CN116319014A - 基于云端的多业务异常行为检测方法及装置 - Google Patents
基于云端的多业务异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN116319014A CN116319014A CN202310288784.1A CN202310288784A CN116319014A CN 116319014 A CN116319014 A CN 116319014A CN 202310288784 A CN202310288784 A CN 202310288784A CN 116319014 A CN116319014 A CN 116319014A
- Authority
- CN
- China
- Prior art keywords
- data
- service
- abnormal
- cloud
- association
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 65
- 238000001514 detection method Methods 0.000 title claims abstract description 34
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000012545 processing Methods 0.000 claims abstract description 32
- 230000004044 response Effects 0.000 claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 14
- 238000012549 training Methods 0.000 claims description 15
- 238000005065 mining Methods 0.000 claims description 10
- 239000004973 liquid crystal related substance Substances 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000009412 basement excavation Methods 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims 1
- 238000012423 maintenance Methods 0.000 abstract description 3
- 238000004458 analytical method Methods 0.000 description 9
- 238000012098 association analyses Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004140 cleaning Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 238000012097 association analysis method Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明公开了一种基于云端的多业务异常行为检测方法和装置,该方法包括:云端防护组接收多个业务的业务访问数据;云端防护组存储各业务的访问数据,对各业务的访问数据进行关联处理;云端防护组对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;根据对异常事件的响应执行一业务和其他业务的防护处理;云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。通过云端平台管理多处业务安全问题,快速协助运维人员完成对业务安全问题的整体把控和处置能力。
Description
技术领域
本发明涉及网络安全技术领域,更具体地说,本发明涉及一种基于云端的多业务异常行为检测方法及装置。
背景技术
在现代的商业运营中,由于业务规模不断扩大、运营复杂度增加以及业务数据量大幅增长,导致企业面临着越来越多的业务异常风险。例如,金融领域中的欺诈交易、电商平台中的虚假交易、物流行业中的货损问题等等。这些异常行为不仅会损害企业的利益,还可能对客户造成损失,因此需要开发一种高效的业务异常行为检测系统来解决这些问题。
传统的安全检测基于单个业务,数据比较单一,无法做到数据的关联分析和全面防护,并且问题发现及响应周期比较长,需要专业的安全人员,效率低,成本高。
发明内容
本发明实施例提供一种基于云端的多业务异常行为检测方法及装置,至少部分解决上述现有技术的问题。
本发明实施例提供了一种基于云端的多业务异常行为检测方法,其包括以下步骤:
步骤一,云端防护组接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入云端防护组;
步骤二,云端防护组存储各业务的访问数据,对各业务的访问数据进行关联处理;
步骤三,云端防护组对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:
云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理;
步骤四,云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。
优选的,步骤二中对各业务的访问数据进行关联处理包括:
根据预设关联规则,将不同业务中符合预设关联规则的数据标记为关联数据。
优选的,通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取预设关联规则。
优选的,业务的访问数据包括一个或多个数据集,每个数据集中包括一个或多个项集,步骤二中对各业务的访问数据进行关联处理包括:对数据集中的频繁项集进行关联处理;其中,当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时,项集为频繁项集。
优选的,预设关联规则满足条件:预设关联规则的置信度大于阈值;其中,
对于数据集D和频繁项集I,令X→Y表示一条关联规则,
X为规则的前件,Y为规则的后件,X和Y为彼此关联的数据;
关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。
优选的,步骤三中包括:
根据历史数据和关联数据确定异常行为的来源、历史、及不同业务之间存在的威胁情况关系,生成异常事件;
将异常事件与事件库中的事件进行匹配:
对于在事件库中匹配成功的异常事件,根据对应的响应策略进行防护处理;
对于在事件库中匹配失败的异常事件,发出警报提醒。
本发明实施例还提供一种基于云端的多业务异常行为检测装置,包括:
接收模块,用于接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入检测装置;
关联模块,用于存储各业务的访问数据,对各业务的访问数据进行关联处理;
检测模块,用于对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:
获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理;
发送模块,用于将通过检测的数据分别转发至各个业务对应的业务服务器。
优选的,关联模块用于:
根据预设关联规则,将不同业务中符合预设关联规则的数据标记为关联数据。
优选的,该装置还包括关联规则获取模块,用于通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取预设关联规则。
优选的,业务的访问数据包括一个或多个数据集,每个数据集中包括一个或多个项集;
关联模块用于:对数据集中的频繁项集进行关联处理;其中,当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时,项集为频繁项集。
优选的,预设关联规则满足条件:预设关联规则的置信度大于阈值;其中,
对于数据集D和频繁项集I,令X→Y表示一条关联规则,
X为规则的前件,Y为规则的后件;
关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。
本发明至少包括以下有益效果:
通过云端平台管理多处业务安全问题,可通过云端数据数据关联分析与回溯数据,快速协助运维人员完成对业务安全问题的整体把控和处置能力,并且具备易于实施、灵活性高及安全成本低的优势。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明实施例提供的一种基于云端的多业务异常行为检测方法的流程示意图。
图2为本发明实施例提供的一种基于云端的多业务异常行为检测装置的结构示意图。
图3为本发明实施例提供的一种基于云端的多业务异常行为检测装置的另一结构示意图。
具体实施方式
下面结合附图以及具体实施例对本发明做进一步的说明,需要指出的是,下面仅以一种最优化的技术方案对本发明的技术方案以及设计原理进行详细阐述,但本发明的保护范围并不仅限于此。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
在不冲突的情况下,本发明各实施例及各实施方式中的技术特征可以相互组合,并不局限于该技术特征所在的实施例或实施方式中。
本发明实施例提供一种基于云端的多业务异常行为检测方法,如图1所示,该方法包括以下步骤:
步骤11,云端防护组接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入云端防护组。
其中,云端防护组指的是通过网络对业务进行远程防护的设备,包括但不限于一个或多个处理器、服务器、一个或多个信号收发器等。
云端防护组可以同时对应多个业务。业务的种类可以包括金融、教育、医疗多种行业业务。
对各个业务进行设置,包括设置业务的访问方式为只允许域名方式访问,并将业务的域名解析至云端防护组。例如,通过修改DNS解析为云端防护组的CNAME记录上即可完成业务访问接入云端防护组。
因业务访问可通过单点登录如IP方式和域名方式实现业务的方式,因此接入云端后需业务服务器配置为禁止单点登录的访问方式,只可通过域名方式访问业务数据。
步骤12,云端防护组存储各业务的访问数据,对各业务的访问数据进行关联处理。
在一种实施方式中,云端防护组采用netflow技术采集各业务的访问数据。NetFlow交换技术是在Cisco的路由器、交换机中实现的一种技术,用于监控和记录进出接口的所有流量,包括数据流的协议、端口、被转发的数据包数量、字节数等信息。
云端防护组所采集的数据通过数据服务器如ES、Mongodb等进行存储,供后续数据分析进行使用。
其中,对各业务的数据可以分别存储,例如通过不同的数据服务器分别存储不同业务的数据,也可以考虑联合存储,即在相同服务器上存储不同业务的数据。
其中,对于不同业务的数据进行关联处理包括:记录不同业务的访问数据中具有关联关系的数据。例如,业务1具有访问数据1-5,业务2具有访问数据6-7,业务3具有访问数据8-10,其中,业务1的访问数据2、业务2的访问数据6以及业务3的访问数据9之间符合预设的关联规则,则记录访问数据2、6和9之间的关联关系。具有关联关系的也可以是访问数据的一部分内容,本文对此不做限制。
建立不同业务的数据之间的关联可以包括根据预设关联规则建立关联。在一种实施方式中,可以根据分析目的和需要的信息,预先设定要挖掘的关联规则。例如,预先设定具有相同来源的访问数据之间彼此关联,或者设定包括特定代码的访问数据之间彼此关联。
在一种实施方式中,通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理,包括但不限于清洗、格式化和归一化等处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取关联规则。
在一种实施方式中,业务的访问数据可以包括多个数据集,每个数据集中包括一个或多个项集,可以只考虑频繁项集的关联。
频繁项集:对于数据集D,假设I是数据集中的一个项集,那么当I满足支持度阈值时,称I为频繁项集。
支持度:对于数据集D和项集I,项集I在数据集D中出现的次数占数据集D的总数据条数的比例,称为项集I的支持度。
支持度的计算公式为:
S(I)=Count(I)/|D|
其中,|D|表示数据集D中数据条数的总数,Count(I)表示项集I在数据集D中出现的次数,S(I)表示项集I的支持度。
关联规则:对于数据集D和频繁项集I,假设
X→Y是一条关联规则,其中X为规则的前件,Y为规则的后件。
置信度:对于数据集D和关联规则X→Y,关联规则X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例,称为关联规则X→Y的置信度。
置信度的公式为:
C(X→Y)=S(X∪Y)/S(X)
在一种实施方式中,当关联规则X→Y的置信度大于阈值时,确定关联规则X→Y为待用关联规则。在根据预设关联规则建立关联时只以待用关联规则作为预设关联规则。
在一种实施方式中,采用顺序队列和访问相似拟合模型对业务的访问数据的流量进行测量。
顺序队列模型中拟定数据为单位时间内随机事件发生的次数概率,顺序队列模型概率的质量函数为:
其中,随机变量y取正常数据值,在N次试验中的次数y为x的概率P(y=x)=0,1,2...;λ是大于0的概率分布参数,取值为经验值;t为数据期望值;e为数据的方差。
以上公式可得知在数据传输中不可能完全按照顺序队列模型进行数据的分布,会出现变化的异常现象,本发明中结合访问相似拟合模型进行流量数据分析。
访问相似拟合模型按照如下公式输入模型的业务数据量z和平均访问次数率r的关系如下:
其中z为存储数据量,平均访问次数率为p,h为访问相似拟合模型参数,顺序队列模型概率p,平均访问次数率为r。
在一种实施方式中,使用关联规则学习算法进行业务访问数据的关联分析的具体步骤如下:
1)数据预处理。对用于分析的历史数据进行处理,包括但不限于清洗、格式化和归一化等处理,生成适模型训练的数据。
2)定义关联规则。根据分析目的和需要的信息,定义要挖掘的关联规则。
3)训练关联规则挖掘模型。使用关联规则学习算法对预处理后的数据进行训练,生成能够挖掘关联规则的模型。关联规则学习算法例如为Apriori算法,Apriori算法是一种挖掘关联规则的频繁项集算法,其核心思想是通过候选集生成和情节的向下封闭检测两个阶段来挖掘频繁项集。
4)分析结果。使用训练后的关联规则挖掘模型对不同业务的访问数据进行综合分析,获取关联规则。
可选的,还可以包括:5)筛选关联数据。将满足置信度阈值条件的关联规则作为预设关联规则,根据预设关联规则从不同业务的访问数据中筛选出关联数据,存储关联数据及其对应的业务信息。当某个业务的访问数据异常时,不仅对该业务的异常行为进行处理,而且,获取异常行为对应数据的关联数据以及对应的其他业务信息,对其他业务进行处理。
步骤13,云端防护组对各个业务的访问数据进行异常行为检测。
其中,当一业务的访问数据存在异常行为时:
云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理。
在一种实现中,云端防护组可以根据历史数据和关联数据确定异常行为的来源、历史、及不同业务之间存在的威胁情况关系,生成异常事件;
将异常事件与事件库中的事件进行匹配:对于在事件库中匹配成功的异常事件,根据对应的响应策略进行防护处理;对于在事件库中匹配失败的异常事件,发出警报提醒。
其中,事件库中预先存储有异常事件及对应的响应策略,且对于新出现的异常事件,在形成相应的响应策略后,可以及时更新到事件库中。
在步骤12中已经对各业务的访问数据进行关联处理,因此,当一业务的访问数据存在异常行为时,云端防护组不仅可以发现该异常行为的相关数据,而且当该相关数据具有关联数据时,还可以得到异常行为的相关数据在其他业务中的关联数据,并对其他业务进行防护处理。
其中,云端防护组采用安全防护阵列+安全响应中心的方式实现集中安全审计和管控全局安全防护的能力,可以包括但不限于DDOS(分布式拒绝服务攻击)模块、IPS(入侵检测)模块、NGFW(下一代防火墙)模块、WAF(入侵防御系统)模块、漏洞扫描模块、专家监控模块、应急响应模块等安全模块。对安全模块组中的数据进行数据关联处理以及历史访问数据的回溯分析,通过对企业的业务数据进行分析和建模,识别出可能存在的异常行为,并及时进行预警和防范。
本发明中对数据进行关联处理后,可以确定异常数据在云端所有的关联数据,提供对云端业务的异常来源、历史、及云端不同业务之间存在的威胁情况关系的分析结果,形成准确的事件,可以由专家统一进行响应和监控,从而进一步实现安全态势的监控,及时对异常来源数据做出响应。
例如,针对客户业务系统、官网接入了云端防护平台,云端防护组为客户业务提供了综合性的防护功能,通过云端的专家监控功能,识别到官网遭受了某种事件的攻击行为,则专家可通过数据关联处理功能及回溯存储的历史数据,快速分析出攻击事件的历史及和业务系统的关联性质,从而判断出威胁来源是否只针对官方发起了恶意攻击,若通过分析可看出对业务系统也有恶意行为,则专家可及时处置此恶意行为,对当前未到攻击的业务做到预防的工作。
可选的,还可以设置事件库,存储不同异常事件的响应策略,当检测到异常事件时,根据预设的响应策略对相关业务进行防护处理,包括但不限于监控异常行为对应数据,阻止访问,删除对应数据等处理方式。
步骤14,云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。
通过采用本发明实施例提供的方法,通过云端平台管理多处业务安全问题,并可通过云端数据数据关联分析与回溯数据,快速协助运维人员完成对业务安全问题的整体把控和处置能力,并且具备易于实施、灵活性高及安全成本低的优势。
本发明所述基于云端的多业务异常行为检测方法在业务自身的DNS服务器中,将域名解析至云端安全防护组,接入方式具备简单快捷的优势。本发明所述数据关联分析采用顺序队列结合访问相似拟合模型进行业务访问数据分析,有效避免异常数据对分析结果的影响,进一步提高数据关联分析的准确性。本发明采用关联规则学习对历史数据进行回溯分析,能够快速找出数据集中的频繁项集和关联规则,并且在处理大型数据集时具有较高的效率。进一步提高异常行为分析的效率。本发明所述基于云端的多业务异常行为检测方法通过云端平台管理多处业务安全问题,并可通过云端数据数据关联分析与回溯历史数据,能够实现快速准确地对安全进行整体的评估,具备易于实施、灵活性高及安全成本低的优势。
本发明实施例还提供一种基于云端的多业务异常行为检测装置,用于实现上述实施例及其任意实施方式中所提供的方法,该装置可以为集成云端防护功能的装置,或者为实现云端防护的设备的集合,如图2所示,该装置包括:
接收模块21,用于接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入检测装置;
关联模块22,用于存储各业务的访问数据,对各业务的访问数据进行关联处理;
检测模块23,用于对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:
获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理;
发送模块24,用于将通过检测的数据分别转发至各个业务对应的业务服务器。
其中,关联模块22可以用于:
根据预设关联规则,将不同业务中符合预设关联规则的数据标记为关联数据。
其中,如图3所示,该装置还可以包括关联规则获取模块25,用于通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取预设关联规则。
其中,业务的访问数据可以包括一个或多个数据集,每个数据集中包括一个或多个项集;
关联模块22用于:对数据集中的频繁项集进行关联处理;其中,当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时,项集为频繁项集。
其中,预设关联规则满足条件:预设关联规则的置信度大于阈值;其中,
对于数据集D和频繁项集I,令X→Y表示一条关联规则,
X为规则的前件,Y为规则的后件;
关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。
其中,检测模块23可以用于:
根据历史数据和关联数据确定异常行为的来源、历史、及不同业务之间存在的威胁情况关系,生成异常事件;
将异常事件与事件库中的事件进行匹配:
对于在事件库中匹配成功的异常事件,根据对应的响应策略进行防护处理;
对于在事件库中匹配失败的异常事件,发出警报提醒。
通过采用本发明实施例提供的装置,利用云端平台管理多处业务安全问题,并可通过云端数据数据关联分析与回溯数据,快速协助运维人员完成对业务安全问题的整体把控和处置能力,并且具备易于实施、灵活性高及安全成本低的优势。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (10)
1.一种基于云端的多业务异常行为检测方法,其特征在于,包括以下步骤:
步骤一,云端防护组接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入云端防护组;
步骤二,云端防护组存储各业务的访问数据,对各业务的访问数据进行关联处理;
步骤三,云端防护组对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:
云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理;
步骤四,云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。
2.如权利要求1所述的基于云端的多业务异常行为检测方法,其特征在于,步骤二中对各业务的访问数据进行关联处理包括:
根据预设关联规则,将不同业务中符合预设关联规则的数据标记为关联数据。
3.如权利要求2所述的基于云端的多业务异常行为检测方法,其特征在于,通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取预设关联规则。
4.如权利要求1或2所述的基于云端的多业务异常行为检测方法,其特征在于,业务的访问数据包括一个或多个数据集,每个数据集中包括一个或多个项集,步骤二中对各业务的访问数据进行关联处理包括:对数据集中的频繁项集进行关联处理;其中,当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时,项集为频繁项集。
5.如权利要求4所述的基于云端的多业务异常行为检测方法,其特征在于,预设关联规则满足条件:预设关联规则的置信度大于阈值;其中,
对于数据集D和频繁项集I,令X→Y表示一条关联规则,
X为规则的前件,Y为规则的后件;
关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。
6.如权利要求1所述的基于云端的多业务异常行为检测方法,其特征在于,步骤三中包括:
根据历史数据和关联数据确定异常行为的来源、历史、及不同业务之间存在的威胁情况关系,生成异常事件;
将异常事件与事件库中的事件进行匹配:
对于在事件库中匹配成功的异常事件,根据对应的响应策略进行防护处理;
对于在事件库中匹配失败的异常事件,发出警报提醒。
7.一种基于云端的多业务异常行为检测装置,其特征在于,包括:
接收模块,用于接收多个业务的业务访问数据;其中,各业务只允许域名方式访问,且各业务的域名解析分别将访问接入检测装置;
关联模块,用于存储各业务的访问数据,对各业务的访问数据进行关联处理;
检测模块,用于对各个业务的访问数据进行异常行为检测;其中,当一业务的访问数据存在异常行为时:
获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据,根据历史数据和关联数据生成异常事件;
根据对异常事件的响应执行一业务和其他业务的防护处理;
发送模块,用于将通过检测的数据分别转发至各个业务对应的业务服务器。
8.如权利要求7所述的基于云端的多业务异常行为检测装置,其特征在于,关联模块用于:
根据预设关联规则,将不同业务中符合预设关联规则的数据标记为关联数据。
9.如权利要求8所述的基于云端的多业务异常行为检测装置,其特征在于,还包括关联规则获取模块,用于通过下述方式获取预设关联规则:
对用于模型训练的数据进行预处理;
定义关联规则的条件;
使用关联规则学习算法对预处理后的数据进行训练,获得用于得到满足条件的关联规则的挖掘模型;
使用训练后的挖掘模型对不同业务的访问数据进行综合分析,获取预设关联规则。
10.如权利要求8或9所述的基于云端的多业务异常行为检测装置,其特征在于,业务的访问数据包括一个或多个数据集,每个数据集中包括一个或多个项集;
关联模块用于:对数据集中的频繁项集进行关联处理;其中,当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时,项集为频繁项集。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2022116435898 | 2022-12-20 | ||
| CN202211643589 | 2022-12-20 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116319014A true CN116319014A (zh) | 2023-06-23 |
Family
ID=86819891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310288784.1A Pending CN116319014A (zh) | 2022-12-20 | 2023-03-23 | 基于云端的多业务异常行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319014A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116796043A (zh) * | 2023-08-29 | 2023-09-22 | 山东通维信息工程有限公司 | 一种智能园区数据可视化方法及系统 |
-
2023
- 2023-03-23 CN CN202310288784.1A patent/CN116319014A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116796043A (zh) * | 2023-08-29 | 2023-09-22 | 山东通维信息工程有限公司 | 一种智能园区数据可视化方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Xia et al. | An efficient network intrusion detection method based on information theory and genetic algorithm | |
| TWI573036B (zh) | 針對威脅評估之風險評分技術 | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| US8418247B2 (en) | Intrusion detection method and system | |
| Hsu et al. | A deep reinforcement learning approach for anomaly network intrusion detection system | |
| US9369484B1 (en) | Dynamic security hardening of security critical functions | |
| US11895145B2 (en) | Systems and methods for automatically selecting an access control entity to mitigate attack traffic | |
| US20070169194A1 (en) | Threat scoring system and method for intrusion detection security networks | |
| CN108040493A (zh) | 利用低置信度安全事件来检测安全事故 | |
| EP2936772B1 (en) | Network security management | |
| US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
| US20200244693A1 (en) | Systems and methods for cybersecurity risk assessment of users of a computer network | |
| CN116319014A (zh) | 基于云端的多业务异常行为检测方法及装置 | |
| Toapanta et al. | Analysis of cyberattacks in public organizations in Latin America | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| Swamy et al. | Network intrusion detection using improved decision tree algorithm | |
| CN116389297A (zh) | 一种网络安全事件处置与评估系统 | |
| CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
| Hong et al. | Data Auditing for Intelligent Network Security Monitoring | |
| Ehis | Optimization of Security Information and Event Management (SIEM) Infrastructures, and Events Correlation/Regression Analysis for Optimal Cyber Security Posture | |
| Groff et al. | Data preprocessing and feature selection for an intrusion detection system dataset | |
| Protic et al. | WK-FNN design for detection of anomalies in the computer network traffic | |
| CN114584358A (zh) | 基于贝叶斯正则化的智能网络安全系统、装置及存储介质 | |
| Levonevskiy et al. | Network attacks detection using fuzzy logic | |
| Kapourniotis et al. | Scam and fraud detection in VoIP Networks: Analysis and countermeasures using user profiling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |