异常访问行为检测方法和电子设备技术

本申请实施例提供一种异常访问行为检测方法和电子设备，涉及通信技术领域，包括：根据第一日志数据生成有向图；利用第一模型、第二模型或第三模型的一种或多种识别有向图中的异常访问行为，确定异常检测结果；其中，第一模型用于根据有向图识别多节点跳跃登录的异常访问行为；第二模型用于根据有向图识别跨业务群访问的异常访问行为；第三模型用于根据有向图识别与历史访问行为不符的异常访问行为。本申请实施例可以基于第一日志数据生成有向图，从有向图角度识别图中的异常访问行为，无需历史攻击样本支持，从而降低对数据源质量的要求，实现提高异常访问行为检测的准确率。实现提高异常访问行为检测的准确率。实现提高异常访问行为检测的准确率。

【技术实现步骤摘要】
异常访问行为检测方法和电子设备


[0001]本申请涉及通信技术，尤其涉及一种异常访问行为检测方法和电子设备。

技术介绍

[0002]随着互联网技术的不断发展，网络设备的安全性越发重要。例如，由于设备之间的互联性，攻击者在通过弱口令、安全漏洞、系统后门等方式入侵一台服务器后，可能导致与该服务器交互的其它设备一起面临安全风险，因此需要检测网络设备中的异常访问，提升安全性。
[0003]目前，常用的异常访问检测方法有两种，第一种：基于统计和画像的基线检测，例如，防御人员通过历史互连记录建立访问基线，定义正常访问行为，将首次出现、超出阈值、偏离画像的访问判断为异常访问行为；第二种，基于模式特征的机器学习检测，例如，防御人员收集一段时间内的访问日志，提取特征后学习正常行为模式，利用机器学习算法构建检测模型。
[0004]然而在上述第一种异常访问行为检测方法中，存在基线规则通常由人为规定，检测不够灵活的问题，在上述第二种异常访问行为检测方法中，机器学习算法需要大量训练数据，在样本种类较少时难以有效建立模型，存在着一定的局限性。

技术实现思路

[0005]本申请实施例提供一种异常访问行为检测方法和电子设备，基于第一日志数据生成有向图，从有向图角度识别图中的异常访问行为，无需历史攻击样本支持，从而降低对数据源质量的要求，实现提高异常访问行为检测的准确率。
[0006]第一方面，本申请实施例提供一种异常访问行为检测方法，包括：根据第一日志数据生成有向图；其中，有向图包括：多个用于标识设备的节点，以及多个节点之间的有向访问关系；利用第一模型、第二模型或第三模型的一种或多种识别有向图中的异常访问行为，确定异常检测结果；其中，第一模型用于根据有向图识别多节点跳跃登录的异常访问行为；第二模型用于根据有向图识别跨业务群访问的异常访问行为；第三模型用于根据有向图识别与历史访问行为不符的异常访问行为。这样，本申请实施例可以基于第一日志数据生成有向图，从有向图角度识别图中的异常访问行为，无需历史攻击样本支持，从而降低对数据源质量的要求，实现提高异常访问行为检测的准确率。
[0007]在一种可能的实现方式中，第一模型、第二模型和第三模型均采用无监督算法实现。这样，本申请实施例可以不依赖人工输入的先验知识和特定特征阈值，无需历史攻击样本的支持，从而规避现有检测模型对源数据的多样性要求。
[0008]在一种可能的实现方式中，本申请实施例利用第一模型识别有向图中的异常访问行为，包括：对于多个节点中的源节点和目的节点，计算从源节点到目的节点的最大跳数；其中，最大跳数用于表示以目的节点为跳板进行连续访问的跳数；将最大跳数大于第一阈值的访问行为识别为异常访问行为。这样，可以利用第一模型根据有向图识别多节点跳跃
登录的异常访问行为。
[0009]在一种可能的实现方式中，本申请实施例利用第二模型识别有向图中的异常访问行为，包括：归类多个节点到增益最大邻居节点所在的社区；将归类为同一社区的节点压缩为第一节点，直到归类产生的结果不再变化；将存在跨社区访问的第一节点对应的访问行为识别为异常访问行为。这样，可以利用第二模型根据有向图识别跨业务群访问的异常访问行为。
[0010]在一种可能的实现方式中，本申请实施例利用第三模型识别有向图中的异常访问行为，包括：将有向图中的节点转换为嵌入向量；对于多个节点中的源节点和目的节点，对目的节点的前驱节点集合所对应的嵌入向量矩阵进行归一化，得到归一化后单位向量集合；其中，目的节点的前驱节点集合为有向图中指向目的节点的节点集合；计算源节点对应的嵌入向量与归一化后单位向量集合的余弦相似度；将余弦相似度小于第二阈值的访问行为识别为异常访问行为。这样，可以利用第三模型根据有向图识别与历史访问行为不符的异常访问行为。
[0011]在一种可能的实现方式中，本申请实施例对目的节点的前驱节点集合所对应的嵌入向量矩阵进行归一化，包括：采用单分类支持向量机训练目的节点的前驱节点集合所对应的嵌入向量矩阵；对训练后的嵌入向量矩阵进行归一化。
[0012]在一种可能的实现方式中，利用第一模型、第二模型或第三模型的多种识别有向图中的异常访问行为，确定异常检测结果，包括：利用第一模型、第二模型或第三模型的一种或多种识别有向图中的异常访问行为，得到多种识别结果；对多种识别结果进行关联分析，得到异常检测结果。这样，可以从多个维度进行异常访问行为检测，从而全面监控多类型异常访问行为。
[0013]在一种可能的实现方式中，本申请实施例对多种识别结果进行关联分析，得到异常检测结果，包括：构建多种识别结果之间的线性函数；在线性函数的值符合预设的异常条件的情况下，确定线性函数对应的访问行为为异常检测结果。这样，可以设定第一模型、第二模型和第三模型各自的检测结果在关联分析过程中所占的权值和线性函数值符合的预设的异常条件，从而覆盖多种异常访问场景。
[0014]在一种可能的实现方式中，方法还包括：根据异常检测结果更新有向图；根据异常检测结果更新第一模型的超参数、第二模型的超参数和/或第三模型的超参数。这样，可以根据检测结果对模型进行实时优化和更新。
[0015]在一种可能的实现方式中，方法还包括：获取第二日志数据；其中，第二日志数据的生成时间早于第一日志数据的生成时间；生成第二日志数据的有向图；在第一模型、第二模型或第三模型中载入第二日志数据的有向图，以及第一模型、第二模型或第三模型各自相关的模型参数。这样，可以在对第一日志数据进行异常访问行为检测前，第一模型、第二模型和第三模型已完成模型初始化，从而实现对第一日志数据的实时检测。
[0016]在一种可能的实现方式中，本申请实施例根据第一日志数据生成有向图，包括：定时获取第一日志数据；生成第一日志数据对应的第一有向图；过滤第一有向图中与第三日志数据的第三有向图重合的部分，得到有向图；其中，第三日志数据的生成时间早于第一日志数据的生成时间，且第三日志数据的生成时间与第一日志数据的生成时间的差值小于时间阈值。这样，可以过滤掉第一日志的有向图中与第三日志的有向图重合的部分，从而不需
要对重合部分日志数据重复进行异常访问检测，减少模型的计算量。
[0017]在一种可能的实现方式中，节点为设备的互联网协议IP地址，其中，多个节点之间的有向访问关系中包括：多个节点之间的每小时最大访问次数、历史访问次数总和或最新访问时间中的一种或多种。
[0018]在一种可能的实现方式中，方法还包括：根据异常检测结果向目标对象发送告警信息。这样，可以根据告警信息进行风险控制并及时闭环。
[0019]在一种可能的实现方式中，告警信息包括下述的一种或多种：异常检测结果对应的日志信息、告警产生原因或建议处置办法。
[0020]第二方面，本申请实施例提供一种异常访问行为检测装置，该异常访问行为检测装置可以是终端设备，也可以是终端设备内的芯片或者芯片系统。该异常访问行为检测装置可以包括处理单元。当该异常访问行为检测装置是终端设备时，该处理单元本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常访问行为检测方法，应用于电子设备，其特征在于，包括：根据第一日志数据生成有向图；所述有向图包括：多个用于标识设备的节点，以及多个所述节点之间的有向访问关系；利用第一模型、第二模型或第三模型的一种或多种识别所述有向图中的异常访问行为，确定异常检测结果；其中，所述第一模型用于根据所述有向图识别多节点跳跃登录的异常访问行为；所述第二模型用于根据所述有向图识别跨业务群访问的异常访问行为；所述第三模型用于根据所述有向图识别与历史访问行为不符的异常访问行为。2.根据权利要求1所述的方法，其特征在于，所述第一模型、所述第二模型和所述第三模型均采用无监督算法实现。3.根据权利要求1-2任一项所述的方法，其特征在于，利用所述第一模型识别所述有向图中的异常访问行为，包括：对于多个所述节点中的源节点和目的节点，计算从所述源节点到所述目的节点的最大跳数；所述最大跳数用于表示以所述目的节点为跳板进行连续访问的跳数；将所述最大跳数大于第一阈值的访问行为识别为异常访问行为。4.根据权利要求1-3任一项所述的方法，其特征在于，利用所述第二模型识别所述有向图中的异常访问行为，包括：归类多个所述节点到增益最大邻居节点所在的社区；将归类为同一社区的节点压缩为第一节点，直到所述归类产生的结果不再变化；将存在跨社区访问的所述第一节点对应的访问行为识别为异常访问行为。5.根据权利要求1-4任一项所述的方法，其特征在于，利用所述第三模型识别所述有向图中的异常访问行为，包括：将所述有向图中的节点转换为嵌入向量；对于多个所述节点中的源节点和目的节点，对所述目的节点的前驱节点集合所对应的嵌入向量矩阵进行归一化，得到归一化后单位向量集合；所述目的节点的前驱节点集合为所述有向图中指向所述目的节点的节点集合；计算所述源节点对应的嵌入向量与所述归一化后单位向量集合的余弦相似度；将所述余弦相似度小于第二阈值的访问行为识别为异常访问行为。6.根据权利要求5所述的方法，其特征在于，所述对所述目的节点的前驱节点集合所对应的嵌入向量矩阵进行归一化，包括：采用单分类支持向量机训练所述目的节点的前驱节点集合所对应的嵌入向量矩阵；对训练后的嵌入向量矩阵进行归一化。7.根据权利要求1-6任一项所述的方法，其特征在于，利用第一模型、第二模型或第三模型的多种识别所述有向图中的异常访问行为，确定异常检测结果，包括：利用第一模型、第二模型或第三模型的一种或多种识别所述有向图中的异常访问行为，得到多种识别结果；对所述多种识别结果进行关联...

【专利技术属性】
技术研发人员：吴迪，柳敬武，蒋振超，何焕棠，
申请(专利权)人：华为云计算技术有限公司，
类型：发明
国别省市：