本公開涉及數(shù)據(jù)分析，特別涉及一種異常訪問行為的分析方法、一種電子設(shè)備、一種計(jì)算機(jī)可讀介質(zhì)、一種計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)：

1、傳統(tǒng)的安全策略通常依賴于規(guī)則引擎和防火墻等手段來阻止惡意攻擊。然而，這種方法存在一些局限性，例如，難以適應(yīng)新的威脅模式、容易被繞過等。因此，基于基線的攻擊行為檢測(cè)技術(shù)應(yīng)運(yùn)而生?；诨€的攻擊行為檢測(cè)技術(shù)在分析用戶的歷史行為數(shù)據(jù)的基礎(chǔ)上確定正常的用戶行為，作為判斷用戶行為是否為攻擊行為的依據(jù)，能夠有效提高安全防護(hù)能力。

2、但是，基于基線的攻擊行為檢測(cè)技術(shù)在具有的應(yīng)用場(chǎng)景中還存在缺陷。

技術(shù)實(shí)現(xiàn)思路

1、本公開實(shí)施例提供一種異常訪問行為的分析方法、一種電子設(shè)備、一種計(jì)算機(jī)可讀介質(zhì)、一種計(jì)算機(jī)程序產(chǎn)品。

2、第一方面，本公開實(shí)施例提供一種異常訪問行為的分析方法，包括：利用算子庫(kù)中的算子模型構(gòu)建基線模型，其中，所述基線模型表征用于描述訪問行為的正常行為模式的基線規(guī)則；獲取訪問行為數(shù)據(jù)；基于所述基線模型對(duì)所述訪問行為數(shù)據(jù)進(jìn)行分析，識(shí)別異常訪問行為；根據(jù)所述訪問行為數(shù)據(jù)、對(duì)異常訪問行為的識(shí)別結(jié)果，生成訪問關(guān)系圖譜。

3、在一些實(shí)施例中，基于所述基線模型對(duì)所述訪問行為數(shù)據(jù)進(jìn)行分析，識(shí)別異常訪問行為，包括：根據(jù)所述基線模型分析所述訪問行為數(shù)據(jù)與所述基線規(guī)則的偏離程度，識(shí)別表征異常訪問行為的異常訪問數(shù)據(jù)，得到初始識(shí)別結(jié)果；根據(jù)所述訪問行為數(shù)據(jù)、所述異常訪問數(shù)據(jù)進(jìn)行過程特征泛化，得到對(duì)異常訪問行為的識(shí)別結(jié)果。

4、在一些實(shí)施例中，根據(jù)所述訪問行為數(shù)據(jù)、所述異常訪問數(shù)據(jù)進(jìn)行過程特征泛化，得到對(duì)異常訪問行為的識(shí)別結(jié)果，包括：根據(jù)所述初始識(shí)別結(jié)果分析所述初始識(shí)別結(jié)果表征的個(gè)體訪問行為與群體訪問行為之間的差異，輸出對(duì)異常訪問行為的第一識(shí)別結(jié)果，其中，所述第一識(shí)別結(jié)果符合正常個(gè)群行為基線；和/或根據(jù)所述訪問行為數(shù)據(jù)、所述初始識(shí)別結(jié)果對(duì)所述訪問行為數(shù)據(jù)表征的訪問行為進(jìn)行聚類，聚合并輸出對(duì)異常訪問行為的第二識(shí)別結(jié)果；和/或根據(jù)預(yù)設(shè)規(guī)則對(duì)所述初始識(shí)別結(jié)果進(jìn)行評(píng)估，輸出對(duì)異常訪問行為的第三識(shí)別結(jié)果，其中，所述第三識(shí)別結(jié)果滿足所述預(yù)設(shè)規(guī)則。

5、在一些實(shí)施例中，根據(jù)所述訪問行為數(shù)據(jù)、對(duì)異常訪問行為的識(shí)別結(jié)果，生成訪問關(guān)系圖譜，包括：對(duì)所述訪問行為數(shù)據(jù)進(jìn)行規(guī)則映射和數(shù)據(jù)關(guān)聯(lián)，形成數(shù)據(jù)集；根據(jù)所述第一識(shí)別結(jié)果、和/或所述第二識(shí)別結(jié)果、和/或所述第三識(shí)別結(jié)果，通過多個(gè)維度分析所述數(shù)據(jù)集，形成多個(gè)維度的分析結(jié)果；對(duì)所述多個(gè)維度的分析結(jié)果進(jìn)行關(guān)聯(lián)分析，生成所述訪問關(guān)系圖譜，其中，所述訪問關(guān)系圖譜包括資產(chǎn)畫像圖譜和人員畫像圖譜；對(duì)所述資產(chǎn)畫像圖譜和所述人員畫像圖譜進(jìn)行圖譜分析，識(shí)別異常訪問行為和威脅事件。

6、在一些實(shí)施例中，對(duì)所述資產(chǎn)畫像圖譜和所述人員畫像圖譜進(jìn)行圖譜分析，識(shí)別異常訪問行為和威脅事件，包括：根據(jù)從搜索引擎獲取的用戶的關(guān)鍵字，從所述訪問關(guān)系圖譜中獲取用戶的畫像信息并展示；以預(yù)設(shè)時(shí)長(zhǎng)為統(tǒng)計(jì)粒度統(tǒng)計(jì)用戶的訪問行為與所述基線規(guī)則的偏離程度，識(shí)別并展示偏離程度超過上下限的異常訪問行為和威脅事件并展示。

7、在一些實(shí)施例中，利用算子庫(kù)中的算子模型構(gòu)建基線模型，包括：從所述算子庫(kù)中獲取多個(gè)算子模型，構(gòu)建初始基線模型；利用訓(xùn)練樣本對(duì)所述初始基線模型進(jìn)行訓(xùn)練；根據(jù)訓(xùn)練結(jié)果及業(yè)務(wù)場(chǎng)景，修正所述初始基線模型中算子模型的串接，得到所述基線模型。

8、在一些實(shí)施例中，利用算子庫(kù)中的算子模型構(gòu)建基線模型，包括：通過模型構(gòu)建功能構(gòu)建所述基線模型；其中，所述模型構(gòu)建功能包括算子管理單元、程序管理單元、模型管理單元、任務(wù)管理單元、服務(wù)管理單元、快捷管理單元；所述模型構(gòu)建功能還包可視化界面，通過模型構(gòu)建功能構(gòu)建所述基線模型，包括：響應(yīng)于通過所述可視化界面獲取的操作指令，執(zhí)行以下操作：通過所述算子管理單元執(zhí)行獲取所述算子模型、自定義算子模型等對(duì)算子模型進(jìn)行管理的操作；通過所述程序管理單元執(zhí)行對(duì)所述初始基線模型進(jìn)行訓(xùn)練的程序進(jìn)行管理的操作；通過所述模型管理單元執(zhí)行算子模型串接等對(duì)基線模型進(jìn)行管理的操作；通過所述任務(wù)管理單元執(zhí)行任務(wù)管理操作；通過所述服務(wù)管理單元執(zhí)行服務(wù)管理操作；通過所述快捷管理單元執(zhí)行快捷管理操作。

9、在一些實(shí)施例中，獲取訪問行為數(shù)據(jù)，包括：通過分布式部署的多個(gè)接收服務(wù)器獲取所述訪問行為數(shù)據(jù)，其中，不同的所述接收服務(wù)器對(duì)應(yīng)不同的日志源；將采自多個(gè)所述接收服務(wù)器的所述訪問行為數(shù)據(jù)轉(zhuǎn)換為標(biāo)準(zhǔn)數(shù)據(jù)格式；對(duì)各個(gè)所述日志源的數(shù)據(jù)采集情況進(jìn)行監(jiān)控，確定所述日志源的健康狀態(tài)；對(duì)各個(gè)所述接收服務(wù)器進(jìn)行監(jiān)控，確定所述接收服務(wù)器的健康狀態(tài)。

10、第二方面，本公開實(shí)施例提供一種電子設(shè)備，包括：一個(gè)或多個(gè)處理器；存儲(chǔ)器，其上存儲(chǔ)有一個(gè)或多個(gè)程序，當(dāng)所述一個(gè)或多個(gè)程序被所述一個(gè)或多個(gè)處理器執(zhí)行，使得所述一個(gè)或多個(gè)處理器實(shí)現(xiàn)本公開實(shí)施例第一方面所述的異常訪問行為的分析方法。

11、第三方面，本公開實(shí)施例提供一種計(jì)算機(jī)可讀介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)本公開實(shí)施例第一方面所述的異常訪問行為的分析方法。

12、第四方面，本公開實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序或指令，所述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)本公開實(shí)施例第一方面所述的異常訪問行為的分析方法。

13、本公開實(shí)施例通過構(gòu)建基線模型，建立起描述訪問行為的正常行為模式的基線規(guī)則，然后利用基線模型對(duì)訪問行為數(shù)據(jù)進(jìn)行分析，在此基礎(chǔ)上生成訪問關(guān)系圖譜，能夠?qū)Ｓ糜趯?duì)異常訪問行為的識(shí)別，從而實(shí)現(xiàn)了基于基線的針對(duì)異常訪問行為的專項(xiàng)分析和檢測(cè)，能夠減少對(duì)異常訪問行為的誤報(bào)率和漏報(bào)率，為制定和優(yōu)化安全策略提供重要參考依據(jù)，從而提升網(wǎng)絡(luò)系統(tǒng)的安全性和防護(hù)能力。

技術(shù)特征：

1.一種異常訪問行為的分析方法，包括：

2.根據(jù)權(quán)利要求1所述的分析方法，其中，基于所述基線模型對(duì)所述訪問行為數(shù)據(jù)進(jìn)行分析，識(shí)別異常訪問行為，包括：

3.根據(jù)權(quán)利要求2所述的分析方法，其中，根據(jù)所述訪問行為數(shù)據(jù)、所述異常訪問數(shù)據(jù)進(jìn)行過程特征泛化，得到對(duì)異常訪問行為的識(shí)別結(jié)果，包括：

4.根據(jù)權(quán)利要求3所述的分析方法，其中，根據(jù)所述訪問行為數(shù)據(jù)、對(duì)異常訪問行為的識(shí)別結(jié)果，生成訪問關(guān)系圖譜，包括：

5.根據(jù)權(quán)利要求4所述的分析方法，其中，對(duì)所述資產(chǎn)畫像圖譜和所述人員畫像圖譜進(jìn)行圖譜分析，識(shí)別異常訪問行為和威脅事件，包括：

6.根據(jù)權(quán)利要求1至5中任意一項(xiàng)所述的分析方法，其中，利用算子庫(kù)中的算子模型構(gòu)建基線模型，包括：

7.根據(jù)權(quán)利要求6所述的分析方法，其中，利用算子庫(kù)中的算子模型構(gòu)建基線模型，包括：

8.根據(jù)權(quán)利要求1至5中任意一項(xiàng)所述的分析方法，其中，獲取訪問行為數(shù)據(jù)，包括：

9.一種電子設(shè)備，包括：

10.一種計(jì)算機(jī)可讀介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1至8中任意一項(xiàng)所述的異常訪問行為的分析方法。

11.一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序或指令，所述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1至8中任意一項(xiàng)所述的異常訪問行為的分析方法。

技術(shù)總結(jié)
本公開提供一種異常訪問行為的分析方法，包括：利用算子庫(kù)中的算子模型構(gòu)建基線模型，其中，所述基線模型表征用于描述訪問行為的正常行為模式的基線規(guī)則；獲取訪問行為數(shù)據(jù)；基于所述基線模型對(duì)所述訪問行為數(shù)據(jù)進(jìn)行分析，識(shí)別異常訪問行為；根據(jù)所述訪問行為數(shù)據(jù)、對(duì)異常訪問行為的識(shí)別結(jié)果，生成訪問關(guān)系圖譜。本公開還提供一種電子設(shè)備、一種計(jì)算機(jī)可讀介質(zhì)、一種計(jì)算機(jī)程序產(chǎn)品。本公開實(shí)現(xiàn)對(duì)異常訪問行為的專項(xiàng)分析，通過訪問圖譜分析提升網(wǎng)絡(luò)系統(tǒng)的安全性和防護(hù)能力。

技術(shù)研發(fā)人員：丁月超,霍紀(jì)中
受保護(hù)的技術(shù)使用者：北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/5