与预设的行为检测规则是否匹配,包括:
根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则;
分别判断所述分析结果与所述行为检测规则是否匹配。
可选的,所述若所述分析结果与预设的行为检测规则不匹配之后,还包括:
将用户访问行为标记为异常,并向用户发送告警信息,以便所述用户根据所述告警信息确定出告警回复结果;
获取所述告警回复结果,并判断所述告警回复结果的类型,若所述告警回复结果的类型为不准确,则对所述行为检测规则中的规则置信度进行重新计算,以得到当前规则置信度;
若所述告警回复结果的类型为准确,则确定出当前所述行为检测规则中的规则置信度。
可选的,所述基于所述行为检测规则计算出规则置信度,包括:
获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度;
将所有的所述当前规则置信度和所述规则置信度进行相乘处理,以得到规则置信度。
可选的,所述判断所述规则置信度与预设拦截阈值之间的大小关系之后,还包括:
若所述规则置信度小于预设拦截阈值,则判定所述用户访问行为正常,然后基于所述隧道流量确定出目标设备,建立本地与所述目标设备之间的连接关系。
第二方面,本申请公开了一种行为异常检测装置,包括:
隧道流量获取模块,用于获取用户访问网络隧道产生的隧道流量;
分析模块,用于对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;
第一判断模块,用于判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;
第二判断模块,用于判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述的行为异常检测方法。
第四方面,本申请公开了一种计算机存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的行为异常检测方法的步骤。
可见,本申请提供了一种行为异常检测方法,包括获取用户访问网络隧道产生的隧道流量;对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。本申请通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果,然后判断分析结果与预设的行为检测规则是否匹配,从这个角度辅助提升隧道的安全性,减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能,从而增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种行为异常检测方法流程图;
图2为本申请公开的一种行为异常检测方法流程图;
图3为本申请公开的一种行为异常检测方法具体流程图;
图4为本申请公开的一种行为异常检测装置结构示意图;
图5为本申请提供的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,网络安全中存在一种需求场景,客户期望将自己的资产托管到安全平台上,将安全平台的安全能力赋予给托管设备,同时也可以通过安全平台实现对资产的监控、登录管理等行为。那么对于安全托管平台来说,通过网络隧道可以实现登录管理这个功能,同时需要保证登录资产的用户一定是合法的用户。目前有很多现有技术能够做到对登录用户的认证,例如VPN、IPsec。现有技术中是通过内外网加密单元,对传输数据进行加密保证数据不被盗取。由上可见,在行为异常检测的过程中,如何增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率是本领域有待解决的问题。
参见图1所示,本发明实施例公开了一种行为异常检测方法,具体可以包括:
步骤S11:获取用户访问网络隧道产生的隧道流量。
本实施例中,基于预设接口获取用户访问网络隧道产生的隧道流量,并将所述隧道流量发送至本地的隧道流量采集程序;利用预设的隧道流量采集程序采集并记录所述隧道流量。具体的,网络隧道会在公网开放一个IP(Internet Protocol Address,互联网协议地址)和端口,用户通过这个入口,可以登录到被托管的设备,在这个入口上安装流量采集模块,将一段时间内的用户访问行为所产生的隧道流量记录下来。
步骤S12:对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库。
本实施例中,在利用预设的隧道流量采集程序采集并记录所述隧道流量之后,对所述隧道流量进行分析,以得到包含用户IP所在地、用户访问时间以及访问流量信息的分析结果;将包含用户IP所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。具体的,对收集到的隧道流量进行分析,获取访问者IP所在地、访问时间和访问流量大小,以访问者IP为唯一主键记录整条信息,例如:12.4.13.4,美国ATT公司,2022年06月15日17:02:32,765KB,将大量的用户行为分析结果记录到本地的数据基础库,这个数据基础库代表了用户行为的合法范围,作为判断用户行为是否异常的依据。
步骤S13:判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度。
步骤S14:判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
本实施例中,若所述规则置信度小于预设拦截阈值,则判定所述用户访问行为正常,然后基于所述隧道流量确定出目标设备,建立本地与所述目标设备之间的连接关系。
本实施例中,获取用户访问网络隧道产生的隧道流量;对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。本申请通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果,然后判断分析结果与预设的行为检测规则是否匹配,从这个角度辅助提升隧道的安全性,减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能,从而增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。
参见图2所示,本发明实施例公开了一种行为异常检测方法,具体可以包括:
步骤S21:获取用户访问网络隧道产生的隧道流量。
步骤S22:对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库。
步骤S23:根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则,然后分别判断所述分析结果与所述行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,将用户访问行为标记为异常,并向用户发送告警信息,以便所述用户根据所述告警信息确定出告警回复结果,获取所述告警回复结果,并判断所述告警回复结果的类型,若所述告警回复结果的类型为不准确,则对所述行为检测规则中的规则置信度进行重新计算,以得到当前规则置信度,若所述告警回复结果的类型为准确,则确定出当前所述行为检测规则中的规则置信度。
本实施例中,以行为检测规则为访问地是否在数据基础库中为例,若访问地不在数据基础库中,则表明分析结果与预设的行为检测规则不匹配,此时设定一个训练周期,例如一周,在这一周内对用户行为进行实时分析,解析到访问者IP归属地不在数据基础库范围内时,告警用户存在异常行为,但对该异常行为不做封禁,用户接收到告警后,依据实际情况进行处置,最后得到所述告警回复结果,告警回复结果的类型是准确和不准确两种,不准确则将本条规则的置信度降低10%(规则的初始置信度为100%),最终得到当前规则置信度为90%。准确则本条规则的置信度保持不变(规则的初始置信度为100%),此时当前所述行为检测规则中的规则置信度为100%。
步骤S24:获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度,然后将所有的所述当前规则置信度和所述规则置信度进行相乘处理,以得到规则置信度。
本实施例中,获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度,允许用户设置多条行为检测规则,且隧道流量会尝试匹配所有规则,例如,设置了三条规则,初始置信度均为100%,流量1的特征经分析后可以命中规则1和规则2,流量1被判定为异常行为,用户处理结果为不准确,则规则1和规则2的置信度降低为90%,规则3的置信度依旧为100%,然后进行相乘处理,最终的规则置信度为
。
步骤S25:判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
本实施例中,以预设拦截阈值为90%为例,置信度规则81%,没有超过拦截准则,因此不做拦截。通过这种误判处置降低规则置信度的方式,可以整体提升拦截准确度。本发明从分析用户的日常行为角度,去判断疑似不是正常使用隧道的行为,通过训练规则,设定一个相对可靠的拦截判断方式,提升拦截准确率。
本实施例中,具体可以分为三个模块,流量采集模块、用户行为分析模块以及异常行为判断模块,其中,流量采集模块,网络隧道会在公网开放一个IP和端口,用户通过这个入口,可以登录到被托管的设备,在这个入口上安装流量采集模块,将一段时间内的用户访问行为所产生的隧道流量记录下来,并移交给用户行为分析模块;用户行为分析模块,该模块流量采集模块收集到的隧道流量进行分析,获取访问者IP所在地、访问时间和访问流量大小,以访问者IP为唯一主键记录整条信息,例如:12.4.13.4,美国ATT公司,2022年06月15日17:02:32,765KB,将大量的用户行为分析结果记录到数据基础库,这个数据基础库代表了用户行为的合法范围,作为判断用户行为是否异常的依据;异常行为判断模块,预设异常行为规则,例如:访问地不在数据基础库中。设定一个训练周期,例如一周,在这一周内通过用户行为分析模块的实时分析,解析到访问者IP归属地不在数据基础库范围内时,告警用户存在异常行为,但对该异常行为不做封禁。用户接收到告警后,依据实际情况进行处置,处置结果是准确和不准确两种,不准确则将本条规则的置信度降低10%(规则的初始置信度为100%)。允许用户设置多条规则,且隧道流量会尝试匹配所有规则,例如,设置了三条规则,初始置信度均为100%,流量1的特征经分析后可以命中规则1和规则2,流量1被判定为异常行为,用户处理结果为不准确,则规则1和规则2的置信度降低为90%,规则3的置信度依旧为100%。学习周期结束后,异常行为判断模块对异常流量的拦截准则是所有命中规则的置信度乘积超过90%,那么如果后续流量1再次经过整个装置,命中置信度为90%的规则1和规则2后,乘积只有81%,没有超过拦截准则,装置不做拦截。通过这种误判处置降低规则置信度的方式,可以整体提升拦截准确度。
例如,本申请具体步骤如图3所示,用户通过外网访问网络隧道,网络隧道会在公网开放一个IP和端口,用户通过这个入口,可以登录到被托管的设备,在这个入口上安装流量采集模块,将一段时间内的用户访问行为所产生的隧道流量记录下来,并移交给用户行为分析模块,然后用户行为分析模块对所述隧道流量进行分析,以得到包含用户IP所在地、用户访问时间以及访问流量信息的分析结果,并将包含用户IP所在地、用户访问时间以及访问流量信息的分析结果发送并保存至本地的数据基础库,然后利用异常信未判断模块对数据基础库中的分析结果进行实时分析,允许用户设置多条规则,且隧道流量会尝试匹配所有规则,设置了三条规则,初始置信度均为100%,预设拦截阈值为90%,流量1的特征经分析后可以命中规则1和规则2,流量1被判定为异常行为,用户处理结果为不准确,则规则1和规则2的置信度降低为90%,规则3的置信度依旧为100%。学习周期结束后,异常行为判断模块对异常流量的拦截准则是所有命中规则的置信度乘积超过90%,那么如果后续流量1再次经过整个装置,命中置信度为90%的规则1和规则2后,乘积只有81%,没有超过拦截准则,装置不做拦截,进入放行阶段。
本实施例中,获取用户访问网络隧道产生的隧道流量;对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。本申请通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果,然后判断分析结果与预设的行为检测规则是否匹配,从这个角度辅助提升隧道的安全性,减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能,从而增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。
参见图4所示,本发明实施例公开了一种行为异常检测装置,具体可以包括:
隧道流量获取模块11,用于获取用户访问网络隧道产生的隧道流量;
分析模块12,用于对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;
第一判断模块13,用于判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;
第二判断模块14,用于判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
本实施例中,获取用户访问网络隧道产生的隧道流量;对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。本申请通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果,然后判断分析结果与预设的行为检测规则是否匹配,从这个角度辅助提升隧道的安全性,减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能,从而增加数据传输的安全性,提高行为异常检测的准确性,增加行为异常检测的效率。
在一些具体实施例中,所述隧道流量获取模块11,具体可以包括:
隧道流量发送模块,用于基于预设接口获取用户访问网络隧道产生的隧道流量,并将所述隧道流量发送至本地的隧道流量采集程序;
隧道流量采集模块,用于利用预设的隧道流量采集程序采集并记录所述隧道流量。
在一些具体实施例中,所述分析模块12,具体可以包括:
隧道流量分析模块,用于对所述隧道流量进行分析,以得到包含用户IP所在地、用户访问时间以及访问流量信息的分析结果;
分析结果发送模块,用于将包含用户IP所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。
在一些具体实施例中,所述第一判断模块13,具体可以包括:
规则筛选模块,用于根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则;
第一判断模块,用于分别判断所述分析结果与所述行为检测规则是否匹配。
在一些具体实施例中,所述第一判断模块13,具体可以包括:
告警信息发送模块,用于将用户访问行为标记为异常,并向用户发送告警信息,以便所述用户根据所述告警信息确定出告警回复结果;
规则置信度重新计算模块,用于获取所述告警回复结果,并判断所述告警回复结果的类型,若所述告警回复结果的类型为不准确,则对所述行为检测规则中的规则置信度进行重新计算,以得到当前规则置信度;
规则置信度确定模块,用于若所述告警回复结果的类型为准确,则确定出当前所述行为检测规则中的规则置信度。
在一些具体实施例中,所述第一判断模块13,具体可以包括:
置信度获取模块,用于获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度;
置信度处理模块,用于将所有的所述当前规则置信度和所述规则置信度进行相乘处理,以得到规则置信度。
在一些具体实施例中,所述第二判断模块14,具体可以包括:
目标设备确定模块,用于若所述规则置信度小于预设拦截阈值,则判定所述用户访问行为正常,然后基于所述隧道流量确定出目标设备,建立本地与所述目标设备之间的连接关系。
图5为本申请实施例提供的一种电子设备的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的由电子设备执行的行为异常检测方法中的相关步骤。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中数据223的运算与处理,其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的行为异常检测方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括行为异常检测设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
进一步的,本申请实施例还公开了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的行为异常检测方法步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种行为异常检测方法、装置、设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (10)
1.一种行为异常检测方法,其特征在于,包括:
获取用户访问网络隧道产生的隧道流量;
对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;
判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;
判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
2.根据权利要求1所述的行为异常检测方法,其特征在于,所述获取用户访问网络隧道产生的隧道流量,包括:
基于预设接口获取用户访问网络隧道产生的隧道流量,并将所述隧道流量发送至本地的隧道流量采集程序;
利用预设的隧道流量采集程序采集并记录所述隧道流量。
3.根据权利要求2所述的行为异常检测方法,其特征在于,所述对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库,包括:
对所述隧道流量进行分析,以得到包含用户IP所在地、用户访问时间以及访问流量信息的分析结果;
将包含用户IP所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。
4.根据权利要求1所述的行为异常检测方法,其特征在于,所述判断所述分析结果与预设的行为检测规则是否匹配,包括:
根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则;
分别判断所述分析结果与所述行为检测规则是否匹配。
5.根据权利要求4所述的行为异常检测方法,其特征在于,所述若所述分析结果与预设的行为检测规则不匹配之后,还包括:
将用户访问行为标记为异常,并向用户发送告警信息,以便所述用户根据所述告警信息确定出告警回复结果;
获取所述告警回复结果,并判断所述告警回复结果的类型,若所述告警回复结果的类型为不准确,则对所述行为检测规则中的规则置信度进行重新计算,以得到当前规则置信度;
若所述告警回复结果的类型为准确,则确定出当前所述行为检测规则中的规则置信度。
6.根据权利要求5所述的行为异常检测方法,其特征在于,所述基于所述行为检测规则计算出规则置信度,包括:
获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度;
将所有的所述当前规则置信度和所述规则置信度进行相乘处理,以得到规则置信度。
7.根据权利要求1至6任一项所述的行为异常检测方法,其特征在于,所述判断所述规则置信度与预设拦截阈值之间的大小关系之后,还包括:
若所述规则置信度小于预设拦截阈值,则判定所述用户访问行为正常,然后基于所述隧道流量确定出目标设备,建立本地与所述目标设备之间的连接关系。
8.一种行为异常检测装置,其特征在于,包括:
隧道流量获取模块,用于获取用户访问网络隧道产生的隧道流量;
分析模块,用于对所述隧道流量进行分析,以得到分析结果,并将所述分析结果发送并保存至本地的数据基础库;
第一判断模块,用于判断所述分析结果与预设的行为检测规则是否匹配,若所述分析结果与预设的行为检测规则不匹配,则基于所述行为检测规则计算出规则置信度;
第二判断模块,用于判断所述规则置信度与预设拦截阈值之间的大小关系,若所述规则置信度不小于预设拦截阈值,则判定所述用户访问行为异常。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的行为异常检测法。
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的行为异常检测法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211077440.8A CN115174270B (zh) | 2022-09-05 | 2022-09-05 | 一种行为异常检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211077440.8A CN115174270B (zh) | 2022-09-05 | 2022-09-05 | 一种行为异常检测方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115174270A true CN115174270A (zh) | 2022-10-11 |
| CN115174270B CN115174270B (zh) | 2022-11-29 |
Family
ID=83481067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211077440.8A Active CN115174270B (zh) | 2022-09-05 | 2022-09-05 | 一种行为异常检测方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174270B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001352328A (ja) * | 2000-06-09 | 2001-12-21 | Nec Corp | Wanトラフィック測定の方式、装置、方法、及び記録媒体 |
| US20010055328A1 (en) * | 1998-03-27 | 2001-12-27 | Joseph Dowling | Priority channel search based on spectral analysis and signal recognition |
| JP2004038232A (ja) * | 2002-06-28 | 2004-02-05 | Canon Electronics Inc | 情報管理装置、情報処理装置及びそれらの制御方法、情報管理システム、プログラム |
| JP2005084722A (ja) * | 2003-09-04 | 2005-03-31 | Toshiba Corp | 道路交通状況の解析装置および予測装置 |
| DE102007006847A1 (de) * | 2007-02-12 | 2008-08-14 | Voice Trust Ag | Digitales Verfahren und Anordnung zur Authentifizierung eines Nutzers eines Telekommunikations- bzw. Datennetzes |
| CN101556609A (zh) * | 2009-05-19 | 2009-10-14 | 杭州信杨通信技术有限公司 | 基于网页内容的客户行为分析和服务系统 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101794382A (zh) * | 2010-03-12 | 2010-08-04 | 华中科技大学 | 一种实时公交车客流量统计的方法 |
| CN102122374A (zh) * | 2011-03-03 | 2011-07-13 | 江苏方天电力技术有限公司 | 电力自动化系统流量异常智能分析系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| EP3322127A1 (en) * | 2016-11-14 | 2018-05-16 | Telefonica Digital España, S.L.U. | A method and computer programs for identifying video streaming qoe from network traffic |
| CN110177075A (zh) * | 2019-04-15 | 2019-08-27 | 深圳壹账通智能科技有限公司 | 异常访问拦截方法、装置、计算机设备及存储介质 |
| CN111885060A (zh) * | 2020-07-23 | 2020-11-03 | 上海交通大学 | 面向车联网的无损式信息安全漏洞检测系统和方法 |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113886830A (zh) * | 2021-08-20 | 2022-01-04 | 广东南方信息安全研究院 | 一种基于人工智能的信息安全评分系统构建方法 |
| KR20220029142A (ko) * | 2020-09-01 | 2022-03-08 | 아토리서치(주) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 |
| CN114722385A (zh) * | 2021-12-08 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种流量信息分析方法、系统及相关组件 |
| CN114816749A (zh) * | 2022-04-22 | 2022-07-29 | 江苏华存电子科技有限公司 | 一种用于内存的智能化管理方法及系统 |
-
2022
- 2022-09-05 CN CN202211077440.8A patent/CN115174270B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010055328A1 (en) * | 1998-03-27 | 2001-12-27 | Joseph Dowling | Priority channel search based on spectral analysis and signal recognition |
| JP2001352328A (ja) * | 2000-06-09 | 2001-12-21 | Nec Corp | Wanトラフィック測定の方式、装置、方法、及び記録媒体 |
| JP2004038232A (ja) * | 2002-06-28 | 2004-02-05 | Canon Electronics Inc | 情報管理装置、情報処理装置及びそれらの制御方法、情報管理システム、プログラム |
| JP2005084722A (ja) * | 2003-09-04 | 2005-03-31 | Toshiba Corp | 道路交通状況の解析装置および予測装置 |
| DE102007006847A1 (de) * | 2007-02-12 | 2008-08-14 | Voice Trust Ag | Digitales Verfahren und Anordnung zur Authentifizierung eines Nutzers eines Telekommunikations- bzw. Datennetzes |
| CN101556609A (zh) * | 2009-05-19 | 2009-10-14 | 杭州信杨通信技术有限公司 | 基于网页内容的客户行为分析和服务系统 |
| CN101741862A (zh) * | 2010-01-22 | 2010-06-16 | 西安交通大学 | 基于数据包序列特征的irc僵尸网络检测系统和检测方法 |
| CN101794382A (zh) * | 2010-03-12 | 2010-08-04 | 华中科技大学 | 一种实时公交车客流量统计的方法 |
| CN102122374A (zh) * | 2011-03-03 | 2011-07-13 | 江苏方天电力技术有限公司 | 电力自动化系统流量异常智能分析系统 |
| CN104065644A (zh) * | 2014-05-28 | 2014-09-24 | 北京知道创宇信息技术有限公司 | 基于日志分析的cc攻击识别方法和设备 |
| EP3322127A1 (en) * | 2016-11-14 | 2018-05-16 | Telefonica Digital España, S.L.U. | A method and computer programs for identifying video streaming qoe from network traffic |
| CN110177075A (zh) * | 2019-04-15 | 2019-08-27 | 深圳壹账通智能科技有限公司 | 异常访问拦截方法、装置、计算机设备及存储介质 |
| CN111885060A (zh) * | 2020-07-23 | 2020-11-03 | 上海交通大学 | 面向车联网的无损式信息安全漏洞检测系统和方法 |
| KR20220029142A (ko) * | 2020-09-01 | 2022-03-08 | 아토리서치(주) | Sdn 컨트롤러 서버 및 이의 sdn 기반 네트워크 트래픽 사용량 분석 방법 |
| CN113328992A (zh) * | 2021-04-23 | 2021-08-31 | 国网辽宁省电力有限公司电力科学研究院 | 一种基于流量分析的动态蜜网系统 |
| CN113886830A (zh) * | 2021-08-20 | 2022-01-04 | 广东南方信息安全研究院 | 一种基于人工智能的信息安全评分系统构建方法 |
| CN114722385A (zh) * | 2021-12-08 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种流量信息分析方法、系统及相关组件 |
| CN114816749A (zh) * | 2022-04-22 | 2022-07-29 | 江苏华存电子科技有限公司 | 一种用于内存的智能化管理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 姚恩建等: "城市轨道交通新站开通初期实时进出站客流量预测", 《中国铁道科学》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115174270B (zh) | 2022-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3588898B1 (en) | Defense against apt attack | |
| CN109525558B (zh) | 数据泄露检测方法、系统、装置及存储介质 | |
| US11122061B2 (en) | Method and server for determining malicious files in network traffic | |
| US10296739B2 (en) | Event correlation based on confidence factor | |
| CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| US20180309772A1 (en) | Method and device for automatically verifying security event | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| RU2634174C1 (ru) | Система и способ выполнения банковской транзакции | |
| CN112165488A (zh) | 一种风险评估方法、装置、设备及可读存储介质 | |
| CN116938590B (zh) | 一种基于虚拟化技术的云安全管理方法与系统 | |
| CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN105959294B (zh) | 一种恶意域名鉴别方法及装置 | |
| US20220407875A1 (en) | System and method for detection of malicious network resources | |
| US10320823B2 (en) | Discovering yet unknown malicious entities using relational data | |
| JP2018073140A (ja) | ネットワーク監視装置、プログラム及び方法 | |
| EP3647982B1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
| RU2724713C1 (ru) | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя | |
| CN115189937A (zh) | 一种用于客户端数据的安全防护方法及装置 | |
| CN115174270B (zh) | 一种行为异常检测方法、装置、设备及介质 | |
| CN115150137B (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN113923021B (zh) | 基于沙箱的加密流量处理方法、系统、设备及介质 | |
| CN113852625A (zh) | 一种弱口令监测方法、装置、设备及存储介质 | |
| JP6890559B2 (ja) | アクセス分析システム及びアクセス分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230321 Address after: No. 208, Floor 2, No. 31 Haidian Street, Haidian District, Beijing 100080 Patentee after: Beijing Anheng Xin'an Technology Co.,Ltd. Address before: No. 188, Lianhui street, Xixing street, Binjiang District, Hangzhou, Zhejiang Province, 310000 Patentee before: Dbappsecurity Co.,Ltd. |
|
| TR01 | Transfer of patent right |