本发明专利技术实施例公开了一种资产异常行为的检测方法和装置及计算机可读存储介质,包括:获取企业网络中的资产的网络行为指标;根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。本发明专利技术实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。
【技术实现步骤摘要】
资产异常行为的检测方法和装置及计算机可读存储介质
本专利技术实施例涉及但不限于互联网
,尤指一种资产异常行为的检测方法和装置及计算机可读存储介质。
技术介绍
企业安全中核心的一点,就是要保证企业中的网络资产(如服务器,办公机,网络设备等)安全。信息化时代,企业中的网络资产(即企业网络环境中的资产)是保证网络环境正常运行的关键组件、又是企业信息资源的载体,因此,网络资产的安全尤为重要。当资产正在遭受威胁或已经被攻陷时,其网络行为往往表现出不同于同类型资产的异常行为,因此对异常行为的检测是及早发现威胁,保证资产安全的关键。目前对资产异常行为的检测主要集中在资产的内部运行指标的异常检测,如CPU、内存、磁盘、进程运行等。这种对资产内部运行指标的检测方法中,只能检测到资产本身运行情况的异常,而在企业网络安全中,企业内部被威胁或被攻陷的资产的异常行为通常表现为网络行为异常,这种对资产内部运行指标的异常检测是无法对资产的网络行为进行检测的。
技术实现思路
本专利技术实施例提供了一种资产异常行为的检测方法和装置及计算机可读存储介质,能够对资产的网络行为进行检测。本专利技术实施例提供了一种资产异常行为的检测方法,包括:获取企业网络中的资产的网络行为指标;根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。在一些示例性实例中,所述网络行为指标包括以下一个或多个的任意组合:连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;其中,所述连接关系为所述资产主动访问过的内网的网段,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。在一些示例性实例中,当所述网络行为指标包括连接关系时,所述获取企业网络中的资产的网络行为指标之前,该方法还包括:分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。在一些示例性实例中,所述分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标包括:分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;所述分别根据获得的历史网络行为指标确定每一个分组的基线包括:确定每一个所述分组的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。在一些示例性实例中,当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,所述确定资产的网络行为指标是否正常之前,该方法还包括:分别获取企业网络中的每一个分组中的所有资产在第t时间窗内的网络行为指标;其中,所述时间窗的时间长度为单位时间,t为大于或等于1的整数;根据获得的每一个所述分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线。在一些示例性实例中,所述根据获得的每一个分组中的所有资产在第t时间窗内的网络行为指标确定所述分组的网络行为指标的基线包括:确定每一个所述分组的网络行为指标的基线为[PL,PU];其中,PL=μztj-3σztj,PU=μztj+3σztj,其中,μztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的平均值,σztj为第z个分组中的所有资产在第t时间窗内的第j种网络行为指标的标准差,n为第z个分组中的资产数量,xzijt为第z个分组中的第i个资产在第t时间窗内的第j中网络行为指标。在一些示例性实例中,所述根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常包括以下一个或多个的任意组合:当所述获得的网络行为指标在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标正常;当所述获得的网络行为指标不在所述资产所在的分组的网络行为指标的基线指示的范围内时,确定所述资产的网络行为指标异常。在一些示例性实例中,所述企业网络中的资产根据一个或一个以上维度进行分组。本专利技术实施例还提出了一种资产异常行为的检测装置,包括处理器和计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令被所述处理器执行时,实现上述任一种资产异常行为的检测方法。本专利技术实施例还提出了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种资产异常行为的检测方法的步骤。本专利技术实施例包括:获取企业网络中的资产的网络行为指标;根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。本专利技术实施例通过获取资产的网络行为指标来确定网络行为指标是否正常,也就实现了对资产的网络行为的检测,从而提高了企业的网络资产的安全。本专利技术实施例的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术实施例而了解。本专利技术实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本专利技术实施例技术方案的进一步理解,并且构成说明书的一部分,与本专利技术实施例的实施例一起用于解释本专利技术实施例的技术方案,并不构成对本专利技术实施例技术方案的限制。图1为本专利技术一个实施例提出的资产异常行为的检测方法的流程图;图2为本专利技术另一个实施例提出的资产异常行为的检测装置的结构组成示意图。具体实施方式下文中将结合附图对本专利技术实施例进行详细说明。需要说明的是,在不冲突的情况下,本专利技术中的实施例及实施例中的特征可以相互任意组合。在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。参见图1,本专利技术一个实施例提出了资产异常行为的检测方法,包括:步骤100、获取企业网络中的资产的网络行为指标。在一个示例性实例中,网络行为指标包括以下一个或多个的任意组合:连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;其中,所述连接关系为所述资产主动访问过的内网的网段,即资产主动访问过的IP地址范围,所述本文档来自技高网...
【技术保护点】
1.一种资产异常行为的检测方法,包括:/n获取企业网络中的资产的网络行为指标;/n根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。/n
【技术特征摘要】
1.一种资产异常行为的检测方法,包括:
获取企业网络中的资产的网络行为指标;
根据获得的网络行为指标是否在所述资产所在的分组的网络行为指标的基线指示的范围内确定所述资产的网络行为指标是否正常;其中,企业网络中的所有资产被划分为N个分组,N为大于或等于1的整数。
2.根据权利要求1所述的检测方法,其特征在于,其中,所述网络行为指标包括以下一个或多个的任意组合:
连接关系、连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量;
其中,所述连接关系为所述资产主动访问过的内网的网段,所述连接范围为所述资产在单位时间内访问的内网主机的数量,所述连接频率为所述资产在单位时间内访问的内网主机的次数,所述接收内网流量为所述资产在单位时间内接收到的来自内网的流量大小,所述接收外网流量为所述资产在单位时间内接收到的来自外网的流量大小,所述访问内网流量为所述资产在单位时间内访问内网的流量大小,所述访问外网流量为所述资产在单位时间内访问外网的流量大小。
3.根据权利要求2所述的检测方法,其特征在于,当所述网络行为指标包括连接关系时,所述获取企业网络中的资产的网络行为指标之前,该方法还包括:
分别获取所述企业网络中的每一个分组中的所有资产的历史网络行为指标;分别根据获得的历史网络行为指标确定每一个分组的网络行为指标的基线。
4.根据权利要求3所述的检测方法,其特征在于,所述分别获取企业网络中的每一个分组中的所有资产的历史网络行为指标包括:
分别获取每一个分组中的所有资产在预设历史时间段内的连接关系;
所述分别根据获得的历史网络行为指标确定每一个分组的基线包括:
确定每一个所述分组的基线为所述分组中的所有资产在所述预设历史时间段内的连接关系的并集。
5.根据权利要求2所述的检测方法,其特征在于,当所述网络行为指标包括以下一个或多个的任意组合:连接范围、连接频率、接收内网流量、接收外网流量、访问内网流量、访问外网流量时,所述确定资产的网络行为指标是否正常之前,该方...
【专利技术属性】
技术研发人员:虎志强,
申请(专利权)人:北京兰云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。