CN116992439A - 一种用户行为习惯模型确定方法及装置、设备及介质 - Google Patents

一种用户行为习惯模型确定方法及装置、设备及介质 Download PDF

Info

Publication number
CN116992439A
CN116992439A CN202311268168.6A CN202311268168A CN116992439A CN 116992439 A CN116992439 A CN 116992439A CN 202311268168 A CN202311268168 A CN 202311268168A CN 116992439 A CN116992439 A CN 116992439A
Authority
CN
China
Prior art keywords
behavior
target
semantic feature
semantic
behavior habit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311268168.6A
Other languages
English (en)
Other versions
CN116992439B (zh
Inventor
李丹
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202311268168.6A priority Critical patent/CN116992439B/zh
Publication of CN116992439A publication Critical patent/CN116992439A/zh
Application granted granted Critical
Publication of CN116992439B publication Critical patent/CN116992439B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种用户行为习惯模型确定方法及装置、设备及介质,涉及安全检测领域,该方法包括:获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识列表;确定若干第一行为习惯信息;确定若干第二行为习惯信息;根据语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定对应的用户行为习惯模型。本发明通过对目标设备的不同操作用户的操作行为进行统计分析,分别得到每一操作用户对应的第一行为习惯信息和第二行为习惯信息,进而确定出每一操作用户对应的用户行为习惯模型,通过每一用户行为习惯模型,可以对目标设备的操作行为进行检测,确定对应的被APT攻击的目标文件,以提高目标文件的查找效率和精准度。

Description

一种用户行为习惯模型确定方法及装置、设备及介质
技术领域
本发明涉及安全检测领域,特别是涉及一种用户行为习惯模型确定方法及装置、设备及介质。
背景技术
目前的APT攻击检测方法是通过对电子设备中的每一文件进行特征分析来实现的,由于电子设备中的文件数量较大,且APT攻击的潜伏期较长,所以,在对文件进行特征分析时,工作量较大,占用系统算力也较多,无法在短时间内对APT攻击进行检测。
发明内容
有鉴于此,本发明提供一种用户行为习惯模型确定方法及装置、设备及介质,至少部分解决现有技术中存在的工作量较大,占用系统算力也较多的技术问题,本发明采用的技术方案为:
根据本申请的一个方面,提供一种用户行为习惯模型确定方法,包括如下步骤:
响应于检测到目标设备受到APT攻击,若目标设备的操作用户的数量为多个,则获取最小持续操作时长;
根据最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;目标时间段的结束时间为当前时间;每一目标子时间段的长度与最小持续操作时长相同;
获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;目标操作行为是目标设备连接的外部设备在每一目标子时间段内在目标设备上执行的操作行为;
分别将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
分别将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
分别根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型。
在本申请的一种示例性实施例中,在确定每一语义特征组对应的用户行为习惯模型之后,方法还包括:
将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果;
根据若干行为检测结果,确定对应的目标文件。
在本申请的一种示例性实施例中,将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果,包括:
将Zi1,Zi2,...,Zik,...,Zif(i)输入每一用户行为习惯模型中,若e个用户行为习惯模型均未输出异常操作行为,则将Zi中不存在异常操作行为确定为行为检测结果;若任一用户行为习惯模型输出至少一个异常操作行为,则将Zi中存在异常操作行为确定为行为检测结果;其中,e为语义特征组的数量。
在本申请的一种示例性实施例中,将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果,包括:
获取目标设备在目标时间段内执行的若干操作行为的行为标识,得到第一行为标识列表P=(P1,P2,...,Ps,...,Pt);其中,s=1,2,...,t;t为目标设备在目标时间段内执行的操作行为的数量;Ps为目标设备在目标时间段内执行的第s个操作行为的行为标识;
将P输入每一用户行为习惯模型中,若e个用户行为习惯模型均未输出异常操作行为,则将P中不存在异常操作行为确定为行为检测结果;若任一用户行为习惯模型输出至少一个异常操作行为,则将P中存在异常操作行为确定为行为检测结果;其中,e为语义特征组的数量。
在本申请的一种示例性实施例中,根据若干行为检测结果,确定对应的目标文件,包括:
若行为检测结果表征存在异常操作行为,则获取每一异常操作行为;
根据每一异常操作行为,确定与该异常操作行为对应的目标文件。
在本申请的一种示例性实施例中,目标时间段通过以下步骤确定:
获取目标设备中受到APT攻击的每一被攻击文件的下载时间,得到下载时间列表u=(u1,u2,...,ua,...,uw);其中,a=1,2,...,w;w为被攻击文件的数量;ua为第a个被攻击文件的下载时间;
将MIN(u)至unow之间的时间段确定为目标时间段;其中,unow为当前时间;MIN()为预设的最小值确定函数。
在本申请的一种示例性实施例中,根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组,包括:
根据语义匹配度,对B1,B2,...,Bi,...,Bn进行聚类,得到e个语义特征组H1,H2,...,Hh,...,He;Hh=(Hh1,Hh2,...,Hhr,...,Hhq(h));其中,h=1,2,...,e;r=1,2,...,q(h);∑e h=1q(h)=n;q(h)为第h个语义特征组中的语义特征的数量;Hh为第h个语义特征组;Hhr为Hh中第r个语义特征。
根据本申请的一个方面,提供一种用户行为习惯模型确定装置,包括:
最小持续操作时长获取模块,用于当检测到目标设备受到APT攻击时,若目标设备的操作用户的数量为多个,获取最小持续操作时长;
目标子时间段获取模块,用于根据最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;目标时间段的结束时间为当前时间;每一目标子时间段的长度与最小持续操作时长相同;
目标行为标识获取模块,用于获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;目标操作行为是目标设备连接的外部设备在每一目标子时间段内在目标设备上执行的操作行为;
第一行为习惯信息确定模块,用于将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
语义特征获取模块,用于根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
语义特征组确定模块,用于根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
第二行为习惯信息确定模块,用于将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
用户行为习惯模型确定模块,用于根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型。
根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的用户行为习惯模型确定方法。
根据本申请的一个方面,提供一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明至少具有以下有益效果:
本发明应用于操作用户为多个的目标设备,当检测到目标设备受到APT攻击时,根据最小持续操作时长,对目标时间段进行拆分,得到若干个目标子时间段,获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识列表,分别将每一行为标识列表输入预设的行为习惯提取模型中,得到第一行为习惯信息列表,根据第一行为习惯信息列表,得到语义特征列表,根据任意两个语义特征之间的语义匹配度,对语义特征列表中的语义特征进行聚类,得到若干语义特征组,分别将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息,根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型,通过对目标设备的不同操作用户的操作行为进行统计分析,分别得到每一操作用户对应的第一行为习惯信息和第二行为习惯信息,进而确定出每一操作用户对应的用户行为习惯模型,通过每一用户行为习惯模型,可以对目标设备的操作行为进行检测,确定对应的被APT攻击的目标文件,以提高目标文件的查找效率和精准度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的用户行为习惯模型确定方法的流程图;
图2为本发明实施例提供的用户行为习惯模型确定装置的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种用户行为习惯模型确定方法,如图1所示,包括如下步骤:
步骤S100、响应于检测到目标设备受到APT攻击,若目标设备的操作用户的数量为多个,则获取最小持续操作时长;
最小持续操作时长为每一操作用户对应的连续操作时的最小单位时长,操作用户为操作时间固定的用户,而非短暂使用或间断使用目标设备的用户。
最小持续操作时长的确定方法的其中一个实施例为:若所有操作用户的每天使用时长均大于等于1小时,则将1小时作为最小持续操作时长;若任一操作用户的每天使用时长均小于1小时,则将1分钟作为最小持续操作时长。如目标设备的操作用户为三个,每个操作用户的每天使用时长为1小时20分钟、3小时、4小时,则最小持续操作时长为1小时;如每个操作用户的每天使用时长为20分钟、3小时、4小时,则最小持续操作时长为1分钟。
步骤S200、根据最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;目标时间段的结束时间为当前时间;每一目标子时间段的长度与最小持续操作时长相同;
将目标时间段根据最小持续操作时长拆分为若干个目标子时间段,以便于后续对每一目标子时间段内的操作行为进行统计处理。
其中,目标时间段通过以下步骤确定:
步骤S201、获取目标设备中受到APT攻击的每一被攻击文件的下载时间,得到下载时间列表u=(u1,u2,...,ua,...,uw);其中,a=1,2,...,w;w为被攻击文件的数量;ua为第a个被攻击文件的下载时间;
步骤S202、将MIN(u)至unow之间的时间段确定为目标时间段;其中,unow为当前时间;MIN()为预设的最小值确定函数。
步骤S300、获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;目标操作行为是目标设备连接的外部设备在每一目标子时间段内在目标设备上执行的操作行为;
目标操作行为是外部设备执行的操作行为,外部设备为鼠标、键盘等信息输入设备,由于要确定用户行为习惯模型,就要先对目标设备的用户行为习惯进行统计,而用户对目标设备执行的行为都是由外部设备所执行的,所以,目标设备中非外部设备执行的操作行为就认为是文件或系统自行执行的行为,有可能为病毒文件所执行的行为。因此,将目标设备连接的外部设备执行的操作行为确定为目标操作行为。
步骤S400、分别将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
每一行为标识列表表示在每一目标子时间段内,目标设备的外部设备所执行的操作行为,即用户在每一目标子时间段内执行的行为。
而由于目标设备的操作用户的数量为多个,所以,要确定出每一操作用户的行为习惯,将每一行为标识列表输入行为习惯提取模型中,得到对应的第一行为习惯信息列表。
步骤S500、根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
对每一第一行为习惯信息列表中的行为习惯信息进行语义特征提取,提取出对应的语义特征,通过分析语义特征,即可获知在该目标子时间段内,目标设备所执行的操作行为类型、操作行为顺序、操作行为时间等信息。
步骤S600、根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
根据语义匹配度,对B1,B2,...,Bi,...,Bn进行聚类,得到e个语义特征组H1,H2,...,Hh,...,He;Hh=(Hh1,Hh2,...,Hhr,...,Hhq(h));其中,h=1,2,...,e;r=1,2,...,q(h);∑e h=1q(h)=n;q(h)为第h个语义特征组中的语义特征的数量;Hh为第h个语义特征组;Hhr为Hh中第r个语义特征。
由于每一操作用户的操作时长是由若干个目标子时间段组成的,而同一操作用户在不同目标子时间段内所执行的行为习惯是相似的,所以,根据语义匹配度,对若干个语义特征进行聚类,得到若干语义特征组,每个语义特征组对应一个操作用户。
步骤S700、分别将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
将H1,H2,...,Hh,...,He对应的所有行为标识列表分别输入行为习惯提取模型中,得到对应的第二行为习惯信息组V1,V2,...,Vh,...,Ve;其中,Vh为Hh对应的第二行为习惯信息组;每一第二行为习惯信息组中包含至少一个第二行为习惯信息;
将同一个操作用户对应的所有行为标识列表输入行为习惯提取模型中,得到对应的第二行为习惯信息,第二行为习惯信息表示对应的操作用户的行为习惯信息。
步骤S800、分别根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型;
根据Vh和Hh对应的q(h)个第一行为习惯信息,确定Hh对应的用户行为习惯模型。
此外,在步骤S800中每一语义特征组对应的用户行为习惯模型的确定方法之后,所述用户行为习惯模型确定方法还包括:
步骤S810、将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果;
将目标设备在目标时间段内执行的若干操作行为对应的行为标识输入每一用户行为习惯模型中,每一用户行为习惯模型根据对应的用户习惯对该若干个操作行为进行检测,得到每一用户行为习惯模型对应的行为检测结果。
步骤S820、根据若干行为检测结果,确定对应的目标文件。
目标文件即受到APT攻击的文件或被种植了恶意病毒的文件。
其中,步骤S810中将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果的第一实施例,包括:
步骤S811、将Zi1,Zi2,...,Zik,...,Zif(i)输入每一用户行为习惯模型中,若e个用户行为习惯模型均未输出异常操作行为,则将Zi中不存在异常操作行为确定为行为检测结果;若任一用户行为习惯模型输出至少一个异常操作行为,则将Zi中存在异常操作行为确定为行为检测结果;其中,e为语义特征组的数量。
若每一用户行为习惯模型输出的行为检测结果均为不存在异常操作行为,则表示目标设备在目标时间段内执行的若干操作行为均为操作用户执行的行为,目标设备在目标时间段内不存在目标文件。
若用户行为习惯模型输出了异常操作行为,则将存在异常操作行为确定为行为检测结果,异常操作行为即不属于所有操作用户所执行的行为,有可能为恶意文件或恶意病毒执行的行为。
其中,步骤S810中将目标设备在目标时间段内执行的若干操作行为的行为标识输入每一用户行为习惯模型中,得到对应的行为检测结果的第二实施例,包括:
步骤S812、获取目标设备在目标时间段内执行的若干操作行为的行为标识,得到第一行为标识列表P=(P1,P2,...,Ps,...,Pt);其中,s=1,2,...,t;t为目标设备在目标时间段内执行的操作行为的数量;Ps为目标设备在目标时间段内执行的第s个操作行为的行为标识;
步骤S813、将P输入每一用户行为习惯模型中,若e个用户行为习惯模型均未输出异常操作行为,则将P中不存在异常操作行为确定为行为检测结果;若任一用户行为习惯模型输出至少一个异常操作行为,则将P中存在异常操作行为确定为行为检测结果;其中,e为语义特征组的数量。
进一步,步骤S820中,根据若干行为检测结果,确定对应的目标文件,包括:
步骤S821、若行为检测结果表征存在异常操作行为,则获取每一异常操作行为;
步骤S822、根据每一异常操作行为,确定与该异常操作行为对应的目标文件。
若存在异常操作行为,则根据异常操作行为,查找到其对应的目标文件,目标文件即执行了异常操作行为的文件,再根据恶意文件检测方法对目标文件进行恶意检测,以确定其是否为恶意文件。
本发明应用于操作用户为多个的目标设备,当检测到目标设备受到APT攻击时,根据最小持续操作时长,对目标时间段进行拆分,得到若干个目标子时间段,获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识列表,分别将每一行为标识列表输入预设的行为习惯提取模型中,得到第一行为习惯信息列表,根据第一行为习惯信息列表,得到语义特征列表,根据任意两个语义特征之间的语义匹配度,对语义特征列表中的语义特征进行聚类,得到若干语义特征组,分别将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息,根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型,通过对目标设备的不同操作用户的操作行为进行统计分析,分别得到每一操作用户对应的第一行为习惯信息和第二行为习惯信息,进而确定出每一操作用户对应的用户行为习惯模型,通过每一用户行为习惯模型,可以对目标设备的操作行为进行检测,确定对应的被APT攻击的目标文件,以提高目标文件的查找效率和精准度。
一种用户行为习惯模型确定装置100,如图2所示,包括:
最小持续操作时长获取模块110,用于当检测到目标设备受到APT攻击时,若目标设备的操作用户的数量为多个,获取最小持续操作时长;
目标子时间段获取模块120,用于根据最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;目标时间段的结束时间为当前时间;每一目标子时间段的长度与最小持续操作时长相同;
目标行为标识获取模块130,用于获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;目标操作行为是目标设备连接的外部设备在每一目标子时间段内在目标设备上执行的操作行为;
第一行为习惯信息确定模块140,用于将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
语义特征获取模块150,用于根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
语义特征组确定模块160,用于根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
第二行为习惯信息确定模块170,用于将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
用户行为习惯模型确定模块180,用于根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种用户行为习惯模型确定方法,其特征在于,所述方法包括如下步骤:
响应于检测到目标设备受到APT攻击,若所述目标设备的操作用户的数量为多个,则获取最小持续操作时长;所述最小持续操作时长为每一操作用户对应的连续操作时的最小单位时长;
根据所述最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;所述目标时间段的结束时间为当前时间;每一所述目标子时间段的长度与所述最小持续操作时长相同;
获取所述目标设备在每一所述目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为所述目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为所述目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为所述目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;所述目标操作行为是所述目标设备连接的外部设备在每一所述目标子时间段内在所述目标设备上执行的操作行为;
分别将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
分别将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
分别根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型。
2.根据权利要求1所述的方法,其特征在于,在确定每一语义特征组对应的用户行为习惯模型之后,所述方法还包括:
将所述目标设备在所述目标时间段内执行的若干操作行为的行为标识输入每一所述用户行为习惯模型中,得到对应的行为检测结果;
根据若干所述行为检测结果,确定对应的目标文件。
3.根据权利要求2所述的方法,其特征在于,所述将所述目标设备在所述目标时间段内执行的若干操作行为的行为标识输入每一所述用户行为习惯模型中,得到对应的行为检测结果,包括:
将Zi1,Zi2,...,Zik,...,Zif(i)输入每一所述用户行为习惯模型中,若e个所述用户行为习惯模型均未输出异常操作行为,则将Zi中不存在异常操作行为确定为行为检测结果;若任一所述用户行为习惯模型输出至少一个异常操作行为,则将Zi中存在异常操作行为确定为行为检测结果;其中,e为所述语义特征组的数量。
4.根据权利要求2所述的方法,其特征在于,所述将所述目标设备在所述目标时间段内执行的若干操作行为的行为标识输入每一所述用户行为习惯模型中,得到对应的行为检测结果,包括:
获取所述目标设备在目标时间段内执行的若干操作行为的行为标识,得到第一行为标识列表P=(P1,P2,...,Ps,...,Pt);其中,s=1,2,...,t;t为所述目标设备在目标时间段内执行的操作行为的数量;Ps为所述目标设备在目标时间段内执行的第s个操作行为的行为标识;
将P输入每一所述用户行为习惯模型中,若e个所述用户行为习惯模型均未输出异常操作行为,则将P中不存在异常操作行为确定为行为检测结果;若任一所述用户行为习惯模型输出至少一个异常操作行为,则将P中存在异常操作行为确定为行为检测结果;其中,e为所述语义特征组的数量。
5.根据权利要求3或4所述的方法,其特征在于,所述根据若干所述行为检测结果,确定对应的目标文件,包括:
若所述行为检测结果表征存在异常操作行为,则获取每一所述异常操作行为;
根据每一所述异常操作行为,确定与该所述异常操作行为对应的目标文件。
6.根据权利要求1所述的方法,其特征在于,所述目标时间段通过以下步骤确定:
获取目标设备中受到APT攻击的每一被攻击文件的下载时间,得到下载时间列表u=(u1,u2,...,ua,...,uw);其中,a=1,2,...,w;w为所述被攻击文件的数量;ua为第a个所述被攻击文件的下载时间;
将MIN(u)至unow之间的时间段确定为目标时间段;其中,unow为当前时间;MIN()为预设的最小值确定函数。
7.根据权利要求1所述的方法,其特征在于,所述根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组,包括:
根据语义匹配度,对B1,B2,...,Bi,...,Bn进行聚类,得到e个语义特征组H1,H2,...,Hh,...,He;Hh=(Hh1,Hh2,...,Hhr,...,Hhq(h));其中,h=1,2,...,e;r=1,2,...,q(h);∑e h=1q(h)=n;q(h)为第h个语义特征组中的语义特征的数量;Hh为第h个语义特征组;Hhr为Hh中第r个语义特征。
8.一种用户行为习惯模型确定装置,其特征在于,包括:
最小持续操作时长获取模块,用于当检测到目标设备受到APT攻击时,若目标设备的操作用户的数量为多个,获取最小持续操作时长;
目标子时间段获取模块,用于根据最小持续操作时长,对目标时间段进行拆分,得到n个目标子时间段;目标时间段的结束时间为当前时间;每一目标子时间段的长度与最小持续操作时长相同;
目标行为标识获取模块,用于获取目标设备在每一目标子时间段内执行的若干目标操作行为的行为标识,得到目标行为标识列表集Z=(Z1,Z2,...,Zi,...,Zn);Zi=(Zi1,Zi2,...,Zik,...,Zif(i));其中,i=1,2,...,n;k=1,2,...,f(i);f(i)为目标设备在第i个目标子时间段内执行的目标操作行为的数量;Zi为目标设备在第i个目标子时间段内执行的目标操作行为的行为标识列表;Zik为目标设备在第i个目标子时间段内执行的第k个目标操作行为的行为标识;目标操作行为是目标设备连接的外部设备在每一目标子时间段内在目标设备上执行的操作行为;
第一行为习惯信息确定模块,用于将每一行为标识列表输入预设的行为习惯提取模型中,以得到第一行为习惯信息列表集Y=(Y1,Y2,...,Yi,...,Yn);其中,Yi为Zi对应的第一行为习惯信息列表;Yi中包含至少一个第一行为习惯信息;
语义特征获取模块,用于根据Y,得到语义特征列表B=(B1,B2,...,Bi,...,Bn);其中,Bi为使用预设的语义特征提取方法对Yi进行语义特征提取后得到的语义特征;
语义特征组确定模块,用于根据任意两个语义特征之间的语义匹配度,对B中的语义特征进行聚类,得到若干语义特征组;每一语义特征组内包含若干语义特征;
第二行为习惯信息确定模块,用于将每一语义特征组对应的所有行为标识列表输入行为习惯提取模型中,得到每一语义特征组对应的至少一个第二行为习惯信息;
用户行为习惯模型确定模块,用于根据每一语义特征组对应的所有第一行为习惯信息和所有第二行为习惯信息,确定每一语义特征组对应的用户行为习惯模型。
9.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-7中任意一项所述的方法。
10.一种电子设备,其特征在于,包括处理器和权利要求9中所述的非瞬时性计算机可读存储介质。
CN202311268168.6A 2023-09-28 2023-09-28 一种用户行为习惯模型确定方法及装置、设备及介质 Active CN116992439B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311268168.6A CN116992439B (zh) 2023-09-28 2023-09-28 一种用户行为习惯模型确定方法及装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311268168.6A CN116992439B (zh) 2023-09-28 2023-09-28 一种用户行为习惯模型确定方法及装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116992439A true CN116992439A (zh) 2023-11-03
CN116992439B CN116992439B (zh) 2023-12-08

Family

ID=88534333

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311268168.6A Active CN116992439B (zh) 2023-09-28 2023-09-28 一种用户行为习惯模型确定方法及装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116992439B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738015A (zh) * 2020-10-28 2021-04-30 北京工业大学 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
US20210182387A1 (en) * 2019-12-12 2021-06-17 International Business Machines Corporation Automated semantic modeling of system events
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN116112287A (zh) * 2023-04-07 2023-05-12 国家计算机网络与信息安全管理中心 基于时空关联的网络攻击组织追踪方法与装置
CN116405230A (zh) * 2021-12-27 2023-07-07 三六零数字安全科技集团有限公司 网络安全测试方法、装置、设备及存储介质
CN116545738A (zh) * 2023-05-30 2023-08-04 国家高速列车青岛技术创新中心 Apt攻击处理方法、系统、电子设备及可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210182387A1 (en) * 2019-12-12 2021-06-17 International Business Machines Corporation Automated semantic modeling of system events
CN112738015A (zh) * 2020-10-28 2021-04-30 北京工业大学 一种基于可解释卷积神经网络cnn与图检测的多步攻击检测方法
CN116405230A (zh) * 2021-12-27 2023-07-07 三六零数字安全科技集团有限公司 网络安全测试方法、装置、设备及存储介质
CN114584351A (zh) * 2022-02-21 2022-06-03 北京恒安嘉新安全技术有限公司 一种监控方法、装置、电子设备以及存储介质
CN116112287A (zh) * 2023-04-07 2023-05-12 国家计算机网络与信息安全管理中心 基于时空关联的网络攻击组织追踪方法与装置
CN116545738A (zh) * 2023-05-30 2023-08-04 国家高速列车青岛技术创新中心 Apt攻击处理方法、系统、电子设备及可读存储介质

Also Published As

Publication number Publication date
CN116992439B (zh) 2023-12-08

Similar Documents

Publication Publication Date Title
US11934287B2 (en) Method, electronic device and computer program product for processing data
CN116881918B (zh) 进程安全检测防护方法、装置、电子设备及介质
EP3312755A1 (en) Method and apparatus for detecting application
CN116861430B (zh) 一种恶意文件检测方法、装置、设备及介质
CN116881913B (zh) 一种阶段式恶意文件检测方法、装置、设备及介质
CN112783508B (zh) 文件的编译方法、装置、设备以及存储介质
CN116992439B (zh) 一种用户行为习惯模型确定方法及装置、设备及介质
CN111415683A (zh) 语音识别异常告警方法、装置、计算机设备和存储介质
CN113590447B (zh) 埋点处理方法和装置
CN113722007B (zh) Vpn分支设备的配置方法、装置及系统
CN113312619B (zh) 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质
CN115312040A (zh) 语音唤醒方法、装置、电子设备和计算机可读存储介质
CN117009961B (zh) 一种行为检测规则的确定方法及装置、设备及介质
CN111177704B (zh) 一种捆绑识别方法、装置、设备及介质
CN116962086B (zh) 一种文件安全性检测方法及系统
CN116910756B (zh) 一种恶意pe文件的检测方法
CN117009962B (zh) 一种基于有效标签的异常检测方法、装置、介质及设备
CN116861428B (zh) 一种基于关联文件的恶意检测方法、装置、设备及介质
CN114881018B (zh) 一种文件处理方法、装置、电子设备及存储介质
CN117056927B (zh) 一种基于指令的恶意进程确定方法、装置、设备及介质
CN110362619B (zh) 一种基于认证服务器的用户注册方法、装置和电子设备
CN117040938B (zh) 一种异常ip检测方法及装置、电子设备及存储介质
CN116861429B (zh) 一种基于样本行为的恶意检测方法、装置、设备及介质
CN116992449B (zh) 一种相似样本文件确定方法及装置、电子设备及存储介质
US11093300B1 (en) Method, electronic device and computer program product for processing information

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant