CN116340934A - 终端异常行为检测方法、装置、设备及存储介质 - Google Patents

终端异常行为检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116340934A
CN116340934A CN202111536557.3A CN202111536557A CN116340934A CN 116340934 A CN116340934 A CN 116340934A CN 202111536557 A CN202111536557 A CN 202111536557A CN 116340934 A CN116340934 A CN 116340934A
Authority
CN
China
Prior art keywords
data
behavior
terminal
abnormal
behavior data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111536557.3A
Other languages
English (en)
Inventor
邹贵强
邢超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
360 Digital Security Technology Group Co Ltd
Original Assignee
360 Digital Security Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 360 Digital Security Technology Group Co Ltd filed Critical 360 Digital Security Technology Group Co Ltd
Priority to CN202111536557.3A priority Critical patent/CN116340934A/zh
Priority to PCT/CN2021/143645 priority patent/WO2023108833A1/zh
Publication of CN116340934A publication Critical patent/CN116340934A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/02Input arrangements using manually operated switches, e.g. using keyboards or dials
    • G06F3/023Arrangements for converting discrete items of information into a coded form, e.g. arrangements for interpreting keyboard generated codes as alphanumeric codes, operand codes or instruction codes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Probability & Statistics with Applications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及网络技术领域,公开了一种终端异常行为检测方法、装置、设备及存储介质,所述方法包括:在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;获取在预设时间段内记录所述终端的历史行为数据;将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;根据所述数据差异值判断所述当前行为数据是否异常。通过利用预设分类训练器确定当前行为数据与历史行为数据的数据差异值,根据数据差异值判断当前行为数据是否异常,从而有效识别出明显的异常行为,提高了终端安全检测的时效性。

Description

终端异常行为检测方法、装置、设备及存储介质
技术领域
本发明涉及网络技术领域,尤其涉及一种终端异常行为检测方法、装置、设备及存储介质。
背景技术
随着通信网与互联网的不断发展,保护终端安全性变得极为重要,目前,终端行为异常检测主要有情报结合、大数据统计、机器学习等方法,而情报结合依赖情报的及时性,大数据统计依赖终端数量大,机器学习只能对已知异常行为进行训练,未知异常有效率未知,对于单个终端而言,导致无法快速发现明显的异常。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种终端异常行为检测方法、装置、设备及存储介质,旨在解决现有技术无法有效识别出明显的异常行为的技术问题。
为实现上述目的,本发明提供了一种终端异常行为检测方法,所述方法包括以下步骤:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取在预设时间段内记录所述终端的历史行为数据;
将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
根据所述数据差异值判断所述当前行为数据是否异常。
可选地,所述在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据,包括:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;
解析所述当前日志数据,生成当前行为数据。
可选地,所述获取在预设时间段内记录所述终端的历史行为数据,包括:
获取在预设时间段内记录所述终端的历史日志数据;
解析所述历史日志数据,生成历史行为数据。
可选地,所述解析所述历史日志数据,生成历史行为数据,包括:
解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;
根据所述属性数据生成每条日志数据对应的历史行为数据。
可选地,所述将所述当前行为数据与所述历史行为数据进行对比,根据对比结构确定数据差异值,包括:
通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
可选地,通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值,包括:
根据历史用户行为数据进行模型训练以建立行为预测模型;
将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;
根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
可选地,所述根据历史行为数据进行模型训练以建立行为预测模型,包括:
根据历史行为数据生成训练样本集合;
利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
可选地,所述利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型,包括:
获取所述训练样本集合中每个训练样本在属性数据下的特征值;
根据所述训练样本集合中所有训练样本的特征值生成训练数据;
利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型。
可选地,所述利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型,包括:
利用预设分类训练器确定所述训练数据的先验概率分布,并统计各种状态的概率后验分布,从而训练出所述训练数据的行为预测模型。
可选地,所述根据所述数据差异值判断所述当前行为数据是否异常,包括:
判断所述数据差异值是否大于预设差异值;
若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据。
可选地,所述若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据,包括:
在确定所述当前行为数据为异常行为数据结果时,对所述终端执行风险预警策略。
此外,为实现上述目的,本发明还提出一种终端异常行为检测装置,所述终端异常行为检测装置包括:
确定模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取模块,用于获取在预设时间段内记录所述终端的历史行为数据;
比较模块,用于根据所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
判断模块,用于根据所述数据差异值判断所述当前行为数据是否异常。
可选地,所述确定模块,还用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;解析所述当前日志数据,生成当前行为数据。
可选地,所述获取模块,还用于获取在预设时间段内记录所述终端的历史日志数据;解析所述历史日志数据,生成历史行为数据。
可选地,所述比较模块,还用于通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
可选地,所述比较模块,还用于根据历史用户行为数据进行模型训练以建立行为预测模型;将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
可选地,所述比较模块,还用于根据历史行为数据生成训练样本集合;利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
此外,为实现上述目的,本发明还提出一种终端异常行为检测设备,所述终端异常行为检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端异常行为检测程序,所述终端异常行为检测程序配置为实现如上文所述的终端异常行为检测方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有终端异常行为检测程序,所述终端异常行为检测程序被处理器执行时实现如上文所述的终端异常行为检测方法的步骤。
本发明通过在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;获取在预设时间段内记录所述终端的历史行为数据;将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;根据所述数据差异值判断所述当前行为数据是否异常。通过利用预设分类训练器确定当前行为数据与历史行为数据的数据差异值,根据数据差异值判断当前行为数据是否异常,从而有效识别出明显的异常行为,提高了终端安全检测的时效性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端异常行为检测设备的结构示意图;
图2为本发明终端异常行为检测方法第一实施例的流程示意图;
图3为本发明终端异常行为检测方法第二实施例的流程示意图;
图4为本发明终端异常行为检测方法第三实施例的流程示意图;
图5为本发明终端异常行为检测装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的终端异常行为检测设备结构示意图。
如图1所示,该终端异常行为检测设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,Wi-Fi)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对终端异常行为检测设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及终端异常行为检测程序。
在图1所示的终端异常行为检测设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明终端异常行为检测设备中的处理器1001、存储器1005可以设置在终端异常行为检测设备中,所述终端异常行为检测设备通过处理器1001调用存储器1005中存储的终端异常行为检测程序,并执行本发明实施例提供的终端异常行为检测方法。
本发明实施例提供了一种终端异常行为检测方法,参照图2,图2为本发明一种终端异常行为检测方法第一实施例的流程示意图。
本实施例中,所述终端异常行为检测方法包括以下步骤:
步骤S10:在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据。
需要说明的是,本实施例的执行主体可为终端异常行为检测设备,还可为其他可实现相同或相似功能的设备,本实施例对此不作限制,在本实施例中,以终端异常行为检测设备为例进行说明。
应当理解的是,异常行为检测指令可以为用户根据实际使用需求在相关功能操作界面触发的异常行为检测指令,终端异常行为检测设备接收到异常行为检测指令时,响应异常行为检测指令并对终端进行行为检查,从而记录当前行为数据,其中,行为数据可以为用户在终端上所做的操作及各个操作的操作信息,例如,按键操作信息、开机操作信息或者锁屏操作信息等任意一项或多项,终端可以是手机、笔记本或者平板电脑等支持应用程序运行的终端设备,本实施例对此不作限制,从而满足用户的使用需求,确保系统性能稳定。
步骤S20:获取在预设时间段内记录所述终端的历史行为数据。
应当理解的是,预设时间段可以为本领域技术人员设置,本实施例对此不作限制,该预设时间段是在确定当前行为数据执行前,所对应的时间段,因此,为了便于对终端异常行为数据进行分析,终端异常行为检测设备会记录预设时间段内终端执行的行为数据,例如,记录一个月内的终端行为数据或记录两个月天内的终端行为数据等,并作为历史行为数据。
步骤S30:根据所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
需要说明的是,根据记录的历史时刻对应的历史行为数据,预测出本来应该为正常行为的预测行为数据,通过将预测行为数据与当前行为数据进行对比,根据两者的比对结果确定该行为差异的属性类型。通过对所有属性类型进行检测,进而筛选出当前行为数据对应的数据差异值,其中数据差异值可以为当前行为数据对应的异常行为数据。
应当理解的是,例如,通过历史行为数据建立行为预测模型,根据行为预测模型对当前行为数据进行预测,预测得到的预测行为数据是当前时间段用户进行锁屏操作的次数为3次,而当前行为数据中进行锁屏操作的次数为50次,则将预测行为数据与当前行为数据进行对比,从而确定的数据差异值为锁屏操作的异常操作次数为47次。
步骤S40:根据所述数据差异值判断所述当前行为数据是否异常。
易于理解的是,通过判断数据差异值是否大于预设差异值,经过判断若数据差异值大于预设差异值,则可以确定当前行为数据为异常行为数据,若数据差异值小于等于预设差异值,则可以确定当前行为数据不为异常行为数据,从而有效识别出差异行为,其中,预设差异值可以为本领域技术人员设置,本实施例对此不作限制,例如,预设差异值为10,通过对比得到的数据差异值为锁屏操作的异常操作次数为47次,则可以判断当前行为数据是异常行为。
本实施例通过在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;获取在预设时间段内记录所述终端的历史行为数据;将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;根据所述数据差异值判断所述当前行为数据是否异常。通过利用预设分类训练器确定当前行为数据与历史行为数据的数据差异值,根据数据差异值判断当前行为数据是否异常,从而有效识别出明显的异常行为,提高了终端安全检测的时效性。
参考图3,图3为本发明一种终端异常行为检测方法第二实施例的流程示意图。
基于上述第一实施例,本实施例终端异常行为检测方法在所述步骤S10,包括:
步骤S101:在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据。
应当理解的是,当终端被用户访问时,会自动产生一个与该终端被访问时所对应的行为日志,因此,终端异常行为检测设备接收到异常行为检测指令时,对终端进行行为检查,从而终端记录用户的行为数据,并通过日志采集工具对用户的行为日志数据记录行为数据,得到当前日志数据,日志数据实际上是一种按照时间顺序存储的事件或行为的记录,日志数据通常包括行为主体、发生时间、行为内容等,并将当前日志数据反馈给终端异常行为检测设备,例如:用户在终端中的按键操作、按键操作是否成功、按键操作时间等,因此,终端在运行过程中会实时生成日志信息,从而可以有效识别当前行为数据。
步骤S102:解析所述当前日志数据,生成当前行为数据。
易于理解的是,日志数据的解析规则可根据实际情况进行设置,本实施例对此不作限制,由于每条日志数据对应一个网络行为内容,因此,通过解析当前日志数据中的每条日志数据,确定每条日志数据对应的当前行为的属性数据,由于每个网络行为内容可以有其属性数据来标识,根据当前行为的属性数据生成当前行为数据,其中,属性数据可以为具体行为内容对应的行为操作类型、行为操作时间等,本实施例对此不作限制。
进一步的,所述步骤S20,包括:
步骤S201:获取在预设时间段内记录所述终端的历史日志数据。
需要说明的是,历史日志数据可以包括终端在预设时间段内运行过程中保存的日志数据,比如一个月内的终端所有日志数据或记录两个月天内的终端所有日志数据,便于有效识别历史行为数据。
步骤S202:解析所述历史日志数据,生成历史行为数据。
应当理解的是,通过日志数据的解析规则来解析终端中的历史日志数据的日志数据,从而根据解析的日志数据生成历史行为数据。
进一步的,所述步骤S202,包括:
解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;根据所述属性数据生成每条日志数据对应的历史行为数据。
应当理解的是,通过日志数据的解析规则来解析历史日志数据中的每条日志数据,可以得到解析后的每条日志数据对应的历史行为的属性数据,由于每个网络行为内容可以有其属性数据来标识,因此,可以根据历史行为的属性数据生成每条日志数据对应的行为数据,从而汇总行为数据得到对应的历史行为数据。
本实施例通过在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;解析所述当前日志数据,生成当前行为数据;获取在预设时间段内记录所述终端的历史日志数据;解析所述历史日志数据,生成历史行为数据;将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;根据所述数据差异值判断所述当前行为数据是否异常。通过利用预设分类训练器确定当前行为数据与历史行为数据的数据差异值,根据数据差异值判断当前行为数据是否异常,从而有效识别出明显的异常行为,提高了终端安全检测的准确性。
参考图4,图4为本发明一种终端异常行为检测方法第三实施例的流程示意图。
基于上述终端异常行为检测实施例,所述步骤S30,包括:
步骤S301:通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
应当理解的是,行为预测模型可以为通过用户的历史行为数据经过训练得到的,利用行为预测模型对当前行为数据进行检查,可以得到预测行为数据,从而将预测行为数据与当前行为数据进行比较,并根据比较结果确定两者不同对应的数据差异值,提升了异常行为检测的准确度。
进一步的,所述步骤S301,包括:
根据历史用户行为数据进行模型训练以建立行为预测模型;将当前行为数据输入至所述行为预测中,确定当前行为数据对应的预测行为数据;根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
应当理解的是,通过随机抽取历史行为数据中的正常样本和异常样本,构成训练样本集合,其中,训练样本集合可以有多种存在形式,训练样本集合包括大量的行为数据,在每个行为数据中插入标签,标签用于标识该行为数据的行为属性数据,例如,训练样本可以为行为数据、行为操作时间等,利用预设分类训练器对训练样本集合进行分类训练,即构成行为预测模型,其中,预设分类训练器可以为朴素贝叶斯分类器等,朴素贝叶斯分类器相对于其他分类器相比,能够简单有效实现对该行为数据处理的优化,降低了数据优化的复杂度,本实施例对此不作限制,然后将当前行为数据导入行为预测模型中进行识别,可以得到当前行为数据对应的预测行为数据,根据两者的比对结果确定该行为差异数据的属性类型,通过对所有属性类型进行检测,进而筛选出行为对应的数据差异值。
进一步的,根据历史行为数据进行模型训练以建立行为预测模型,包括:
根据历史行为数据生成训练样本集合;利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
易于理解的是,通过随机抽取历史行为数据中的正常样本和异常样本,构成训练样本集合,并利用朴素贝叶斯分类器对训练样本集合进行分类训练,得到行为预测模型,从而保证预测可以有效地进行开展。
进一步的,利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型,包括:
获取所述训练样本集合中每个训练样本在属性数据下的特征值;根据所述训练样本集合中所有训练样本的特征值生成训练数据;利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型。
可以理解的是,特征值是根据能够衡量行为数据为正常样本和异常样本的特征来确定。通过分析正常样本或者异常样本的相关特征,并将能够反映订单是否属于正常样本或者异常样本的特征属性。根据该特征属性,可以针对每个训练样本所对应的训练样本集合提取所需数据,并经过分析、计算或统计得到该训练样本的特征值,每个训练样本的特征值可以对应生成一个训练数据,每个训练数据可以包含该训练样本的特征值和相应的属性数据,从而提高数据处理的自动化。
进一步的,利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型,包括:
利用预设分类训练器确定所述训练数据的先验概率分布,并统计所述训练数据的概率后验分布,从而训练出所述训练数据的行为预测模型。
应当理解的是,在具体实施过程中可以利用朴素贝叶斯分类器实现数据处理规则,其中,朴素贝叶斯分类器的特点是结合了先验概率和后验概率,即避免了只使用先验概率的主观偏见,同时也避免了单独使用样本信息的过拟合现象,并且朴素贝叶斯分类算法在数据集较大的情况下表现出较高的准确率,同时算法本身也比较简单。因此,通过计算所述正常样本的先验概率分布和所述异常样本各个元素信息的后验概率分布,从而建立行为预测模型,从而得到影响行为判断可靠性的关键要素,确保行为异常预测无误。
进一步的,所述步骤S40,还包括:
步骤S401:判断所述数据差异值是否大于预设差异值。
应当理解的是,预设差异值可以为本领域技术人员设置,本实施例对此不作限制,通过在终端异常行为检测系统中引入了行为预测的概念,即在现有的系统软硬件平台的基础上,加入了行为预测模型,建立了终端异常行为检测系统。该系统以行为数据当前采集数据及历史行为数据为输入,基于朴素贝叶斯比较器对历史行为数据进行训练,并将输出的预测行为数据与当前行为数据进行比较,将比较结果作为输出,以数据差异作为反馈信息,从而可以进一步判断数据差异值是否大于设定的预设差异值。
步骤S402:若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据。
可以理解的是,在数据差异值大于预设差异值,则确定所述当前行为数据为异常行为数据。在数据差异值小于等于预设差异值,则确定所述当前行为数据为正常行为数据。
进一步的,所述步骤S40之后,还包括:
步骤S50:在确定所述当前行为数据为异常行为数据结果时,对所述终端执行风险预警策略。
易于理解的是,通过对当前行为数据进行异常行为检测后,在确定当前行为数据为异常行为数据结果时,终端异常行为检测设备可以对终端执行风险预警策略,其中,风险预警策略可以为向终端发送预警提示信息,或者对终端用户进行身份验证等,本实施例对此不作限制,从而能够对正在进行的异常行为进行有效的管控,及时通知终端进行响应。
本实施例通过在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;获取在预设时间段内记录所述终端的历史行为数据;通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;判断所述数据差异值是否大于预设差异值;若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据;在确定所述当前行为数据为异常行为数据结果时,对所述终端执行风险预警策略,通过利用预设分类训练器确定当前行为数据与历史行为数据的数据差异值,根据数据差异值判断当前行为数据是否异常,从而有效识别出明显的异常行为,提高了终端安全检测的时效性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有终端异常行为检测程序,所述终端异常行为检测程序被处理器执行时实现如上文所述的终端异常行为检测方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
参照图5,图5为本发明终端异常行为检测装置第一实施例的结构框图。
如图5所示,本发明实施例提出的终端异常行为检测装置包括:
确定模块10,用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据。
应当理解的是,异常行为检测指令可以为用户根据实际使用需求在相关功能操作界面触发的异常行为检测指令,终端异常行为检测设备接收到异常行为检测指令时,响应异常行为检测指令并对终端进行行为检查,从而记录当前行为数据,其中,行为数据可以为用户在终端上所做的操作及各个操作的操作信息,例如,按键操作信息、开机操作信息或者锁屏操作信息等任意一项或多项,终端可以是手机、笔记本或者平板电脑等支持应用程序运行的终端设备,本实施例对此不作限制,从而满足用户的使用需求,确保系统性能稳定。
获取模块20,用于获取在预设时间段内记录所述终端的历史行为数据。
应当理解的是,预设时间段可以为本领域技术人员设置,本实施例对此不作限制,该预设时间段是在确定当前行为数据执行前,所对应的时间段,因此,为了便于对终端异常行为数据进行分析,终端异常行为检测设备会记录预设时间段内记录终端执行的行为数据,例如,记录一个月内的终端行为数据或记录两个月天内的终端行为数据等,作为历史行为数据。
比较模块30,用于根据所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
需要说明的是,根据记录的历史时刻对应的历史行为数据,预测出本来应该为正常行为的预测行为数据,通过将预测行为数据与当前行为数据进行对比,根据两者的比对结果确定该行为差异的属性类型。通过对所有属性类型进行异常检测,进而筛选出行为对应的数据差异值,其中数据差异值可以为当前行为数据对应的异常行为数据。
应当理解的是,例如,通过历史行为数据建立行为预测模型,根据行为预测模型对当前行为数据进行预测,预测得到的预测行为数据是当前时间段用户进行锁屏操作的次数为3次,而当前行为数据中进行锁屏操作的次数为50次,则将预测行为数据与当前行为数据进行对比,从而确定的数据差异值为锁屏操作的异常操作次数为47次。
判断模块40,用于根据所述数据差异值判断所述当前行为数据是否异常。
易于理解的是,通过判断数据差异值是否大于预设差异值,若所述数据差异值大于预设差异值,则确定当前行为数据为异常行为数据,从而有效识别出差异行为,其中,预设差异值可以为本领域技术人员设置,本实施例对此不作限制,例如,预设差异值为10,通过对比得到的数据差异值为锁屏操作的异常操作次数为47次,则可以判断当前行为数据是异常行为。
在一实施例中,所述确定模块10,还用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;解析所述当前日志数据,生成当前行为数据。
在一实施例中,所述获取模块20,还用于获取在预设时间段内记录所述终端的历史日志数据;解析所述历史日志数据,生成历史行为数据。
在一实施例中,所述获取模块20,还用于解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;根据所述属性数据生成每条日志数据对应的历史行为数据。
在一实施例中,所述比较模块30,还用于通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
在一实施例中,所述比较模块30,还用于根据历史用户行为数据进行模型训练以建立行为预测模型;将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
在一实施例中,所述比较模块30,还用于根据历史行为数据生成训练样本集合;利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
在一实施例中,所述比较模块30,还用于获取所述训练样本集合中每个训练样本在属性数据下的特征值;根据所述训练样本集合中所有训练样本的特征值生成训练数据;利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型。
在一实施例中,所述比较模块30,还用于利用预设分类训练器确定所述训练数据的先验概率分布,并统计各种状态的概率后验分布,从而训练出所述训练数据的行为预测模型。
在一实施例中,所述判断模块40,还用于判断所述数据差异值是否大于预设差异值;若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据。
在一实施例中,所述判断模块40,还用于在确定所述当前行为数据为异常行为数据结果时,对所述终端执行风险预警策略。
在本发明所述终端异常行为检测装置的其他实施例或具体实现方法可参照上述各方法实施例,此处不再赘述。
应当理解的是,以上仅为举例说明,对本发明的技术方案并不构成任何限定,在具体应用中,本领域的技术人员可以根据需要进行设置,本发明对此不做限制。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的终端异常行为检测方法,此处不再赘述。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明公开了A1、一种终端异常行为检测方法,所述终端异常行为检测方法包括:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取在预设时间段内记录所述终端的历史行为数据;
将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
根据所述数据差异值判断所述当前行为数据是否异常。
A2、如A1所述的终端异常行为检测方法,所述在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据,包括:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;
解析所述当前日志数据,生成当前行为数据。
A3、如A1所述的终端异常行为检测方法,所述获取在预设时间段内记录所述终端的历史行为数据,包括:
获取在预设时间段内记录所述终端的历史日志数据;
解析所述历史日志数据,生成历史行为数据。
A4、如A3所述的终端异常行为检测方法,所述解析所述历史日志数据,生成历史行为数据,包括:
解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;
根据所述属性数据生成每条日志数据对应的历史行为数据。
A5、如A1所述的终端异常行为检测方法,所述将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值,包括:
通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
A6、如A5所述的终端异常行为检测方法,通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值,包括:
根据历史用户行为数据进行模型训练以建立行为预测模型;
将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;
根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
A7、如A6所述的终端异常行为检测方法,所述根据历史行为数据进行模型训练以建立行为预测模型,包括:
根据历史行为数据生成训练样本集合;
利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
A8、如A7所述的终端异常行为检测方法,所述利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型,包括:
获取所述训练样本集合中每个训练样本在属性数据下的特征值;
根据所述训练样本集合中所有训练样本的特征值生成训练数据;
利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型。
A9、如A8所述的终端异常行为检测方法,所述利用预设分类训练器对所述训练数据进行分类训练,得到行为预测模型,包括:
利用预设分类训练器确定所述训练数据的先验概率分布,并统计各种状态的概率后验分布,从而训练出所述训练数据的行为预测模型。
A10、如A1-A9中任一项所述的终端异常行为检测方法,所述根据所述数据差异值判断所述当前行为数据是否异常,包括:
判断所述数据差异值是否大于预设差异值;
若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据。
A11、如A10所述的终端异常行为检测方法,所述若所述数据差异值大于所述预设差异值,则确定所述当前行为数据为异常行为数据,包括:
在确定所述当前行为数据为异常行为数据结果时,对所述终端执行风险预警策略。
本发明还公开了B12、一种终端异常行为检测装置,所述终端异常行为检测装置包括:
确定模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取模块,用于获取在预设时间段内记录所述终端的历史行为数据;
比较模块,用于根据所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
判断模块,用于根据所述数据差异值判断所述当前行为数据是否异常。
B13、如B12所述的终端异常行为检测装置,所述确定模块,还用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;解析所述当前日志数据,生成当前行为数据。
B14、如B12所述的终端异常行为检测装置,所述获取模块,还用于获取在预设时间段内记录所述终端的历史日志数据;解析所述历史日志数据,生成历史行为数据。
B15、如B14所述的终端异常行为检测装置,所述获取模块,还用于解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;根据所述属性数据生成每条日志数据对应的历史行为数据。
B16、如B12所述的终端异常行为检测装置,所述比较模块,还用于通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
B17、如B16所述的终端异常行为检测装置,其特征在于,所述比较模块,还用于根据历史用户行为数据进行模型训练以建立行为预测模型;将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
B18、如B17所述的终端异常行为检测装置,所述比较模块,还用于根据历史行为数据生成训练样本集合;利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
本发明还公开了C19、一种终端异常行为检测设备,所述终端异常行为检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端异常行为检测程序,所述终端异常行为检测程序配置为实现如上所述的终端异常行为检测方法。
本发明还公开了D20、一种存储介质,所述存储介质上存储有终端异常行为检测程序,所述终端异常行为检测程序被处理器执行时实现如上所述的终端异常行为检测方法。

Claims (10)

1.一种终端异常行为检测方法,其特征在于,所述终端异常行为检测方法包括:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取在预设时间段内记录所述终端的历史行为数据;
将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
根据所述数据差异值判断所述当前行为数据是否异常。
2.如权利要求1所述的终端异常行为检测方法,其特征在于,所述在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据,包括:
在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,获取所述终端发送的当前日志数据;
解析所述当前日志数据,生成当前行为数据。
3.如权利要求1所述的终端异常行为检测方法,其特征在于,所述获取在预设时间段内记录所述终端的历史行为数据,包括:
获取在预设时间段内记录所述终端的历史日志数据;
解析所述历史日志数据,生成历史行为数据。
4.如权利要求3所述的终端异常行为检测方法,其特征在于,所述解析所述历史日志数据,生成历史行为数据,包括:
解析所述历史日志数据中的每条日志数据,确定每条日志数据对应的历史行为的属性数据;
根据所述属性数据生成每条日志数据对应的历史行为数据。
5.如权利要求1所述的终端异常行为检测方法,其特征在于,所述将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值,包括:
通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值。
6.如权利要求5所述的终端异常行为检测方法,其特征在于,通过行为预测模型将所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值,包括:
根据历史用户行为数据进行模型训练以建立行为预测模型;
将当前行为数据输入至所述行为预测模型中,确定当前行为数据对应的预测行为数据;
根据所述当前行为数据以及所述预测行为数据进行对比,根据对比结果确定数据差异值。
7.如权利要求6所述的终端异常行为检测方法,其特征在于,所述根据历史行为数据进行模型训练以建立行为预测模型,包括:
根据历史行为数据生成训练样本集合;
利用预设分类训练器对所述训练样本集合进行分类训练,得到行为预测模型。
8.一种终端异常行为检测装置,其特征在于,所述终端异常行为检测装置包括:
确定模块,用于在接收到异常行为检测指令时,根据所述异常行为检测指令对终端进行行为检查,确定当前行为数据;
获取模块,用于获取在预设时间段内记录所述终端的历史行为数据;
比较模块,用于根据所述当前行为数据与所述历史行为数据进行对比,根据对比结果确定数据差异值;
判断模块,用于根据所述数据差异值判断所述当前行为数据是否异常。
9.一种终端异常行为检测设备,其特征在于,所述终端异常行为检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的终端异常行为检测程序,所述终端异常行为检测程序配置为实现如权利要求1至7中任一项所述的终端异常行为检测方法。
10.一种存储介质,其特征在于,所述存储介质上存储有终端异常行为检测程序,所述终端异常行为检测程序被处理器执行时实现如权利要求1至7任一项所述的终端异常行为检测方法。
CN202111536557.3A 2021-12-15 2021-12-15 终端异常行为检测方法、装置、设备及存储介质 Pending CN116340934A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111536557.3A CN116340934A (zh) 2021-12-15 2021-12-15 终端异常行为检测方法、装置、设备及存储介质
PCT/CN2021/143645 WO2023108833A1 (zh) 2021-12-15 2021-12-31 终端异常行为检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111536557.3A CN116340934A (zh) 2021-12-15 2021-12-15 终端异常行为检测方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116340934A true CN116340934A (zh) 2023-06-27

Family

ID=86775091

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111536557.3A Pending CN116340934A (zh) 2021-12-15 2021-12-15 终端异常行为检测方法、装置、设备及存储介质

Country Status (2)

Country Link
CN (1) CN116340934A (zh)
WO (1) WO2023108833A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118094532A (zh) * 2024-04-29 2024-05-28 曙光信息产业(北京)有限公司 一种处理存储硬件智能防护方法
CN118094532B (zh) * 2024-04-29 2024-07-09 曙光信息产业(北京)有限公司 一种处理存储硬件智能防护方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117336055A (zh) * 2023-10-08 2024-01-02 深圳市马博士网络科技有限公司 一种网络异常行为检测方法、装置、电子设备及存储介质
CN117221435B (zh) * 2023-11-09 2024-01-12 万道智控信息技术有限公司 基于手机柜的手机安全性能检测方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10129277B1 (en) * 2015-05-05 2018-11-13 F5 Networks, Inc. Methods for detecting malicious network traffic and devices thereof
CN108182000A (zh) * 2017-12-25 2018-06-19 科大讯飞股份有限公司 键盘输入检测方法及装置、存储介质、电子设备
CN112989332B (zh) * 2021-04-08 2024-06-11 北京安天网络安全技术有限公司 一种异常用户行为检测方法和装置
CN113609184A (zh) * 2021-07-13 2021-11-05 中国银行股份有限公司 一种异常操作的预警方法、装置及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118094532A (zh) * 2024-04-29 2024-05-28 曙光信息产业(北京)有限公司 一种处理存储硬件智能防护方法
CN118094532B (zh) * 2024-04-29 2024-07-09 曙光信息产业(北京)有限公司 一种处理存储硬件智能防护方法

Also Published As

Publication number Publication date
WO2023108833A1 (zh) 2023-06-22

Similar Documents

Publication Publication Date Title
CN110399925B (zh) 账号的风险识别方法、装置及存储介质
CN109284269B (zh) 异常日志分析方法、装置、存储介质及服务器
Guerrouj et al. The influence of app churn on app success and stackoverflow discussions
US20110066908A1 (en) Similarity detection for error reports
US9378015B2 (en) Predicting defects in code
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
CN107329894B (zh) 应用程序系统测试方法、装置及电子设备
CN116340934A (zh) 终端异常行为检测方法、装置、设备及存储介质
CN112989332B (zh) 一种异常用户行为检测方法和装置
CN113242218A (zh) 一种网络安全监控方法及系统
CN113051180A (zh) 测试任务的监测方法、装置、设备及存储介质
CN115952081A (zh) 一种软件测试方法、装置、存储介质及设备
Saraf et al. Modelling reliability growth for multi‐version open source software considering varied testing and debugging factors
CN114398465A (zh) 互联网服务平台的异常处理方法、装置和计算机设备
KR102266416B1 (ko) 장애 예측 방법, 그리고 이를 구현하기 위한 장치
CN110704614B (zh) 对应用中的用户群类型进行预测的信息处理方法及装置
CN113656391A (zh) 数据检测方法及装置、存储介质及电子设备
CN113515684A (zh) 一种异常数据检测方法及装置
CN113094709B (zh) 风险应用的检测方法、装置和服务器
CN111651753A (zh) 用户行为分析系统及方法
CN113778836B (zh) 云原生应用健康监测方法、装置、设备与可读存储介质
CN114401494B (zh) 短消息下发异常检测方法、装置、计算机设备及存储介质
CN114880637B (zh) 账户风险的验证方法、装置、计算机设备和存储介质
US11625318B2 (en) System and method for identifying software behavior
CN114756401B (zh) 基于日志的异常节点检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination