CN115277150A - 异常访问行为分析方法、装置、计算机设备和存储介质 - Google Patents

异常访问行为分析方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN115277150A
CN115277150A CN202210864942.9A CN202210864942A CN115277150A CN 115277150 A CN115277150 A CN 115277150A CN 202210864942 A CN202210864942 A CN 202210864942A CN 115277150 A CN115277150 A CN 115277150A
Authority
CN
China
Prior art keywords
user access
user
log
access
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210864942.9A
Other languages
English (en)
Other versions
CN115277150B (zh
Inventor
李珂
曾政
陈建华
卫杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Koal Software Co ltd
Original Assignee
Koal Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Koal Software Co ltd filed Critical Koal Software Co ltd
Priority to CN202210864942.9A priority Critical patent/CN115277150B/zh
Publication of CN115277150A publication Critical patent/CN115277150A/zh
Application granted granted Critical
Publication of CN115277150B publication Critical patent/CN115277150B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

本发明公开的一种异常访问行为分析方法,包括:获取应用系统的所有用户访问历史日志;对获取到的所有用户访问历史日志进行结构化处理;对获取到的所有用户访问历史日志进行审计处理和标记处理;将标记处理后的所有用户访问历史日志作为计算样本库;获取应用系统新上报的用户访问日志,并获取当前用户的所有用户访问历史日志;以及计算新上报的用户访问日志的风险归一化概率P,并判断当前用户的当前访问行为是否为异常行为。还公开了实现上述异常访问行为分析方法的装置、计算机设备和存储介质。本发明有效地是被用户访问应用系统的异常行为,提高了应用系统的访问安全性能。

Description

异常访问行为分析方法、装置、计算机设备和存储介质
技术领域
本发明涉及计算机信息安全技术领域,尤其涉及一种异常访问行为分析方法、装置、计算机设备和存储介质。
背景技术
当前很多应用信息系统都有系统外安全审计的监管需求。系统外审计是指在应用系统之外的通过网络层、操作系统、数据库对应用系统进行行为审计。
网络层审计一般是通过网络设备对应用系统的网络通讯进行监听,分析网络通讯报文,记录用户访问日志。通过对访问日志的分析,可以诊断应用系统是否存在非正常的用户访问行为,比如账号在非工作时间存在大数据量下载、用户在线时长异常、用户访问过于频繁等。在识别用户行为时,需要解决的一个基本问题是如何判断用户的访问行为是否为异常行为。
然而,现有的访问异常行为分析方法在进行系统外日志审计时,只能通过固定的告警规则条件对用户访问应用系统的异常行为进行判断,这种方式无法有效地识别用户的异常访问行为。
因此,如何有效地判断用户访问异常行为是本领域亟需解决的技术问题。为此,本申请人经过有益的探索和研究,找到了解决上述问题的方法,下面将要介绍的技术方案便是在这种背景下产生的。
发明内容
本发明所要解决的技术问题之一在于:针对现有技术的不足而提供一种能够有效地判断用户访问异常行为的异常访问行为分析方法。
本发明所要解决的技术问题之二在于:提供一种实现上述异常访问行为分析方法的异常访问行为分析装置。
本发明所要解决的技术问题之三在于:提供一种实现上述异常访问行为分析方法的计算机设备。
本发明所要解决的技术问题之四在于:提供一种实现上述异常访问行为分析方法的计算机可读存储介质。
作为本发明第一方面的一种异常访问行为分析方法,包括:
获取应用系统的所有用户访问历史日志;
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
将标记处理后的所有用户访问历史日志作为计算样本库;
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
在本发明的一个优选实施例中,所述关键字段包括访问时间、用户客户端IP地址、访问应用ID、访问应用名称以及访问域名地址;
在本发明的一个优选实施例中,在对获取到的所有用户访问历史日志进行审计处理之前,还包括:
根据访问时间对获取到的所有用户访问历史日志进行区间化处理。
在本发明的一个优选实施例中,所述根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,包括:
提取新上报的用户访问日志的关键字段;
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时和无风险时的情况下各个关键字段出现的概率;
将新上报的用户访问日志有风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率P1,同时将新上报的用户访问日志无风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率P2;以及
根据以下公式计算新上报的用户访问日志的风险归一化概率P。
Figure BDA0003758224560000031
在本发明的一个优选实施例中,所述根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为,包括:
当风险归一化概率P大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为;
当风险归一化概率P小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为。
在本发明的一个优选实施例中,还包括:
根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至所述计算样本库内。
作为本发明第二方面的一种实现上述异常访问行为分析方法的异常访问行为分析装置,包括:
用户访问日志获取模块,所述用户访问日志获取模块用于获取应用系统的所有用户访问历史日志;
结构化处理模块,所述结构化处理模块用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
审计标记处理模块,所述审计标记处理模块用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
计算样本库存储模块,所述计算样本库存储模块用于将标记处理后的所有用户访问历史日志作为计算样本库;
用户访问日志处理模块,所述用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
访问行为判断模块,所述访问行为判断模块用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
作为本发明第三方面的一种用于实现异常访问行为分析方法的计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取应用系统的所有用户访问历史日志;
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
将标记处理后的所有用户访问历史日志作为计算样本库;
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
作为本发明第四方面的一种用于实现上述异常访问行为分析方法的计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取应用系统的所有用户访问历史日志;
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
将标记处理后的所有用户访问历史日志作为计算样本库;
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
由于采用了如上技术方案,本发明的有益效果在于:本发明对应用系统的用户访问历史日志进行分析处理,并结合分析处理结果判断新上报的用户访问日志是否存在异常访问行为,有效地是被用户访问应用系统的异常行为,提高了应用系统的访问安全性能。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的异常访问行为分析方法的一种实施例的应用场景图。
图2是本发明的异常访问行为分析方法的流程图。
图3是本发明的异常访问行为分析方法的一种实施例的结构示意图。
图4是本发明的计算机设备的内部结构图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的异常访问行为分析方法可以应用于如图1所示的应用场景中。其中,用户端101通过网络与服务端102进行通信。其中,用户端101可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务端102可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
参见图2,本发明的异常访问行为分析方法,包括以下步骤:
步骤S10,获取应用系统的所有用户访问历史日志。在步骤S10中,可通过网络设备从应用系统中记录所有的用户访问历史日志。
步骤S20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk。在步骤S20中,关键字段包括访问时间、用户客户端IP地址、访问应用ID、访问应用名称以及访问域名地址。
步骤S30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理。在步骤S30中,可采用人工审核方式或者自动审核方式对所有用户访问历史日志进行审计处理。当该条用户访问历史日志存在风险时,则将其审计字段risk标记为risk=1;若该条用户访问历史日志无风险时,则将其审计字段risk标记为risk=0。
步骤S40,将标记处理后的所有用户访问历史日志作为计算样本库。
步骤S50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志。
步骤S60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
在步骤S30中的对获取到的所有用户访问历史日志进行审计处理之前,还包括以下步骤:
根据访问时间对获取到的所有用户访问历史日志进行区间化处理,以降低后续计算量。
例如可根据需要,将用户访问日志的访问时间进行区间化处理,具体区间划分如下:
Figure BDA0003758224560000071
Figure BDA0003758224560000081
在步骤S60中,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,包括以下步骤:
步骤S61,提取新上报的用户访问日志的关键字段;
步骤S62,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时(审计字段risk=1)和无风险时(审计字段risk=0)的情况下各个关键字段出现的概率;
步骤S63,将新上报的用户访问日志有风险时(审计字段risk=1)的情况下各个关键字段出现的概率进行联合计算,得到联合概率P1,同时将新上报的用户访问日志无风险时(审计字段risk=0)的情况下各个关键字段出现的概率进行联合计算,得到联合概率P2
步骤S64,根据以下公式计算新上报的用户访问日志的风险归一化概率P。
Figure BDA0003758224560000082
在步骤S60中,根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为,包括以下两个方面:
1.当风险归一化概率P大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为,并将该用户访问日志的审计字段risk标记为risk=0;
2.当风险归一化概率P小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为,并将该用户访问日志的审计字段risk标记为risk=1。
以上设定阈值通常为0.5,当然也可以根据实际需要而设计。
本发明的异常访问行为分析方法还包括以下步骤:
步骤S70,根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至计算样本库内,这样不仅能够丰富样本库,而且还能够提高判断精确度。
为了更好地对本发明的异常访问行为分析方法进行进一步说明,以下举例说明如何对一条日志进行预测。以用户认证日志为例,一条用户认证日志的几个关键属性如下列表格所示,且这10条样本日志的风险经过标记(这个风险等级后续可以通过后续设定规则,由日志处理自动标记)
Figure BDA0003758224560000091
以auth=口令,src=10.2.0.12,app=应用a,dst=10.2.0.170,time=f这一条日志为例。
1)推导过程
有风险时的情况下各个关键字出现的概率:
P(risk=是)=4/10=0.4;
P(auth=口令|risk=是)=2/4=0.5;
P(src=10.2.0.12|risk=是)=1/4=0.25;
P(app=应用a|risk=是)=2/4=0.5;
P(dst=10.2.0.170|risk=是)=1/4=0.25;
P(time=f|risk=是)=2/4=0.5。
无风险时的情况下各个关键字出现的概率:
P(risk=否)=6/10=0.6;
P(auth=口令|risk=否)=3/6=0.5;
P(src=10.2.0.12|risk=否)=2/6=0.3333;
P(app=应用a|risk=否)=2/6=0.3333;
P(dst=10.2.0.170|risk=否)=2/6=0.3333;
P(time=f|risk=否)=1/6=0.1667。
有风险时的情况下各个关键字出现的概率进行联合计算,得到联合概率P1为P(risk=是)P(auth=口令|risk=是)P(src=10.2.0.12|risk=是)P(app=应用a|risk=是)P(dst=10.2.0.170|risk=是)P(time=f|risk=是)=0.4*0.5*0.25*0.5*0.25*0.5=0.003125。
无风险时的情况下各个关键字出现的概率进行联合计算,得到联合概率P2为P(risk=否)P(auth=口令|risk=否)P(src=10.2.0.12|risk=否)P(app=应用a|risk=否)P(dst=10.2.0.170|risk=否)P(time=f|risk=否)=0.6*0.5*0.3333*0.3333*0.3333*0.1667=0.001851(约等)。
2)判断结果
经过归一化处理,当前日志是风险日志的概率P=P1/(P1+P2)=0.003125/(0.003125+0.001851)=0.6280,。
由于概率P大于0.5,因此当前用户的应用访问行为属于异常行为。
参见图3,图中给出的是本发明的异常访问行为分析装置,包括用户访问日志获取模块110、结构化处理模块120、审计标记处理模块130、计算样本库存储模块140、用户访问日志处理模块150以及访问行为判断模块160。
用户访问日志获取模块110用于获取应用系统的所有用户访问历史日志。
结构化处理模块120用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段。
审计标记处理模块130用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理。
计算样本库存储模块140用于将标记处理后的所有用户访问历史日志作为计算样本库。
用户访问日志处理模块,用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志。
访问行为判断模块160用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
本发明的异常访问行为分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
本发明还提供了一种用于实现上述异常访问行为分析方法的计算机设备,该计算机设备可以是服务器,其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储用户信息、记录信息和文件等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种上述的异常访问行为分析方法。
本领域技术人员可以理解,图4中示出的结构,仅仅是与本技术方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
具体地,本发明的计算机设备包括存储器和处理器,该存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
步骤S10,获取应用系统的所有用户访问历史日志;
步骤S20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk;
步骤S30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理;
步骤S40,将标记处理后的所有用户访问历史日志作为计算样本库;
步骤S50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志;
步骤S60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
本发明还提供了一种用于实现上述异常访问行为分析方法的计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以下步骤:
步骤S10,获取应用系统的所有用户访问历史日志;
步骤S20,对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段risk;
步骤S30,对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段risk进行标记处理;
步骤S40,将标记处理后的所有用户访问历史日志作为计算样本库;
步骤S50,获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从计算样本库内获取当前用户的所有用户访问历史日志;
步骤S60,根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上显示和描述了本发明的基本原理和主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (9)

1.一种异常访问行为分析方法,其特征在于,包括:
获取应用系统的所有用户访问历史日志;
对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
将标记处理后的所有用户访问历史日志作为计算样本库;
获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
2.如权利要求1所述的异常访问行为分析方法,其特征在于,所述关键字段包括访问时间、用户客户端IP地址、访问应用ID、访问应用名称以及访问域名地址.
3.如权利要求1所述的异常访问行为分析方法,其特征在于,在对获取到的所有用户访问历史日志进行审计处理之前,还包括:
根据访问时间对获取到的所有用户访问历史日志进行区间化处理。
4.如权利要求1所述的异常访问行为分析方法,其特征在于,所述根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,包括:
提取新上报的用户访问日志的关键字段;
根据当前用户的所有用户访问历史日志计算新上报的用户访问日志在有风险时和无风险时的情况下各个关键字段出现的概率;
将新上报的用户访问日志有风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率P1,同时将新上报的用户访问日志无风险时的情况下各个关键字段出现的概率进行联合计算,得到联合概率P2;以及
根据以下公式计算新上报的用户访问日志的风险归一化概率P。
Figure FDA0003758224550000021
5.如权利要求1所述的异常访问行为分析方法,其特征在于,所述根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为,包括:
当风险归一化概率P大于设定阈值时,则表明新上报的用户访问日志为风险日志,当前访问行为属于异常行为;
当风险归一化概率P小于或等于设定阈值时,则表明新上报的用户访问日志为无风险日志,当前访问行为不属于异常行为。
6.如权利要求1所述的异常访问行为分析方法,其特征在于,还包括:
根据判断结果对当前用户的用户访问日志进行标记处理,并将标记处理后的用户访问日志保存至所述计算样本库内。
7.一种异常访问行为分析装置,其特征在于,包括:
用户访问日志获取模块,所述用户访问日志获取模块用于获取应用系统的所有用户访问历史日志;
结构化处理模块,所述结构化处理模块用于对获取到的所有用户访问历史日志进行结构化处理,以提取用户访问应用系统的关键字段,并在每一条用户访问历史日志内添加用于标记用户访问异常行为的审计字段;
审计标记处理模块,所述审计标记处理模块用于对获取到的所有用户访问历史日志进行审计处理,并根据审计处理结果对每一条用户访问历史日志中的审计字段进行标记处理;
计算样本库存储模块,所述计算样本库存储模块用于将标记处理后的所有用户访问历史日志作为计算样本库;
用户访问日志处理模块,所述用户访问日志处理模块用于获取应用系统新上报的用户访问日志,并根据新上报的用户访问日志找出产生当前用户访问日志的当前用户信息,再根据当前用户信息从所述计算样本库内获取当前用户的所有用户访问历史日志;以及
访问行为判断模块,所述访问行为判断模块用于根据当前用户的所有用户访问历史日志计算新上报的用户访问日志的风险归一化概率P,并根据风险归一化概率P判断当前用户的当前访问行为是否为异常行为。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的异常访问行为分析方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的异常访问行为分析方法的步骤。
CN202210864942.9A 2022-07-21 2022-07-21 异常访问行为分析方法、装置、计算机设备和存储介质 Active CN115277150B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210864942.9A CN115277150B (zh) 2022-07-21 2022-07-21 异常访问行为分析方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210864942.9A CN115277150B (zh) 2022-07-21 2022-07-21 异常访问行为分析方法、装置、计算机设备和存储介质

Publications (2)

Publication Number Publication Date
CN115277150A true CN115277150A (zh) 2022-11-01
CN115277150B CN115277150B (zh) 2024-04-12

Family

ID=83767424

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210864942.9A Active CN115277150B (zh) 2022-07-21 2022-07-21 异常访问行为分析方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115277150B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107210927A (zh) * 2014-11-24 2017-09-26 思科技术公司 协议处理中的异常检测
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN107402957A (zh) * 2017-06-09 2017-11-28 全球能源互联网研究院 用户行为模式库的构建及用户行为异常检测方法、系统
CN108446546A (zh) * 2018-03-20 2018-08-24 深信服科技股份有限公司 异常访问检测方法、装置、设备及计算机可读存储介质
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质
US20200228552A1 (en) * 2019-01-14 2020-07-16 Penta Security Systems Inc. Method and apparatus for detecting abnormal behavior of groupware user
CN112084249A (zh) * 2020-09-11 2020-12-15 浙江立元科技有限公司 一种访问记录提取方法及装置
CN112765003A (zh) * 2020-12-31 2021-05-07 北方工业大学 一种基于app行为日志的风险预测方法
US20210297437A1 (en) * 2020-03-23 2021-09-23 Forcepoint, LLC Security Analytics System Configured to Instantiate User Behavior Baselines Using Historical Data Stored on an Endpoint Device

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107210927A (zh) * 2014-11-24 2017-09-26 思科技术公司 协议处理中的异常检测
CN107402957A (zh) * 2017-06-09 2017-11-28 全球能源互联网研究院 用户行为模式库的构建及用户行为异常检测方法、系统
CN107291911A (zh) * 2017-06-26 2017-10-24 北京奇艺世纪科技有限公司 一种异常检测方法和装置
CN108446546A (zh) * 2018-03-20 2018-08-24 深信服科技股份有限公司 异常访问检测方法、装置、设备及计算机可读存储介质
US20200228552A1 (en) * 2019-01-14 2020-07-16 Penta Security Systems Inc. Method and apparatus for detecting abnormal behavior of groupware user
CN110086649A (zh) * 2019-03-19 2019-08-02 深圳壹账通智能科技有限公司 异常流量的检测方法、装置、计算机设备及存储介质
US20210297437A1 (en) * 2020-03-23 2021-09-23 Forcepoint, LLC Security Analytics System Configured to Instantiate User Behavior Baselines Using Historical Data Stored on an Endpoint Device
CN112084249A (zh) * 2020-09-11 2020-12-15 浙江立元科技有限公司 一种访问记录提取方法及装置
CN112765003A (zh) * 2020-12-31 2021-05-07 北方工业大学 一种基于app行为日志的风险预测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CQLJLT36: "基于Web访问日志的异常行为检测", Retrieved from the Internet <URL:https://www.docin.com/p-1389766643.html> *
黄自力: "基于主机日志的入侵检测研究与实现", 中国优秀硕士学位论文全文数据库 信息科技辑 *

Also Published As

Publication number Publication date
CN115277150B (zh) 2024-04-12

Similar Documents

Publication Publication Date Title
CN110417778B (zh) 访问请求的处理方法和装置
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN109583194B (zh) 用于基于事件的卷积的普及度检测异常事件的系统和方法
WO2015131804A1 (en) Call stack relationship acquiring method and apparatus
CN109413153B (zh) 数据爬取方法、装置、计算机设备和存储介质
CN108256322B (zh) 安全测试方法、装置、计算机设备和存储介质
CN108924258B (zh) 后台信息推送方法、装置、计算机设备和存储介质
CN111694718A (zh) 内网用户异常行为识别方法、装置、计算机设备及可读存储介质
CN111290919A (zh) 日志文件生成方法、装置、计算机设备和存储介质
CN113472803A (zh) 漏洞攻击状态检测方法、装置、计算机设备和存储介质
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
CN111404949A (zh) 一种流量检测方法、装置、设备及存储介质
CN110191097B (zh) 登录页面安全性的检测方法、系统、设备及存储介质
CN111125748A (zh) 越权查询的判断方法、装置、计算机设备和存储介质
CN110659435A (zh) 页面数据采集处理方法、装置、计算机设备和存储介质
CN104426836A (zh) 一种入侵检测方法及装置
CN115277150B (zh) 异常访问行为分析方法、装置、计算机设备和存储介质
CN115048645A (zh) 超范围采集隐私信息的检测方法、装置、设备及介质
US11743346B2 (en) Detection device, detection method, and detection program
CN115828256A (zh) 一种越权与未授权逻辑漏洞检测方法
CN115455414A (zh) 一种安全检测方法和装置
CN115225328A (zh) 页面访问数据的处理方法、装置、电子设备以及存储介质
CN110460585B (zh) 设备身份识别方法、装置、计算机设备以及存储介质
CN113946826A (zh) 一种漏洞指纹静默分析监测的方法、系统、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant