CN115913652A - 异常访问行为检测方法及装置、电子设备及可读存储介质 - Google Patents
异常访问行为检测方法及装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN115913652A CN115913652A CN202211316382.XA CN202211316382A CN115913652A CN 115913652 A CN115913652 A CN 115913652A CN 202211316382 A CN202211316382 A CN 202211316382A CN 115913652 A CN115913652 A CN 115913652A
- Authority
- CN
- China
- Prior art keywords
- risk
- abnormal
- access behavior
- scene
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明提供了一种异常访问行为检测方法及装置、电子设备及可读存储介质,涉及数据安全技术领域。方法包括:获取目标主体中的资源敏感流量;基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;根据风险因子以及风险因子对应的业务场景,确定异常访问行为对应的风险场景以及异常风险级别。因此,本发明能够解决相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种异常访问行为检测方法及装置、电子设备及可读存储介质。
背景技术
当前企业网络域数据库中敏感数据多、分布零散,数据逐渐跨应用、网络之间流转,传统的边界逐渐模糊,数据的安全风险暴露面不断扩大。如果企业不具备敏感数据流转监测与分析能力,将导致企业的敏感数据外泄,影响企业业务连续性,并涌现出数据资源动态梳理缺失、数据动态安全监测范围不全、数据泄漏、风险行为时有发生等一系列亟待解决的问题。
现有技术中缺乏积极有效的溯源追踪及流转测绘分析能力以及手段。
发明内容
本发明实施例提供一种异常访问行为检测方法及装置、电子设备及可读存储介质,以解决相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
为了解决上述技术问题,本发明是这样实现的:
第一方面,本发明实施例提供了一种异常访问行为检测方法,所述方法包括:获取目标主体中的资源敏感流量;基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
进一步地,所述获取目标主体中的资源敏感流量,包括:根据所述目标主体中的资源信息、敏感数据对所述目标主体中的访问流量进行过滤,以得到所述资源敏感流量。
进一步地,在所述基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子之前,还包括:根据所述目标主体中的历史流量数据,对局部因子算法进行训练,以得到所述风险检测模型。
进一步地,在所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别之后,还包括:若所述风险场景为非业务风险场景,则不进行预警;若所述风险场景为业务风险场景,所述风险级别为低风险级别,则对所述异常访问行为的访问主体进行限制访问;若所述风险场景为业务风险场景,所述风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
进一步地,所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别,包括:据基线模型对所述风险场景进行基线测绘,以确定所述异常风险级别,其中,所述基线模型是由所述目标主体中的历史风险场景的基线值训练得到的。
第二方面,本发明实施例另外提供了一种异常访问行为检测装置,所述装置包括:获取模块,用于获取目标主体中的资源敏感流量;预测模块,用于基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;确定模块,用于根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
进一步地,所述获取模块包括:过滤单元,用于根据所述目标主体中的资源信息、敏感数据对所述目标主体中的访问流量进行过滤,以得到所述资源敏感流量。
进一步地,还包括:训练模块,用于在所述基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子之前,根据所述目标主体中的历史流量数据,对局部因子算法进行训练,以得到所述风险检测模型。
进一步地,还包括告警模块,在所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别之后,还用于:若所述风险场景为非业务风险场景,则不进行预警;若所述风险场景为业务风险场景,所述风险级别为低风险级别,则对所述异常访问行为的访问主体进行限制访问;若所述风险场景为业务风险场景,所述风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
进一步地,所述确定模块包括:确定单元,用于根据基线模型对所述风险场景进行基线测绘,以确定所述异常风险级别,其中,所述基线模型是由所述目标主体中的历史风险场景的基线值训练得到的。
第三方面,本发明实施例另外提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如前第一方面所述的异常访问行为检测方法的步骤。
第四方面,本发明实施例另外提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前第一方面所述的异常访问行为检测方法的步骤。
在本发明实施例中,获取目标主体中的资源敏感流量;基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;根据风险因子以及异常访问行为所处的业务场景,确定异常访问行为对应的异常风险级别。通过风险检测模型对资源敏感流量进行预测,确定资源敏感流量中的异常访问行为以及对应的风险因子,然后基于异常访问行为的风险因子以及所处的业务场景,来确定异常访问行为对应异常风险级别,提高了资源敏感流量的异常访问行为的检测精度,降低了敏感数据泄露的风险。本发明解决了相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中的一种异常访问行为检测方法的应用场景示意图;
图2是本发明实施例中的一种二维平面坐标中分位点的示意图;
图3是本发明实施例中的一种二维平面坐标中异常值的示意图;
图4是本发明实施例中的一种异常因子算法的示意图;
图5是本发明实施例中的又一种异常因子算法的示意图;
图6是本发明实施例中的一种异常访问行为检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
根据本发明实施例,提供了一种异常访问行为检测方法,如图1所示,该方法具体可以包括以下步骤:
S102,获取目标主体中的资源敏感流量;
S104,基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;
S106,根据风险因子以及风险因子对应的业务场景,确定异常访问行为对应的风险场景以及异常风险级别。
在本实施例中,目标主体中包括业务资源的敏感数据,针对目标主体中业务资源的敏感数据的访问行为为资源敏感流量,由于资源敏感流量访问的数据是目标主体中较为重要的数据,因此需要对资源敏感流量进行异常访问行为的识别。
本实施例中的目标主体包括但不限于数据库、服务器以及终端等主体。
具体地,在本实施例中,根据预设规则对访问流量中的敏感数据进行识别,预设规则包括但不限于对访问流量的源IP地址、访问IP地址、访问时间段、访问端口限定规则。
本实施例中,通过目标主体中对资源敏感流量的访问时间段、访问频次、访问地址、访问数据量、端口等参数,分别进行异常访问行为以及风险因子的判断。
本实施例中的风险因子为最小粒度的风险因素,风险因子本质上是由最小粒度的风险规则或风险条件。例如单一的访问频次、访问时间、访问主体的IP地址等。本实施例中包括风险因子的访问流量,均为异常访问行为。
在本实施例中,对资源敏感流量的风险因子进行识别,快速识别非法时间访问、非法地点访问、涉敏过频访问、涉敏过量访问等多种风险因子。
而在实际的应用场景中,由于风险因子本质上是由最小粒度的风险规则或风险条件构成,单个风险因子的命中,无法确认本次异常访问行为对应的风险场景,以及风险场景的异常风险级别。
本实施例中的风险场景包括异常访问行为中的风险因子以及风险因子对应的业务场景。例如风险场景包括多种风险因子的组合,通过异常访问行为中的风险因子的种类以及数量,来确定异常访问行为对应的风险场景。
在本实施例中,获取异常访问行为对应的一个或多个异常因子,每个异常因子对应一种业务场景;根据一个或多个异常因子分别对应的业务场景,确定异常访问行为对应的风险场景。然后,确定风险场景对应的异常风险级别。
在实际的应用场景中,风险场景的识别和监测。风险场景往往是复杂化的,由多种风险因子组成,其在发生事故的概率上、危害严重程度上,都具备更高的量级。因此会触发主动预警,同时对触发的主体进行强制监察隔离。如“应用账号非法时间涉敏数据过频过量访问”包含了非法时间访问、过频、访问以及过量访问三种风险因子。
需要说明的是,通过本实施例,在本发明实施例中,获取目标主体中的资源敏感流量;基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;根据风险因子以及异常访问行为所处的业务场景,确定异常访问行为对应的异常风险级别。通过风险检测模型对资源敏感流量进行预测,确定资源敏感流量中的异常访问行为以及对应的风险因子,然后基于异常访问行为的风险因子以及所处的业务场景,来确定异常访问行为对应异常风险级别,提高了资源敏感流量的异常访问行为的检测精度,降低了敏感数据泄露的风险。本发明解决了相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
可选地,在本实施例中,获取目标主体中的资源敏感流量,包括但不限于:根据目标主体中的资源信息、敏感数据对目标主体中的访问流量进行过滤,以得到资源敏感流量。
在对目标主体中的访问流量进行异常访问行为的识别的过程之前,首先需要识别出目标主体中的资源敏感流量。
具体地,对目标主体中的访问流量进行流量过滤,首先对无效流量、资源非敏感流量以及资源敏感流量进行分层处理。对杂质流量、目标主体所对应服务器的服务之间调用流量等无效流量进行过滤,保留业务所需的资源敏感流量。
具体地,对目标主体中的业务资源进行识别,根据目标主体中的业务信息,以业务资源为单位载体,对业务资源数据主动进行敏感数据发现。例如资源信息包括但不限于目标主体中的指定IP地址、指定端口等。
然后,根据预设规则来确定访问业务资源流量的数据为敏感数据,该敏感数据对应的访问流量为资源敏感流量。
通过上述示例,根据目标主体中的资源信息、敏感数据对目标主体中的访问流量进行过滤,以得到资源敏感流量,实现了对目标主体中的无效流量的过滤。
可选地,在本实施例中,在基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子之前,还包括但不限于:根据目标主体中的历史流量数据,对局部因子算法进行训练,以得到风险检测模型。
在本实施例中,基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为以及异常访问行为对应的风险因子。
在一个示例中,本实施例中的异常行为检测模型包括局部异常因子检测算法,针对不同的数据形式,有不同的实现方式。常用的有基于分布的检测模型,如图2所示,在上、下α分位点之外的值认为是异常值,对于属性值常用此方式。基于距离的检测模型,适用于二维或高维坐标体系内异常点的判别,例如二维平面坐标或经纬度空间坐标下异常点识别,可用此类方式。
例如图3所示,对于C1集合的点,整体间距、密度、分散情况较为均匀一致,可以认为是同一簇;对于C2集合的点,同样可认为是一簇。o1、o2点相对孤立,可以认为是异常点或离散点。
下面介绍局部异常因子算法的相关定义:
d(p,o):两点p和o之间的距离;
对于点p的第k距离(k-distance)dk(p)定义如下:
dk(p)=d(p,o)
并且满足:在集合中至少有不包括p在内的κ个点o′∈C{χ≠p},满足d(p,o′)≤d(p,o);在集合中最多有不包括p在内的κ-1个点o′∈C{χ≠p},满足d(p,o′)<d(p,o);
p的第k距离,也就是距离p第k远的点的距离,不包括p,如图4所述。
点p的第k距离邻域(k-distanceneighborhood of p)Nk(p),就是p的第k距离即以内的所有点,包括第k距离。
因此p的第k邻域点的个数|Nk(p)|≥k。
点o到点p的第k可达距离(reach-distance)定义为:
reach-distancek(p,o)=max{k-distance(o),d(p,o)}
也就是,点o到点p的第k可达距离,至少是o的第k距离,或者为o、p间的真实距离。
这也意味着,离点o最近的k个点,o到它们的可达距离被认为相等,且都等于dk(o)。
如图5所示,o1到p的第5可达距离为d(p,o1),o2到p的第5可达距离为d5(o2)。
点p的局部可达密度(local reachability density)表示为:
表示点p的第k邻域内点到p的平均可达距离的倒数。
具体地,p的邻域点Nk(p)到p的可达距离,代表一个密度,密度越高,越可能属于同一簇,密度越低,越可能是离群点。如果p和周围邻域点是同一簇,那么可达距离越可能为较小的dk(o),导致可达距离之和较小,密度值校高;如果p和周围邻居点较远,那么可达距离可能都会取较大值d(p,o),导致密度较小,越可能是离群点。
点p的局部离群因子表示为:
表示点p的邻域点Nk(p)的局部可达密度与点p的局部可达密度之比的平均数。
如果这个比值越接近1,说明p的其邻域点密度差不多,p可能与邻域同属一簇;如果这个比值越小于1,说明p的密度高于其邻域点密度,p为密集点;如果这个比值越大于1,说明p的密度小于其邻域点密度,p越可能是异常点。
本实施例中的局部因子算法的核心思想主要是通过比较每个点p和其邻域点的密度来判断该点是否为异常点,如果点p的密度越低,越可能被认定是异常点。其中,密度是通过点之间的距离来计算的,点之间距离越远,密度越低,距离越近,密度越高。
需要说明的是,在本实施例中,每一种风险因子对应不同的风险检测模型的模型参数,不同模型参数的风险检测模型用于对相应的风险因子进行检测。例如基于访问时间点对应的模型参数的风险检测模型,对访问流量的访问时间点进行预测,判断该访问流量的访问时间点是否为风险因子。
可选地,在本实施例中,在根据风险因子以及异常访问行为所处的业务场景,确定异常访问行为对应的异常风险级别之后,还包括但不限于:若风险场景为非业务风险场景,则不进行预警;若风险场景为业务风险场景,风险级别为低风险级别,则对异常访问行为的访问主体进行限制访问;若风险场景为业务风险场景,风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
具体地,若异常访问行为对应异常访问行为对应风险场景为非业务风险场景,则不进行预警;
另一方面,若异常访问行为对应风险场景为业务风险场景,且风险级别为低风险级别,则进行对异常访问行为的访问主体进行限制访问。
在实际的应用场景中,对触发风险因子的访问主体进行监察隔离,若后续预设时间段内该访问主体无异常访问行为,则解除隔离。
又一方面,若风险场景为业务风险场景,风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
具体地,对触发风险因子的访问主体进行监察隔离,限制该访问主体访问目标主体中的资源敏感数据。并以邮件、短信或应用通知等方式进行风险事件预警,预警内容包括但不限于异常访问行为的风险因子内容,例如“应用账号非法时间涉敏数据过频过量访问”。
可选地,在本实施例中,根据风险因子以及风险因子对应的业务场景,确定异常访问行为对应的风险场景以及异常风险级别,包括但不限于:据基线模型对风险场景进行基线测绘,以确定异常风险级别,其中,基线模型是由目标主体中的历史风险场景的基线值训练得到的。
具体地,由于在实际的应用场景中,有些风险场景是根据实际的工作需要对目标主体中敏感资源进行的必要的访问。因此需要对符合实际需求的风险场景作进一步地判断。
在本实施例中,通过基线模型对目标主体中访问过频过量的风险场景分析,基线模型是用于判断访问流量中的访问过频过量情况的算法模型,通过访问频次以及访问数据量的水平与基线值进行对比来判断是否存在异常。
根据实际业务中的过频过量访问情况,主动对目标主体对应的应用、接口、账号、数据库的访问频次基线和访问数据量基线进行建模分析,其中,基线模型是由目标主体中历史记录中的访问频次以及访问数据量的历史风险场景的基线值训练得到的。
通过本发明实施例,获取目标主体中的资源敏感流量;基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;根据风险因子以及异常访问行为所处的业务场景,确定异常访问行为对应的异常风险级别。通过风险检测模型对资源敏感流量进行预测,确定资源敏感流量中的异常访问行为以及对应的风险因子,然后基于异常访问行为的风险因子以及所处的业务场景,来确定异常访问行为对应异常风险级别,提高了资源敏感流量的异常访问行为的检测精度,降低了敏感数据泄露的风险。本发明解决了相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
实施例二
详细介绍本发明实施例提供的一种异常访问行为检测装置。
参照图6,示出了本发明实施例中一种异常访问行为检测装置的结构示意图。
本发明实施例的异常访问行为检测装置包括:获取模块60,预测模块62以及确定模块64。
下面分别详细介绍各模块的功能以及各模块之间的交互关系。
获取模块60,用于获取目标主体中的资源敏感流量;
预测模块62,用于基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;
确定模块64,用于根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
可选地,在本实施例中,所述获取模块60包括:
过滤单元,用于根据所述目标主体中的资源信息、敏感数据对所述目标主体中的访问流量进行过滤,以得到所述资源敏感流量。
可选地,在本实施例中,还包括:
训练模块,用于在所述基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子之前,根据所述目标主体中的历史流量数据,对局部因子算法进行训练,以得到所述风险检测模型。
可选地,在本实施例中,还包括告警模块,在所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别之后,还用于:
若所述风险场景为非业务风险场景,则不进行预警;
若所述风险场景为业务风险场景,所述风险级别为低风险级别,则对所述异常访问行为的访问主体进行限制访问;
若所述风险场景为业务风险场景,所述风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
可选地,在本实施例中,所述确定模块64包括:
确定单元,用于根据基线模型对所述风险场景进行基线测绘,以确定所述异常风险级别,其中,所述基线模型是由所述目标主体中的历史风险场景的基线值训练得到的。
而且,在本发明实施例中,获取目标主体中的资源敏感流量;基于风险检测模型对资源敏感流量进行预测,以确定资源敏感流量中的异常访问行为对应的风险因子,其中,风险检测模型是根据目标主体中的历史访问行为预先训练得到的,风险因子为最小粒度的风险因素;根据风险因子以及异常访问行为所处的业务场景,确定异常访问行为对应的异常风险级别。通过风险检测模型对资源敏感流量进行预测,确定资源敏感流量中的异常访问行为以及对应的风险因子,然后基于异常访问行为的风险因子以及所处的业务场景,来确定异常访问行为对应异常风险级别,提高了资源敏感流量的异常访问行为的检测精度,降低了敏感数据泄露的风险。本发明解决了相关技术中缺少对访问行为进行有效的安全监测手段,而导致数据库存在数据泄露等不安全风险的问题。
实施例三
优选的,本发明实施例还提供了一种电子设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如上所述的异常访问行为检测方法的步骤。
可选地,在本实施例中,存储器被设置为存储用于执行以下步骤的程序代码:
S1,获取目标主体中的资源敏感流量;
S2,基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;
S3,根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
实施例四
本发明的实施例还提供了一种可读存储介质。可选地,在本实施例中,上述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如实施例1所述的异常访问行为检测方法的步骤。
可选地,在本实施例中,可读存储介质被设置为存储用于执行以下步骤的程序代码:
S1,获取目标主体中的资源敏感流量;
S2,基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;
S3,根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
可选地,可读存储介质还被设置为存储用于执行上述实施例1中的方法中所包括的步骤的程序代码,本实施例中对此不再赘述。
可选地,在本实施例中,上述可读存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例1中所描述的示例,本实施例在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种异常访问行为检测方法,其特征在于,所述方法包括:
获取目标主体中的资源敏感流量;
基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;
根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
2.根据权利要求1所述的方法,其特征在于,所述获取目标主体中的资源敏感流量,包括:
根据所述目标主体中的资源信息、敏感数据对所述目标主体中的访问流量进行过滤,以得到所述资源敏感流量。
3.根据权利要求1所述的方法,其特征在于,在所述基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子之前,还包括:
根据所述目标主体中的历史流量数据,对局部因子算法进行训练,以得到所述风险检测模型。
4.根据权利要求1所述的方法,其特征在于,在所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别之后,还包括:
若所述风险场景为非业务风险场景,则不进行预警;
若所述风险场景为业务风险场景,所述风险级别为低风险级别,则对所述异常访问行为的访问主体进行限制访问;
若所述风险场景为业务风险场景,所述风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
5.根据权利要求1所述的方法,其特征在于,所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别,包括:
据基线模型对所述风险场景进行基线测绘,以确定所述异常风险级别,其中,所述基线模型是由所述目标主体中的历史风险场景的基线值训练得到的。
6.一种异常访问行为检测装置,其特征在于,所述装置包括:
获取模块,用于获取目标主体中的资源敏感流量;
预测模块,用于基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子,其中,所述风险检测模型是根据所述目标主体中的历史访问行为预先训练得到的,所述风险因子为最小粒度的风险因素;
确定模块,用于根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别。
7.根据权利要求6所述的装置,其特征在于,所述获取模块包括:
过滤单元,用于根据所述目标主体中的资源信息、敏感数据对所述目标主体中的访问流量进行过滤,以得到所述资源敏感流量。
8.根据权利要求7所述的装置,其特征在于,还包括:
训练模块,用于在所述基于风险检测模型对所述资源敏感流量进行预测,以确定所述资源敏感流量中的异常访问行为对应的风险因子之前,根据所述目标主体中的历史流量数据,对局部因子算法进行训练,以得到所述风险检测模型。
9.根据权利要求6所述的装置,其特征在于,还包括告警模块,在所述根据所述风险因子以及所述风险因子对应的业务场景,确定所述异常访问行为对应的风险场景以及异常风险级别之后,还用于:
若所述风险场景为非业务风险场景,则不进行预警;
若所述风险场景为业务风险场景,所述风险级别为低风险级别,则对所述异常访问行为的访问主体进行限制访问;
若所述风险场景为业务风险场景,所述风险级别为高风险级别,则进行风险事件预警,且对访问主体进行限制访问。
10.根据权利要求6所述的装置,其特征在于,所述确定模块包括:
确定单元,用于根据基线模型对所述风险场景进行基线测绘,以确定所述异常风险级别,其中,所述基线模型是由所述目标主体中的历史风险场景的基线值训练得到的。
11.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至5中任一项所述的异常访问行为检测方法的步骤。
12.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的异常访问行为检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211316382.XA CN115913652A (zh) | 2022-10-26 | 2022-10-26 | 异常访问行为检测方法及装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211316382.XA CN115913652A (zh) | 2022-10-26 | 2022-10-26 | 异常访问行为检测方法及装置、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115913652A true CN115913652A (zh) | 2023-04-04 |
Family
ID=86480443
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211316382.XA Pending CN115913652A (zh) | 2022-10-26 | 2022-10-26 | 异常访问行为检测方法及装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115913652A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776390A (zh) * | 2023-08-15 | 2023-09-19 | 上海观安信息技术股份有限公司 | 一种数据泄漏行为的监测方法、装置、存储介质及设备 |
-
2022
- 2022-10-26 CN CN202211316382.XA patent/CN115913652A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116776390A (zh) * | 2023-08-15 | 2023-09-19 | 上海观安信息技术股份有限公司 | 一种数据泄漏行为的监测方法、装置、存储介质及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI595375B (zh) | 使用適應性行爲輪廓之異常檢測技術 | |
CN110149327B (zh) | 网络安全威胁的告警方法、装置、计算机设备和存储介质 | |
US10635817B2 (en) | Targeted security alerts | |
CN108650225B (zh) | 一种远程安全监测设备、系统及远程安全监测方法 | |
CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
CN116366374B (zh) | 基于大数据的电网网络管理的安全评估方法、系统及介质 | |
CN110830467A (zh) | 基于模糊预测的网络可疑资产识别方法 | |
CN115913652A (zh) | 异常访问行为检测方法及装置、电子设备及可读存储介质 | |
CN111209564B (zh) | 一种云平台安全状态预测方法、装置、设备及存储介质 | |
CN111064719A (zh) | 文件异常下载行为的检测方法及装置 | |
CN115567258B (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 | |
CN112581027A (zh) | 一种风险信息管理方法、装置、电子设备及存储介质 | |
CN117319051A (zh) | 基于用户实体行为分析的安全威胁情报的确定方法及装置 | |
CN116707927A (zh) | 态势感知方法、系统、计算机设备及存储介质 | |
CN113765850A (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
CN112258683B (zh) | 一种业务系统的巡检方法及装置 | |
CN113672449A (zh) | 智能运维异常监测方法、装置、计算机设备和存储介质 | |
CN114329443A (zh) | 一种容器沙箱规则的生成方法、系统、电子设备及存储介质 | |
CN113824711A (zh) | 一种威胁ip封禁方法、装置、设备及介质 | |
CN113222736A (zh) | 一种异常用户的检测方法、装置、电子设备及存储介质 | |
CN111835540B (zh) | 进行告警的方法和装置 | |
CN117544420B (zh) | 一种基于数据分析的融合系统安全管理方法及系统 | |
CN114598621B (zh) | 一种电力通信网络可靠性评估系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |