CN113395251A - 一种机器学习安全场景检测方法及装置 - Google Patents

Abstract

本申请涉及一种机器学习安全场景检测方法及装置，属于人工智能中机器学习的安全检测技术领域，该方法包括：显示对安全场景的操作界面，该操作界面中包括特征数据组件集、算法组件集和策略组件集；针对每个组件关联关系，生成一个检测逻辑，该组件关联关系是指特征数据组件集中目标特征数据组件和算法组件集中目标算法组件的关联关系，目标特征数据组件与目标算法组件相对应；响应于检测操作，根据各个检测逻辑和策略组件集中目标策略组件，生成检测策略；向服务端发送携带有检测策略的检测请求，以使服务端进行安全威胁检测；接收安全威胁情况并进行可视化展示。本申请无需编码即可实现对所有机器学习安全场景的检测，减少重复工作。

Description

一种机器学习安全场景检测方法及装置

技术领域

本申请涉及安全检测技术领域，尤其涉及一种机器学习安全场景检测方法及装置。

背景技术

随着网络安全技术的发展，企业会通过SOC(Security Operation Center，安全运营中心)来保护自己的资产和数据，以保证安全运营。

在企业SOC环境下，企业数据量巨大，需要从海量数据中发现未知威胁，而大数据计算引擎与机器学习是解决这一问题的主要方法。但是目前在利用机器学习进行安全场景检测的方案中，存在以下问题：需要为每个安全场景开发一个脚本文件来检测，导致开发新的基于机器学习的安全场景需要很长的时间周期，加上不同场景检测之间存在许多重复工作，严重影响安全威胁检测效率；在进行安全威胁检测时，使用有监督方式，无法适应相同客户或不同客户的环境的动态变化；使用通用算法进行模型训练得到的模型进行检测，存在误报的可能，给企业安全带来隐患；不能满足客户参与检测过程与查看检测结果的一体化体验。由于上述问题的存在，使得企业在使用SOC进行机器学习安全场景检测时存在较差的用户体验。

发明内容

本申请提供一种机器学习安全场景检测方法及装置，能够避免为每个安全场景开发脚本文件，减少重复工作，缩短机器学习安全场景的上线周期，提高检测准确度。

一方面，本申请提供了一种机器学习安全场景检测方法，其特征在于，所述方法包括：

显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；

响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；

响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；

向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；

接收安全威胁情况，对所述安全威胁情况进行可视化展示。

另一方面，提供了一种机器学习安全场景检测方法，所述方法包括：

接收检测请求，所述检测请求携带有检测策略；

从所述检测策略中获取目标策略参数和各个检测任务；

对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；

基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；

基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；

向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。

另一方面，提供了一种机器学习安全场景检测装置，所述装置包括：

场景编辑模块，用于显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；

逻辑生成模块，用于响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；

策略生成模块，用于响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；

请求发送模块，用于向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；

结果展示模块，用于接收安全威胁情况，对所述安全威胁情况进行可视化展示。

另一方面，提供了一种机器学习安全场景检测装置，所述装置包括：

请求接收模块，用于接收检测请求，所述检测请求携带有检测策略；

数据获取模块，用于从所述检测策略中获取目标策略参数和各个检测任务；

特征提取模块，用于对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；

算法模块，用于基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；

策略模块，用于基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；

结果返回模块，用于向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。

本申请实施例通过操作界面所提供的特征数据组件集、算法组件集和策略组件集，实现机器学习安全场景整个检测过程从特征提取到模型训练再到结果处理的快速配置，用户在不需要进行编码的情况下就可以参与检测过程；将整个检测过程进行组件化，避免了重复编码工作，缩短安全场景上限周期，提升安全威胁检测效率；通过选择算法组件集中不同算法组件，进而实现不同安全场景下的检测任务，提升安全威胁检测准确率；通过选择策略组件集中不同策略组件，可以实现对检测结果的不同处理方式，进而得到在不同维度上的表现；通过对安全威胁情况进行可视化展示，提升用户体验。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1是本申请实施例提供的一种机器学习安全场景检测系统的架构示意图。

图2a是本申请实施例提供的安全场景的管理界面示意图。

图2b是本申请实施例提供的操作界面示意图。

图3是本申请实施例提供的一种机器学习安全场景检测方法的流程示意图。

图4a是本申请实施例提供的一种特征数据参数的界面示意图。

图4b是本申请实施例提供的算法参数的界面示意图。

图4c是本申请实施例提供的策略参数的界面示意图。

图4d是本申请实施例提供的安全场景配置示意图。

图4e是本申请实施例提供的另一种特征数据参数的界面示意图。

图5a是本申请实施例提供的可视化展示界面示意图。

图5b是本申请实施例提供的异常详情界面示意图。

图6是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。

图7是本申请实施例提供的机器学习检测框架的架构示意图。

图8是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。

图9是本申请实施例提供的并行持续监控对象的示例图。

图10是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。

图11是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。

图12a是本申请实施例提供的利用时间序列算法进行安全威胁检测的结构示意图。

图12b是本申请实施例提供的离群点检测的检测结果示意图。

图12c是本申请实施例提供的拐点检测的检测结果示意图。

图12d是本申请实施例提供的利用行为分析算法进行安全威胁检测的结构示意图。

图13是本申请实施例提供的另一种机器学习安全场景检测方法的流程示意图。

图14是本申请实施例提供的一种机器学习安全场景检测装置的结构示意图。

图15是本申请实施例提供的另一种机器学习安全场景检测装置的结构示意图。

图16是本申请实施例提供的一种操作端的硬件结构示意图。

图17是本申请实施例提供的一种服务端的硬件结构示意图。

具体实施方式

人工智能(Artificial Intelligence，AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说，人工智能是计算机科学的一个综合技术，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法，使机器具有感知、推理与决策的功能。人工智能技术是一门综合学科，涉及领域广泛，既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。

本申请实施例提供的方案涉及人工智能的机器学习(Machine Learning，ML)技术。机器学习是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心，是使计算机具有智能的根本途径，其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、式教学习等技术。

在企业安全运营中心环境下，企业数据量巨大，需要从海量数据中发现未知威胁，而大数据计算引擎与机器学习是解决这一问题的主要方法。但是目前在利用机器学习进行安全场景检测的方案中，存在以下问题：需要为每个安全场景开发一个脚本文件来检测，导致开发新的基于机器学习的安全场景需要很长的时间周期，加上不同场景检测之间存在许多重复工作，严重影响安全威胁检测效率；在进行安全威胁检测时，使用有监督方式，无法适应相同客户或不同客户的环境的动态变化；使用通用算法进行模型训练得到的模型进行检测，存在误报的可能，给企业安全带来隐患；不能满足客户参与检测过程与看到检测结果的一体化体验。由于这些问题的存在，使得企业在使用SOC进行机器学习安全场景检测时存在较差的用户体验。

鉴于此，本申请实施例提供了一种机器学习安全场景检测方法。下面将结合附图对本申请实施例中作进一步详细描述，显然，所描述的实施例仅仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务端不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图1，其示出了本申请实施例提供的一种机器学习安全场景检测系统的架构示意图，该系统可以实现本申请实施例的机器学习安全场景检测方法。如图1所示，该系统100可以包括操作端110和服务端120。

操作端110可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但不局限于此。操作端110可以运行安全运营软体111，该安全运营软体111可以是一些服务商提供给用户的安全运营网页页面，也可以是该些服务商提供给用户的安全运营应用。该安全运营软体111可以为基于机器学习的安全场景进行配置。

操作端110通过运行安全运营软体111可以新增待检测的安全场景，以及显示安全场景的操作界面，该操作界面中可以包括特征数据组件集、算法组件集和策略组件集。其中，特征数据组件集中特征数据组件与机器学习中的特征提取相对应，也即将特征提取组件化；算法组件集中算法组件与机器学习中的模型训练相对应，也即将模型训练组件化；策略组件集中策略组件与检测结果处理相对应，也即将检测结果的处理方式组件化。

在操作界面中用户可以根据待检测的安全场景将特征数据组件、算法组件以及策略组件拖拽至场景操作区，并在场景操作区按照自行设计的检测逻辑进行特征数据组件和算法组件的关联操作，以及算法组件与策略组件的关联操作，进而实现对安全场景的配置。如图2a所示为安全场景的管理界面示意图，用户可以通过图2a中新增场景按钮添加新的安全场景，通过每条安全场景记录中的编辑按钮打开对应安全场景的操作界面，如图2b所示为操作界面示意图。在图2b中，用户可以通过拖拽方式将各个组件从组件区拖拽至场景操作区，然后通过右键点击各个组件，以对各个组件对应的组件参数进行配置。

服务端120可以是独立运行的服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。服务端120可以根据安全场景的配置进行安全威胁的检测。服务端120与操作端110可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

请参阅图3，其示出了本申请实施例提供的一种机器学习安全场景检测方法的流程示意图，该方法可应用于图1所示的操作端。需要说明的是，本说明书提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的系统或服务器产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图3所示，所述方法可以包括：

S301，显示对安全场景的操作界面，操作界面中包括特征数据组件集、算法组件集和策略组件集。

操作端可以通过运行预先安装好的安全运营应用或者访问安全运营网页页面以显示操作界面。参考如图2b所示，特征数据组件集中每个特征数据组件对应一个访问协议，访问协议是指监控网络中对象所使用的协议，例如DNS、SNMP、SSH、Telnet、TCP、UDP等等。可以理解的，不同监控功能所使用的协议可能存在差异，当所使用的协议在操作界面中不存在时，用户可以通过特征数据后的添加按钮添加新的协议，从而新增与之对应的特征数据组件。

算法组件集中每个算法组件对应一个模型训练算法，可以利用该模型训练算法与算法组件中的算法参数进行模型训练。算法组件集分为时间序列组件集和行为分析组件集，时间序列组件集中每个时间序列组件对应的目标算法均属于时间序列算法，当用户所检测的安全场景与时间序列有关时，可以选择时间序列算法，例如对象在哪个/些时间存在异常行为；而行为分析组件集中每个行为分析组件对应的目标算法均属于行为分析算法，当用户所检测的安全场景与行为分析有关时，可以选择行为分析算法，例如对象存在什么样的异常行为。

策略组件集中每个策略组件对应一个结果处理策略，可以利用该结果处理策略对检测结果进行进一步分析，以减少模型误报率。

S303，响应于每个组件关联操作，生成一个检测逻辑，组件关联操作是指特征数据组件集中目标特征数据组件和算法组件集中目标算法组件的关联操作，目标特征数据组件与目标算法组件相对应。

在一个可能的实施方式中，操作端响应于每个第一选取指令，确定特征数据组件集中的特征数据组件，该特征数据组件包括特征数据参数；操作端可以根据用户对特征数据参数的配置，确定特征数据组件对应的目标特征数据参数，进而得到该第一选取指令对应的目标特征数据组件。

如图4a所示，其为一种特征数据参数的界面示意图，用户可以右键点击特征数据组件展示特征数据参数的界面，当用户对特征数据参数配置完成后即可得到目标特征数据参数。在图4a中，该特征数据参数可以包括节点名称、所属协议、任务类型、检测方式、统计间隔、过滤条件、主key、辅key以及特征提取等参数。

其中，节点名称是指用户为该特征数据组件自定义的名称；所属协议是指该安全场景所使用的协议；任务类型是指执行安全威胁检测的类型，可以根据需求选取时间序列或行为分析；检测方式是指对待检测对象进行检测的方式，可以选取历史或同类，历史是指基于待检测对象历史的行为数据进行检测，同类是指基于待检测对象的同类对象的行为数据进行检测；统计间隔是指每隔多长时间进行一次特征提取操作；过滤条件与所属协议相对应，用于缩小或控制特征提取所使用的数据源的范围；主key是指待检测对象的标识，辅key用于进一步限定待检测对象；特征提取包括特征字段和转换函数，根据所选择的转换函数有相应的统计算子，特征字段是指需要提取特征的字段，转换函数是指将非数值型字段转换为数值型字段所使用的函数，统计算子是指对字段进行特征统计所使用的算子，例如sum(求和)、count(计数)、avg(求平均)、max(求最大值)以及min(求最小值)等等。

可以理解的，主key可以是某个对象或用户的标识，也可以是某类对象或用户的标识，用户可以通过主key实现在同一安全场景下对所有同类对象的检测，例如当主key表示用户类别时，可以实现对所有用户进行安全威胁检测。

操作端响应于每个第二选取指令，确定算法组件集中的算法组件，该算法组件包括算法参数；操作端可以根据用户对算法参数的配置，确定算法组件对应的目标算法参数，进而得到第二选取指令对应的目标算法组件。

如图4b所示，其为算法参数的界面示意图，用户可以右键点击算法组件展示算法参数的界面，当用户完成对算法参数的配置时即可得到目标算法参数。在图4b中，某个算法的算法参数可以包括算法类型、训练数据、训练周期、预测周期以及算法所需要的参数。其中，算法类型是指该算法是属于时间序列算法或行为分析算法；训练数据是指进行模型训练需要多长时间的数据，组件默认是1小时以内的数据；训练周期是指每间隔多长时间训练一次模型，组件默认每间隔1小时进行一次模型训练；预测周期是指每间隔多长时间利用所训练的模型进行安全威胁检测，组件默认每间隔1小时进行一次预测。

操作端通过为用户提供可选择的多种算法以及将算法进行分类，通过将建模经验内置到算法组件中，可以为用户提供在不同安全场景下使用不同的算法以及不同的检测方式，例如行为分析或时间序列，从而实现不同的检测效果。

操作端响应于每个目标特征数据组件与该目标特征数据组件对应的目标算法组件的关联操作，生成一个检测逻辑。其中，目标特征数据组件对应的目标算法组件是指目标特征数据组件中任务类型与目标算法组件中算法类型相对应。例如，若目标特征数据组件中任务类型为时间序列，则应选取算法类型为时间序列算法对应的目标算法组件；若目标特征数据组件中任务类型为行为分析，则应选取算法类型为行为分析算法对应的目标算法组件。

需要说明的是，对于同一个目标特征数据组件，仅能有一个目标算法组件相与之关联，也即目标特征数据组件与目标算法组件一一对应。

在一些可能的实施方式中，操作端可以响应于第三选取指令，确定策略组件集中的策略组件，该策略组件可以包括策略参数；操作端可以根据用户对策略参数的配置，确定策略组件对应的目标策略参数，进而得到目标策略组件。

如图4c所示，其为策略参数的界面示意图，用户可以通过右键点击策略组件展示策略参数的界面。如图4c所示，该策略参数可以包括数据范围以及白名单参数。其中，数据范围用于对检测结果进行分析处理后的输出范围进行限定；启用白名单后，用户可以通过将不关注的子对象添加到白名单的方式进行结果过滤。通过目标策略组件中的策略，可以解决算法容易引起误报的问题。

在实际应用中，若用户需要通过不同的特征数据来实现安全威胁的检测，可以选择多个目标特征数据组件，并且为该多个目标特征数据组件分别选取对应的目标算法组件，然后为每个目标特征数据组件和该目标特征数据组件对应的目标算法组件建立关联关系。操作端响应于每个组件关联操作，确定一个检测逻辑，也即每个目标特征数据组件和该目标特征数据组件关联的目标算法组件构成一个检测逻辑。可以理解的，在同一个安全场景下，该多个目标特征数据组件具有相同的主key，进而用户可以只配置一个目标策略组件。

如图4d所示，其为需要检测的安全场景的配置示意图，则操作端基于目标特征数据组件1和目标算法组件1生成一个检测策略，基于目标特征数据组件2和目标算法组件2生成另一个检测策略，而整个安全场景可以只配置一个目标策略组件。

由上述可知，一方面用户通过拖拽方式将各个组件从组件区拖拽至场景操作区，用户无需编写代码即可快速完成整个机器学习安全场景的预测流程，大大减少了重复工作，缩短上线周期。另一方面如图4a、图4b以及图4c所示的各个参数的配置界面中，操作端提供一些默认组件参数，可以让用户或安全运营人员轻松快速地进行安全场景的配置。

S305，响应于检测操作，根据各个检测逻辑和策略组件集中目标策略组件，生成检测策略。

检测操作是指对安全场景进行安全威胁检测的操作，用户在完成对安全场景的配置后，如图2b中所示，可以通过操作界面中的运行按钮触发检测操作。操作端响应于检测操作，将每个检测逻辑生成一个检测任务，每个检测任务包括目标检测对象、目标特征数据参数和目标算法参数；由各个检测任务和目标策略组件中目标策略参数，构成检测策略。可以理解，所有检测任务中的目标检测对象一致。

S307，向服务端发送检测请求，以使服务端对安全场景进行安全威胁检测，检测请求携带有检测策略。

S309，接收安全威胁情况，对安全威胁情况进行可视化展示。

为了便于用户更直观、方便的查看检测结果，操作端在接收到服务端所发送的安全威胁情况后，可以对安全威胁情况进行可视化处理。

安全威胁情况中包括每个子对象的安全威胁信息，该安全威胁信息包括在过去一段时间内(与目标算法参数中的训练数据相对应，比如当前时间之前24小时内)的异常分、在各个时间点的安全等级以及在每个时间点上每个指标的指标详情信息，该指标详情信息可以包括实际值、对比值、异常结论以及异常原因等信息。

操作端在对安全威胁情况进行可视化展示时包括时间序列可视化和异常可解释性可视化两部分，时间序列可视化是指从时间维度反应每个指标的异常程度，异常可解释性可视化是指对特征发生异常的原因进行解释。可视化展示的形式主要是图形和表格。具体而言，操作端一方面基于异常分对各个子对象进行排序，展示目标算法参数中的TOPN；另一方面将每个时间点上各个子对象的安全等级进行标注，然后显示在结果界面中，例如可以使用不同颜色表示不同安全等级，也可以使用数字表示不同安全等级。

如图5a中所示，在结果展示界面中左侧为异常统计TOP10的子对象，右侧为TOP10子对象中每个子对象在过去24小时的每一小时的异常情况，颜色越浅表示该子对象的安全等级越高，也即存在异常的程度越低。如图中子对象070759具有最低安全等级，其在2020/08/15 01:00至2020/08/15 06:00之间尤其明显，用户可以点击出现异常的某个时间点查看发生异常的原因。

鉴于此，在一个可能的实施方式中，该方法还可以包括：响应于查看操作，显示异常详情界面，该异常详情界面中可以通过表格和时序图展示异常详情，例如异常的特征以及异常发生的原因等等。如图5b所示，其为异常详情界面的示意图，在图5b中可以通过时序图更直观的区分出发生异常的时间点和偏离程度，可以通过表格了解异常详情，使得安全威胁情况具有很强的可解释性。

在上述方案中，用户可以通过操作端快速的进行机器学习安全场景的配置，且在运行完成后，可以很直观的了解异常情况，进而使得用户能够拥有一站式的机器学习安全场景检测体验。

而在实际应用中，用户在运行一次安全场景后，可能存在对某个组件的参数进行修改的需求，例如更改算法或者更改算法中的训练周期等等。为了便于用户快速了解所修改的参数对检测结果的影响，操作端为用户提供了调试模式。在调试模式下，用户可以只运行所修改的组件即可，进而适应动态变化的环境。

基于以上描述，在一个可能的实施方式中，该方法还可以包括：

(1)响应于组件运行操作，确定所要运行的目标组件。

本申请实施例中，组件运行操作是指安全场景中组件的运行操作，用户可以对安全场景中任意组件进行运行操作。用户可以将鼠标定位到该组件，然后通过鼠标右键所关联的菜单选项选择运行，进而触发组件运行操作。目标组件包括第一目标组件和第二目标组件，第一目标组件是指触发组件运行操作的组件，第二目标组件是指第一目标组件的关联组件，关联组件是指第一目标组件的运行所关联的组件。换言之，用户在触发第一目标组件运行时，也需要将第一目标组件所属任务流的其他组件一并运行。

举例而言，如图4d所示，当目标特征数据组件1是第一目标组件时，目标算法组件1和目标策略组件均是关联组件，也即第二目标组件。用户在运行目标特征数据组件1时，需要运行任务流中目标特征数据组件1之后的所有组件，也即目标算法组件1和目标策略组件。

可以理解，若第一目标组件的运行还依赖于其他组件，则操作端还应当对第一目标组件的依赖组件进行判定，只有在依赖组件已经至少运行一次的情况下，才允许目标组件的运行。其中，依赖组件是指第一目标组件的运行所依赖的组件。

继续如图4d中，当目标算法组件1是第一目标组件时，目标特征数据组件1即为依赖组件；当目标算法组件2是第一目标组件时，目标特征数据组件2即为依赖组件。可以理解的，依赖组件可以不是必须的，例如当目标特征数据组件1为第一目标组件时，不需要与之对应的依赖组件也可运行。

(2)向服务端发送组件运行请求，以使服务端运行目标组件，组件运行请求携带有目标组件对应的目标参数。

与目标组件相对应，目标参数可以是目标特征数据参数、目标算法参数或目标策略参数。服务端在接收到组件运行请求后，会根据目标参数进行目标组件的运行。

在一个可能的实施方式中，在完成对安全场景进行一次安全威胁检测后，若仅调整对特征数据组件的相关参数而不涉及特征数据的更改，例如仅调整任务类型和/或检测方式，为了节约特征提取时间，可以复用已完成的检测任务所提取的特征数据。如图4e所示，其为另一种特征数据参数的界面示意图，目标特征数据参数除可以包括节点名称、所属协议、任务类型、检测方式、统计间隔、过滤条件、主key以及辅key以外，还可以包括特征值。服务端可以直接获取该特征值对应的特征数据，得到目标特征，而无需重新进行特征提取。

在实际应用中，用户可能需要定时查看对安全场景的检测结果，因而操作端可以为用户提供模式选项，用户可以基于具体需求设置对安全场景的调度模式，比如手动触发或定时触发。

鉴于此，在一个可能的实施方式中，该方法还可以包括：

(1)响应于模式选择操作，确定对安全场景的调度模式。

本申请实施例中，调度模式包括调试模式和生产模式。调试模式是指用户可手动触发检测任务，如上述中用户主动触发检测操作和组件运行操作均属于调试模式，而生产模式是指自动触发检测任务。通过提供不同模式，可以实现用户在不同场景下对安全场景的检测需求，从而适应场景的动态变化。

(2)在调度模式为生产模式时，开启定时器。

当用户设置调试模式为生产模式，操作端开启定时器启动对安全场景的定时调度，检测任务将根据检测频率，按照安全场景所配置算法的训练数据、训练周期以及预测周期等自动调度检测并输出结果。

(3)按照定时器的定时周期，触发检测操作。

操作端根据用于设置的定时周期即检测频率触发检测操作，每隔定时周期时长触发一次检测操作，比如每隔1小时。触发检测操作后，将按照步骤S305至步骤S309所描述的内容进行安全威胁的检测，具体执行过程详见步骤S305至步骤S309，在此不再重复赘述。

由上述方法实施例提供的技术方案可见，本申请实施例通过将机器学习中数据提取、特征转换、特征提取、模型训练、模型预测以及结果可视化全流程进行组件化，用户无需编码即可实现机器学习安全场景的检测配置。通过操作界面所提供的特征数据组件集、算法组件集和策略组件集，实现机器学习安全场景整个检测过程从特征提取到模型训练再到结果处理的快速配置，用户在不需要进行编码的情况下就可以参与检测过程；将整个检测过程进行组件化，避免了重复编码工作，缩短安全场景上限周期，提升安全威胁检测效率；通过选择算法组件集中不同算法组件，进而实现不同安全场景下的检测任务，提升安全威胁检测准确率；通过选择策略组件集中不同策略组件，可以实现对检测结果的不同处理方式，进而得到在不同维度上的表现；通过对安全威胁情况进行可视化展示，提升用户体验。

本申请实施例还提供了一种机器学习安全场景检测方法，该方法可应用于如图1所示的服务端。如图6所示，该方法可以包括：

S601，接收检测请求，检测请求携带有检测策略。

S603，从检测策略中获取目标策略参数和各个检测任务。

其中，目标策略参数可以至少包括数据范围和白名单参数，如图4c所示。每个检测任务可以至少包括目标检测对象、目标特征数据参数和目标算法参数。目标特征数据参数可以至少包括任务类型、检测方式、转换函数、统计间隔、过滤条件、目标检测对象(主key)、特征字段、统计算子以及所属协议，如图4a所示。目标算法参数可以至少包括目标算法、算法类型、训练数据、训练周期以及预测周期，如图4b所示。

可以理解的，一个检测策略对应一个安全场景，对应多个检测任务。每个检测任务中目标特征数据参数对应一个特征提取任务，目标算法参数对应一个算法任务，目标算法参数中可以有多个算法，因而可以有多个策略任务。而且不同特征提取任务可共用已有的特征、不同算法任务可调用同一个算法，不同策略任务可调用统一个策略。

比如，基于http隐蔽通信检测的安全场景，可能需要两个特征提取任务(历史特征任务和同类特征任务)、两个算法任务(同类异常检测和历史异常检测)以及两个策略任务(白名单策略和静态策略)。再比如，基于http隐蔽通信检测调用两个算法任务为同一个异常检测算法；DNS隧道检测提取任务与可疑域名提取任务可共用一部分特征；数据汇集检测和数据外发检测可共用相同的动态策略和静态策略。

S605，对于每个检测任务，基于检测任务中目标特征数据参数，对检测任务对应的源数据进行特征提取，得到检测任务的目标特征。

对于每个检测任务，该检测任务可能是已执行过的任务，服务端可以根据该检测任务中目标特征数据参数是否包含有特征值，确定该检测任务的目标特征提取方式。因而在一个可能的实施方式中，步骤S605在实施之前可以包括：对于每个检测任务，确定该检测任务中是否包含有特征值，若是，则直接获取该特征值对应的特征数据，得到检测任务的目标特征；若否，则执行步骤S605。

本申请实施例中，服务端基于预设计算引擎构建机器学习检测框架，形成预设安全检测框架，预设计算引擎是指为大规模数据处理而设计的通用的计算引擎，例如Spark、Hive等等，服务端可以通过预设安全检测框架实现检测任务。如图7所示，其为机器学习检测框架的架构示意图，该预设安全检测框架是基于Spark构建的。服务端可以利用该预设安全检测框架实时监控与服务端通信的每个对象的行为，对象可以是设备和用户，例如服务器、机械、人、网页等等。

在图7中，基于Spark的检测框架可以从数据流(flows)读取流量数据和/或从事件(Events)读取事件数据，将流量数据和/或事件数据经过预处理模块进行数据清洗和选择，得到字段数据；利用特征提取(FeaExtract)模块和数据转换(DataTransform)模块对字段数据进行特征转换和特征统计，以将字段数据提取成算法需要的特征，得到特征数据；算法引擎(AIEngine)模块利用特征数据进行自动训练和预测，得到预测结果；然后将预测结果经过策略(Decision Engine)模块进行过滤排序等操作得到检测结果。

对于检测结果，可通过可解释性(Explain)模块进行解释并通过可视化(Visualization)等手段进行展示。另外，检测结果也可通过反馈(FeedBack)重回到处理流。由于是针对SOC安全领域，该预设安全检测框架的场景可覆盖僵尸网路发现(Botnet)、c2识别(Command&Control)、内部侦测(Internal Recon)、横向移动(Lateral Movement)以及数据外发(Data Exfiltration)等几个重要阶段。

基于此，在一个可能的实施方式中，如图8所示，在步骤S605实施之前，该方法还可以包括：

S604，基于预设安全检测框架按照并行方式持续监控每个对象的行为，得到每个所述对象的行为数据。

服务端实施并行监控每个对象的行为，也即服务端存储有每个对象在每个时刻的行为数据，在每次执行检测任务时，服务端可以获取当前时间段前任意时间的行为数据作为检测任务对应的数据源。如图9所示，其为并行持续监控对象的示例图。在图9中，依托spark平台并行检测能力，可实时监控每个对象的行为相关数据，如在10.7日01:00时刻用户有行为相关数据，则可将该行为相关数据进行记录，以通过该行为相关数据对用户进行异常行为的识别。

在一个可能的实施方式中，每个检测任务中目标特征数据参数均包括所属协议、任务类型、检测方式、转换函数、统计间隔和统计算子，则如图10所示，步骤S605在具体实施时，可以包括：

S6051，对于每个检测任务，将检测任务中目标检测对象的目标行为数据，确定为检测任务的源数据，目标行为数据是指与所属协议和检测方式匹配的行为数据。

具体的，服务端基于检测方式，确定目标检测对象的参考行为数据，然后在参考行为数据中选择与所属协议对应的行为数据，即可得到检测任务的源数据。

检测方式包括历史行为和同类行为，若检测方式属于历史行为，则服务端将目标检测对象行为数据确定为参考行为数据，也即目标检测对象的历史行为数据；若检测方式属于同类行为，则服务端将同类对象行为数据确定为参考行为数据，也即目标检测对象的同类行为数据。其中，同类对象是指与目标检测对象属于同一类的对象。例如，若目标检测对象的类型是服务器，则同类对象是指所有服务器；若目标检测对象的类型是用户，则同类对象是指所有用户。

不同于规则检测，服务端基于预设安全检测框架，利用目标检测对象的历史行为数据和同类行为数据，去检测目标检测对象发生在不同攻击阶段上的威胁，可以获得比规则检测更高的精确度，降低威胁误报率。

S6053，基于转换函数对源数据进行数值转换，得到检测任务的目标数据。

服务端在获取到源数据后，可以对源数据中的每个字段进行预处理，当该字段不是数值型时，将该字段通过转换函数转换成数值型，得到目标数据，以供目标算法使用。当然，服务端也可以利用转换函数对所提取的特征进行转换。可以理解的，转换函数主要功能在于将非数值型字段转换成数值型字段，因而在具体实施时，可以实现该功能的函数均可用做转换函数，本申请在此不做具体限定。例如，转换函数可以是length(长度)、add(加法)、entropy(信息熵)、onehot_encode(onehot编码)等等。

在一些场景下，为了实现在不同协议中对特定字段的特殊处理，转换函数也可以与目标特征数据中的所属协议相对应。例如，在DNS协议中，可以设置用以进行全域名解析的转换函数；在HTTP协议中，可以设置用以进行请求数统计的转换函数等等。

S6055，按照统计间隔，采用统计算子对目标数据进行统计计算，得到检测任务的目标特征。

统计算子用于根据统计间隔对目标数据进行统计计算，例如求和、计数、求均值、计算最大值、计算最小值以及去重计数等等，且统计算子与转换函数相对应，不同的转换函数可以使用相同或不同的统计算子。服务端可以每间隔统计间隔的时间进行一次统计计算，并将每次统计计算所得到的目标特征进行存储。可以理解的，不同任务类型有不同的特征需要提取，例如任务类型为行为分析类型，则可以得到的目标特征包括实体特征和关系特征。

S607，基于检测任务的目标特征和检测任务中目标算法参数进行安全威胁检测，得到检测任务的检测结果。

在实际应用中，一方面，企业中安全场景很多，且大多数安全场景难以获取足够量的真实的恶意样本做威胁检测，而模拟的样本数据由于样本空间覆盖有限，无法代替真实的恶意样本，导致模型产生大量漏报；另一方面，由于不同企业(甚至同一企业)不同网络环境差异较大，正常样本也难以覆盖大多数情况，在不同企业或者相同企业不同网络环境下，使用相同正常样本也较容易产生大量的误报。换言之，采用上述有监督策略，也即利用恶意样本和正常样本进行模型训练和安全场景检测，将存在漏报和误报的情况。

鉴于此，在一个可能的实施方式中，服务端基于无监督进行安全威胁检测，由于每个检测任务中目标算法参数均包括目标算法、训练数据时间、训练周期、预测周期，则如图11所示，步骤S607在具体实施时，可以包括：

S6071，按照训练周期，利用目标算法和训练数据时间内的目标特征进行模型训练，得到安全检测模型。

目标算法中包括进行模型训练所使用的算法和算法入参，服务端每间隔训练周期的时间进行一次模型训练，例如每间隔1小时，在每次模型训练完成后，将所得到的安全检测模型作为最新安全检测模型。由于服务端会每间隔统计间隔的时间进行一次统计计算，服务端所存储的目标特征包括多个统计间隔所得到的目标特征，且目标特征在进行动态变化。为了提升模型训练的准确性，服务端在每个训练周期进行模型训练时，获取在训练数据时间内所统计的目标特征，例如当前时间之前1小时内的所有目标特征，由此构成训练特征，基于该训练特征和目标算法进行模型训练。

服务端基于所提取到的目标特征进行模型训练，由于目标特征是基于实时监控到的对象的行为数据且针对不同安全场景所得到的，相比于有监督策略，所训练得到的安全检测模型将更准确，可以很大程度上降低漏报和误报的情况。

S6073，按照预测周期，采用安全检测模型进行安全威胁检测，得到检测任务的检测结果。

服务端在第一次进行安全威胁检测时，是在模型训练完成后进行的，之后每间隔预测周期的时间利用最新安全检测模型进行一次安全威胁检测，例如每间隔1小时。

本申请实施例中，用户所选择的目标算法可以是时间序列算法或行为分析算法。时间序列算法主要用于对单维行为数据构建的时间序列进行离群点检测或拐点检测，而行为分析算法主要用于对行为数据进行异常行为检测。

鉴于此，在一些可能的实施方式中，步骤S6073在实施时可以具体包括：

(1)若确定目标算法属于时间序列算法，则按照预测周期，采用安全检测模型进行离群点检测和/或拐点检测，得到检测任务的检测结果。

由于不同特点的时间序列无法在同一个算法上达到最好的效果，因而本申请实施例中的时间序列算法纳入了不同特点的算法，以适应不同类型的应用。例如心跳检测可以运用FFT算法，数据汇聚或文件数据外发可以运用离群点检测SHESD算法等。若目标算法属于时间序列算法，则服务端在进行建模时通过时间序列预测、时间序列分解等操作实现离群点检测和/或拐点检测，然后利用所得到的模型根据标准分布、非标准分布等方式进行异常序列检测，从而得到检测任务的检测结果。

如图12a所示，其为利用时间序列算法进行安全威胁检测的结构示意图。时间序列具有天然的可解释性，通过离群点检测可以很容易得到离群点，也即发生异常的时间点，如图12b所示的离群点检测的检测结果示意图中的点A；通过拐点检测可以很容易得到拐点，也即发生变化的时间点或时间范围，如图12c所示的拐点检测的检测结果示意图中的点B和点C，以及点B和点C之间的数据。

(2)若确定目标算法属于行为分析算法，则按照预测周期，采用安全检测模型进行异常行为检测，得到检测任务的检测结果。

由于不同安全场景存在不同的异常行为，同一个算法也无法适用于所有安全场景下的异常行为检测，因而本申请实施例中的行为分析算法纳入了不同特点的算法，以适应不同检测场景。例如基于重构的异常检测算法，也称基于马氏距离SVD的算法(Maha_svd)；基于集成树的异常检测算法，也称孤立森林算法(iForest)等等。如图12d所示，其为利用行为分析算法进行安全威胁检测的结构示意图。在定位安全场景后，对于不同安全场景基于可配置特征库进行场景特征提取；然后将所提取到的特征，利用异常检测算法库进行异常检测，以确定异常事件，得到检测任务的检测结果。

S609，基于目标策略参数对各个检测结果进行分析，得到安全威胁情况。

本申请实施例中，目标检测对象可能是一个对象也可以是一类对象，例如某个设备、某个用户、某类设备或每类用户。目标策略参数可以包括目标策略和白名单参数，目标策略是指对检测结果分析所使用的方式，白名单参数中包括白名单使能标识和白名单列表，白名单使能标识用于表示是否启用白名单，白名单列表中存储有子对象标识，在白名单列表中的子对象的安全威胁情况将不会被操作端进行可视化展示。

可以理解的，若目标检测对象是一类对象，则每个检测任务所得到的检测结果中包括各个子对象的检测结果，服务端需要利用目标策略对每个子对象的检测结果进行综合评估，以确定每个指标的安全等级，以及存在异常情况时是由于哪个特征导致的，以及导致异常原因等等。

鉴于此，由于目标策略参数包括目标策略和白名单参数，在一个可能的实施方式中，如图13所示，步骤S609在具体实施时可以包括：

S6091，利用目标策略对各个检测结果进行分析，以确定安全场景下每个子对象的安全威胁信息。

其中，安全威胁信息包括安全等级、异常分以及每个指标的指标详情信息，安全等级表征受到安全威胁的严重程度，指标详情信息用于为用户提供可解释的异常原因，便于用户快速定位及追溯。

目标策略主要融入人工经验，对算法结果去除误报。服务端可以运用的目标策略可以是集成策略、静态策略、TOPN策略以及置信度策略等等，而白名单策略可以与目标策略进行结合使用，也即在使用目标策略后启用白名单进行二次过滤。其中，集成策略是指利用多个安全检测模型的结果进行综合打分，采用多个安全检测模型可以提高分析精度；静态策略是指根据各个异常的特征自动构造策略；TOPN策略是指对每个异常特征打分排序后，只展示排序在TOPN的结果；置信度策略是指利用安全检测模型输出的置信度作为基础评分，然后通过对基础评分进行修改来平衡精度和召回。

S6093，基于白名单参数对各个子对象的安全威胁信息进行过滤，得到安全威胁情况。

具体的，服务端基于白名单参数中的白名单使能标识，确定是否启用白名单；若白名单使能标识指示启用白名单，则可通过白名单参数中的白名单列表对各个子对象的安全威胁信息过滤，也即将子对象标识在白名单列表中对应的子对象的安全威胁信息滤除。

S6011，向操作端发送安全威胁情况，以使操作端对安全威胁情况进行可视化展示。

在一个可能的实施方式中，为了对操作端所发送的组件运行请求进行处理，该还可以包括：接收组件运行请求，该组件运行请求携带有目标组件对应的目标参数；基于目标组件对应的目标参数，运行目标组件。服务端在运行目标组件时，按照目标组件中各个组件的类型按顺序执行相应任务，与接收检测请求对每个检测任务处理的方式相似，在此不再赘述。

由上述方法实施例提供的技术方案可见，本申请实施例根据用户所配置的目标策略参数和各个检测任务直接进行安全威胁检测，而无需再进行复杂的机器学习准备过程，提升检测效率；在获取检测结果后，再通过目标策略参数对检测结果进行分析处理，可以降低模型输出的误报率。

本申请实施例还提供了一种机器学习安全场景检测装置，如图14所示，该检测装置1400可以包括：

场景编辑模块1410，用于显示对安全场景的操作界面，操作界面中包括特征数据组件集、算法组件集和策略组件集；

逻辑生成模块1420，用于响应于每个组件关联操作，生成一个检测逻辑，组件关联操作是指特征数据组件集中目标特征数据组件和算法组件集中目标算法组件的关联操作，目标特征数据组件与目标算法组件相对应；

策略生成模块1430，用于响应于检测操作，根据各个检测逻辑和策略组件集中目标策略组件，生成检测策略；

请求发送模块1440，用于向服务端发送检测请求，以使服务端对安全场景进行安全威胁检测，检测请求携带有检测策略；

结果展示模块1450，用于接收安全威胁情况，对安全威胁情况进行可视化展示。

在一个可能的实施方式中，该检测装置1400还可以包括组件运行模块，该组件运行模块可以包括：

目标组件确定单元，用于响应于组件运行操作，确定所要运行的目标组件；

组件运行请求单元，用于向服务端发送组件运行请求，以使服务端运行目标组件，组件运行请求携带有目标组件对应的目标参数。

在一个可能的实施方式中，该检测装置1400还可以包括模式设置模块，该模式设置模块可以包括：

模式确定单元，用于响应于模式选择操作，确定对安全场景的调度模式；

定时设定单元，用于在调度模式为生产模式时，开启定时器；

定时触发单元，用于按照定时器的定时周期，触发检测操作。

需要说明的是，上述实施例提供的装置，在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成。另外，上述实施例提供的装置与操作端的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

本申请实施例还提供了一种机器学习安全场景检测装置，如图15所示，该检测装置1500可以包括：

请求接收模块1510，用于接收检测请求，检测请求携带有检测策略；

数据获取模块1520，用于从检测策略中获取目标策略参数和各个检测任务；

特征提取模块1530，用于对于每个检测任务，基于检测任务中目标特征数据参数，对检测任务对应的源数据进行特征提取，得到检测任务的目标特征；

算法模块1540，用于基于检测任务的目标特征和检测任务中目标算法参数进行安全威胁检测，得到检测任务的检测结果；

策略模块1550，用于基于目标策略参数对各个检测结果进行分析，得到安全威胁情况；

结果返回模块1560，用于向操作端发送安全威胁情况，以使操作端对安全威胁情况进行可视化展示。

在一个可能的实施方式中，该检测装置1500还可以包括：对象监控模块，用于基于预设安全检测框架按照并行方式持续监控每个对象的行为，得到每个所述对象的行为数据。

在一个可能的实施方式中，每个检测任务中目标特征数据参数均包括所属协议、任务类型、检测方式、转换函数、统计间隔和统计算子，特征提取模块1530可以包括：

数据确定单元，用于对于每个检测任务，将检测任务中目标检测对象的目标行为数据，确定为检测任务的源数据，目标行为数据是指与所属协议和检测方式匹配的行为数据；

数据转换单元，用于基于转换函数对源数据进行数值转换，得到检测任务的目标数据；

特征提取单元，用于按照统计间隔，采用统计算子对目标数据进行统计计算，得到检测任务的目标特征。

在一个可能的实施方式中，每个检测任务中的目标算法参数均包括目标算法、训练数据时间、训练周期、预测周期，则算法模块1540可以包括：

模型训练单元，用于按照训练周期，利用目标算法和训练数据时间内的目标特征进行模型训练，得到安全检测模型；

预测单元，用于按照预测周期，采用安全检测模型进行安全威胁检测，得到检测任务的检测结果。

在一个可能的实施方式中，目标策略参数包括目标策略和白名单参数，策略模块1550可以包括：

结果分析模块，用于利用目标策略对各个检测结果进行分析，以确定安全场景下每个子对象的安全威胁信息；

结果过滤模块，用于基于白名单参数对各个子对象的安全威胁信息进行过滤，得到安全威胁情况。

需要说明的是，上述实施例提供的装置，在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成。另外，上述实施例提供的装置与服务端侧的方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

请参阅图16，其所示为本申请实施例提供的一种操作端的硬件结构示意图，该操作端用于实施上述实施例中提供的操作端侧的机器学习安全场景检测方法。

操作端1 600可以包括RF(Radio Frequency，射频)电路1610、包括有一个或一个以上计算机可读存储介质的存储器1620、输入单元1630、显示单元1640、视频传感器1650、音频电路1660、WiFi(wireless fidelity，无线保真)模块1670、包括有一个或者一个以上处理核心的处理器1680、以及电源160等部件。本领域技术人员可以理解，图16中示出的操作端结构并不构成对操作端的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

RF电路1610可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，交由一个或者一个以上处理器1680处理；另外，将涉及上行的数据发送给基站。通常，RF电路1610包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、LNA(Low Noise Amplifier，低噪声放大器)、双工器等。此外，RF电路1610还可以通过无线通信与网络和其他设备通信。该无线通信可以使用任一通信标准或协议，包括但不限于GSM(Global System of Mobile communication，全球移动通讯系统)、GPRS(General Packet Radio Service，通用分组无线服务)、CDMA(CodeDivision Multiple Access，码分多址)、WCDMA(Wideband Code Division MultipleAccess,宽带码分多址)、LTE(Long Term Evolution,长期演进)、电子邮件、SMS(ShortMessaging Service，短消息服务)等。

存储器1620可用于存储软件程序以及模块，处理器1680通过运行存储在存储器1620的软件程序以及模块，从而执行各种功能应用以及数据处理。存储器1620可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据操作端1600的使用所创建的数据(比如视频数据、电话本等)等。此外，存储器1620可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器1620还可以包括存储器控制器，以提供处理器1680和输入单元1630对存储器1620的访问。

输入单元1630可用于接收输入的数字或字符信息，以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地，输入单元1630可包括图像输入设备1631以及其他输入设备1632。图像输入设备1631可以是摄像头，也可以是光电扫描设备。除了图像输入设备1631，输入单元1630还可以包括其他输入设备1632。具体地，其他输入设备1632可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元1640可用于显示由用户输入的信息或提供给用户的信息以及操作端1600的各种图形用户接口，这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元1640可包括显示面板1641，可选的，可以采用LCD(Liquid CrystalDisplay，液晶显示器)、OLED(Organic Light-Emitting Diode，有机发光二极管)等形式来配置显示面板1641。

操作端1600可包括至少一种视频传感器1650，视频传感器用于获取用户的视频信息。操作端1600还可以包括其它传感器(未示出)，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板1641的亮度，接近传感器可在操作端1600移动到耳边时，关闭显示面板1641和/或背光。作为运动传感器的一种，重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等。至于操作端1600还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

视频电路1660、扬声器1661，传声器1662可提供用户与操作端1600之间的视频接口。音频电路1660可将接收到的音频数据转换后的电信号，传输到扬声器1661，由扬声器1661转换为声音信号输出；另一方面，传声器1662将收集的声音信号转换为电信号，由音频电路1660接收后转换为音频数据，再将音频数据输出处理器1680处理后，经RF电路1610以发送给比如另一操作端，或者将音频数据输出至存储器1620以便进一步处理。音频电路1660还可能包括耳塞插孔，以提供外设耳机与操作端1600的通信。

WiFi属于短距离无线传输技术，操作端1600通过WiFi模块1670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图16示出了WiFi模块1670，但是可以理解的是，其并不属于操作端1600的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器1680是操作端1600的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器1620内的软件程序和/或模块，以及调用存储在存储器1620内的数据，执行操作端1600的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器1680可包括一个或多个处理核心；优选的，处理器1680可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1680中。

操作端1600还包括给各个部件供电的电源160(比如电池)，优选的，电源可以通过电源管理系统与处理器1680逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源160还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。尽管未示出，操作端1600还可以包括蓝牙模块等，在此不再赘述。

具体在本实施例中，操作端1600还包括有存储器，以及一个或者一个以上的程序，其中一个或者一个以上程序存储于存储器中，且经配置以由一个或者一个以上处理器执行。上述一个或者一个以上程序包含用于执行上述方法实施例提供的操作端侧的机器学习安全场景检测方法的指令。

本申请实施例还提供了一种服务端，该服务端包括处理器和存储器，该存储器中存储有至少一条指令、至少一段程序、代码集或指令集，该至少一条指令、该至少一段程序、该代码集或指令集由该处理器加载并执行以实现如上述方法实施例所提供的服务端侧的机器学习安全场景检测方法。

存储器可用于存储软件程序以及模块，处理器通过运行存储在存储器的软件程序以及模块，从而执行各种功能应用以及异常行为主体的检测。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、功能所需的应用程序等；存储数据区可存储根据所述设备的使用所创建的数据等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地，存储器还可以包括存储器控制器，以提供处理器对存储器的访问。

图17是本申请实施例提供的一种服务端的硬件结构框图。如图17所示，该服务端1700可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(Central Processing Units，CPU)1710(处理器1710可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器1730，一个或一个以上存储应用程序1723或数据1722的存储介质1720(例如一个或一个以上海量存储设备)。其中，存储器1730和存储介质1720可以是短暂存储或持久存储。存储在存储介质1720的程序可以包括一个或一个以上模块，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1710可以设置为与存储介质1720通信，在服务端1700上执行存储介质1720中的一系列指令操作。服务器1700还可以包括一个或一个以上电源1760，一个或一个以上有线或无线网络接口1750，一个或一个以上输入输出接口1740，和/或，一个或一个以上操作系统1721，例如Windows ServerTM，Mac OS XTM，UnixTM,LinuxTM，FreeBSDTM等等。

输入输出接口1740可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器1700的通信供应商提供的无线网络。在一个实例中，输入输出接口1740包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，输入输出接口1740可以为射频(RadioFrequency，RF)模块，其用于通过无线方式与互联网进行通讯。

本领域普通技术人员可以理解，图17所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，服务端1700还可包括比图17中所示更多或者更少的组件，或者具有与图17所示不同的配置。

本申请实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。操作端的处理器从计算机可读存储介质读取该计算机指令，操作端的处理器执行该计算机指令，使得操作端执行上述方法实施例中操作端侧的机器学习安全场景检测方法；或者，服务端的处理器从计算机可读存储介质读取该计算机指令，服务端的处理器执行该计算机指令，使得服务端执行上述方法实施例中服务端侧的机器学习安全场景检测方法；

本申请实施例还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器，上述指令可由操作端的处理器执行以完成上述方法实施例中操作端侧的各个步骤，或者上述指令由服务端的处理器执行以完成上述方法实施例中服务端侧的各个步骤。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种机器学习安全场景检测方法，其特征在于，所述方法包括：

显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；

响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；

响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；

向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；

接收安全威胁情况，对所述安全威胁情况进行可视化展示。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

响应于组件运行操作，确定所要运行的目标组件；

向服务端发送组件运行请求，以使所述服务端运行所述目标组件，所述组件运行请求携带有所述目标组件对应的目标参数。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

响应于模式选择操作，确定对所述安全场景的调度模式；

在所述调度模式为生产模式时，开启定时器；

按照所述定时器的定时周期，触发所述检测操作。

4.一种机器学习安全场景检测方法，其特征在于，所述方法包括：

接收检测请求，所述检测请求携带有检测策略；

从所述检测策略中获取目标策略参数和各个检测任务；

对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；

基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；

基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；

向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。

5.根据权利要求4所述的方法，其特征在于，在所述对于每个所述检测任务，基于所述检测任务的目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征之前，所述方法还包括：

基于预设安全检测框架按照并行方式持续监控每个对象的行为，得到每个所述对象的行为数据。

6.根据权利要求4所述的方法，其特征在于，所述目标特征数据参数包括所属协议、检测方式、转换函数、统计间隔和统计算子；

所述对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征，包括：

对于每个所述检测任务，将所述检测任务中目标检测对象的目标行为数据，确定为所述检测任务的源数据，所述目标行为数据是指与所述所属协议和所述检测方式匹配的行为数据；

基于所述转换函数对所述源数据进行数值转换，得到所述检测任务的目标数据；

按照所述统计间隔，采用所述统计算子对所述目标数据进行统计计算，得到所述检测任务的目标特征。

7.根据权利要求4所述的方法，其特征在于，所述目标算法参数包括目标算法、训练数据时间、训练周期以及预测周期；

所述基于所述检测任务的目标特征和所述检测任务的目标算法参数进行安全威胁检测，得到所述检测任务的检测结果，包括：

按照所述训练周期，利用所述目标算法和所述训练数据时间内的所述目标特征进行模型训练，得到安全检测模型；

按照所述预测周期，采用所述安全检测模型进行安全威胁检测，得到所述检测任务的检测结果。

8.根据权利要求4所述的方法，其特征在于，所述目标策略参数包括目标策略和白名单参数；

所述基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况，包括：

利用所述目标策略对各个所述检测结果进行分析，以确定所述安全场景下每个子对象的安全威胁信息；

基于所述白名单参数对各个所述子对象的安全威胁信息进行过滤，得到所述安全威胁情况。

9.一种机器学习安全场景检测装置，其特征在于，所述装置包括：

场景编辑模块，用于显示对安全场景的操作界面，所述操作界面中包括特征数据组件集、算法组件集和策略组件集；

逻辑生成模块，用于响应于每个组件关联操作，生成一个检测逻辑，所述组件关联操作是指所述特征数据组件集中目标特征数据组件和所述算法组件集中目标算法组件的关联操作，所述目标特征数据组件与所述目标算法组件相对应；

策略生成模块，用于响应于检测操作，根据各个所述检测逻辑和所述策略组件集中目标策略组件，生成检测策略；

请求发送模块，用于向服务端发送检测请求，以使所述服务端对所述安全场景进行安全威胁检测，所述检测请求携带有所述检测策略；

结果展示模块，用于接收安全威胁情况，对所述安全威胁情况进行可视化展示。

10.一种机器学习安全场景检测装置，其特征在于，所述装置包括：

请求接收模块，用于接收检测请求，所述检测请求携带有检测策略；

数据获取模块，用于从所述检测策略中获取目标策略参数和各个检测任务；

特征提取模块，用于对于每个所述检测任务，基于所述检测任务中目标特征数据参数，对所述检测任务对应的源数据进行特征提取，得到所述检测任务的目标特征；

算法模块，用于基于所述检测任务的目标特征和所述检测任务中目标算法参数进行安全威胁检测，得到所述检测任务的检测结果；

策略模块，用于基于所述目标策略参数对各个所述检测结果进行分析，得到安全威胁情况；

结果返回模块，用于向操作端发送所述安全威胁情况，以使所述操作端对所述安全威胁情况进行可视化展示。

Images