一种异常行为检测方法及装置制造方法及图纸

本发明专利技术涉及信息安全技术领域，尤其涉及一种异常行为检测方法及装置，用于解决现有技术中存在的误检率和漏检率较高的问题。主要包括：获取目标对象的业务行为数据后对其进行傅里叶变换，得到业务行为数据的频率信息和第一幅度信息；根据频率信息，得到目标对象的待使用评估模型；根据频率信息和待使用的评估模型，获得目标对象的第二幅度信息；若第一幅度信息和第二幅度信息的差值大于第一阈值，则确定目标对象的业务行为为异常行为。本发明专利技术实施例中对于不同的业务行为数据的种类和频率采用不同的模型，因而更具针对性；同时，本发明专利技术采用周期分析和傅里叶频域分析，滤除了波动干扰，从而降低了误检率和漏检率。

【技术实现步骤摘要】
一种异常行为检测方法及装置
本专利技术涉及信息安全
，尤其涉及一种异常行为检测方法及装置。
技术介绍
异常行为分析，是一种提前发现潜在威胁的新型技术，它是一种通过不断收集历史数据，然后根据这些数据建立模型来对异常行为事件进行检测的技术。它是一种“动态检测”技术，与一般的“静态检测”技术不同，基于特征检测的“静态检测”技术只能检测到库文件中已有威胁。异常行为分析可以检测从网络层到应用层的用户、服务器的异常行为，提前发现潜在威胁。当前异常行为分析技术的检测模型主要包括以下两种：一、统计性模型统计模型首先要选择描述主体行为的测度集，然后在采集到的安全事件集合中建立基于该测度集的检测模型。之后，根据度量算法计算当前主体行为和检测模型偏离的程度来确定是否是异常行为。统计性模型能自适应的学习主体的行为，对主体的异常行为比较敏感。二、关联分析性模型关联分析是一种简单的分析技术，它通过发现存在于大量的数据集中的关联性或者相关性，从而抽象出一个行为中某些属性同时出现的规律和模式。关联规则的挖掘主要分为两步，首先是根据所给数据集找出所有的频繁项集，然后再利用这些频繁项集产生强关联规则。从现有的异常本文档来自技高网...

【技术保护点】
一种异常行为检测方法，其特征在于，包括：获取目标对象的业务行为数据；对所述业务行为数据进行傅里叶变换，得到所述业务行为数据的频率信息和第一幅度信息；根据所述频率信息，得到所述目标对象的待使用的评估模型；根据所述频率信息和所述待使用的评估模型，获得所述目标对象的第二幅度信息；若所述第一幅度信息和所述第二幅度信息的差值大于第一阈值，则确定所述目标对象的业务行为为异常行为。

【技术特征摘要】
1.一种异常行为检测方法，其特征在于，包括：获取目标对象的业务行为数据；对所述业务行为数据进行傅里叶变换，得到所述业务行为数据的频率信息和第一幅度信息；根据所述频率信息，得到所述目标对象的待使用的评估模型；根据所述频率信息和所述待使用的评估模型，获得所述目标对象的第二幅度信息；若所述第一幅度信息和所述第二幅度信息的差值大于第一阈值，则确定所述目标对象的业务行为为异常行为。2.如权利要求1所述的方法，其特征在于，若所述第一幅度信息和所述第二幅度信息的差值大于第一阈值，则确定所述目标对象的业务行为为异常行为之后，还包括：确定所述目标对象的业务行为所属的预警区域，并根据所述预警区域对应的报警方式进行报警；所述预警区域是预先设定的，并由所述待使用的评估模型所对应的业务行为的类型确定。3.如权利要求1所述的方法，其特征在于，包括：所述第一阈值是通过机器学习算法获得的。4.如权利要求1至3任一项所述的方法，其特征在于，评估模型通过以下方式获得，包括：获取所述目标对象的多个历史业务行为数据，对每个历史业务行为数据作傅里叶变换处理，得到各历史业务行为数据的频率数据；根据频率阈值和所述各历史业务行为数据的频率数据，对所述多个历史业务行为数据进行频率分类；根据每类的历史业务行为数据，通过舒斯特周期图，得到该类的频率信息与幅度信息的对照关系，从而得到该类频率的评估模型。5.如权利要求4所述的方法，其特征在于，所述对所述多个历史业务行为数据进行频率分类之后，得到该类的频率信息与幅度信息的对照关系之前，还包括：通过回归算法，获得每类的历史业务行为数据的长期趋势，并拟合每类长期趋势的线性函数；根据每类的历史业务行为数据和每类的线性函数，进行去噪处理，得到去噪后的每类的历史业务行为数据。6.如权利要求4所述的方法，其特征在于，根据每类的历史业务行为数据，通过舒斯特周期图，得到该类的频率信息与幅度信息的对照关系，包括：按时间长度对每类的历史业务行为数据进行分段，得到多段历史业务行为数据；分别得到各段历史业务行为数据的舒斯特周期图；对各段历史业务行为数据的舒斯特周期图进行整合，得到该类的频率信息与幅度信息的对照关系。7.如权利要求6所述的方法，其特征在于，所述对各段历史业务行为数据的舒斯特周期图进行整合，包括：利用平滑技术，对各段的舒斯特周期图进行段头平滑处理；利用其它段的舒斯特周期图对本段的舒斯特周期图进行交叉验证，进行去噪处理；将经过平滑和去噪处理后的各段历史业务行为数据的舒斯特周期图算数平均得到该类的舒斯特周期图。8.如权利要求4所述的方法，其特征在于，获取所述目标对象的多个历史业务行为数据，包括：对各系统中的业务数据进行格式标准化并对各系统中的业务数据进行关联分析得到业务行为数据；按业务操作类型，对格式标准化的业务行为数据进行对象分类，得到各类对象的业务行为数据。9.一种异常行为检测装置，其特征在于，包括：采集模块，用于获取目标...

【专利技术属性】
技术研发人员：束俞，
申请(专利权)人：中国移动通信集团上海有限公司，中国移动通信集团公司，
类型：发明
国别省市：上海,31