本公開涉及安全,尤其涉及一種識別方法、裝置、電子設備及介質。
背景技術:
1、用戶終端的識別技術旨在識別出那些試圖隱藏自己身份或行為的終端,以防止潛在的網絡攻擊或破壞行為。相關技術中用戶終端的識別技術,通常是采用svm、隨機森林等算法提取用戶訪問行為的總次數、訪問頻率、訪問的業務數據種類等特征,構建用戶訪問行為基線模型,并基于當前是否存在偏離基線的終端行為來進行用戶終端是否異常的識別。
2、然而,相關技術中用戶終端的識別技術嚴重依賴于長期累積的海量數據進行用戶訪問行為基線的構建,由此造成基線模型構建時間窗口要求較大,數據時效性低,容易因部分正常的終端行為更替情況造成誤識別,嚴重影響網絡整體安全性和安全防御時效性。
技術實現思路
1、本公開提供一種識別方法、裝置、電子設備及介質,以解決相關技術中的問題,通過按照用戶終端的生命周期數據動態設置的迭代周期,并基于以預定頻率獲取訪問全流程數據建立正常訪問行為模型以及信任閾值,以對待測行為數據進行識別,從而確定用戶終端正常或異常。避免在識別過程中出現用戶終端誤識別的情況,提升用戶終端識別的精準性、有效性,以及擴大正常訪問行為模型的適用范圍和智能化水平的效果。
2、本公開的第一方面實施例提出了一種識別方法,該方法包括:在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據,迭代周期是基于用戶終端對應的生命周期數據動態確定的;根據訪問全流程數據,建立正常訪問行為基線;利用正常訪問行為基線,對第一迭代周期內的訪問行為有效數據中的待測行為數據進行識別,確定用戶終端正常或異常。
3、在本公開的一些實施例中,在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據,之前,該方法包括:基于衰減函數以及用戶終端對應的生命周期數據,確定用戶終端對應的迭代周期,生命周期包括業務持續周期,項目階段性周期以及工作人員流動周期。
4、在本公開的一些實施例中,在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據包括:在第一迭代周期內以預設頻率采集用戶終端對應的訪問行為數據,訪問行為數據包括發起訪問請求終端身份信任值原始數據、用戶身份信任值原始數據以及用戶訪問業務信任值原始數據;對訪問行為數據進行清洗,獲取訪問行為有效數據;按照訪問行為有效數據對應的業務類型,對訪問行為有效數據進行分類,確定與訪問行為有效數據關聯的關聯訪問數據;對關聯訪問數據以及訪問行為有效數據進行整合,獲取訪問行為有效數據對應的訪問全流程數據。
5、在本公開的一些實施例中,正常訪問行為基線包括正常訪問行為模型和信任閾值,根據訪問全流程數據,建立正常訪問行為基線包括:對訪問全流程數據進行編碼,將訪問全流程數據映射為行為特征向量;將行為特征向量以預設序列長度進行劃分,獲取多個行為序列;將多個行為序列作為訓練數據,構建正常訪問行為模型,并利用正常訪問行為模型,獲取多個行為序列中每個行為序列對應的預測行為數據;將第一迭代周期內的訪問行為有效數據輸入至正常訪問行為模型,獲取每個訪問行為有效數據對應的預測行為數據,并確定每個訪問行為有效數據與預測行為數據之間的概率差值;將概率差值相加,并對相加后的概率差值求平均,得到平均概率差值,將平均概率差值作為信任閾值。
6、在本公開的一些實施例中,將多個行為序列作為訓練數據,建議正常訪問行為模型,之后,該方法包括:若在第一迭代周期內,第一時刻的正常訪問行為模型生成的預測行為數據與第一時刻對應的第二時刻的訪問行為有效數據之間的交叉熵小于或等于預設值,則確定正常訪問行為模型建立完成。
7、在本公開的一些實施例中,該方法還包括:在迭代周期中第二迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據;根據訪問全流程數據,更新正常訪問行為基線;利用更新后的正常訪問行為基線,對第二迭代周期內的訪問行為有效數據中的待測行為數據進行識別,確定用戶終端正常或異常。
8、在本公開的一些實施例中,利用正常訪問行為基線,對第一迭代周期內的訪問行為有效數據中的待測行為數據進行識別,確定用戶終端正常或異常包括:將第一迭代周期內的待測行為數據輸入至正常訪問行為模型,獲取待測行為數據對應的預測行為數據;確定待測行為數據與預測行為數據待測行為數據對應的預測行為數據之間的待測概率差值;比較待測概率差值與信任閾值之間的大小,確定用戶終端正常或異常。
9、在本公開的一些實施例中,比較待測概率差值與信任閾值之間的大小,確定用戶終端正常或異常包括:若待測概率差值大于信任閾值,則確定待測行為數據異常,以及待測行為數據對應的用戶終端異常;若待測概率差值小于或等于信任閾值,則確定待測行為數據正常,以及待測行為數據對應的用戶終端正常。
10、在本公開的一些實施例中,若待測概率差值大于信任閾值,則確定訪問行為有效數據異常,以及訪問行為有效數據對應的用戶終端異常,之后,該方法包括:利用待測行為數據,執行異常預警告警。
11、本公開的第二方面實施例提出了一種識別裝置,該裝置包括:
12、獲取單元,用于在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據,迭代周期是基于用戶終端對應的生命周期數據動態確定的;
13、建立單元,用于根據訪問全流程數據,建立正常訪問行為基線;
14、識別單元,用于利用正常訪問行為基線,對第一迭代周期內的訪問行為有效數據中的待測行為數據進行識別,確定用戶終端正常或異常。
15、本公開的第三方面實施例提出了一種電子設備,包括:處理器和用于存儲能夠在處理器上運行的計算機程序的存儲器,其中,處理器用于運行計算機程序時,執行本公開第一方面實施例中描述的方法。
16、本公開的第四方面實施例提出了一種存儲有計算機指令的非瞬時計算機可讀存儲介質,其中,計算機指令用于使計算機執行本公開第一方面實施例中描述的方法。
17、本公開的第五方面實施例提出了一種計算機程序產品,包括計算機程序,計算機程序在被處理器執行時實現本公開第一方面實施例中描述的方法。
18、綜上,根據本公開提出的識別方法,通過在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據,迭代周期是基于用戶終端對應的生命周期數據動態確定的;根據訪問全流程數據,建立正常訪問行為基線;利用正常訪問行為基線,對第一迭代周期內的訪問行為有效數據中的待測行為數據進行識別,確定用戶終端正常或異常。實現利用追溯的用戶終端的生命周期數據,多維度構建正常訪問行為基線,避免在識別過程中出現用戶終端誤識別的情況,提升用戶終端識別的精準性、有效性,以及擴大正常訪問行為模型的適用范圍和智能化水平的效果。
19、應當理解的是,以上的一般描述和后文的細節描述僅是示例性和解釋性的,并不能限制本公開。
1.一種識別方法,其特征在于,所述方法包括:
2.根據權利要求1所述的方法,其特征在于,所述在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據,之前,所述方法包括:
3.根據權利要求1所述的方法,其特征在于,所述在迭代周期中第一迭代周期內以預設頻率,獲取用戶終端下訪問行為有效數據對應的訪問全流程數據包括:
4.根據權利要求1所述的方法,其特征在于,所述正常訪問行為基線包括正常訪問行為模型和信任閾值,所述根據所述訪問全流程數據,建立正常訪問行為基線包括:
5.根據權利要求4所述的方法,其特征在于,所述將所述多個行為序列作為訓練數據,建議正常訪問行為模型,之后,所述方法包括:
6.根據權利要求1所述的方法,其特征在于,所述方法還包括:
7.根據權利要求5所述的方法,其特征在于,所述利用所述正常訪問行為基線,對所述第一迭代周期內的所述訪問行為有效數據中的待測行為數據進行識別,確定所述用戶終端正常或異常包括:
8.根據權利要求7所述的方法,其特征在于,所述比較所述待測概率差值與所述信任閾值之間的大小,確定所述用戶終端正常或異常包括:
9.根據權利要求8所述的方法,其特征在于,所述若所述待測概率差值大于所述信任閾值,則確定所述訪問行為有效數據異常,以及所述訪問行為有效數據對應的用戶終端異常,之后,所述方法包括:
10.一種識別裝置,其特征在于,所述裝置包括:
11.一種電子設備,其特征在于,包括:處理器和用于存儲能夠在處理器上運行的計算機程序的存儲器,
12.一種存儲有計算機指令的非瞬時計算機可讀存儲介質,其特征在于,所述計算機指令用于使所述計算機執行根據權利要求1-9中任一項所述的方法。
13.一種計算機程序產品,其特征在于,包括計算機程序,所述計算機程序在被處理器執行時實現根據權利要求1-9中任一項所述的方法。