CN116633666A - 网络异常行为检测方法、装置、电子设备及存储介质 - Google Patents

网络异常行为检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116633666A
CN116633666A CN202310736083.XA CN202310736083A CN116633666A CN 116633666 A CN116633666 A CN 116633666A CN 202310736083 A CN202310736083 A CN 202310736083A CN 116633666 A CN116633666 A CN 116633666A
Authority
CN
China
Prior art keywords
target
abnormal
group
determining
candidate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310736083.XA
Other languages
English (en)
Inventor
卢桃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Volcano Engine Technology Co Ltd
Original Assignee
Beijing Volcano Engine Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Volcano Engine Technology Co Ltd filed Critical Beijing Volcano Engine Technology Co Ltd
Priority to CN202310736083.XA priority Critical patent/CN116633666A/zh
Publication of CN116633666A publication Critical patent/CN116633666A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开提供了一种网络异常行为检测方法、装置、电子设备及存储介质,该方法包括:基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出目标对象群体的各个对象分组在目标时间段内的分组行为特征子集,其中,历史行为特征集用于表征目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为;针对任一对象分组,根据对象分组的分组行为特征子集,确定对象分组中的候选异常对象;针对任一候选异常对象,从历史行为特征集中确定出候选异常对象在预设时间区间内的对象行为特征子集;根据至少一个候选异常对象的对象行为特征子集,从至少一个候选异常对象中确定出目标异常对象。这样,可以提升网络异常行为的检测精度。

Description

网络异常行为检测方法、装置、电子设备及存储介质
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种网络异常行为检测方法、装置、电子设备和存储介质。
背景技术
随着互联网技术的不断发展,网络安全问题也变得日益严峻。目前,攻击者经常会通过社交工程去盗用企业内部对象(合法员工)的账号,使用被盗账号进入企业办公网后,逐步渗透进而登录公司内部系统,盗取数据或者破坏主机、侵害企业资产。因此,如何能够更好地检测到网络上的异常行为,及时发现异常事件,从而采取有效的措施,增强网络的安全性,是现代企业面临的一个重要问题。
发明内容
本公开实施例至少提供一种网络异常行为检测方法、装置、电子设备及存储介质,可以提升网路异常行为的检测精度,以更好的适用于目标对象群体的网络异常行为检测。
本公开实施例提供了一种网络异常行为检测方法,包括:
基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;
针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;
针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;
根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
本公开实施例提供了一种网络异常行为检测装置,包括:
第一数据确定模块,用于基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;
第一异常检测模块,针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;
第二数据确定模块,针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;
第二异常检测模块,用于根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
本公开实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行上述任一可能的实施方式中所述的网络异常行为检测方法。
本公开实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述任一可能的实施方式中所述的网络异常行为检测方法。
本公开提供的网络异常行为检测方法、装置、电子设备及存储介质,由于预先将目标对象群体中的对象按照对象标签进行了分组,使得任一对象分组对应的分组行为特征子集具有相似性,进而可以提升检测出的偏离对象分组的候选异常对象的精度;进一步地,针对任一候选异常对象,还基于候选异常对象的历史行为特征集来确定该候选异常对象是否为目标异常对象,也即,通过群体检测以及个体检测的分层检测,可以进一步提升目标异常对象的确定精度,进而有助于提升该网络异常检测方法在目标对象群体环境下的适用性。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,此处的附图被并入说明书中并构成本说明书中的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开一些实施例所提供的一种网络异常行为检测方法的流程图;
图2示出了本公开一些实施例所提供的一种不同部分以及不同研发序列的用户的行为数据的分布示意图;
图3示出了本公开一些实施例所提供的一种确定历史行为特征集的方法流程图;
图4示出了本公开一些实施例所提供的一种正常数据集的行为特征数据的偏离程度的分布示意图;
图5示出了本公开一些实施例所提供的一种存在异常数据集的行为特征数据的偏离程度的分布示意图;
图6示出了本公开一些实施例所提供的另一种网络异常行为检测方法的流程图;
图7示出了本公开一些实施例所提供的一种网络异常行为检测装置的结构示意图;
图8示出了本公开一些实施例所提供的另一种网络异常行为检测装置的结构示意图;
图9示出了本公开一些实施例所提供的一种电子设备的示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
本文中术语“和/或”,仅仅是描述一种关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获取和使用到用户的个人信息。从而,使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
作为一种可选的但非限定性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式例如可以是弹窗的方式,弹窗中可以以文字的方式呈现提示信息。此外,弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
可以理解的是,上述通知和获取用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
目前,攻击者经常会通过社交工程去盗用企业内部对象(合法员工)的账号,然后使用被盗账号进入企业办公网,并逐步渗透进而登录公司内部系统,盗取数据或者破坏主机、侵害企业资产。在攻击者使用账号时,会产生多个非账号本人操作的访问系统行为,与本人历史访问行为会有细微差异,因此能够从行为异常的角度,对这类会危害到企业的攻击行为进行检测,发现威胁企业的异常事件,从而采取有效的措施,增加企业办公网的安全性,是安全领域的重要研究内容。
异常是指数据集中的意外更改或与预期模式的偏差,异常行为检测用于发现出现偏差的行为,是对某个特定的行为进行评估,判断其是否符合普遍的行为习惯,若不符合,则判断行为出现了偏差,也即检测到了异常行为。具体地,异常行为检测可以被用来检测个体与群体的行为是否符合,也可以用来检测个体当前行为是否符合其历史行为习惯。
经研究发现,目前的行为检测方法的应用场景较多,比如,可以针对普通用户服务、游戏外挂、电商风险控制等场景进行异常行为检测,在该等应用场景中,用户的操作通常属于单一服务使用行为,用户行为的规律性较强,进而易于检测异常行为。而针对一些特殊场景,比如企业办公场景,由于企业用户属于员工,其操作行为不仅仅会随着部门业务的变动而改变,同时企业内部系统较多,行为较分散,具有偶发性的特点,因此,采用现有的异常行为检测方法很难检测出异常,即使检测出异常行为,也大都会存在误检,进而影响用户的使用体验。
基于上述研究,本公开实施例提供一种网络异常行为检测方法,首先基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;接着针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;然后针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;最后根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
本公开实施例所提供的网络异常行为检测方法,由于预先将目标对象群体中的对象按照对象标签进行了分组,使得任一对象分组对应的分组行为特征子集具有相似性,进而可以提升检测出的偏离对象分组的候选异常对象的精度;进一步地,针对任一候选异常对象,还基于候选异常对象的历史行为特征集来确定该候选异常对象是否为目标异常对象,也即,通过群体检测以及个体检测的分层检测,可以进一步提升目标异常对象的确定精度,进而有助于提升该网络异常检测方法在目标对象群体环境下的适用性。
为便于对本实施例进行理解,首先对本公开实施例所提供的网络异常行为检测方法的执行主体进行详细介绍。本公开实施例所提供的网络异常行为检测方法的执行主体为电子设备。该电子设备可以终端设备或者服务器。其中,该终端设备还可以为移动设备、用户终端、终端、手持设备、计算设备、车载设备、可穿戴设备等。该服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云存储、大数据和人工智能平台等基础云计算服务的云服务器。其他实施方式中,该网络异常行为检测方法还可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
下面结合附图对本申请实施例所提供的网络异常行为检测方法进行详细说明。参见图1所示,为本公开实施例提供的一种网络异常行为检测方法的流程图,该网络异常行为检测方法包括以下S101~S104:
S101,基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的。
其中,目标对象群体可以包括企业、机构以及组织等,本公开实施例中,目标对象群体以企业为例进行说明,比如,该目标对象群体可以是餐饮行业的企业、互联网行业的企业、制造类企业等。此外,该企业的员工数量的不做限定,可以是员工数量较多的大型企业,也可以是员工数量较少的小型企业。
可选地,该至少一个目标系统是指,该目标对象群体在运营过程中所用到的系统,该系统包括但不限于各类即时通信应用程序、数据管理系统(如代码仓库)、文件管理系统(如数据库)、身份认证系统等。另外,与该目标对象关联的系统的数量也不做限定,比如,可以是几个、也可以是几十个、甚至上百个。
可以理解,在企业办公环境下,不同的业务线、不同的部门以及不同的技术序列的对象所访问的系统通常会不同。例如,针对开发目标应用程序的业务线,该部门下的对象通常会访问与目标应用程序相关的系统,而在该部门下,不同的技术序列(如研发、销售)所访问的系统也会不同,因此,可以预先将目标对象群体中的对象按照对象标签进行分组,得到多个对象分组,这样针对任一对象分组对应的分组行为特征子集对该对象分组进行异常检测,可以提升候选异常对象的检测精度。
参见图2所示,图2是针对多个(如3个)用户在60天内的系统访问行为数据的降维后的可视化结果,其中横纵坐标没有具体的含义,仅展示数据之间的相似性。从部门角度看,0和1表示部门A的用户的访问行为,2表示部门B的访问行为,3表示部门C的用户访问行为;从技术序列角度看,0,1,2表示研发序列,3是非研发序列。因此,经研究发现,相同部门的访问行为具备相似性,相同技术序列的访问行为具备相似性。
因此,在一些实施例中,对象标签可以包括部门以及技术序列,也即,可以按照对象所属的部门以及技术序列将目标对象群体进行划分,分割成多个负责业务相似、技术序列相似的对象分组,且每个对象分组中的对象具有相同的对象标签。
具体地,在对象分组划分时可以结合预设对象数量进行划分,进而可以避免有的对象分组的对象过多,而有的对象分组的对象过少的情况。
示例性地,可以将目标对象群体的职能架构看作一棵树,从根节点开始,按技术工种进行分组计算,若低于最大对象数量阈值,则该节点作为最终部门标签节点,最深可以寻址到第六层树节点。可选地,不同技术序列的对象数量阈值可以不同,该对象数量阈值根据对应的技术序列的总体对象数量以及技术序列的访问系统数在整体的分布比例而定,如在互联网企业,研发序列的对象数量阈值远小于非研发序列(如运营)对象数量阈值。
下面对历史行为特征集的生成过程进行详细说明。
示例性地,参见图3所示,可以通过以下步骤S301~S302,得到所述目标对象群体的历史行为特征集。
S301,获取所述目标对象群体中的对象在所述预设时间区间内针对所述至少一个目标系统的访问行为日志;所述访问行为日志包括所述目标对象群体中的各个对象的对象标识、所述预设时间区间内的各个时间段的时间标识以及各个目标系统的系统标识。
S302,基于所述对象标识、所述时间标识以及所述系统标识,生成所述目标对象群体的历史行为特征集;其中,所述历史行为特征集中包括多条历史行为特征数据,任一条历史行为特征数据用于表征对应对象在对应时间段内针对所述至少一个目标系统的访问行为。
应当理解的是,每个目标系统在运行过程中都会产生系统日志,系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件,在实际应用中,可以通过日志来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。本公开实施例中,所获取的日志主要为与用户访问行为相关的访问行为日志。具体地,按照操作类型不同,该访问行为日志的操作类型可以包括注册、登陆、删除、增加等行为日志。
每个系统在产生系统日志后,会保存一定的时间,因此,在获取系统的访问行为日志时,可以根据实际需求选取当前时间之前的预设时间区间的日志,比如,该预设时间区间可以为两个月,或者更多、更少,此处不做具体限定。
在获取到系统的访问行为日志后,可以基于所述访问行为日志生成表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为的历史行为特征集。
其中,对象标识可以是对象的名称、账号、身份标识等,用以将不同的对象进行区分;时间标识可以是指具体的时间段的标识,该时间段可以是一天,也可以是几个小时,具体可以根据实际需求而定;系统标识是指用于将不同目标系统进行区分的标识,可以是系统名称,或者系统编号等。
具体地,参见表1所示,可以按照对象标识、时间标识以及系统标识将所述访问行为日志进行统计,生成访问行为特征矩阵,该访问行为特征矩阵表征了所述目标对象群体中的各个对象的用户在2022年1月到3月期间,针对系统1到系统n的访问行为日志。其中,表1中的每一行即为一条行为特征数据,对象标识以及时间标识可以作为每条行为特征数据的数据标识,以将每条行为特征数据进行区分,每个系统标识作为每条行为特征数据的特征字段。
可选地,在基于所述对象标识、所述时间标识以及所述系统标识,生成所述目标对象群体的历史行为特征集时,可以包括以下(a)~(b):
(a)针对所述目标对象群体中的任一对象,基于预设规则确定所述对象在所述各个时间段分别对所述至少一个目标系统的系统访问资源信息;
(b)基于所述各个对象的对象标识、所述预设时间区间内的各个时间段对应的时间标识、所述各个目标系统的系统标识、以及所述各个对象在对应的时间段分别针对所述各个目标系统的系统访问资源信息,生成所述目标对象群体的历史行为特征集。
其中,该目标系统的系统访问资源信息也即前述特征字段的特征值。
具体地,可以先获取任一目标系统的权重信息,所述权重信息用于表征所述目标系统的重要程度;接着针对所述目标对象群体中的任一对象,可以基于所述对象对应的访问行为日志,确定所述对象在所述各个时间段分别针对所述至少一个目标系统系统访问信息,所述系统访问信息包括系统访问次数以及系统操作类型;然后基于所述对象在所述各个时间段分别针对所述至少一个目标系统的系统访问信息以及所述各个目标系统分别对应的权重信息,确定所述对象在所述各个时间段分别对所述至少一个目标系统的系统访问资源信息。例如,经过计算,对象1(对象标识)在2022-01-02(时间标识)下针对系统2(系统标识)的系统访问资源信息(也称特征值)为733。
其中,权重信息可以和操作类型的重要程度正相关,比如,由于删除内容将会带来一定的风险(重要程度较高),因此针对“删除”的操作类型,可以较高的权重信息,而针对“登陆”、“注册”等操作类型,风险较低,进而可以设置较低的权重信息。
本公开实施例中,由于结合权重信息,确定所述对象在所述各个时间段分别对所述至少一个目标系统的系统访问资源信息,这样,可以提升不同对象在对应时间段针对各个目标系统的系统访问资源信息的确定精度,进而有利于提升后续的异常检测的精度。
表1
对象标识 时间标识 系统1 系统2 系统3 系统n
对象1 2022-01-02 0 733 3 0
对象1
对象1 2022-03-30 0 1356 12 0
对象2 2022-01-02 0 1310 100 0
对象2
对象2 2022-03-30 0 1200 108 0
对象n 2022-01-02 0 0 50 80
对象n
对象n 2022-03-30 0 0 80 90
其中,待分析的目标时间段可以基于当前时间确定,比如将当前时间所属的时间段确定为目标时间段,还可以由用户指定待分析的目标时间段,具体可以根据实际需求而确定。
基于上述分析可知,在确定待分析的目标时间段之后,即可基于该待分析的目标时间段对应的时间标识以及各个对象分组中的对象标识,从历史行为特征集中确定出目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集。
下面以待分析的目标时间段为2022年3月30日为例,对任一对象分组对应的分组行为特征子集的确定过程进行说明。例如,针对表1,首先可以先将目标时间段对应的时间标识2022-03-30的行为特征数据全部挑选出来,形成候选行为特征数据集,然后针对任一对象分组,将该对象分组中所包含的对象所对应的对象标识(如对象1-对象50)对应的行为特征数据再从候选行为特征数据集中挑选出来,进而可得到与所述对象分组对对应的分组行为特征子集。
S102,针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象。
示例性地,由于所述对象分组的分组行为特征子集包括所述对象分组中的任一对象在所述目标时间段对应的行为特征数据,因此,在根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象时,可以包括以下(1)~(2):
(1)针对所述对象分组中的任一对象,基于所述对象对应的行为特征数据,确定所述任一对象的第一异常程度信息;
(2)基于所述对象分组中的各个对象的第一异常程度信息,确定所述对象分组中的候选异常对象。
其中,从所述对象分组中确定所述对象分组中的候选异常对象的过程,可以理解为,将对象分组中偏离群体基线的对象挑选出来的过程,其中,群体基线可以理解为分组行为特征子集的基准数据(也即均值数据),每个分组行为特征子集对应一个群体基线,不同的分组行为特征子集的群体基线可以不同。
具体地,针对上述步骤(1),在针对所述对象分组中的任一对象,基于所述对象对应的行为特征数据,确定所述任一对象的第一异常程度信息时,可以包括以下(1.1)~(1.2):
(1.1)针对所述对象分组中的任一对象,基于预设的异常检测算法,确定所述对象对应的行为特征数据中的任一目标系统的右尾部概率,其中,所述右尾部概率是指所述目标系统的系统访问资源信息为最大值的概率;
(1.2)基于所述对象对应的行为特征数据中的各个目标系统的右尾部概率,确定所述对象的第一异常程度信息。
其中,所述第一异常程度信息可以理解为任一候选异常对象的访问行为偏离所述群体基线的异常程度值。
示例性地,可以采用异常检测算法,确定偏离群体基线的候选异常对象集。比如,可以采用基于统计的ECOD检测离群点算法来确定偏离群体基线的候选异常对象集,也即,可以通过汇总尾部概率获得离群值。
在企业办公网入侵场景中,攻击者需要横向探索,访问更多系统才能得到更多信息和数据,攻击者的风险与系统访问资源信息的大小呈正比,因此,右尾部概率更符合该场景。具体地,针对任一候选异常对象对应的行为特征数据的每个目标系统,可以将每个目标系统的系统访问资源信息与其他行为特征数据中个该目标系统的系统访问资源信息进行比对,得到该目标系统在该行为特征数据下的右尾部概率,然后基于该行为特征数据中的各个目标系统的右尾部概率,即可确定所述对象的第一异常程度信息。
可选地,在确定第一异常程度信息时还可以结合每个目标系统的权重信息,也即,针对任一候选异常对象的行为特征数据,可以累计该行为特征数据对应的各个目标系统的右尾部概率与目标系统的权重积之和,得到该第一异常程度信息。这样,通过所述对象对应的行为特征数据中的各个目标系统的右尾部概率,所确定的第一异常程度信息,可以更加适用目标对象群体场景。
经研究发现,针对正常数据集与存在异常的数据集,两者的行为特征数据的偏离程度的分布存在差异,如图4-图5所示,其中图4为正常数据集的行为特征数据的偏离程度的分布图,图5为存在异常的数据集的行为特征数据的偏离程度的分布图,通过图4和图5可以看出,异常数据集的离群点(异常行为特征数据)的偏离程度与整体数据的偏离程度的差值更大。
因此,在一些实施例中,针对上述步骤(2),在基于所述对象分组中的各个对象的第一异常程度信息,确定所述对象分组中的候选异常对象时,可以包括以下(2.1)~(2.3):
(2.1)确定所述对象分组的各个对象的第一异常程度信息的第一异常平均值以及第一异常标准差;
(2.2)针对所述对象分组中的任一对象,基于所述第一异常平均值以及所述第一异常标准差,确定所述对象的第一异常程度信息是否满足第一预设条件;
(2.3)在所述对象的第一异常程度信息满足所述第一预设条件的情况下,确定所述对象为所述候选异常对象。
具体地,在确定候选异常对象时,针对对象分组中任一对象对应的行为特征数据,可以确定行为特征数据d1的偏离程度值k(第一异常程度信息),分组行为特征子集中整体行为特征数据的偏离程度值的标准差σ1(第一异常标准差)和平均值m(第一异常平均值),若存在k-m>n*σ1,n>2,则确定所述对象的第一异常程度信息是否满足第一预设条件,将该行为特征数据d1对应的对象为候选异常对象。其中,n的数值可以根据实际情况而确定,在此做具体限定。
可选地,针对任一分组行为特征子集,为了提升数据处理效率,在确定所述分组行为特征子集中每条行为特征数据的第一异常程度信息之前,还可以先对获取的分组行为特征子集进行过滤处理,将没有被访问过的目标系统标识应的特征字段进行清除,得到所述过滤后的分组行为特征子集,然后针对过滤后的分组行为特征子集中的每条行为特征数据,确定每条行为特征数据的第一异程度常信息。例如,针对表1中的目标系统1,由于没有被对象访问过,因此,可以将该目标系统1对应的特征字段去除。
另外,还可以对过滤后的分组行为特征子集进行归一化处理,然后基于归一化处理后的分组行为特征子集进行异常检测。
S103,针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集。
具体地,参见表1,若对象1为候选异常对象,则从所述历史行为特征集中获取目标时间段(2022-03-30)以前且包括该目标时间段的行为特征数据,得到与所述对象1对应的对象行为特征子集。
S104,根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
其中,从至少一个候选异常对象中确定出目标异常对象的过程,可以理解为,针对任一候选异常对象,确定该异常对象对应的目标时间段的行为特征数据是否偏离该候选异常对象对应的对象行为特征子集的历史基线的过程。其中,该历史基线与前述的群体基线类似,只是由于对应的数据集不同,名称不同而已,在此不再赘述。
示例性地,由于所述候选异常对象对应的对象行为特征子集包括所述候选异常对象在所述预设时间区间内的各个时间段对应的历史行为特征数据;因此,在根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象时,可以包括以下(I)~(II):
(I)针对任一候选异常对象,基于所述候选对象对应的任一历史行为特征数据,确定所述历史行为数据的第二异常程度信息;
(II)基于所述候选异常对象的各个历史行为特征数据分别对应的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象。
针对上述步骤(I),在基于所述候选对象对应的任一历史行为特征数据,确定所述历史行为数据的第二异常程度信息时,可以包括以下(I.I)~(I.II):
(I.I)针对任一历史行为数据,基于预设的异常检测算法,确定所述历史行为特征数据中任一目标系统的右尾部概率;
(I.II)基于所述历史行为特征数据中各个目标系统的右尾部概率,确定所述历史行为数据的第二异常程度信息。
针对上述步骤(II),在基于所述候选异常对象的各个历史行为特征数据分别对应的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象时,可以包括以下(II.I)~(II.IV):
(II.I)确定所述候选异常对象的各个历史行为特征数据的第二异常程度信息的第二异常平均值以及第二异常标准差;
(II.II)针对任一历史行为特征数据,基于所述第二异常平均值以及所述第二异常标准差,确定所述历史行为特征数据的第二异常程度信息是否满足所述第二预设条件;
(II.III)在所述历史行为特征数据对应的第二异常程度信息符合第二预设条件的情况下,将所述历史行为特征数据确定为异常行为特征数据;
(II.IV)在所述候选异常对象对应的所述目标时间段的历史行为特征数据为所述异常行为特征数据的情况下,将所述候选异常对象确定为所述目标异常对象。
需要说明的是,针对步骤S104具体细化过程的描述可以参见步骤S102中确定异常候选对象的过程的描述,二者确定异常的过程类似,只是针对的数据集不同。
参见图6所示,为本公开实施例提供的另一种网络异常行为检测方法的流程图,该方法包括以下S601~S604:
S601,基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的。
其中,该步骤与前述步骤S101类似,在此不再赘述。
S602,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息。
与步骤S102不同的是,该步骤中除了确定候选异常对象,还进一步确定该候选异常对象的第一异常系统访问信息。也即,在确定出候选异常对象的同时还能确定导致异常的系统访问信息。
示例性地,在根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息时,可以包括:
基于所述对象分组中的各个对象对应的行为特征数据的第一异常程度信息,确定所述对象分组中的候选异常对象;
根据所述各个候选异常对象在所述目标时间段针对各个目标系统的系统访问资源信息,确定任一候选异常对象的第一异常系统访问信息。
例如,请再次参见表1,在对象2为候选异常对象的情况下,若对象1在目标时间段(2011-03-30)针对系统2的系统访问资源信息(1356)明显超出其他时间针对系统2的系统访问资源信息(733左右),则可以确定针对系统2的访问行为是导致对象1在目标时间段产生异常的标的。
需要说明的是,与确定第一异常程度信息类似,在根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息时,可以包括:
针对每个候选行为特征数据,基于所述候选行为特征数据中的每个目标系统对应的系统访问资源信息,确定所述候选行为特征数据中的每个目标系统的偏离程度信息;
确定所述分组行为特征子集中的每个目标系统的第一偏离平均值以及第一偏离标准差;
针对每个目标系统,基于所述偏离程度信息、所述第一偏离平均值以及所述第一偏离标准差,确定所述目标系统的偏离程度信息是否满足第一预设要求,并在所述目标系统的偏离程度信息满足第一预设要求的情况下,确定第一异常系统访问信息中包括所述目标系统。
例如,在确定第一异常系统访问信息时,针对任一目标系统f,任一行为特征数据d2的目标系统f的偏离程度信息为q,分组行为特征子集整体的目标系统f的标准差σ2(第一偏离标准差)和平均值p(第一偏离平均值),若存在q-p>n*σ2,n>1,则确定目标系统f符合第一预设要求,将其确定为第一异常系统访问信息。其中,由于对象对应的整体行为数据的偏离程度值的范围更大,因此两者n的最低值不同。
S603,针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集。
其中,该步骤与前述步骤S103类似,在此不再赘述。
S604,根据所述至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象以及所述目标异常对象的第二异常系统访问信息,并针对任一目标异常对象,根据所述目标异常对象的第一异常系统访问信息以及第二异常系统访问信息,生成针对所述目标异常对象的目标异常系统访问信息。
该步骤与前述步骤S104不同的是除了确定目标异常对象外,还能确定目标异常对象的第二异常系统访问信息,并基于第一异常系统访问信息以及第二异常系统访问信息,生成针对所述目标异常对象的目标异常系统访问信息。例如,若第一异常系统访问信息包括系统2以及系统5,第二异常系统访问信息包括系统2以及系统3,则目标异常系统访问信息包括系统3。也即,目标异常系统访问信息为第一异常系统访问信息与第二异常系统访问信息的交集。
本公开实施例中,不仅能确定出目标异常对象还能确定出目标异常对象的目标异常系统访问信息,进而可以明确存在风险的系统,有助于提升检测的针对性。
具体地,所述根据所述至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象以及所述目标异常对象的第二异常系统访问信息,包括:
针对任一候选异常对象,基于所述候选对象对应的各个历史行为特征数据的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象;
针对任一目标异常对象,根据所述目标异常对象在所述预设时间区间内针对各个目标系统的系统访问资源信息,确定所述目标异常对象的第二异常系统访问信息。
该过程与前述确定第一异常系统访问信息的过程类似,在此不再赘述。
本公开实施例中,由于预先将目标对象群体中的对象按照对象标签进行了分组,使得任一对象分组对应的分组行为特征子集具有相似性,进而可以提升检测出的偏离对象分组的候选异常对象的精度;进一步地,针对任一候选异常对象,还基于候选异常对象的历史行为特征集来确定该候选异常对象是否为目标异常对象,也即,通过群体检测以及个体检测的分层检测,可以进一步提升目标异常对象的确定精度,进而有助于提升该网络异常检测方法在目标对象群体环境下的适用性。也即,本公开实施例针对企业的业务结构、内部系统的多样性,以及企业用户的行为偶发性特点,通过构建所有企业用户访问企业所有系统的行为矩阵,结合业务线、技术工种进行相似业务行为的群体划分,并从偏离群体异常和偏离个体异常两个层级结构进行分层做异常检测,以提升异常行为的检测精度。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
基于同一技术构思,本公开实施例中还提供了与网络异常行为检测方法对应的网络异常行为检测装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述网络异常行为检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图7所示,为本公开实施例提供的一种网络异常行为检测装置500的示意图,所述装置包括:
第一数据确定模块701,用于基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;
第一异常检测模块702,针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;
第二数据确定模块703,针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;
第二异常检测模块704,用于根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
在一种可能的实施方式中,参见图8所示,所述装置还包括:
日志信息获取模块705,用于获取所述目标对象群体中的对象在所述预设时间区间内针对所述至少一个目标系统的访问行为日志;所述访问行为日志包括所述目标对象群体中的各个对象的对象标识、所述预设时间区间内的各个时间段的时间标识以及各个目标系统的系统标识。
特征数据生成模块706,用于基于所述对象标识、所述时间标识以及所述系统标识,生成所述目标对象群体的历史行为特征集;其中,所述历史行为特征集中包括多条历史行为特征数据,任一条历史行为特征数据用于表征对应对象在对应时间段内针对所述至少一个目标系统的访问行为。
在一种可能的实施方式中,所述特征数据生成模块706具体用于:
针对所述目标对象群体中的任一对象,基于预设规则确定所述对象在所述各个时间段分别对所述至少一个目标系统的系统访问资源信息;
基于所述各个对象的对象标识、所述预设时间区间内的各个时间段对应的时间标识、所述各个目标系统的系统标识、以及所述各个对象在对应的时间段分别针对所述各个目标系统的系统访问资源信息,生成所述目标对象群体的历史行为特征集。
在一种可能的实施方式中,所述对象分组的分组行为特征子集包括所述对象分组中的任一对象在所述目标时间段对应的行为特征数据;所述第一异常检测模块702具体用于:
针对所述对象分组中的任一对象,基于所述对象对应的行为特征数据,确定所述任一对象的第一异常程度信息;
基于所述对象分组中的各个对象的第一异常程度信息,确定所述对象分组中的候选异常对象。
在一种可能的实施方式中,任一所述行为特征数据包括所述对象在所述目标时间段针对所述各个目标系统的系统访问资源信息,所述第一异常检测模块702具体用于:
针对所述对象分组中的任一对象,基于预设的异常检测算法,确定所述对象对应的行为特征数据中的任一目标系统的右尾部概率,所述目标系统的右尾部概率是指所述目标系统的系统访问资源信息为最大值的概率;
基于所述对象对应的行为特征数据中的各个目标系统的右尾部概率,确定所述对象的第一异常程度信息。
在一种可能的实施方式中,所述第一异常检测模块702具体用于:
确定所述对象分组的各个对象的第一异常程度信息的第一异常平均值以及第一异常标准差;
针对所述对象分组中的任一对象,基于所述第一异常平均值以及所述第一异常标准差,确定所述对象的第一异常程度信息是否满足第一预设条件;
在所述对象的第一异常程度信息满足所述第一预设条件的情况下,确定所述对象为所述候选异常对象。
在一种可能的实施方式中,所述候选异常对象对应的对象行为特征子集包括所述候选异常对象在所述预设时间区间内的各个时间段对应的历史行为特征数据;所述第二异常检测模块704具体用于:
所述根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象,包括:
针对任一候选异常对象,基于所述候选对象对应的任一历史行为特征数据,确定所述历史行为数据的第二异常程度信息;
基于所述候选异常对象的各个历史行为特征数据分别对应的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象。
在一种可能的实施方式中,所述历史行为特征数据包括所述候选异常对象在所述预设时间区间内各个时间段对所述各个目标系统的系统访问资源信息;所述第二异常检测模块704具体用于:
针对任一历史行为数据,基于预设的异常检测算法,确定所述历史行为特征数据中任一目标系统的右尾部概率;所述目标系统的右尾部概率是指所述目标系统的系统访问资源信息为最大值的概率;
基于所述历史行为特征数据中各个目标系统的右尾部概率,确定所述历史行为数据的第二异常程度信息。
在一种可能的实施方式中,所述第二异常检测模块704具体用于:
确定所述候选异常对象的各个历史行为特征数据的第二异常程度信息的第二异常平均值以及第二异常标准差;
针对任一历史行为特征数据,基于所述第二异常平均值以及所述第二异常标准差,确定所述历史行为特征数据的第二异常程度信息是否满足所述第二预设条件;
在所述历史行为特征数据对应的第二异常程度信息符合第二预设条件的情况下,将所述历史行为特征数据确定为异常行为特征数据;
在所述候选异常对象对应的所述目标时间段的历史行为特征数据为所述异常行为特征数据的情况下,将所述候选异常对象确定为所述目标异常对象。
在一种可能的实施方式中,所述第一异常检测模块702具体用于:
根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息;
所述第二异常检测模块704具体用于:
根据所述至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象以及所述目标异常对象的第二异常系统访问信息;
针对任一目标异常对象,根据所述目标异常对象的第一异常系统访问信息以及第二异常系统访问信息,生成针对所述目标异常对象的目标异常系统访问信息。
在一种可能的实施方式中,所述对象分组的分组行为特征子集包括所述对象分组中的任一对象在所述时间段对应的行为特征数据,每条行为特征数据包括所述对象在所述目标时间段针对所述各个目标系统的系统访问资源信息;所述第一异常检测模块702具体用于:
基于所述对象分组中的各个对象对应的行为特征数据的第一异常程度信息,确定所述对象分组中的候选异常对象;
根据所述各个候选异常对象在所述目标时间段针对各个目标系统的系统访问资源信息,确定任一候选异常对象的第一异常系统访问信息。
在一种可能的实施方式中,所述候选异常对象对应的对象行为特征子集包括所述候选异常对象在所述预设时间区间内的各个时间段对应的历史行为特征数据,每条历史行为特征数据包括所述候选异常对象在所述预设时间区间内对应时间段针对所述各个目标系统的系统访问资源信息;所述第二异常检测模块704具体用于:
针对任一候选异常对象,基于所述候选对象对应的各个历史行为特征数据的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象;
针对任一目标异常对象,根据所述目标异常对象在所述预设时间区间内针对各个目标系统的系统访问资源信息,确定所述目标异常对象的第二异常系统访问信息。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
基于同一技术构思,本公开实施例还提供了一种电子设备。参照图9所示,为本公开实施例提供的电子设备900的结构示意图,包括处理器901、存储器902、和总线903。其中,存储器902用于存储执行指令,包括内存9021和外部存储器9022;这里的内存9021也称内存储器,用于暂时存放处理器901中的运算数据,以及与硬盘等外部存储器9022交换的数据,处理器901通过内存9021与外部存储器9022进行数据交换。
本申请实施例中,存储器902具体用于存储执行本申请方案的应用程序代码,并由处理器901来控制执行。也即,当电子设备900运行时,处理器901与存储器902之间通过总线903通信,使得处理器901执行存储器902中存储的应用程序代码,进而执行前述任一实施例中所述的方法。
其中,存储器902可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器901可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(DSP,Digital Signal Processing)、专用集成电路(ASIC,Application Specific Integrated Circuit)、现场可编程门阵列(FPGA,Field Programmable Gate Array)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
可以理解的是,本申请实施例示意的结构并不构成对电子设备900的具体限定。在本申请另一些实施例中,电子设备900可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中的网络异常行为检测方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本公开实施例还提供一种计算机程序产品,该计算机程序产品承载有程序代码,所述程序代码包括的指令可用于执行上述方法实施例中的网络异常行为检测方法的步骤,具体可参见上述方法实施例,在此不再赘述。
其中,上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本公开所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。

Claims (15)

1.一种网络异常行为检测方法,其特征在于,包括:
基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;
针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;
针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;
根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
2.根据权利要求1所述的方法,其特征在于,所述目标对象群体的历史行为特征集通过以下步骤得到:
获取所述目标对象群体中的对象在所述预设时间区间内针对所述至少一个目标系统的访问行为日志;所述访问行为日志包括所述目标对象群体中的各个对象的对象标识、所述预设时间区间内的各个时间段的时间标识以及各个目标系统的系统标识;
基于所述对象标识、所述时间标识以及所述系统标识,生成所述目标对象群体的历史行为特征集;其中,所述历史行为特征集中包括多条历史行为特征数据,任一条历史行为特征数据用于表征对应对象在对应时间段内针对所述至少一个目标系统的访问行为。
3.根据权利要求2所述的方法,其特征在于,所述基于所述对象标识、所述时间标识以及所述系统标识,生成所述目标对象群体的历史行为特征集,包括:
针对所述目标对象群体中的任一对象,基于预设规则确定所述对象在所述各个时间段分别对所述至少一个目标系统的系统访问资源信息;
基于所述各个对象的对象标识、所述预设时间区间内的各个时间段对应的时间标识、所述各个目标系统的系统标识、以及所述各个对象在对应的时间段分别针对所述各个目标系统的系统访问资源信息,生成所述目标对象群体的历史行为特征集。
4.根据权利要求1所述的方法,其特征在于,所述对象分组的分组行为特征子集包括所述对象分组中的任一对象在所述目标时间段对应的行为特征数据;所述根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象,包括:
针对所述对象分组中的任一对象,基于所述对象对应的行为特征数据,确定所述任一对象的第一异常程度信息;
基于所述对象分组中的各个对象的第一异常程度信息,确定所述对象分组中的候选异常对象。
5.根据权利要求4所述的方法,其特征在于,任一所述行为特征数据包括所述对象在所述目标时间段针对所述各个目标系统的系统访问资源信息,所述针对所述对象分组中的任一对象,基于所述对象对应的行为特征数据,确定所述任一对象的第一异常程度信息,包括:
针对所述对象分组中的任一对象,基于预设的异常检测算法,确定所述对象对应的行为特征数据中的任一目标系统的右尾部概率,所述目标系统的右尾部概率是指所述目标系统的系统访问资源信息为最大值的概率;
基于所述对象对应的行为特征数据中的各个目标系统的右尾部概率,确定所述对象的第一异常程度信息。
6.根据权利要求4所述的方法,其特征在于,所述基于所述对象分组中的各个对象的第一异常程度信息,确定所述对象分组中的候选异常对象,包括:
确定所述对象分组的各个对象的第一异常程度信息的第一异常平均值以及第一异常标准差;
针对所述对象分组中的任一对象,基于所述第一异常平均值以及所述第一异常标准差,确定所述对象的第一异常程度信息是否满足第一预设条件;
在所述对象的第一异常程度信息满足所述第一预设条件的情况下,确定所述对象为所述候选异常对象。
7.根据权利要求1所述的方法,其特征在于,所述候选异常对象对应的对象行为特征子集包括所述候选异常对象在所述预设时间区间内的各个时间段对应的历史行为特征数据;
所述根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象,包括:
针对任一候选异常对象,基于所述候选对象对应的任一历史行为特征数据,确定所述历史行为数据的第二异常程度信息;
基于所述候选异常对象的各个历史行为特征数据分别对应的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象。
8.根据权利要求7所述的方法,其特征在于,所述历史行为特征数据包括所述候选异常对象在所述预设时间区间内的对应时间段对所述各个目标系统的系统访问资源信息;所述基于所述候选对象对应的任一历史行为特征数据,确定所述历史行为数据的第二异常程度信息,包括:
针对任一历史行为数据,基于预设的异常检测算法,确定所述历史行为特征数据中任一目标系统的右尾部概率;所述目标系统的右尾部概率是指所述目标系统的系统访问资源信息为最大值的概率;
基于所述历史行为特征数据中各个目标系统的右尾部概率,确定所述历史行为数据的第二异常程度信息。
9.根据权利要求7所述的方法,其特征在于,所述基于所述候选异常对象的各个历史行为特征数据分别对应的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象,包括:
确定所述候选异常对象的各个历史行为特征数据的第二异常程度信息的第二异常平均值以及第二异常标准差;
针对任一历史行为特征数据,基于所述第二异常平均值以及所述第二异常标准差,确定所述历史行为特征数据的第二异常程度信息是否满足所述第二预设条件;
在所述历史行为特征数据对应的第二异常程度信息符合第二预设条件的情况下,将所述历史行为特征数据确定为异常行为特征数据;
在所述候选异常对象对应的所述目标时间段的历史行为特征数据为所述异常行为特征数据的情况下,将所述候选异常对象确定为所述目标异常对象。
10.根据权利要求1所述的方法,其特征在于,所述根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象,包括:
根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息;
所述根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象,包括:
根据所述至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象以及所述目标异常对象的第二异常系统访问信息;
针对任一目标异常对象,根据所述目标异常对象的第一异常系统访问信息以及第二异常系统访问信息,生成针对所述目标异常对象的目标异常系统访问信息。
11.根据权利要求10所述的方法,其特征在于,所述对象分组的分组行为特征子集包括所述对象分组中的任一对象在所述时间段对应的行为特征数据,每条行为特征数据包括所述对象在所述目标时间段针对所述各个目标系统的系统访问资源信息;
所述根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象以及所述候选异常对象的第一异常系统访问信息,包括:
基于所述对象分组中的各个对象对应的行为特征数据的第一异常程度信息,确定所述对象分组中的候选异常对象;
根据所述各个候选异常对象在所述目标时间段针对各个目标系统的系统访问资源信息,确定任一候选异常对象的第一异常系统访问信息。
12.根据权利要求10所述的方法,其特征在于,所述候选异常对象对应的对象行为特征子集包括所述候选异常对象在所述预设时间区间内的各个时间段对应的历史行为特征数据,每条历史行为特征数据包括所述候选异常对象在所述预设时间区间内对应时间段针对所述各个目标系统的系统访问资源信息;
所述根据所述至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象以及所述目标异常对象的第二异常系统访问信息,包括:
针对任一候选异常对象,基于所述候选对象对应的各个历史行为特征数据的第二异常程度信息,确定所述候选异常对象是否为所述目标异常对象;
针对任一目标异常对象,根据所述目标异常对象在所述预设时间区间内针对各个目标系统的系统访问资源信息,确定所述目标异常对象的第二异常系统访问信息。
13.一种网络异常行为检测装置,其特征在于,包括:
第一数据确定模块,用于基于待分析的目标时间段,从目标对象群体的历史行为特征集中,确定出所述目标对象群体的各个对象分组在所述目标时间段内的分组行为特征子集,其中,所述历史行为特征集用于表征所述目标对象群体中的对象在预设时间区间内对至少一个目标系统的历史访问行为,所述预设时间区间包括所述目标时间段,所述对象分组是根据所述目标对象群体中对象的对象标签确定的;
第一异常检测模块,针对任一对象分组,根据所述对象分组的分组行为特征子集,确定所述对象分组中的候选异常对象;
第二数据确定模块,针对任一候选异常对象,从所述历史行为特征集中确定出所述候选异常对象在所述预设时间区间内的对象行为特征子集;
第二异常检测模块,用于根据至少一个候选异常对象的对象行为特征子集,从所述至少一个候选异常对象中确定出目标异常对象。
14.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1-12任一所述的网络异常行为检测方法。
15.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1-12任一所述的网络异常行为检测方法。
CN202310736083.XA 2023-06-20 2023-06-20 网络异常行为检测方法、装置、电子设备及存储介质 Pending CN116633666A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310736083.XA CN116633666A (zh) 2023-06-20 2023-06-20 网络异常行为检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310736083.XA CN116633666A (zh) 2023-06-20 2023-06-20 网络异常行为检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116633666A true CN116633666A (zh) 2023-08-22

Family

ID=87641925

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310736083.XA Pending CN116633666A (zh) 2023-06-20 2023-06-20 网络异常行为检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116633666A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009961A (zh) * 2023-09-28 2023-11-07 北京安天网络安全技术有限公司 一种行为检测规则的确定方法及装置、设备及介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117009961A (zh) * 2023-09-28 2023-11-07 北京安天网络安全技术有限公司 一种行为检测规则的确定方法及装置、设备及介质
CN117009961B (zh) * 2023-09-28 2023-12-08 北京安天网络安全技术有限公司 一种行为检测规则的确定方法及装置、设备及介质

Similar Documents

Publication Publication Date Title
CN108446407B (zh) 基于区块链的数据库审计方法和装置
CN110177108B (zh) 一种异常行为检测方法、装置及验证系统
US9659042B2 (en) Data lineage tracking
US9641334B2 (en) Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
CN110737592B (zh) 一种链路异常识别方法、服务器及计算机可读存储介质
CN110825757B (zh) 一种设备行为风险分析方法及系统
CN110502924A (zh) 一种数据脱敏方法、数据脱敏装置及可读存储介质
Li et al. Protecting privacy against record linkage disclosure: A bounded swapping approach for numeric data
CN116305168B (zh) 一种多维度信息安全风险评估方法、系统及存储介质
WO2020190309A1 (en) Method and system for managing personal digital identifiers of a user in a plurality of data elements
US20130198168A1 (en) Data storage combining row-oriented and column-oriented tables
CN116633666A (zh) 网络异常行为检测方法、装置、电子设备及存储介质
CN112348371B (zh) 云资产的安全风险评估方法、装置、设备、及存储介质
CN116562826B (zh) 一种基于用户需求的客户erp系统管理方法、系统及介质
CN111756745A (zh) 告警方法、告警装置及终端设备
CN113850456A (zh) 一种基于联盟区块链的风险控制管理系统
CN111427871B (zh) 数据处理方法、装置、设备
CN114816964B (zh) 风险模型构建方法、风险检测方法、装置、计算机设备
CN108304731B (zh) 一种管理企业数据调用的方法、系统及信息处理平台
CN116094849A (zh) 应用访问鉴权方法、装置、计算机设备和存储介质
CN112422573B (zh) 攻击路径还原方法、装置、设备及存储介质
CN114971180A (zh) 网络系统风险评估方法、装置、计算机设备和存储介质
Lee et al. Detecting abnormalities in fraud detection system through the analysis of insider security threats
CN113609111A (zh) 一种大数据测试方法及系统
CN111797130A (zh) 基于消歧的企业实体唯一id创建方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination