异常检测方法、装置、电子设备以及存储介质与流程

1.本发明实施例涉及网络安全技术领域，尤其涉及一种异常检测方法、装置、电子设备以及存储介质。


背景技术：

2.网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。因此，对网络安全审计系统的异常检测尤为重要。
3.现有的网络安全审计系统的异常检测方法有基于路由分析的方法、基于网元检测的方法、基于流识别技术的方法等。但是，这些方法对异常检测具有单一性、片面性和不准确性。


技术实现要素：

4.本发明提供一种异常检测方法、装置、电子设备以及存储介质，以实现对网络安全审计系统的多维度异常检测，提高准确度。
5.第一方面，本发明实施例提供了一种异常检测方法，包括：
6.响应于异常检测事件，获取网络安全审计系统的流量数据，所述流量数据包括通信行为数据、应用行为数据和安全行为数据；
7.检测所述流量数据，并根据检测结果，确定所述网络安全审计系统是否存在异常。
8.第二方面，本发明实施例还提供了一种异常检测装置，包括：
9.流量数据获取模块，用于响应于异常检测事件，获取网络安全审计系统的流量数据，所述流量数据包括通信行为数据、应用行为数据和安全行为数据；
10.异常判断模块，用于检测所述流量数据，并根据检测结果，确定所述网络安全审计系统是否存在异常。
11.第三方面，本发明实施例还提供了一种电子设备，包括：
12.一个或多个处理器；
13.存储器，用于存储一个或多个程序；
14.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明任一实施例所提供的异常检测方法。
15.第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任一实施例所提供的异常检测方法。
16.本发明通过响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据，进而检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。上述技术方案，从网络状态、应用服务和安全分析的视角，多维度对网络安全审计系统进行异常检测，提高了异常检测的准确性，解决了现有技
术中基于单一的流量通信检测异常方法的片面性和不准确性的问题，进而确保了网络安全审计系统的稳定性和安全性。
附图说明
17.图1是本发明实施例一提供的一种异常检测方法的流程图；
18.图2是本发明实施例二提供的一种异常检测方法的流程图；
19.图3是本发明实施例三提供的一种异常检测装置的结构示意图；
20.图4是本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
21.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
22.实施例一
23.图1是本发明实施例一提供的一种异常检测方法的流程图；本实施例可适用于网络安全审计系统异常检测的情况，该方法可以由异常检测装置来执行，该装置由软件/硬件实现，并可集成于承载异常检测功能的电子设备中，例如服务器中。
24.如图1所示，该方法具体可以包括：
25.s110、响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据。
26.本实施例中，异常检测事件是指需要对网络安全审计系统进行异常检测时的触发检测事件。所谓流量数据是指网络安全审计系统中的数据，可以是网络系统中的业务基础数据、审计系统中安全设备和软件系统产生的日志数据、运维管理人员的操作记录数据、运维管理平台的告警数据等，进而可以基于网络安全审计系统的功能(例如，通信传输功能、应用服务功能和防御功能)分为通信行为数据、应用行为数据和安全行为数据。
27.其中，所谓通信行为数据是指数据传输过程中网络层的数据，具体可以是ip、包大小、协议、流量topn信息、连通性、丢包率、延迟、抖动、可利用带宽、吞吐量、转发路径等数据。
28.所谓应用行为数据是指应用层的应用服务数据，可以是应用服务的存活状态、数据量和性能指标数参数等数据。示例性的，获取应用行为数据可以是，根据通信行为数据和应用服务列表，确定目标应用；进而对目标应用进行连通性、稳定性和可用性检测，以获取应用行为数据。具体的，对通信行为数据与应用服务列表进行关联，确定目标应用，进而对目标应用进行连通性检测，具体可以基于目标应用的ip、端口、域名、甚至是url进行存活探测，例如可以基于轮询引擎进行ping测试，来确定目标应用的连通性；进而采用离群实例摘除的方式，来确定目标应用的可用性；进一步的，在连通性和可用性的基础上，检测目标应用的稳定性，以获取应用行为数据。
29.其中，应用服务列表是指网络安全审计系统所覆盖的应用组成的列表，具体的通过自动识别和自定义方式对所部署的网络安全审计系统所覆盖的业务应用以ip、端口、协议、应用服务名称、应用状态、厂商和应用类别等维度，建立应用服务列表。目标应用是应用
服务列表中的应用。
30.所谓安全行为数据是指存在危害网络安全的行为数据，例如可以是异常指令或者恶意代码等。
31.本实施例中，响应于异常检测事件，通过开放接口的方式，从网络安全审计系统中获取网络安全审计系统的流量数据。
32.可选的，还可以通过直接对接网络安全审计系统进行实时数据采集，来获取网络安全审计系统的流量数据。
33.s120、检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。
34.本实施例中，可以基于大数据技术和机器学习技术，对网络安全审计系统中的历史流量数据进行训练，得到流量数据模型，进而基于流量数据模型对流量数据进行检测，得到检测结果，确定网络安全审计系统是否存在异常。若检测结果大于基准值，则确定网络安全审计系统存在异常；若检测结果小于基准值，则确定网络安全审计系统不存在异常。其中，基准值是本领域技术人员根据实际情况设定的。
35.本发明实施例的技术方案，通过响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据，进而检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。上述技术方案，从网络状态、应用服务和安全分析的视角，多维度对网络安全审计系统进行异常检测，提高了异常检测的准确性，解决了现有技术中基于单一的流量通信检测异常方法的片面性和不准确性的问题，进而确保了网络安全审计系统的稳定性和安全性。
36.在上述实施例的基础上，作为本发明实施例的一种可选方式，在确定网络安全审计系统中的异常之后，可以对异常的数据结果进行存储，形成异常数据库，并提供应用程序接口(application programming interface，api)，供展示和第三方系统调用。具体的，可以通过api接口调用异常数据库的异常数据结果并做关联比对，提供基于时间、通信异常、应用服务异常、安全攻击、安全事件等多维度的综合统计展示。
37.实施例二
38.图2是本发明实施例二提供的一种异常检测方法的流程图；在上述实施例的基础上，对“对流量数据检测，并根据检测结果，确定网络安全审计系统是否存在异常”进行优化，提供一种可选实施方案。
39.如图2所示，该方法具体可以包括：
40.s210、响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据。
41.s220、对通信行为数据进行检测，确定网络安全审计系统的通信传输功能是否存在异常。
42.本实施例中，可以基于路由分析的方式或者流识别技术，对通信行为数据进行检测，确定网络安全审计系统的通信传输功能是否存在异常。
43.可选的，还可以基于通信流量模型，确定通信行为数据的通信流量值；若通信流量值不在通信流量门限内，则确定网络安全审计系统的通信传输功能存在异常。其中，流量门限是本领域技术人员根据实际情况设定的。具体的，将通信行为数据输入至通信流量模型，输出通信行为数据的通信流量值；若通信流量值在通信流量门限内，则确定网络安全审计
系统的通信传输功能存在异常；若通信流量值不在通信流量门限内，则确定网络安全审计系统的通信传输功能不存在异常。
44.其中，通信流量模型是以大数据平台为基础，利用大数据技术和机器学习技术，针对网络安全审计系统中的流量数据，提取基本流量特征集合进行反复的学习和训练得到，输出是通信流量值。训练过程中基于算法不断的优化和调整组合特征的正常和异常流量模型，识别并形成符合实际网络安全审计系统中正常的调整所带来的通信流量变化。
45.可选的，还可以模拟服务器和代理的切换模式，以主动和被动的方式发送和接收审计系统中物理资产设备、虚拟设备、链路端口等网元的探测数据，实现网络安全审计系统的通信传输功能异常的检测。
46.s230、对应用行为数据进行检测，确定网络安全审计系统的应用服务功能是否存在异常。
47.本实施例中，可以基于大数据技术和机器学习技术，对网络安全审计系统中的历史应用行为数据进行训练，得到应用分析模型。基于应用分析模型，对应用行为数据进行检测，确定网络安全审计系统的应用服务功能是否存在异常。
48.可选的，还可以根据通信行为数据，确定目标应用；根据应用黑名单，识别目标应用是否属于禁止应用；若是，则确定网络安全审计系统的应用服务功能存在异常。其中，应用黑名单是有禁止应用或者异常应用构造的名单，可以是本领域技术人员对历史应用行为数据分析，得到异常应用；也可以是基于应用分析模型对历史应用行为数据进行分析，得到的异常应用。
49.具体的，根据通信行为数据，从应用服务列表中确定目标应用，对比应用黑名中，确定目标应用是否在黑名单，若是，则确定网络安全审计系统的应用服务功能存在异常，若不是，则确定网络安全审计系统的应用服务功能不存在异常。
50.s240、对安全行为数据进行检测，确定网络安全审计系统的防御功能是否存在异常。
51.本实施例中，可以基于外部威胁情报库、安全漏洞库和安全事件库，对安全行为数据进行检测，确定网络安全审计系统的防御功能是否存在异常。
52.可选的，还可以基于安全业务访问模型，对安全行为数据进行处理，得到目标规则特征；在安全规则特征库中查找目标规则特征是否存在，若存在，则确定网络安全审计系统的防御功能存在异常。
53.其中，安全业务访问模型是基于机器学习技术和大数据技术，对历史安全行为数据进行训练得到的，输出目标规则特征。目标规则特征可以是安全行为数据的指令或者代码等。所谓安全规则特征库是本领域技术人员根据历史情况不断进行丰富得到的，其中可以包括对网络安全造成威胁的异常指令和恶意代码等。
54.具体的，将安全行为数据输入至安全业务访问模型，得到目标规则特征，计算目标规则特征与安全规则特征库中每一安全规则特征的相似度，若相似度大于设定值，则确定安全规则特征库中存在目标规则特征，进而确定网络安全审计系统的防御功能存在异常网络安全审计系统的防御功能存在异常；若相似度小于设定值，则确定安全规则特征库中不存在目标规则特征，进而确定网络安全审计系统的防御功能不存在异常。其中，设定值是本领域技术人员根据实际情况设定的。
55.需要说明的是，s220
‑
s240没有先后顺序之分。
56.s250、若通信传输功能、应用服务功能和防御功能中任一存在异常，则确定网络安全审计系统存在异常。
57.本实施例中，若通信传输功能异常存在异常，则确定网络安全审计系统存在异常。若应用服务功能存在异常，则确定网络安全审计系统存在异常。若防御功能存在异常，则确定网络安全审计系统存在异常。
58.本发明实施例的技术方案，分别对通信行为数据进行检测，确定网络安全审计系统的通信传输功能是否存在异常，对应用行为数据进行检测，确定网络安全审计系统的应用服务功能是否存在异常，以及对安全行为数据进行检测，确定网络安全审计系统的防御功能是否存在异常；若通信传输功能、应用服务功能和防御功能中任一存在异常，则确定网络安全审计系统存在异常。上述技术方案，从网络状态、应用服务和安全分析的视角，多维度对网络安全审计系统进行异常检测，提高了异常检测的准确性，解决了现有技术中基于单一的流量通信检测异常方法的片面性和不准确性的问题，进而确保了网络安全审计系统的稳定性和安全性。
59.实施例三
60.图3是本发明实施例三提供的一种异常检测装置的结构示意图；本实施例可适用于网络安全审计系统异常检测的情况，该装置由软件/硬件实现，并可集成于承载异常检测功能的电子设备中，例如服务器中。
61.如图3所示，该装置包括流量数据获取模块310和异常判断模块320，其中，
62.流量数据获取模块310，用于响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据；
63.异常判断模块320，用于检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。
64.本发明实施例的技术方案，通过响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据，进而检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。上述技术方案，从网络状态、应用服务和安全分析的视角，多维度对网络安全审计系统进行异常检测，提高了异常检测的准确性，解决了现有技术中基于单一的流量通信检测异常方法的片面性和不准确性的问题，进而确保了网络安全审计系统的稳定性和安全性。
65.进一步地，异常判断模块320包括第一异常判断单元、第二异常判断单元、第三异常判断单元和第四异常判断单元，其中，
66.第一异常判断单元，用于对通信行为数据进行检测，确定网络安全审计系统的通信传输功能是否存在异常；
67.第二异常判断单元，用于对应用行为数据进行检测，确定网络安全审计系统的应用服务功能是否存在异常；
68.第三异常判断单元，用于对安全行为数据进行检测，确定网络安全审计系统的防御功能是否存在异常；
69.第四异常判断单元，用于若通信传输功能、应用服务功能和防御功能中任一存在异常，则确定网络安全审计系统存在异常。
70.进一步地，第一异常判断单元包括通信流量值确定子单元和第一异常判断子单元，其中，
71.通信流量值确定子单元，用于基于通信流量模型，确定通信行为数据的通信流量值；
72.第一异常判断子单元，用于若通信流量值不在通信流量门限内，则确定网络安全审计系统的通信传输功能存在异常。
73.进一步地，第二异常判断单元包括目标应用确定子单元、禁止应用确定子单元和第二异常判断子单元，其中，
74.目标应用确定子单元，用于根据通信行为数据，确定目标应用；
75.禁止应用确定子单元，用于根据应用黑名单，识别目标应用是否属于禁止应用；
76.第二异常判断子单元，用于若是，则确定网络安全审计系统的应用服务功能存在异常。
77.进一步地，第三异常判断单元包括目标规则特征确定子单元和第三异常判断子单元，其中，
78.目标规则特征确定子单元，用于基于安全业务访问模型，对安全行为数据进行处理，得到目标规则特征；
79.第三异常判断子单元，用于在安全规则特征库中查找目标规则特征是否存在，若存在，则确定网络安全审计系统的防御功能存在异常
80.进一步地，流量数据获取模块310具体用于：
81.根据通信行为数据和应用服务列表，确定目标应用；
82.对目标应用进行连通性、稳定性和可用性检测，以获取应用行为数据。
83.上述异常检测装置可执行本发明任意实施例所提供的异常检测方法，具备执行方法相应的功能模块和有益效果。
84.实施例四
85.图4是本发明实施例四提供的一种电子设备的结构示意图，图4示出了适于用来实现本发明实施例实施方式的示例性设备的框图。图4显示的设备仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。
86.如图4所示，电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
87.总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。
88.电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
89.系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)30和/或高速缓存存储器32。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可
移动的、非易失性磁介质(图4未显示，通常称为“硬盘驱动器”)。尽管图4中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd
‑
rom,dvd
‑
rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明实施例各实施例的功能。
90.具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如系统存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明实施例所描述的实施例中的功能和/或方法。
91.电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该电子设备12交互的设备通信，和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且，电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与电子设备12的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
92.处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发明实施例所提供的异常检测方法。
93.实施例五
94.本发明实施例五还提供一种计算机可读存储介质，其上存储有计算机程序(或称为计算机可执行指令)，该程序被处理器执行时用于执行本发明实施例所提供的异常检测方法，该方法包括：
95.响应于异常检测事件，获取网络安全审计系统的流量数据，流量数据包括通信行为数据、应用行为数据和安全行为数据；
96.检测流量数据，并根据检测结果，确定网络安全审计系统是否存在异常。
97.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd
‑
rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
98.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限
于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
99.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、电线、光缆、rf等等，或者上述的任意合适的组合。
100.可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络包括局域网(lan)或广域网(wan)连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
101.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明实施例进行了较为详细的说明，但是本发明实施例不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。