CN117972543A - 一种异常行为识别方法、装置、设备及可读存储介质 - Google Patents

一种异常行为识别方法、装置、设备及可读存储介质 Download PDF

Info

Publication number
CN117972543A
CN117972543A CN202410143316.XA CN202410143316A CN117972543A CN 117972543 A CN117972543 A CN 117972543A CN 202410143316 A CN202410143316 A CN 202410143316A CN 117972543 A CN117972543 A CN 117972543A
Authority
CN
China
Prior art keywords
behavior
abnormal
behavior information
information
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410143316.XA
Other languages
English (en)
Inventor
马少林
孙富玲
黄志磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Agricultural Bank of China
Original Assignee
Agricultural Bank of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Agricultural Bank of China filed Critical Agricultural Bank of China
Priority to CN202410143316.XA priority Critical patent/CN117972543A/zh
Publication of CN117972543A publication Critical patent/CN117972543A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2411Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on the proximity to a decision surface, e.g. support vector machines
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/088Non-supervised learning, e.g. competitive learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Artificial Intelligence (AREA)
  • General Engineering & Computer Science (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Molecular Biology (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

本申请公开了一种异常行为识别方法、装置、设备及可读存储介质,应用于信息安全技术领域。该方法通过将采集到的正常行为信息输入至单类支持向量机模型中,并根据无监督学习算法训练该模型以得到异常行为识别模型,可以在将待识别行为信息输入至异常行为识别模型时,准确得到该待识别行为信息是否为异常行为,从而在出现系统异常时能够及时、有效地防范来自内部运维人员的异常操作,进而提升系统的安全性。

Description

一种异常行为识别方法、装置、设备及可读存储介质
技术领域
本申请涉及信息安全技术领域,特别是涉及一种异常行为识别方法、装置、设备及可读存储介质。
背景技术
随着企业业务规模的迅速增长,为实现批量作业的高效调度和维护,各大企业都组建了linux集群维护平台,并配备了专业的运维人员,这同时也对平台的安全性提出了要求。目前的平台安全问题主要来源于平台外部和内部的攻击。其中,平台外部的攻击可以通过安装病毒扫描软件、防火墙、用户权限控制等技术来抵御,但是由内部用户发起的内部攻击很难抵御。例如,如果运维人员使用平台的正常操作权限,执行文件删除、移动、远程拷贝等操作,则会给平台造成严重的安全威胁。因此,对运维人员的异常行为进行检测是非常有必要的。
相关技术中,通常通过采集运维人员的正常行为数据和异常行为数据,并将正常行为数据和异常行为数据均输入至神经网络模型中,基于监督学习算法训练出行为识别模型,从而通过识别模型来监测运维人员的行为数据以识别异常。
然而,由于现实场景中的内部用户攻击平台是小概率事件,因此异常行为数据的数据量通常较少,导致行为识别模型的训练并不充分,识别异常行为的准确率较低。
发明内容
本申请提供了一种异常行为识别方法、装置、设备及可读存储介质,能够提高异常行为识别的准确率。
本申请公开了如下技术方案:
第一方面,本申请提供了一种异常行为识别方法,所述方法包括:
采集用户的正常行为信息和待识别行为信息;
将所述正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练所述单类支持向量机模型,得到异常行为识别模型;
将所述待识别行为信息输入所述异常行为识别模型中,得到行为识别结
果,所述行为识别结果表征所述待识别行为信息是否为异常行为。
可选的,所述方法还包括:
将表征所述待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
可选的,所述采集用户的正常行为信息,包括:
采集非异常用户的行为信息;
根据特征工程方法,对所述行为信息进行编码,得到编码结果;
若所述编码结果处于与所述行为信息对应的阈值范围内,则将所述非异常用户的行为信息确定为正常行为信息。
可选的,所述采集非异常用户的行为信息,包括:
采集目标时长内非异常用户的行为信息。
可选的,所述非异常用户的行为信息包括所述非异常用户的登录次数信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。
第二方面,本申请提供了一种异常行为识别装置,所述装置包括:采集模块、训练模块和识别模块;
所述采集模块,用于采集用户的正常行为信息和待识别行为信息;
所述训练模块,用于将所述正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练所述单类支持向量机模型,得到异常行为识别模型;
所述识别模块,用于将所述待识别行为信息输入所述异常行为识别模型中,得到行为识别结果,所述行为识别结果表征所述待识别行为信息是否为异常行为。
可选的,所述装置还包括:标记模块;
所述标记模块,用于将表征所述待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
可选的,所述采集模块包括:采集子模块、编码子模块和确定子模块;
所述采集子模块,用于采集非异常用户的行为信息;
所述编码子模块,用于根据特征工程方法,对所述行为信息进行编码,得到编码结果;
所述确定子模块,用于若所述编码结果处于与所述行为信息对应的阈值范围内,则将所述非异常用户的行为信息确定为正常行为信息。
可选的,所述采集子模块具体用于:采集目标时长内非异常用户的行为信息。
可选的,所述非异常用户的行为信息包括所述非异常用户的登录次数信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。
第三方面,本申请提供了一种异常行为识别设备,包括:存储器和处理器;
所述存储器,用于存储程序;
所述处理器,用于执行所述程序,实现如第一方面中所述的方法的各个步骤。
第四方面,本申请提供了一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如第一方面中所述的方法的各个步骤。
相较于现有技术,本申请具有以下有益效果:
本申请提供了一种异常行为识别方法、装置、设备及可读存储介质,该方法通过将采集到的正常行为信息输入至单类支持向量机模型中,并根据无监督学习算法训练该模型以得到异常行为识别模型,可以在将待识别行为信息输入至异常行为识别模型时,准确得到该待识别行为信息是否为异常行为,从而在出现系统异常时能够及时、有效地防范来自内部运维人员的异常操作,进而提升系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通运维人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种异常行为识别方法的流程图;
图2为本申请实施例提供的一种异常行为识别装置的示意图。
具体实施方式
首先,先对本申请涉及到的技术术语进行解释说明:
有监督学习(Supervised Learning)是机器学习的一种方法,它的主要目标是利用一组带标签的数据,学习从输入到输出的映射,然后将这种映射关系应用到未知数据上,达到分类或者回归的目的。在有监督学习中,每个实例都是由一个输入对象(通常为矢量)和一个期望的输出值(也称为监督信号)组成。监督学习算法通过分析训练数据,并产生一个推断的功能,这个功能可以用于映射出新的实例。一个最佳的方案将允许该算法来正确地决定那些看不见的实例的类标签。
无监督学习是机器学习领域内的一种学习方式,主要是利用无标签数据来训练模型。在无监督学习中,模型对数据的内在结构和规律进行学习,从而找出数据之间的关系或特征。
正如上文所述,目前通常通过采集运维人员的正常行为数据和异常行为数据,并将正常行为数据和异常行为数据均输入至神经网络模型中,基于监督学习算法训练出行为识别模型,从而通过识别模型来监测运维人员的行为数据以识别异常。
然而,由于现实场景中的内部用户攻击平台是小概率事件,因此异常行为数据的数据量通常较少,导致行为识别模型的训练并不充分,识别异常行为的准确率较低。
并且,相关技术中需要连续地采集正常行为数据和异常行为数据,但是现实场景中异常行为数据往往不具有时间连续性,也就是说,异常运维人员可能一段时间内仅操作一个命令,例如只通过一个指令复制一个机密文件。因此,若连续地采集正常行为数据和异常行为数据,也会导致异常识别效率和准确性的降低。
有鉴于此,本申请提供了一种异常行为识别方法、装置、设备及可读存储介质,该方法通过将采集到的正常行为信息输入至单类支持向量机模型中,并根据无监督学习算法训练该模型以得到异常行为识别模型,可以在将待识别行为信息输入至异常行为识别模型时,准确得到该待识别行为信息是否为异常行为,从而在出现系统异常时能够及时、有效地防范来自内部运维人员的异常操作,进而提升系统的安全性。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通运维人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参见图1,该图为本申请实施例提供的一种异常行为识别方法的流程图。该方法包括:
S101:采集用户的正常行为信息。
首先,在公司的配置管理数据库CMDB中获取公司所有非异常用户的行为信息,该行为信息包括非异常用户的登录次数信息、登录时间信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。具体的,目标文件可以指的是敏感文件等需要保证其安全性的文件,目标命令可以指的是文件删除、移动、远程拷贝等操作。
在一些示例中,可以通过CMDB获取到非异常用户A的行为信息为:登录平台3次;分别在9时12分、14时21分、20时55分登录平台;网络协议地址变化1次,从地址A变化至地址B且地址A和地址B之间的直线距离为10.55公里;访问敏感文件A3次;执行文件删除1次。
其次,根据特征工程方法,对上述行为信息使用sklearn包中的OneHotEncoder函数进行ont-hot编码,得到编码结果。
在一些示例中,若非异常用户A的网络协议地址A和地址B之间的直线距离为10.55公里,则可以以公里为粒度,将其编码为:直线距离:10。在另一些示例中,若非异常用户A在20时55分登录平台,则可以以小时为粒度,将其编码为:登陆时间:20。
最后,若编码结果处于与行为信息对应的阈值范围内,则将非异常用户的行为信息确定为正常行为信息。
在一些示例中,可以设置直线距离对应的阈值范围为[0,30],即若某一用户的网络协议地址的直线距离变化在0公里以上且在30公里以内,则认定该信息为正常行为信息。在另一些示例中,可以设置访问目标文件的数量信息对应的阈值范围为[0,10],即若某一用户访问敏感的目标文件的次数高于0次且低于10次,则认定该信息为正常行为信息。在另一些示例中,可以设置登陆时间对应的阈值范围为[8,20],即若某一用户的登陆时间在8时以后,20时以前,则认定该信息为正常行为信息。对于此,本申请不做限定。
在一些具体的实现方式中,为保证后续模型训练的准确性,可以采集目标时长内非异常用户的行为信息,例如可以以小时为粒度,采集内一小时内非异常用户的行为信息,从而构建足够多的正常行为信息的数据量,保证后续有足够多的数据去训练单类支持向量机模型。对于具体的粒度,本申请不做限定。
在一些具体的实现方式中,可通过系统中/var/log/auth.log及/var/log/secure文件采集非异常用户的登录次数信息、登录时间信息、访问目标文件的数量信息和执行目标命令的数量信息等,通过/var/log/btmp采集非异常用户的网络协议地址变化的数量信息。需要说明的是,对于具体的采集方法,本申请不做限定。
S102:将正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练单类支持向量机模型,得到异常行为识别模型。
单类支持向量机(ONE-CLASS SVM,Oc-SVM)是一种无监督学习算法,要求输入的样本中只有一种分类即可(在本申请中即正常行为信息),在学习过程中只学习该类数据的决策边界,通过引入核函数的概念,将低维不可分的数据映射到高维特征空间,然后通过最大化特征空间到原点的距离来构造超平面,超平面空间中的数据归为正常类,超平面空间外的数据即认为是异常类。也即是说,如果输入的待识别行为信息在决策边界以内,则认为是正常行为信息,反之则为异常行为信息。
将正常行为信息输入单类支持向量机模型中之后,通过调用sklearn包中sklearn.svm.OneClassSVM函数,可以学习正常行为信息的内在结构和模式,从而训练单类支持向量机模型,进而得到pkl文件的异常行为识别模型。
S103:采集用户的待识别行为信息。
用户的待识别行为信息包括用户的登录次数信息、登录时间信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。
需要说明的是,在采集用户的待识别行为信息的同时,还需要采集与待识别行为信息对应的用户属性,例如工作年限、学历、权限角色等。这是因为一般情况下,工作年限越长,学历越高的用户进行内部攻击的概率越低。并且,拥有不同权限角色也会影响该用户是否会出现异常行为,例如若某一用户的权限角色为网络安全员,那么该用户出现异常行为的概率也会偏高。
因此可以将上述的用户属性作为识别异常模型的次要因素,若用户的工作年限低于预设工作年限阈值,或学历低于预设学历阈值,或,权限角色为目标角色,则可以更多次地采集用户的待识别行为信息,从而在后续多次进行异常行为识别。
S104:将待识别行为信息输入异常行为识别模型中,得到行为识别结果。
异常行为识别模型的输出值是一个二元值,表示正常行为和异常行为两种情况。将待识别行为信息输入至异常行为识别模型中,可以得到表征待识别行为信息是否为异常行为的行为识别结果。
通过调用sklearn包中predict函数,可以将待识别行为信息输入异常行为识别模型中,得到行为识别结果。
S105:将表征待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
在识别到异常行为后,可以将异常行为对应的用户标记为异常用户,并进行监督。如果确实发生异常行为可以及时锁定该异常用户在平台上的权限。
综上所述,本申请公开了一种异常行为识别方法,该方法通过将采集到的正常行为信息输入至单类支持向量机模型中,并根据无监督学习算法训练该模型以得到异常行为识别模型,可以在将待识别行为信息输入至异常行为识别模型时,准确得到该待识别行为信息是否为异常行为,从而在出现系统异常时能够及时、有效地防范来自内部运维人员的异常操作,进而提升系统的安全性。
本申请虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
参见图2,该图为本申请实施例提供的一种异常行为识别装置的示意图。该异常行为识别装置300包括:采集模块301、训练模块302和识别模块303。
具体的,采集模块301,用于采集用户的正常行为信息和待识别行为信息;训练模块302,用于将正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练单类支持向量机模型,得到异常行为识别模型;识别模块303,用于将待识别行为信息输入异常行为识别模型中,得到行为识别结果,行为识别结果表征待识别行为信息是否为异常行为。
在一些具体的实现方式中,该异常行为识别装置300还包括:标记模块;
标记模块,用于将表征待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
在一些具体的实现方式中,采集模块301包括:采集子模块、编码子模块和确定子模块;
采集子模块,用于采集非异常用户的行为信息;
编码子模块,用于根据特征工程方法,对行为信息进行编码,得到编码结果;
确定子模块,用于若编码结果处于与行为信息对应的阈值范围内,则将非异常用户的行为信息确定为正常行为信息。
在一些具体的实现方式中,采集子模块具体用于:采集目标时长内非异常用户的行为信息。
在一些具体的实现方式中,非异常用户的行为信息包括非异常用户的登录次数信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。
综上所述,本申请公开了一种异常行为识别装置,该装置通过将采集到的正常行为信息输入至单类支持向量机模型中,并根据无监督学习算法训练该模型以得到异常行为识别模型,可以在将待识别行为信息输入至异常行为识别模型时,准确得到该待识别行为信息是否为异常行为,从而在出现系统异常时能够及时、有效地防范来自内部运维人员的异常操作,进而提升系统的安全性。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定,例如,第一构建模块还可以被描述为“构建预训练数据集的模块”。本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上设备(SOC)、复杂可编程逻辑设备(CPLD)等等。
本申请实施例还提供了对应的生成设备以及计算机存储介质,用于实现本申请实施例提供的方案。
其中,设备包括存储器和处理器,存储器用于存储指令或代码,处理器用于执行指令或代码,以使设备执行本申请任一实施例的一种灯光控制方法。
计算机存储介质中存储有代码,当代码被运行时,运行代码的设备实现本申请任一实施例所述的方法。
本申请实施例中提到的“第一”、“第二”(若存在)等名称中的“第一”、“第二”只是用来做名字标识,并不代表顺序上的第一、第二。
通过以上的实施方式的描述可知,本领域的运维人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如只读存储器(英文:read-only memory,ROM)/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及设备实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元提示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通运维人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本申请的一种具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的运维人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应该以权利要求的保护范围为准。

Claims (10)

1.一种异常行为识别方法,其特征在于,所述方法包括:
采集用户的正常行为信息和待识别行为信息;
将所述正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练所述单类支持向量机模型,得到异常行为识别模型;
将所述待识别行为信息输入所述异常行为识别模型中,得到行为识别结果,所述行为识别结果表征所述待识别行为信息是否为异常行为。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将表征所述待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
3.根据权利要求1所述的方法,其特征在于,所述采集用户的正常行为信息,包括:
采集非异常用户的行为信息;
根据特征工程方法,对所述行为信息进行编码,得到编码结果;
若所述编码结果处于与所述行为信息对应的阈值范围内,则将所述非异常用户的行为信息确定为正常行为信息。
4.根据权利要求3所述的方法,其特征在于,所述采集非异常用户的行为信息,包括:
采集目标时长内非异常用户的行为信息。
5.根据权利要求3所述的方法,其特征在于,所述非异常用户的行为信息包括所述非异常用户的登录次数信息、网络协议地址变化的数量信息、访问目标文件的数量信息和执行目标命令的数量信息中的一种或多种。
6.一种异常行为识别装置,其特征在于,所述装置包括:采集模块、训练模块和识别模块;
所述采集模块,用于采集用户的正常行为信息和待识别行为信息;
所述训练模块,用于将所述正常行为信息输入单类支持向量机模型中,通过无监督学习算法训练所述单类支持向量机模型,得到异常行为识别模型;
所述识别模块,用于将所述待识别行为信息输入所述异常行为识别模型中,得到行为识别结果,所述行为识别结果表征所述待识别行为信息是否为异常行为。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:标记模块;
所述标记模块,用于将表征所述待识别行为信息为异常行为的行为识别结果所对应的用户,标记为异常用户。
8.根据权利要求6所述的装置,其特征在于,所述采集模块包括:采集子模块、编码子模块和确定子模块;
所述采集子模块,用于采集非异常用户的行为信息;
所述编码子模块,用于根据特征工程方法,对所述行为信息进行编码,得到编码结果;
所述确定子模块,用于若所述编码结果处于与所述行为信息对应的阈值范围内,则将所述非异常用户的行为信息确定为正常行为信息。
9.一种异常行为识别设备,其特征在于,包括:存储器和处理器;
所述存储器,用于存储程序;
所述处理器,用于执行所述程序,实现如权利要求1至5中任一项所述的方法的各个步骤。
10.一种计算机存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1至5中任一项所述的方法的各个步骤。
CN202410143316.XA 2024-02-01 2024-02-01 一种异常行为识别方法、装置、设备及可读存储介质 Pending CN117972543A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410143316.XA CN117972543A (zh) 2024-02-01 2024-02-01 一种异常行为识别方法、装置、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410143316.XA CN117972543A (zh) 2024-02-01 2024-02-01 一种异常行为识别方法、装置、设备及可读存储介质

Publications (1)

Publication Number Publication Date
CN117972543A true CN117972543A (zh) 2024-05-03

Family

ID=90851143

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410143316.XA Pending CN117972543A (zh) 2024-02-01 2024-02-01 一种异常行为识别方法、装置、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN117972543A (zh)

Similar Documents

Publication Publication Date Title
US20140223555A1 (en) Method and system for improving security threats detection in communication networks
CN110020687B (zh) 基于操作人员态势感知画像的异常行为分析方法及装置
CN116956282B (zh) 基于网络资产内存时间序列多特征数据的异常检测系统
CN114707834A (zh) 一种告警提醒方法、装置及存储介质
Dou et al. Pc 2 a: predicting collective contextual anomalies via lstm with deep generative model
CN117094184B (zh) 基于内网平台的风险预测模型的建模方法、系统及介质
CN116956148A (zh) 一种电力系统数据交互安全威胁信息分析方法
TWM622216U (zh) 用於服務異常偵測告警的設備
CN112925805A (zh) 基于网络安全的大数据智能分析应用方法
US11711341B2 (en) System for securing a cyber-physical method
CN116112194A (zh) 用户行为分析方法、装置、电子设备及计算机存储介质
CN113965497B (zh) 服务器异常识别方法、装置、计算机设备及可读存储介质
Paramkusem et al. Classifying categories of SCADA attacks in a big data framework
CN117692203A (zh) 一种事件处置策略智能推荐方法及系统
CN117141265A (zh) 一种智能无线充电桩的运行监测系统及监测方法
CN117118665A (zh) 一种电力系统数据交互安全威胁信息分析方法
Salazar et al. Monitoring approaches for security and safety analysis: application to a load position system
CN117972543A (zh) 一种异常行为识别方法、装置、设备及可读存储介质
CN114397842B (zh) 电力监控网络安全智能巡检加固方法
Wang et al. Learning correlation graph and anomalous employee behavior for insider threat detection
CN113076217B (zh) 基于国产平台的磁盘故障预测方法
CN112307271A (zh) 一种配电自动化系统遥控业务的安全监测方法及装置
CN117436073B (zh) 一种基于智能标签的安全日志告警方法、介质和设备
CN118631589B (zh) 一种网络流量监管异常识别预警方法及系统
Bolanle et al. AI-Powered Cloud Security: Leveraging Advanced Threat Detection for Maximum Protection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination