CN110874310B - 一种终端行为监测方法、装置、电子设备及存储介质 - Google Patents

一种终端行为监测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN110874310B
CN110874310B CN201811579565.4A CN201811579565A CN110874310B CN 110874310 B CN110874310 B CN 110874310B CN 201811579565 A CN201811579565 A CN 201811579565A CN 110874310 B CN110874310 B CN 110874310B
Authority
CN
China
Prior art keywords
behavior
terminal
matrix
dimensional
available
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811579565.4A
Other languages
English (en)
Other versions
CN110874310A (zh
Inventor
郭伟超
李洋
徐翰隆
王小丰
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN201811579565.4A priority Critical patent/CN110874310B/zh
Publication of CN110874310A publication Critical patent/CN110874310A/zh
Application granted granted Critical
Publication of CN110874310B publication Critical patent/CN110874310B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明的实施例公开一种行为特征库方法、装置、电子设备及存储介质。该方法包括:采集网络中多个终端的多个行为特征;从多个行为特征中确定出每个终端的多个可用行为特征;利用该多个可用行为特征进行聚类分析,得到多个聚类中心点,及每个聚类中心点对应的终端类型及对应的标准行为矩阵;利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,该终端行为特征库包括:终端类型与标准行为矩阵的对应关系;当监测到目标终端的任一行为特征对应的一维行为矩阵与终端行为特征库中目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定该目标终端行为疑似异常。

Description

一种终端行为监测方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种终端行为监测方法、装置、电子设备及存储介质。
背景技术
目前恶意代码肆意泛滥,而恶意代码的扩散和终端被攻击有很大一部分是来源于企业内网,因此企业都会对企业内网的终端进行行为监测,以进行防护确保内网安全。当前企业进行终端行为监测时,使用的检测规则通常都是人为制定的,但是企业内网环境复杂,终端众多,因此依靠人为制定检测规则进行终端行为监测存在效率低、灵活性低、准确性低的问题。
发明内容
有鉴于此,本发明实施例提供一种终端行为监测方法、装置、电子设备及存储介质,可以智能、科学的建立终端的行为特征库,基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。
在第一方面,本发明实施例提供一种终端行为监测方法,该方法包括:
采集网络中多个终端的多个行为特征;
从所述多个行为特征中确定出每个终端的多个可用行为特征;
分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;
根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的对应关系;
当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定所述目标终端行为疑似异常。优选的,所述分别将所述每个终端的多个可用行为特征转化成行为矩阵,包括:将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将所述多个一维矩阵转换成一维行为矩阵;将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵。
优选的,在所述将每个可用行为特征转换的得到的一维行为矩阵结合,得到所述每个终端的行为矩阵之前,所述方法还包括:对每个一维行为矩阵进行归一化处理。
优选的,在所述确定所述目标终端行为疑似异常之后,所述方法还包括:将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较;如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内,则确定所述目标终端行为异常。
优选的,所述从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征,包括:当满足终端行为特征库更新条件时,从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。
在第二方面,本发明实施例提供一种终端行为监测装置,该装置包括:
采集单元,用于采集网络中多个终端的多个行为特征;
第一确定单元,用于从所述多个行为特征中确定出每个终端的多个可用行为特征;
转化单元,用于分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分析单元,用于分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;
第二确定单元,用于根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
建立单元,用于利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的对应关系;
第三确定单元,用于当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定所述目标终端行为疑似异常。
优选的,所述转化单元具体用于:将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将所述多个一维矩阵转换成一维行为矩阵;将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵。
优选的,所述转化单元还用于:在所述将每个可用行为特征转换的得到的一维行为矩阵结合,得到所述每个终端的行为矩阵之前,对每个一维行为矩阵进行归一化处理。
优选的,所述第三确定单元还用于,在所述确定所述目标终端行为疑似异常之后,将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较;如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内,则确定所述目标终端行为异常。
优选的,所述第一确定单元具体用于:当满足终端行为特征库更新条件时,从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。
在第三方面,本发明实施例提供一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面中所述的方法。
在第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述第一方面所述的方法。
本发明实施例提供的一种终端行为监测方法、装置、电子设备及存储介质,通过采集网络中多个终端的多个行为特征,从该多个行为特征中确定出每个终端的多个可用行为特征,并将利用多个终端的多个可用行为特征转化成行为矩阵,并对行为矩阵进行聚类分析,从而根据聚类分析得到的多个聚类中心点建立包括终端类型与标准行为矩阵的对应关系的终端行为特征库。该终端行为特征库相较于人为制定检测规则更为智能、科学,因此基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例提供的一种终端行为监测方法的流程示意图;
图2为本发明的实施例提供的一种终端行为监测装置的结构示意图;
图3为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明的实施例提供的一种终端行为监测方法的流程示意图。该终端行为监测方法可以应用于电子设备。
如图1所示,本实施例的终端行为监测方法可以包括:
步骤101,采集网络中多个终端的多个行为特征。
其中,终端的行为特征可以包括:静态特征(如,本地ip地址,mac地址等)、动态特征(如,本地内存占用比例,cpu占用比例,端口开放情况等)、时序特征(如,活跃时间,访问外网次数,被访问次数,每时段上传下载流量等)、访问特征(如,下载文件,上传文件,访问内网其他终端端口,常用进程等)、交互特征(如,与其他终端或云端通信时的特征)、运行特征(如,自启动进程、活跃进程、高资源占用进程、启动端口通讯的进程等)等。
本步骤中采集的终端的行为特征越多越可以准确的反应出终端的特点,以使得基于此建立的行为特征库准确性越高。
步骤102,从多个行为特征中确定出每个终端的多个可用行为特征。
其中,可用行为特征是指能够在网络安全方面可以单独表示终端某一行为或行为规律的特征。例如:终端的本地mac地址(即静态特征中的mac地址)是一个固定的值,不会体现出终端的任何行为或行为特征,因此该本地mac地址不属于可用行为特征。而对于终端的本地内存占用比例,根据本地内存占用比例可以反应出终端的行为或行为规律,比如,本地内存占用比例大时,说明终端处于活跃状态,运行的程序较多,并且可以确定不同时间点终端的是否处于活跃状态,因此该本地内存占用比例可以确定为可用行为特征。
从从多个行为特征中确定出每个终端的多个可用行为特征可以减少后续建立行为特征库的计算量,也可以提高行为特征库准确性。
在一个例子中,步骤102具体为:当满足终端行为特征库更新条件时,从多个行为特征中确定出多个终端中的每个终端的多个可用行为特征。
例如,终端行为特征库更新条件可以为未更新时长达到预设时长,或采集的终端数量达到预设数量等。
步骤103,分别将每个终端的多个可用行为特征转化成行为矩阵。
具体的,分别将每个终端的多个可用行为特征转化成行为矩阵的步骤,可以包括:
步骤1301,将每个终端的多个可用行为特征中的二维行为特征转换成第一一维行为矩阵。
在一个具体的例子中,以终端的自启进程特征为例,该自启进程特征只有两个变量,一个变量是自启状态,一个变量为时间,因为该特征为二维行为特征。假设,用1表示自启,用0表示未自启。那么该自启进程特征对应的一维行为矩阵表示为:
1 1 0 1 1 0 1 1 0 1
其中,每一列表示不同的时间,每个元素值表示自启状态。
步骤1302,将每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将该多个一维矩阵转换成一维行为矩阵。
在一个具体的例子中,以终端的活跃时间特征为例,该自启进程特征变量包括:两个时间变量(即天、时),一个活跃状态变量,因为该特征为多维行为特征。假设针对该活跃时间特征预设的转换映射表为:每一天对应一个一维矩阵,每个一维矩阵的列表示小时,每个元素值表示活跃状态,1表示启动,0表示关闭,那么该活跃时间特征对应的多个一维矩阵为:
然后,将该活跃时间特征对应的多个一维矩阵,例如,可以对多个一维矩阵进行加法运算得到一个一维矩阵作为将该活跃时间特征对应的一维行为矩阵。
需要说明的是,因为每个行为特征具有不同的属性和特点,因此每个行为特征对应的转换映射表可以根据管理员的需求进行设定。
步骤1303,将多个可用行为特征转换得到的一维行为矩阵结合,得到每个终端的行为矩阵。
在一个具体的例子中,由于不同一维行为矩阵中的元素值可能的大小差异可能很大,为了便于后续计算和聚类的准确性,可以在不收1303之前,将每个一维行为矩阵中的元素值进行归一化处理。
步骤104,分别将每个终端的行为矩阵投影到超平面,在超平面上形成多个点,对超平面上的多个点进行聚类分析,得到多个聚类中心点。
具体的,超平面上的每个点代表一个终端。聚类的过程可采用均值漂移聚类方法对超平面上的点进行聚类,得到多个聚类中心点。
步骤105,根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵。
具体的,可以根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型,比如一线工作机,后台服务器等。并且,可以对在距离每个聚类中心点预设范围内的点对应的行为矩阵的每个一维行为矩阵进行统计,针对每个行为特征对应的一维行为矩阵,将相同数量最多的一维行为矩阵,确定为标准一维行为矩阵,然后将确定的多个行为特征分别对应的标准一维行为矩阵结合,得到标准行为矩阵。
步骤106,利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库。
该终端行为特征库包括:每个聚类中心点对应的终端类型与该聚类中心点对应的标准行为矩阵的对应关系。
步骤107,当监测到目标终端的任一行为特征对应的一维行为矩阵与终端行为特征库中该目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定目标终端行为疑似异常。
由于对终端的行为矩阵进行聚类形成的终端行为特征库属于粗粒度判断规则,因此如果想要精确判断终端是否异常,则在确定目标终端行为疑似异常之后,该方法还可以包括:
将目标终端的行为特征与预先存储的目标终端在正常状态下的行为特征进行比较,如果目标终端的行为特征为未包含于目标终端在正常状态下的行为特征内,则确定目标终端行为异常。
通过利用本发明实施例提供的一种终端行为监测方法,可以采集网络中多个终端的多个行为特征,从该多个行为特征中确定出每个终端的多个可用行为特征,并将利用多个终端的多个可用行为特征转化成行为矩阵,并对行为矩阵进行聚类分析,从而根据聚类分析得到的多个聚类中心点建立包括终端类型与标准行为矩阵的对应关系的终端行为特征库。该终端行为特征库相较于人为制定检测规则更为智能、科学,因此基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。
图2为本发明实施例提供的一种终端行为监测装置的结构示意图。该装置可以应用于电子设备。
如图2所示,本实施例的装置可以包括:采集单元201,第一确定单元202,转化单元203,分析单元204,第二确定单元205、建立单元206及第三确定单元207。
其中,采集单元201,用于采集网络中多个终端的多个行为特征。
其中,终端的行为特征可以包括:静态特征(如,本地ip地址,mac地址等)、动态特征(如,本地内存占用比例,cpu占用比例,端口开放情况等)、时序特征(如,活跃时间,访问外网次数,被访问次数,每时段上传下载流量等)、访问特征(如,下载文件,上传文件,访问内网其他终端端口,常用进程等)、交互特征(如,与其他终端或云端通信时的特征)、运行特征(如,自启动进程、活跃进程、高资源占用进程、启动端口通讯的进程等)等。
第一确定单元202,用于从多个行为特征中确定出每个终端的多个可用行为特征。
其中,可用行为特征是指能够在网络安全方面可以单独表示终端某一行为或行为规律的特征。
转化单元203,用于分别将每个终端的多个可用行为特征转化成行为矩阵。
分析单元204,用于分别将每个终端对应的行为矩阵投影到超平面,在超平面上形成多个点,对超平面上的多个点进行聚类分析,得到多个聚类中心点。
第二确定单元205,用于根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
建立单元206,用于利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,该终端行为特征库包括:终端类型与标准行为矩阵的对应关系。
第三确定单元207,用于当监测到目标终端的任一行为特征对应的一维行为矩阵与终端行为特征库中目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定目标终端行为疑似异常。
优选的,转化单元203具体用于:将每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;将每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将多个一维矩阵转换成一维行为矩阵;将多个可用行为特征转换得到的一维行为矩阵结合,得到每个终端的行为矩阵。
优选的,转化单元203还用于:在将每个可用行为特征转换的得到的一维行为矩阵结合,得到每个终端的行为矩阵之前,对每个一维行为矩阵进行归一化处理。
优选的,第三确定单元207还用于,在确定目标终端行为疑似异常之后,将目标终端的行为特征与预先存储的目标终端在正常状态下的行为特征进行比较;如果目标终端的行为特征为未包含于目标终端在正常状态下的行为特征内,则确定目标终端行为异常。
优选的,第一确定单元202具体用于:当满足终端行为特征库更新条件时,从多个行为特征中确定出多个终端中的每个终端的多个可用行为特征。
例如,终端行为特征库更新条件可以为未更新时长达到预设时长,或采集的终端数量达到预设数量等。
通过利用本发明实施例提供的一种终端行为监测装置,可以采集网络中多个终端的多个行为特征,从该多个行为特征中确定出每个终端的多个可用行为特征,并将利用多个终端的多个可用行为特征转化成行为矩阵,并对行为矩阵进行聚类分析,从而根据聚类分析得到的多个聚类中心点建立包括终端类型与标准行为矩阵的对应关系的终端行为特征库。该终端行为特征库相较于人为制定检测规则更为智能、科学,因此基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。
本发明实施例还提供一种电子设备。图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1所示实施例的流程,如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实施例所述的方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (12)

1.一种终端行为监测方法,其特征在于,所述方法包括:
采集网络中多个终端的多个行为特征;
从所述多个行为特征中确定出每个终端的多个可用行为特征;
分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;
根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的对应关系;
当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定所述目标终端行为疑似异常。
2.根据权利要求1所述的方法,其特征在于,所述分别将所述每个终端的多个可用行为特征转化成行为矩阵,包括:
将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;
将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将所述多个一维矩阵转换成一维行为矩阵;
将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵。
3.根据权利要求2所述的方法,其特征在于,在所述将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵之前,所述方法还包括:
对每个一维行为矩阵进行归一化处理。
4.根据权利要求1所述的方法,其特征在于,在所述确定所述目标终端行为疑似异常之后,所述方法还包括:
将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较;
如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内,则确定所述目标终端行为异常。
5.根据权利要求1所述的方法,其特征在于,所述从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征,包括:
当满足终端行为特征库更新条件时,从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。
6.一种终端行为监测装置,其特征在于,所述装置包括:
采集单元,用于采集网络中多个终端的多个行为特征;
第一确定单元,用于从所述多个行为特征中确定出每个终端的多个可用行为特征;
转化单元,用于分别将所述每个终端的多个可用行为特征转化成行为矩阵;
分析单元,用于分别将每个终端对应的行为矩阵投影到超平面,在所述超平面上形成多个点,对超平面上的所述多个点进行聚类分析,得到多个聚类中心点;
第二确定单元,用于根据在距离每个聚类中心点预设范围内的点对应的行为矩阵,确定该聚类中心点对应的终端类型及对应的标准行为矩阵;
建立单元,用于利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库,所述终端行为特征库包括:所述终端类型与所述标准行为矩阵的对应关系;
第三确定单元,用于当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时,确定所述目标终端行为疑似异常。
7.根据权利要求6所述的装置,其特征在于,所述转化单元具体用于:
将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵;
将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵,将所述多个一维矩阵转换成一维行为矩阵;
将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵。
8.根据权利要求7所述的装置,其特征在于,所述转化单元还用于:
在所述将多个可用行为特征转换得到的一维行为矩阵结合,得到所述每个终端的行为矩阵之前,对每个一维行为矩阵进行归一化处理。
9.根据权利要求6所述的装置,其特征在于,所述第三确定单元还用于,在所述确定所述目标终端行为疑似异常之后,将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较;
如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内,则确定所述目标终端行为异常。
10.根据权利要求6所述的装置,其特征在于,所述第一确定单元具体用于:
当满足终端行为特征库更新条件时,从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。
11.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-5中任一项所述的终端行为监测方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-5中任一项所述的终端行为监测方法。
CN201811579565.4A 2018-12-21 2018-12-21 一种终端行为监测方法、装置、电子设备及存储介质 Active CN110874310B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811579565.4A CN110874310B (zh) 2018-12-21 2018-12-21 一种终端行为监测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811579565.4A CN110874310B (zh) 2018-12-21 2018-12-21 一种终端行为监测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN110874310A CN110874310A (zh) 2020-03-10
CN110874310B true CN110874310B (zh) 2023-09-12

Family

ID=69716308

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811579565.4A Active CN110874310B (zh) 2018-12-21 2018-12-21 一种终端行为监测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN110874310B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113542060B (zh) * 2021-07-07 2023-03-07 电子科技大学中山学院 一种基于设备通信数据特征的异常设备检测方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9189623B1 (en) * 2013-07-31 2015-11-17 Emc Corporation Historical behavior baseline modeling and anomaly detection in machine generated end to end event log
CN108717510A (zh) * 2018-05-11 2018-10-30 深圳市联软科技股份有限公司 一种通过聚类分析文件异常操作行为的方法、系统及终端

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10956779B2 (en) * 2015-03-26 2021-03-23 Oracle International Corporation Multi-distance clustering

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9189623B1 (en) * 2013-07-31 2015-11-17 Emc Corporation Historical behavior baseline modeling and anomaly detection in machine generated end to end event log
CN108717510A (zh) * 2018-05-11 2018-10-30 深圳市联软科技股份有限公司 一种通过聚类分析文件异常操作行为的方法、系统及终端

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
蒋慧勇 ; .开放式网络环境下终端流量异常远程诊断仿真.计算机仿真.2018,(第08期),349-352. *

Also Published As

Publication number Publication date
CN110874310A (zh) 2020-03-10

Similar Documents

Publication Publication Date Title
CN109743315B (zh) 针对网站的行为识别方法、装置、设备及可读存储介质
CN111030986B (zh) 一种攻击组织溯源分析的方法、装置及存储介质
CN110830551B (zh) 业务请求处理方法、装置及系统
CN114095567B (zh) 数据访问请求的处理方法、装置、计算机设备及介质
CN111339436A (zh) 一种数据识别方法、装置、设备以及可读存储介质
CN111193633B (zh) 异常网络连接的检测方法及装置
CN110652728B (zh) 一种游戏资源管理方法、装置、电子设备及存储介质
CN110866249A (zh) 一种动态检测恶意代码的方法、装置及电子设备
CN112800197A (zh) 一种目标故障信息的确定方法和装置
CN110688319B (zh) 应用保活能力测试方法及相关装置
CN110874310B (zh) 一种终端行为监测方法、装置、电子设备及存储介质
CN114338102B (zh) 安全检测方法、装置、电子设备及存储介质
CN110874365B (zh) 一种信息查询方法及其相关设备
CN106156210B (zh) 一种确定应用标识匹配列表的方法和装置
CN110611675A (zh) 向量级检测规则生成方法、装置、电子设备及存储介质
CN112929348B (zh) 信息处理方法及装置、电子设备和计算机可读存储介质
CN113987489A (zh) 一种网络未知威胁的检测方法、装置、电子设备及存储介质
CN111079139A (zh) 进程预警方法、装置、计算机设备和计算机可读存储介质
CN110868382A (zh) 一种基于决策树的网络威胁评估方法、装置及存储介质
CN110719260B (zh) 智能网络安全分析方法、装置及计算机可读存储介质
CN115102920B (zh) 基于关系网络的个体的传输管控方法
CN115225308B (zh) 大规模群体攻击流量的攻击团伙识别方法及相关设备
CN112822164B (zh) 大数据系统中安全访问数据的方法、系统及相关产品
CN110598472B (zh) 设备标识方法、装置、服务器及存储介质
CN116015926A (zh) 一种检测方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant