[發(fā)明專利]文件異常下載行為的檢測方法及裝置有效
| 申請(qǐng)?zhí)枺?/td> | 201911251809.0 | 申請(qǐng)日: | 2019-12-09 |
| 公開(公告)號(hào): | CN111064719B | 公開(公告)日: | 2022-02-11 |
| 發(fā)明(設(shè)計(jì))人: | 郝傳洲 | 申請(qǐng)(專利權(quán))人: | 綠盟科技集團(tuán)股份有限公司;北京神州綠盟科技有限公司 |
| 主分類號(hào): | H04L9/40 | 分類號(hào): | H04L9/40;H04L67/06 |
| 代理公司: | 北京同達(dá)信恒知識(shí)產(chǎn)權(quán)代理有限公司 11291 | 代理人: | 路曉丹 |
| 地址: | 100089 北京*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 文件 異常 下載 行為 檢測 方法 裝置 | ||
1.一種文件異常下載行為的測檢方法,其特征在于,所述方法包括:
從存儲(chǔ)的下載日志信息中獲取至少一個(gè)文件下載行為個(gè)體和每個(gè)文件下載行為個(gè)體對(duì)應(yīng)的下載記錄,其中,所述文件下載行為個(gè)體包括用戶標(biāo)識(shí)和下載文件對(duì)應(yīng)的源IP地址、目的IP地址以及文件傳輸協(xié)議,所述下載記錄包括文件下載數(shù)量、下載時(shí)間和下載文件大小;
獲取每個(gè)文件下載行為個(gè)體對(duì)應(yīng)的下載記錄中文件下載數(shù)量大于預(yù)設(shè)數(shù)量閾值的目標(biāo)下載記錄;
采用預(yù)設(shè)聚類算法,按照下載時(shí)間與下載文件大小,對(duì)所述目標(biāo)下載記錄進(jìn)行聚類分析,得到文件下載行為基線,所述文件下載行為基線包括所述至少一個(gè)文件下載行為個(gè)體對(duì)應(yīng)的文件下載行為,所述文件下載行為包括下載時(shí)間范圍、下載文件的大小范圍和下載文件的第一下載頻次,所述第一下載頻次是由所述下載時(shí)間范圍內(nèi)的文件下載數(shù)量和所述下載時(shí)間范圍的下載持續(xù)時(shí)間確定的;
將采集的預(yù)設(shè)檢測時(shí)間段內(nèi)的待檢測文件下載行為個(gè)體的下載記錄與所述文件下載行為基線中的至少一個(gè)文件下載行為個(gè)體對(duì)應(yīng)的文件下載行為進(jìn)行匹配檢測,確定所述待檢測文件下載行為個(gè)體的下載記錄是否存在異常文件下載行為;
若確定所述待檢測文件下載行為個(gè)體的下載記錄不存在異常文件下載行為,則獲取所述下載記錄中下載時(shí)間之前的目標(biāo)時(shí)間段內(nèi)所述待檢測文件下載行為個(gè)體對(duì)應(yīng)的告警信息,所述告警信息包括告警事件的類型數(shù)和每種類型的告警事件的發(fā)生次數(shù);
根據(jù)所述告警事件的類型數(shù)和所述每種類型的告警事件的發(fā)生次數(shù),確定所述待檢測文件下載行為個(gè)體的下載記錄是否存在異常文件下載行為。
2.如權(quán)利要求1所述的方法,其特征在于,所述預(yù)設(shè)數(shù)量閾值T是由所述至少一個(gè)文件下載行為個(gè)體的總數(shù)與每個(gè)文件下載行為個(gè)體對(duì)應(yīng)的下載記錄中的文件下載數(shù)量確定的;
所述預(yù)設(shè)數(shù)量閾值T的計(jì)算公式表示為:
其中,Nall為所述至少一個(gè)文件下載行為個(gè)體的總數(shù),ni為第i個(gè)文件下載行為個(gè)體對(duì)應(yīng)的下載記錄中的文件下載數(shù)量,α為調(diào)整系數(shù),取值范圍為[0,1]。
3.如權(quán)利要求1所述的方法,其特征在于,獲取每種文件標(biāo)識(shí)對(duì)應(yīng)的下載記錄中文件下載數(shù)量大于預(yù)設(shè)數(shù)量閾值的目標(biāo)下載記錄之后,所述方法還包括:
按照下載時(shí)間與下載文件大小,對(duì)所述目標(biāo)下載記錄進(jìn)行歸一化處理,得到待處理的歸一化向量;
采用預(yù)設(shè)異常點(diǎn)去除算法,對(duì)所述待處理的歸一化向量進(jìn)行異常點(diǎn)去除,得到去除異常點(diǎn)的目標(biāo)下載記錄。
4.如權(quán)利要求1所述的方法,其特征在于,采用預(yù)設(shè)聚類算法,按照下載時(shí)間與下載文件大小,對(duì)所述目標(biāo)下載記錄進(jìn)行聚類分析,得到所述至少一個(gè)文件下載行為個(gè)體對(duì)應(yīng)的文件下載行為,包括:
采用預(yù)設(shè)聚類算法,按照下載時(shí)間與下載文件大小,對(duì)所述目標(biāo)下載記錄進(jìn)行聚類,得到至少一個(gè)簇;
對(duì)每個(gè)簇中的目標(biāo)下載記錄進(jìn)行統(tǒng)計(jì)分析,得到所述至少一個(gè)文件下載行為個(gè)體對(duì)應(yīng)的文件下載行為。
5.如權(quán)利要求1所述的方法,其特征在于,所述第一下載頻次的計(jì)算公式表示為:
其中,Nrec為所述下載時(shí)間范圍內(nèi)[i,j]的文件下載數(shù)量,β為調(diào)整系數(shù),Tij為所述下載時(shí)間范圍的下載持續(xù)時(shí)間,所述下載持續(xù)時(shí)間的時(shí)長表示為:j-i。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于綠盟科技集團(tuán)股份有限公司;北京神州綠盟科技有限公司,未經(jīng)綠盟科技集團(tuán)股份有限公司;北京神州綠盟科技有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911251809.0/1.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
