CN115567279A - 异常数据确定方法、装置、计算机设备和存储介质 - Google Patents

异常数据确定方法、装置、计算机设备和存储介质 Download PDF

Info

Publication number
CN115567279A
CN115567279A CN202211154558.6A CN202211154558A CN115567279A CN 115567279 A CN115567279 A CN 115567279A CN 202211154558 A CN202211154558 A CN 202211154558A CN 115567279 A CN115567279 A CN 115567279A
Authority
CN
China
Prior art keywords
data
detected
target
abnormal
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211154558.6A
Other languages
English (en)
Inventor
车向北
李曼
黄颖祺
康文倩
欧阳宇宏
曾诗钦
叶睿显
黄双
张宏斌
冯管印
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Power Supply Co ltd
Original Assignee
Shenzhen Power Supply Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Co ltd filed Critical Shenzhen Power Supply Co ltd
Priority to CN202211154558.6A priority Critical patent/CN115567279A/zh
Publication of CN115567279A publication Critical patent/CN115567279A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种涉及信息安全技术领域,特别是涉及一种异常数据确定方法、装置、计算机设备和存储介质。方法包括:接收目标客户端发送的待检测数据;对待检测数据进行恶意行为和攻击对象的识别;根据识别结果,对待检测数据进行异常数据检测。本申请实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。

Description

异常数据确定方法、装置、计算机设备和存储介质
技术领域
本申请涉及信息安全技术领域,特别是涉及一种异常数据确定方法、装置、计算机设备和存储介质。
背景技术
随着社会经济的不断发展,电力已经成为了生产以及生活当中不可缺少的能源,电力系统也因此不断的深入改革,进而导致电力系统对于网络智能化的需求与日俱增。
现有技术中,针对电机监控主机的安全作业由传统人工监控监管转变为智能化的自动化监控监管,极大的改善了电力监控的效率,降低了电力监控所消耗的人力。
但是,现有技术中,针对电机监控主机的智能化监控监管难以预防和识别带有攻击目的的异常数据,导致电力系统受到安全威胁。
发明内容
基于此,有必要针对上述技术问题,提供一种能够实现异常数据检测异常数据确定方法、装置、计算机设备和存储介质。
第一方面,本申请提供了一种异常数据的检测方法。该方法包括:
接收目标客户端发送的待检测数据;
对待检测数据进行恶意行为和攻击对象的识别;
根据识别结果,对待检测数据进行异常数据检测。
在其中一个实施例中,对待检测数据进行恶意行为识别,包括:
将待检测数据进行标准化处理,得到目标检测数据;
通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值;
基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在其中一个实施例中,将待检测数据进行标准化处理,得到目标检测数据,包括:
基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;
对转换后的待检测数据进行归一化处理,得到目标检测数据。
在其中一个实施例中,方法还包括:
将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;
根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;
根据目标测试数据,对训练样本中的训练数据集进行优化;
根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
在其中一个实施例中,对待检测数据进行攻击对象的识别,包括:
对待检测数据进行特征提取,得到待检测数据的数据特征;
根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
在其中一个实施例中,在接收目标客户端发送的待检测数据之前,还包括:
根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
第二方面,本申请还提供了一种异常数据确定装置。装置包括:
接收模块,用于接收目标客户端发送的待检测数据;
识别模块,用于对待检测数据进行恶意行为和攻击对象的识别;
检测模块,用于根据识别结果,对待检测数据进行异常数据检测。
第三方面,本申请还提供了一种计算机设备。计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面的异常数据的检测方法。
第四方面,本申请还提供了一种计算机可读存储介质。计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面的异常数据的检测方法。
第五方面,本申请还提供了一种计算机程序产品。计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述第一方面的异常数据的检测方法。
根据本申请的技术方案,通过待检测数据进行恶意行为识别,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响;通过对待检测数据进行攻击对象识别,保证了对于待检测数据中数据特征进行识别,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
附图说明
图1为一个实施例中异常数据的获取方法的应用环境图;
图2为本申请实施例提供的一种异常数据的检测方法的流程图;
图3为本申请实施例提供的一种对待检测数据进行恶意行为识别的步骤流程图;
图4为本申请实施例提供的一种对待检测数据进行攻击对象识别的步骤流程图;
图5为本申请实施例提供的另一种异常数据确定方法的流程图;
图6为本申请实施例提供的一种异常数据确定方法的逻辑框图;
图7为本申请实施例提供的一种异常数据的检测装置的结构框图;
图8为本申请实施例提供的另一种异常数据的检测装置的结构框图;
图9为本申请实施例提供的另一种异常数据的检测装置的结构框图;
图10为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
在本申请的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
随着社会经济不断发展,电力体制改革不断深入,“互联网+”技术使得电力客户的消费方式和使用习惯都发生了巨大变化;现有技术中,国家电网公司对变电站、主配网线路的安全作业由传统的纯人工监控监管向着科技化、智能化的新模式发展,因此对电力监控主机的安全性要求也随之提高。
但是,电机监控主机的安全作业由传统人工监控监管转变为智能化的自动化监控监管的过程中,缺乏对异常数据的有效监控,这就导致了在对电机监控主机进行监控监管时,存在网络系统受到异常数据攻击的安全隐患。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图1所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储异常数据的获取数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常数据的获取方法。
图2为本申请实施例提供的一种异常数据的检测方法的流程图,如图2所示,该异常数据的检测方法包括以下步骤:
步骤201,接收目标客户端发送的待检测数据。
需要说明的是,目标客户端通过接收多个目标电机监控主机发送的反馈数据,通过对反馈数据进行汇总,得到待检测数据;进一步说明,在目标客户端接收多个目标电机监控主机发送的反馈数据之前,可根据预先设定的主机黑名单,从多个候选电机监控主机中筛选出目标电机监控主机。
在本申请的一种实施例中,当目标客户端需要接收多个目标电机监控主机发送的反馈数据时,基于主机黑名单对多个候选电机监控主机进行筛选,从而确定出目标电机监控主机。具体地,目标客户端对候选电机监控主机的身份信息进行筛选,将候选电机监控主机的身份信息与主机黑名单中记录的黑名单信息进行对比,若候选电机监控主机的身份信息与主机黑名单中记录的黑名单信息记录的相同,则该候选电机监控主机不是目标电机监控主机;若候选电机监控主机的身份信息与主机黑名单中记录的黑名单信息记录的不相同,则该候选电机监控主机是目标电机监控主机。
其中,身份信息指的是能够分辨候选电机监控主机的信息,进一步说明,每一候选电机监控主机均对应有唯一的身份信息,并且,不同的候选电机监控主机对应的身份信息不相同。身份信息可以为电机监控主机对应的许可协议等。
在本申请的一种实施例中,当目标客户端需要接收多个目标电机监控主机发送的反馈数据时,基于主机黑名单和主机白名单,对多个候选电机监控主机进行筛选,从而确定出目标电机监控主机。具体地,目标客户端对候选电机监控主机的身份信息进行筛选,若候选电机监控主机的身份信息与主机黑名单中记录的黑名单信息记录相同,则该候选电机监控主机不是目标电机监控主机;若候选电机监控主机的身份信息与主机白名单中记录的黑名单信息记录相同,则该候选电机监控主机是目标电机监控主机;进一步说明,若主机黑名单和主机白名单中均为记录有候选电机监控主机的身份信息,则将该候选电机监控主机的身份信息转为人工审核,让工作人员对候选电机监控主机的身份信息进行判断。
需要说明的是,接收目标客户端发送的待检测数据之前,需要从候选客户端中确定目标客户端。进一步说明,可通过对候选客户端的活跃度进行筛选,确定出候选客户端中活跃度符合调节的目标客户端。
在本申请的一种实施例中,当需要从候选客户端中确定目标客户端时,预先确定活跃度阈值;获取候选客户端对应的活跃度,判断候选客户端对应的活跃度与活跃度阈值的关系,进而从候选客户端中确定目标客户端;具体地,若候选客户端对应的活跃度小于活跃度阈值,则表示候选客户端的活跃度较低,为防止低活跃度的候选客户端占用系统运存资源,则该候选客户端不作为目标客户端;若候选客户端对应的活跃度大于或者等于活跃度阈值,则表示候选客户端的活跃度较高,则该候选客户端不作为目标客户端。
步骤202,对待检测数据进行恶意行为和攻击对象的识别。
需要说明的是,可通过获取待检测数据对应的数据特征图,并且对该数据特征图进行处理,得到待检测数据对应的期望值;根据期望值,对待检测数据进行恶意行为识别。
在本申请的一种实施例中,预先确定的期望阈值,该期望阈值用以表示待检测数据的期望临界值,具体地,通过获取待检测数据对应的数据特征图,并且对该数据特征图进行处理,得到待检测数据对应的期望值;判断期望值与期望阈值的关系,若待检测流量数据的期望值小于期望阈值,则表示该待检测数据存在恶意行为;若待检测流量数据的期望值大于或者等于期望阈值,则表示该待检测数据不存在恶意行为。
需要说明的是,可通过确定待检测数据对应的数据特征,根据待检测数据对应的数据特征进行攻击对象的识别。
在本申请的一种实施例中,预先确定攻击特征数据库,其中,攻击特征数据库中记录有若干带有攻击意图数据的特征;确定待检测数据对应的数据特征,将待检测数据对应的数据特征与攻击特征数据库中的特征进行对比,若攻击特征数据库中存在与待检测数据对应的数据特征相同的特征,则表示待检测数据中存在攻击对象;若攻击特征数据库中不存在与待检测数据对应的数据特征相同的特征,则表示待检测数据中不存在攻击对象。
步骤203,根据识别结果,对待检测数据进行异常数据检测。
需要说明的是,识别结果中包含恶意行为识别结果和攻击对象识别结果,根据恶意行为识别结果、攻击对象识别结果和预先设定的检测规则,对待检测数据进行异常数据检测。
在本申请的一种实施例中,若预先设定的检测规则为恶意行为识别结果和攻击对象识别结果中任意结果表明该待检测数据存在异常,则认定该待检测数据为异常数据。进一步说明:若待检测数据A的恶意行为识别结果为存在恶意行为,但是,攻击对象识别结果为不存在攻击对象,则基于检测规则,则认定待检测数据A为异常数据;或者,若待检测数据A的恶意行为识别结果为不存在恶意行为,但是,攻击对象识别结果为存在攻击对象,则基于检测规则,则认定待检测数据A为异常数据;或者,若待检测数据A的恶意行为识别结果为存在恶意行为,并且,攻击对象识别结果为存在攻击对象,则基于检测规则,则认定待检测数据A为异常数据。
在本申请的一种实施例中,若预先设定的检测规则为当且仅当恶意行为识别结果和攻击对象识别结果均表明该待检测数据存在异常,则认定该待检测数据为异常数据。进一步说明:若待检测数据A的恶意行为识别结果为存在恶意行为,但是,攻击对象识别结果为不存在攻击对象,则基于检测规则,则认定待检测数据A为正常数据;或者,若待检测数据A的恶意行为识别结果为不存在恶意行为,但是,攻击对象识别结果为存在攻击对象,则基于检测规则,则认定待检测数据A为正常数据;或者,若待检测数据A的恶意行为识别结果为存在恶意行为,并且,攻击对象识别结果为存在攻击对象,则基于检测规则,则认定待检测数据A为异常数据。
根据本申请的异常数据的检测方法,通过待检测数据进行恶意行为识别,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响;通过对待检测数据进行攻击对象识别,保证了对于待检测数据中数据特征进行识别,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
需要说明的是,可通过待检测数据的期望值,对待检测数据进行恶意行为识别,具体地,如图3所示,图3为本申请实施例提供的一种对待检测数据进行恶意行为识别的步骤流程图,对待检测数据进行恶意行为识别的方法可以包含以下步骤:
步骤301,将待检测数据进行标准化处理,得到目标检测数据。
需要说明的是,基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;对转换后的待检测数据进行归一化处理,得到目标检测数据。
作为一种实现方式,可通过对转换后的待检测数据的最小值、转换后的待检测数据的最大值实现对于转换后的待检测数据的归一化处理,具体地,可将转换后的待检测数据的最小值、转换后的待检测数据的最大值代入归一化表达式中,得到归一化后的目标检测数据,其中归一化表达式如下式所示:
Figure BDA0003857947240000081
其中,xnew归一化后的目标检测数据,x指的是换后的待检测数据,xmin指的是转换后的待检测数据的最小值,xmax指的是转换后的待检测数据的最大值。
步骤302,通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值。
在本申请的一种实施例中,根据目标检测数据,确定目标检测数据对应的数据特征图,并且数据特征图能够清晰呈现出目标检测数据;根据预先确定的处理方法,对数据特征图进行处理,确定目标检测数据对应的期望值。
其中,预先确定的处理方法可以包括但不限于:卷积处理、池化处理和全连接处理等。进一步说明,处理方法包括卷积处理、池化处理和全连接处理等的至少一个。
步骤303,基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在本申请的一种实施例中,预先确定的期望阈值,获取待检测数据对应的数据特征图,并且对该数据特征图进行处理,得到待检测数据对应的期望值;判断期望值与期望阈值的关系,若待检测流量数据的期望值小于期望阈值,则表示该待检测数据存在恶意行为;若待检测流量数据的期望值大于或者等于期望阈值,则表示该待检测数据不存在恶意行为。
需要说明的是,当需要对原始分析模型进行训练,得到深度分析模型时,具体步骤为:根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;根据目标测试数据,对训练样本中的训练数据集进行优化;根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
在本申请的一种实施例中,当需要对原始分析模型进行训练,得到深度分析模型时:依据人工设定或系统默认数据自行生成多组模拟数据,其中,模拟数据分为分为测试数据集以及训练数据集;将测试数据集输入原始分析模型对自身分析精确度进行验证,并且统计测试数据集的对应的误差,根据测试数据集的对应的误差确定测试数据集中的目标测试数据,基于目标测试数据对训练数据集进行优化,使得练数据集能够贴近目标测试数据,根据优化后的训练样本集,对原始分析模型进行训练和实时优化,得到深度分析模型。
进一步说明,采用焦点损失函数对深度分析模型进行损失计算,并且,对该深度分析模型进行性能评估,即针对深度分析模型进行准确率、检出率和误报率评估,并生成相对应的曲线走势图以供工作人员查看,其焦点损失函数具体计算公式如下式(2):
FL(pi)=-α(1-pi)γlog(pi)......(2)
其中,FL(pi)指的是焦点损失函数,pi指的是预测值,α指的是权重因子,γ指的是聚焦参数。
根据本申请的异常数据的检测方法,通过确定期望值和期望阈值,实现对于待检测数据恶意行为的判断,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响提高了网络安全性,防止异常数据对网络安全造成影响。通过归一化处理保证了待检测数据格式的统一,实现对待检测数据更好的进行恶意行为识别。通过对对原始分析模型进行训练,得到深度分析模型,保证了后续对待检测材料恶意行为识别的准确性,提高了后续对待检测材料恶意行为识别的效率。
需要说明的是,通过待检测数据的数据特征,对待检测数据进行攻击对象识别,具体地,如图4所示,图4为本申请实施例提供的一种对待检测数据进行攻击对象识别的步骤流程图,对待检测数据进行攻击对象识别的方法可以包含以下步骤:
步骤401,对待检测数据进行特征提取,得到待检测数据的数据特征。
其中,数据特征可以为待检测数据对应的特征代码。
需要说明的是,当需要对待检测数据进行特征提取时,需要对待检测数据进行数据解析,得到解析后的待检测数据;将解析后的待检测数据进行特征提取,进而得到待检测数据对应的数据特征。
步骤402,根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
在本申请的一种实施例中,根据预先确定的攻击对象特征对待检测数据进行攻击对象的识别。预先确定的攻击对象特征记录有若干带有攻击意图数据的特征;确定待检测数据对应的数据特征,将待检测数据对应的数据特征与攻击对象特征中的特征进行对比,若攻击对象特征中存在与待检测数据对应的数据特征相同的特征,则表示待检测数据中存在攻击对象;若攻击对象特征中不存在与待检测数据对应的数据特征相同的特征,则表示待检测数据中不存在攻击对象。
作为一种实现方式,攻击对象特征可以为病毒共享数据库,当需要对待检测数据进行攻击对象的识别时,基于病毒共享数据库,对待检测数据对应的数据特征进行检索,若病毒共享数据库中存在与待检测数据对应的数据特征相同的特征,则基于文件自动查杀技术对待检测数据中的数据特征进行阻隔查杀处理,同时采集该待检测数据所对应的目标客户端身份地址,并禁止该目标客户端后续操作。
进一步的,若病毒共享数据库中不存在与待检测数据对应的数据特征相同的特征,则基于云端虚拟机对待检测数据进行传染模拟,基于预先设定的病毒定义,对传染模拟后的待检测数据进行病毒识别,若病毒识别结果为待检测数据不包含病毒,则是确定待检测数据中不存在攻击对象;若病毒识别结果为待检测数据中包含病毒,文件自动查杀技术对待检测数据中的病毒进行阻隔查杀处理,同时采集该待检测数据所对应的目标客户端身份地址,并禁止该目标客户端后续操作。
根据本申请的异常数据的检测方法,通过对待检测数据进行特征提取,获取待检测数据对应的数据特征,为后续对待检测数据进行攻击对象识别提供数据基础,保证了对待检测数据进行攻击对象识别的准确性;根据攻击对象特征对待检测数据的数据特征进行攻击对象识别,实现了对于待检测数据中攻击对象的定位于分析,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
需要说明的是,在接收目标客户端发送的待检测数据之前,根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
在本申请的一种实施例中,确定每个候选客户端对应的启动单元,并且,获取每个候选客户端对应的启动频率,基于启动频率对候选客户端进行排序处理,确定并将每个候选客户端对应的启动单元进行依次连接,得到连接有多个候选客户端的启动链表;若设定启动链表头部候选客户端为最不活跃的客户端,即为启动频率最小的候选客户端,给予预先设定的目标客户端数据量,对启动链表头部的候选客户端进行删除处理,删除的顺序按照从启动链表从头部到尾部的顺序依次删除,直至启动链表中候选客户端的数量于目标客户端的数量相同,此时,启动链表中的候选客户端即为目标客户端。
根据本申请的异常数据的检测方法,通过对启动频率小的候选客户端进行删除,实现了对于系统运行资源的合理分配,防止启动频率小的候选客户端占用系统运存资源,提高了对于待检测数据进行异常数据检测的效率。
在本申请的一种实施例中,如图5所示,图5为本申请实施例提供的另一种异常数据确定方法的流程图,具体的,对待检测数据进行异常数据检测可以包括:
步骤501,接收目标客户端发送的待检测数据。
步骤502,基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据。
步骤503,对转换后的待检测数据进行归一化处理,得到目标检测数据。
步骤504,通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值。
步骤505,基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在本申请的一种实施例中,将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;根据目标测试数据,对训练样本中的训练数据集进行优化;根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
步骤506,对待检测数据进行特征提取,得到待检测数据的数据特征;
步骤507,根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别,确定攻击对象识别结果。
步骤508,根据恶意行为识别结果和攻击对象识别结果,对待检测数据进行异常数据检测。
在本申请的一种实施例中,如图6所示,图6为本申请实施例提供的一种异常数据确定方法的逻辑框图,目标客户端采集电机监控主机的反馈数据,并将反馈数据进行汇总得到待检测数据,将待检测输入发送给本地服务器,本地服务器通过深度分析模型和对象识别模型,对待检测数据进行异常数据检测,进一步说明,若异常数据检测结果为检测不通过,则根据预先设定的告警模块对工作人员进行告警提示,并且,基于预先设定的中断记录模块,获取异常数据检测结果为检测不通过的待检测数对应的目标客户端身份地址,并禁止该目标客户端后续操作。
根据本申请的异常数据的检测方法,通过待检测数据进行恶意行为识别,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响;通过对待检测数据进行攻击对象识别,保证了对于待检测数据中数据特征进行识别,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的异常数据的检测方法的异常数据的检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个异常数据的检测装置实施例中的具体限定可以参见上文中对于异常数据的检测方法的限定,在此不再赘述。
在一个实施例中,如图7所示,图7为本申请实施例提供的一种异常数据的检测装置的结构框图,提供了一种异常数据的检测装置,包括:接收模块710、识别模块720和检测模块730,其中:
接收模块710,用于接收目标客户端发送的待检测数据。
需要说明的是,在接收目标客户端发送的待检测数据之前,还包括:根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
识别模块720,用于对待检测数据进行恶意行为和攻击对象的识别。
检测模块730,用于根据识别结果,对待检测数据进行异常数据检测。
根据本申请的异常数据的检测装置,通过待检测数据进行恶意行为识别,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响;通过对待检测数据进行攻击对象识别,保证了对于待检测数据中数据特征进行识别,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
在一个实施例中,如图8所示,图8为本申请实施例提供的另一种异常数据的检测装置的结构框图,提供了一种异常数据的检测装置,该异常数据的检测装置中识别模块820包括:处理单元821、第一确定单元822和第二确定单元823,其中:
处理单元821,用于将待检测数据进行标准化处理,得到目标检测数据。
需要说明的是,基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;对转换后的待检测数据进行归一化处理,得到目标检测数据。
第一确定单元822,用于通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值。
第二确定单元823,用于基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在本申请的一种实施例中,将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;根据目标测试数据,对训练样本中的训练数据集进行优化;根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
根据本申请的异常数据的检测装置,通过确定期望值和期望阈值,实现对于待检测数据恶意行为的判断,保证了能够对待检测数据的访问意图和行为进行判断,实现了对于待检测数据中异常数据的初步筛选,防止待检测数据中的异常数据对网络安全造成影响提高了网络安全性,防止异常数据对网络安全造成影响。通过归一化处理保证了待检测数据格式的统一,实现对待检测数据更好的进行恶意行为识别。通过对对原始分析模型进行训练,得到深度分析模型,保证了后续对待检测材料恶意行为识别的准确性,提高了后续对待检测材料恶意行为识别的效率。
在一个实施例中,如图9所示,图9为本申请实施例提供的另一种异常数据的检测装置的结构框图,提供了一种异常数据的检测装置,该异常数据的检测装置中识别模块920包括:提取单元924和识别单元925,其中:
提取单元924,用于对待检测数据进行特征提取,得到待检测数据的数据特征。
识别单元925,用于根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
根据本申请的异常数据的检测装置,通过对待检测数据进行特征提取,获取待检测数据对应的数据特征,为后续对待检测数据进行攻击对象识别提供数据基础,保证了对待检测数据进行攻击对象识别的准确性;根据攻击对象特征对待检测数据的数据特征进行攻击对象识别,实现了对于待检测数据中攻击对象的定位于分析,防止待检测数据中存在攻击对象特征,实现了对于待检测数据的充分检测,实现对待检测数据中异常数据的进一步筛选,提高了网络安全性,防止异常数据对网络安全造成影响。
上述异常数据确定装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、移动蜂窝网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种异常数据确定方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
接收目标客户端发送的待检测数据;
对待检测数据进行恶意行为和攻击对象的识别;
根据识别结果,对待检测数据进行异常数据检测。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将待检测数据进行标准化处理,得到目标检测数据;
通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值;
基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;
对转换后的待检测数据进行归一化处理,得到目标检测数据。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;
根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;
根据目标测试数据,对训练样本中的训练数据集进行优化;
根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
对待检测数据进行特征提取,得到待检测数据的数据特征;
根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收目标客户端发送的待检测数据;
对待检测数据进行恶意行为和攻击对象的识别;
根据识别结果,对待检测数据进行异常数据检测。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将待检测数据进行标准化处理,得到目标检测数据;
通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值;
基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;
对转换后的待检测数据进行归一化处理,得到目标检测数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;
根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;
根据目标测试数据,对训练样本中的训练数据集进行优化;
根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对待检测数据进行特征提取,得到待检测数据的数据特征;
根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
接收目标客户端发送的待检测数据;
对待检测数据进行恶意行为和攻击对象的识别;
根据识别结果,对待检测数据进行异常数据检测。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将待检测数据进行标准化处理,得到目标检测数据;
通过深度分析模型,根据目标检测数据对应的数据特征图,确定目标检测数据对应的期望值;
基于预设期望阈值和期望值,确定待检测数据对应的恶意行为识别结果。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于预先设定的进制转换规则,对待检测数据进行进制转换,确定转换后的待检测数据;
对转换后的待检测数据进行归一化处理,得到目标检测数据。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
将训练样本中的测试数据集输入至原始分析模型中,得到测试数据集对应的恶意行为预测结果;
根据测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;
根据目标测试数据,对训练样本中的训练数据集进行优化;
根据优化后的训练样本集,对原始分析模型进行训练,得到深度分析模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对待检测数据进行特征提取,得到待检测数据的数据特征;
根据攻击对象特征和待检测数据的数据特征,对待检测数据进行攻击对象的识别。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据候选客户端的启动频率和/或数据上传量,从候选客户端中确定目标客户端。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。

Claims (10)

1.一种异常数据的检测方法,其特征在于,所述方法包括:
接收目标客户端发送的待检测数据;
对所述待检测数据进行恶意行为和攻击对象的识别;
根据识别结果,对所述待检测数据进行异常数据检测。
2.根据权利要求1所述的方法,其特征在于,对所述待检测数据进行恶意行为识别,包括:
将所述待检测数据进行标准化处理,得到目标检测数据;
通过深度分析模型,根据所述目标检测数据对应的数据特征图,确定所述目标检测数据对应的期望值;
基于预设期望阈值和所述期望值,确定所述待检测数据对应的恶意行为识别结果。
3.根据权利要求2所述的方法,其特征在于,所述将所述待检测数据进行标准化处理,得到目标检测数据,包括:
基于预先设定的进制转换规则,对所述待检测数据进行进制转换,确定转换后的待检测数据;
对所述转换后的待检测数据进行归一化处理,得到所述目标检测数据。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
将训练样本中的测试数据集输入至原始分析模型中,得到所述测试数据集对应的恶意行为预测结果;
根据所述测试数据集对应的恶意行为预测结果和恶意行为标签,确定目标测试数据;
根据所述目标测试数据,对训练样本中的训练数据集进行优化;
根据所述优化后的训练样本集,对所述原始分析模型进行训练,得到深度分析模型。
5.根据权利要求1至4中任一项所述的方法,其特征在于,对所述待检测数据进行攻击对象的识别,包括:
对所述待检测数据进行特征提取,得到所述待检测数据的数据特征;
根据攻击对象特征和所述待检测数据的数据特征,对所述待检测数据进行攻击对象的识别。
6.根据权利要求1至4中任一项所述的方法,其特征在于,在所述接收目标客户端发送的待检测数据之前,还包括:
根据候选客户端的启动频率和/或数据上传量,从所述候选客户端中确定目标客户端。
7.一种异常数据确定装置,其特征在于,所述装置包括:
接收模块,用于接收目标客户端发送的待检测数据;
识别模块,用于对所述待检测数据进行恶意行为和攻击对象的识别;
检测模块,用于根据识别结果,对所述待检测数据进行异常数据检测。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
CN202211154558.6A 2022-09-22 2022-09-22 异常数据确定方法、装置、计算机设备和存储介质 Pending CN115567279A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211154558.6A CN115567279A (zh) 2022-09-22 2022-09-22 异常数据确定方法、装置、计算机设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211154558.6A CN115567279A (zh) 2022-09-22 2022-09-22 异常数据确定方法、装置、计算机设备和存储介质

Publications (1)

Publication Number Publication Date
CN115567279A true CN115567279A (zh) 2023-01-03

Family

ID=84741986

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211154558.6A Pending CN115567279A (zh) 2022-09-22 2022-09-22 异常数据确定方法、装置、计算机设备和存储介质

Country Status (1)

Country Link
CN (1) CN115567279A (zh)

Similar Documents

Publication Publication Date Title
EP3899770B1 (en) System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats
CN107888554B (zh) 服务器攻击的检测方法和装置
JP2020505707A (ja) 侵入検出のための継続的な学習
CN111177714A (zh) 异常行为检测方法、装置、计算机设备和存储介质
KR102348536B1 (ko) 기계 학습 기반의 이상 행위 탐지 방법 및 그 장치
US11106801B1 (en) Utilizing orchestration and augmented vulnerability triage for software security testing
CN114693192A (zh) 风控决策方法、装置、计算机设备和存储介质
CN114598514A (zh) 工控威胁检测方法及装置
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN111488574B (zh) 恶意软件分类方法、系统、计算机设备和存储介质
CN112528306A (zh) 基于大数据和人工智能的数据访问方法及云计算服务器
CA3125101A1 (en) System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats
Wang et al. Application research of file fingerprint identification detection based on a network security protection system
CN115567279A (zh) 异常数据确定方法、装置、计算机设备和存储介质
CN115438747A (zh) 异常账户识别模型训练方法、装置、设备及介质
CN112367336B (zh) webshell拦截检测方法、装置、设备及可读存储介质
CN114492994A (zh) 一种基于电力大数据的电力信息处理系统、方法及装置
CN113254672A (zh) 异常账号的识别方法、系统、设备及可读存储介质
CN113726810A (zh) 入侵检测系统
Maddali Convnext-Eesnn: An effective deep learning based malware detection in edge based IIOT
CN115906170B (zh) 应用于存储集群的安全防护方法及ai系统
KR102465307B1 (ko) 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램
CN114386496B (zh) 一种数据处理方法、装置、设备及存储介质
KR102471731B1 (ko) 사용자를 위한 네트워크 보안 관리 방법
CN114330987A (zh) 电力监控系统运维行为分析方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination