2. 专利查询
  3. 异常访问行为的分析方法、电子设备、介质、程序产品与流程

异常访问行为的分析方法、电子设备、介质、程序产品与流程

专利查询6天前  6

本公开涉及数据分析,特别涉及一种异常访问行为的分析方法、一种电子设备、一种计算机可读介质、一种计算机程序产品。


背景技术:

1、传统的安全策略通常依赖于规则引擎和防火墙等手段来阻止恶意攻击。然而,这种方法存在一些局限性,例如,难以适应新的威胁模式、容易被绕过等。因此,基于基线的攻击行为检测技术应运而生。基于基线的攻击行为检测技术在分析用户的历史行为数据的基础上确定正常的用户行为,作为判断用户行为是否为攻击行为的依据,能够有效提高安全防护能力。

2、但是,基于基线的攻击行为检测技术在具有的应用场景中还存在缺陷。


技术实现思路

1、本公开实施例提供一种异常访问行为的分析方法、一种电子设备、一种计算机可读介质、一种计算机程序产品。

2、第一方面,本公开实施例提供一种异常访问行为的分析方法,包括:利用算子库中的算子模型构建基线模型,其中,所述基线模型表征用于描述访问行为的正常行为模式的基线规则;获取访问行为数据;基于所述基线模型对所述访问行为数据进行分析,识别异常访问行为;根据所述访问行为数据、对异常访问行为的识别结果,生成访问关系图谱。

3、在一些实施例中,基于所述基线模型对所述访问行为数据进行分析,识别异常访问行为,包括:根据所述基线模型分析所述访问行为数据与所述基线规则的偏离程度,识别表征异常访问行为的异常访问数据,得到初始识别结果;根据所述访问行为数据、所述异常访问数据进行过程特征泛化,得到对异常访问行为的识别结果。

4、在一些实施例中,根据所述访问行为数据、所述异常访问数据进行过程特征泛化,得到对异常访问行为的识别结果,包括:根据所述初始识别结果分析所述初始识别结果表征的个体访问行为与群体访问行为之间的差异,输出对异常访问行为的第一识别结果,其中,所述第一识别结果符合正常个群行为基线;和/或根据所述访问行为数据、所述初始识别结果对所述访问行为数据表征的访问行为进行聚类,聚合并输出对异常访问行为的第二识别结果;和/或根据预设规则对所述初始识别结果进行评估,输出对异常访问行为的第三识别结果,其中,所述第三识别结果满足所述预设规则。

5、在一些实施例中,根据所述访问行为数据、对异常访问行为的识别结果,生成访问关系图谱,包括:对所述访问行为数据进行规则映射和数据关联,形成数据集;根据所述第一识别结果、和/或所述第二识别结果、和/或所述第三识别结果,通过多个维度分析所述数据集,形成多个维度的分析结果;对所述多个维度的分析结果进行关联分析,生成所述访问关系图谱,其中,所述访问关系图谱包括资产画像图谱和人员画像图谱;对所述资产画像图谱和所述人员画像图谱进行图谱分析,识别异常访问行为和威胁事件。

6、在一些实施例中,对所述资产画像图谱和所述人员画像图谱进行图谱分析,识别异常访问行为和威胁事件,包括:根据从搜索引擎获取的用户的关键字,从所述访问关系图谱中获取用户的画像信息并展示;以预设时长为统计粒度统计用户的访问行为与所述基线规则的偏离程度,识别并展示偏离程度超过上下限的异常访问行为和威胁事件并展示。

7、在一些实施例中,利用算子库中的算子模型构建基线模型,包括:从所述算子库中获取多个算子模型,构建初始基线模型;利用训练样本对所述初始基线模型进行训练;根据训练结果及业务场景,修正所述初始基线模型中算子模型的串接,得到所述基线模型。

8、在一些实施例中,利用算子库中的算子模型构建基线模型,包括:通过模型构建功能构建所述基线模型;其中,所述模型构建功能包括算子管理单元、程序管理单元、模型管理单元、任务管理单元、服务管理单元、快捷管理单元;所述模型构建功能还包可视化界面,通过模型构建功能构建所述基线模型,包括:响应于通过所述可视化界面获取的操作指令,执行以下操作:通过所述算子管理单元执行获取所述算子模型、自定义算子模型等对算子模型进行管理的操作;通过所述程序管理单元执行对所述初始基线模型进行训练的程序进行管理的操作;通过所述模型管理单元执行算子模型串接等对基线模型进行管理的操作;通过所述任务管理单元执行任务管理操作;通过所述服务管理单元执行服务管理操作;通过所述快捷管理单元执行快捷管理操作。

9、在一些实施例中,获取访问行为数据,包括:通过分布式部署的多个接收服务器获取所述访问行为数据,其中,不同的所述接收服务器对应不同的日志源;将采自多个所述接收服务器的所述访问行为数据转换为标准数据格式;对各个所述日志源的数据采集情况进行监控,确定所述日志源的健康状态;对各个所述接收服务器进行监控,确定所述接收服务器的健康状态。

10、第二方面,本公开实施例提供一种电子设备,包括:一个或多个处理器;存储器,其上存储有一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现本公开实施例第一方面所述的异常访问行为的分析方法。

11、第三方面,本公开实施例提供一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现本公开实施例第一方面所述的异常访问行为的分析方法。

12、第四方面,本公开实施例提供一种计算机程序产品,包括计算机程序或指令,所述计算机程序或指令被处理器执行时实现本公开实施例第一方面所述的异常访问行为的分析方法。

13、本公开实施例通过构建基线模型,建立起描述访问行为的正常行为模式的基线规则,然后利用基线模型对访问行为数据进行分析,在此基础上生成访问关系图谱,能够专用于对异常访问行为的识别,从而实现了基于基线的针对异常访问行为的专项分析和检测,能够减少对异常访问行为的误报率和漏报率,为制定和优化安全策略提供重要参考依据,从而提升网络系统的安全性和防护能力。



技术特征:

1.一种异常访问行为的分析方法,包括:

2.根据权利要求1所述的分析方法,其中,基于所述基线模型对所述访问行为数据进行分析,识别异常访问行为,包括:

3.根据权利要求2所述的分析方法,其中,根据所述访问行为数据、所述异常访问数据进行过程特征泛化,得到对异常访问行为的识别结果,包括:

4.根据权利要求3所述的分析方法,其中,根据所述访问行为数据、对异常访问行为的识别结果,生成访问关系图谱,包括:

5.根据权利要求4所述的分析方法,其中,对所述资产画像图谱和所述人员画像图谱进行图谱分析,识别异常访问行为和威胁事件,包括:

6.根据权利要求1至5中任意一项所述的分析方法,其中,利用算子库中的算子模型构建基线模型,包括:

7.根据权利要求6所述的分析方法,其中,利用算子库中的算子模型构建基线模型,包括:

8.根据权利要求1至5中任意一项所述的分析方法,其中,获取访问行为数据,包括:

9.一种电子设备,包括:

10.一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现根据权利要求1至8中任意一项所述的异常访问行为的分析方法。

11.一种计算机程序产品,包括计算机程序或指令,所述计算机程序或指令被处理器执行时实现根据权利要求1至8中任意一项所述的异常访问行为的分析方法。


技术总结
本公开提供一种异常访问行为的分析方法,包括:利用算子库中的算子模型构建基线模型,其中,所述基线模型表征用于描述访问行为的正常行为模式的基线规则;获取访问行为数据;基于所述基线模型对所述访问行为数据进行分析,识别异常访问行为;根据所述访问行为数据、对异常访问行为的识别结果,生成访问关系图谱。本公开还提供一种电子设备、一种计算机可读介质、一种计算机程序产品。本公开实现对异常访问行为的专项分析,通过访问图谱分析提升网络系统的安全性和防护能力。

技术研发人员:丁月超,霍纪中
受保护的技术使用者:北京天融信网络安全技术有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)