CN116468280A - 一种风险检测预警方法、装置、计算机设备及存储介质 - Google Patents

一种风险检测预警方法、装置、计算机设备及存储介质 Download PDF

Info

Publication number
CN116468280A
CN116468280A CN202310458964.XA CN202310458964A CN116468280A CN 116468280 A CN116468280 A CN 116468280A CN 202310458964 A CN202310458964 A CN 202310458964A CN 116468280 A CN116468280 A CN 116468280A
Authority
CN
China
Prior art keywords
risk
value
access request
detected
borda
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310458964.XA
Other languages
English (en)
Inventor
陈璐
戴造建
李勇
邵志鹏
陈牧
方文高
卢子昂
黄星杰
赵新建
滕振宁
邵屹杨
桂小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202310458964.XA priority Critical patent/CN116468280A/zh
Publication of CN116468280A publication Critical patent/CN116468280A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/213Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Strategic Management (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • General Business, Economics & Management (AREA)
  • Marketing (AREA)
  • Development Economics (AREA)
  • Tourism & Hospitality (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及安全预警领域,公开了一种风险检测预警方法、装置、计算机设备及存储介质,该方法包括:获取待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;计算待检测访问请求的综合风险等级量化值,进行风险预警。通过实施本发明,采用分类模型实现风险检测,而分类模型以数据驱动,解决了采用基于规则的方法进行风险检测依赖专利经验定义的参数的问题;同时,结合风险要素概率和计算的权重实现了风险预警。

Description

一种风险检测预警方法、装置、计算机设备及存储介质
技术领域
本发明涉及安全预警领域,具体涉及一种风险检测预警方法、装置、计算机设备及存储介质。
背景技术
移动微应用场景下,大量接口级的服务API接口暴露,终端设备频繁对接口进行访问,在访问过程中缺乏有效的安全感知手段对交互进行监测。因此如何在保证服务性能的同时确保无状态服务的安全访问是微服务架构的关键问题。访问时系统应当根据访问主体的身份属性进行匹配放行,对不具有访问系统能力的主体或者超越权限恶意使用系统资源,存在访问风险的主体进行有效拦截。在此基础上,互联网安全信息领域的风险评估是对系统信息资产所面临的威胁、存在的弱点、造成的影响以及三者综合作用所带来风险可能性的评估。
一般来说,根据检测数据的来源,风险检测可以分为基于网络的风险检测和基于主机的风险检测。基于网络的风险检测通过使用原始的IP数据包作为数据源,检测是否存在风险。基于主机的风险检测则一般通过检测系统、事件、日志等方式来发现风险。当前,在进行风险检测时,通常采用基于规则的用户行为基线方法。虽然基于规则的方法具有良好的可预测性和可解释性,但是它的缺点在于依赖专家经验来定义行为基线中用户特征权重和策略的参数,以及部分策略无法实时响应因系统业务变化而引起的行为变更。
发明内容
有鉴于此,本发明提供了一种风险检测预警方法、装置、计算机设备及存储介质,以解决现有采用基于规则的方法进行风险检测依赖专利经验定义的参数的问题。
第一方面,本发明提供了一种风险检测预警方法,方法包括:获取待检测访问请求;将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值;根据综合风险等级量化值进行风险预警。
本发明提供的风险检测预警方法,通过采用预先构建的分类模型实现对待检测访问请求的风险检测,即通过机器学习方法实现了风险检测,而机器学习以数据驱动,可使构建的模型随着数据变化而优化,解决了采用基于规则的方法进行风险检测依赖专利经验定义的参数的问题;同时,通过构建风险矩阵,结合风险矩阵中的Borda序值,采用层次分析法计算权重,结合风险要素概率和计算的权重实现了对待检测访问请求的预警。
在一种可选的实施方式中,分类模型采用如下步骤构建:获取访问日志数据,访问日志数据包括多个历史访问请求;对访问日志数据进行预处理,得到预处理数据;根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
本发明提供的风险检测预警方法,通过采用历史访问请求和对应的风险要求标签对分类网络进行训练,构建分类模型。构建的分类模型实现了对待检测访问请求风险的检测。
在一种可选的实施方式中,对访问日志数据进行预处理,得到预处理数据,包括:对访问日志数据进行数据清洗,得到清洗后数据;提取清洗后数据中的网络特征和主机系统特征,得到一级特征;提取网络特征中的时间和周期性特征,得到二级特征;对一级特征中的非连续型数据进行聚类,得到聚类特征,预处理数据包括一级特征、二级特征和聚类特征。
本发明提供的风险检测预警方法,对访问日志数据进行数据清洗、特征提取等的预处理,采用预处理后的样本进行训练,提高了训练模型的准确性。
在一种可选的实施方式中,将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值,包括:对待检测访问请求进行预处理,得到预处理请求;将预处理请求输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。
在一种可选的实施方式中,根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值,包括:根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵;根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵;根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵;根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
本发明提供的风险检测预警方法,通过预设风险要素的威胁出现频率、脆弱性严重程度以及资产价值分别构建了风险概率专家矩阵和风险影响专家矩阵,使得构建的风险矩阵更贴近实际情况;同时通过构建专家矩阵,引入领域内专家对风险要素的判断,结合了定性与定量分析。
在一种可选的实施方式中,基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重,包括:根据各风险要素Borda序值的大小构建判断矩阵;对判断矩阵进行一致性检验;基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。
本发明提供的风险检测预警方法,通过构建判断矩阵的方式计算不同风险要素的权重,实现了对不同风险要素重要程度的评估。
在一种可选的实施方式中,根据综合风险等级量化值进行风险预警,包括:判断综合风险等级量化值和预设风险额度的大小;当综合风险等级量化值大于预设风险额度时,拒绝访问请求;当综合风险等级量化值小于预设风险额度时,通过访问请求。
在一种可选的实施方式中,预设风险额度采用如下步骤动态调整:根据风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;根据综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;根据风险额度调整值对风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
本发明提供的风险检测预警方法,引入风险因子用于动态调整用户风险额度,使得对风险的评估能够学习用户历史访问结果,更加智能的控制用户访问。
第二方面,本发明提供了一种风险检测预警装置,装置包括:请求获取模块,用于获取待检测访问请求;风险检测模块,用于将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;序值确定模块,用于根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;权重计算模块,用于基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;量化模块,用于根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值;预警模块,用于根据综合风险等级量化值进行风险预警。
在一种可选的实施方式中,分类模型包括:历史数据获取单元,用于获取访问日志数据,访问日志数据包括多个历史访问请求;预处理单元,用于对访问日志数据进行预处理,得到预处理数据;训练单元,用于根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
在一种可选的实施方式中,预处理单元具体用于:对访问日志数据进行数据清洗,得到清洗后数据;提取清洗后数据中的网络特征和主机系统特征,得到一级特征;提取网络特征中的时间和周期性特征,得到二级特征;对一级特征中的非连续型数据进行聚类,得到聚类特征,预处理数据包括一级特征、二级特征和聚类特征。
在一种可选的实施方式中,风险检测模块具体用于:对待检测访问请求进行预处理,得到预处理请求;将预处理请求输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。
在一种可选的实施方式中,序值确定模块具体用于:根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵;根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵;根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵;根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
在一种可选的实施方式中,权重计算模块具体用于:根据各风险要素Borda序值的大小构建判断矩阵;对判断矩阵进行一致性检验;基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。
在一种可选的实施方式中,预警模块具体用于:判断综合风险等级量化值和预设风险额度的大小;当综合风险等级量化值大于预设风险额度时,拒绝访问请求;当综合风险等级量化值小于预设风险额度时,通过访问请求。
在一种可选的实施方式中,预设风险额度采用如下步骤动态调整:根据风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;根据综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;根据风险额度调整值对风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的风险检测预警方法。
第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的风险检测预警方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的风险检测预警方法的流程示意图;
图2是根据本发明实施例的另一风险检测预警方法的流程示意图;
图3是根据本发明实施例的又一风险检测预警方法的流程示意图;
图4是根据本发明实施例的风险检测预警装置的结构框图;
图5是本发明实施例的计算机设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
结合风险检测预警方法的执行所依赖的应用场景,该风险检测预警方法可以应用于移动终端,例如,当移动终端接收到用户的访问请求时,采用该风险检测预警方法对接收到的访问请求进行风险检测和预警,判断是否通过该访问请求。
有鉴于此,本发明实施例提供了一种风险检测预警方法,通过采用预先构建的分类模型实现对待检测访问请求的风险检测,即通过机器学习方法实现了风险检测,而机器学习以数据驱动,可使构建的模型随着数据变化而优化,解决了采用基于规则的方法进行风险检测依赖专利经验定义的参数的问题;同时,通过构建风险矩阵,结合风险矩阵中的Borda序值,采用层次分析法计算权重,结合风险要素概率和计算的权重实现了对待检测访问请求的预警。
根据本发明实施例,提供了一种风险检测预警方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种风险检测预警方法,可用于移动终端,图1是根据本发明实施例的风险检测预警方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,获取待检测访问请求;其中,待检测访问请求具体为用户通过终端设备访问其他终端(以下称为接收终端)的接口如访问移动终端的API接口时发出的访问请求。当接收终端接收到该访问请求时,先进行风险检测和预警,将存在风险且风险较大的访问请求进行拦截,从而保证用户的安全访问。
步骤S102,将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值。其中,分类模型具体采用历史访问请求如访问日志中存储的访问请求对机器学习分类网络训练得到,对于分类网络可以采用相关技术中的分类网络框架如卷积神经网络框架实现,在此不再赘述。具体地,训练得到的分类模型能够识别待检测访问请求中包含的风险要素,以及属于相应风险要求类别的概率值。
步骤S103,根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值。具体地,在参考有关网络系统风险指标体系研究成果的基础上,当接收终端为移动微应用系统时,预设风险要素包括DOS、R2L、U2R、PROBE、破解账号以及非用户本人操作。其中,DOS表示拒绝服务攻击,即向目标服务器发送大量流量或者信息使目标无法被访问;R2L表示远程入侵,即远程非授权用户非法获得本地主机的用户特权;U2R表示本地非授权用户非法获取本地超级用户或管理员的特权;PROBE表示非法扫描主机或网络,寻找漏洞、搜索系统配置或网络拓扑;破解账号包括暴力破解、缓慢攻击、撞库攻击、频繁登录以及多账号登录等。
其中,风险矩阵基本原理是将风险分解为风险发生后可能造成的影响性(Severity)和风险发生的可能性(Probability)和两个可度量的量。而Borda方法是在多个评价准则上形成对风险级别进行排序的一种投票式运算法则。由此,在基于风险发生后可能造成的影响性和风险发生的可能性构建预设风险要素的风险矩阵后,基于风险矩阵中的风险级别计算各风险要素的Borda序值。
步骤S104,基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;具体地,层次分析法的基本思路是将所要分析的问题层次化,根据问题的性质和要达到的总目标,将问题分解成不同的组成因素,按照因素间的相互关系及隶属关系,将因素按不同层次聚集组合,形成一个多层分析结构模型,最终归结为最低层(方案、措施、指标等)相对于最高层(总目标)相对重要程度的权值或相对优劣次序的问题。运用层次分析法建模,大体上可按下面四个步骤进行:1.建立递阶层次结构模型;2.构造出各层次中的所有判断矩阵;3.层次单排序及一致性检验;4.层次总排序及一致性检验。
在该步骤中采用层次分析法时,可以直接根据各风险要素的Borda序值,构建任意两个风险要素的判断矩阵,从而计算得到任一个风险要素的权重。
步骤S105,根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值。具体地,步骤S102检测到了待检测访问请求中包含的风险要素,通过步骤S104能够确定任一个风险要素的权重,由此,能够确定待检测访问请求中包含的风险要素的权重。综合风险等级量化值计算可以采用如下公式实现:
式中,PRi是分类模型输出的待检测访问请求中包含的风险要素类别概率值,RWi是相对应的权重,RLV表示综合风险等级量化值,n表示待检测访问请求中包含的风险要素类别的个数。
步骤S106,根据综合风险等级量化值进行风险预警。具体地,根据综合风险等级量化值进行风险预警时,可以将综合风险等级量化值和预设阈值进行比较,当大于预设阈值时,则发出风险预警。
本发明实施例提供的风险检测预警方法,通过采用预先构建的分类模型实现对待检测访问请求的风险检测,即通过机器学习方法实现了风险检测,而机器学习以数据驱动,可使构建的模型随着数据变化而优化,解决了采用基于规则的方法进行风险检测依赖专利经验定义的参数的问题;同时,通过构建风险矩阵,结合风险矩阵中的Borda序值,采用层次分析法计算权重,结合风险要素概率和计算的权重实现了对待检测访问请求的预警。
在一实施方式中,分类模型采用如下步骤构建:
步骤a1,获取访问日志数据,访问日志数据包括多个历史访问请求;其中,访问日志数据具体可以从用户访问接收终端时产生的操作日志中获取,具体地,该操作日志中保存了用户访问时产生的多个历史访问请求。
步骤a2,对访问日志数据进行预处理,得到预处理数据。其中,预处理具体包括对访问日志数据进行数据清洗,如去除重复数据、补全缺失数据以及对数值类型的数据进行零均值归一化等。此外,预处理过程还包括对访问日志数据的特征提取,便于后续对网络的训练。
步骤a3,根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。具体地,由于访问日志数据中包括多个历史访问请求,每个预处理后的历史访问请求可以作为一个样本,同时,对每个样本加上是否存在风险以及风险要素种类的标签。采用添加标签的多个样本对分类网络进行训练,得到分类模型。
本发明提供的风险检测预警方法,通过采用历史访问请求和对应的风险要求标签对分类网络进行训练,构建分类模型。构建的分类模型实现了对待检测访问请求风险的检测。
具体地,对访问日志数据进行预处理,得到预处理数据,包括:对访问日志数据进行数据清洗,得到清洗后数据;提取清洗后数据中的网络特征和主机系统特征,得到一级特征;提取网络特征中的时间和周期性特征,得到二级特征;对一级特征中的非连续型数据进行聚类,得到聚类特征,预处理数据包括一级特征、二级特征和聚类特征。
其中,网络特征具体包括如下表1中的特征:
表1
主机系统特征具体包括如下表2中的特征:
表2
提取的网络特征和主机系统特征作为一级特征,在该一级特征的基础上,还可以对一级特征进行进一步处理,得到二级特征。具体地,二级特征具体包括字段ts:含义为认证时间转化为的时间戳,单位为秒;字段hour:含义为认证时间是24小时内的哪个小时;字段ts1:含义为该用户上一次记录的时间戳;字段ts2:含义为该用户上上次记录的时间戳;字段hour_sin:含义为sin(hour*2π/24);字段hour_cos:含义为cos(hour*2π/24)。其中,转换得到的二级特征中ts1和ts2用来计算用户两次登录之间的时间间隔,hour_sin和hour_cos用于分析用户登录时间的周期性。
另外,对于提取特征中的连续性特征或者说数值特征,可以采用均一化处理。对于非连续型特征可以判断其取值种类是否超过阈值,若超过则对其进行聚类处理。例如,对于取值种类超过1000个的非连续型数据,采用K-means规则进行聚类,使其取值种类不多于200个。其中,非连续型特征具体为非数据类型特征,比如认证地点是北京、上海、广州等等。取值种类即为这些城市的集合。同时,需要说明的是,对于非连续型数据如果采用数字表示,如用1代表上海,2代表北京,3代表广州,因为3最大,分类网络会认为广州的数据比上海和北京的更重要。但实际上这3个彼此之间不应该有大小关系,因此采用对非连续型数据按照独热编码的方式进行重编码,从而消除这种大小关系。
本发明提供的风险检测预警方法,对访问日志数据进行数据清洗、特征提取等的预处理,采用预处理后的样本进行训练,提高了训练模型的准确性。
在一实施方式中,步骤S102具体包括如下步骤:对待检测访问请求进行预处理,得到预处理请求;将预处理请求输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。具体地,在将待检测访问请求输入至分类模型之前,先对其进行预处理,如进行数据清洗、一级特征、二级特征的提取等过程,然后将预处理请求输入至分类模型进行风险要素的识别,即是否包含风险要素,以及包含的风险要素类别的概率值。
在本实施例中提供了一种风险检测预警方法,图2是根据本发明实施例的风险检测预警方法的流程图,如图2所示,该流程包括如下步骤:
步骤S201,获取待检测访问请求。详细请参见图1所示实施例的步骤S101,在此不再赘述。
步骤S202,将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值。详细请参见图1所示实施例的步骤S102,在此不再赘述。
步骤S203,根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值。
具体地,上述步骤S203包括:
步骤S2031,根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵。具体地,风险矩阵是将风险分解为风险发生后可能造成的影响性和风险发生的可能性。因此,构建风险矩阵时可以分别针对风险发生后可能造成的影响性即风险影响以及风险发生的可能性即风险概率分别构建专家矩阵。
其中,风险概率主要由风险要素的威胁出现频率和脆弱性严重程度确定。由此,风险概率专家矩阵采用下表3表示:
表3
表3中,f1表示构建专家矩阵。每个风险要素的脆弱性严重程度和威胁出现频率可以由专家评估确定,当确定每个风险要素的脆弱性严重程度和威胁出现频率之后,可以通过表3确定每个风险要素的风险概率。需要说明的是,表3中的风险概率为采用某种计算方法计算得到,在其他实施方式中,也可以采用其他的计算方案确定,具体计算方法也可以由专家进行制定,由此,在不同实施方式中,得到的风险概率可能不同。
具体地,根据表3的风险概率还可以采用表4进行风险概率等级的划分:
表4
风险概率值 1-6 7-12 13-18 19-24 25-30
风险概率等级 1 2 3 4 5
对于每个风险概率等级,表5为每个风险概率等级的说明
表5
步骤S2032,根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵。
其中,风险影响主要由风险要素的资产价值和脆弱性严重程度确定。由此,风险影响专家矩阵采用下表6表示:
表6
表6中,f2表示构建专家矩阵。每个风险要素的脆弱性严重程度和资产价值可以由专家评估确定,当确定每个风险要素的脆弱性严重程度和资产价值之后,可以通过表3确定每个风险要素的风险影响值。需要说明的是,表6中的风险影响值为采用某种计算方法计算得到,在其他实施方式中,也可以采用其他的计算方案确定,具体计算方法也可以由专家进行制定,由此,在不同实施方式中,得到的风险影响值可能不同。
具体地,根据表6的风险概率还可以采用表7进行风险影响等级的划分:
表7
风险影响值 1-6 7-12 13-18 19-24 25-30
风险影响等级 1 2 3 4 5
对于每个风险影响等级,表8为每个风险影响等级的说明
表8
步骤S2033,根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵。具体地,构建的风险矩阵采用下表9表示:
表9
表9中,风险项即各个风险因素,风险等级具体采用如下表10所示:
表10
表10中示出了风险等级的量化值和具体的风险等级。如风险概率等级和风险影响等级分别为1级时,风险等级的量化值为0.5,具体风险等级为很低。Borda序值具体采用Borda序值法计算得到。
步骤S2034,根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。在具体确定Borda序值时,可以先应用Borda序值法计算Borda数。Borda数具体采用如下公式计算:
式中,N为风险矩阵中的风险因素总个数,i为某个风险要素,k表示某一准则。风险矩阵有2个准则,k=1表示风险影响I,k=2表示风险概率P。用rik表示在准则k下比风险要素i等级高的风险要素个数。例如,共有7个风险要素,风险影响等级比i高的有2个,风险概率等级比i高的有3个,则风险i的Borda数=(7-2)+(7-3)=9。当确定Borda数之后,将Borda数按从大到小的顺序排序可得出Borda序值,用来表示风险要素的重要程度。
步骤S204,基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重。详细请参见图1所示实施例的步骤S104,在此不再赘述。
步骤S205,根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值。详细请参见图1所示实施例的步骤S105,在此不再赘述。
步骤S206,根据综合风险等级量化值进行风险预警。
具体地,上述步骤S206包括:
步骤S2061,判断综合风险等级量化值和预设风险额度的大小。
步骤S2062,当综合风险等级量化值大于预设风险额度时,拒绝访问请求。
步骤S2063,当综合风险等级量化值小于预设风险额度时,通过访问请求。
其中,预设风险额度可以预先设置,当大于预设风险额度时,拒绝此次风险请求,并发出预警信息;当小于预设风险额度时,则通过该访问请求。
在一些可选的实施方式中,预设风险额度采用如下步骤动态调整:根据风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;根据综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;根据风险额度调整值对风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
具体地,待检测访问请求为用户通过终端设备发送至接收终端,因此,针对不同用户或者说不同终端设备发送的待检测访问请求设置不同的初始风险额度。同时,在不断接收访问请求的过程中可以对相应的初始风险额度进行动态调整,具体采用综合风险等级量化值和风险因子的乘积确定风险额度调整值,即通过风险因子进行调整,风险因子符合慢增骤减的效果,即当风险产生时风险越高风险额度减少越快,当无风险时风险额度的增加则比较缓慢。其中,风险等级和风险因子的对应关系如下表11所示:
表11
当第一次接收到某个用户的待检测访问请求后,将计算得到的综合风险等级量化值先和初始风险额度比较,同时根据该综合风险等级量化值和待检测访问请求对应风险等级的风险因子相乘,得到风险额度调整值,通过该调整值对初始风险额度进行调整。当下一次接收到该用户的待检测访问请求后,将计算得到的综合风险等级量化值和调整后的风险额度进行比较,判断是否预警。
本发明提供的风险检测预警方法,通过预设风险要素的威胁出现频率、脆弱性严重程度以及资产价值分别构建了风险概率专家矩阵和风险影响专家矩阵,使得构建的风险矩阵更贴近实际情况;同时通过构建专家矩阵,引入领域内专家对风险要素的判断,结合了定性与定量分析。
本发明提供的风险检测预警方法,引入风险因子用于动态调整用户风险额度,使得对风险的评估能够学习用户历史访问结果,更加智能的控制用户访问。
在本实施例中提供了一种风险检测预警方法,图3是根据本发明实施例的风险检测预警方法的流程图,如图3所示,该流程包括如下步骤:
步骤S301,获取待检测访问请求。详细请参见图1所示实施例的步骤S101,在此不再赘述。
步骤S302,将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值。详细请参见图1所示实施例的步骤S102,在此不再赘述。
步骤S303,根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值。详细请参见图1所示实施例的步骤S103,在此不再赘述。
步骤S304,基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重。
具体地,上述步骤S304包括:
步骤3041,根据各风险要素Borda序值的大小构建判断矩阵。具体地,Borda序值是表示比该风险要素重要的风险要素的数目,例如序值是0,说明没有比此更重要的风险要素。依据Borda序值法将风险要素按重要性排序后,针对风险要素进行两两比较判断以构建判断矩阵。判断矩阵中的值称为标度,表示每两个风险要素之间的重要程度。具体标度和其含义采用下表12表示:
表12
步骤3042,对判断矩阵进行一致性检验;具体地,一致性检验的流程如下:
对多个判断矩阵中的相应元素求取算术平均值,得到最后的综合判断矩阵,对综合判断矩阵计算一致性指标其中λmax是判断矩阵的最大特征根,n是风险要素的个数。
查询平均随机一致性指标RI的数值表。对应n=1到10,RI值分别如下表13所示:
表13
采用如下公式计算一致性比例
当CR<0.1,认为通过一致性检验,否则重新生成判断矩阵。
步骤3043,基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。具体地,对判断矩阵使用方根法计算权重。记n是判断矩阵的行数,也是风险要素的个数。矩阵元素按行相乘,开n次方,就得到每个风险要素的权重。
步骤S305,根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值。详细请参见图1所示实施例的步骤S105,在此不再赘述。
步骤S306,根据综合风险等级量化值进行风险预警。详细请参见图1所示实施例的步骤S106,在此不再赘述。
本发明提供的风险检测预警方法,通过构建判断矩阵的方式计算不同风险要素的权重,实现了对不同风险要素重要程度的评估。
作为本发明实施例的一个或多个具体应用实施例,该风险检测预警方法采用如下流程实现:
步骤S1,获取访问日志数据,该访问日志数据为电力移动微应用系统用户访问日志。
步骤S2,对问日志数据进行预处理,得到预处理数据;
步骤S3,根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
步骤S4,根据预设风险要素构建风险概率专家矩阵和风险影响专家矩阵。
步骤S6,根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵。
步骤S7,根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
步骤S8,基于各风险要素的Borda序值,采用层次分析法构建判断矩阵计算各风险要素的权重。
步骤S9,获取待检测访问日志数据进行预处理后输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。
步骤S10,根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值
本实施例提供一种风险检测预警装置,如图4所示,包括:
请求获取模块401,用于获取待检测访问请求;
风险检测模块402,用于将待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;
序值确定模块403,用于根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;
权重计算模块404,用于基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;
量化模块405,用于根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值;
预警模块406,用于根据综合风险等级量化值进行风险预警。
在一种可选的实施方式中,分类模型包括:历史数据获取单元,用于获取访问日志数据,访问日志数据包括多个历史访问请求;预处理单元,用于对访问日志数据进行预处理,得到预处理数据;训练单元,用于根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
在一种可选的实施方式中,预处理单元具体用于:对访问日志数据进行数据清洗,得到清洗后数据;提取清洗后数据中的网络特征和主机系统特征,得到一级特征;提取网络特征中的时间和周期性特征,得到二级特征;对一级特征中的非连续型数据进行聚类,得到聚类特征,预处理数据包括一级特征、二级特征和聚类特征。
在一种可选的实施方式中,风险检测模块具体用于:对待检测访问请求进行预处理,得到预处理请求;将预处理请求输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。
在一种可选的实施方式中,序值确定模块具体用于:根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵;根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵;根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵;根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
在一种可选的实施方式中,权重计算模块具体用于:根据各风险要素Borda序值的大小构建判断矩阵;对判断矩阵进行一致性检验;基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。
在一种可选的实施方式中,预警模块具体用于:判断综合风险等级量化值和预设风险额度的大小;当综合风险等级量化值大于预设风险额度时,拒绝访问请求;当综合风险等级量化值小于预设风险额度时,通过访问请求。
在一种可选的实施方式中,预设风险额度采用如下步骤动态调整:根据风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;根据综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;根据风险额度调整值对风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
本实施例中的风险检测预警装置是以功能单元的形式来呈现,这里的单元是指ASIC电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块和单元的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种计算机设备,具有上述图4所示的风险检测预警装置。
请参阅图5,图5是本发明可选实施例提供的一种计算机设备的结构示意图,如图5所示,该计算机设备包括:一个或多个处理器10、存储器20,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相通信连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在计算机设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在一些可选的实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个计算机设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图5中以一个处理器10为例。
处理器10可以是中央处理器,网络处理器或其组合。其中,处理器10还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路,可编程逻辑器件或其组合。上述可编程逻辑器件可以是复杂可编程逻辑器件,现场可编程逻辑门阵列,通用阵列逻辑或其任意组合。
其中,存储器20存储有可由至少一个处理器10执行的指令,以使至少一个处理器10执行实现上述实施例示出的方法。
存储器20可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据一种小程序落地页的展现的计算机设备的使用所创建的数据等。此外,存储器20可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些可选的实施方式中,存储器20可选包括相对于处理器10远程设置的存储器,这些远程存储器可以通过网络连接至该计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
存储器20可以包括易失性存储器,例如,随机存取存储器;存储器也可以包括非易失性存储器,例如,快闪存储器,硬盘或固态硬盘;存储器20还可以包括上述种类的存储器的组合。
该计算机设备还包括通信接口30,用于该计算机设备与其他设备或通信网络通信。
本发明实施例还提供了一种计算机可读存储介质,上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可记录在存储介质,或者被实现通过网络下载的原始存储在远程存储介质或非暂时机器可读存储介质中并将被存储在本地存储介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件的存储介质上的这样的软件处理。其中,存储介质可为磁碟、光盘、只读存储记忆体、随机存储记忆体、快闪存储器、硬盘或固态硬盘等;进一步地,存储介质还可以包括上述种类的存储器的组合。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件,当软件或计算机代码被计算机、处理器或硬件访问且执行时,实现上述实施例示出的方法。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (18)

1.一种风险检测预警方法,其特征在于,所述方法包括:
获取待检测访问请求;
将所述待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;
根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;
基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;
根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值;
根据所述综合风险等级量化值进行风险预警。
2.根据权利要求1所述的方法,其特征在于,所述分类模型采用如下步骤构建:
获取访问日志数据,所述访问日志数据包括多个历史访问请求;
对所述访问日志数据进行预处理,得到预处理数据;
根据所述预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
3.根据权利要求2所述的方法,其特征在于,对所述访问日志数据进行预处理,得到预处理数据,包括:
对所述访问日志数据进行数据清洗,得到清洗后数据;
提取清洗后数据中的网络特征和主机系统特征,得到一级特征;
提取所述网络特征中的时间和周期性特征,得到二级特征;
对所述一级特征中的非连续型数据进行聚类,得到聚类特征,所述预处理数据包括一级特征、二级特征和聚类特征。
4.根据权利要求3所述的方法,其特征在于,将所述待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值,包括:
对所述待检测访问请求进行预处理,得到预处理请求;
将所述预处理请求输入至所述分类模型,得到待检测访问请求中包含的风险要素类别概率值。
5.根据权利要求1所述的方法,其特征在于,根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值,包括:
根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵;
根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵;
根据预设风险要素对应的所述风险概率专家矩阵和所述风险影响专家矩阵构建风险矩阵;
根据所述风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
6.根据权利要求1所述的方法,其特征在于,基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重,包括:
根据各风险要素Borda序值的大小构建判断矩阵;
对所述判断矩阵进行一致性检验;
基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。
7.根据权利要求5所述的方法,其特征在于,根据所述综合风险等级量化值进行风险预警,包括:
判断所述综合风险等级量化值和预设风险额度的大小;
当所述综合风险等级量化值大于预设风险额度时,拒绝访问请求;
当所述综合风险等级量化值小于预设风险额度时,通过访问请求。
8.根据权利要求7所述的方法,其特征在于,所述预设风险额度采用如下步骤动态调整:
根据所述风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;
根据所述综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;
根据所述风险额度调整值对所述风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
9.一种风险检测预警装置,其特征在于,所述装置包括:
请求获取模块,用于获取待检测访问请求;
风险检测模块,用于将所述待检测访问请求输入至预先构建的分类模型,得到待检测访问请求中包含的风险要素类别概率值;
序值确定模块,用于根据预设风险要素构建风险矩阵,采用Borda方法得到各风险要素的Borda序值;
权重计算模块,用于基于各风险要素的Borda序值,采用层次分析法计算各风险要素的权重;
量化模块,用于根据待检测访问请求中包含的风险要素类别概率值和对应的权重计算待检测访问请求的综合风险等级量化值;
预警模块,用于根据所述综合风险等级量化值进行风险预警。
10.根据权利要求9所述的装置,其特征在于,所述分类模型包括:历史数据获取单元,用于获取访问日志数据,访问日志数据包括多个历史访问请求;预处理单元,用于对访问日志数据进行预处理,得到预处理数据;训练单元,用于根据预处理数据和对应的风险要素标签对分类网络训练,得到分类模型。
11.根据权利要求10所述的装置,其特征在于,预处理单元具体用于:对访问日志数据进行数据清洗,得到清洗后数据;提取清洗后数据中的网络特征和主机系统特征,得到一级特征;提取网络特征中的时间和周期性特征,得到二级特征;对一级特征中的非连续型数据进行聚类,得到聚类特征,预处理数据包括一级特征、二级特征和聚类特征。
12.根据权利要求11所述的装置,其特征在于,所述风险检测模块具体用于:对待检测访问请求进行预处理,得到预处理请求;将预处理请求输入至分类模型,得到待检测访问请求中包含的风险要素类别概率值。
13.根据权利要求9所述的装置,其特征在于,序值确定模块具体用于:根据预设风险要素的威胁出现频率和脆弱性严重程度构建风险概率专家矩阵;根据预设风险要素的资产价值和脆弱性严重程度构建风险影响专家矩阵;根据预设风险要素对应的风险概率专家矩阵和风险影响专家矩阵构建风险矩阵;根据风险矩阵中各风险要素的Borda数确定各风险要素的Borda序值。
14.根据权利要求9所述的装置,其特征在于,权重计算模块具体用于:根据各风险要素Borda序值的大小构建判断矩阵;对判断矩阵进行一致性检验;基于通过一致性检验的判断矩阵,采用方根法计算各风险要素的权重。
15.根据权利要求14所述的装置,其特征在于,预警模块具体用于:判断综合风险等级量化值和预设风险额度的大小;当综合风险等级量化值大于预设风险额度时,拒绝访问请求;当综合风险等级量化值小于预设风险额度时,通过访问请求。
16.根据权利要求15所述的装置,其特征在于,预设风险额度采用如下步骤动态调整:根据风险矩阵中各风险要素的风险等级确定各风险要素的风险因子;根据综合风险等级量化值和待检测访问请求中包含的风险要素对应的风险因子相乘,得到风险额度调整值;根据风险额度调整值对风险额度调整,得到对下一个待检测访问请求进行风险检测预警时的风险额度。
17.一种计算机设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1至8中任一项所述的风险检测预警方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至8中任一项所述的风险检测预警方法。
CN202310458964.XA 2023-04-25 2023-04-25 一种风险检测预警方法、装置、计算机设备及存储介质 Pending CN116468280A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310458964.XA CN116468280A (zh) 2023-04-25 2023-04-25 一种风险检测预警方法、装置、计算机设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310458964.XA CN116468280A (zh) 2023-04-25 2023-04-25 一种风险检测预警方法、装置、计算机设备及存储介质

Publications (1)

Publication Number Publication Date
CN116468280A true CN116468280A (zh) 2023-07-21

Family

ID=87178701

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310458964.XA Pending CN116468280A (zh) 2023-04-25 2023-04-25 一种风险检测预警方法、装置、计算机设备及存储介质

Country Status (1)

Country Link
CN (1) CN116468280A (zh)

Similar Documents

Publication Publication Date Title
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
US10686829B2 (en) Identifying changes in use of user credentials
US10178116B2 (en) Automated computer behavioral analysis system and methods
US8549645B2 (en) System and method for detection of denial of service attacks
CN114584405B (zh) 一种电力终端安全防护方法及系统
CN110958220A (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
WO2018208451A1 (en) Real time detection of cyber threats using behavioral analytics
US10404731B2 (en) Method and device for detecting website attack
CN113489713B (zh) 网络攻击的检测方法、装置、设备及存储介质
CN111614690A (zh) 一种异常行为检测方法及装置
CN110020687B (zh) 基于操作人员态势感知画像的异常行为分析方法及装置
US10965553B2 (en) Scalable unsupervised host clustering based on network metadata
CN111786974B (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
CN113965389B (zh) 一种基于防火墙日志的网络安全管理方法、设备及介质
CN116112194A (zh) 用户行为分析方法、装置、电子设备及计算机存储介质
CN110955890B (zh) 恶意批量访问行为的检测方法、装置和计算机存储介质
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
CN113901441A (zh) 一种用户异常请求检测方法、装置、设备及存储介质
CN111314326B (zh) Http漏洞扫描主机的确认方法、装置、设备及介质
WO2016173327A1 (zh) 用于检测网站攻击的方法和设备
CN115987544A (zh) 一种基于威胁情报的网络安全威胁预测方法及系统
CN115632884A (zh) 基于事件分析的网络安全态势感知方法与系统
CN117391214A (zh) 模型训练方法、装置及相关设备
CN116468280A (zh) 一种风险检测预警方法、装置、计算机设备及存储介质
CN114900375A (zh) 一种基于ai图分析的恶意威胁侦测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination