本發明實施例提供了一種異常網絡安全行為的檢測方法、裝置、電子設備及存儲介質。其中，異常網絡安全行為的檢測方法，包括：獲取用戶的網絡安全行為對應的當前日志數據，其中，所述當前日志數據包括網絡流量日志和/或系統應用日志；獲取網絡安全行為基線，并基于所述網絡安全行為基線對所述當前日志數據進行檢測，以確定所述用戶的網絡安全行為是否為異常網絡安全行為，其中，所述網絡安全行為基線是根據輸入的配置參數通過預設的學習周期內的網絡安全行為對應的日志數據學習得到。本發明的實施例，相比于現有技術中采用固定閾值判斷的方式，具有異常網絡安全行為檢測準確、可靠的優點。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種異常網絡安全行為的檢測方法、裝置、電子設備及存儲介質。

背景技術

目前，企業內的工作大多是基于線上進行的，因此，如何保證網絡安全，防止企業的機密泄漏至關重要，現有技術中，對網絡安全行為異常檢測采用的方式是通過固定閾值進行判斷，例如：判斷企業內員工每天的下載行為是否超過固定閾值，如果下載量超過固定閾值，則認為是異常網絡安全行為。但是，不同企業的業務要求不同，固定閾值并不相同，并且，同一企業，不同的數據的安全等級也不同，因此，通過這種固定閾值的方式需要設置多種不同的閾值，維護成本較高。此外，如某一個企業內部用戶每天下載小部分機密文件，每天下載量符合實時的固定閾值檢測，但是下載次數是會不斷增長的，經長時間綜合來看，此用戶的文件下載次數超過其他用戶下載次數的正常范圍，是一種異常網絡安全行為，但是，這種場景通過固定閾值的檢測方式并不能夠很好地檢測到。

發明內容

針對現有技術中的問題，本發明實施例提供一種異常網絡安全行為的檢測方法、裝置、電子設備及存儲介質。

具體地，本發明實施例提供了以下技術方案：

第一方面，本發明實施例提供了一種異常網絡安全行為的檢測方法，包括：

獲取用戶的網絡安全行為對應的當前日志數據，其中，所述當前日志數據包括網絡流量日志和/或系統應用日志；

獲取網絡安全行為基線，并基于所述網絡安全行為基線對所述當前日志數據進行檢測，以確定所述用戶的網絡安全行為是否為異常網絡安全行為，其中，所述網絡安全行為基線是根據輸入的配置參數通過預設的學習周期內的網絡安全行為對應的日志數據學習得到。

進一步地，所述配置參數包括所述學習周期、基線數據項和基線數據項學習方法，所述基線數據項包括檢測對象和檢測特征，所述檢測特征是根據檢測對象進行統計或計算確定的，所述獲取網絡安全行為基線之前，包括：

獲得所述配置參數，并獲得所述配置參數中學習周期內的網絡安全行為對應的日志數據；

根據所述基線數據項，獲得所述日志數據中的目標數據；

根據所述日志數據中的基線數據項學習方法對所述目標數據進行統計，得到所述目標數據的數量或平均值，并根據所述目標數據的數量或平均值得到所述網絡安全行為基線，其中，所述目標數據包括源IP、目的IP、用戶名和文件大小中的部分或全部。

進一步地，所述基于所述網絡安全行為基線對所述當前日志數據進行檢測，以確定所述用戶的網絡安全行為是否為異常網絡安全行為，包括：

根據所述基線數據項，獲得所述當前日志數據中的目標數據；

將所述當前日志數據中的目標數據與所述基線進行比較；

如果所述當前日志數據中的目標數據與所述基線不匹配，則確定所述用戶的網絡安全行為是異常網絡安全行為；或者，

根據所述基線數據項，獲得預定時間內多個日志數據中的目標數據；

對所述多個日志數據中的目標數據進行統計，并將所述多個日志數據中的目標數據的統計結果與所述基線進行比較；