[发明专利]一种安全检测方法、装置和系统

说明书

本发明实施例公开了一种安全检测方法、装置和系统，所述安全检测方法包括以下步骤至少之一：确定预设通信范围内的业务行为重心向量；其中，所述业务行为重心向量用于描述业务的关键业务行为的分布特征；根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。本发明实施例基于预设通信范围内的业务行为重心向量实现了对预设通信范围内的业务级别的安全检测。

技术领域

本发明实施例涉及但不限于大数据网络安全分析领域，尤指一种安全检测方法、装置和系统。

背景技术

随着信息技术(IT，Information Technology)在各行各业的深入发展，以及IT技术自身的复杂化，IT技术趋向于结构上的分层化以及广泛使用分布式的部署，传统单一的网络运维方式越来越不能满足变化的IT技术、层出不穷的新型攻击手段。虚拟化云计算等技术也在原有的结构下，重新改变了IT部署的方式。

近年来，随着用户数目的增加，网络规模成指数增长；与此同时，网络所承载的业务类型也呈现出多样化、综合化的趋势。这种大规模结构不仅造成业务分析的困难，而且由于大量不同业务的相互影响导致网络状态不断发生变化，业务运行的可控性和安全性得不到保障。在复杂的网络环境下，需要进行安全性检测。

相关的安全检测方法针对可疑连接或可疑资产进行，往往采用单节点、分区域的检测策略来发现单点问题，无法实现对业务级别的安全检测。

发明内容

本发明实施例提供了一种安全检测方法、装置和系统，能够实现对业务级别的安全检测。

本发明实施例提供了一种安全检测方法，包括以下步骤至少之一：

确定预设通信范围内的业务行为重心向量；其中，所述业务行为重心向量用于描述业务的关键业务行为的分布特征；

根据所述业务行为重心向量确定预设通信范围内是否存在业务异常。

在本发明实施例中，所述根据业务行为重心向量确定预设通信范围内是否存在业务异常包括以下至：

当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差大于或等于预设阈值时，确定预设通信范围内存在业务异常；

当所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差小于所述预设阈值时，确定预设通信范围内不存在业务异常。

在本发明实施例中，当确定预设通信范围内存在业务异常时，该方法还包括：进行业务异常告警。

在本发明实施例中，当确定预设通信范围内不存在业务异常时，该方法还包括：根据所述业务行为重心向量更新所述业务行为重心基线向量。

在本发明实施例中，所述业务行为重心向量与预先设置的业务行为重心基线向量的偏差为所述业务行为重心向量中发生变化的业务链的数量和业务行为重心基线向量中业务链的数量的比值。

在本发明实施例中，所述确定预设通信范围内的业务行为重心向量包括：

获取所述预设通信范围内的业务行为元数据；其中，所述业务行为元数据用于描述业务行为特征；

根据所述业务行为元数据确定业务链模型数据；其中，所述业务链模型数据包括业务链和业务链行为向量，所述业务链为具有访问关系的一组互联网协议IP地址，所述业务链行为向量为业务链在预设时间点的业务特征属性；

根据所述业务链模型数据计算所述业务行为重心向量。

在本发明实施例中，所述获取预设通信范围内的业务行为元数据包括：

获取所述预设通信范围内的网络镜像流量数据和应用日志；

根据所述网络镜像流量数据和应用日志构建所述业务行为元数据。