[發明專利]異常訪問行為的檢測方法、系統、存儲介質和終端在審
| 申請號: | 202010406978.3 | 申請日: | 2020-05-14 |
| 公開(公告)號: | CN111600880A | 公開(公告)日: | 2020-08-28 |
| 發明(設計)人: | 蒲大峰 | 申請(專利權)人: | 深信服科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 深圳市深佳知識產權代理事務所(普通合伙) 44285 | 代理人: | 夏歡 |
| 地址: | 518055 廣東省深圳市南*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 異常 訪問 行為 檢測 方法 系統 存儲 介質 終端 | ||
1.一種異常訪問行為的檢測方法,其特征在于,包括:
記錄終端的訪問行為的訪問關系集;
將所述訪問關系集的訪問行為特征輸入訪問檢測模型;所述訪問檢測模型為通過對所述終端的歷史訪問數據中的訪問行為特征訓練得到的模型;
根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為。
2.根據權利要求1所述的檢測方法,其特征在于,所述記錄終端的訪問行為的訪問關系集包括:
在所述終端受到攻擊時,和/或,所述終端的安全等級變化時,記錄終端的訪問行為的訪問關系集。
3.根據權利要求1所述的檢測方法,其特征在于,還包括:
獲取預設時間范圍內的歷史訪問數據中各訪問行為的訪問行為特征;所述訪問行為特征包括訪問時間、訪問網絡特征和訪問頻率中的一種或任意幾種的組合,所述訪問網絡特征包括目的IP、目的端口、通信協議、上行流量和下行流量中一項或任意幾項的組合;
對所述訪問行為特征聚類訓練得到所述訪問檢測模型。
4.根據權利要求1所述的檢測方法,其特征在于,所述訪問檢測模型中預先學習有正常訪問特征集合及異常訪問特征集合;
所述根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為包括:
計算所述訪問關系集中的訪問行為特征與所述正常訪問特征集合之間的第一距離;
計算所述訪問關系集中的訪問行為特征與所述異常訪問特征集合之間的第二距離;
若所述第一距離大于所述第二距離,則所述訪問關系集中的訪問行為為異常訪問行為。
5.根據權利要求4所述的檢測方法,其特征在于,所述訪問檢測模型包括黑流量檢測模型和白流量檢測模型,將所述訪問關系集的訪問行為特征輸入訪問檢測模型包括:
將所述訪問關系集的訪問行為特征輸入所述黑流量檢測模型,得到所述黑流量檢測結果;
若所述黑流量檢測結果正常,將所述訪問關系集的訪問行為特征輸入所述白流量檢測模型。
6.根據權利要求1-5任一項所述的檢測方法,其特征在于,根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的異常訪問行為之后,還包括:
根據所有異常訪問行為確定攻擊鏈,并利用所述攻擊鏈進行網絡攻擊防護。
7.根據權利要求1-5任一項所述的檢測方法,其特征在于,還包括:
利用第二終端的第二訪問檢測模型優化所述訪問檢測模型,得到優化訪問檢測模型;
利用所述優化訪問檢測模型替代所述訪問檢測模型進行異常訪問行為檢測。
8.一種異常訪問行為的檢測系統,其特征在于,包括:
記錄模塊,用于記錄終端的訪問行為的訪問關系集;
數據輸入模塊,用于將所述訪問關系集的訪問行為特征輸入訪問檢測模型;所述訪問檢測模型為通過對所述終端的歷史訪問數據中的訪問行為特征訓練得到的模型;
異常檢測模塊,用于根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為。
9.一種計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1-7任一項所述的方法的步驟。
10.一種終端,其特征在于,包括存儲器和處理器,所述存儲器中存有計算機程序,所述處理器調用所述存儲器中的計算機程序時實現如權利要求1-7任一項所述的方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于深信服科技股份有限公司,未經深信服科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010406978.3/1.html,轉載請聲明來源鉆瓜專利網。
