CN112995195A - 一种异常行为预测方法和装置 - Google Patents

一种异常行为预测方法和装置 Download PDF

Info

Publication number
CN112995195A
CN112995195A CN202110285550.2A CN202110285550A CN112995195A CN 112995195 A CN112995195 A CN 112995195A CN 202110285550 A CN202110285550 A CN 202110285550A CN 112995195 A CN112995195 A CN 112995195A
Authority
CN
China
Prior art keywords
sample data
data
determining
time parameter
behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110285550.2A
Other languages
English (en)
Other versions
CN112995195B (zh
Inventor
张伟坤
徐翰隆
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202110285550.2A priority Critical patent/CN112995195B/zh
Publication of CN112995195A publication Critical patent/CN112995195A/zh
Application granted granted Critical
Publication of CN112995195B publication Critical patent/CN112995195B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种异常行为预测方法和装置,该方法包括:获取用户的样本数据;其中,所述样本数据包括预设时长的历史行为数据;对所述样本数据进行分解,得到时间参数;其中,所述时间参数用于表征所述样本数据按照时间序列的变化规律;根据所述时间参数,确定目标回归模型;利用所述目标回归模型对所述用户的当前行为数据进行预测,以获得对应所述当前行为数据的预测结果;判断所述预测结果是否位于所述样本数据的置信区间内;如果否,则确定所述当前行为数据为异常行为。本方案能够确定异常行为以实现对未知威胁的检测。

Description

一种异常行为预测方法和装置
技术领域
本发明涉及网络安全技术领域,尤其涉及一种异常行为预测方法和装置。
背景技术
随着网络安全威胁形态的演化,传统端点安全产品在防御传统已知威胁时,主要通过对恶意软件或攻击的摘要信息标记或特征信息进行识别,然而目前这种基于特征信息的方法,必须事先明确遭受网络安全入侵的定义才可以识别入侵,即检测恶意软件的传统方法依赖于发现入侵指标。因此,对于未被识别的全新的恶意软件或未知威胁,则会因检测不到异常行为而导致遭受网络威胁,不能及时进行防御和溯源。
鉴于此,针对以上不足,需要提供一种异常行为预测方法和装置来解决上述不足。
发明内容
本发明要解决的技术问题在于如何确定异常行为以实现对未知威胁的检测,针对现有技术中的缺陷,提供了一种异常行为预测方法和装置。
为了解决上述技术问题,第一方面,本发明提供了一种异常行为预测方法,该方法包括:
获取用户的样本数据;其中,所述样本数据包括预设时长的历史行为数据;
对所述样本数据进行分解,得到时间参数;其中,所述时间参数用于表征所述样本数据按照时间序列的变化规律;
根据所述时间参数,确定目标回归模型;
利用所述目标回归模型对所述用户的当前行为数据进行预测,以获得对应所述当前行为数据的预测结果;
判断所述当前行为数据是否符合所述预测结果;
如果否,则确定所述当前行为数据为异常行为。
可选地,所述对所述样本数据进行分解,得到时间参数,包括:
对所述样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对所述样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
可选地,所述根据所述时间参数,确定目标回归模型,包括:
创建自回归移动平均模型;
将所述第一时间参数确定为所述自回归移动平均模型的移动平均阶数;
将所述第二时间参数确定为所述自回归移动平均模型的自回归参数;
根据所述移动平均阶数和所述自回归参数,确定所述目标回归模型。
可选地,在所述获取用户的样本数据之后,在所述对所述样本数据进行分解,得到时间参数之前,进一步包括:
对所述样本数据进行均值运算,得到对应所述样本数据的均值;
对所述样本数据进行标准差运算,得到对应所述样本数据的标准差;
对所述样本数据进行标准误差运算,得到对应所述样本数据的标准误差;
根据预设的置信度、所述均值、所述标准差和所述标准误差进行运算,获得对应所述样本数据的置信区间;其中,通过对所述置信区间进行分解得到所述时间参数。
可选地,所述利用所述目标回归模型对所述用户的当前行为数据进行预测,包括:
确定获取所述用户的当前行为数据的时间为预测时间;
利用所述目标回归模型对所述样本数据在所述预测时间时的行为数据进行预测。
可选地,在所述确定所述当前行为数据为异常行为之后,进一步包括:
根据预设规则对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因;
根据所述发生异常行为的原因生成告警信息,并将所述告警信息发送至所述用户;其中,所述告警信息用于指示所述当前行为数据已确定为异常行为以及所述发生异常行为的原因。
第二方面,本发明还提供了一种异常行为预测装置,包括:
获取模块,用于获取用户的样本数据;其中,样本数据包括预设时长的历史行为数据;
分解模块,用于对由所述获取模块所获取的所述样本数据进行分解,得到时间参数;其中,所述时间参数用于表征所述样本数据按照时间序列的变化规律;
模型确定模块,用于根据由所述分解模块所得到的所述时间参数,确定目标回归模型;
预测模块,用于利用由所述模型确定模块所确定的所述目标回归模型对所述用户的当前行为数据进行预测,以获得对应所述当前行为数据的预测结果;
判断模块,用于判断由所述获取模块所获取的当前行为数据是否符合由所述预测模块所获得的所述预测结果,如果否,则确定所述当前行为数据为异常行为。
可选地,所述分解模块,还用于执行如下操作:
对所述样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对所述样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
第三方面,本发明还提供了一种异常行为预测装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面或第一方面的任一可能的实现方式所提供的异常行为预测方法。
第四方面,本发明还提供了计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面或第一方面的任一可能的实现方式所提供的异常行为预测方法。
本发明实施例所提供的一种异常行为预测方法和装置,该方法首先获取用户的包括预设时长的历史行为数据的样本数据,并对样本数据进行分解,得到时间参数,以根据该时间参数确定目标回归模型,利用所确定的目标回归模型对该用户的当前行为数据进行预测,获得对应的预测结果,当该当前行为数据不符合预测结果时,则确定该当前行为数据为异常行为,以确定检测到未知威胁。由此可见,通过目标回归模型对用户的当前行为数据进行预测,可以确定当前行为数据是否为异常行为,进而确定是否遭受网络安全入侵或未知威胁。采用异常行为检测来侦测异于常规软件的行为分析方式,可以在完全无需事先备好的威胁特征信息前提下,也能在造成不可挽回的伤害之前预警软件的恶意行为,从而可以通过异常行为实现对未知威胁的检测。
附图说明
图1是本发明实施例所提供的一种异常行为预测方法;
图2是本发明实施例所提供的另一种异常行为预测方法;
图3是本发明实施例所提供的一种异常行为预测装置所在设备的示意图;
图4是本发明实施例所提供的一种异常行为预测装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供的一种异常行为预测方法,该方法包括如下步骤:
步骤101:获取用户的样本数据;其中,样本数据包括预设时长的历史行为数据;
步骤102:对样本数据进行分解,得到时间参数;其中,时间参数用于表征样本数据按照时间序列的变化规律;
步骤103:根据时间参数,确定目标回归模型;
步骤104:利用目标回归模型对用户的当前行为数据进行预测,以获得对应当前行为数据的预测结果;
步骤105:判断当前行为数据是否符合预测结果;
步骤106:如果否,则确定当前行为数据为异常行为。
在本发明实施例中,该方法首先获取用户的包括预设时长的历史行为数据的样本数据,并对样本数据进行分解,得到时间参数,以根据该时间参数确定目标回归模型,利用所确定的目标回归模型对该用户的当前行为数据进行预测,获得对应的预测结果,当该当前行为数据不符合预测结果时,则确定该当前行为数据为异常行为,以确定检测到未知威胁。由此可见,通过目标回归模型对用户的当前行为数据进行预测,可以确定当前行为数据是否为异常行为,进而确定是否遭受网络安全入侵或未知威胁。采用异常行为检测来侦测异于常规软件的行为分析方式,可以在完全无需事先备好的威胁特征信息前提下,也能在造成不可挽回的伤害之前预警软件的恶意行为,从而可以通过异常行为实现对未知威胁的检测。
在本发明实施例中,用户可以为用户端,不同用户对应不同的应用场景,可以针对具体用户的应用场景进行异常行为预测,以实现对未知威胁的检测。
在本发明实施例中,所获取到的用户的样本数据均为对用户行为进行可量化处理后获得的历史行为数据,且该样本数据为经过预处理后所获得的有效数据。具体地,预处理包括对原始的历史行为数据进行去噪声处理,并确定原始的历史行为数据是否连续,若不连续,则首先对该原始的历史行为数据中缺失的行为数据进行填充。例如,可以利用三次指数平滑法进行填充,其中,三次指数平滑法所采用的公式为:
Figure BDA0002980302480000061
其中,i用于表征所述样本数据中每一个数据的日期时间,h用于表征缺失数据所对应的日期时间与每一个数据的日期时间的间隔时长,i+h用于表征缺失数据所对应的日期时间,yi+h用于表征所述预测日期时间所对应的缺失数据,
Figure BDA0002980302480000062
用于表征一次指数平滑法所获得的t+1时期的预测值;
Figure BDA0002980302480000063
用于表征所述样本数据的趋势因素,
Figure BDA0002980302480000064
用于表征所述样本数据的季节因素,k用于表征季节因素所对应的周期长度。
在本发明实施例中,如果判断当前行为数据符合预测结果,则确定当前行为数据并非异常行为,当前用户未遭受未知威胁。
可选地,在图1所示的一种异常行为预测方法中,在步骤102对样本数据进行分解,得到时间参数,包括:
对样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
在本发明实施例中,用户的样本数据可以在时间序列上进行拆分,可以在行为季节性、行为周期、行为趋势、行为随机性等维度进行预测。具体地,对样本数据分别按照季节因素和周期性因素进行分解,可以根据分解后的样本数据确定第一时间参数(即季节长度)和第二时间参数(即周期长度),确定该样本数据按照时间序列的变化规律。如此,全面考虑该样本数据在时间序列上的季节性变化和周期性变化,其中季节性变化描述的是数据随季节变化的周期性波动,周期性变化描述的是数据的变化周期,不同于季节性变化,例如以周或年为周期,因此能够更加准确地反应样本数据的变化规律,从而有利于更准确地根据其随时间序列的变化规律确定预测结果。
可选地,在图1所示的一种异常行为预测方法中,在步骤103根据时间参数,确定目标回归模型,包括:
创建自回归移动平均模型;
将第一时间参数确定为自回归移动平均模型的移动平均阶数;
将第二时间参数确定为自回归移动平均模型的自回归参数;
根据移动平均阶数和自回归参数,确定目标回归模型。
需要说明的是,目标回归模型为自回归积分移动平均模型(ARIMA)。
在本发明实施例中,创建自回归移动平均模型后,可以根据时间参数确定该模型中的移动平均阶数和自回归参数,最终确定对应当前用户样本数据的目标回归模型,提高该目标回归模型的预测准确性。具体地,在ARIMA模型中,AR是自回归,P为自回归参数,对应为第二时间参数,即周期长度;MA为移动平均,S为移动平均阶数,对应为第一时间参数,即季节长度。
可选地,在图1所示的一种异常行为预测方法中,在步骤101获取用户的样本数据之后,在步骤102对样本数据进行分解,得到时间参数之前,进一步包括:
对样本数据进行均值运算,得到对应样本数据的均值;
对样本数据进行标准差运算,得到对应样本数据的标准差;
对样本数据进行标准误差运算,得到对应样本数据的标准误差;
根据预设的置信度、均值、标准差和标准误差进行运算,获得对应样本数据的置信区间;其中,通过对置信区间进行分解得到时间参数。
在本发明实施例中,在获取用户的样本数据之后,进一步包括确定该样本数据的置信区间。具体地,首先对该样本数据(X=(x1,x2,...,xn))依次进行均值运算、标准差运算和标准误差运算,并预设置信度(比如,95%),根据置信区间公式确定置信区间。如此,通过置信区间可以保证预测结果的准确性和可信性。
其中,均值计算公式为:
Figure BDA0002980302480000081
标准差计算公式为:
Figure BDA0002980302480000082
标准误差计算公式为:
Figure BDA0002980302480000083
置信区间的计算公式为:Pr(c1≤u≤c2)=1-α;
在预设的置信度为95%时,所得到的置信区间为(μ-f*1.96,μ+f*1.96)。
在本发明实施例中,在确定置信区间之后,对样本数据进行分解,得到时间参数,可以通过Python时间序列库PyFlux绘制数据矩阵,确定该用户的样本数据在所得到的置信区间内所呈现的季节性和周期性变化,以获得对应的时间参数:周期长度P和季节长度S。
在本发明实施例中,目标回归模型中包含添加有周期长度和季节长度的置信区间,如此,把置信区间丰富到具有季节周期和时间周期,更符合具有周期性和季节性的用户数据,目标回归模型可以更准确地获得对应预测时间的预测结果,从而精准地实现对不符合该置信区间的异常行为的预测。
可选地,在图1所示的一种异常行为预测方法中,步骤104利用目标回归模型对用户的当前行为数据进行预测,包括:
确定获取用户的当前行为数据的时间为预测时间;
利用目标回归模型对样本数据在预测时间时的行为数据进行预测。
在本发明实施例中,在利用目标回归模型对该用户的当前行为数据进行预测时,首先获取该用户的当前行为数据,并记录获取该当前行为数据的时间为预测时间,在目标回归模型中输入该预测时间,以对该预测时间下的行为数据进行预测,获得对应该预测时间的预测结果。
在本发明实施例中,在判断所获取的用户的当前行为数据不符合预测结果时,即当前行为数据并不位于对应该预测时间的置信区间时,则确定当前行为数据为异常行为,即当前用户遭受了未知威胁,实现对未知威胁的检测。
可选地,在图1所示的一种异常行为预测方法中,在步骤106在确定当前行为数据为异常行为之后,进一步包括:
根据预设规则对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因;
根据发生异常行为的原因生成告警信息,并将告警信息发送至所述用户;其中,告警信息用于指示当前行为数据已确定为异常行为以及发生异常行为的原因。
在本发明实施例中,在确定当前行为数据为异常行之后,可以根据预设规则和预测结果对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因,即判断该当前行为数据是不符合周期性变化还是不符合季节性变化,并生成告警信息,同时将该告警信息发送给用户,以便用户根据该告警信息及时进行网络攻击的防御或溯源,维护网络安全。
为了更加清楚地说明本发明的技术方案及优点,如图2所示,下面对本发明实施例提供的一种异常行为预测方法进行详细的说明,具体包括:
步骤201:获取用户的样本数据。
具体地,获取用户原始的历史行为数据,并进行可量化和预处理后获得对应该用户的样本数据,该样本数据包括预设时长的历史行为数据。
步骤202:确定对应该样本数据的置信区间。
具体地,对样本数据进行均值运算,得到对应样本数据的均值;
对样本数据进行标准差运算,得到对应样本数据的标准差;
对样本数据进行标准误差运算,得到对应样本数据的标准误差;
根据预设的置信度、均值、标准差和标准误差进行运算,获得对应样本数据的置信区间;其中,通过对置信区间进行分解得到时间参数。
步骤203:对样本数据进行分解,得到时间参数。
具体地,在确定置信区间之后,对样本数据进行分解,得到时间参数,可以通过Python时间序列库PyFlux绘制数据矩阵,确定该用户的样本数据在所得到的置信区间内所呈现的季节性和周期性变化,以获得对应的时间参数:周期长度P和季节长度S。
步骤204:根据时间参数,确定目标回归模型。
具体地,创建自回归移动平均模型;
将第一时间参数确定为自回归移动平均模型的移动平均阶数;
将第二时间参数确定为自回归移动平均模型的自回归参数;
根据移动平均阶数和自回归参数,确定目标回归模型;其中,该目标回归模型包含添加有周期长度和季节长度的置信区间。
步骤205:利用目标回归模型对用户的当前行为数据进行预测,以获得对应当前行为数据的预测结果。
具体地,获取用户的当前行为数据,并确定获取用户的当前行为数据的时间为预测时间;利用目标回归模型对样本数据在预测时间时的行为数据进行预测,获得对应当前行为数据的预测结果。
步骤206:判断当前行为数据是否符合预测结果。
具体地,如果否,即当前行为数据并不位于对应该预测时间的置信区间时,则确定当前行为数据为异常行为。
步骤207:将告警信息发送至用户。
具体地,在确定当前行为数据为异常行为之后,根据预设规则对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因;
根据发生异常行为的原因生成告警信息,并将告警信息发送至所述用户;其中,告警信息用于指示当前行为数据已确定为异常行为以及发生异常行为的原因。
如图3、图4所示,本发明实施例提供了一种异常行为预测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种异常行为预测装置所在设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在设备的CPU将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。本实施例提供的一种异常行为预测装置,包括:
获取模块401,用于获取用户的样本数据;其中,样本数据包括预设时长的历史行为数据;
分解模块402,用于对由获取模块401所获取的样本数据进行分解,得到时间参数;其中,时间参数用于表征样本数据按照时间序列的变化规律;
模型确定模块403,用于根据由分解模块402所得到的时间参数,确定目标回归模型;
预测模块404,用于利用由模型确定模块403所确定的目标回归模型对用户的当前行为数据进行预测,以获得对应当前行为数据的预测结果;
判断模块405,用于判断由获取模块401所获取的当前行为数据是否符合由预测模块404所获得的预测结果,如果否,则确定当前行为数据为异常行为。
可选地,在图4所示一种异常行为预测装置的基础上,分解模块402,还用于执行如下操作:
对样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
可选地,在图4所示一种异常行为预测装置的基础上,模型确定模块403,还用于执行如下操作:
创建自回归移动平均模型;
将第一时间参数确定为自回归移动平均模型的移动平均阶数;
将第二时间参数确定为自回归移动平均模型的自回归参数;
根据移动平均阶数和自回归参数,确定目标回归模型。
可选地,在图4所示一种异常行为预测装置的基础上,该装置进一步包括:运算模块,该运算模块用于执行如下操作:
对样本数据进行均值运算,得到对应样本数据的均值;
对样本数据进行标准差运算,得到对应样本数据的标准差;
对样本数据进行标准误差运算,得到对应样本数据的标准误差;
根据预设的置信度、均值、标准差和标准误差进行运算,获得对应样本数据的置信区间;其中,通过对置信区间进行分解得到时间参数。
可选地,在图4所示一种异常行为预测装置的基础上,预测模块404,还用于执行如下操作:
利用目标回归模型对用户的当前行为数据进行预测,包括:
确定获取用户的当前行为数据的时间为预测时间;
利用目标回归模型对样本数据在预测时间时的行为数据进行预测。
可选地,在图4所示一种异常行为预测装置的基础上,该装置进一步包括:告警模块,该告警模块用于执行如下操作:
根据预设规则对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因;
根据发生异常行为的原因生成告警信息,并将告警信息发送至用户;其中,告警信息用于指示当前行为数据已确定为异常行为以及发生异常行为的原因。
可以理解的是,本发明实施例示意的结构并不构成对一种异常行为预测装置的具体限定。在本发明的另一些实施例中,一种异常行为预测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种异常行为预测装置,包括:至少一个存储区和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行本发明任一实施例中的一种异常行为预测方法。
本发明实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行本发明任一实施例中的一种异常行为预测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个······”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种异常行为预测方法,其特征在于,包括:
获取用户的样本数据;其中,所述样本数据包括预设时长的历史行为数据;
对所述样本数据进行分解,得到时间参数;其中,所述时间参数用于表征所述样本数据按照时间序列的变化规律;
根据所述时间参数,确定目标回归模型;
利用所述目标回归模型对所述用户的当前行为数据进行预测,以获得对应所述当前行为数据的预测结果;
判断所述当前行为数据是否符合所述预测结果;
如果否,则确定所述当前行为数据为异常行为。
2.根据权利要求1所述的方法,其特征在于,所述对所述样本数据进行分解,得到时间参数,包括:
对所述样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对所述样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
3.根据权利要求2所述的方法,其特征在于,所述根据所述时间参数,确定目标回归模型,包括:
创建自回归移动平均模型;
将所述第一时间参数确定为所述自回归移动平均模型的移动平均阶数;
将所述第二时间参数确定为所述自回归移动平均模型的自回归参数;
根据所述移动平均阶数和所述自回归参数,确定所述目标回归模型。
4.根据权利要求1所述的方法,其特征在于,在所述获取用户的样本数据之后,在所述对所述样本数据进行分解,得到时间参数之前,进一步包括:
对所述样本数据进行均值运算,得到对应所述样本数据的均值;
对所述样本数据进行标准差运算,得到对应所述样本数据的标准差;
对所述样本数据进行标准误差运算,得到对应所述样本数据的标准误差;
根据预设的置信度、所述均值、所述标准差和所述标准误差进行运算,获得对应所述样本数据的置信区间;其中,通过对所述置信区间进行分解得到所述时间参数。
5.根据权利要求1所述的方法,其特征在于,所述利用所述目标回归模型对所述用户的当前行为数据进行预测,包括:
确定获取所述用户的当前行为数据的时间为预测时间;
利用所述目标回归模型对所述样本数据在所述预测时间时的行为数据进行预测。
6.根据权利要求1至5中任一所述的方法,其特征在于,在所述确定所述当前行为数据为异常行为之后,进一步包括:
根据预设规则对确定为异常行为的当前行为数据进行分析,确定发生异常行为的原因;
根据所述发生异常行为的原因生成告警信息,并将所述告警信息发送至所述用户;其中,所述告警信息用于指示所述当前行为数据已确定为异常行为以及所述发生异常行为的原因。
7.一种异常行为预测装置,其特征在于,包括:
获取模块,用于获取用户的样本数据;其中,样本数据包括预设时长的历史行为数据;
分解模块,用于对由所述获取模块所获取的所述样本数据进行分解,得到时间参数;其中,所述时间参数用于表征所述样本数据按照时间序列的变化规律;
模型确定模块,用于根据由所述分解模块所得到的所述时间参数,确定目标回归模型;
预测模块,用于利用由所述模型确定模块所确定的所述目标回归模型对所述用户的当前行为数据进行预测,以获得对应所述当前行为数据的预测结果;
判断模块,用于判断由所述获取模块所获取的当前行为数据是否符合由所述预测模块所获得的所述预测结果,如果否,则确定所述当前行为数据为异常行为。
8.根据权利要求7所述的装置,其特征在于,
所述分解模块,还用于执行如下操作:
对所述样本数据按照季节因素进行分解,并根据分解后的样本数据确定第一时间参数;
对所述样本数据按照周期因素进行分解,并根据分解后的样本数据确定第二时间参数。
9.一种异常行为预测装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器,用于存储机器可读程序;
所述至少一个处理器,用于调用所述机器可读程序,执行权利要求1至6中任一项所述的方法。
10.计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行权利要求1至6中任一项所述的方法。
CN202110285550.2A 2021-03-17 2021-03-17 一种异常行为预测方法和装置 Active CN112995195B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110285550.2A CN112995195B (zh) 2021-03-17 2021-03-17 一种异常行为预测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110285550.2A CN112995195B (zh) 2021-03-17 2021-03-17 一种异常行为预测方法和装置

Publications (2)

Publication Number Publication Date
CN112995195A true CN112995195A (zh) 2021-06-18
CN112995195B CN112995195B (zh) 2023-01-31

Family

ID=76334234

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110285550.2A Active CN112995195B (zh) 2021-03-17 2021-03-17 一种异常行为预测方法和装置

Country Status (1)

Country Link
CN (1) CN112995195B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114254307A (zh) * 2021-12-08 2022-03-29 安天科技集团股份有限公司 一种终端时序特征检测方法、设备及介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150127595A1 (en) * 2013-11-01 2015-05-07 Numenta, Inc. Modeling and detection of anomaly based on prediction
CN110377447A (zh) * 2019-07-17 2019-10-25 腾讯科技(深圳)有限公司 一种异常数据检测方法、装置及服务器
CN110377491A (zh) * 2019-07-10 2019-10-25 中国银联股份有限公司 一种数据异常检测方法及装置
CN111130940A (zh) * 2019-12-26 2020-05-08 众安信息技术服务有限公司 异常数据检测方法、装置及服务器
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN112685273A (zh) * 2020-12-29 2021-04-20 京东数字科技控股股份有限公司 异常检测方法、装置、计算机设备和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150127595A1 (en) * 2013-11-01 2015-05-07 Numenta, Inc. Modeling and detection of anomaly based on prediction
CN110377491A (zh) * 2019-07-10 2019-10-25 中国银联股份有限公司 一种数据异常检测方法及装置
CN110377447A (zh) * 2019-07-17 2019-10-25 腾讯科技(深圳)有限公司 一种异常数据检测方法、装置及服务器
CN111130940A (zh) * 2019-12-26 2020-05-08 众安信息技术服务有限公司 异常数据检测方法、装置及服务器
CN111860897A (zh) * 2020-08-05 2020-10-30 青岛特来电新能源科技有限公司 一种异常检测方法、装置、设备及计算机可读存储介质
CN112685273A (zh) * 2020-12-29 2021-04-20 京东数字科技控股股份有限公司 异常检测方法、装置、计算机设备和存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114254307A (zh) * 2021-12-08 2022-03-29 安天科技集团股份有限公司 一种终端时序特征检测方法、设备及介质

Also Published As

Publication number Publication date
CN112995195B (zh) 2023-01-31

Similar Documents

Publication Publication Date Title
CN111400719B (zh) 基于开源组件版本识别的固件脆弱性判别方法及系统
CN110602029B (zh) 一种用于识别网络攻击的方法和系统
CN107454103B (zh) 基于时间线的网络安全事件过程分析方法及系统
JP2022527511A (ja) サイバーセキュリティ・イベントについての時間関係を推測すること
CN112464248B (zh) 一种处理器漏洞利用威胁检测方法及装置
JP6282217B2 (ja) 不正プログラム対策システムおよび不正プログラム対策方法
CN112995195B (zh) 一种异常行为预测方法和装置
CN115174205B (zh) 一种网络空间安全实时监测方法、系统及计算机存储介质
CN112149907A (zh) 样本数据预测方法、装置和计算机可读介质
CN115100739A (zh) 人机行为检测方法、系统、终端设备及存储介质
CN113553577B (zh) 基于超球面变分自动编码器的未知用户恶意行为检测方法及系统
CN113434860A (zh) 病毒检测方法、装置、计算设备及存储介质
CN117973347A (zh) 基于自动化模板填充技术的溯源报告自动生成方法及系统
CN112003824A (zh) 攻击检测方法、装置及计算机可读存储介质
CN116846612A (zh) 攻击链补全方法、装置、电子设备及存储介质
CN112822220B (zh) 一种面向多样本组合攻击的溯源方法和装置
CN114205146B (zh) 一种多源异构安全日志的处理方法及装置
JP5135803B2 (ja) 最適パラメータ探索プログラム、最適パラメータ探索装置および最適パラメータ探索方法
CN116346458A (zh) 网络安全的预测方法、装置、计算设备及存储介质
CN114117413B (zh) 恶意样本的检测方法、装置、电子设备及存储介质
CN106446687B (zh) 恶意样本的检测方法及装置
CN115114676A (zh) 一种远程网页篡改监测方法、系统、设备及存储介质
Cherubin et al. Exchangeability martingales for selecting features in anomaly detection
CN106599692A (zh) 基于汇编指令序列相似度的程序行为识别方法和系统
CN114640507B (zh) 一种WebShell的检测方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant