一种行为异常检测方法、装置、设备及介质与流程

1.本发明涉及计算机技术领域，特别涉及一种行为异常检测方法、装置、设备及介质。


背景技术：

2.目前，网络安全中存在一种需求场景，客户期望将自己的资产托管到安全平台上，将安全平台的安全能力赋予给托管设备，同时也可以通过安全平台实现对资产的监控、登录管理等行为。那么对于安全托管平台来说，通过网络隧道可以实现登录管理这个功能，同时需要保证登录资产的用户一定是合法的用户。目前有很多现有技术能够做到对登录用户的认证，例如vpn（虚拟专用网络）、ipsec（internet protocol security，互联网安全协议）。现有技术中是通过内外网加密单元，对传输数据进行加密保证数据不被盗取。
3.由上可见，在行为异常检测的过程中，如何增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率是本领域有待解决的问题。


技术实现要素：

4.有鉴于此，本发明的目的在于提供一种aer功能配置方法、装置、设备及介质，能够有效增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率。其具体方案如下：第一方面，本技术公开了一种行为异常检测方法，包括：获取用户访问网络隧道产生的隧道流量；对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。
5.可选的，所述获取用户访问网络隧道产生的隧道流量，包括：基于预设接口获取用户访问网络隧道产生的隧道流量，并将所述隧道流量发送至本地的隧道流量采集程序；利用预设的隧道流量采集程序采集并记录所述隧道流量。
6.可选的，所述对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库，包括：对所述隧道流量进行分析，以得到包含用户ip所在地、用户访问时间以及访问流量信息的分析结果；将包含用户ip所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。
7.可选的，所述判断所述分析结果与预设的行为检测规则是否匹配，包括：根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则；分别判断所述分析结果与所述行为检测规则是否匹配。
8.可选的，所述若所述分析结果与预设的行为检测规则不匹配之后，还包括：将用户访问行为标记为异常，并向用户发送告警信息，以便所述用户根据所述告警信息确定出告警回复结果；获取所述告警回复结果，并判断所述告警回复结果的类型，若所述告警回复结果的类型为不准确，则对所述行为检测规则中的规则置信度进行重新计算，以得到当前规则置信度；若所述告警回复结果的类型为准确，则确定出当前所述行为检测规则中的规则置信度。
9.可选的，所述基于所述行为检测规则计算出规则置信度，包括：获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度；将所有的所述当前规则置信度和所述规则置信度进行相乘处理，以得到规则置信度。
10.可选的，所述判断所述规则置信度与预设拦截阈值之间的大小关系之后，还包括：若所述规则置信度小于预设拦截阈值，则判定所述用户访问行为正常，然后基于所述隧道流量确定出目标设备，建立本地与所述目标设备之间的连接关系。
11.第二方面，本技术公开了一种行为异常检测装置，包括：隧道流量获取模块，用于获取用户访问网络隧道产生的隧道流量；分析模块，用于对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；第一判断模块，用于判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；第二判断模块，用于判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。
12.第三方面，本技术公开了一种电子设备，包括：存储器，用于保存计算机程序；处理器，用于执行所述计算机程序，以实现前述的行为异常检测方法。
13.第四方面，本技术公开了一种计算机存储介质，用于保存计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的行为异常检测方法的步骤。
14.可见，本技术提供了一种行为异常检测方法，包括获取用户访问网络隧道产生的隧道流量；对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。本技术通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果，然后判断分析结果与预设的行为检测规则是否匹配，从这个角度辅助提升隧道的安全性，减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能，从而增加数据
传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率。
附图说明
15.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
16.图1为本技术公开的一种行为异常检测方法流程图；图2为本技术公开的一种行为异常检测方法流程图；图3为本技术公开的一种行为异常检测方法具体流程图；图4为本技术公开的一种行为异常检测装置结构示意图；图5为本技术提供的一种电子设备结构图。
具体实施方式
17.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
18.目前，网络安全中存在一种需求场景，客户期望将自己的资产托管到安全平台上，将安全平台的安全能力赋予给托管设备，同时也可以通过安全平台实现对资产的监控、登录管理等行为。那么对于安全托管平台来说，通过网络隧道可以实现登录管理这个功能，同时需要保证登录资产的用户一定是合法的用户。目前有很多现有技术能够做到对登录用户的认证，例如vpn、ipsec。现有技术中是通过内外网加密单元，对传输数据进行加密保证数据不被盗取。由上可见，在行为异常检测的过程中，如何增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率是本领域有待解决的问题。
19.参见图1所示，本发明实施例公开了一种行为异常检测方法，具体可以包括：步骤s11：获取用户访问网络隧道产生的隧道流量。
20.本实施例中，基于预设接口获取用户访问网络隧道产生的隧道流量，并将所述隧道流量发送至本地的隧道流量采集程序；利用预设的隧道流量采集程序采集并记录所述隧道流量。具体的，网络隧道会在公网开放一个ip（internet protocol address，互联网协议地址）和端口，用户通过这个入口，可以登录到被托管的设备，在这个入口上安装流量采集模块，将一段时间内的用户访问行为所产生的隧道流量记录下来。
21.步骤s12：对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库。
22.本实施例中，在利用预设的隧道流量采集程序采集并记录所述隧道流量之后，对所述隧道流量进行分析，以得到包含用户ip所在地、用户访问时间以及访问流量信息的分析结果；将包含用户ip所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。具体的，对收集到的隧道流量进行分析，获取访问者ip所在地、访问时间和访问流量大小，以访问者ip为唯一主键记录整条信息，例如：12.4.13.4，美
国att公司，2022年06月15日17:02:32，765kb，将大量的用户行为分析结果记录到本地的数据基础库，这个数据基础库代表了用户行为的合法范围，作为判断用户行为是否异常的依据。
23.步骤s13：判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度。
24.步骤s14：判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。
25.本实施例中，若所述规则置信度小于预设拦截阈值，则判定所述用户访问行为正常，然后基于所述隧道流量确定出目标设备，建立本地与所述目标设备之间的连接关系。
26.本实施例中，获取用户访问网络隧道产生的隧道流量；对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。本技术通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果，然后判断分析结果与预设的行为检测规则是否匹配，从这个角度辅助提升隧道的安全性，减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能，从而增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率。
27.参见图2所示，本发明实施例公开了一种行为异常检测方法，具体可以包括：步骤s21：获取用户访问网络隧道产生的隧道流量。
28.步骤s22：对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库。
29.步骤s23：根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则，然后分别判断所述分析结果与所述行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，将用户访问行为标记为异常，并向用户发送告警信息，以便所述用户根据所述告警信息确定出告警回复结果，获取所述告警回复结果，并判断所述告警回复结果的类型，若所述告警回复结果的类型为不准确，则对所述行为检测规则中的规则置信度进行重新计算，以得到当前规则置信度，若所述告警回复结果的类型为准确，则确定出当前所述行为检测规则中的规则置信度。
30.本实施例中，以行为检测规则为访问地是否在数据基础库中为例，若访问地不在数据基础库中，则表明分析结果与预设的行为检测规则不匹配，此时设定一个训练周期，例如一周，在这一周内对用户行为进行实时分析，解析到访问者ip归属地不在数据基础库范围内时，告警用户存在异常行为，但对该异常行为不做封禁，用户接收到告警后，依据实际情况进行处置，最后得到所述告警回复结果，告警回复结果的类型是准确和不准确两种，不准确则将本条规则的置信度降低10%（规则的初始置信度为100%），最终得到当前规则置信度为90%。准确则本条规则的置信度保持不变（规则的初始置信度为100%），此时当前所述行为检测规则中的规则置信度为100%。
31.步骤s24：获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度，然后将所有的所述当前规则置信度和所述规则置信度进行相乘处理，以得到规则置信
度。
32.本实施例中，获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度，允许用户设置多条行为检测规则，且隧道流量会尝试匹配所有规则，例如，设置了三条规则，初始置信度均为100%，流量1的特征经分析后可以命中规则1和规则2，流量1被判定为异常行为，用户处理结果为不准确，则规则1和规则2的置信度降低为90%，规则3的置信度依旧为100%，然后进行相乘处理，最终的规则置信度为。
33.步骤s25：判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。
34.本实施例中，以预设拦截阈值为90%为例，置信度规则81%，没有超过拦截准则，因此不做拦截。通过这种误判处置降低规则置信度的方式，可以整体提升拦截准确度。本发明从分析用户的日常行为角度，去判断疑似不是正常使用隧道的行为，通过训练规则，设定一个相对可靠的拦截判断方式，提升拦截准确率。
35.本实施例中，具体可以分为三个模块，流量采集模块、用户行为分析模块以及异常行为判断模块，其中，流量采集模块，网络隧道会在公网开放一个ip和端口，用户通过这个入口，可以登录到被托管的设备，在这个入口上安装流量采集模块，将一段时间内的用户访问行为所产生的隧道流量记录下来，并移交给用户行为分析模块；用户行为分析模块，该模块流量采集模块收集到的隧道流量进行分析，获取访问者ip所在地、访问时间和访问流量大小，以访问者ip为唯一主键记录整条信息，例如：12.4.13.4，美国att公司，2022年06月15日17:02:32，765kb，将大量的用户行为分析结果记录到数据基础库，这个数据基础库代表了用户行为的合法范围，作为判断用户行为是否异常的依据；异常行为判断模块，预设异常行为规则，例如：访问地不在数据基础库中。设定一个训练周期，例如一周，在这一周内通过用户行为分析模块的实时分析，解析到访问者ip归属地不在数据基础库范围内时，告警用户存在异常行为，但对该异常行为不做封禁。用户接收到告警后，依据实际情况进行处置，处置结果是准确和不准确两种，不准确则将本条规则的置信度降低10%（规则的初始置信度为100%）。允许用户设置多条规则，且隧道流量会尝试匹配所有规则，例如，设置了三条规则，初始置信度均为100%，流量1的特征经分析后可以命中规则1和规则2，流量1被判定为异常行为，用户处理结果为不准确，则规则1和规则2的置信度降低为90%，规则3的置信度依旧为100%。学习周期结束后，异常行为判断模块对异常流量的拦截准则是所有命中规则的置信度乘积超过90%，那么如果后续流量1再次经过整个装置，命中置信度为90%的规则1和规则2后，乘积只有81%，没有超过拦截准则，装置不做拦截。通过这种误判处置降低规则置信度的方式，可以整体提升拦截准确度。
36.例如，本技术具体步骤如图3所示，用户通过外网访问网络隧道，网络隧道会在公网开放一个ip和端口，用户通过这个入口，可以登录到被托管的设备，在这个入口上安装流量采集模块，将一段时间内的用户访问行为所产生的隧道流量记录下来，并移交给用户行为分析模块，然后用户行为分析模块对所述隧道流量进行分析，以得到包含用户ip所在地、用户访问时间以及访问流量信息的分析结果，并将包含用户ip所在地、用户访问时间以及访问流量信息的分析结果发送并保存至本地的数据基础库，然后利用异常信未判断模块对数据基础库中的分析结果进行实时分析，允许用户设置多条规则，且隧道流量会尝试匹配所有规则，设置了三条规则，初始置信度均为100%，预设拦截阈值为90%，流量1的特征经分
析后可以命中规则1和规则2，流量1被判定为异常行为，用户处理结果为不准确，则规则1和规则2的置信度降低为90%，规则3的置信度依旧为100%。学习周期结束后，异常行为判断模块对异常流量的拦截准则是所有命中规则的置信度乘积超过90%，那么如果后续流量1再次经过整个装置，命中置信度为90%的规则1和规则2后，乘积只有81%，没有超过拦截准则，装置不做拦截，进入放行阶段。
37.本实施例中，获取用户访问网络隧道产生的隧道流量；对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。本技术通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果，然后判断分析结果与预设的行为检测规则是否匹配，从这个角度辅助提升隧道的安全性，减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能，从而增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率。
38.参见图4所示，本发明实施例公开了一种行为异常检测装置，具体可以包括：隧道流量获取模块11，用于获取用户访问网络隧道产生的隧道流量；分析模块12，用于对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；第一判断模块13，用于判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；第二判断模块14，用于判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。
39.本实施例中，获取用户访问网络隧道产生的隧道流量；对所述隧道流量进行分析，以得到分析结果，并将所述分析结果发送并保存至本地的数据基础库；判断所述分析结果与预设的行为检测规则是否匹配，若所述分析结果与预设的行为检测规则不匹配，则基于所述行为检测规则计算出规则置信度；判断所述规则置信度与预设拦截阈值之间的大小关系，若所述规则置信度不小于预设拦截阈值，则判定所述用户访问行为异常。本技术通过对用户访问网络隧道产生的隧道流量进行分析以得到分析结果，然后判断分析结果与预设的行为检测规则是否匹配，从这个角度辅助提升隧道的安全性，减少冒充合法用户使用网络隧道并对托管资产发起攻击的可能，从而增加数据传输的安全性，提高行为异常检测的准确性，增加行为异常检测的效率。
40.在一些具体实施例中，所述隧道流量获取模块11，具体可以包括：隧道流量发送模块，用于基于预设接口获取用户访问网络隧道产生的隧道流量，并将所述隧道流量发送至本地的隧道流量采集程序；隧道流量采集模块，用于利用预设的隧道流量采集程序采集并记录所述隧道流量。
41.在一些具体实施例中，所述分析模块12，具体可以包括：隧道流量分析模块，用于对所述隧道流量进行分析，以得到包含用户ip所在地、用户访问时间以及访问流量信息的分析结果；
分析结果发送模块，用于将包含用户ip所在地、用户访问时间以及访问流量信息的所述分析结果发送并保存至本地的所述数据基础库。
42.在一些具体实施例中，所述第一判断模块13，具体可以包括：规则筛选模块，用于根据分析结果从预设的规则库中筛选出与所述用户相匹配的所有行为检测规则；第一判断模块，用于分别判断所述分析结果与所述行为检测规则是否匹配。
43.在一些具体实施例中，所述第一判断模块13，具体可以包括：告警信息发送模块，用于将用户访问行为标记为异常，并向用户发送告警信息，以便所述用户根据所述告警信息确定出告警回复结果；规则置信度重新计算模块，用于获取所述告警回复结果，并判断所述告警回复结果的类型，若所述告警回复结果的类型为不准确，则对所述行为检测规则中的规则置信度进行重新计算，以得到当前规则置信度；规则置信度确定模块，用于若所述告警回复结果的类型为准确，则确定出当前所述行为检测规则中的规则置信度。
44.在一些具体实施例中，所述第一判断模块13，具体可以包括：置信度获取模块，用于获取与所述用户相对应的所有的所述当前规则置信度和所述规则置信度；置信度处理模块，用于将所有的所述当前规则置信度和所述规则置信度进行相乘处理，以得到规则置信度。
45.在一些具体实施例中，所述第二判断模块14，具体可以包括：目标设备确定模块，用于若所述规则置信度小于预设拦截阈值，则判定所述用户访问行为正常，然后基于所述隧道流量确定出目标设备，建立本地与所述目标设备之间的连接关系。
46.图5为本技术实施例提供的一种电子设备的结构示意图。该电子设备20，具体可以包括：至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中，所述存储器22用于存储计算机程序，所述计算机程序由所述处理器21加载并执行，以实现前述任一实施例公开的由电子设备执行的行为异常检测方法中的相关步骤。
47.本实施例中，电源23用于为电子设备20上的各硬件设备提供工作电压；通信接口24能够为电子设备20创建与外界设备之间的数据传输通道，其所遵循的通信协议是能够适用于本技术技术方案的任意通信协议，在此不对其进行具体限定；输入输出接口25，用于获取外界输入数据或向外界输出数据，其具体的接口类型可以根据具体应用需要进行选取，在此不进行具体限定。
48.另外，存储器22作为资源存储的载体，可以是只读存储器、随机存储器、磁盘或者光盘等，其上所存储的资源包括操作系统221、计算机程序222及数据223等，存储方式可以是短暂存储或者永久存储。
49.其中，操作系统221用于管理与控制电子设备20上的各硬件设备以及计算机程序222，以实现处理器21对存储器22中数据223的运算与处理，其可以是windows、unix、linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的行为异常检测方法的计算机程序之外，还可以进一步包括能够用于完成其他特定工作的计算
机程序。数据223除了可以包括行为异常检测设备接收到的由外部设备传输进来的数据，也可以包括由自身输入输出接口25采集到的数据等。
50.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器（ram）、内存、只读存储器（rom）、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
51.进一步的，本技术实施例还公开了一种计算机可读存储介质，所述存储介质中存储有计算机程序，所述计算机程序被处理器加载并执行时，实现前述任一实施例公开的行为异常检测方法步骤。
52.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
53.以上对本发明所提供的一种行为异常检测方法、装置、设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。