CN116861419A - 一种ssr上主动防御日志告警方法 - Google Patents
一种ssr上主动防御日志告警方法 Download PDFInfo
- Publication number
- CN116861419A CN116861419A CN202311135020.5A CN202311135020A CN116861419A CN 116861419 A CN116861419 A CN 116861419A CN 202311135020 A CN202311135020 A CN 202311135020A CN 116861419 A CN116861419 A CN 116861419A
- Authority
- CN
- China
- Prior art keywords
- application
- behavior
- application program
- index
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000002955 isolation Methods 0.000 claims abstract description 46
- 230000002159 abnormal effect Effects 0.000 claims abstract description 42
- 230000005856 abnormality Effects 0.000 claims abstract description 41
- 230000007246 mechanism Effects 0.000 claims abstract description 26
- 238000012163 sequencing technique Methods 0.000 claims abstract description 8
- 239000013598 vector Substances 0.000 claims description 45
- 238000012544 monitoring process Methods 0.000 claims description 17
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 238000004364 calculation method Methods 0.000 claims description 13
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 5
- 108091092878 Microsatellite Proteins 0.000 abstract description 13
- 230000006399 behavior Effects 0.000 description 66
- 238000003860 storage Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 8
- 238000013515 script Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种SSR上主动防御日志告警方法,涉及网络安全防护技术领域,通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序,当有应用程序划入隔离区时,触发告警机制,通知系统管理员,定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况。本发明有效监测应用程序行为数据,并通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,将存在异常的应用程序划入隔离区,有效避免攻击者进入系统网络,保障数据的完整性和可行性。
Description
技术领域
本发明涉及网络安全防护技术领域,具体涉及一种SSR上主动防御日志告警方法。
背景技术
SSR代表服务器端请求伪造,是一种常见的网络安全漏洞,SSR漏洞通常利用服务器在处理外部请求时,未充分验证或控制用户输入,攻击者可以通过发送伪造的请求,控制服务器发起到内部网络或本地资源的请求,甚至可能是一些敏感操作,这可能导致数据泄露、绕过安全措施、攻击内部系统、获取敏感信息等风险,为了防止SSR攻击,许多组织和企业部署了网络防火墙、访问控制列表等安全措施进行应对。
现有技术存在以下不足:
然而,由于网络防火墙、访问控制列表对服务器端应用程序行为无监测分析处理,攻击者可以使用各种技术手段来绕过网络防火墙的检测和过滤规则,通过构造特定的请求参数或利用服务器端应用程序的漏洞,绕过访问控制列表,欺骗服务器发送请求到攻击者指定的目标,从而导致攻击者进入组织或企业系统,不仅会导致数据泄露风险增大,而且攻击者可以篡改数据、操纵业务流程等,使得数据的完整性和可信性受到破坏。
发明内容
本发明的目的是提供一种SSR上主动防御日志告警方法,以解决背景技术中不足。
为了实现上述目的,本发明提供如下技术方案:一种SSR上主动防御日志告警方法,所述告警方法包括以下步骤:
S1:在SSR上设置日志记录机制,收集服务器日志信息;
S2:使用日志分析工具对收集到的日志信息进行应用程序行为数据实时监测;
S3:通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常;
S4:对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序;
S5:当有应用程序划入隔离区时,触发告警机制,通知系统管理员;
S6:定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式。
优选的,所述行为异常判断机制建立包括以下步骤:
将应用程序数据点LOF指数、数据点聚类指数、行为向量相似度、时间序列指数综合计算获取异常系数,计算表达式为:
,
式中,为数据点聚类指数,/>为应用程序数据点LOF指数,/>为行为向量相似度,为时间序列指数,/>、/>、/>、/>分别为数据点聚类指数、应用程序数据点LOF指数、行为向量相似度、时间序列指数的比例系数,且/>、/>、/>、/>均大于0;
获取异常系数值后,将异常系数/>值与异常阈值进行对比。
优选的,步骤S3中,分析应用程序行为是否存在异常包括以下步骤:
S3.1:若应用程序的异常系数值<异常阈值,分析应用程序行为存在异常;
S3.2:若应用程序的异常系数值≥异常阈值,分析应用程序行为不存在异常。
优选的,步骤S4中,依据应用程序严重程度对隔离区内的应用程序进行排序包括以下步骤:将隔离区内的应用程序依据异常系数由小到大进行排序。
优选的,所述数据点聚类指数的获取逻辑为:
找到数据点p的邻域;
若数据点p的邻域中数据点数量大于等于密度阈值,将p标记为核心点;
连接每个核心点p的直接密度可达关系,将所有核心点p组成直接密度可达的集群;
将应用程序中不属于直接密度可达集群的数据点标记为异常数据点;
将应用程序中属于直接密度可达集群的数据点标记为正常数据点;
则数据点聚类指数的计算表达式为:
,
式中,为应用程序中正常数据点的数量,/>为应用程序中异常数据点的数量。
优选的,所述应用程序数据点LOF指数的计算逻辑为:
计算每个数据点的局部可达密度,表达式为:
,
其中,是/>的k-邻居,/>是/>到/>的距离;
计算每个数据点的应用程序数据点LOF指数,表达式为:
,
其中,为用于计算局部可达密度/>的最近邻数,/>为数据点的局部可达密度。
优选的,所述行为向量相似度的计算表达式为:
,
式中,为应用程序用户当前操作行为向量与历史操作行为向量的内积,/>分别为用户当前操作行为向量范数与历史操作行为向量范数,为用户当前操作行为向量范数与历史操作行为向量范数的乘积。
优选的,所述时间序列指数的计算公式为:
,
式中,为应用程序登录失败次数,/>为监测时间段内登录失败次数的平均值,/>为监测时间段内登录失败次数的标准差。
优选的,所述监测时间段内登录失败次数的标准差计算表达式为:
,
式中表示样本采集数量,/>为正整数,/>表示不同样本的应用程序登录失败次数,/>表示监测时间段内登录失败次数的平均值。
在上述技术方案中,本发明提供的技术效果和优点:
1.本发明通过使用日志分析工具对收集到的日志信息进行应用程序行为数据实时监测,并通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序,当有应用程序划入隔离区时,触发告警机制,通知系统管理员,定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式,该告警方法有效监测应用程序行为数据,并通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,将存在异常的应用程序划入隔离区,有效避免攻击者进入系统网络,保障数据的完整性和可行性;
2.本发明通过将应用程序数据点LOF指数、数据点聚类指数、行为向量相似度、时间序列指数综合计算获取异常系数,获取异常系数值后,将异常系数/>值与异常阈值进行对比,并依据异常系数/>值与异常阈值的对比结果来分析应用程序是否存在异常,不仅分析更为准确,而且还有效提高了数据的处理效率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明的方法流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1:请参阅图1所示,本实施例所述一种SSR上主动防御日志告警方法,所述告警方法包括以下步骤:
A、收集日志:首先,需要在SSR上设置合适的日志记录机制,以收集服务器的各种操作和事件的日志信息,具体为:
1)确定日志类型和级别:确定要记录的日志类型,如请求日志、错误日志、安全事件日志等;同时,设置适当的日志级别,如调试、信息、警告和错误;
2)选择日志格式:选择适合需求的日志格式,例如常见的格式有文本格式、JSON格式等;格式应该能够清晰地记录相关信息,以便后续分析;
3)配置日志路径和文件名:指定日志文件的存储路径和文件名,确保这些文件能够被安全地存储和访问;考虑对日志文件进行轮转,以避免文件过大;
4)定义日志字段:确定要记录的日志字段,如时间戳、请求来源IP、目标URL、用户代理、HTTP方法、响应状态码等;这些字段应该能够提供关键的上下文信息;
5)设置日志滚动策略:配置日志滚动策略,以确保日志文件的大小得到控制,避免占用过多存储空间;可以按时间或大小来触发日志滚动;
6)保护访问权限:限制对日志文件的访问权限,确保只有授权人员能够查看和修改日志文件;这有助于保护敏感信息;
7)记录关键事件:在服务器的关键操作和事件发生时,记录相关日志;这可能包括请求的处理、访问控制决策、安全事件等;
8)实施日志轮转:设置适当的日志轮转机制,以便定期将旧的日志文件存档或删除,保持日志文件的可管理性;
9)安全传输和存储:如果需要将日志传输到远程服务器或存储在云平台上,确保采用安全的传输协议和存储措施,以防止数据泄露;
10)备份和恢复策略:设计适当的备份和恢复策略,以确保在硬件故障或数据丢失时能够恢复日志数据。
B、监测日志:对收集到的日志信息进行实时监测,可以使用日志分析工具或自定义的脚本来实现,监测的目的是检测应用程序行为数据,具体为:
1)选择监测工具或脚本:根据需求选择合适的日志分析工具(如ELK堆栈、Splunk等)或编写自定义脚本来处理和监测日志数据;
2)数据收集:设置监测工具或脚本,确保它能够从日志文件、日志流或其他数据源中实时收集日志数据;
3)实时数据流:配置数据流设置,使得新的日志条目能够实时被捕获和处理;
4)数据解析和提取:在监测工具或脚本中,编写解析和提取数据的逻辑,将日志中的字段提取出来,以便后续的分析;
5)规则定义:制定规则,用于定义正常和异常的应用程序行为;这些规则可以基于已知的攻击模式、异常行为或特定用例;
6)实时检测:使用定义的规则来分析实时的日志数据,检测异常行为和事件;这可能涉及到模式匹配、关键词匹配等;
7)实时可视化:如果使用日志分析工具,设置实时可视化面板,以便监测实时日志数据的趋势和模式。
C、机制分析:通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常。
D、异常隔离:对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序。
E、触发告警:当有应用程序划入隔离区时,触发告警机制,通知相关的安全人员或系统管理员,告警可以通过邮件、短信、即时通讯工具等方式进行发送,以便及时采取相应的应对措施,具体为:
1)隔离触发动作:当检测到应用程序划入隔离区的条件时,触发隔离动作;这可能包括中断网络连接、限制访问权限等;
2)告警生成:同时生成告警,其中包括隔离事件的详细信息、时间戳、触发条件等;
3)告警通知设置:配置告警通知机制,确定如何通知相关的安全人员或系统管理员;可以通过邮件、短信、即时通讯工具等方式通知;
4)联系人列表维护:维护一个联系人列表,包括安全人员、系统管理员和其他相关人员的联系信息,以便在发生告警时能够准确通知;
5)告警通知优先级:根据告警的严重程度和紧急程度,设置不同的告警通知优先级,以确保安全人员能够及时响应重要的告警;
6)告警内容准备:在告警中提供足够的信息,以便接收者能够理解发生的事件、原因和可能的影响;包括上下文信息和建议的应对步骤;
7)通知渠道多样化:考虑使用多种通知渠道,以确保即使一个渠道不可用,仍然能够通过其他渠道传达告警信息。
F、响应和处理:一旦收到告警,安全人员或系统管理员需要及时响应并处理,响应和处理的方式可能包括阻止攻击者的访问、修复漏洞、恢复受影响的系统等,具体为:
1)阻止攻击者访问:如果攻击者的访问来源已知,阻止其访问受影响的系统或资源;这可以通过防火墙规则、网络封锁等方式实现;
2)应急修复:如果已知漏洞或弱点,立即采取必要的应急修复措施,以减轻攻击的影响;这可能包括应用补丁、关闭漏洞等;
3)恢复受影响系统:一旦问题得到解决,开始恢复受影响的系统或资源,确保它们恢复到正常运行状态;
4)安全审查:对受影响的系统进行安全审查,以确定漏洞和安全问题的根本原因;这有助于防止类似事件的再次发生;
5)与相关人员协调:在处理过程中与相关团队、部门或供应商进行沟通和协调,确保所有必要的人员参与和协助;
6)完整性和恢复:验证系统的完整性和恢复情况,确保所有受影响的部分都已经修复并恢复正常。
G、定期审查:定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式。
本申请通过使用日志分析工具对收集到的日志信息进行应用程序行为数据实时监测,并通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序,当有应用程序划入隔离区时,触发告警机制,通知系统管理员,定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式,该告警方法有效监测应用程序行为数据,并通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常,将存在异常的应用程序划入隔离区,有效避免攻击者进入系统网络,保障数据的完整性和可行性。
实施例2:通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常。
行为异常判断机制建立包括以下步骤:
将应用程序数据点LOF指数、数据点聚类指数、行为向量相似度、时间序列指数综合计算获取异常系数,计算表达式为:
,
式中,为数据点聚类指数,/>为应用程序数据点LOF指数,/>为行为向量相似度,为时间序列指数,/>、/>、/>、/>分别为数据点聚类指数、应用程序数据点LOF指数、行为向量相似度、时间序列指数的比例系数,且/>、/>、/>、/>均大于0。
获取异常系数值后,将异常系数/>值与异常阈值进行对比,若应用程序的异常系数/>值<异常阈值,分析应用程序行为存在异常,若应用程序的异常系数/>值≥异常阈值,分析应用程序行为不存在异常。
本申请通过将应用程序数据点LOF指数、数据点聚类指数、行为向量相似度、时间序列指数综合计算获取异常系数,获取异常系数值后,将异常系数/>值与异常阈值进行对比,并依据异常系数/>值与异常阈值的对比结果来分析应用程序是否存在异常,不仅分析更为准确,而且还有效提高了数据的处理效率。
对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度对隔离区内的应用程序进行排序。
当分析应用程序行为存在异常时,将存在异常的应用程序划入隔离区,具体为:
1)限制网络访问:隔离区的应用程序可能被限制只能与内部网络或特定IP地址通信,以减少潜在的威胁传播;
2)剥离权限:在隔离区内,降低应用程序的权限,确保其只能执行必要的操作,限制对敏感数据和资源的访问;
3)监测隔离区活动:在隔离区内设置监测机制,确保异常行为不会在隔离区内继续发生;这可能包括日志记录、事件监测等;
4)隔离通知:通知相关的安全人员或系统管理员,说明应用程序已被划入隔离区,并提供详细的信息和原因。
并依据应用程序严重程度对隔离区内的应用程序进行排序,具体为:
将隔离区内的应用程序依据异常系数由小到大进行排序,排序越靠前,表明应用程序的行为越异常。
定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式,具体为:
1)解除隔离:如果被隔离的应用程序已经修复并且不再表现异常,可以解除隔离,使其恢复正常运行;
2)继续隔离:如果异常问题尚未解决,或者风险较高,可以继续将应用程序保持在隔离区,以防止问题扩大;
3)修复和测试:如果问题已经确定,并且解决方案已经准备就绪,可以对应用程序进行修复,并在隔离环境中进行测试,确保问题已经解决;
4)进一步调查:对于复杂的或不明确的异常问题,可能需要进行更深入的调查,以确定根本原因,然后制定适当的处理措施;
5)废弃或替换:如果应用程序的异常问题无法解决,或者存在严重的安全隐患,可能需要考虑废弃或替换应用程序。
本申请中:
数据点聚类指数的获取逻辑为:
首先,对于给定的数据点p,找到其邻域,即与p的距离小于等于/>的所有数据点;
如果p的邻域中数据点数量大于等于密度阈值,则将p标记为核心点;
对于每个核心点p,通过连接它们的直接密度可达关系,将所有核心点p组成一个直接密度可达的集群;
将应用程序中不属于直接密度可达集群的数据点标记为异常数据点;
将应用程序中属于直接密度可达集群的数据点标记为正常数据点;
则数据点聚类指数的计算表达式为:
,
式中,为应用程序中正常数据点的数量,/>为应用程序中异常数据点的数量,具体的,数据点为应用程序IP地址,数据点聚类指数越大,表明应用程序的应用程序IP地址越不存在异常。
应用程序数据点LOF指数的计算逻辑为:
首先,计算每个数据点的局部可达密度,表达式为:
,
其中,是/>的k-邻居,/>是/>到/>的距离;
然后,计算每个数据点的应用程序数据点LOF指数,表达式为:
,
其中,为用于计算局部可达密度/>的最近邻数,/>为数据点的局部可达密度;
应用程序数据点LOF指数越大,表示数据点越异常,应用程序数据点LOF指数大于1表示/>与其邻居相比具有较低的密度,可能是异常点,计算每个数据点的应用程序数据点LOF指数,这里的数据点为应用程序请求路径。
行为向量相似度的计算表达式为:
,
式中,为应用程序用户当前操作行为向量与历史操作行为向量的内积,/>分别为用户当前操作行为向量范数与历史操作行为向量范数,行为向量相似度越大,表明用户的行为与历史操作行为越相似,则应用程序越不存在异常。行为向量相似度的计算公式为余弦相似度计算公式,具体的计算逻辑为:
1)计算向量和向量/>的点积(内积):将两个向量对应位置的元素相乘,然后将结果相加;
2)计算向量和向量/>的范数(模):将向量中每个元素的平方相加,然后取平方根,这表示向量的长度;
将步骤1)中的点积结果除以步骤2)中的两个向量的范数乘积即可得到行为向量相似度。
因此,为应用程序用户当前操作行为向量与历史操作行为向量的内积,/>为用户当前操作行为向量范数与历史操作行为向量范数的乘积;
其中:
用户当前操作行为向量范数与历史操作行为向量范数的计算表达式为:
,
式中,、/>、...、/>分别是用户当前操作行为向量/>中的元素值,/>、/>、...、分别是用户历史操作行为向量/>中的元素值。
时间序列指数的计算公式为:
,
式中,为应用程序登录失败次数,/>为监测时间段内登录失败次数的平均值,/>为监测时间段内登录失败次数的标准差;
监测时间段内登录失败次数的标准差计算表达式为:
,
式中表示样本采集数量,/>为正整数,/>表示不同样本的应用程序登录失败次数,/>表示监测时间段内登录失败次数的平均值,时间序列指数越大,表明应用程序在监测时间段内的登录失败次数越多,且越频繁,则应用程序的行为越异常。
上述公式均是去量纲取其数值计算,公式是由采集大量数据进行软件模拟得到最近真实情况的一个公式,公式中的预设参数由本领域的技术人员根据实际情况进行设置。
上述实施例,可以全部或部分地通过软件、硬件、固件或其他任意组合来实现。当使用软件实现时,上述实施例可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令或计算机程序。在计算机上加载或执行所述计算机指令或计算机程序时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以为通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集合的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质。半导体介质可以是固态硬盘。
应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况,其中A,B可以是单数或者复数。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系,但也可能表示的是一种“和/或”的关系,具体可参考前后文进行理解。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b,或c中的至少一项(个),可以表示:a,b,c,a-b,a-c,b-c,或a-b-c,其中a,b,c可以是单个,也可以是多个。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only-memory,ROM)、随机存取存储器(random-access-memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (7)
1.一种SSR上主动防御日志告警方法,其特征在于:所述告警方法包括以下步骤:
S1:在SSR上设置日志记录机制,收集服务器日志信息;
S2:使用日志分析工具对收集到的日志信息进行应用程序行为数据实时监测;
S3:通过行为异常判断机制综合分析应用程序行为数据后,分析应用程序行为是否存在异常;
所述行为异常判断机制建立包括以下步骤:
将应用程序数据点LOF指数、数据点聚类指数、行为向量相似度、时间序列指数综合计算获取异常系数,计算表达式为:
,
式中,为数据点聚类指数,/>为应用程序数据点LOF指数,/>为行为向量相似度,/>为时间序列指数,/>、/>、/>、/>分别为数据点聚类指数、应用程序数据点LOF指数、行为向量相似度、时间序列指数的比例系数,且/>、/>、/>、/>均大于0;
获取异常系数值后,将异常系数/>值与异常阈值进行对比;
S4:对于检测到的异常请求,将存在异常的应用程序划入隔离区,并依据应用程序严重程度,将隔离区内的应用程序依据异常系数由小到大进行排序;
S5:当有应用程序划入隔离区时,触发告警机制,通知系统管理员;
S6:定期对所有被划入隔离区应用程序进行分析,判断应用程序的运行状况,依据运行状况选择对应用程序的处理方式。
2.根据权利要求1所述的一种SSR上主动防御日志告警方法,其特征在于:步骤S3中,分析应用程序行为是否存在异常包括以下步骤:
S3.1:若应用程序的异常系数值<异常阈值,分析应用程序行为存在异常;
S3.2:若应用程序的异常系数值≥异常阈值,分析应用程序行为不存在异常。
3.根据权利要求2所述的一种SSR上主动防御日志告警方法,其特征在于:所述数据点聚类指数的获取逻辑为:
找到数据点p的邻域;
若数据点p的邻域中数据点数量大于等于密度阈值,将p标记为核心点;
连接每个核心点p的直接密度可达关系,将所有核心点p组成直接密度可达的集群;
将应用程序中不属于直接密度可达集群的数据点标记为异常数据点;
将应用程序中属于直接密度可达集群的数据点标记为正常数据点;
则数据点聚类指数的计算表达式为:
,
式中,为应用程序中正常数据点的数量,/>为应用程序中异常数据点的数量。
4.根据权利要求3所述的一种SSR上主动防御日志告警方法,其特征在于:所述应用程序数据点LOF指数的计算逻辑为:
计算每个数据点的局部可达密度,表达式为:
,
其中,是/>的k-邻居,/>是/>到/>的距离;
计算每个数据点的应用程序数据点LOF指数,表达式为:
,
其中,为用于计算局部可达密度/>的最近邻数,/>为数据点的局部可达密度。
5.根据权利要求4所述的一种SSR上主动防御日志告警方法,其特征在于:所述行为向量相似度的计算表达式为:
,
式中,为应用程序用户当前操作行为向量与历史操作行为向量的内积,分别为用户当前操作行为向量范数与历史操作行为向量范数,为用户当前操作行为向量范数与历史操作行为向量范数的乘积。
6.根据权利要求5所述的一种SSR上主动防御日志告警方法,其特征在于:所述时间序列指数的计算公式为:
,
式中,为应用程序登录失败次数,/>为监测时间段内登录失败次数的平均值,/>为监测时间段内登录失败次数的标准差。
7.根据权利要求6所述的一种SSR上主动防御日志告警方法,其特征在于:所述监测时间段内登录失败次数的标准差计算表达式为:
,
式中表示样本采集数量,/>为正整数,/>表示不同样本的应用程序登录失败次数,表示监测时间段内登录失败次数的平均值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311135020.5A CN116861419B (zh) | 2023-09-05 | 2023-09-05 | 一种ssr上主动防御日志告警方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311135020.5A CN116861419B (zh) | 2023-09-05 | 2023-09-05 | 一种ssr上主动防御日志告警方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116861419A true CN116861419A (zh) | 2023-10-10 |
CN116861419B CN116861419B (zh) | 2023-12-08 |
Family
ID=88225323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311135020.5A Active CN116861419B (zh) | 2023-09-05 | 2023-09-05 | 一种ssr上主动防御日志告警方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116861419B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117556414A (zh) * | 2024-01-11 | 2024-02-13 | 邯郸鉴晨网络科技有限公司 | 一种基于云计算的软件管理方法及系统 |
Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105740142A (zh) * | 2016-01-22 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | Ssr集中管理平台压力测试管理系统 |
CN106295356A (zh) * | 2016-08-24 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种基于ssr产品的主机安全级别统计方法 |
US9552356B1 (en) * | 2007-12-21 | 2017-01-24 | Amazon Technologies, Inc. | Merging client-side and server-side logs |
CN106897614A (zh) * | 2017-02-27 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种ssr上主动防御日志告警方法 |
CN107094100A (zh) * | 2017-05-19 | 2017-08-25 | 郑州云海信息技术有限公司 | 一种ssr上的客户端安全配置告警系统及方法 |
CN107704522A (zh) * | 2017-09-11 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种违规日志分级管理方法与系统 |
US20190026459A1 (en) * | 2017-07-18 | 2019-01-24 | Vmware, Inc. | Methods and systems to analyze event sources with extracted properties, detect anomalies, and generate recommendations to correct anomalies |
US20200285737A1 (en) * | 2019-03-05 | 2020-09-10 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
CN114037286A (zh) * | 2021-11-10 | 2022-02-11 | 国网天津市电力公司 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
CN114153888A (zh) * | 2020-09-08 | 2022-03-08 | 大连理工大学 | 一种时间序列数据的异常值检测方法和装置 |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
CN115658441A (zh) * | 2022-12-13 | 2023-01-31 | 济南丽阳神州智能科技有限公司 | 一种基于日志的家政业务系统异常监控方法、设备及介质 |
CN115758355A (zh) * | 2022-11-21 | 2023-03-07 | 中国科学院信息工程研究所 | 一种基于细粒度访问控制的勒索软件防御方法及系统 |
CN115834221A (zh) * | 2022-11-28 | 2023-03-21 | 国网山东省电力公司信息通信公司 | 一种网络安全智能分析方法、系统、设备和存储介质 |
CN115883170A (zh) * | 2022-11-25 | 2023-03-31 | 国家能源蓬莱发电有限公司 | 网络流量数据监测分析方法、装置及电子设备及存储介质 |
CN116074843A (zh) * | 2023-02-16 | 2023-05-05 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信审计方法 |
CN116225834A (zh) * | 2022-12-26 | 2023-06-06 | 海尔优家智能科技(北京)有限公司 | 告警信息的发送方法、装置、存储介质及电子装置 |
CN116405255A (zh) * | 2023-03-13 | 2023-07-07 | 云南电力试验研究院(集团)有限公司 | 一种网络保护及防御的系统 |
CN116488939A (zh) * | 2023-06-16 | 2023-07-25 | 江西科技学院 | 计算机信息安全监测方法、系统及存储介质 |
-
2023
- 2023-09-05 CN CN202311135020.5A patent/CN116861419B/zh active Active
Patent Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9552356B1 (en) * | 2007-12-21 | 2017-01-24 | Amazon Technologies, Inc. | Merging client-side and server-side logs |
CN105740142A (zh) * | 2016-01-22 | 2016-07-06 | 浪潮电子信息产业股份有限公司 | Ssr集中管理平台压力测试管理系统 |
CN106295356A (zh) * | 2016-08-24 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种基于ssr产品的主机安全级别统计方法 |
CN106897614A (zh) * | 2017-02-27 | 2017-06-27 | 郑州云海信息技术有限公司 | 一种ssr上主动防御日志告警方法 |
CN107094100A (zh) * | 2017-05-19 | 2017-08-25 | 郑州云海信息技术有限公司 | 一种ssr上的客户端安全配置告警系统及方法 |
US20190026459A1 (en) * | 2017-07-18 | 2019-01-24 | Vmware, Inc. | Methods and systems to analyze event sources with extracted properties, detect anomalies, and generate recommendations to correct anomalies |
CN107704522A (zh) * | 2017-09-11 | 2018-02-16 | 郑州云海信息技术有限公司 | 一种违规日志分级管理方法与系统 |
US20200285737A1 (en) * | 2019-03-05 | 2020-09-10 | Microsoft Technology Licensing, Llc | Dynamic cybersecurity detection of sequence anomalies |
CN114153888A (zh) * | 2020-09-08 | 2022-03-08 | 大连理工大学 | 一种时间序列数据的异常值检测方法和装置 |
CN114006723A (zh) * | 2021-09-14 | 2022-02-01 | 上海纽盾科技股份有限公司 | 基于威胁情报的网络安全预测方法、装置及系统 |
CN114037286A (zh) * | 2021-11-10 | 2022-02-11 | 国网天津市电力公司 | 一种基于大数据电力调度自动化敏感数据检测方法及系统 |
CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
CN115758355A (zh) * | 2022-11-21 | 2023-03-07 | 中国科学院信息工程研究所 | 一种基于细粒度访问控制的勒索软件防御方法及系统 |
CN115883170A (zh) * | 2022-11-25 | 2023-03-31 | 国家能源蓬莱发电有限公司 | 网络流量数据监测分析方法、装置及电子设备及存储介质 |
CN115834221A (zh) * | 2022-11-28 | 2023-03-21 | 国网山东省电力公司信息通信公司 | 一种网络安全智能分析方法、系统、设备和存储介质 |
CN115658441A (zh) * | 2022-12-13 | 2023-01-31 | 济南丽阳神州智能科技有限公司 | 一种基于日志的家政业务系统异常监控方法、设备及介质 |
CN116225834A (zh) * | 2022-12-26 | 2023-06-06 | 海尔优家智能科技(北京)有限公司 | 告警信息的发送方法、装置、存储介质及电子装置 |
CN116074843A (zh) * | 2023-02-16 | 2023-05-05 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信审计方法 |
CN116405255A (zh) * | 2023-03-13 | 2023-07-07 | 云南电力试验研究院(集团)有限公司 | 一种网络保护及防御的系统 |
CN116488939A (zh) * | 2023-06-16 | 2023-07-25 | 江西科技学院 | 计算机信息安全监测方法、系统及存储介质 |
Non-Patent Citations (4)
Title |
---|
BAHRUZ JABIYEV等: "Preventing sever-side request forgery attacks", 《PROCEEDINGS OF THE 36TH ANNUAL ACM SYMPOSIUM ON APPLIED COMPUTING》, pages 1626 - 1635 * |
KHADEJAH AL-TALAK等: "Detecting Server-Side Request Forgery(SSRF) Attack by using Deep Learning Techniques", 《INTERNATIONAL JOURNAL OF ADVANCED COMPUTER SCIENCE AND APPLICATIONS》, vol. 12, no. 12, pages 228 - 215 * |
宋佳明: "基于人工智能的网络异常行为分析", 《中国优秀硕士学位论文全文数据库 信息科技辑》, vol. 2019, no. 8, pages 139 - 88 * |
秦丹一: "基于机器学习的误告警检测与告警关联分析研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》, vol. 2022, no. 11, pages 139 - 48 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117556414A (zh) * | 2024-01-11 | 2024-02-13 | 邯郸鉴晨网络科技有限公司 | 一种基于云计算的软件管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116861419B (zh) | 2023-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3343868B1 (en) | Resource-centric network cyber attack detection and alerting | |
Yang et al. | Anomaly-based intrusion detection for SCADA systems | |
EP2040435B1 (en) | Intrusion detection method and system | |
Ambre et al. | Insider threat detection using log analysis and event correlation | |
Sabahi et al. | Intrusion detection: A survey | |
US20180367553A1 (en) | Cyber warning receiver | |
US9369484B1 (en) | Dynamic security hardening of security critical functions | |
CN116861419B (zh) | 一种ssr上主动防御日志告警方法 | |
Beigh et al. | Intrusion Detection and Prevention System: Classification and Quick | |
EP2936772B1 (en) | Network security management | |
CN112153047A (zh) | 一种基于区块链的网络安全运维及防御方法及系统 | |
WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
KR101281456B1 (ko) | 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 | |
CN107809321B (zh) | 一种安全风险评估和告警生成的实现方法 | |
CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
CN116094817A (zh) | 一种网络安全检测系统和方法 | |
Cinque et al. | Entropy-based security analytics: Measurements from a critical information system | |
CN110618977A (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
US11836247B2 (en) | Detecting malicious behavior in a network using security analytics by analyzing process interaction ratios | |
CN117375985A (zh) | 安全风险指数的确定方法及装置、存储介质、电子装置 | |
JP2005202664A (ja) | 不正アクセス統合対応システム | |
El-Taj et al. | Intrusion detection and prevention response based on signature-based and anomaly-based: Investigation study | |
Muliński | ICT security in revenue administration-incidents, security incidents-detection, response, resolve | |
Yılmaz et al. | ICS Cyber attack analysis and a new diagnosis approach | |
Dashdamirova | Development of decision support system using OLAP-technologies for information security monitoring systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |