CN112417449A - 异常行为检测方法、设备、存储介质及装置 - Google Patents
异常行为检测方法、设备、存储介质及装置 Download PDFInfo
- Publication number
- CN112417449A CN112417449A CN202011274700.1A CN202011274700A CN112417449A CN 112417449 A CN112417449 A CN 112417449A CN 202011274700 A CN202011274700 A CN 202011274700A CN 112417449 A CN112417449 A CN 112417449A
- Authority
- CN
- China
- Prior art keywords
- current
- test
- abnormal behavior
- behavior detection
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 227
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 222
- 238000000034 method Methods 0.000 claims abstract description 49
- 230000008569 process Effects 0.000 claims abstract description 28
- 230000006399 behavior Effects 0.000 claims description 298
- 238000012360 testing method Methods 0.000 claims description 167
- 238000013101 initial test Methods 0.000 claims description 91
- 230000006870 function Effects 0.000 claims description 21
- 238000011161 development Methods 0.000 claims description 19
- 238000011990 functional testing Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 17
- 238000012216 screening Methods 0.000 claims description 15
- 238000004140 cleaning Methods 0.000 claims description 11
- 238000010801 machine learning Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 8
- 238000007405 data analysis Methods 0.000 claims description 6
- 230000007547 defect Effects 0.000 abstract description 4
- 238000009434 installation Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Virology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种异常行为检测方法、设备、存储介质及装置,相较于现有的将目标程序运行时的行为信息与预设黑名单中的攻击行为信息进行匹配,并根据匹配结果判断目标程序是否存在异常行为的方式,本发明中,在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息,根据所述当前行为信息以及所述标准行为信息确定异常行为信息,克服了现有技术中无法检测未知攻击所导致的异常行为的缺陷,从而能够优化异常行为检测过程,提高异常行为检测的准确性。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种异常行为检测方法、设备、存储介质及装置。
背景技术
目前,软件异常行为检测是通过先运行目标程序,获得目标程序的当前行为信息,再将当前行为信息与预设黑名单中的攻击行为信息进行匹配,最后根据匹配结果判断目标程序是否存在异常行为。
但是,由于预设黑名单中的攻击行为信息是用户根据已知攻击的行为特征预先设置的信息,从而导致上述方式无法检测未知攻击所导致的异常行为。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种异常行为检测方法、设备、存储介质及装置,旨在解决如何优化异常行为检测过程的技术问题。
为实现上述目的,本发明提供一种异常行为检测方法,所述异常行为检测方法包括以下步骤:
在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
可选地,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤之前,所述异常行为检测方法还包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据;
对所述初始测试数据进行预处理,获得目标测试数据;
根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
可选地,所述在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
可选地,所述在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述匹配结果为匹配成功时,获取当前程序信息;
根据所述当前程序信息判断目标应用程序是否处于待测试状态;
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
可选地,所述在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
可选地,所述对所述初始测试数据进行预处理,获得目标测试数据的步骤,具体包括:
对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
可选地,所述根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据的步骤,具体包括:
在预设映射关系表中查找所述当前数据类别对应的类别权重值,所述预设映射关系表中包含当前数据类别与类别权重值之间的对应关系;
根据所述类别权重值对所述初始测试数据进行排序,获得排序结果;
根据所述排序结果对所述初始测试数据进行筛选,获得待处理测试数据。
可选地,所述根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据的步骤,具体包括:
根据所述当前数据分布特征对所述待处理测试数据进行筛选,获得标准测试数据;
基于所述标准测试数据生成离散模型,并根据所述离散模型对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
可选地,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤,具体包括:
在接收到异常行为检测指令时,获取当前安装信息;
根据所述当前安装信息判断目标应用程序是否处于待检测状态;
在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
可选地,所述在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤,具体包括:
在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令确定当前行为检测项目;
执行所述当前行为检测项目,获得当前行为检测结果,并根据所述当前行为检测结果确定当前行为信息。
可选地,所述根据所述当前行为信息以及所述标准行为信息确定异常行为信息的步骤,具体包括:
将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果;
根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息。
可选地,所述根据所述当前行为信息以及所述标准行为信息确定异常行为信息的步骤之后,所述异常行为检测方法还包括:
将所述当前行为信息与预设黑名单中的攻击行为信息进行匹配,获得攻击行为匹配结果;
根据所述攻击行为匹配结果对所述异常行为信息进行更新,获得目标行为信息。
此外,为实现上述目的,本发明还提出一种异常行为检测设备,所述异常行为检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为检测程序,所述异常行为检测程序配置为实现如上文所述的异常行为检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有异常行为检测程序,所述异常行为检测程序被处理器执行时实现如上文所述的异常行为检测方法的步骤。
此外,为实现上述目的,本发明还提出一种异常行为检测装置,所述异常行为检测装置包括:检测模块、获取模块和确定模块;
所述检测模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
所述获取模块,用于获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
所述确定模块,用于根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
可选地,所述异常行为检测装置还包括:测试模块;
所述测试模块,用于在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据;
所述测试模块,还用于对所述初始测试数据进行预处理,获得目标测试数据;
所述测试模块,还用于根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
可选地,所述测试模块,还用于在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
所述测试模块,还用于根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
所述测试模块,还用于在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
可选地,所述测试模块,还用于在所述匹配结果为匹配成功时,获取当前程序信息;
所述测试模块,还用于根据所述当前程序信息判断目标应用程序是否处于待测试状态;
所述测试模块,还用于在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
可选地,所述测试模块,还用于在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
所述测试模块,还用于对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
所述测试模块,还用于在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
可选地,所述测试模块,还用于对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
所述测试模块,还用于根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
所述测试模块,还用于根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
本发明中,在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息,根据所述当前行为信息以及所述标准行为信息确定异常行为信息;相较于现有的将目标程序运行时的行为信息与预设黑名单中的攻击行为信息进行匹配,并根据匹配结果判断目标程序是否存在异常行为的方式,本发明中,根据异常行为检测指令进行行为检测,获得当前行为信息,并根据当前行为信息以及程序开发过程中存储的行为信息确定异常行为信息,克服了现有技术中无法检测未知攻击所导致的异常行为的缺陷,从而能够优化异常行为检测过程,提高异常行为检测的准确性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的异常行为检测设备的结构示意图;
图2为本发明异常行为检测方法第一实施例的流程示意图;
图3为本发明异常行为检测方法第二实施例的流程示意图;
图4为本发明异常行为检测方法第三实施例的流程示意图;
图5为本发明异常行为检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的异常行为检测设备结构示意图。
如图1所示,该异常行为检测设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对异常行为检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,认定为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及异常行为检测程序。
在图1所示的异常行为检测设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述异常行为检测设备通过处理器1001调用存储器1005中存储的异常行为检测程序,并执行本发明实施例提供的异常行为检测方法。
基于上述硬件结构,提出本发明异常行为检测方法的实施例。
参照图2,图2为本发明异常行为检测方法第一实施例的流程示意图,提出本发明异常行为检测方法第一实施例。
在第一实施例中,所述异常行为检测方法包括以下步骤:
步骤S10:在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
应当理解的是,本实施例的执行主体是所述异常行为检测设备,其中,所述异常行为检测设备可为电脑或服务器等已安装目标应用程序的电子设备,还可为其他可实现相同或相似功能的设备,本实施例对此不加以限制,在本实施例中,以异常行为检测设备为例说明,其中,目标应用程序可以是需要进行攻击检测的应用程序。
应当理解的是,在接收到异常行为检测指令时,说明用户此时想要进行异常行为检测。因此,可以直接根据异常行为检测指令进行行为检测,获得当前行为信息。
进一步地,考虑到实际应用中,若直接根据异常行为检测指令进行行为检测,势必会导致行为检测所涉及的对象过少,准确率低。为克服这一缺陷,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,包括:
在接收到异常行为检测指令时,获取当前安装信息,根据所述当前安装信息判断目标应用程序是否处于待检测状态,在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
步骤S20:获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息。
需要说明的是,标准行为信息可以是目标应用程序在开发阶段的正常行为信息,本实施例对此不加以限制。
进一步地,为了能够预先确定目标应用程序的在开发阶段的标准行为信息,以满足后续异常行为检测需求,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息之前,还包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据,对所述初始测试数据进行预处理,获得目标测试数据,根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
步骤S30:根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
应当理解的是,根据当前行为信息以及标准行为信息确定异常行为信息可以是将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果,根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息。
可以理解的是,将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果可以是根据当前行为信息以及标准信息行为信息确定信息相似度,并判断信息相似度是否大于预设阈值,在信息相似度大于预设阈值时,判定标准行为匹配结果为匹配成功;在信息相似度小于或等于预设阈值时,判定标准行为匹配结果为匹配失败,其中,预设阈值可以是用户预先设置的数值。
在第一实施例中,在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息,根据所述当前行为信息以及所述标准行为信息确定异常行为信息;相较于现有的将目标程序运行时的行为信息与预设黑名单中的攻击行为信息进行匹配,并根据匹配结果判断目标程序是否存在异常行为的方式,本实施例中,根据异常行为检测指令进行行为检测,获得当前行为信息,并根据当前行为信息以及程序开发过程中存储的行为信息确定异常行为信息,克服了现有技术中无法检测未知攻击所导致的异常行为的缺陷,从而能够优化异常行为检测过程,提高异常行为检测的准确性。
参照图3,图3为本发明异常行为检测方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明异常行为检测方法的第二实施例。
在第二实施例中,所述步骤S10之前,还包括:
步骤S01:在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
需要说明的是,程序开发测试指令可以是程序开发过程中预设开发端设备发出的测试指令,其中,预设开发端设备可以是用户预先设置的授权设备,本实施例对此不加以限制。
应当理解的是,在接收到程序开发测试指令时,说明用户此时需要对目标应用程序进行测试。因此,可以直接根据程序开发测试指令进行功能测试,获得初始测试数据。
进一步地,考虑到实际应用中,若直接根据程序开发测试指令进行功能测试,获得初始测试数据,势必会导致初始测试数据准确性低、可靠性差。为克服这一缺陷,所述步骤S01,包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
需要说明的是,当前程序开发标识可以是用来标识目标应用程序的当前开发阶段的标识信息;预设程序开发阶段可以是回归测试阶段,本实施例对此不加以限制。
应当理解的是,在接收到程序开发测试指令时,根据程序开发测试指令确定当前程序开发标识可以是在接收到程序开发测试指令时,对程序开发指令进行解析,获得信息类别,根据信息类别确定当前程序开发标识。
可以理解的是,根据当前开发标识确定当前程序开发阶段可以是在预设标识关系表中查找当前开发标识对应的当前程序开发阶段,其中,预设标识关系表中包含开发标识与程序开发阶段之间的对应关系,开发标识与程序开发阶段之间的对应关系可以是用户根据实际需求预先设置,本实施例对此不加以限制。
应当理解的是,在匹配结果为匹配成功时,说明当前程序开发阶段为回归测试阶段,因此,可以直接根据程序开发测试指令进行功能测试,获得初始测试数据。
进一步地,为了提高功能测试的准确性以及可靠性,所述在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据,包括:
在所述匹配结果为匹配成功时,获取当前程序信息;
根据所述当前程序信息判断目标应用程序是否处于待测试状态;
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
需要说明的是,当前程序信息可以是目标应用程序在当前时刻的安装信息以及运行状态等信息,本实施例对此不加以限制。
应当理解的是,根据当前程序信息判断目标应用程序是否处于待测试状态可以是将当前程序信息与预设状态信息进行匹配,获得匹配结果,根据匹配结果判断目标应用程序是否处于待测试状态,其中,预设状态信息可以是用户预先设置的目标应用程序处于待测试状态时的信息。
可以理解的是,在当前程序信息与预设状态信息匹配成功时,判定目标应用程序处于待测试状态;在当前程序信息与预设状态信息匹配失败时,判定目标应用程序不处于待测试状态。
进一步地,为了降低功能测试过程中的运算量,同时保证功能测试的准确性以及可靠性,所述在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据,包括:
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
需要说明的是,待测试项目可以是对目标应用程序的进行行为测试的项目,例如:程序行为、线程的行为时序以及行为是否依赖用户交互等测试项目,本实施例对此不加以限制。
应当理解的是,根据程序开发测试指令确定待测试项目可以是对程序开发测试指令进行解析,获得待测试项目标识,并根据待测试项目标识确定待测试项目,其中,待测试项目标识可以是用来标识待测试项目的标识信息。
步骤S02:对所述初始测试数据进行预处理,获得目标测试数据。
进一步地,所述步骤S02,包括:
对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
需要说明的是,当前数据类别可以是数据的种类信息;当前数据分布特征可以是数据的分布特征信息,本实施例对此不加以限制。
应当理解的是,根据当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据可以是将当前数据类别与预设数据类别进行匹配,获得匹配结果,根据匹配结果对初始测试数据进行数据筛选,获得待处理测试数据,其中,预设数据类别可以是用户预先设置的数据类别,本实施例对此不加以限制。
可以理解的是,根据当前数据分布特征对待处理测试数据进行数据模糊化处理,获得目标测试数据可以是根据当前数据分布特征通过预设数据模糊化处理模型对待处理测试数据进行数据模糊化处理,获得目标测试数据。
进一步地,考虑到实际应用中,若直接将当前数据类别与预设数据类别进行匹配,获得匹配结果,根据匹配结果对初始测试数据进行数据筛选,势必会导致判断过程所涉及的对象过少,准确性低。为克服这一缺陷,所述根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据的步骤,具体包括:
在预设映射关系表中查找所述当前数据类别对应的类别权重值,所述预设映射关系表中包含当前数据类别与类别权重值之间的对应关系;
根据所述类别权重值对所述初始测试数据进行排序,获得排序结果;
根据所述排序结果对所述初始测试数据进行筛选,获得待处理测试数据。
需要说明的是,当前数据类别与类别权重值之间的对应关系可以是用户根据实际需求预先设置,本实施例对此不加以限制。
应当理解的是,根据类别权重值对初始测试数据进行排序,获得排序结果可以是按照类别权重值从大到小的顺序对初始测试数据进行排序,获得排序结果。
可以理解的是,根据排序结果对初始测试数据进行筛选,获得待处理测试数据可以是将排序结果靠前的预设数量的初始测试数据作为待处理测试数据。
进一步地,为了降低数据模糊化处理过程中的运算量,同时保证生成的目标测试数据具有较高的准确性以及可靠性,所述根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据,包括:
根据所述当前数据分布特征对所述待处理测试数据进行筛选,获得标准测试数据;
基于所述标准测试数据生成离散模型,并根据所述离散模型对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
应当理解的是,根据当前数据分布特征对待处理测试数据进行筛选,获得标准测试数据可以是根据当前数据分布特征确定分布异常数据,并删除分布异常数据,获得标准测试数据。
可以理解的是,基于标准测试数据生成离散模型可以是根据当前数据分布特征生成直方图,对直方图进行数据拟合,获得高斯分布的概率密度曲线,根据概率密度曲线确定离散模型。
步骤S03:根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
需要说明的是,预设机器学习模型可以是用户根据实际需求预先设置的机器学习模型;标准行为信息可以是目标应用程序在开发阶段的正常行为信息,本实施例对此不加以限制。
在具体实现中,标准行为信息可以是调用接口信息、文件系统行为信息、网络行为信息、进程间通信行为信息以及驱动行为信息等。其中,调用接口信息可以是Unix系统调用信息或Mach系统调用信息,文件系统行为信息打开、读取、修改以及创建等文件系统行为信息,网络行为信息可以是TCP、HTTP、DNS等网络行为信息,进程间通信行为信息可以是打开的进程间通信服务、调用的接口等信息,由于平台的差异性,比如在macOS上内核也会提供RPC服务,驱动行为信息可以是打开的驱动以及调用的接口等,本实施例对此不加以限制。
在第二实施例中,通过在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据,对所述初始测试数据进行预处理,获得目标测试数据,根据所述目标测试数据通过预设机器学习模型确定标准行为信息,从而能够预先确定目标应用程序的在开发阶段的标准行为信息,以满足后续异常行为检测需求。
参照图4,图4为本发明异常行为检测方法第三实施例的流程示意图,基于上述图3所示的第二实施例,提出本发明异常行为检测方法的第三实施例。
在第三实施例中,所述步骤S10,包括:
步骤S101:在接收到异常行为检测指令时,获取当前安装信息。
需要说明的是,异常行为检测指令可以是预设测试设备发出的检测指令,其中,预设测试设备可以是用户预先设置的测试设备,本实施例对此不加以限制;当前安装信息可以用来判断目标应用程序是否已经被安装在异常行为检测设备上。
应当理解的是,获得当前安装信息可以是获取目标应用程序的标识信息,并根据标识信息查找目标应用程序的当前安装信息。
步骤S102:根据所述当前安装信息判断目标应用程序是否处于待检测状态。
可以理解的是,根据当前安装信息判断目标应用程序是否处于待检测状态可以是将当前安装信息与预设安装信息进行匹配,在匹配成功时,判定目标应用程序处于待检测状态,其中,预设安装信息可以是用于预先设置的目标应用程序处于已安装状态时的信息。
步骤S103:在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
应当理解的时,在目标应用程序处于待检测状态时,说明此时可以直接对目标应用程序进行行为检测。因此,根据异常行为检测指令进行行为检测,获得当前行为信息。
进一步地,保证行为检测的准确性以及可靠性,所述步骤S103,包括:
在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令确定当前行为检测项目;
执行所述当前行为检测项目,获得当前行为检测结果,并根据所述当前行为检测结果确定当前行为信息。
应当理解的是,根据异常行为检测指令确定当前行为检测项目可以是在预设行为检测项目表中查找异常行为检测指令对应的当前行为检测项目,其中,预设行为检测项目表中包含异常行为检测指与当前行为检测项目之间的对应关系,异常行为检测指与当前行为检测项目之间的对应关系可以是根据用户的实际需求进行设置,本实施例对此不加以限制。
可以理解的是,执行当前行为检测项目可以是直接获得当前行为检测结果,然后根据当前行为检测结果可以确定当前行为信息。
在第三实施例中,通过在接收到异常行为检测指令时,获取当前安装信息,根据所述当前安装信息判断目标应用程序是否处于待检测状态,在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,从而能够提高行为检测的可靠性以及准确性。
在第三实施例中,所述步骤S30,包括:
步骤S301:将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果。
应当理解的是,将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果可以是根据当前行为信息以及标准信息行为信息确定信息相似度,并判断信息相似度是否大于预设阈值,在信息相似度大于预设阈值时,判定标准行为匹配结果为匹配成功;在信息相似度小于或等于预设阈值时,判定标准行为匹配结果为匹配失败,其中,预设阈值可以是用户预先设置的数值。
步骤S302:根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息。
可以理解的是,根据标准行为匹配结果对当前行为信息进行筛选,获得异常行为信息可以是将标准行为匹配结果为匹配失败的当前行为信息作为异常行为信息。
在第三实施例中,通过将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果,根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息,从而能够准确、快速地确定异常行为信息。
在第三实施例中,所述步骤S30之后,还包括:
步骤S40:将所述当前行为信息与预设黑名单中的攻击行为信息进行匹配,获得攻击行为匹配结果。
需要说明的是,预设黑名单中的攻击行为信息可以是用户预先设置的已知攻击的行为特征信息,本实施例对此不加以限制。
步骤S50:根据所述攻击行为匹配结果对所述异常行为信息进行更新,获得目标行为信息。
应当理解的是,根据攻击行为匹配结果对所述异常行为信息进行更新,获得目标行为信息可以是在攻击行为匹配结果为匹配成功时,将攻击行为匹配结果为匹配成功的当前行为信息作为待添加异常行为信息,并根据待添加异常行为信息对异常行为信息进行更新,获得目标行为信息。
在第三实施例中,通过将所述当前行为信息与预设黑名单中的攻击行为信息进行匹配,获得攻击行为匹配结果,根据所述攻击行为匹配结果对所述异常行为信息进行更新,获得目标行为信息,从而能够通过增加黑名单验证,提高异常行为检测的可靠性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有异常行为检测程序,所述异常行为检测程序被处理器执行时实现如上文所述的异常行为检测方法的步骤。
此外,参照图5,本发明实施例还提出一种异常行为检测装置,所述异常行为检测装置包括:检测模块10、获取模块20和确定模块30;
所述检测模块10,用于在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
应当理解的是,在接收到异常行为检测指令时,说明用户此时想要进行异常行为检测。因此,可以直接根据异常行为检测指令进行行为检测,获得当前行为信息。
进一步地,考虑到实际应用中,若直接根据异常行为检测指令进行行为检测,势必会导致行为检测所涉及的对象过少,准确性低。为克服这一缺陷,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,包括:
在接收到异常行为检测指令时,获取当前安装信息,根据所述当前安装信息判断目标应用程序是否处于待检测状态,在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
所述获取模块20,用于获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息。
需要说明的是,标准行为信息可以是目标应用程序在开发阶段的正常行为信息,本实施例对此不加以限制。
进一步地,为了能够预先确定目标应用程序的在开发阶段的标准行为信息,以满足后续异常行为检测需求,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息之前,还包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据,对所述初始测试数据进行预处理,获得目标测试数据,根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
所述确定模块30,用于根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
应当理解的是,根据当前行为信息以及标准行为信息确定异常行为信息可以是将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果,根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息。
可以理解的是,将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果可以是根据当前行为信息以及标准信息行为信息确定信息相似度,并判断信息相似度是否大于预设阈值,在信息相似度大于预设阈值时,判定标准行为匹配结果为匹配成功;在信息相似度小于或等于预设阈值时,判定标准行为匹配结果为匹配失败,其中,预设阈值可以是用户预先设置的数值。
在本实施例中,在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息,获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息,根据所述当前行为信息以及所述标准行为信息确定异常行为信息;相较于现有的将目标程序运行时的行为信息与预设黑名单中的攻击行为信息进行匹配,并根据匹配结果判断目标程序是否存在异常行为的方式,本实施例中,根据异常行为检测指令进行行为检测,获得当前行为信息,并根据当前行为信息以及程序开发过程中存储的行为信息确定异常行为信息,克服了现有技术中无法检测未知攻击所导致的异常行为的缺陷,从而能够优化异常行为检测过程,提高异常行为检测的准确性。
本发明所述异常行为检测装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种异常行为检测方法,所述异常行为检测方法包括以下步骤:
在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
A2、如A1所述的异常行为检测方法,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤之前,所述异常行为检测方法还包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据;
对所述初始测试数据进行预处理,获得目标测试数据;
根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
A3、如A2所述的异常行为检测方法,所述在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
A4、如A3所述的异常行为检测方法,所述在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述匹配结果为匹配成功时,获取当前程序信息;
根据所述当前程序信息判断目标应用程序是否处于待测试状态;
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
A5、如A4所述的异常行为检测方法,所述在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
A6、如A2所述的异常行为检测方法,所述对所述初始测试数据进行预处理,获得目标测试数据的步骤,具体包括:
对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
A7、如A6所述的异常行为检测方法,所述根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据的步骤,具体包括:
在预设映射关系表中查找所述当前数据类别对应的类别权重值,所述预设映射关系表中包含当前数据类别与类别权重值之间的对应关系;
根据所述类别权重值对所述初始测试数据进行排序,获得排序结果;
根据所述排序结果对所述初始测试数据进行筛选,获得待处理测试数据。
A8、如A6所述的异常行为检测方法,所述根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据的步骤,具体包括:
根据所述当前数据分布特征对所述待处理测试数据进行筛选,获得标准测试数据;
基于所述标准测试数据生成离散模型,并根据所述离散模型对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
A9、如A1-A8中任一项所述的异常行为检测方法,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤,具体包括:
在接收到异常行为检测指令时,获取当前安装信息;
根据所述当前安装信息判断目标应用程序是否处于待检测状态;
在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息。
A10、如A9所述的异常行为检测方法,所述在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤,具体包括:
在所述目标应用程序处于待检测状态时,根据所述异常行为检测指令确定当前行为检测项目;
执行所述当前行为检测项目,获得当前行为检测结果,并根据所述当前行为检测结果确定当前行为信息。
A11、如A1-A8中任一项所述的异常行为检测方法,所述根据所述当前行为信息以及所述标准行为信息确定异常行为信息的步骤,具体包括:
将所述当前行为信息与标准信息行为信息进行匹配,获得标准行为匹配结果;
根据所述标准行为匹配结果对所述当前行为信息进行筛选,获得异常行为信息。
A12、如A1-A8中任一项所述的异常行为检测方法,所述根据所述当前行为信息以及所述标准行为信息确定异常行为信息的步骤之后,所述异常行为检测方法还包括:
将所述当前行为信息与预设黑名单中的攻击行为信息进行匹配,获得攻击行为匹配结果;
根据所述攻击行为匹配结果对所述异常行为信息进行更新,获得目标行为信息。
本发明公开了B13、一种异常行为检测设备,所述异常行为检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为检测程序,所述异常行为检测程序被所述处理器执行时实现如上文所述的异常行为检测方法的步骤。
本发明公开了C14、一种存储介质,所述存储介质上存储有异常行为检测程序,所述异常行为检测程序被处理器执行时实现如上文所述的异常行为检测方法的步骤。
本发明公开了D15、一种异常行为检测装置,所述异常行为检测装置包括:检测模块、获取模块和确定模块;
所述检测模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
所述获取模块,用于获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
所述确定模块,用于根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
D16、如D15所述的异常行为检测装置,所述异常行为检测装置还包括:测试模块;
所述测试模块,用于在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据;
所述测试模块,还用于对所述初始测试数据进行预处理,获得目标测试数据;
所述测试模块,还用于根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
D17、如D16所述的异常行为检测装置,所述测试模块,还用于在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
所述测试模块,还用于根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
所述测试模块,还用于在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
D18、如D17所述的异常行为检测装置,所述测试模块,还用于在所述匹配结果为匹配成功时,获取当前程序信息;
所述测试模块,还用于根据所述当前程序信息判断目标应用程序是否处于待测试状态;
所述测试模块,还用于在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
D19、如D18所述的异常行为检测装置,所述测试模块,还用于在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
所述测试模块,还用于对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
所述测试模块,还用于在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
D20、如D16所述的异常行为检测装置,所述测试模块,还用于对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
所述测试模块,还用于根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
所述测试模块,还用于根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
Claims (10)
1.一种异常行为检测方法,其特征在于,所述异常行为检测方法包括以下步骤:
在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
2.如权利要求1所述的异常行为检测方法,其特征在于,所述在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息的步骤之前,所述异常行为检测方法还包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据;
对所述初始测试数据进行预处理,获得目标测试数据;
根据所述目标测试数据通过预设机器学习模型确定标准行为信息。
3.如权利要求2所述的异常行为检测方法,其特征在于,所述在接收到程序开发测试指令时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在接收到程序开发测试指令时,根据所述程序开发测试指令确定当前程序开发标识;
根据所述当前开发标识确定当前程序开发阶段,并将所述当前程序开发阶段与预设程序开发阶段进行匹配,获得匹配结果;
在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
4.如权利要求3所述的异常行为检测方法,其特征在于,所述在所述匹配结果为匹配成功时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述匹配结果为匹配成功时,获取当前程序信息;
根据所述当前程序信息判断目标应用程序是否处于待测试状态;
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据。
5.如权利要求4所述的异常行为检测方法,其特征在于,所述在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令进行功能测试,获得初始测试数据的步骤,具体包括:
在所述目标应用程序处于待测试状态时,根据所述程序开发测试指令确定待测试项目;
对所述待测试项目进行遍历,获得当前测试项目,并执行所述当前测试项目,获得测试结果;
在对所述待测试项目遍历结束后,根据所述测试结果确定初始测试数据。
6.如权利要求2所述的异常行为检测方法,其特征在于,所述对所述初始测试数据进行预处理,获得目标测试数据的步骤,具体包括:
对所述初始测试数据进行数据分析,获得所述初始测试数据的当前数据类别以及当前数据分布特征;
根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据;
根据所述当前数据分布特征对所述待处理测试数据进行数据模糊化处理,获得目标测试数据。
7.如权利要求6所述的异常行为检测方法,其特征在于,所述根据所述当前数据类别对所述初始测试数据进行数据清洗,获得待处理测试数据的步骤,具体包括:
在预设映射关系表中查找所述当前数据类别对应的类别权重值,所述预设映射关系表中包含当前数据类别与类别权重值之间的对应关系;
根据所述类别权重值对所述初始测试数据进行排序,获得排序结果;
根据所述排序结果对所述初始测试数据进行筛选,获得待处理测试数据。
8.一种异常行为检测设备,其特征在于,所述异常行为检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的异常行为检测程序,所述异常行为检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的异常行为检测方法的步骤。
9.一种存储介质,其特征在于,所述存储介质上存储有异常行为检测程序,所述异常行为检测程序被处理器执行时实现如权利要求1至7中任一项所述的异常行为检测方法的步骤。
10.一种异常行为检测装置,其特征在于,所述异常行为检测装置包括:检测模块、获取模块和确定模块;
所述检测模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令进行行为检测,获得当前行为信息;
所述获取模块,用于获取标准行为信息,所述标准行为信息为程序开发过程中存储的行为信息;
所述确定模块,用于根据所述当前行为信息以及所述标准行为信息确定异常行为信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011274700.1A CN112417449A (zh) | 2020-11-12 | 2020-11-12 | 异常行为检测方法、设备、存储介质及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011274700.1A CN112417449A (zh) | 2020-11-12 | 2020-11-12 | 异常行为检测方法、设备、存储介质及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112417449A true CN112417449A (zh) | 2021-02-26 |
Family
ID=74830825
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011274700.1A Pending CN112417449A (zh) | 2020-11-12 | 2020-11-12 | 异常行为检测方法、设备、存储介质及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112417449A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140071165A (ko) * | 2012-12-03 | 2014-06-11 | 한국인터넷진흥원 | 행위 기반 비정상 음성 및 sms 탐지 시스템 및 방법 |
CN107169350A (zh) * | 2017-05-10 | 2017-09-15 | 国网江苏省电力公司电力科学研究院 | 一种针对移动应用使用异常权限的检测和阻断方法 |
CN108027860A (zh) * | 2015-05-08 | 2018-05-11 | 迈克菲有限公司 | 用于进行异常检测的硬化事件计数器 |
CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
CN109660502A (zh) * | 2018-09-28 | 2019-04-19 | 平安科技(深圳)有限公司 | 异常行为的检测方法、装置、设备及存储介质 |
CN110414603A (zh) * | 2019-07-29 | 2019-11-05 | 中国工商银行股份有限公司 | 用于检测移动设备的方法、装置、计算机系统和介质 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
-
2020
- 2020-11-12 CN CN202011274700.1A patent/CN112417449A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140071165A (ko) * | 2012-12-03 | 2014-06-11 | 한국인터넷진흥원 | 행위 기반 비정상 음성 및 sms 탐지 시스템 및 방법 |
CN108027860A (zh) * | 2015-05-08 | 2018-05-11 | 迈克菲有限公司 | 用于进行异常检测的硬化事件计数器 |
CN107169350A (zh) * | 2017-05-10 | 2017-09-15 | 国网江苏省电力公司电力科学研究院 | 一种针对移动应用使用异常权限的检测和阻断方法 |
CN109660502A (zh) * | 2018-09-28 | 2019-04-19 | 平安科技(深圳)有限公司 | 异常行为的检测方法、装置、设备及存储介质 |
CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
CN110414603A (zh) * | 2019-07-29 | 2019-11-05 | 中国工商银行股份有限公司 | 用于检测移动设备的方法、装置、计算机系统和介质 |
CN111245793A (zh) * | 2019-12-31 | 2020-06-05 | 西安交大捷普网络科技有限公司 | 网络数据的异常分析方法及装置 |
Non-Patent Citations (2)
Title |
---|
SOO-YEON LEE等: "ProFiOt: Abnormal Behavior Profiling (ABP) of IoT devices based on a Machine Learning Approach", pages 1 - 6, XP033278998, Retrieved from the Internet <URL:《网页在线公开:https://ieeexplore.ieee.org/abstract/document/8215434》> DOI: 10.1109/ATNAC.2017.8215434 * |
魏懿等, 《计算机集成制造系统》, vol. 25, no. 4, 3 June 2019 (2019-06-03), pages 864 - 872 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112615873B (zh) | 物联网设备安全检测方法、设备、存储介质及装置 | |
CN110554962A (zh) | 回归测试的流程覆盖方法、服务器及计算机可读存储介质 | |
CN110619213A (zh) | 基于多模型特征的恶意软件识别方法、系统及相关装置 | |
CN112580047B (zh) | 工业恶意代码标记方法、设备、存储介质及装置 | |
CN112507087B (zh) | 终端设备识别方法、设备、存储介质及装置 | |
CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
CN111061637A (zh) | 接口测试方法、接口测试装置及存储介质 | |
CN112417449A (zh) | 异常行为检测方法、设备、存储介质及装置 | |
CN110941814B (zh) | 行为验证兼容方法、设备、存储介质及装置 | |
CN115543816A (zh) | 软件回归测试结果验证方法、装置、设备及存储介质 | |
CN115618350A (zh) | 工控资产漏洞检测方法、设备、存储介质及装置 | |
CN110377499B (zh) | 一种对应用程序进行测试的方法及装置 | |
CN112052150A (zh) | 页面加载时间检测方法、设备、存储介质及装置 | |
CN110928754A (zh) | 运维审计方法、装置、设备及介质 | |
CN117742897B (zh) | 一种基于容器镜像漏洞自动修复的实现方法 | |
CN114648784B (zh) | 指纹库预匹配的指纹验证方法、装置、设备及存储介质 | |
CN114448848B (zh) | 一种交换机的测试方法、装置、电子设备及存储介质 | |
CN112434293A (zh) | 文件特征提取方法、设备、存储介质及装置 | |
CN112445760B (zh) | 文件分类方法、设备、存储介质及装置 | |
CN113836012B (zh) | 算法测试方法、装置、电子设备及存储介质 | |
CN114500292A (zh) | 基于虚拟机识别的降噪方法、装置、设备及存储介质 | |
CN112507389A (zh) | 网页数据处理方法及装置 | |
CN114491521A (zh) | 应用安全检测方法、装置、设备及存储介质 | |
CN113610447A (zh) | 贸易合规检测方法、设备、存储介质及装置 | |
CN114723666A (zh) | 车辆零件状态检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Applicant after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100020 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Applicant before: Beijing Hongteng Intelligent Technology Co.,Ltd. |