本技术涉及计算机领域的信息确定技术,尤其涉及一种信息确定方法、装置、设备及计算机可读存储介质。
背景技术:
1、随着企业的技术足迹扩大,基础设施边界越来越宽,网络环境变得越来越复杂;同时,业务线的越来越丰富,这都使得企业面临的攻击面越来越多。企业在公共网络上每多暴露一个服务、网站等,对不法分子来说都可能是一个敞开的大门。传统安全技术主要通过各种模式和规则匹配进行防御已经显现疲态,而行为安全分析作为一种以机器学习为核心的高级威胁发现技术,显示出了比传统安全手段更好的检测性能。那么,就可以通过分析用户的行为来识别不法分子的攻击行为。目前,使用行为分析进行异常检测的方案主要有以下两种:一种是从日志中提取用户访问兴趣特征,使用apriori算法、fp-growth算法等关联规则挖掘算法或相关改进算法,建立用户访问偏好度模型,根据用户访问兴趣的相似程度划分用户群;另一种是利用机器学习算法对用户行为进行分析;但是,上述相关技术中用户异常行为检测方法存在数据源不全面,且分析的深度不够,导致检测精度较低。
技术实现思路
1、为解决上述技术问题,本技术实施例提供一种信息确定方法、装置、设备及计算机可读存储介质,可以解决相关技术中用户异常行为检测方法存在数据源不全面,分析的深度不够的问题,且提高了检测精度。
2、为达到上述目的,本技术实施例的技术方案是这样实现的:
3、一种信息确定方法,所述方法包括:
4、获取样本对象的样本资产信息对应的样本访问日志信息;其中,所述样本资产信息是与所述样本对象相关的资产信息;样本访问日志信息是用户针对所述样本资产信息进行访问操作后产生的;
5、对所述样本访问日志信息进行处理,得到第一特征信息和第二特征信息;其中,所述第一特征信息表征与所述访问操作相关的信息的特征;所述第二特征信息表征所述用户相关的信息的特征;
6、基于所述第一特征信息和所述第二特征信息对初始异常行为检测模型中的目标卷积神经网络和目标深度神经网络进行模型训练,得到目标异常行为检测模型;
7、确定待检测对象的资产信息对应的待检测访问日志信息的待检测特征信息;
8、基于所述目标异常行为检测模型对所述待检测特征信息进行处理,得到针对所述待检测对象的访问行为的异常情况。
9、上述方案中,所述获取样本对象的样本资产信息对应的样本访问日志信息,包括:
10、获取所述样本对象的样本资产信息;
11、获取针对所述样本资产信息的访问行为产生的初始样本访问日志信息;
12、对所述初始样本访问日志信息进行筛选处理,得到所述样本访问日志信息。
13、上述方案中,所述获取所述样本对象的样本资产信息,包括:
14、确定所述样本对象的关键词;
15、基于所述关键词,获取样本对象的样本网络资产信息和样本边缘资产信息;
16、基于所述样本网络资产信息中的目标信息,获取所述样本对象的样本设备资产信息和样本移动资产信息。
17、上述方案中,所述对所述样本访问日志信息进行处理,得到第一特征信息和第二特征信息,包括:
18、从所述样本访问日志信息中获取与所述访问操作对应的请求相关的请求信息,并基于所述请求信息确定所述第一初始特征信息;
19、从所述样本访问日志信息中获取所述用户的访问偏好信息,并基于所述访问偏好信息确定所述第二初始特征信息;
20、对所述第一初始特征信息和所述第二初始特征信息的格式进行转换,得到所述第一特征信息和所述第二特征信息。
21、上述方案中,所述基于所述第一特征信息和所述第二特征信息对初始异常行为检测模型中的目标卷积神经网络和目标深度神经网络进行模型训练,得到目标异常行为检测模型,包括:
22、采用目标表达式对所述第一特征信息和所述第二特征信息进行检测处理;
23、针对所述第一特征信息和所述第二特征信息中的目标特征信息,基于所述检测结果给所述目标特征信息打标签得到有标签特征信息;其中,所述标签用于表征所述目标特征信息对应的访问操作是否为非法操作;
24、基于所述有标签特征信息和无标签特征信息对所述目标卷积神经网络和所述目标深度神经网络进行模型训练,得到所述目标异常行为检测模型;其中,所述无标签特征信息为所述第一特征信息和所述第二特征信息中除所述目标特征信息外的特征信息。
25、上述方案中,所述基于所述有标签特征信息和无标签特征信息对所述目标卷积神经网络和所述目标深度神经网络进行模型训练,得到所述目标异常行为检测模型,包括:
26、基于所述有标签特征信息和无标签特征信息对所述目标卷积神经网络进行模型训练,得到训练后的目标卷积神经网络;
27、基于所述无标签特征信息和所述有标签特征信息对所述目标深度神经网络进行模型训练,得到训练后的目标深度神经网络;
28、基于所述训练后的目标卷积神经网络和所述训练后的目标深度神经网络,得到所述目标异常行为检测模型。
29、上述方案中,所述基于所述无标签特征信息和所述有标签特征信息对所述目标深度神经网络进行模型训练,得到训练后的目标深度神经网络,包括:
30、基于所述无标签特征信息对所述目标深度神经网络进行模型训练,得到处理后的目标深度神经网络;
31、基于所述有标签特征信息,采用反向传播bp算法对所述处理后的目标深度神经网络进行训练,得到所述训练后的目标深度神经网络。
32、上述方案中,所述确定待检测对象的资产信息对应的待检测访问日志信息的待检测特征信息,包括:
33、获取所述访问行为针对所述待检测对象的资产信息产生的初始访问日志信息;
34、对所述初始访问日志信息进行筛选处理,得到所述待检测访问日志信息;
35、基于所述待检测访问日志信息确定第一待检测特征信息和第二待检测特征信息;其中,所述待检测特征信息包括所述第一待检测特征信息和所述第二待检测特征信息。
36、一种信息确定装置,所述装置包括:
37、获取模块,用于获取样本对象的样本资产信息对应的样本访问日志信息;其中,所述样本资产信息是与所述样本对象相关的资产信息;样本访问日志信息是用户针对所述样本资产信息进行访问操作后产生的;
38、处理模块,用于对所述样本访问日志信息进行处理,得到第一特征信息和第二特征信息;其中,所述第一特征信息表征与所述访问操作相关的信息的特征;所述第二特征信息表征所述用户相关的信息的特征;
39、训练模块,用于基于所述第一特征信息和所述第二特征信息对初始异常行为检测模型中的目标卷积神经网络和目标深度神经网络进行模型训练,得到目标异常行为检测模型;
40、确定模块,用于确定待检测对象的资产信息对应的待检测访问日志信息的待检测特征信息;
41、所述处理模块,还用于基于所述目标异常行为检测模型对所述待检测特征信息进行处理,得到针对所述待检测对象的访问行为的异常情况。
42、一种信息确定设备,所述设备包括:处理器、存储器和通信总线;
43、所述通信总线用于实现处理器和存储器之间的通信连接;
44、所述处理器用于执行存储器中的信息确定程序,以实现上述的信息确定方法的步骤。
45、一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述的信息确定方法的步骤。
46、本技术的实施例所提供的信息确定方法、装置、设备及计算机可读存储介质,可以获取样本对象的样本资产信息对应的样本访问日志信息,样本访问日志信息是用户针对样本资产信息进行访问操作后产生的,对样本访问日志信息进行处理得到第一特征信息和第二特征信息,第一特征信息表征与访问操作相关的信息的特征,第二特征信息表征用户相关的信息的特征,基于第一特征信息和第二特征信息对初始异常行为检测模型中的目标卷积神经网络和目标深度神经网络进行模型训练,得到目标异常行为检测模型,确定待检测对象的资产信息对应的待检测访问日志信息的待检测特征信息,基于目标异常行为检测模型对待检测特征信息进行处理,得到针对待检测对象的访问行为的异常情况,如此,可以使用与用户相关的信息的特征和与针对样本资产信息的访问操作相关的信息的特征进行模型训练,且训练的模型中包括目标卷积神经网络和深度堆栈自编码器网络,这样使用训练后包括有目标卷积神经网络和目标深度神经网络的目标异常行为检测模型,对需要检测的对象的资产信息对应的访问日志信息的特征信息进行处理,得到的针对该需要检测的对象的用户的访问行为是否为异常行为的结果就更准确,可以解决相关技术中用户异常行为检测方法存在数据源不全面,分析的深度不够的问题,且提高了检测精度。
1.一种信息确定方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取样本对象的样本资产信息对应的样本访问日志信息,包括:
3.根据权利要求2所述的方法,其特征在于,所述获取所述样本对象的样本资产信息,包括:
4.根据权利要求1所述的方法,其特征在于,所述对所述样本访问日志信息进行处理,得到第一特征信息和第二特征信息,包括:
5.根据权利要求1所述的方法,其特征在于,所述基于所述第一特征信息和所述第二特征信息对初始异常行为检测模型中的目标卷积神经网络和目标深度神经网络进行模型训练,得到目标异常行为检测模型,包括:
6.根据权利要求5所述的方法,其特征在于,所述基于所述有标签特征信息和无标签特征信息对所述目标卷积神经网络和所述目标深度神经网络进行模型训练,得到所述目标异常行为检测模型,包括:
7.根据权利要求6所述的方法,其特征在于,所述基于所述无标签特征信息和所述有标签特征信息对所述目标深度神经网络进行模型训练,得到训练后的目标深度神经网络,包括:
8.根据权利要求1所述的方法,其特征在于,所述确定待检测对象的资产信息对应的待检测访问日志信息的待检测特征信息,包括:
9.一种信息确定装置,其特征在于,所述装置包括:
10.一种信息确定设备,其特征在于,所述设备包括:处理器、存储器和通信总线;
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1~8中任一项所述的信息确定方法的步骤。
