本發(fā)明實施例公開了一種安全檢測方法、裝置和系統(tǒng)，所述安全檢測方法包括以下步驟至少之一：確定預設通信范圍內的業(yè)務行為重心向量；其中，所述業(yè)務行為重心向量用于描述業(yè)務的關鍵業(yè)務行為的分布特征；根據所述業(yè)務行為重心向量確定預設通信范圍內是否存在業(yè)務異常。本發(fā)明實施例基于預設通信范圍內的業(yè)務行為重心向量實現了對預設通信范圍內的業(yè)務級別的安全檢測。

技術領域

本發(fā)明實施例涉及但不限于大數據網絡安全分析領域，尤指一種安全檢測方法、裝置和系統(tǒng)。

背景技術

隨著信息技術(IT，Information Technology)在各行各業(yè)的深入發(fā)展，以及IT技術自身的復雜化，IT技術趨向于結構上的分層化以及廣泛使用分布式的部署，傳統(tǒng)單一的網絡運維方式越來越不能滿足變化的IT技術、層出不窮的新型攻擊手段。虛擬化云計算等技術也在原有的結構下，重新改變了IT部署的方式。

近年來，隨著用戶數目的增加，網絡規(guī)模成指數增長；與此同時，網絡所承載的業(yè)務類型也呈現出多樣化、綜合化的趨勢。這種大規(guī)模結構不僅造成業(yè)務分析的困難，而且由于大量不同業(yè)務的相互影響導致網絡狀態(tài)不斷發(fā)生變化，業(yè)務運行的可控性和安全性得不到保障。在復雜的網絡環(huán)境下，需要進行安全性檢測。

相關的安全檢測方法針對可疑連接或可疑資產進行，往往采用單節(jié)點、分區(qū)域的檢測策略來發(fā)現單點問題，無法實現對業(yè)務級別的安全檢測。

發(fā)明內容

本發(fā)明實施例提供了一種安全檢測方法、裝置和系統(tǒng)，能夠實現對業(yè)務級別的安全檢測。

本發(fā)明實施例提供了一種安全檢測方法，包括以下步驟至少之一：

確定預設通信范圍內的業(yè)務行為重心向量；其中，所述業(yè)務行為重心向量用于描述業(yè)務的關鍵業(yè)務行為的分布特征；

根據所述業(yè)務行為重心向量確定預設通信范圍內是否存在業(yè)務異常。

在本發(fā)明實施例中，所述根據業(yè)務行為重心向量確定預設通信范圍內是否存在業(yè)務異常包括以下至：

當所述業(yè)務行為重心向量與預先設置的業(yè)務行為重心基線向量的偏差大于或等于預設閾值時，確定預設通信范圍內存在業(yè)務異常；

當所述業(yè)務行為重心向量與預先設置的業(yè)務行為重心基線向量的偏差小于所述預設閾值時，確定預設通信范圍內不存在業(yè)務異常。

在本發(fā)明實施例中，當確定預設通信范圍內存在業(yè)務異常時，該方法還包括：進行業(yè)務異常告警。

在本發(fā)明實施例中，當確定預設通信范圍內不存在業(yè)務異常時，該方法還包括：根據所述業(yè)務行為重心向量更新所述業(yè)務行為重心基線向量。

在本發(fā)明實施例中，所述業(yè)務行為重心向量與預先設置的業(yè)務行為重心基線向量的偏差為所述業(yè)務行為重心向量中發(fā)生變化的業(yè)務鏈的數量和業(yè)務行為重心基線向量中業(yè)務鏈的數量的比值。

在本發(fā)明實施例中，所述確定預設通信范圍內的業(yè)務行為重心向量包括：

獲取所述預設通信范圍內的業(yè)務行為元數據；其中，所述業(yè)務行為元數據用于描述業(yè)務行為特征；

根據所述業(yè)務行為元數據確定業(yè)務鏈模型數據；其中，所述業(yè)務鏈模型數據包括業(yè)務鏈和業(yè)務鏈行為向量，所述業(yè)務鏈為具有訪問關系的一組互聯網協議IP地址，所述業(yè)務鏈行為向量為業(yè)務鏈在預設時間點的業(yè)務特征屬性；

根據所述業(yè)務鏈模型數據計算所述業(yè)務行為重心向量。

在本發(fā)明實施例中，所述獲取預設通信范圍內的業(yè)務行為元數據包括：

獲取所述預設通信范圍內的網絡鏡像流量數據和應用日志；

根據所述網絡鏡像流量數據和應用日志構建所述業(yè)務行為元數據。