一种网络访问异常检测方法及系统技术方案

本发明专利技术实施例提供一种网络访问异常检测方法及系统。所述方法包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。所述系统用于执行所述方法。本发明专利技术实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。

A network access anomaly detection method and system

The embodiment of the invention provides a network access anomaly detection method and system. The method includes: obtaining the information to be detected, including the network information to be detected, including the user information and the service name, obtaining a matching model corresponding to the pre established user information and the name of the service, and, according to the matching model, if it is determined that the information to be detected is satisfied with the preset condition. The network information to be detected is an abnormal information. The system is used to execute the method described. The embodiment of the present invention determines whether the network information to be detected is abnormal, and realizes the detection of the anomaly of the specific service and the specific user access network, according to the matching model of the acquired network information and the corresponding user information and business name obtained in the network information to be detected.

【技术实现步骤摘要】
一种网络访问异常检测方法及系统
本专利技术实施例涉及网络安全
，尤其涉及一种网络访问异常检测方法及系统。
技术介绍
异常流量管理是信息安全管理工作中的一项重要工作。当前异常流量所引发的潜在风险巨大，但又缺乏有效的检测管理机制，通过单一的流量检测设备无法有效解决企业内部异常流量带来的安全风险和影响。网络流量异常检测的工作一直在不断的往前发展，Roy和Frank定义了网络正常行为和异常行为的概念，流量异常检测方法则可以分为静态检测方法和动态检测方法两个大类。静态检测方法包括恒定阈值检测方法和自适应阈值检测方法。通常是根据历史数据建立一个正常的参数基线，通过系统在网络运行的过程中自适应的学习能力改变告警阈值。动态检测方法包括基于统计的检测方法，基于小波的检测方法。统计检测方法在实际中最常见的是广义似然比检验(GeneralizedLikelihoodRatio，简称GLR)测试。GLR考虑两个相邻的时间窗R(t)和S(t)以及这两个合并组成的窗口C(t)，每个窗口运用自回归模型(AR)拟合，应用似然比检验方法，检测两个窗口之间发生的异常变化。当两个窗口的似然度超过某个设定的阈值时则认为两个窗口边界产生异常。AmyWard等人提出了另外一种统计检测方法，该方法在网络正常运行下建立一套网络参数，当参数出现偏差不符合正常运行情况时产生告警。例如在工作日的网络流量占总流量的绝大部分，节假日的内部网络流量则可以忽略。工作日的网络流量则又呈现出休息时间和工作时间之间存在流量突变的情况，如：早上上班时间和中午休息时间，下午下班时间可将工作日的流量分为三个阶段。第一个阶段流量变化趋势从无到有存在一个剧烈的变化；第二个阶段为中午休息时间，这个阶段存在流量的两个突变，即：中午下班的突然减少或者中午上班时间的突然增大；第三阶段为下班以后，流量在下降后呈现一个平稳的态势。工作日则周期性的出现这样一种流量情况。因此，现有技术中的检测方法都是通过流量本身的不同维度来发现网络流量是否存在异常，但是在网络中可能存在办公系统，邮件系统，视频系统，新闻系统等，现有的检测方法可以检测出发生了异常，但是无法检测出出现异常的特定业务，以及该异常是由哪个用户产生的。因此，如何针对特定业务，特定用户检测网络访问异常是现如今亟待解决的课题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种网络访问异常检测方法及系统。一方面，本专利技术实施例提供一种网络访问异常检测方法，包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息、业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。另一方面，本专利技术实施例提供一种网络访问异常检测系统，包括：第一获取模块，用于获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；第二获取模块，用于获取预先建立的所述用户信息和所述业务名称对应的匹配模型；检测模块，用于根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。本专利技术实施例提供的一种网络访问异常检测方法及系统，通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种网络访问异常检测方法流程示意图；图2为本专利技术实施例提供的URL访问序列检测结构示意图；图3为本专利技术实施例提供的一种网络访问异常检测方法整体流程示意图；图4为本专利技术实施例提供的一种网络访问异常检测系统结构示意图；图5为本专利技术另一实施例提供的一种网络访问异常检测系统结构示意图；图6为本专利技术又一实施例提供的一种网络访问异常检测系统结构示意图；图7为本专利技术实施例提供的一种网络访问异常检测系统实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例提供的一种网络访问异常检测方法流程示意图，如图1所示，所述方法包括：步骤101：获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；具体地，当有用户访问网络时，实时获取用户访问的网络信息，该网络信息为待检测网络信息，其中待检测网络信息中包括用户信息和业务名称，用户信息可以是用户使用终端的IP地址，也可以是用户ID，本专利技术对此不作具体限定，业务名称为用户要访问的业务对应的业务名称。且应当说明的是用户访问不同层级，其对应的待检测网络信息不同，例如：用户访问网络层对应的业务时，待检测网络信息中除了包括用户信息、业务名称之外，还包括IP五元组信息；当用户访问传输层时，待检测网络信息中还包括连接频率、上下行数量信息；当用户访问应用层时，待检测网络信息中还包括URL或请求频率；当用户访问业务层时，待检测网络信息中还包括请求类型。步骤102：获取预先建立的所述用户信息和所述业务名称对应的匹配模型；具体地，根据特定用户访问特定业务名称建立相对应的匹配模型，日常工作中，每一个人访问的业务系统(如：客户资源管理系统、生产系统、源代码管理系统等)不一样，访问业务系统的习惯(如：访问时间、访问频率)不一样，访问的周期性(如：天、周、月)也不一样，因此，只有针对每一个人访问每一个业务的情况建立相对应的匹配模型，才能准确地识别出某个用户的行为是否发生了异常。例如：建立用户的业务访问连接关系模型；通过学习和记录用户的访问行为和习惯，建立常规的业务访问模型；通过记录和计算用户的常规网络访问频率及业务访问频率，建立基于业务访问的操作模型等。因此可以获取预先建立好的与用户信息和业务名称相对应的匹配模型。步骤103：根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。具体地，将获取到的待检测网络信息和与待检测网络信息相对应的匹配模型进行比较，如果待检测网络信息满足预设条件，则说明待检测网络信息为异常信息，否则待检测网络信息是正常的。本专利技术实施例通过根据获取到的待检测网络信息和获取的与待检测网络信息中用户信息和业务名称对应的匹配模型，判断待检测网络信息是否发生异常，实现了对特定业务、特定用户访问网络异常的检测。在上述实施例的基础上，所述方法还包括：获取历史网络信息，所述历史网络信息包括所述用户信息、业务名称、所述业务名称对应的访问序列和访问规则；根据所述访问序列和所述访问规则建立所述用户信息和所述业务名称对应的所述匹配模型。具体地，在对待检测网络信息进行异常检测之前，需要先建立好匹配模型。获取历史网络信息并本文档来自技高网...

【技术保护点】
1.一种网络访问异常检测方法，其特征在于，包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。

【技术特征摘要】
1.一种网络访问异常检测方法，其特征在于，包括：获取待检测网络信息，其中所述待检测网络信息包括用户信息和业务名称；获取预先建立的所述用户信息和所述业务名称对应的匹配模型；根据所述匹配模型，若判断获知所述待检测网络信息满足预设条件，则所述待检测网络信息为异常信息。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：获取历史网络信息，所述历史网络信息包括所述用户信息、业务名称、所述业务名称对应的访问序列和访问规则；根据所述访问序列和所述访问规则建立所述用户信息和所述业务名称对应的所述匹配模型。3.根据权利要求1所述的方法，其特征在于，所述预设条件包括以下第一预设条件、第二预设条件、第三预设条件和第四预设条件中任意一项或其组合，其中：所述第一预设条件包括：所述待检测网络信息中的目标地址没有在所述匹配模型中的可访问地址集中；所述第二预设条件包括：所述待检测网络信息中的URL访问序列与所述匹配模型中的所述URL访问序列不一致；所述第三预设条件包括：在第一预设时间内所述待检测网络信息对应的网络访问频率大于所述匹配模型中的第一预设阈值；所述第四预设条件包括：在第二预设时间内所述待检测网络信息对应的请求频率大于所述匹配模型中的第二预设阈值。4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：根据所述异常信息生成告警信息并将所述告警信息输出。5.根据权利要求4任一项所述的方法，其特征在于，所述告警信息以邮件告警、页面告警或短信告警的方式输出。6.一种网络访问异常检测系统，其特征在...

【专利技术属性】
技术研发人员：许慧云，
申请(专利权)人：中国移动通信集团公司，中国移动通信集团河南有限公司，
类型：发明
国别省市：北京,11