行为异常检测方法和装置制造方法及图纸

本发明专利技术公开了行为异常检测方法和装置，涉及网络安全技术领域。该方法的一具体实施方式包括：根据预设的异常因子检测方式，检测设定范围内的行为数据；当检测的结果指示行为数据包括至少一种异常因子时，计算每一种异常因子在设定范围内的发生率；根据每一种异常因子、每一种异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及关联关系对应的条件概率，计算行为数据对应的异常分数，当异常分数不小于预设的异常阈值时，行为数据指示了发生行为异常。该实施方式能够有效地降低行为异常的误报率或虚报率。

【技术实现步骤摘要】
行为异常检测方法和装置
本专利技术涉及网络安全
，尤其涉及一种行为异常检测方法和装置。
技术介绍
网络安全隐患(如数据泄密、网络攻击等)一般可由网络中的用户行为或实体行为异常引起及体现出来，其中，实体设备例如为个人计算机、手机、平板、服务器、虚拟机等。因此，检测行为(用户行为和/或实体行为)是否异常，是保证网络安全的重要前提。目前，检测行为异常的方式主要通过规则匹配完成，即为异常配置对应的规则，当检测到的一具体行为(用户行为和/或实体行为)满足该规则时，则确定该行为异常。在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题：现有的这种行为异常检测方式，由于参考标准比较单一，会导致误报或虚报。
技术实现思路
有鉴于此，本专利技术实施例提供一种行为异常检测方法和装置，能够有效地降低行为异常的误报率或虚报率。为实现上述目的，根据本专利技术实施例的一个方面，提供了一种行为异常检测方法，包括：根据预设的异常因子检测方式，检测设定范围内的行为数据；当检测的结果指示所述行为数据包括至少一种异常因子时，计算每一种所述异常因子在所述设定范围内的发生率；根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率，计算所述行为数据对应的异常分数，其中，所述行为异常网络模型与一行为异常相关，所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常；当所述异常分数不小于预设的异常阈值时，所述行为数据指示了发生所述行为异常。优选地，上述行为异常检测方法，进一步包括：构建所述行为异常网络模型，其中，所述行为异常网络模型包括多个异常因子以及所述多个异常因子之间的至少一段关联关系；为每一段所述关联关系配置多个条件概率，所述条件概率表示了对应于父节点的发生情况组合子节点的发生概率；存储所述行为异常网络模型和每一段所述关联关系对应配置的多个条件概率。优选地，每一段所述关联关系包括下列中的一种情况：所述子节点对应于至少两个父节点、所述子节点是另一段关联关系的父节点。优选地，为每一段所述关联关系配置多个条件概率的步骤，包括：针对每一段所述关联关系，执行：针对所述至少一个父节点的每一种状态值的组合，配置所述子节点发生的条件概率和所述子节点未发生的条件概率，其中，所述状态值指示所述父节点发生或未发生。优选地，在计算所述行为数据对应的异常分数之前，进一步包括：根据所述行为数据包括的异常因子，从至少两个所述行为异常网络模型中，确定待使用的所述异常网络模型。优选地，计算所述行为数据对应的异常分数的步骤，包括：针对每一段所述关联关系，执行：利用每一个所述父节点对应的发生率，计算所述父节点的每一种状态值的组合对应的组合概率；根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数。优选地，根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数的步骤，包括：根据所计算的组合概率的最大值在关联关系中对应配置的条件概率，计算关联关系的组合因子或行为异常的异常分数。优选地，根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数的步骤，包括：如果所述行为数据指示了预定义的异常因子发生，则根据所述预定义的异常因子在所述关联关系中对应配置的条件概率，计算所述关联关系的组合因子或行为异常的异常分数。优选地，根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数的步骤，包括：根据所计算的组合概率和所述组合概率在所述关联关系中对应配置的条件概率的乘积之和，计算所述关联关系的组合因子或行为异常的异常分数。优选地，所述异常因子检测方式，包括：基于规则的异常因子检测方式、基于行为基线的异常因子检测方式以及基于机器学习的异常因子检测方式中的任意一种或多种。优选地，所述行为数据来源于网络连接日志，终端日志、安全事件日志中的任意一种或多种。优选地，在检测设定范围内的行为数据的步骤之后，进一步包括：获取所述行为数据包括的多个特征信息；对每一种所述特征信息进行数值化处理，以获得所述行为数据包括的至少一种异常因子。第二方面，本专利技术实施例提供一种行为异常检测装置，包括：检测单元、发生率计算单元以及异常识别单元，其中，所述检测单元，用于根据预设的异常因子检测方式，检测设定范围内的行为数据；所述发生率计算单元，用于当所述检测单元检测的结果指示所述行为数据包括至少一种异常因子时，计算每一种所述异常因子在所述设定范围内的发生率；所述异常识别单元，用于根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率，计算所述行为数据对应的异常分数，其中，所述行为异常网络模型与一行为异常相关，所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常；当所述异常分数不小于预设的异常阈值时，所述行为数据指示了发生所述行为异常。优选地，行为异常检测装置，进一步包括：模型构建单元和存储单元，其中，所述模型构建单元，用于构建所述行为异常网络模型，其中，所述行为异常网络模型包括多个异常因子以及所述多个异常因子之间的至少一段关联关系；为每一段所述关联关系配置多个条件概率，所述条件概率表示了对应于父节点的发生情况组合子节点的发生概率；所述存储单元，用于存储所述模型构建单元构建出的所述行为异常网络模型以及配置的每一段所述关联关系对应配置的多个条件概率。上述专利技术中的一个实施例具有如下优点或有益效果：一般来说，结合多种异常因子可比较准确的评估行为数据是否存在行为异常。在本专利技术实施例的方案中，因为存储的行为异常网络模型包括多个异常因子以及多个异常因子之间的关联关系，即该行为异常网络模型综合了多个异常因子和多个异常因子之间的关联关系。那么，基于行为异常网络模型包括的多个异常因子之间的关联关系及关联关系对应的条件概率、检测出的行为数据包括的每一种异常因子以及行为数据包括的每一种异常因子对应的发生率，计算出的行为数据对应的异常分数，能够比较全面和真实的反映行为数据，因此，利用异常分数的大小，判断行为数据是否指示了发生行为异常(即当异常分数不小于预设的异常阈值时，行为数据指示了发生行为异常)，能够有效地降低行为异常的误报率或虚报率。上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。附图说明附图用于更好地理解本专利技术，不构成对本专利技术的不当限定。其中：图1是根据本专利技术实施例的行为异常检测方法的主要流程的示意图；图2是根据本专利技术实施本文档来自技高网...

【技术保护点】
1.一种行为异常检测方法，其特征在于，包括：/n根据预设的异常因子检测方式，检测设定范围内的行为数据；/n当检测的结果指示所述行为数据包括至少一种异常因子时，计算每一种所述异常因子在所述设定范围内的发生率；/n根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率，计算所述行为数据对应的异常分数，其中，所述行为异常网络模型与一行为异常相关，所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常；/n当所述异常分数不小于预设的异常阈值时，所述行为数据指示了发生所述行为异常。/n

【技术特征摘要】
1.一种行为异常检测方法，其特征在于，包括：
根据预设的异常因子检测方式，检测设定范围内的行为数据；
当检测的结果指示所述行为数据包括至少一种异常因子时，计算每一种所述异常因子在所述设定范围内的发生率；
根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率，计算所述行为数据对应的异常分数，其中，所述行为异常网络模型与一行为异常相关，所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常；
当所述异常分数不小于预设的异常阈值时，所述行为数据指示了发生所述行为异常。


2.根据权利要求1所述的行为异常检测方法，其特征在于，进一步包括：
构建所述行为异常网络模型，其中，所述行为异常网络模型包括多个异常因子以及所述多个异常因子之间的至少一段关联关系；
为每一段所述关联关系配置多个条件概率，所述条件概率表示了对应于父节点的发生情况组合子节点的发生概率；
存储所述行为异常网络模型和每一段所述关联关系对应配置的多个条件概率。


3.根据权利要求2所述的行为异常检测方法，其特征在于，每一段所述关联关系进一步包括：
所述子节点对应于至少两个父节点、所述子节点是另一段关联关系的父节点。


4.根据权利要求2所述的行为异常检测方法，其特征在于，为每一段所述关联关系配置多个条件概率的步骤，包括：
针对每一段所述关联关系，执行：
针对所述至少一个父节点的每一种状态值的组合，配置所述子节点发生的条件概率和所述子节点未发生的条件概率，其中，所述状态值指示所述父节点发生或未发生。


5.根据权利要求1所述的行为异常检测方法，其特征在于，
在计算所述行为数据对应的异常分数之前，进一步包括：根据所述行为数据包括的异常因子，从至少两个所述行为异常网络模型中，确定待使用的所述异常网络模型。


6.根据权利要求4所述的行为异常检测方法，其特征在于，计算所述行为数据对应的异常分数的步骤，包括：
针对每一段所述关联关系，执行：
利用每一个所述父节点对应的发生率，计算所述父节点的每一种状态值的组合对应的组合概率；
根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数。


7.根据权利要求6所述的行为异常检测方法，其特征在于，根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数的步骤，包括：根据所计算的组合概率的最大值在关联关系中对应配置的条件概率，计算关联关系的组合因子或行为异常的异常分数。


8.根据权利要求6所述的行为异常检测方法，其特征在于，根据所述组合概率和所述关联关系的条件概率，计算所述关联关系的组合因子或行为异常的异常分数的步骤，包括：如果所述行为数据指示了预定义的异常因子发生，则根据所述预定义的异常因子在所述关联关系中对应配置的条件概率，计算所述...

【专利技术属性】
技术研发人员：陈少涵，吴雪阳，胡跃，
申请(专利权)人：北京天空卫士网络安全技术有限公司，
类型：发明
国别省市：北京;11