一种异常行为的识别方法、装置及电子设备制造方法及图纸

本发明专利技术实施例提供了一种异常行为的识别方法、装置及电子设备，包括：获取对待识别业务进行访问的待识别行为的行为信息；基于该行为信息，生成该待识别行为的行为特征；将该行为特征输入预先训练的有监督机器学习模型，得到表示该待识别行为是否为异常的识别结果，其中，有监督机器学习模型为基于样本集训练得到的，样本集包括黑样本集和白样本集，黑样本集中包括已知异常行为的行为特征，白样本集中包括已知正常行为的行为特征。本发明专利技术通过建立有监督机器学习模型，能够提升识别异常访问行为的准确度，准确的对异常访问行为进行拦截。

An Abnormal Behavior Recognition Method, Device and Electronic Equipment

【技术实现步骤摘要】
一种异常行为的识别方法、装置及电子设备
本专利技术涉及网络安全防护
，特别是涉及一种异常行为的识别方法、装置及电子设备。
技术介绍
随着全球信息化时代的到来，互联网技术的应用领域不断扩大，互联网工程开始涉及到社会发展的方方面面，自然的，就需要一定的网络安全防护手段，来保证网络安全。当下互联网领域中最主要的技术手段是联防联控方法。这种方法实现原理是将其它业务识别到的异常用户或者异常设备放入黑名单，在此我们称之为安全画像，然后基于此安全画像在目标业务中予以拦截。但是，这种联防联控方法只能基于安全画像对异常业务进行拦截，而对于安全画像中未记载的异常用户或设备，将无法判断其访问业务是否异常，就不能对其访问业务进行拦截，对网络安全造成重大威胁。
技术实现思路
本专利技术实施例的目的在于提供一种异常行为的识别方法、装置及电子设备，用以解决现有安全防护方法识别异常行为不够准确的问题。具体技术方案如下：第一方面，本专利技术实施提供了一种异常行为的识别方法，所述方法包括：获取对待识别业务进行访问的待识别行为的行为信息；基于所述行为信息，生成所述待识别行为的行为特征；将所述行为特征输入预先训练的有监督机器学习模型，得到表示所述待识别行为是否为异常的识别结果，其中，所述有监督机器学习模型为基于样本集训练得到的，所述样本集包括黑样本集和白样本集，所述黑样本集中包括已知异常行为的行为特征，所述白样本集中包括已知正常行为的行为特征。可选的，所述样本集包括对第一类业务进行访问的行为的行为特征，以及对第二类业务进行访问的行为的行为特征，其中，所述第一类业务为所述第二类业务的前置业务，所述待识别业务为所述第一类业务或所述第二类业务。可选的，所述黑样本集的创建步骤，包括：基于多个未知行为的行为特征，使用预先建立的行为识别模型，从所述多个未知行为的行为特征中，识别出异常行为，所述未知行为是不确定属于正常行为还是属于异常行为的行为；创建包括识别出的异常行为的行为特征，以及实际发生的已知异常行为的行为特征的黑样本集。可选的，所述基于多个未知行为的行为特征，使用预先建立的行为识别模型，从所述多个未知行为的行为特征中，识别出异常行为，包括：基于多个未知行为的行为特征，使用预先建立的孤立森林模型，从所述多个未知行为的行为特征中，识别出异常行为；或者基于多个未知行为的行为特征，以及多个实际发生的已知异常行为的行为特征，使用预先建立的高斯混合模型，从所述多个未知行为的行为特征中，识别出异常行为。可选的，所述基于多个未知行为的行为特征，使用预先建立的孤立森林模型，从所述多个未知行为的行为特征中，识别出异常行为，包括：针对多个未知行为中的每个未知行为，将该未知行为的行为特征输入预先建立的孤立森林模型模型中的多个孤立树中，得到该未知行为在每个所述孤立树中的高度；计算该未知行为在所述多个孤立树中的高度的平均值，作为该未知行为针对所述孤立森林模型的平均高度；基于平均高度越低异常程度越大的原则，确定该未知行为是否异常。可选的，所述高斯混合模型包括多个多元高斯分布模型；所述基于多个未知行为的行为特征，以及多个实际发生的已知异常行为的行为特征，使用预先建立的高斯混合模型，从所述多个未知行为中，识别出异常行为，包括：使用所述多个多元高斯分布模型，对多个未知行为的行为特征和多个实际发生的已知异常行为的行为特征，进行聚类，得到分别与每个多元高斯分布模型对应的行为特征簇；针对每个行为特征簇，当该行为特征簇中已知异常行为的行为特征的数量大于预设数量阈值时，确定该行为特征簇中的未知行为是异常行为。第二方面，本专利技术实施提供了一种异常行为的识别装置，所述装置包括：行为信息获取模块，用于获取对待识别业务进行访问的待识别行为的行为信息；行为特征生成模块，用于基于所述行为信息，生成所述待识别行为的行为特征；异常行为识别模块，用于将所述行为特征输入预先训练的有监督机器学习模型，得到表示所述待识别行为是否为异常的识别结果，其中，所述有监督机器学习模型为基于样本集训练得到的，所述样本集包括黑样本集和白样本集，所述黑样本集中包括已知异常行为的行为特征，所述白样本集中包括已知正常行为的行为特征。可选的，所述样本集包括对第一类业务进行访问的行为的行为特征，以及对第二类业务进行访问的行为的行为特征，其中，所述第一类业务为所述第二类业务的前置业务，所述待识别业务为所述第一类业务或所述第二类业务。可选的，所述装置还包括：黑样本集创建模块，用于创建所述黑样本集；所述黑样本集创建模块，包括：异常行为识别子模块，用于基于多个未知行为的行为特征，使用预先建立的行为识别模型，从所述多个未知行为的行为特征中，识别出异常行为，所述未知行为是不确定属于正常行为还是属于异常行为的行为；黑样本集创建子模块，用于创建包括识别出的异常行为的行为特征，以及实际发生的已知异常行为的行为特征的黑样本集。可选的，所述异常行为识别子模块，具体用于基于多个未知行为的行为特征，使用预先建立的孤立森林模型，从所述多个未知行为中，识别出异常行为；或者，基于多个未知行为的行为特征，以及多个实际发生的已知异常行为的行为特征，使用预先建立的高斯混合模型，从所述多个未知行为中，识别出异常行为。可选的，所述异常行为识别子模块，具体用于针对多个未知行为中的每个未知行为，将该未知行为的行为特征输入预先建立的孤立森林模型模型中的多个孤立树中，得到该未知行为在每个所述孤立树中的高度；并计算该未知行为在所述多个孤立树中的高度的平均值，作为该未知行为针对所述孤立森林模型的平均高度；以及基于平均高度越低异常程度越大的原则，确定该未知行为是否异常。可选的，所述高斯混合模型包括多个多元高斯分布模型；所述异常行为识别子模块，具体用于使用所述多个多元高斯分布模型，对多个未知行为的行为特征和多个实际发生的已知异常行为的行为特征，进行聚类，得到分别与每个多元高斯分布模型对应的行为特征簇；并针对每个行为特征簇，当该行为特征簇中已知异常行为的行为特征的数量大于预设数量阈值时，确定该行为特征簇中的未知行为是异常行为。第三方面，本专利技术实施提供了一种异常行为的识别的电子设备，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；存储器，用于存放计算机程序；处理器，用于执行存储器上所存放的程序时，实现上述任一所述的异常行为的识别方法的步骤。第四方面，本专利技术实施还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一异常行为的识别方法的步骤。第五方面，本专利技术实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一异常行为的识别方法的步骤。本专利技术实施例有益效果：本专利技术实施例提供的方案中，获取对待识别业务进行访问的待识别行为的行为信息，基于该行为信息，生成该待识别行为的行为特征，将该行为特征输入预先训练的有监督机器学习模型，得到表示该待识别行为是否为异常的识别结果，其中，有监督机器学习模型为基于样本集训练得到的，样本集包括黑样本集和白样本集，黑样本集中包括已知异常行为的行为特征，白样本集中包括已知正常行为的行为特征。本专利技术通过预先训练的有监督机器学习模本文档来自技高网...

【技术保护点】
1.一种异常行为的识别方法，其特征在于，包括：获取对待识别业务进行访问的待识别行为的行为信息；基于所述行为信息，生成所述待识别行为的行为特征；将所述行为特征输入预先训练的有监督机器学习模型，得到表示所述待识别行为是否为异常的识别结果，其中，所述有监督机器学习模型为基于样本集训练得到的，所述样本集包括黑样本集和白样本集，所述黑样本集中包括已知异常行为的行为特征，所述白样本集中包括已知正常行为的行为特征。

【技术特征摘要】
1.一种异常行为的识别方法，其特征在于，包括：获取对待识别业务进行访问的待识别行为的行为信息；基于所述行为信息，生成所述待识别行为的行为特征；将所述行为特征输入预先训练的有监督机器学习模型，得到表示所述待识别行为是否为异常的识别结果，其中，所述有监督机器学习模型为基于样本集训练得到的，所述样本集包括黑样本集和白样本集，所述黑样本集中包括已知异常行为的行为特征，所述白样本集中包括已知正常行为的行为特征。2.根据权利要求1所述的方法，其特征在于，所述样本集包括对第一类业务进行访问的行为的行为特征，以及对第二类业务进行访问的行为的行为特征；所述第一类业务为所述第二类业务的前置业务；所述待识别业务为所述第一类业务或所述第二类业务。3.根据权利要求1或2所述的方法，其特征在于，采用如下步骤创建所述黑样本集，包括：基于多个未知行为的行为特征，使用预先建立的行为识别模型，从所述多个未知行为的行为特征中，识别出异常行为，所述未知行为是不确定属于正常行为还是属于异常行为的行为；创建包括识别出的异常行为的行为特征，以及实际发生的已知异常行为的行为特征的黑样本集。4.根据权利要求3所述的方法，其特征在于，所述基于多个未知行为的行为特征，使用预先建立的行为识别模型，从所述多个未知行为的行为特征中，识别出异常行为，包括：基于多个未知行为的行为特征，使用预先建立的孤立森林模型，从所述多个未知行为的行为特征中，识别出异常行为；或者基于多个未知行为的行为特征，以及多个实际发生的已知异常行为的行为特征，使用预先建立的高斯混合模型，从所述多个未知行为的行为特征中，识别出异常行为。5.根据权利要求4所述的方法，其特征在于，所述基于多个未知行为的行为特征，使用预先建立的孤立森林模型，从所述多个未知行为的行为特征中，识别出异常行为，包括：针对多个未知行为中的每个未知行为，将该未知行为的行为特征输入预先建立的孤立森林模型模型中的多个孤立树中，得到该未知行为在每个所述孤立树中的高度；计算该未知行为在所述多个孤立树中的高度的平均值，作为该未知行为针对所述孤立森林模型的平均高度；基于平均高度越低异常程度越大的原则，确定该未知行为是否异常。6.根据权利要求4所述的方法，其特征在于，所述高斯混合模型包括多个多元高斯分布模型；所述基于多个未知行为的行为特征，以及多个实际发生的已知异常行为的行为特征，使用预先建立的高斯混合模型，从所述多个未知行为中，识别出异常行为，包括：使用所述多个多元高斯分布模型，对多个未知行为的行为特征和多个实际发生的已知异常行为的行为特征，进行聚类，得到分别与每个多元高斯分布模型对应的行为特征簇；针对每个行为特征簇，当该行为特征簇中已知异常行为的行为特征的数量大于预设数量阈值时，确定该行为特征簇中的未知行为是异常行为。7.一种异常行为的识别装置，其特征在于，所述装置包括：行为信...

【专利技术属性】
技术研发人员：补彬，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：北京,11