本发明专利技术提供一种用于安全分析的实时频率行为安全基线生成方法及装置;其中,方法包括:获取第一行为数据及频率行为安全基线的频率相关参数;其中,所述频率相关参数用于指示访问用户访问网站的访问频率;根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线。本发明专利技术能够实现对行为数据进行学习并生成对应频率行为安全基线,提高计算和异常检测效率。和异常检测效率。和异常检测效率。
【技术实现步骤摘要】
用于安全分析的实时频率行为安全基线生成方法及装置
[0001]本专利技术涉及网络安全
,尤其涉及一种用于安全分析的实时频率行为安全基线生成方法及装置。
技术介绍
[0002]随着技术的发展和知识的扩散,网络攻击方法和数量也随之大幅增加,各种新攻击手段层出不穷,给安全分析人员和产品带来了很大的挑战和压力。传统的安全分析和检测手段是基于先验知识,采用特征的方式来对网络数据和日志进行安全检测,这种方式可以应对已知攻击方法,但对未知和新的攻击方法的检测效率低,无法适应当前严峻的网络安全态势。近年来随着机器学习的发展和实时计算框架的兴起,基于行为的安全分析方法开始越来越多的应用于各类安全产品中。
[0003]相关技术中,基于行为的安全分析方法采用机器学习的方法,通过对网络数据和日志进行学习,统计和归纳出用户和实体的行为特点,通过学习出的行为安全基线,能很好的用于异常行为分析和检测,完成很多基于特征的方式无法达到的效果。但是,如何基于网络数据和日志生成行为安全基线是亟待解决的问题。
技术实现思路
[0004]本专利技术提供一种用于安全分析的实时频率行为安全基线生成方法及装置。
[0005]本专利技术提供一种用于安全分析的实时频率行为安全基线生成方法,所述方法包括:
[0006]获取第一行为数据及频率行为安全基线的频率相关参数;其中,所述频率相关参数用于指示访问用户访问网站的访问频率;
[0007]根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线。/>[0008]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,所述频率相关参数中包括以下至少一项:
[0009]第一计算表达式,用于学习所述第一行为数据中的访问用户信息;
[0010]第二计算表达式,用于学习所述第一行为数据中的用户互联网协议IP及访问频率。
[0011]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,所述根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线,包括:
[0012]依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表达式相关的学习值,及基于所述学习值生成所述频率行为安全基线;
[0013]其中,所述学习值用于指示访问用户访问网站的访问频率。
[0014]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,所述依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表
达式相关的学习值,包括:
[0015]在当前计算表达式不是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第一行为数据中计算与所述当前计算表达式相关的学习值;查询当前树节点是否包含所述学习值关联的子树节点;
[0016]在所述当前树节点包含所述学习值关联的子树节点的情况下,将所述学习值关联的子树节点设置为当前树节点,将所述频率相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式;
[0017]在所述当前树节点没有包含所述学习值关联的子树节点的情况下,新建与所述学习值关联的子树节点,并在所述当前树节点的表中保存新建子树节点与所述学习值的关联关系,将所述新建子树节点设置为当前树节点,将所述频率相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式。
[0018]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,所述依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表达式相关的学习值,包括:
[0019]在当前计算表达式是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第一行为数据中计算与所述当前计算表达式相关的学习值;查询频率表中是否包括所述学习值对应的记录项;所述记录项的内容包括所述学习值与频率值f1的关联关系;
[0020]在所述频率表中包括所述记录项的情况下,更新所述记录项中频率值为f1+1;
[0021]在所述频率表中没有包括所述记录项的情况下,新建与所述学习值关联的记录项,新建记录项中频率值为1;将所述新建记录项保存到所述频率表中。
[0022]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,在所述根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线之后,所述方法还包括:
[0023]获取第二行为数据;
[0024]根据所述频率相关参数对所述第二行为数据进行学习,得到检测值;在所述频率行为安全基线中查询所述检测值,得到查询结果;根据所述查询结果确定是否在所述第二行为数据中检测到异常。
[0025]根据本专利技术提供的一种用于安全分析的实时频率行为安全基线生成方法,所述根据所述频率相关参数对所述第二行为数据进行学习,得到检测值;在所述频率行为安全基线中查询所述检测值,得到查询结果;根据所述查询结果确定是否在所述第二行为数据中检测到异常,包括:
[0026]在当前计算表达式不是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第二行为数据中计算与所述当前计算表达式相关的检测值;查询当前树节点是否包含所述检测值关联的子树节点;在所述当前树节点包含所述检测值关联的子树节点的情况下,将所述检测值关联的子树节点设置为当前树节点,将所述频率相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式;或者,在所述当前树节点没有包含所述检测值关联的子树节点的情况下,确定在所述第二行为数据中检测到异常,并输出异常检测告警数据;
[0027]在当前计算表达式是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第二行为数据中计算与所述当前计算表达式相关的检测值;查询当前树节点的频率表中是否包括所述检测值对应的记录项;所述记录项的内容包括所述检测值与频率值f2的关联关系;
[0028]在所述频率表中没有包括所述记录项的情况下,确定在所述第二行为数据中检测到异常,并输出异常检测告警数据;
[0029]在所述频率表中包括所述记录项,且所述频率值f2超出预设区间的情况下,确定在所述第二行为数据中检测到异常,并输出异常检测告警数据。
[0030]本专利技术还提供一种用于安全分析的实时频率行为安全基线生成装置,所述装置包括:
[0031]第一获取模块,用于获取第一行为数据及频率行为安全基线的频率相关参数;其中,所述频率相关参数用于指示访问用户访问网站的访问频率;
[0032]生成模块,用于根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线。
[0033]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述用于安全分析的实时频率行为安全基线生成方法。
...
【技术保护点】
【技术特征摘要】
1.一种用于安全分析的实时频率行为安全基线生成方法,其特征在于,所述方法包括:获取第一行为数据及频率行为安全基线的频率相关参数;其中,所述频率相关参数用于指示访问用户访问网站的访问频率;根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线。2.根据权利要求1所述的用于安全分析的实时频率行为安全基线生成方法,其特征在于,所述频率相关参数中包括以下至少一项:第一计算表达式,用于学习所述第一行为数据中的访问用户信息;第二计算表达式,用于学习所述第一行为数据中的用户互联网协议IP及访问频率。3.根据权利要求2所述的用于安全分析的实时频率行为安全基线生成方法,其特征在于,所述根据所述频率相关参数对所述第一行为数据进行学习,生成所述频率行为安全基线,包括:依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表达式相关的学习值,及基于所述学习值生成所述频率行为安全基线;其中,所述学习值用于指示访问用户访问网站的访问频率。4.根据权利要求3所述的用于安全分析的实时频率行为安全基线生成方法,其特征在于,所述依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表达式相关的学习值,包括:在当前计算表达式不是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第一行为数据中计算与所述当前计算表达式相关的学习值;查询当前树节点是否包含所述学习值关联的子树节点;在所述当前树节点包含所述学习值关联的子树节点的情况下,将所述学习值关联的子树节点设置为当前树节点,将所述频率相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式;在所述当前树节点没有包含所述学习值关联的子树节点的情况下,新建与所述学习值关联的子树节点,并在所述当前树节点的表中保存新建子树节点与所述学习值的关联关系,将所述新建子树节点设置为当前树节点,将所述频率相关参数中所述当前计算表达式的下一个计算表达式设置为当前计算表达式。5.根据权利要求3所述的用于安全分析的实时频率行为安全基线生成方法,其特征在于,所述依次使用所述频率相关参数中每个计算表达式,从所述第一行为数据中学习与各所述计算表达式相关的学习值,包括:在当前计算表达式是所述频率相关参数中最后一个计算表达式的情况下,使用所述当前计算表达式,从所述第一行为数据中计算与所述当前计算表达式相关的学习值;查询频率表中是否包括所述学习值对应的记录项;所述记录项的内容包括所述学习值与频率值f1的关联关系;在所述频率表中包括所述记录项的情况下,更新所述记录项中频率值为f1+1;在所述频率表中没有包括所述记录项的情况下,新建与所述学习值关联的记录项,新建记录项中频率值为1;将所述新建记录项保存到所...
【专利技术属性】
技术研发人员:覃永靖,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。