【技术实现步骤摘要】
一种终端行为监测方法、装置、电子设备及存储介质
本专利技术涉及网络安全
,尤其涉及一种终端行为监测方法、装置、电子设备及存储介质。
技术介绍
目前恶意代码肆意泛滥,而恶意代码的扩散和终端被攻击有很大一部分是来源于企业内网,因此企业都会对企业内网的终端进行行为监测,以进行防护确保内网安全。当前企业进行终端行为监测时,使用的检测规则通常都是人为制定的,但是企业内网环境复杂,终端众多,因此依靠人为制定检测规则进行终端行为监测存在效率低、灵活性低、准确性低的问题。
技术实现思路
有鉴于此,本专利技术实施例提供一种终端行为监测方法、装置、电子设备及存储介质,可以智能、科学的建立终端的行为特征库,基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。在第一方面,本专利技术实施例提供一种终端行为监测方法,该方法包括:采集网络中多个终端的多个行为特征;从所述多个行为特征中确定出每个终端的多个可用行为特征;分别将所述每个终端的多个可用行为特征转化成行为矩阵;分别将...
【技术保护点】
1.一种终端行为监测方法,其特征在于,所述方法包括:/n采集网络中多个终端的多个行为特征;/n从所述多个行为特征中确定出每个终端的多个可用行为特征;/n分别将所述每个终端的多个可用行为特征转化成行为矩阵;/n分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;/n根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;/n利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的...
【技术特征摘要】
1.一种终端行为监测方法,其特征在于,所述方法包括:
采集网络中多个终端的多个行为特征;
从所述多个行为特征中确定出每个终端的多个可用行为特征;
分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;
根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的对应关系;
当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定所述目标终端行为疑似异常。
2.根据权利要求1所述的方法,其特征在于,所述分别将所述每个终端的多个可用行为特征转化成行为矩阵,包括:
将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;
将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将所述多个一维矩阵转换成一维行为矩阵;
将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵。
3.根据权利要求2所述的方法,其特征在于,在所述将每个可用行为特征转换的得到的一维行为矩阵结合,得到所述每个终端的行为矩阵之前,所述方法还包括:
对每个一维行为矩阵进行归一化处理。
4.根据权利要求1所述的方法,其特征在于,在所述确定所述目标终端行为疑似异常之后,所述方法还包括:
将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较;
如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内,则确定所述目标终端行为异常。
5.根据权利1所述的方法,其特征在于,所述从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征,包括:
当满足终端行为特征库更新条件时,从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。
6.一种终端行为监测装置,其特征在于,所述装置包括:
采集单元,用于采集网络中多个终端的多个行为特征;
第一确定单元,用于从所述多个行为特征中确定出每个终端的多个可用行为特征;
转化单元,用于分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分析单元,用于分别将每个...
【专利技术属性】
技术研发人员:郭伟超,李洋,徐翰隆,王小丰,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。