一种检测方法、相关方法及相关装置制造方法及图纸

本申请公开了一种检测方法，包括：获取终端行为日志；根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征；采用预先训练的行为检测模型对待检测特征进行检测，得到检测结果。通过终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征，使得离散的事件之间形成非时间序列的关联关系，最后采用行为检测模型进行终端行为检测，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了目标实体的检测效果和准确性。本申请还公开了一种行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质，具有以上有益效果。

【技术实现步骤摘要】
一种检测方法、相关方法及相关装置
本申请涉及计算机
，特别涉及一种检测方法、行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质。
技术介绍
在终端的安全领域中，需要对终端产生的行为日志中各个行为进行检测，以便检测确定目标行为和执行目标行为的目标实体。例如，可以是检测可疑或恶意的行为和执行这些行为的恶意实体。一般而言，可以通过特征匹配的方式检测出终端中的目标实体。但是，采用特征匹配的方式很容易被目标实体伪装，从而逃避检测。因此，为了提高目标实体的检测精度，目前常用基于终端行为日志的行为检测方案。相关技术中，通过技术人员编写规则的方式，将记录得到的终端行为日志和编写得到的规则进行匹配，以便实现对目标实体的分析和检测。但是，规则的质量和效果严重依赖于技术人员的经验，导致目标实体的检测范围覆盖不足，无法全面地对目标实体进行检测，降低目标实体检测的效果和准确性。因此，如何提高目标实体检测的效果是本领域技术人员关注的重点问题。
技术实现思路
本申请的目的是提供一种检测方法、行本文档来自技高网...

【技术保护点】
1.一种检测方法，其特征在于，包括：/n获取终端行为日志；/n根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征；/n采用预先训练的行为检测模型对所述待检测特征进行检测，得到检测结果。/n

【技术特征摘要】
1.一种检测方法，其特征在于，包括：
获取终端行为日志；
根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征；
采用预先训练的行为检测模型对所述待检测特征进行检测，得到检测结果。


2.根据权利要求1所述的检测方法，其特征在于，所述行为检测模型包括图神经网络模型。


3.根据权利要求1所述的检测方法，其特征在于，所述根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征的步骤，包括：
根据预设格式对所述终端行为日志进行格式一致化处理，得到预处理日志；
根据所述预处理日志中实体之间的因果关系对所述预处理日志进行事件关联特征提取处理，得到所述待检测特征。


4.根据权利要求1所述的检测方法，其特征在于，所述根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征的步骤，包括：
对所述终端行为日志进行三元组解析，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作；
根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征。


5.根据权利要求4所述的检测方法，其特征在于，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征的步骤，包括：
将所有所述终端行为日志中所有事件对应的所述实体进行整合，得到所有事件对应的多个待关联实体；
根据所述多个待关联实体之间的因果关系将所述操作与所述多个待关联实体进行网状结构关联，得到所述待检测特征。


6.根据权利要求4所述的检测方法，其特征在于，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征的步骤，包括：
针对每一终端行为日志中的事件，基于所述实体、所述操作及各实体之间的因果关系构建因果关系边；其中，所述因果关系边中的端点表征所述实体，所述因果关系边中的有向边表征实体之间的操作；
将所有所述因果关系边进行有向图聚合，得到所述待检测特征。


7.根据权利要求4至6任一项所述的检测方法，其特征在于，所述对所述终端行为日志进行三元组解析，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作的步骤，包括：
根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；
根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；
将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。


8.一种行为检测模型生成方法，其特征在于，包括：
获取终端行为日志训练集；
根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据；
根据所述待训练特征数据进行检测模型训练得到行为检测模型。


9.根据权利要求8所述的行为检测模型生成方法，其特征在于，所述行为检测模型包括图神经网络模型。


10.根据权利要求8所述的行为检测模型生成方法，其特征在于，所述根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据的步骤，包括：
根据预设格式对所述终端行为日志训练集进行格式一致化处理，得到预处理日志；<...

【专利技术属性】
技术研发人员：顾立明，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44