【技术实现步骤摘要】
本申请涉及信息安全领域,特别是涉及一种行为监测方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
1、随着互联网的高速发展,网络安全也愈发重要。攻击者在对一个网站进行攻击前,都会通过扫描进行信息收集或发起大量扫描瘫痪网站服务。
2、传统技术中,通常采用被动防御的方法,即在攻击行为发生后才进行检测和应对,监测和分析网络设备、服务器和应用程序的日志,以识别具有异常扫描行为的ip(internetprotocol address,互联网协议地址)或用户,并对该ip或用户设置访问限制。
3、然而,传统技术中,由于仅支持在攻击行为发生后进行被动防御,导致网站服务安全性较差。
技术实现思路
1、基于此,有必要针对上述技术问题,提供一种行为监测方法、装置、计算机设备、计算机可读存储介质和计算机程序产品。
2、第一方面,本申请提供了一种行为监测方法,包括:
3、获取连接请求的属性信息;所述连接请求包括连接行为和端口扫描行为;
4、响应于所述连接行为,基于预设评分规则对所述属性信息进行评价分析,确定所述连接请求对应的第一评价分数;
5、根据行为监测模型对所述第一评价分数和所述属性信息进行特征提取,得到所述连接请求对应的特征向量,并对所述特征向量进行数据处理,得到所述连接请求中的所述端口扫描行为的行为模式;
6、基于所述行为模式对所述连接请求对应的实体进行行为管控。
7、在其中一个实施例中,所述属
8、所述响应于所述连接行为,基于预设评分规则对所述属性信息进行评价分析,确定所述连接请求对应的第一评价分数,包括:
9、根据历史行为库确定所述连接请求的身份信息和所述身份信息对应的历史行为记录;
10、基于所述历史行为记录、所述访问端口、所述访问频率、所述访问范围和所述访问系统服务在预设评分规则中对应的评分区间确定所述连接请求对应的第一评价分数。
11、在其中一个实施例中,所述根据行为监测模型对所述第一评价分数和所述属性信息进行特征提取,得到所述连接请求对应的特征向量,包括:
12、将所述属性信息中的连续变量进行离散化处理,得到二元特征向量;
13、根据所述二元特征向量和所述属性信息进行特征拼接,构成编码数据;
14、基于预设编码方式对所述编码数据进行编码,得到所述连接请求对应的特征向量。
15、在其中一个实施例中,所述获取连接请求的属性信息之前,所述方法还包括:
16、获取训练样本集和待训练的第一行为监测模型;所述训练样本集中的训练样本包含样本标签;
17、基于预设评分规则对每个所述训练样本进行评价分析,得到所述训练样本的第二评价分数;
18、根据所述第一行为监测模型对所述第二评价分数和所述训练样本进行特征提取,得到每个所述训练样本对应的特征向量;
19、通过所述训练样本对应的特征向量和所述训练样本的所述样本标签对所述第一行为监测模型进行训练,得到训练完成的行为监测模型。
20、在其中一个实施例中,所述通过所述训练样本对应的特征向量和所述训练样本的所述样本标签对所述第一行为监测模型进行训练,得到训练完成的行为监测模型,包括:
21、对所述训练样本进行分类,得到训练集和验证集;
22、根据所述训练集对应的特征向量对多个所述第一行为监测模型进行模型参数更新,得到模型参数更新后的第二行为监测模型;
23、将每个所述第二行为监测模型对所述验证集进行数据处理,所述得到每个所述第二行为监测模型对应的处理结果;
24、基于所述验证集中每个训练样本对应的样本标签和每个所述第二行为监测模型对应的处理结果,在多个所述第二行为监测模型中确定目标行为监测模型。
25、在其中一个实施例中,所述基于所述验证集中每个训练样本对应的样本标签和每个所述第二行为监测模型对应的处理结果,在多个所述第二行为监测模型中确定目标行为监测模型,包括:
26、针对每个所述第二行为监测模型,基于所述验证集中每个训练样本对应的样本标签和所述第二行为监测模型对应的处理结果,确定每个所述第二行为监测模型的准确率、精确度和召回率;
27、基于每个所述第二行为监测模型的所述准确率、所述精确度和所述召回率确定每个所述第二行为监测模型的评价指标;
28、将所述评价指标满足预设阈值的所述第二行为监测模型确定为目标行为监测模型。
29、第二方面,本申请还提供了一种行为监测装置,包括:
30、第一获取模块,用于获取连接请求的属性信息;所述连接请求包括连接行为和端口扫描行为;
31、第一评价模块,用于响应于所述连接行为,基于预设评分规则对所述属性信息进行评价分析,确定所述连接请求对应的第一评价分数;
32、第一处理模块,用于根据行为监测模型对所述第一评价分数和所述属性信息进行特征提取,得到所述连接请求对应的特征向量,并对所述特征向量进行数据处理,得到所述连接请求中的所述端口扫描行为的行为模式;
33、管控模块,用于基于所述行为模式对所述连接请求对应的实体进行行为管控。
34、在其中一个实施例中,所述属性信息包括访问端口、访问频率、访问范围和访问系统服务;
35、所述第一评价模块具体用于根据历史行为库确定所述连接请求的身份信息和所述身份信息对应的历史行为记录;
36、基于所述历史行为记录、所述访问端口、所述访问频率、所述访问范围和所述访问系统服务在预设评分规则中对应的评分区间确定所述连接请求对应的第一评价分数。
37、在其中一个实施例中,所述第一处理模块具体用于将所述属性信息中的连续变量进行离散化处理,得到二元特征向量;
38、根据所述二元特征向量和所述属性信息进行特征拼接,构成编码数据;
39、基于预设编码方式对所述编码数据进行编码,得到所述连接请求对应的特征向量。
40、在其中一个实施例中,所述装置还包括:
41、第二获取模块,用于获取训练样本集和待训练的第一行为监测模型;所述训练样本集中的训练样本包含样本标签;
42、第二评价模块,用于基于预设评分规则对每个所述训练样本进行评价分析,得到所述训练样本的第二评价分数;
43、第二处理模块,用于根据所述第一行为监测模型对所述第二评价分数和所述训练样本进行特征提取,得到每个所述训练样本对应的特征向量;
44、训练模块,用于通过所述训练样本对应的特征向量和所述训练样本的所述样本标签对所述第一行为监测模型进行训练,得到训练完成的行为监测模型。
45、在其中一个实施例中,所述训练模块具体用于对所述训练样本进行分类,得到训练集和验证集;
46、根据本文档来自技高网...
【技术保护点】
1.一种行为监测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括访问端口、访问频率、访问范围和访问系统服务;
3.根据权利要求1所述的方法,其特征在于,所述根据行为监测模型对所述第一评价分数和所述属性信息进行特征提取,得到所述连接请求对应的特征向量,包括:
4.根据权利要求1所述的方法,其特征在于,所述获取连接请求的属性信息之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述通过所述训练样本对应的特征向量和所述训练样本的所述样本标签对所述第一行为监测模型进行训练,得到训练完成的行为监测模型,包括:
6.根据权利要求5所述的方法,其特征在于,所述基于所述验证集中每个训练样本对应的样本标签和每个所述第二行为监测模型对应的处理结果,在多个所述第二行为监测模型中确定目标行为监测模型,包括:
7.一种行为监测装置,其特征在于,所述装置包括:
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。
...【技术特征摘要】
1.一种行为监测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述属性信息包括访问端口、访问频率、访问范围和访问系统服务;
3.根据权利要求1所述的方法,其特征在于,所述根据行为监测模型对所述第一评价分数和所述属性信息进行特征提取,得到所述连接请求对应的特征向量,包括:
4.根据权利要求1所述的方法,其特征在于,所述获取连接请求的属性信息之前,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述通过所述训练样本对应的特征向量和所述训练样本的所述样本标签对所述第一行为监测模型进行训练,得到训练完成的行为监测模型,包括:
6.根据权利要求5所述的方法,其特征在...
【专利技术属性】
技术研发人员:曾炜,刘静,陈凌潇,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。