[发明专利]基于云端的多业务异常行为检测方法及装置

权利要求书

1.一种基于云端的多业务异常行为检测方法，其特征在于，包括以下步骤：

步骤一，云端防护组接收多个业务的业务访问数据；其中，各业务只允许域名方式访问，且各业务的域名解析分别将访问接入云端防护组；

步骤二，云端防护组存储各业务的访问数据，对各业务的访问数据进行关联处理；

步骤三，云端防护组对各个业务的访问数据进行异常行为检测；其中，当一业务的访问数据存在异常行为时：

云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据，根据历史数据和关联数据生成异常事件；

根据对异常事件的响应执行一业务和其他业务的防护处理；

步骤四，云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。

2.如权利要求1所述的基于云端的多业务异常行为检测方法，其特征在于，步骤二中对各业务的访问数据进行关联处理包括：

根据预设关联规则，将不同业务中符合预设关联规则的数据标记为关联数据。

3.如权利要求2所述的基于云端的多业务异常行为检测方法，其特征在于，通过下述方式获取预设关联规则：

对用于模型训练的数据进行预处理；

定义关联规则的条件；

使用关联规则学习算法对预处理后的数据进行训练，获得用于得到满足条件的关联规则的挖掘模型；

使用训练后的挖掘模型对不同业务的访问数据进行综合分析，获取预设关联规则。

4.如权利要求1或2所述的基于云端的多业务异常行为检测方法，其特征在于，业务的访问数据包括一个或多个数据集，每个数据集中包括一个或多个项集，步骤二中对各业务的访问数据进行关联处理包括：对数据集中的频繁项集进行关联处理；其中，当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时，项集为频繁项集。

5.如权利要求4所述的基于云端的多业务异常行为检测方法，其特征在于，预设关联规则满足条件：预设关联规则的置信度大于阈值；其中，

对于数据集D和频繁项集I，令X→Y表示一条关联规则，X为规则的前件，Y为规则的后件；

关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。

6.如权利要求1所述的基于云端的多业务异常行为检测方法，其特征在于，步骤三中包括：

根据历史数据和关联数据确定异常行为的来源、历史、及不同业务之间存在的威胁情况关系，生成异常事件；

将异常事件与事件库中的事件进行匹配：

对于在事件库中匹配成功的异常事件，根据对应的响应策略进行防护处理；

对于在事件库中匹配失败的异常事件，发出警报提醒。

7.一种基于云端的多业务异常行为检测装置，其特征在于，包括：

接收模块，用于接收多个业务的业务访问数据；其中，各业务只允许域名方式访问，且各业务的域名解析分别将访问接入检测装置；

关联模块，用于存储各业务的访问数据，对各业务的访问数据进行关联处理；

检测模块，用于对各个业务的访问数据进行异常行为检测；其中，当一业务的访问数据存在异常行为时：

获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据，根据历史数据和关联数据生成异常事件；

根据对异常事件的响应执行一业务和其他业务的防护处理；

发送模块，用于将通过检测的数据分别转发至各个业务对应的业务服务器。

8.如权利要求7所述的基于云端的多业务异常行为检测装置，其特征在于，关联模块用于：

根据预设关联规则，将不同业务中符合预设关联规则的数据标记为关联数据。