【技术实现步骤摘要】
本专利技术涉及网络管理,尤其涉及一种业务访问异常行为的识别方法、系统、存储介质及计算机设备。
技术介绍
1、关键业务应用是企业的生命线,在保护业务应用系统不被入侵和破坏中,维护业务应用正常运转是重中之中。
2、当前普遍都采用应用防火墙来保护业务应用访问的入侵行为,其方法就是通过黑名单的机制,对黑名单内的入侵行为进行为禁止,当发生新的入侵行为将与黑名单中的历史入侵行为进行识别匹配,但如果新的入侵行为不在黑名单中,那么针对新的入侵行为很难进行识别和处理,从而将对企业网络访问安全造成极大的安全隐患。
3、综上可知,现有的方法在实际使用上,存在着较多的问题,所以有必要加以改进。
技术实现思路
1、针对上述的缺陷,本专利技术的目的在于提供一种业务访问异常行为的识别方法,系统、存储介质及其计算机设备,能够使行为模型更具有针对性和准确性,避免了基于黑名单模式对未知行为而引发的安全风险。
2、为了实现上述目的,本专利技术提供一种业务访问异常行为的识别方法,包括步骤:
3、根据业务应用在预设时间段内采集到的基础数据,建立所述业务应用的初步行为模型;其中,所述基础数据包括终端信息和应用运行参数;
4、通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理;
5、若优化后的所述初步行为模型的判定有效范围达到预设条件,则将对应的所述初步行为模型确定为目标模型;>
6、通过所述目标模型判定出所述网络中的异常行为。
7、可选的,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤具体包括:
8、通过所述初步行为模型对网络中的用户访问行为的合法性进行逐一判定,获得对应的判定结果;
9、依次根据所述判定结果对所述初步行为模型进行优化处理。
10、可选的,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤之后,还包括:
11、判断所述初步行为模型在预设的优化周期内的判定有效范围是否大于或等于98%;
12、若所述判定有效范围小于98%,则将所述初步行为模型在下一优化周期中继续进行优化处理;
13、所述若优化后的所述初步行为模型的判定有效范围达到预设条件,则将对应的所述初步行为模型确定为目标模型的步骤具体包括:
14、若所述判定有效范围大于或等于98%,则将对应优化处理后的所述初步行为模型确定为目标模型。
15、可选的,所述通过所述目标模型判定出所述网络中的异常行为的步骤之后,还包括:
16、将所述目标模型判定出的所述异常行为上报至指定的后台管理中心。
17、可选的,所述优化处理包括模型参数调整和波动范围设置。
18、可选的,所述终端信息包括终端设备ip地址、终端设备mac地址和用户身份信息;和/或
19、所述应用运行参数包括终端应用访问进程、访问目标ip、端口、协议、数据包头部关键信息、发起访问时间、访问时长、访问频度以及应用操作信息。
20、还提供了一种业务访问异常行为的识别系统,包括有:
21、建立单元,用于根据业务应用在预设时间段内采集到的基础数据,建立所述业务应用的初步行为模型;其中,所述基础数据包括终端信息和应用运行参数;
22、优化单元,用于通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理;
23、确定单元,用于若优化后的所述初步行为模型的判定有效范围达到预设条件,则将对应的所述初步行为模型确定为目标模型;
24、判定单元,用于通过所述目标模型判定出所述网络中的异常行为。
25、可选的,所述优化单元具体包括:
26、合法性判定子单元,用于通过所述初步行为模型对网络中的用户访问行为的合法性进行逐一判定,获得对应的判定结果;
27、模型优化子单元,用于依次根据所述判定结果对所述初步行为模型进行优化处理。
28、另外,还提供了一种存储介质和计算机设备,所述存储介质用于存储一种用于执行上述业务访问异常行为的识别方法的计算机程序。
29、所述计算机设备包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的业务访问异常行为的识别方法。
30、本专利技术所述的业务访问异常行为的识别方法及其系统,根据在预设时间段内从业务应用上采集到的终端信息和应用运行参数,针对网络中的用户建立起初步行为模型;通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果进行模型优化处理;当优化后的初步行为模型的判定有效范围达到预设条件时,再将该优化后的初步行为模型用于作为判定网络中异常行为的目标模型。据此,本专利技术能够使行为模型更具有针对性和准确性,避免了基于黑名单模式对未知行为而引发的安全风险。
本文档来自技高网...【技术保护点】
1.一种业务访问异常行为的识别方法,其特征在于,包括步骤:
2.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤具体包括:
3.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤之后,还包括:
4.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述目标模型判定出所述网络中的异常行为的步骤之后,还包括:
5.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述优化处理包括模型参数调整和波动范围设置。
6.根据权利要求1~5任一项所述的业务访问异常行为的识别方法,其特征在于,所述终端信息包括终端设备IP地址、终端设备MAC地址和用户身份信息;和/或
7.一种业务访问异常行为的识别系统,其特征在于
8.根据权利要求7所述的业务访问异常行为的识别系统,其特征在于,所述优化单元具体包括:
9.一种存储介质,其特征在于,用于存储一种用于执行权利要求1~6中任意一种所述业务访问异常行为的识别方法的计算机程序。
10.一种计算机设备,包括存储介质、处理器以及存储在所述存储介质上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1~6任一项所述业务访问异常行为的识别方法。
...【技术特征摘要】
1.一种业务访问异常行为的识别方法,其特征在于,包括步骤:
2.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤具体包括:
3.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述初步行为模型对网络中的用户访问行为的合法性进行判定,并基于所述初步行为模型的判定结果,对所述初步行为模型进行优化处理的步骤之后,还包括:
4.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于,所述通过所述目标模型判定出所述网络中的异常行为的步骤之后,还包括:
5.根据权利要求1所述的业务访问异常行为的识别方法,其特征在于...
【专利技术属性】
技术研发人员:宋非,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。