【技术实现步骤摘要】
行为异常检测方法和装置
本专利技术涉及网络安全
,尤其涉及一种行为异常检测方法和装置。
技术介绍
网络安全隐患(如数据泄密、网络攻击等)一般可由网络中的用户行为或实体行为异常引起及体现出来,其中,实体设备例如为个人计算机、手机、平板、服务器、虚拟机等。因此,检测行为(用户行为和/或实体行为)是否异常,是保证网络安全的重要前提。目前,检测行为异常的方式主要通过规则匹配完成,即为异常配置对应的规则,当检测到的一具体行为(用户行为和/或实体行为)满足该规则时,则确定该行为异常。在实现本专利技术过程中,专利技术人发现现有技术中至少存在如下问题:现有的这种行为异常检测方式,由于参考标准比较单一,会导致误报或虚报。
技术实现思路
有鉴于此,本专利技术实施例提供一种行为异常检测方法和装置,能够有效地降低行为异常的误报率或虚报率。为实现上述目的,根据本专利技术实施例的一个方面,提供了一种行为异常检测方法,包括:根据预设的异常因子检测方式,检测设定范围内的行为数据;当检测的结果指示所述行为数据包括至少一种异常因子时,计算每一种所述异常因子在所述设定范围内的发生率;根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率,计算所述行为数据对应的异常分数,其中,所述行为异常网络模型与一行为异常相关,所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行 ...
【技术保护点】
1.一种行为异常检测方法,其特征在于,包括:/n根据预设的异常因子检测方式,检测设定范围内的行为数据;/n当检测的结果指示所述行为数据包括至少一种异常因子时,计算每一种所述异常因子在所述设定范围内的发生率;/n根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率,计算所述行为数据对应的异常分数,其中,所述行为异常网络模型与一行为异常相关,所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常;/n当所述异常分数不小于预设的异常阈值时,所述行为数据指示了发生所述行为异常。/n
【技术特征摘要】
1.一种行为异常检测方法,其特征在于,包括:
根据预设的异常因子检测方式,检测设定范围内的行为数据;
当检测的结果指示所述行为数据包括至少一种异常因子时,计算每一种所述异常因子在所述设定范围内的发生率;
根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率,计算所述行为数据对应的异常分数,其中,所述行为异常网络模型与一行为异常相关,所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常;
当所述异常分数不小于预设的异常阈值时,所述行为数据指示了发生所述行为异常。
2.根据权利要求1所述的行为异常检测方法,其特征在于,进一步包括:
构建所述行为异常网络模型,其中,所述行为异常网络模型包括多个异常因子以及所述多个异常因子之间的至少一段关联关系;
为每一段所述关联关系配置多个条件概率,所述条件概率表示了对应于父节点的发生情况组合子节点的发生概率;
存储所述行为异常网络模型和每一段所述关联关系对应配置的多个条件概率。
3.根据权利要求2所述的行为异常检测方法,其特征在于,每一段所述关联关系进一步包括:
所述子节点对应于至少两个父节点、所述子节点是另一段关联关系的父节点。
4.根据权利要求2所述的行为异常检测方法,其特征在于,为每一段所述关联关系配置多个条件概率的步骤,包括:
针对每一段所述关联关系,执行:
针对所述至少一个父节点的每一种状态值的组合,配置所述子节点发生的条件概率和所述子节点未发生的条件概率,其中,所述状态值指示所述父节点发生或未发生。
5.根据权利要求1所述的行为异常检测方法,其特征在于,
在计算所述行为数据对应的异常分数之前,进一步包括:根据所述行为数据包括的异常因子,从至少两个所述行为异常网络模型中,确定待使用的所述异常网络模型。
6.根据权利要求4所述的行为异常检测方法,其特征在于,计算所述行为数据对应的异常分数的步骤,包括:
针对每一段所述关联关系,执行:
利用每一个所述父节点对应的发生率,计算所述父节点的每一种状态值的组合对应的组合概率;
根据所述组合概率和所述关联关系的条件概率,计算所述关联关系的组合因子或行为异常的异常分数。
7.根据权利要求6所述的行为异常检测方法,其特征在于,根据所述组合概率和所述关联关系的条件概率,计算所述关联关系的组合因子或行为异常的异常分数的步骤,包括:根据所计算的组合概率的最大值在关联关系中对应配置的条件概率,计算关联关系的组合因子或行为异常的异常分数。
8.根据权利要求6所述的行为异常检测方法,其特征在于,根据所述组合概率和所述关联关系的条件概率,计算所述关联关系的组合因子或行为异常的异常分数的步骤,包括:如果所述行为数据指示了预定义的异常因子发生,则根据所述预定义的异常因子在所述关联关系中对应配置的条件概率,计算所述...
【专利技术属性】
技术研发人员:陈少涵,吴雪阳,胡跃,
申请(专利权)人:北京天空卫士网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。