本发明专利技术实施例公开了一种安全检测方法、装置和系统,所述安全检测方法包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本发明专利技术实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。
【技术实现步骤摘要】
一种安全检测方法、装置和系统
本专利技术实施例涉及但不限于大数据网络安全分析领域,尤指一种安全检测方法、装置和系统。
技术介绍
随着信息技术(IT,InformationTechnology)在各行各业的深入发展,以及IT技术自身的复杂化,IT技术趋向于结构上的分层化以及广泛使用分布式的部署,传统单一的网络运维方式越来越不能满足变化的IT技术、层出不穷的新型攻击手段。虚拟化云计算等技术也在原有的结构下,重新改变了IT部署的方式。近年来,随着用户数目的增加,网络规模成指数增长;与此同时,网络所承载的业务类型也呈现出多样化、综合化的趋势。这种大规模结构不仅造成业务分析的困难,而且由于大量不同业务的相互影响导致网络状态不断发生变化,业务运行的可控性和安全性得不到保障。在复杂的网络环境下,需要进行安全性检测。相关的安全检测方法针对可疑连接或可疑资产进行,往往采用单节点、分区域的检测策略来发现单点问题,无法实现对业务级别的安全检测。
技术实现思路
本专利技术实施例提供了一种安全检测方法、装置和系统,能够实现对业务级别的安全检测。本专利技术实施例提供了一种安全检测方法,包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。在本专利技术实施例中,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。在本专利技术实施例中,当确定预设通信范围内存在业务异常时,该方法还包括:进行业务异常告警。在本专利技术实施例中,当确定预设通信范围内不存在业务异常时,该方法还包括:根据所述业务行为重心向量更新所述业务行为重心基线向量。在本专利技术实施例中,所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差为所述业务行为重心向量中发生变化的业务链的数量和业务行为中心基线向量中业务链的数量的比值。在本专利技术实施例中,所述确定预设通信范围内的业务行为重心向量包括:获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;根据所述业务链模型数据计算所述业务行为重心向量。在本专利技术实施例中,所述获取预设通信范围内的业务行为元数据包括:获取所述预设通信范围内的网络镜像流量数据和应用日志;根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。在本专利技术实施例中,所述根据网络镜像流量数据和应用日志构建业务行为元数据包括:从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;对所述业务行为信息进行去重处理;根据去重处理后的业务行为信息构建业务行为元数据。在本专利技术实施例中,所述根据业务行为元数据确定业务链模型数据包括:根据所述业务行为元数据构建业务链;根据属于同一业务链的业务行为元数据计算所述业务链的业务链行为向量;根据所述业务链和业务链行为向量确定业务链模型数据。在本专利技术实施例中,所述根据所述业务链模型数据计算所述业务行为重心向量包括:采用聚类分析方法计算每一类业务链模型数据的几何重心;所有类业务链模型数据的几何重心构成业务行为重心向量。在本专利技术实施例中,所述采用聚类分析方法计算每一类业务链模型数据的几何重心包括:随机初始化所有类业务链模型数据的中心点;计算每个所述业务链模型数据中的业务链到中心点的距离,将所述业务链模型数据划分到与所述业务链模型数据的业务链的距离最近的中心点所属的类中;重新计算每一类业务链模型数据的中心点;重复以上步骤,直到每一类业务链模型数据的中心点在每次迭代后的变化值小于或等于预设阈值,将该类业务链模型数据的中心点作为该类业务链模型数据的几何重心。本专利技术实施例提出了一种安全检测装置,包括以下模块至少之一:第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本专利技术实施例提出了一种安全检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种安全检测方法的至少之一步骤。本专利技术实施例提出了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任一种安全检测方法的至少之一步骤。本专利技术实施例提出了一种安全检测系统,包括:第一确定模块,用于确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;第二确定模块,用于根据所述业务行为重心向量确定预设通信范围内是否存在业务异常;其中,所述第一确定模块和第二确定模块设置在不同的设备中。本专利技术实施例包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本专利技术实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。本专利技术实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术实施例而了解。本专利技术实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术实施例技术方案的进一步理解,并且构成说明书的一部分,与本专利技术实施例的实施例一起用于解释本专利技术实施例的技术方案,并不构成对本专利技术实施例技术方案的限制。图1为本专利技术一个实施例提出的安全检测方法的流程图;图2为本专利技术另一个实施例提出的安全检测装置的结构组成示意图;图3为本专利技术另一个实施例提出的安全检测装置的结构组成示意图。具体实施方式下文中将结合附图对本专利技术实施例进行详细说明。需要说明的是,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。参见图1,本专利技术一个实施例提出了一种安全检测方法,包括以下步骤至少之一:步骤100、确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征。在本专利技术实施例中,确定预设通信范围内的业务行为重心向量包括:获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议(IP,InternetProtocol)地址,所述业务链本文档来自技高网...
【技术保护点】
1.一种安全检测方法,包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。
【技术特征摘要】
1.一种安全检测方法,包括以下步骤至少之一:确定预设通信范围内的业务行为重心向量;其中,所述业务行为重心向量用于描述业务的关键业务行为的分布特征;根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。2.根据权利要求1所述的安全检测方法,其特征在于,所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至少之一:当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时,确定预设通信范围内存在业务异常;当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时,确定预设通信范围内不存在业务异常。3.根据权利要求2所述的安全检测方法,其特征在于,当确定预设通信范围内存在业务异常时,该方法还包括:进行业务异常告警。4.根据权利要求2所述的安全检测方法,其特征在于,当确定预设通信范围内不存在业务异常时,该方法还包括:根据所述业务行为重心向量更新所述业务行为重心基线向量。5.根据权利要求2所述的安全检测方法,其特征在于,所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差为所述业务行为重心向量中发生变化的业务链的数量和业务行为中心基线向量中业务链的数量的比值。6.根据权利要求1~4任一项所述的安全检测方法,其特征在于,所述确定预设通信范围内的业务行为重心向量包括:获取所述预设通信范围内的业务行为元数据;其中,所述业务行为元数据用于描述业务行为特征;根据所述业务行为元数据确定业务链模型数据;其中,所述业务链模型数据包括业务链和业务链行为向量,所述业务链为具有访问关系的一组互联网协议IP地址,所述业务链行为向量为业务链在预设时间点的业务特征属性;根据所述业务链模型数据计算所述业务行为重心向量。7.根据权利要求6所述的安全检测方法,其特征在于,所述获取预设通信范围内的业务行为元数据包括:获取所述预设通信范围内的网络镜像流量数据和应用日志;根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。8.根据权利要求7所述的安全检测方法,其特征在于,所述根据网络镜像流量数据和应用日志构建业务行为元数据包括:从属于同一个会话的网络镜像流量数据和应用日志中提取业务行为信息;对所述业务行为信息进行...
【专利技术属性】
技术研发人员:董立勉,左晓军,侯波涛,郗波,王春璞,刘惠颖,张君艳,邢文茹,
申请(专利权)人:国网河北省电力有限公司电力科学研究院,
类型:发明
国别省市:河北,13
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。