-
公开(公告)号:CN111683102B
公开(公告)日:2022-12-06
申请号:CN202010551781.9
申请日:2020-06-17
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置,所述方法包括:获取FTP行为数据;基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明提高了识别异常FTP行为的准确性。
-
公开(公告)号:CN112822166B
公开(公告)日:2022-11-04
申请号:CN202011612727.7
申请日:2020-12-30
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质,用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量,根据该第一数量和主机的总数量,确定该进程标识对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
-
公开(公告)号:CN112822166A
公开(公告)日:2021-05-18
申请号:CN202011612727.7
申请日:2020-12-30
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质,用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量,根据该第一数量和主机的总数量,确定该进程标识对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
-
公开(公告)号:CN111683102A
公开(公告)日:2020-09-18
申请号:CN202010551781.9
申请日:2020-06-17
Applicant: 绿盟科技集团股份有限公司 , 北京神州绿盟科技有限公司
Abstract: 本发明涉及网络安全技术领域,尤其涉及FTP行为数据处理方法、识别异常FTP行为的方法及装置,所述方法包括:获取FTP行为数据;基于多种用户相关特征,对所述FTP行为数据进行特征提取,获得特征数据,其中,每种所述用户相关特征包括一种以上用户相关子特征;基于所述特征数据,对每种所述用户相关子特征进行核密度估计,获得每种所述用户相关子特征的概率密度值;根据所述用户相关特征包含的所有用户相关子特征的概率密度值,确定每种所述用户相关特征的概率密度值;根据所有用户相关特征的概率密度值,确定所述FTP行为数据的多维度概率密度值,以根据所述FTP行为数据的多维度概率密度值对异常FTP行为进行识别。本发明提高了识别异常FTP行为的准确性。
-
-
-
Search Results
4
records
(took 0.059 seconds)
