[發(fā)明專利]異常訪問檢測方法、裝置、設(shè)備及計算機可讀存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 201810232572.0 | 申請日: | 2018-03-20 |
| 公開(公告)號: | CN108446546A | 公開(公告)日: | 2018-08-24 |
| 發(fā)明(設(shè)計)人: | 劉伯仲;鄧守勛 | 申請(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號: | G06F21/31 | 分類號: | G06F21/31;G06F21/55 |
| 代理公司: | 深圳市深佳知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 王仲凱 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 內(nèi)網(wǎng)服務(wù)器 訪問對象 訪問檢測 訪問行為 計算機可讀存儲介質(zhì) 合法訪問 概率 概率分布模型 小概率事件 概率區(qū)間 網(wǎng)絡(luò)審計 閾值時 訪問 檢測 安全 | ||
1.一種異常訪問檢測方法,其特征在于,所述方法包括:
判斷獲取的待檢測網(wǎng)絡(luò)審計數(shù)據(jù)中訪問指定內(nèi)網(wǎng)服務(wù)器的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象;
若不是所述合法訪問對象,則根據(jù)訪問行為概率分布模型確定所述訪問對象對應(yīng)的訪問行為數(shù)據(jù)所屬概率區(qū)間的概率值;
當(dāng)所述概率值小于概率閾值時,則所述訪問對象的訪問行為為異常訪問。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,判斷獲取的待檢測網(wǎng)絡(luò)審計數(shù)據(jù)中訪問指定內(nèi)網(wǎng)服務(wù)器的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象,包括:
從獲取的待檢測網(wǎng)絡(luò)審計數(shù)據(jù)中篩選出所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的訪問數(shù)據(jù);
從所述訪問數(shù)據(jù)中篩選出滿足預(yù)設(shè)有效訪問狀態(tài)的訪問數(shù)據(jù)作為有效訪問數(shù)據(jù);
判斷所述有效訪問數(shù)據(jù)的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,判斷所述有效訪問數(shù)據(jù)的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象,包括:
判斷所述有效訪問數(shù)據(jù)的訪問對象的IP是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法網(wǎng)段內(nèi)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,還包括:
根據(jù)用戶對所述異常訪問的反饋結(jié)果更新所述訪問行為概率分布模型。
5.根據(jù)權(quán)利要求1-4任一項所述的方法,其特征在于,當(dāng)所述訪問對象不是所述合法訪問對象,還包括:
確定所述訪問對象的訪問行為數(shù)據(jù)對應(yīng)的訪問向量;
計算所述訪問向量與所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的標(biāo)準(zhǔn)訪問向量的相似度;
當(dāng)所述相似度小于相似度閾值時,執(zhí)行所述根據(jù)訪問行為概率分布模型確定所述訪問對象對應(yīng)的訪問行為數(shù)據(jù)所屬概率區(qū)間的概率值的步驟。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,計算所述訪問向量與所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的標(biāo)準(zhǔn)訪問向量的相似度,包括:
利用余弦相似度算法或Jaccard相似系數(shù)計算所述訪問向量與所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的標(biāo)準(zhǔn)訪問向量的相似度。
7.一種異常訪問檢測裝置,其特征在于,所述裝置包括:
對象異常檢測模塊,用于判斷獲取的待檢測網(wǎng)絡(luò)審計數(shù)據(jù)中訪問指定內(nèi)網(wǎng)服務(wù)器的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象;
行為異常檢測模塊,用于當(dāng)所述訪問對象不是所述合法訪問對象時,則根據(jù)訪問行為概率分布模型確定所述訪問對象對應(yīng)的訪問行為數(shù)據(jù)所屬概率區(qū)間的概率值;當(dāng)所述概率值小于概率閾值時,則所述訪問對象的訪問行為為異常訪問。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于,所述對象異常檢測模塊,包括:
第一篩選單元,用于從獲取的待檢測網(wǎng)絡(luò)審計數(shù)據(jù)中篩選出所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的訪問數(shù)據(jù);
第二篩選單元,用于從所述訪問數(shù)據(jù)中篩選出滿足預(yù)設(shè)有效訪問狀態(tài)的訪問數(shù)據(jù)作為有效訪問數(shù)據(jù);
對象異常檢測單元,用于判斷所述有效訪問數(shù)據(jù)的訪問對象是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法訪問對象。
9.根據(jù)權(quán)利要求8所述的裝置,其特征在于,所述對象異常檢測單元具體為判斷所述有效訪問數(shù)據(jù)的訪問對象的IP是否為所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的合法網(wǎng)段內(nèi)的單元。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于,還包括:
更新模塊,用于根據(jù)用戶對所述異常訪問的反饋結(jié)果更新所述訪問行為概率分布模型。
11.根據(jù)權(quán)利要求7-10任一項所述的裝置,其特征在于,還包括:
相似度計算模塊,用于當(dāng)所述訪問對象不是所述合法訪問對象時,確定所述訪問對象的訪問行為數(shù)據(jù)對應(yīng)的訪問向量;計算所述訪問向量與所述指定內(nèi)網(wǎng)服務(wù)器對應(yīng)的標(biāo)準(zhǔn)訪問向量的相似度;當(dāng)所述相似度小于相似度閾值時,觸發(fā)所述行為異常檢測模塊。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810232572.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:信息處理裝置、圖像形成裝置
- 下一篇:一種計算機開機的方法
- 一種站車銷售商品管理信息系統(tǒng)
- 內(nèi)網(wǎng)開發(fā)服務(wù)器訪問方法、裝置及系統(tǒng)
- 一種數(shù)據(jù)接口訪問系統(tǒng)
- 一種綜合數(shù)據(jù)統(tǒng)一報表硬件平臺
- 訪問內(nèi)網(wǎng)服務(wù)器的方法及控制訪問內(nèi)網(wǎng)服務(wù)器的裝置
- 一種跨內(nèi)網(wǎng)通信方法及裝置
- 外網(wǎng)訪問內(nèi)網(wǎng)的方法、裝置、計算機設(shè)備及可讀存儲介質(zhì)
- 一種操作系統(tǒng)補丁批量自動化更新管理方法及系統(tǒng)
- 一種外聯(lián)監(jiān)控方法及裝置
- 一種穿透DMZ網(wǎng)絡(luò)的SIP WebRTC網(wǎng)關(guān)系統(tǒng)
