[发明专利]基于云端的多业务异常行为检测方法及装置

说明书

本发明公开了一种基于云端的多业务异常行为检测方法和装置，该方法包括：云端防护组接收多个业务的业务访问数据；云端防护组存储各业务的访问数据，对各业务的访问数据进行关联处理；云端防护组对各个业务的访问数据进行异常行为检测；其中，当一业务的访问数据存在异常行为时：云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据，根据历史数据和关联数据生成异常事件；根据对异常事件的响应执行一业务和其他业务的防护处理；云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。通过云端平台管理多处业务安全问题，快速协助运维人员完成对业务安全问题的整体把控和处置能力。

技术领域

本发明涉及网络安全技术领域，更具体地说，本发明涉及一种基于云端的多业务异常行为检测方法及装置。

背景技术

在现代的商业运营中，由于业务规模不断扩大、运营复杂度增加以及业务数据量大幅增长，导致企业面临着越来越多的业务异常风险。例如，金融领域中的欺诈交易、电商平台中的虚假交易、物流行业中的货损问题等等。这些异常行为不仅会损害企业的利益，还可能对客户造成损失，因此需要开发一种高效的业务异常行为检测系统来解决这些问题。

传统的安全检测基于单个业务，数据比较单一，无法做到数据的关联分析和全面防护，并且问题发现及响应周期比较长，需要专业的安全人员，效率低，成本高。

发明内容

本发明实施例提供一种基于云端的多业务异常行为检测方法及装置，至少部分解决上述现有技术的问题。

本发明实施例提供了一种基于云端的多业务异常行为检测方法，其包括以下步骤：

步骤一，云端防护组接收多个业务的业务访问数据；其中，各业务只允许域名方式访问，且各业务的域名解析分别将访问接入云端防护组；

步骤二，云端防护组存储各业务的访问数据，对各业务的访问数据进行关联处理；

步骤三，云端防护组对各个业务的访问数据进行异常行为检测；其中，当一业务的访问数据存在异常行为时：

云端防护组获取一业务中异常行为的历史数据、以及异常行为的历史数据在其他业务中的关联数据，根据历史数据和关联数据生成异常事件；

根据对异常事件的响应执行一业务和其他业务的防护处理；

步骤四，云端防护组将通过检测的数据分别转发至各个业务对应的业务服务器。

优选的，步骤二中对各业务的访问数据进行关联处理包括：

根据预设关联规则，将不同业务中符合预设关联规则的数据标记为关联数据。

优选的，通过下述方式获取预设关联规则：

对用于模型训练的数据进行预处理；

定义关联规则的条件；

使用关联规则学习算法对预处理后的数据进行训练，获得用于得到满足条件的关联规则的挖掘模型；

使用训练后的挖掘模型对不同业务的访问数据进行综合分析，获取预设关联规则。

优选的，业务的访问数据包括一个或多个数据集，每个数据集中包括一个或多个项集，步骤二中对各业务的访问数据进行关联处理包括：对数据集中的频繁项集进行关联处理；其中，当项集在数据集中出现的次数占数据集的总数据条数的比例超过阈值时，项集为频繁项集。

优选的，预设关联规则满足条件：预设关联规则的置信度大于阈值；其中，

对于数据集D和频繁项集I，令X→Y表示一条关联规则，X为规则的前件，Y为规则的后件，X和Y为彼此关联的数据；

关联规则X→Y的置信度为X→Y在数据集D中出现的次数占X在数据集D中出现的次数的比例。