CN116346370A - 基于基线模型的关联分析方法、系统、存储介质及计算机设备 - Google Patents

基于基线模型的关联分析方法、系统、存储介质及计算机设备 Download PDF

Info

Publication number
CN116346370A
CN116346370A CN202111536749.4A CN202111536749A CN116346370A CN 116346370 A CN116346370 A CN 116346370A CN 202111536749 A CN202111536749 A CN 202111536749A CN 116346370 A CN116346370 A CN 116346370A
Authority
CN
China
Prior art keywords
data
baseline
event data
baseline model
historical
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111536749.4A
Other languages
English (en)
Inventor
刘俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
360 Digital Security Technology Group Co Ltd
Original Assignee
360 Digital Security Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 360 Digital Security Technology Group Co Ltd filed Critical 360 Digital Security Technology Group Co Ltd
Priority to CN202111536749.4A priority Critical patent/CN116346370A/zh
Publication of CN116346370A publication Critical patent/CN116346370A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种基于基线模型的关联分析方法,通过获取所述分析对象的事件数据;将筛查确定为用户行为特征的所述事件数据存入数据窗口中;判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。本发明还提供了一种基于基线模型的关联分析系统、存储介质及计算机设备。借此,本发明减少重复报警的误报情况,提升对网络威胁的识别效率,且具有更好的数据处理能力和低延迟的告警推送效果。

Description

基于基线模型的关联分析方法、系统、存储介质及计算机设备
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于基线模型的关联分析方法、系统、存储介质及计算机设备。
背景技术
近年来,利用大数据算法来解决网络安全问题已成为业内主流趋势。其中关联分析被广泛使用,主要用于发现隐藏在大型数据集合中的有价值的联系。现有技术的关联分析大部分是使用关联规则来实现,利用在一定时间范围内的命中数据次数来做分析,以此来判断是否存在风险。
而现有的方案往往需要对分析对象有充分的了解才能完成规则的制定,并且由于无法过滤正常数据或重复数据,往往产生很多无效的报警或者不断重复的相同告警,使得用户在使用上存在很大的局限性。
综上可知,现有的方法在实际使用上,存在着较多的问题,所以有必要加以改进。
发明内容
针对上述的缺陷,本发明的目的在于提供一种基于基线模型的关联分析方法,系统、存储介质及其计算机设备,减少重复报警的误报情况,提升对网络威胁的识别效率,且具有更好的数据处理能力和低延迟的告警推送效果。
为了实现上述目的,本发明提供一种基于基线模型的关联分析方法,包括步骤:
获取所述分析对象的事件数据;
将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
可选的,所述获取所述分析对象的事件数据的步骤具体包括:
收集若干分析对象的事件数据,并发送至kafka集群中。
可选的,所述将筛查确定为用户行为特征的所述事件数据存入数据窗口中的步骤具体包括:
通过Flink分析引擎获取kafka消息队列中的所述事件数据,并将所述事件数据根据所述分析对象的设备标识进行分组排队;
筛查确定所述分析对象中表征用户行为特征的目标事件数据;
启动数据窗口以存放所述目标事件数据。
可选的,所述判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复的步骤具体包括:
检测到所述数据窗口中存入所述事件数据时,判断对应的所述事件数据是否与所述基线模型的历史基线数据重复。
可选的,所述若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型的步骤具体包括:
确定所述事件数据与所述历史基线数据不重复时,根据对应的所述事件数据对所述基线模型的对象基线进行实时更新。
可选的,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤具体包括:
检测到所述基线模型基于所述事件数据进行基线更新的次数超过预设阈值时,生成对应的告警信息。
可选的,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤之后,还包括:
将所述告警信息发送至所述分析对象指定的目标终端。
还提供了一种基于基线模型的关联分析系统,包括有:
数据获取单元,用于获取所述分析对象的事件数据;
数据存储单元,用于将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
分析单元,用于判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
模型更新单元,用于若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
告警单元,用于在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
另外,还提供了一种存储介质和计算机设备,所述存储介质用于存储一种用于执行上述基于基线模型的关联分析方法的计算机程序。
所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的基于基线模型的关联分析方法。
本发明所述的基于基线模型的关联分析方法及其系统,通过从分析对象中收集用户行为的事件数据,进而将筛查确定为用户行为特征的事件数据存入到数据窗口中,并判断进入数据窗口的事件数据是否与预设的基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内分析对象的历史行为数据进行基线建模而成;若确定所述事件数据与历史基线数据不重复,则根据对应的事件数据实时更新基线模型;并且在基线模型的更新次数超过预设阈值时,生成告警消息。据此,区别于现有关联分析的是,本发明结合了历史基线数据,减少了重复报警,更注重于检测最新发现的威胁;并且可以坐到海量数据处理和低延迟的告警推送。
附图说明
图1为本发明一实施例提供的所述基于基线模型的关联分析方法的步骤流程图;
图2为本发明一实施例提供的所述基于基线模型的关联分析方法用于数据窗口存储可选的步骤流程图;
图3为本发明一实施例提供的所述基于基线模型的关联分析系统的结构示意框图;
图4为本发明一实施例提供的所述基于基线模型的关联分析系统的所述数据存储单元可选的结构示意框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要说明的,本说明书中针对“一个实施例”、“实施例”、“示例实施例”等的引用,指的是描述的该实施例可包括特定的特征、结构或特性,但是不是每个实施例必须包含这些特定特征、结构或特性。此外,这样的表述并非指的是同一个实施例。进一步,在结合实施例描述特定的特征、结构或特性时,不管有没有明确的描述,已经表明将这样的特征、结构或特性结合到其它实施例中是在本领域技术人员的知识范围内的。
此外,在说明书及后续的权利要求当中使用了某些词汇来指称特定组件或部件,所属领域中具有通常知识者应可理解,制造商可以用不同的名词或术语来称呼同一个组件或部件。本说明书及后续的权利要求并不以名称的差异来作为区分组件或部件的方式,而是以组件或部件在功能上的差异来作为区分的准则。在通篇说明书及后续的权利要求书中所提及的“包括”和“包含”为一开放式的用语,故应解释成“包含但不限定于”。以外,“连接”一词在此系包含任何直接及间接的电性连接手段。间接的电性连接手段包括通过其它装置进行连接。
图1示出本发明一实施例提供的基于基线模型的关联分析方法,包括步骤如下:
S101:获取所述分析对象的事件数据。所述事件数据是指分析对象执行各种网络行为或操作行为而产生的数据;可选的,本实施例的分析对象为被测设备终端的用户行为,且所述事件数据至少包括网页访问记录、账号登陆信息、文件操作记录、邮件发送记录以及日志信息。所述被测设备终端包括智能手机、平板电脑或个人计算机等设备,所述用户行为是指用户在该被测设备终端上执行的操作行为进而触发相应事件发生,所述事件数据即为用户行为在被测设备终端上触发事件产生的数据。
一实施例中,步骤S101具体包括:收集若干分析对象的事件数据,并发送至kafka集群中。具体实施时,本实施例从若干个被测终端设备上收集用户行为产生的事件数据,并将这些事件数据发送到kafka集群中,kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。kafka的目的是通过Hadoop(一种分布式系统基础架构)的并行加载机制来统一线上和离线的消息处理,也是为了通过集群来提供实时的消息。
S102:将筛查确定为用户行为特征的事件数据存入数据窗口中。在实际应用中,从分析对象上获取到的各种事件数据中,既有表征用户行为特征的事件数据,又有表征无效行为的事件数据;本实施例是在获取到的全部事件数据从筛查出用于表征用户行为特征的部分事件数据;具体实施时,针对性的从全部事件数据中依据数据特征筛选出特定类型的事件数据,例如网页访问记录、账号登陆信息、文件操作记录、邮件发送记录以及日志信息等。本实施例通过开启数据窗口来存放用户行为特征记录,所述数据窗口中以事件数据形式进行存储。
参见图2,一可选的实施方式中,步骤S102具体包括:
S111:通过Flink分析引擎获取kafka消息队列中的事件数据,并将所述事件数据根据分析对象的设备标识进行分组排队。其中,Flink是一种开源流处理框架,其以数据并行和流水线方式执行任意流数据程序,Flink的流水线运行时系统可以执行批处理和流处理程序。本实施例具体通过Flink分析引擎将从kafka消息队列中获取事件数据,并按照分析对象的设备标识(如设备ID号)将对应的事件数据进行分组排队,以使得所述事件数据按照其获取来源归类到对应的分析对象的队列中。
S112:筛查确定所述分析对象中表征用户行为特征的目标事件数据。进一步的,从这些事件数据从筛查出特定类型用于表征用户行为的目标数据,即此时剔除掉这些事件数据中无效行为的数据,以保留下有效用户行为的事件数据。具体实施时,依据事件数据的数据类型进行筛查,从而获得特定类型的目标事件数据。
S113:启动数据窗口以存放所述目标事件数据。具体实施时,通过Flink分析引擎开启数据窗口,以存放用户行为特征记录的目标事件数据。
S103:判断所述数据窗口中的事件数据是否与基线模型的历史基线数据重复;其中,基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成。即本实施例预先获取分析对象在预定时间段内的历史行为数据,并利用这些历史行为数据进行基线建模,从而构建出基线模型;所述基线模型以历史行为数据作为对照组、基准线以形成历史基线数据,例如预设学习历史基线为30天,则在预设时间段30天内利用分析对象对应的历史行为数据进行对象的基线建模,从而获得对应该分析对象的基本模型。可选的,步骤S103具体包括:检测到所述数据窗口中存入事件数据时,判断对应的事件数据是否与所述基线模型的历史基线数据重复。即检测确定当前存入数据窗口中的事件数据是否为新的命中数据,若为新的命中数据则表征该事件数据为新的用户行为。
本实施例的基线模型具体用于检测确定输入数据是否与历史行为数据相同,即通过引入基于历史行为数据构建而成的基线模型,使得本发明结合了历史基线数据进行关联分析,从而有效减少重复报警情况,更关注于最新发送的网络威胁。
S104:若所述事件数据与历史基线数据不重复,则根据对应的事件数据实时更新所述基线模型。若通过基线模型确定该事件数据与历史基线数据不重复,则所述事件数据确定为新的命中数据,此时保存该事件数据的当前记录,并依据该事件数据对所述基线模型进行实时更新,即所述基线模型可结合历史行为特征主动学习形成基线,所述基线模型随着数据的不断输入同步更新基线模型。反之,若所述事件数据与历史基线数据重复,则表征当前所述分析对象的用户行为特征为已被历史记录的常规行为特征,即此时没有新的威胁发生。
S105:在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。本实施例的基线模型在每次识别到所述事件数据为新的命中数据时,均依据该事件数据进行更新,即每次基线模型的更新表征了当前分析对象所在终端设备触发了新的用户行为或操作;为此,本实施例在检测到所述基线模型基于事件数据进行对象基数更新的次数超过预设阈值时,生成告警信息以提示新的网络威胁。
本实施例提供的基于基线模型的关联分析方法应用于检测发生的新网络威胁并告警,通过在关联规则的基础上,结合历史行为特征主动学习形成基线,并随着数据的不断输入同步更新基线模型。通过基线模型的历史基线数据能够有效减少重复报警,以至更发现最新发生的威胁。
可选的,步骤S104具体包括:确定事件数据与所述历史基线数据不重复时,根据对应的事件数据对所述基线模型的对象基线进行实时更新。即通过基线模型识别确定该事件数据与历史基线数据不关联,确定其为新的命中数据,则将该事件数据更新到所述基线模型中的对象基线中。
一实施例中,步骤S105之后还包括:将所述告警信息发送至分析对象指定的目标终端。具体的,将所述告警信息发送到所述分析对象的被测终端设备,或者将所述告警信息发送给被测终端设备的管理后台,以提示出现新的网络威胁。
图3示出本发明一实施例提供的基于基线模型的关联分析系统100,其包括有数据获取单元10、数据存储单元20、分析单元30、模型更新单元40以及告警单元50,其中:
数据获取单元10用于获取所述分析对象的事件数据;数据存储单元20用于将筛查确定为用户行为特征的所述事件数据存入数据窗口中;分析单元30用于判断所述数据窗口中的事件数据是否与基线模型的历史基线数据重复;其中,基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;模型更新单元40用于若所述事件数据与所述历史基线数据不重复,则根据对应的事件数据实时更新所述基线模型;告警单元50用于在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
本实施例提供的基于基线模型的关联分析方法应用于检测发生的新网络威胁并告警,通过在关联规则的基础上,结合历史行为特征主动学习形成基线,并随着数据的不断输入同步更新基线模型。通过基线模型的历史基线数据能够有效减少重复报警,以至更发现最新发生的威胁。
可选的,所述分析对象为被测设备终端的用户行为,且所述事件数据至少包括网页访问记录、账号登陆信息、文件操作记录、邮件发送记录以及日志信息。
一实施例中,所述数据获取单元10具体用于:收集若干分析对象的事件数据,并发送至kafka集群中。
参见图4,一种可选的实施方式中,数据存储单元20具体包括数据处理子单元21、确定子单元22以及数据窗口子单元23,其中:
数据处理子单元21用于通过Flink分析引擎获取kafka消息队列中的所述事件数据,并将所述事件数据根据所述分析对象的设备标识进行分组排队;确定子单元22用于筛查确定所述分析对象中表征用户行为特征的目标事件数据;数据窗口子单元23用于启动数据窗口以存放所述目标事件数据。
可选的,所述分析单元30具体用于:检测到数据窗口中存入所述事件数据时,判断对应的事件数据是否与所述基线模型的历史基线数据重复。
可选的,所述告警单元50具体用于:检测到所述基线模型基于所述事件数据进行基线更新的次数超过预设阈值时,生成对应的告警信息。
一实施例中,还包括有发送单元,其用于将所述告警信息发送至所述分析对象指定的目标终端。具体的,将所述告警信息发送到所述分析对象的被测终端设备,或者将所述告警信息发送给被测终端设备的管理后台,以提示出现新的网络威胁。
本发明还提供一种存储介质,用于存储如图1~图2所述基于基线模型的关联分析方法的计算机程序。例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的存储介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输和/或被存储在根据程序指令运行的计算机设备的存储介质中。在此,根据本申请的一个实施例包括如图3所示基于基线模型的关联分析系统的计算机设备,所述计算机设备优选包括用于存储计算机程序的存储介质和用于执行计算机程序的处理器,其中,当该计算机程序被该处理器执行时,触发该计算机设备执行基于前述多个实施例中的方法和/或技术方案。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
根据本发明的方法可以作为计算机实现方法在计算机上实现、或者在专用硬件中实现、或以两者的组合的方式实现。用于根据本发明的方法的可执行代码或其部分可以存储在计算机程序产品上。计算机程序产品的示例包括存储器设备、光学存储设备、集成电路、服务器、在线软件等。优选地,计算机程序产品包括存储在计算机可读介质上以便当所述程序产品在计算机上执行时执行根据本发明的方法的非临时程序代码部件。
在优选实施例中,计算机程序包括适合于当计算机程序在计算机上运行时执行根据本发明的方法的所有步骤的计算机程序代码部件。优选地,在计算机可读介质上体现计算机程序。
综上所述,本发明所述的基于基线模型的关联分析方法及其系统,通过从分析对象中收集用户行为的事件数据,进而将筛查确定为用户行为特征的事件数据存入到数据窗口中,并判断进入数据窗口的事件数据是否与预设的基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内分析对象的历史行为数据进行基线建模而成;若确定所述事件数据与历史基线数据不重复,则根据对应的事件数据实时更新基线模型;并且在基线模型的更新次数超过预设阈值时,生成告警消息。据此,区别于现有关联分析的是,本发明结合了历史基线数据,减少了重复报警,更注重于检测最新发现的威胁;并且可以坐到海量数据处理和低延迟的告警推送。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
本发明还提供了A1、一种基于基线模型的关联分析方法,包括步骤:
获取所述分析对象的事件数据;
将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
A2、根据A1所述的基于基线模型的关联分析方法,所述获取所述分析对象的事件数据的步骤具体包括:
收集若干分析对象的事件数据,并发送至kafka集群中。
A3、根据A2所述的基于基线模型的关联分析方法,所述将筛查确定为用户行为特征的所述事件数据存入数据窗口中的步骤具体包括:
通过Flink分析引擎获取kafka消息队列中的所述事件数据,并将所述事件数据根据所述分析对象的设备标识进行分组排队;
筛查确定所述分析对象中表征用户行为特征的目标事件数据;
启动数据窗口以存放所述目标事件数据。
A4、根据A1所述的基于基线模型的关联分析方法,所述判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复的步骤具体包括:
检测到所述数据窗口中存入所述事件数据时,判断对应的所述事件数据是否与所述基线模型的历史基线数据重复。
A5、根据A1所述的基于基线模型的关联分析方法,所述若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型的步骤具体包括:
确定所述事件数据与所述历史基线数据不重复时,根据对应的所述事件数据对所述基线模型的对象基线进行实时更新。
A6、根据A1所述的基于基线模型的关联分析方法,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤具体包括:
检测到所述基线模型基于所述事件数据进行基线更新的次数超过预设阈值时,生成对应的告警信息。
A7、根据A6所述的基于基线模型的关联分析方法,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤之后,还包括:
将所述告警信息发送至所述分析对象指定的目标终端。
A8、根据A1~A7任一项所述的基于基线模型的关联分析方法,所述分析对象为被测设备终端的用户行为,且所述事件数据至少包括网页访问记录、账号登陆信息、文件操作记录、邮件发送记录以及日志信息。
还提供了B9、一种基于基线模型的关联分析系统,包括有:
数据获取单元,用于获取所述分析对象的事件数据;
数据存储单元,用于将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
分析单元,用于判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
模型更新单元,用于若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
告警单元,用于在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
B10、根据B9所述的基于基线模型的关联分析系统,所述数据获取单元具体用于:
收集若干分析对象的事件数据,并发送至kafka集群中。
B11、根据B10所述的基于基线模型的关联分析系统,所述数据存储单元具体包括:
数据处理子单元,用于通过Flink分析引擎获取kafka消息队列中的所述事件数据,并将所述事件数据根据所述分析对象的设备标识进行分组排队;
确定子单元,用于筛查确定所述分析对象中表征用户行为特征的目标事件数据;
数据窗口子单元,用于启动数据窗口以存放所述目标事件数据。
B12、根据B9所述的基于基线模型的关联分析系统,所述分析单元具体用于:
检测到所述数据窗口中存入所述事件数据时,判断对应的所述事件数据是否与所述基线模型的历史基线数据重复。
B13、根据B9所述的基于基线模型的关联分析系统,所述模型更新单元具体用于:
确定所述事件数据与所述历史基线数据不重复时,根据对应的所述事件数据对所述基线模型的对象基线进行实时更新。
B14、根据B9所述的基于基线模型的关联分析系统,所述告警单元具体用于:
检测到所述基线模型基于所述事件数据进行基线更新的次数超过预设阈值时,生成对应的告警信息。
B15、根据B14所述的基于基线模型的关联分析系统,还包括有:
发送单元,用于将所述告警信息发送至所述分析对象指定的目标终端。
B16、根据B9~B15任一项所述的基于基线模型的关联分析系统,所述分析对象为被测设备终端的用户行为,且所述事件数据至少包括网页访问记录、账号登陆信息、文件操作记录、邮件发送记录以及日志信息。
还提供了C17、一种存储介质,用于存储一种用于执行A1~A8中任意一种所述基于基线模型的关联分析方法的计算机程序。
还提供了D18、一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现A1~A8任一项所述基于基线模型的关联分析方法。

Claims (10)

1.一种基于基线模型的关联分析方法,其特征在于,包括步骤:
获取所述分析对象的事件数据;
将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
2.根据权利要求1所述的基于基线模型的关联分析方法,其特征在于,所述获取所述分析对象的事件数据的步骤具体包括:
收集若干分析对象的事件数据,并发送至kafka集群中。
3.根据权利要求2所述的基于基线模型的关联分析方法,其特征在于,所述将筛查确定为用户行为特征的所述事件数据存入数据窗口中的步骤具体包括:
通过Flink分析引擎获取kafka消息队列中的所述事件数据,并将所述事件数据根据所述分析对象的设备标识进行分组排队;
筛查确定所述分析对象中表征用户行为特征的目标事件数据;
启动数据窗口以存放所述目标事件数据。
4.根据权利要求1所述的基于基线模型的关联分析方法,其特征在于,所述判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复的步骤具体包括:
检测到所述数据窗口中存入所述事件数据时,判断对应的所述事件数据是否与所述基线模型的历史基线数据重复。
5.根据权利要求1所述的基于基线模型的关联分析方法,其特征在于,所述若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型的步骤具体包括:
确定所述事件数据与所述历史基线数据不重复时,根据对应的所述事件数据对所述基线模型的对象基线进行实时更新。
6.根据权利要求1所述的基于基线模型的关联分析方法,其特征在于,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤具体包括:
检测到所述基线模型基于所述事件数据进行基线更新的次数超过预设阈值时,生成对应的告警信息。
7.根据权利要求6所述的基于基线模型的关联分析方法,其特征在于,所述在确定所述基线模型的更新次数超过预设阈值时,生成告警信息的步骤之后,还包括:
将所述告警信息发送至所述分析对象指定的目标终端。
8.一种基于基线模型的关联分析系统,其特征在于,包括有:
数据获取单元,用于获取所述分析对象的事件数据;
数据存储单元,用于将筛查确定为用户行为特征的所述事件数据存入数据窗口中;
分析单元,用于判断所述数据窗口中的所述事件数据是否与基线模型的历史基线数据重复;其中,所述基线模型由预定时间段内所述分析对象的历史行为数据进行基线建模而成;
模型更新单元,用于若所述事件数据与所述历史基线数据不重复,则根据对应的所述事件数据实时更新所述基线模型;
告警单元,用于在确定所述基线模型的更新次数超过预设阈值时,生成告警信息。
9.一种存储介质,其特征在于,用于存储一种用于执行权利要求1~7中任意一种所述基于基线模型的关联分析方法的计算机程序。
10.一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~7任一项所述基于基线模型的关联分析方法。
CN202111536749.4A 2021-12-15 2021-12-15 基于基线模型的关联分析方法、系统、存储介质及计算机设备 Pending CN116346370A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111536749.4A CN116346370A (zh) 2021-12-15 2021-12-15 基于基线模型的关联分析方法、系统、存储介质及计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111536749.4A CN116346370A (zh) 2021-12-15 2021-12-15 基于基线模型的关联分析方法、系统、存储介质及计算机设备

Publications (1)

Publication Number Publication Date
CN116346370A true CN116346370A (zh) 2023-06-27

Family

ID=86874676

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111536749.4A Pending CN116346370A (zh) 2021-12-15 2021-12-15 基于基线模型的关联分析方法、系统、存储介质及计算机设备

Country Status (1)

Country Link
CN (1) CN116346370A (zh)

Similar Documents

Publication Publication Date Title
US10282542B2 (en) Information processing apparatus, information processing method, and computer readable medium
EP2487860A1 (en) Method and system for improving security threats detection in communication networks
CN107168844B (zh) 一种性能监控的方法及装置
CN109660518A (zh) 网络的通信数据检测方法、装置以及机器可读存储介质
CN113468530A (zh) 基于云计算的风险管理安全实时监控方法
CN111754241A (zh) 一种用户行为感知方法、装置、设备及介质
CN108306997B (zh) 域名解析监控方法及装置
CN114090406A (zh) 电力物联网设备行为安全检测方法、系统、设备及存储介质
CN116340934A (zh) 终端异常行为检测方法、装置、设备及存储介质
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN116975938A (zh) 一种产品制造过程中的传感器数据处理方法
CN112699048B (zh) 基于人工智能的程序故障处理方法、装置、设备及存储介质
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN113342608A (zh) 流式计算引擎任务的监控方法及装置
CN113259364A (zh) 一种网络事件关联分析方法及装置、计算机设备
CN112153076A (zh) 一种计算机网络安全入侵检测系统
CN116346370A (zh) 基于基线模型的关联分析方法、系统、存储介质及计算机设备
CN115150294B (zh) 一种用于监控物联网设备的数据分析方法、设备及介质
CN114629696A (zh) 一种安全检测方法、装置、电子设备及存储介质
CN115118500A (zh) 攻击行为规则获取方法、装置及电子设备
CN114090385A (zh) 一种针对服务运行状态的监控预警方法、装置及设备
CN114546754A (zh) 自动化智能监控方法、系统及地图数据云平台
CN113569879A (zh) 异常识别模型的训练方法、异常账号识别方法及相关装置
CN109818945A (zh) 应用程序行为特征选择方法及装置
US11275367B2 (en) Dynamically monitoring system controls to identify and mitigate issues

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication