【技术实现步骤摘要】
异常网络安全行为的检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种异常网络安全行为的检测方法、装置、电子设备及存储介质。
技术介绍
[0002]目前,企业内的工作大多是基于线上进行的,因此,如何保证网络安全,防止企业的机密泄漏至关重要,现有技术中,对网络安全行为异常检测采用的方式是通过固定阈值进行判断,例如:判断企业内员工每天的下载行为是否超过固定阈值,如果下载量超过固定阈值,则认为是异常网络安全行为。但是,不同企业的业务要求不同,固定阈值并不相同,并且,同一企业,不同的数据的安全等级也不同,因此,通过这种固定阈值的方式需要设置多种不同的阈值,维护成本较高。此外,如某一个企业内部用户每天下载小部分机密文件,每天下载量符合实时的固定阈值检测,但是下载次数是会不断增长的,经长时间综合来看,此用户的文件下载次数超过其他用户下载次数的正常范围,是一种异常网络安全行为,但是,这种场景通过固定阈值的检测方式并不能够很好地检测到。
技术实现思路
[0003]针对现有技术中的问题,...
【技术保护点】
【技术特征摘要】
1.一种异常网络安全行为的检测方法,其特征在于,包括:获取用户的网络安全行为对应的当前日志数据,其中,所述当前日志数据包括网络流量日志和/或系统应用日志;获取网络安全行为基线,并基于所述网络安全行为基线对所述当前日志数据进行检测,以确定所述用户的网络安全行为是否为异常网络安全行为,其中,所述网络安全行为基线是根据输入的配置参数通过预设的学习周期内的网络安全行为对应的日志数据学习得到。2.根据权利要求1所述的异常网络安全行为的检测方法,其特征在于,所述配置参数包括所述学习周期、基线数据项和基线数据项学习方法,所述基线数据项包括检测对象和检测特征,所述检测特征是根据检测对象进行统计或计算确定的,所述获取网络安全行为基线之前,包括:获得所述配置参数,并获得所述配置参数中学习周期内的网络安全行为对应的日志数据;根据所述基线数据项,获得所述日志数据中的目标数据;根据所述日志数据中的基线数据项学习方法对所述目标数据进行统计,得到所述目标数据的数量或平均值,并根据所述目标数据的数量或平均值得到所述网络安全行为基线,其中,所述目标数据包括源IP、目的IP、用户名和文件大小中的部分或全部。3.根据权利要求2所述的异常网络安全行为的检测方法,其特征在于,所述基于所述网络安全行为基线对所述当前日志数据进行检测,以确定所述用户的网络安全行为是否为异常网络安全行为,包括:根据所述基线数据项,获得所述当前日志数据中的目标数据;将所述当前日志数据中的目标数据与所述基线进行比较;如果所述当前日志数据中的目标数据与所述基线不匹配,则确定所述用户的网络安全行为是异常网络安全行为;或者,根据所述基线数据项,获得预定时间内多个日志数据中的目标数据;对所述多个日志数据中的目标数据进行统计,并将所述多个日志数据中的目标数据的统计结果与所述基线进行比较;如果所述统计结果与所述基线不匹配,则确定所述用户的网络安全行为是异常网络安全行为。4.根据权利要求1
‑
3任一项所述的异常...
【专利技术属性】
技术研发人员:刘塽,覃永靖,岳朋涛,卢勇亮,王震,齐向东,吴云坤,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。