[发明专利]一种网络安全场景的异常检测方法、装置、设备及介质有效
| 申请号: | 202011434936.7 | 申请日: | 2020-12-10 |
| 公开(公告)号: | CN112565275B | 公开(公告)日: | 2022-09-20 |
| 发明(设计)人: | 姜鹏;范渊;刘博 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京集佳知识产权代理有限公司 11227 | 代理人: | 豆贝贝 |
| 地址: | 310000 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 网络安全 场景 异常 检测 方法 装置 设备 介质 | ||
1.一种网络安全场景的异常检测方法,其特征在于,包括:
获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分;
根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级;
确定出与各所述分组对象对应的时间序列的时间窗口大小,并根据所述时间窗口大小为各所述时间序列划分时间段;
利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级;
根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别;
所述利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级的过程,具体包括:
确定出在当前时间段中所述网络安全场景的各所述时间序列分别对应的最大异常级别;
计算出在当前时间段中所述网络安全场景的各所述时间序列的异常级别占比;
筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级;
所述时序特征点为一个分组对象在一个网络安全场景中的操作异常行为;
所述异常级别占比为当前时间段中最大异常级别大于或等于当前时间序列的最大异常级别的比例。
2.根据权利要求1所述的方法,其特征在于,所述获取网络安全场景中各分组对象的时序特征的过程,具体包括:
根据所述网络安全场景确定出各所述分组对象的统计数据的时间聚合窗口;
根据所述统计数据的字段类型确定出对应的统计算子;
利用所述统计算子计算出所述时序特征。
3.根据权利要求1所述的方法,其特征在于,在所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分之后,进一步包括:
利用带拉普拉斯平滑项的Min-max标准化方法分别对各所述时序特征点的异常评分进行标准化处理。
4.根据权利要求1所述的方法,其特征在于,所述筛选出当前时间段中所述网络安全场景中最大异常级别中的最大值对应的异常时间序列,并利用所述异常级别占比更新所述异常时间序列的所述异常等级的过程,具体包括:
预设第一阈值和第二阈值;
筛选出当前时间段中所述网络安全场景中所述最大异常级别中的最大值对应的异常时间序列;
根据所述异常时间序列的异常级别占比与所述第一阈值和所述第二阈值的大小关系更新所述异常时间序列的所述异常等级。
5.根据权利要求1所述的方法,其特征在于,所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分的过程,具体包括:
获取所述网络安全场景中各所述分组对象的所述时序特征;
利用时间序列异常检测算法计算出与各所述时序特征对应的时序特征点的异常评分。
6.根据权利要求1至5任一项所述的方法,其特征在于,在所述根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别之后,进一步包括:
根据所述综合异常级别发出对应的提示信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011434936.7/1.html,转载请声明来源钻瓜专利网。
- 上一篇:媒体数据处理方法及装置、存储介质、计算机设备
- 下一篇:一种大型振动台环境箱
