CN117376030A - 流量异常检测方法、装置、计算机设备及可读存储介质 - Google Patents
流量异常检测方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN117376030A CN117376030A CN202311658705.8A CN202311658705A CN117376030A CN 117376030 A CN117376030 A CN 117376030A CN 202311658705 A CN202311658705 A CN 202311658705A CN 117376030 A CN117376030 A CN 117376030A
- Authority
- CN
- China
- Prior art keywords
- data
- anomaly detection
- service
- flow
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 50
- 230000002159 abnormal effect Effects 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 17
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 16
- 238000013524 data verification Methods 0.000 claims abstract description 8
- 238000000354 decomposition reaction Methods 0.000 claims abstract description 8
- 230000007246 mechanism Effects 0.000 claims abstract description 6
- 238000004590 computer program Methods 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 6
- 230000001932 seasonal effect Effects 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 230000000737 periodic effect Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 235000019580 granularity Nutrition 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/04—Real-time or near real-time messaging, e.g. instant messaging [IM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
- H04L2209/463—Electronic voting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种流量异常检测方法、装置、计算机设备及可读存储介质,方法包括:获取业务流量数据并接入流数据处理平台;解析流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;对观察业务数据进行异常检测得到异常数据点;对异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。该方法通过考察监控单个业务接口的方式检测风险,异常检测是在传统的STL分解算法的基础上引入多模型,对每个模型的输出进行融合,通过多数投票或加权投票机制生成最终的异常检测结果,减少了误报率和漏报率,还可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值,设置更加灵活。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种流量异常检测方法、装置、计算机设备及可读存储介质。
背景技术
随着互联网行业的公司规模的不断扩大,企业的公网和内网的业务快速迭代,网络流量呈现爆发式增长,管理的难度成倍增加。某些团队利用管理上的弱势,通过自行编写计算机程序对企业的业务发起恶意攻击,不仅给公司的服务器造成的巨大的压力也伤害了正常用户的正常使用。因此越来越多的公司开始投入大量的资源维护网络安全。Web应用防火墙(Web Application Firewall简称WAF),是一种对APP或网站的恶意流量、威胁进行识别并监控、拦截的网络应用。针对海量的流量攻击请求,WAF一般具备Web防护攻击、CC攻击防护、访问控制等功能,并能够通过开源组件对不同粒度的流量可视化。而对于流量的波动,如何检测周期性流量波动中的异常流量,传统地通过同比、环比或极值法等指标难以检测时序流量中的异常波动,因此,我们需要一种检测流量周期性波动的方法以辨别正常还是异常的流量波动。
发明内容
本发明的目的在于提供一种流量异常检测方法、装置、计算机设备及计算机可读存储介质,旨在解决现有的业务流量周期性波动中异常流量检测问题,检测易损接口中潜在的波动,以提前发现隐匿在流量波动中的攻击行为。
第一方面,本发明提供了一种流量异常检测方法,包括:
S101、获取业务流量数据并接入流数据处理平台;
S102、解析流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;
S103、对观察业务数据进行异常检测得到异常数据点;
S104、对异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。
第二方面,本发明提供了一种流量异常检测装置,包括:
数据获取模块,用于获取业务流量数据并接入流数据处理平台;
解析模块,用于解析流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;
异常检测模块,用于对观察业务数据进行异常检测得到异常数据点;
异常校验模块,用于对异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。
第三方面,本发明提供了一种计算机设备,包括:
一个或多个处理器;
存储器;以及一个或多个计算机程序,所述处理器和所述存储器通过总线连接,其中所述一个或多个计算机程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述处理器执行所述计算机程序时实现如上所述流量异常检测方法的步骤。
第四方面,本发明提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的流量异常检测方法的步骤。
在本发明中提供了一种流量异常检测方法,通过考察监控单个业务接口的方式检测风险,对时序特征数据观察业务数据的异常检测是在传统的STL分解算法的基础上,通过对N个特征分别构建M个时间窗口模型,引入M*N多个模型,结合多个维度建立多个模型,对每个模型的输出进行融合,对单模型的特征和/或多模型的输出结果通过多数投票或加权投票机制生成最终的异常检测结果,相比之下可以减少误报率和漏报率。另外,可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值,设置更加灵活。
附图说明
图1是本发明实施例一提供的流量异常检测方法的流程图;
图2是本发明实施例二提供的流量异常检测装置的功能模块框图;
图3是本发明实施例三提供的计算机设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
在Web安全防护能力的过程中,一般传统的流量检测手段下会通过本周期和上一周期的流量对比计算同比、环比监测指标,如果指标超出预先设定的专家阈值即可视为异常。而在实际的业务场景中,一个业务周期的流量并不是有规律地上下波动,而是在某一个时点或某一个时期超出或低于正常的业务观测值,比如易遭遇异常流量风险的接口,如短信、询价接口,其流量大小具有周期性特点,比如白天和晚上分别对应业务的高峰期和低峰期,工作日和非工作日的流量就有很大的差距,呈现出没有规律性的特征,通过基线拟合比较难发现流量异常而且容易发生误报,如果简单通过对比观测前后观察周期的流量波动范围就很容易造成误报。另外现有通过大盘监控的手段有效但是存在滞后性。个体流量的波动从整体上看来难以察觉,所以本发明通过考察监控单个业务接口的方式检测风险,同时也方便精细化运营。
实施例一
如图1所示,本发明实施例一提供了一种流量异常检测方法100,包括以下步骤:
S101、获取业务流量数据并接入流数据处理平台,具体地,收集客户端、内部信息平台等需要实施监控的业务方所产生的业务流量数据,WAF网关对该原始业务流量数据做多维度检测与防护后,例如针对IP地址、用户凭证、设备标识等进行检验和防护,之后接入流数处理平台,例如Kafka。
S102、解析流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据,例如使用Flink解析实时的Kafka日志,实际应用中可以根据业务需要列出被监控的接口,从接口中解析出带有时间戳的业务流量数据,构建M(M为大于等于3的正整数)个监控时间窗口,例如M=3时,可以取5分钟、10分钟、15分钟间隔的时间窗口,分别对各个被监控接口计算N(N为大于等于3的正整数)个特征得到N*M个模型的观察业务数据,其中当N=3时,3个特征是请求频次、响应时间、响应数据包特征,共可得到N*M=9个模型的9组观察业务数据,并将观察业务数据存储至MySQL数据库。实际应用中可以根据实际业务需求对不同的接口调整监控时间窗口的长短,设置更加灵活,异常流量具有隐蔽性良好的特征,通过细分业务场景,对容易发生资产损失的业务场景重点监控,小范围的精细化监控能更有效地检测到异常流量。
S103、对观察业务数据进行异常检测得到异常数据点,具体包括:
S1031、采用时间序列分解算法将观察业务数据分解为趋势分量、季节性分量和残差分量;
S1032、通过GESD异常检测算法检测趋势分量、季节性分量和残差分量,得到异常数据点。
例如对步骤S102中以5分钟、10分钟、15分钟间隔的时间窗口,分别对各个业务接口计算请求频次、响应时间、响应数据包特征得到的9组观察业务数据,采用时间序列分解算法,分别将9组观察业务数据分解为趋势分量、季节性分量和残差分量,基于时序分解的结果能有效地平滑周期性流量波动对异常检测的影响,通过GESD(Generalized ExtremeStudentized Deviate)异常检测算法检测各分量下得到异常数据点,例如上述9组观察业务数据经异常检测后可得到9组异常数据点的检测结果。
S104、对异常数据点进行异常数据校验,存储通过校验的数据并且推送到即时消息沟通软件,其中异常数据校验具体包括:
S1041、以经验阈值或n-sigma准则对M*N模型中的单个模型做异常数据校验,其中可以根据实际业务特点由运营人员介入来设置不同的经验阈值或n-sigma准则;
S1042、对M*N个模型采用多数投票或者加权投票机制进行投票,或者是对M*N个模型按照特征分为N个组,先进行组内投票再整体投票,得票率超过阈值则通过校验。
例如针对步骤S103中得到的9个模型的异常数据点直接进行投票;或者先针对特征分组分为3个组,先进行组内投票,再针对异常数据点整体投票。其中上述经验阈值取值根据专家知识和业务要求来确定,一般来说以“少数服从多数”的原则,得票率超过 50% 即通过,如果对于准确率要求较高,可适当提高得票率阈值。之后将通过校验的数据推送到即时消息沟通软件(例如飞书等软件),安全运营人员接收到推送后介入告警事件快速响应并检查生产环境是否有攻击源并决定是否对攻击源执行对应操作,在WAF管理平台编写策略规则对其限制,另外按照业务需要对检出的异常数据点按照一定的类别分类存入数据库中作为情报数据供后续分析使用。
本发明实施例一提供的一种流量异常检测方法,通过考察监控单个业务接口的方式检测风险,对观察业务数据的异常检测是在传统的STL分解算法的基础上,通过对N个特征分别构建M个时间窗口模型,引入M*N多个模型,对每个模型的输出进行融合,对单模型的特征和/或多模型的输出结果通过多数投票或加权投票机制生成最终的异常检测结果,相比之下可以减少误报率和漏报率。另外,可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值,设置更加灵活。
实施例二
本发明实施例二提供了一种流量异常检测装置200,包括:
数据获取模块201,用于获取业务流量数据并接入流数据处理平台;
解析模块202,用于解析流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;
异常检测模块203,用于对观察业务数据进行异常检测得到异常数据点;
异常校验模块204,用于对异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。
本发明实施例二提供的流量异常检测装置与本发明实施例一提供的流量异常检测方法属于同一构思,其具体实现过程详见说明书全文,此处不再赘述。
实施例三
如图3所示,本发明实施例三提供了一种计算机设备300,包括:
一个或多个处理器301;
存储器302;以及一个或多个计算机程序,所述处理器和所述存储器通过总线连接,其中所述一个或多个计算机程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,所述处理器执行所述计算机程序时实现如实施例一提供的流量异常检测方法的步骤。
实施例四
本发明实施例四提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如实施例一提供的流量异常检测方法的步骤。
在本发明中提供了一种流量异常检测方法,通过考察监控单个业务接口的方式检测风险,对观察业务数据的异常检测是在传统的STL分解算法的基础上,通过对N个特征分别构建M个时间窗口模型,引入M*N多个模型,对每个模型的输出进行融合,对单模型的特征和/或多模型的输出结果通过多数投票或加权投票机制生成最终的异常检测结果,相比之下可以减少误报率和漏报率。另外,可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值,设置更加灵活。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种流量异常检测方法,其特征在于,所述方法包括:
S101、获取业务流量数据并接入流数据处理平台;
S102、解析所述流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;
S103、对所述观察业务数据进行异常检测得到异常数据点;
S104、对所述异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。
2.如权利要求1所述的方法,其特征在于,获取业务流量数据后由WAF网关做多维度检测与防护后接入流数据处理平台。
3.如权利要求1所述的方法,其特征在于,所述被监控接口是根据业务需要指定的。
4.如权利要求1所述的方法,其特征在于,所述从被监控接口中解析得到观察业务数据,包括:
从所述被监控接口中解析出带有时间戳的业务流量数据;
构建M个监控时间窗口,分别对被监控接口计算N个特征得到M*N个模型的观察业务数据,其中,M、N为大于等于3的正整数。
5.如权利要求4所述的方法,其特征在于,所述M个监控时间窗口的时长分别是5分钟、10分钟、和15分钟,所述N个特征是请求频次、响应时间、和响应数据包特征。
6.如权利要求1所述的方法,其特征在于,对所述观察业务数据进行异常检测得到异常数据点,包括:
采用时间序列分解算法将所述观察业务数据分解为趋势分量、季节性分量和残差分量;
通过GESD异常检测算法检测所述趋势分量、季节性分量和残差分量,得到异常数据点。
7.如权利要求4所述的方法,其特征在于,对所述异常数据点进行异常数据校验包括:
以经验阈值或n-sigma准则对M*N模型中的单个模型做异常数据校验;
对M*N个模型采用多数投票或者加权投票机制进行投票,或者是先对M*N个模型按照特征分为N个组,先进行组内投票再整体投票,得票率超过阈值则通过校验。
8.一种流量异常检测装置,其特征在于,所述装置包括:
数据获取模块,用于获取业务流量数据并接入流数据处理平台;
解析模块,用于解析所述流数据处理平台的实时日志,从被监控接口中解析得到观察业务数据;
异常检测模块,用于对所述观察业务数据进行异常检测得到异常数据点;
异常校验模块,用于对所述异常数据点进行异常数据校验,存储通过校验的数据并推送到即时消息沟通软件。
9.一种计算机设备,包括:
一个或多个处理器;
存储器;以及一个或多个计算机程序,所述处理器和所述存储器通过总线连接,其中所述一个或多个计算机程序被存储在所述存储器中,并且被配置成由所述一个或多个处理器执行,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的流量异常检测方法的步骤。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的流量异常检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311658705.8A CN117376030B (zh) | 2023-12-06 | 2023-12-06 | 流量异常检测方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311658705.8A CN117376030B (zh) | 2023-12-06 | 2023-12-06 | 流量异常检测方法、装置、计算机设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117376030A true CN117376030A (zh) | 2024-01-09 |
CN117376030B CN117376030B (zh) | 2024-03-26 |
Family
ID=89400609
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311658705.8A Active CN117376030B (zh) | 2023-12-06 | 2023-12-06 | 流量异常检测方法、装置、计算机设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117376030B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110850839A (zh) * | 2018-08-21 | 2020-02-28 | 上海交通大学 | 面向能源网的实时监测控制系统 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
CN111324639A (zh) * | 2020-02-11 | 2020-06-23 | 京东数字科技控股有限公司 | 数据监测方法、装置及计算机可读存储介质 |
CN111767192A (zh) * | 2020-06-30 | 2020-10-13 | 平安国际智慧城市科技股份有限公司 | 基于人工智能的业务数据检测方法、装置、设备和介质 |
WO2022047658A1 (zh) * | 2020-09-02 | 2022-03-10 | 大连大学 | 日志异常检测系统 |
CN115190108A (zh) * | 2022-07-12 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种检测被监控设备的方法、装置、介质及电子设备 |
CN115776449A (zh) * | 2022-11-08 | 2023-03-10 | 中车工业研究院有限公司 | 列车以太网通信状态监测方法及系统 |
CN116028315A (zh) * | 2022-12-26 | 2023-04-28 | 中国电信股份有限公司 | 作业运行预警方法、装置、介质及电子设备 |
CN116108394A (zh) * | 2022-11-30 | 2023-05-12 | 杭州安恒信息技术股份有限公司 | 一种工控系统流量异常检测方法、装置及介质 |
CN116633685A (zh) * | 2023-07-19 | 2023-08-22 | 国家计算机网络与信息安全管理中心江西分中心 | 基于IPv6发展态势监测的分析方法 |
-
2023
- 2023-12-06 CN CN202311658705.8A patent/CN117376030B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110850839A (zh) * | 2018-08-21 | 2020-02-28 | 上海交通大学 | 面向能源网的实时监测控制系统 |
CN111092852A (zh) * | 2019-10-16 | 2020-05-01 | 平安科技(深圳)有限公司 | 基于大数据的网络安全监控方法、装置、设备及存储介质 |
CN111324639A (zh) * | 2020-02-11 | 2020-06-23 | 京东数字科技控股有限公司 | 数据监测方法、装置及计算机可读存储介质 |
CN111767192A (zh) * | 2020-06-30 | 2020-10-13 | 平安国际智慧城市科技股份有限公司 | 基于人工智能的业务数据检测方法、装置、设备和介质 |
WO2022047658A1 (zh) * | 2020-09-02 | 2022-03-10 | 大连大学 | 日志异常检测系统 |
CN115190108A (zh) * | 2022-07-12 | 2022-10-14 | 北京天融信网络安全技术有限公司 | 一种检测被监控设备的方法、装置、介质及电子设备 |
CN115776449A (zh) * | 2022-11-08 | 2023-03-10 | 中车工业研究院有限公司 | 列车以太网通信状态监测方法及系统 |
CN116108394A (zh) * | 2022-11-30 | 2023-05-12 | 杭州安恒信息技术股份有限公司 | 一种工控系统流量异常检测方法、装置及介质 |
CN116028315A (zh) * | 2022-12-26 | 2023-04-28 | 中国电信股份有限公司 | 作业运行预警方法、装置、介质及电子设备 |
CN116633685A (zh) * | 2023-07-19 | 2023-08-22 | 国家计算机网络与信息安全管理中心江西分中心 | 基于IPv6发展态势监测的分析方法 |
Non-Patent Citations (1)
Title |
---|
陆佳丽: "基于改进时间序列模型的日志异常检测方法", 信息网络安全, no. 09, pages 1 - 4 * |
Also Published As
Publication number | Publication date |
---|---|
CN117376030B (zh) | 2024-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111404909B (zh) | 一种基于日志分析的安全检测系统及方法 | |
CN111092852B (zh) | 基于大数据的网络安全监控方法、装置、设备及存储介质 | |
CN107239707B (zh) | 一种用于信息系统的威胁数据处理方法 | |
CN111245793A (zh) | 网络数据的异常分析方法及装置 | |
US10296739B2 (en) | Event correlation based on confidence factor | |
US8707431B2 (en) | Insider threat detection | |
KR102225460B1 (ko) | 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치 | |
CN112134877A (zh) | 网络威胁检测方法、装置、设备及存储介质 | |
CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
CN114915479B (zh) | 一种基于Web日志的Web攻击阶段分析方法及系统 | |
KR20190010956A (ko) | 지능형 보안로그 분석방법 | |
WO2019084072A1 (en) | GRAPHIC MODEL FOR ALERT INTERPRETATION IN AN ENTERPRISE SECURITY SYSTEM | |
WO2019035120A1 (en) | SYSTEM AND METHOD FOR DETECTING CYBER-THREATS | |
EP2747365A1 (en) | Network security management | |
CN112560029A (zh) | 基于智能分析技术的网站内容监测和自动化响应防护方法 | |
CN111274276A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
CN110618977B (zh) | 登录异常检测方法、装置、存储介质和计算机设备 | |
CN112668005A (zh) | webshell文件的检测方法及装置 | |
RU148692U1 (ru) | Система мониторинга событий компьютерной безопасности | |
CN116112194A (zh) | 用户行为分析方法、装置、电子设备及计算机存储介质 | |
RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
CN117376030B (zh) | 流量异常检测方法、装置、计算机设备及可读存储介质 | |
CN116991675A (zh) | 一种异常访问监控方法、装置、计算机设备及存储介质 | |
Ficco et al. | A weight-based symptom correlation approach to SQL injection attacks | |
CN115085956B (zh) | 入侵检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |