CN117014217A

CN117014217A - 异常检测方法、装置、电子设备及存储介质

Info

Publication number: CN117014217A
Application number: CN202311079704.8A
Authority: CN
Inventors: 熊春霖; 高智
Original assignee: Shenzhen Shenxinfu Information Security Co ltd
Current assignee: Shenzhen Shenxinfu Information Security Co ltd
Priority date: 2023-08-23
Filing date: 2023-08-23
Publication date: 2023-11-07

Abstract

本申请提供了一种异常检测方法、装置、电子设备及存储介质，涉及技术领域为：网络安全技术领域，方法包括：通过接收登录请求；其中，登录请求中包括对应账号的登录特征信息；在账号登录期间，获取账号对应的至少一个操作行为信息；基于登录特征信息，以及至少一个操作行为信息确定异常检测结果。这样，相较于相关技术中的只通过规则和异常检测的方法，从登录以及登录期间的相关信息进行异常检测，增加了异常检测的数据量以及数据种类，进而可以提高对网络攻击的检测准确性。

Description

异常检测方法、装置、电子设备及存储介质

技术领域

本申请涉及网络安全技术领域，尤其涉及一种异常检测方法、装置、电子设备及存储介质。

背景技术

相关技术中，网络异常攻击可以通过包括员工账号在内的多种方式获取合法凭证，进而伪装成合法用户，突破网络边界、窃取网络凭证、植入恶意软件。此外，由于组织内部人员工作失误，引发内部网络安全事件的情况也时有发生。因此，失陷账号和内部攻击是企业面临的重要安全问题之一。目前，通常采用规则和异常的方法来进行异常账号检测。然而，现有方法存在一下问题：某些行业存在账户登录时间不定，用户经常出差，登录区域不确定，云办公场景，登录账户不确定的情况，在这种情况下难以对异常攻击进行准确检测。综上可知，仅仅通过规则和异常的方法，对异常检测的准确度较低。

发明内容

本申请实施例提供的一种异常检测方法、装置、电子设备及存储介质，可以提高对网络异常攻击的检测准确性。

本申请的技术方案是这样实现的：

本申请实施例提供了一种异常检测方法，包括：

接收登录请求；其中，所述登录请求中包括对应账号的登录特征信息；

在所述账号登录期间，获取所述账号对应至少一个的操作行为信息；

基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果。

上述方案中，所述基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果，包括：

基于所述登录特征信息以及参考登录特征集合确定登录分值；其中，所述参考登录特征集合中包括：多个参考账号中每一所述参考账号对应的参考登录特征信息；

针对至少一个所述操作行为信息中的每一所述操作行为信息，通过预设检测模型对每一所述操作行为信息处理得到对应行为分值；

基于所述登录分值和至少一个所述行为分值确定检测分值；

基于所述检测分值确定所述异常检测结果。

上述方案中，所述基于所述登录特征信息以及参考登录特征集合确定登录分值，包括：

将所述登录特征信息与所述参考登录特征集合中的每一所述参考账号对应的所述参考登录特征信息进行匹配，确定所述登录分值。

上述方案中，所述通过预设检测模型对每一所述操作行为信息处理得到对应行为分值之后，所述方法还包括：

在所述登录分值和至少一个所述行为分值中确定出满足告警条件的告警分值；

基于每一所述告警分值对应的时间信息沿时间轴形成告警图谱进行展示；其中，时间信息可以为所述登录分值对应的登录请求的时间信息，或者所述行为分值对应的操作请求的时间信息。

上述方案中，所述登录特征信息包括以下至少之一：用户标识信息、登录时间信息、登录地址信息和登录类型信息；

所述操作行为信息包括以下至少之一：进程操作信息、文件操作信息、注册表操作信息和网络操作信息。

上述方案中，所述方法还包括：

接收预定时段内的多个参考账号的登录请求；

基于多个所述参考账号中的每一所述参考账号的登录请求包括的参考登录特征信息形成所述参考登录特征集合。

上述方案中，所述方法还包括：若所述异常检测结果表征所述账号不属于所述参考登录特征集合，则将所述账号对应的所述登录特征信息加入所述参考登录特征集合。

上述方案中，所述方法还包括：定期检测所述参考登录特征集合中的每一所述参考账号的所述参考登录特征信息，若所述参考登录特征集合中的一低热度账号的所述参考登录特征信息满足清理条件，则将所述低热度账号及其对应的所述参考登录特征信息删除。

上述方案中，所述方法还包括：

若所述异常检测结果表征所述账号异常，则基于至少一个所述操作行为信息之间的关联关系构建进程树，以进行展示。

本申请实施例还提供了一种异常检测装置，包括：

请求接收单元，用于接收登录请求；其中，所述登录请求中包括对应账号的登录特征信息；

信息获取单元，用于在所述账号登录期间，获取所述账号对应的至少一个操作行为信息；

分析确定单元，用于基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果。

本申请实施例还提供了一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述方法中的步骤。

本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述方法中的步骤。

本申请实施例中，通过接收登录请求；其中，登录请求中包括对应账号的登录特征信息；在账号登录期间，获取账号对应的至少一个操作行为信息；基于登录特征信息，以及至少一个操作行为信息确定异常检测结果。这样，相较于相关技术中的只通过规则和异常检测的方法，从登录以及登录期间的相关信息进行异常检测，增加了异常检测的数据量以及数据种类，进而可以提高对网络异常攻击的检测准确性。

附图说明

图1为本申请实施例提供的异常检测方法的一个可选的流程示意图；

图2为本申请实施例提供的异常检测方法的一个可选的流程示意图；

图3为本申请实施例提供的异常检测方法的一个可选的效果示意图；

图4为本申请实施例提供的异常检测方法的一个可选的流程示意图；

图5为本申请实施例提供的异常检测方法的一个可选的流程示意图；

图6为本申请实施例提供的异常检测方法的一个可选的效果示意图；

图7为本申请实施例提供的异常检测装置的结构示意图；

图8为本申请实施例提供的电子设备的一种硬件实体示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面结合附图和实施例对本申请的技术方案进一步详细阐述，所描述的实施例不应视为对本申请的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。

如果申请文件中出现“第一/第二”的类似描述则增加以下的说明，在以下的描述中，所涉及的术语“第一\第二\第三”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。

本申请实施例提供了一种异常检测方法，该方法可以由服务器、云服务器、服务器节点或者具有异常检测功能的数据终端实现。

本申请实施例提供了一种异常检测方法，请参阅图1，为本申请实施例提供的异常检测方法的一个可选的流程示意图，将结合图1示出的步骤进行说明。

S101、接收登录请求；其中，所述登录请求中包括对应账号的登录特征信息。

本申请实施例中，可以接收登录终端发送的登录请求。其中，该登录请求中包括登录终端的对应账号的登录特征信息。其中，登录特征信息可以表征对应账号的用户标识信息、登录时间信息、登录地址信息和登录类型信息等。

本申请实施例中，登录终端的用户可以通过人际交互设备输入对应账号及密码。登录终端可以在登录请求中携带该账号的登录特征信息发送登录特征请求给服务器。服务接收该登录请求之后，响应该登录请求实现对应账号的服务器登录。

S102、在所述账号登录期间，获取所述账号对应的至少一个操作行为信息。

本申请实施例中，在账号的登录期间内，服务器可以给账号对应的登录终端进行操作授权，登录终端在获得授权后可以向服务器发送操作请求。其中，操作请求用于实现在服务器内的进程操作、注册表操作和文件以及文件夹操作等。服务器响应每一操作请求实现对应操作的同时可以形成对应的操作行为信息。在账号登录期间内，服务器接收至少一个操作请求，可以形成每一个操作请求对应的操作行为信息，也就是得到至少一个操作行为信息。

其中，操作行为信息可以包括以下至少之一：进程操作信息、文件操作信息、注册表操作信息和网络操作信息。

S103、基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果。

本申请实施例中，可以对登录特征信息进行分析得到登录特征信息对应的登录分值，可以对每一个操作行为信息进行分析得到每一个操作行为信息对应的行为分值。基于登录分值和至少一个行为分值联合确定出检测分值。可以将该检测分值进行展示，供用户基于该检测分值分析确定的此次账号登录的异常检测结果。其中，异常检测结果可以包括：账号异常和账号正常。

本申请实施例中，可以将登录特征信息以及至少一个操作行为信息共同输入预设分析模型，进而确定出对应的异常检测结果。其中，该预设分析模型可以通过大量的样本登录特征信息以及大量的样本操作行为信息训练得到。

其中，预设分析模型可以为行为异常自学习引擎(Behavior Anomaly Self-learning Engine，BASE)，也可以为攻击指标(Indicators of Attack，IOA)模型。其中，IOA可以将各种数据片段(包括未知属性、攻陷指标(Indicators of Compromis，IoC)和上下文信息，例如组织风险和情报)构建成潜在威胁的动态实时态势图。IoA并非为了识别特定的恶意工具，而是通过关注所有攻击者为破坏系统而必须采取的步骤(例如侦察、初始访问、执行)来识别攻击者的战略意图。IoA对于检测新的、复杂的网络攻击形式(例如无恶意软件入侵和零日攻击)至关重要。BASE模型通过自学习的方法，得到历史白行为基线，一旦行为超出这个基线，则进行告警。

本申请实施例中，异常账号防护通常包含以下几个方面：预防：多重身份验证(Multi-Factor Authentication，MFA)、身份和访问管理(Identity and accessmanagement，IAM)等；欺骗：钓鱼文件；保护：凭据窃取检测；行为：异常登录行为检测。本申请实施例提供的异常检测方法可以应用在异常登录行为阶段。

请参阅图2，为本申请实施例提供的异常检测方法的一个可选的流程示意图，图1中示出的S103还可以通过S104至S107实现，将结合步骤进行说明。

S104、基于所述登录特征信息以及参考登录特征集合确定登录分值。

本申请实施例中，其中，所述参考登录特征集合中包括：多个参考账号中每一所述参考账号对应的参考登录特征信息。可以将登录特征信息与参考登录特征集合中的每一参考账号的参考登录特征信息进行匹配，基于匹配结果确定出登录分值。

本申请实施例中，若参考登录特征集合中的某一参考账号的参考登录特征信息与登录特征信息匹配，则确定第一登录分值。若登录特征结合中的多个参考账号的参考登录特征信息均与登录特征信息不匹配，则确定第二登录分值。其中，第二登录分值大于第一登录分值。第一登录分值可以为0。在其他实施例中，第一登录分值还可以为其他数值的分值。

S105、针对至少一个所述操作行为信息中的每一所述操作行为信息，通过预设检测模型对每一所述操作行为信息处理得到对应行为分值。

本申请实施例中，可以将每一操作行为信息输入预设检测模型，该预设检测模型可以输出对应操作行为信息的行为分值。

其中，该预设检测模型可以包括：IOA模型和BASE模型中的至少一个。当预设检测模型同时包括：IOA模型和BASE模型时，可以将操作行为信息分别输入IOA模型和BASE模型，得到IOA模型和BASE模型分别输出的分值，可以将IOA模型和BASE模型分别输出的分值相加得到行为分值。

图2中示出的S105之后还可以包括S1051至S1052实现，将结合步骤进行说明。

S1051、在所述登录分值和至少一个所述行为分值中确定出满足告警条件的告警分值。

本申请实施例中，在登录分值和至少一个行为分值中确定出大于告警分值阈值的至少一个告警分值。

示例性的，若登录分值大于0，则确定该登录分值为告警分值，若行为分值大于0，则确定行为分值为告警分值。

S1052、基于每一所述告警分值对应的时间信息沿时间轴形成告警图谱进行展示；其中，时间信息可以为所述登录分值对应的登录请求的时间信息，或者所述行为分值对应的操作请求的时间信息。

本申请实施例中，服务器可以基于告警分值对应的时间信息，也就是登录分值对应的登录请求的时间信息，行为分值对应的操作请求的时间信息沿时间轴进行排列形成告警图谱进行展示。其中，时间信息可以为登录分值对应的登录请求的时间信息，或者所述行为分值对应的操作请求的时间信息。

示例性的，结合图3，可以基于账号登录分值和至少一个行为分值确定分别在t1时刻、t2时刻、t3时刻、t4时刻、t5时刻和t6时刻对应有告警分值。其中，t1时刻对应登录分值，t2时刻-t6时刻分别对应行为分值。可以在时间轴中基于t1时刻展示对应的登录分值(告警分值)，基于t2时刻-t6时刻展示对应的行为分值(告警分值)以形成该账号的告警图谱。

S106、基于所述登录分值和至少一个所述行为分值确定检测分值。

本申请实施例中，可以将登录分值和至少一个行为分值直接相加得到检测分值。

在另一些实施例中，还可以将登录分值和至少一个行为分值进行加权得到检测分值。

在另一些实施例中，可以基于登录分值以及至少一个行为分值通过预设函数确定出检测分值。

示例性的，登录分值可以为a，至少一个行为分值可以为b、c、d。可以通过a+b+c+d确定检测分值。

S107、基于所述检测分值确定所述异常检测结果。

本申请实施例中，当检测分值大于预定阈值时，可以在服务器的人机交互设备上展示该检测分值以及对应的账号信息。供用户基于检测分值分析得到检测结果。

本申请实施例中，也可以将该检测分值输入预设模型，基于该模型分析得到此次账号登录的异常检测结果。

本申请实施例中，也可以在一段时间内确定出的多个账号分别对应的检测分值，进而将分值较高的N个检测分值进行展示，供用户可以对该N个检测分值进行分析确定出N个检测分值分别对应的账号登录的异常检测结果。N为大于0的整数。

为了确定账户是否存在风险，仅仅将登录事件和行为分开检测不够的，运营人员势必要花费很多时间对这些信息进行整合。本方案将登录事件和行为告警自动化整合到一条时间线上，每条告警对应一个分值，最终可以计算出登录期间的告警总得分，最终由运营人员确认这次登录是否存在异常。

本发明提供了一种异常账号检测方案，不仅考虑登录行为，还将登录行为和登录期间行为进行关联，提高异常账号检测的精度。其中，通过对正常登录行为建模得到参考登录特征集合，利用参考登录特征集合检测登录特征信息确定登录分值；通过预设检测模型，发现登录期间用户的异常行为得到对应的行为分值；通过对登录行为和登录期间的异常行为进行关联分析，最终挖掘出可能的失陷账户，可以提高对应账号的异常检测准确度。此方法适用于异常账户检测场景，提高检测精度。

请参阅图4，为本申请实施例提供的异常检测方法的一个可选的流程示意图，图2中示出的S104至S105还可以通过S108至S109实现，将结合步骤进行说明。

S108、将所述登录特征信息与所述参考登录特征集合中的每一所述参考账号对应的所述参考登录特征信息进行匹配，确定登录分值。

本申请实施例中，所述登录特征信息包括以下至少之一：用户标识信息、登录时间信息、登录地址信息和登录类型信息。每一参考账号对应的参考登录特征信息可以包括对应参考账号的以下至少之一：参考用户标识信息、参考登录时间信息、参考登录地址信息和参考登录类型信息。可以将登录特征信息(用户标识信息、登录时间信息、登录地址信息和登录类型信息)与参考登录特征集合中的每一参考账号的参考登录特征信息(参考用户标识信息、参考登录时间信息、参考登录地址信息和参考登录类型信息)进行匹配，基于匹配结果确定出登录分值。

本申请实施例中，若所述用户标识信息、所述登录时间信息、所述登录地址信息和所述登录类型信息均与任一所述参考账号对应的所述参考登录特征信息匹配，则确定第一登录分值。示例性的，也就是用户标识信息与一参考账号的预设用户标识信息匹配，登录时间信息与该参考账号的参考登录时间信息匹配，登录地址信息与该参考账号的参考登录地址信息匹配，登录类型信息与该参考账号的参考登录类型信息匹配，则确定第一登录分值。

本申请实施例中，若所述用户标识信息、所述登录时间信息、所述登录地址信息和所述登录类型信息中的至少一个，与每一所述参考账号对应的所述参考登录特征信息不匹配，则确定第二登录分值；其中，所述第二登录分值大于所述第一登录分值。示例性的，也就是用户标识信息、登录时间信息、登录地址信息和登录类型信息与多个参考账号中的每一参考账号中的对应参考登录特征信息不匹配，则确定第二登录分值。登录分值包括：第一登录分值和第二登录分值。

请参考表1，表1为参考登录特征集合示意表：

表1

示例性的，结合表1，其中，每一参考账号对应的参考登录时间信息、参考登录地址信息和参考登录类型信息均对应有信息范围、登录次数和上次登录时间。若登录用户标识信息与参考账号1的参考用户标识信息匹配可以包括：用户标识信息与参考登录特征集合对应中的参考账号1的参考用户标识信息1相同。登录时间信息与该参考账号的参考登录时间信息匹配可以包括：登录时间信息属于该参考账号的参考登录时间对应的时间范围对应的范围(9:00-10:00、13:00-14:00和15:00-16:00)内。登录地址信息与参考账号1的参考登录日志信息匹配可以包括：登录地址信息与参考账号1的对应的任一参考登录地址信息(200.200.1.135和200.200.1.2)相同。登录类型信息与参考账号1的参考登录类型信息匹配可以包括：登录类型信息与该参考账号的对应的任一参考登录类型信息(internet_login和remote_login)相同。

S109、通过异常检测模型以及异常特征检测模型对每一所述操作行为信息处理得到对应的所述行为分值。

本申请实施例中，服务器可以通过异常检测模型和异常特征检测模型对每一操作行为信息进行处理，得到对应的行为分值。

其中，异常检测模型可以包括：IOA模型，在其他实施例中，异常检测模型也可以为其他类型的检测模型。异常特征检测模型可以包括：BASE模型，在其他实施例中也可以为其他类的异常特征检测模型。

本申请实施例中，操作行为信息包括以下至少之一：进程操作信息、文件操作信息、注册表操作信息和网络操作信息。服务器可以将操作行为信息包括的：进程操作信息、文件操作信息、注册表操作信息和网络操作信息中的至少一个输入异常检测模型和异常特征检测模型对每一操作行为信息进行处理，得到对应的行为分值。

本申请实施例中，将所述登录特征信息与所述参考登录特征集合中的每一所述参考账号对应的所述参考登录特征信息进行匹配，确定登录分值，通过异常检测模型以及异常特征检测模型对每一所述操作行为信息处理得到对应的所述行为分值，这样可以对登录时的登录特征信息以及登录期间的操作行为信息进行联合分析，扩大了异常检测的数据范围以及种类，进而可以提高异常检测准确度。

请参阅图5，为本申请实施例提供的异常检测方法的一个可选的流程示意图，将结合步骤进行说明。

S110、接收预定时段内的多个参考账号的登录请求。

本申请实施例中，服务器在执行S101之前，可以接收到预定时段内的多个终端发送的的录请求。其中，每一个登录请求都可以对应一个参考账号。在一些其他的实施例中，也可以至少一个登录请求对应一个参考账号。其中，预定时段可以包括M天内。M为大于0的整数，本申请实施例中对预定时段的长度不做具体限制。

其中，每一参考账号对应的登录请求可以包括：对应参考账号的参考用户标识信息、参考登录时间信息、参考登录地址信息和参考登录类型信息。

S111、基于多个所述参考账号中的每一所述参考账号的登录请求包括的参考登录特征信息形成所述参考登录特征集合。

本申请实施例中，服务器可以将接收的每一参考账号的参考登录特征信息进行组合，形成参考登录特征集合。当某一参考账号的新的登录特征信息出现时，可以将该新的登录特征信息加入到参考登录特征集合的对应参考账号下。在一些实施例中，参考登录特征集合可以为表格的形式存储，在另一些实施例中，参考登录特征集合也可以为其他的形式存储。

示例性的，当一参考账号的登录请求中包括的新的参考登录时间信息与该参考账号的参考登录时间信息均不匹配，则可以将该新的参考登录时间信息所对应的时段加入该参考账号的信息范围内。

在其他一些实施例中，也可以进行参考登录特征集合初始化。可以提供空的参考登录特征集合从头开始学，也可以提供一份默认的参考登录特征集合直接见效。白名单以字典类型保存。自在终端部署后的n天的登录行为均认为是正常登录，直接加入白名单。在一次登录事件中，用户标识信息、登录时间信息、登录地址信息、登录类型信息均在参考登录特征集合中才认为是正常的，否则视为异常。

本申请实施例中，通过接收预定时段内的参考账号的登录请求，基于每一参考账号的参考登录特征信息进行组合，形成参考登录特征集合。利用参考登录特征集合中的每一参考账号的参考登录特征信息与接收的账号的登录请求的登录特征信息进行匹配，这样可以对登录行为进行准确的检测。

示出的S103之后还可以包括S112，将结合步骤进行说明。

S112、若所述异常检测结果表征所述账号不属于所述参考登录特征集合，则将所述账号对应的所述登录特征信息加入所述参考登录特征集合。

本申请实施例中，若异常检测结果表征账号不属于所述参考登录特征集合，则可以将账号及其对应的登录特征信息添加进参考登录特征集合对应的表中。

本申请实施例中，若异常检测结果表征账号不属于参考登录特征集合，则在参考登录特征集合的表中新建一个对应本账号的参考账号，利用用户标识信息建立该参考账号对应的预设用户标识信息。在该预设用户标识信息对应的目录下添加对应的参考登录时间信息、参考登录地址信息和参考登录类型信息。

示出的S111之后还可以包括S113，将结合步骤进行说明。

S113、定期检测所述参考登录特征集合中的每一所述参考账号的所述参考登录特征信息，若所述参考登录特征集合中的一低热度账号的所述参考登录特征信息满足清理条件，则将所述低热度账号及其对应的所述参考登录特征信息删除。

本申请实施例中，服务器可以定期的检测参考登录特征集合中每一参考账号对应的参考登录时间信息、参考登录地址信息和参考登录类型信息。统计参考登录时间信息、参考登录地址信息和参考登录类型信息对应的登录次数之和，以及确定出参考登录时间信息、参考登录地址信息和参考登录类型信息对应的最近的登录时间。若登录次数之和与最近的登录时间中的任意一个满足清理条件，则可以将参考登录时间信息、参考登录地址信息和参考登录类型信息对应的参考账号的参考登录特征信息删除。

本申请实施例中，若登录次数之和与最近的登录时间中的任意一个满足清理条件可以包括：登录次数之和小于登录次数阈值，或者最近的登录时间距离当前时刻的时间间隔大于预设时间间隔。

示例性的，结合表1，可以将预设用户标识信息1对应的参考登录时间信息、参考登录地址信息和参考登录类型信息分别对应的登录次数相加，得到登录次数之和。可以在预设用户标识信息1对应的参考登录时间信息、参考登录地址信息和参考登录类型信息分别对应的上次登录时间中确定出最近的登录时间。

本申请实施例中，若一低热度账号的所述参考登录特征信息满足清理条件，则将所述低热度账号及其对应的所述参考登录特征信息删除，可以有效的减少冗余数据。

示出的S103之后还可以包括S114，将结合步骤进行说明。

S114、若所述异常检测结果表征所述账号异常，则基于至少一个所述操作行为信息之间的关联关系构建进程树，以进行展示。

本申请实施例中，在异常检测结果表征账号异常时，可以基于至少一个操作行为信息之间的关联关系构建进程树。可以利用人机交互设备展示该进程树。

本申请实施例中，由于服务器可以基于一个操作请求形成对应的：进程操作信息、文件操作信息、注册表操作信息和网络操作信息中的至少一个，而各个操作请求分别对应的进程操作信息、文件操作信息、注册表操作信息和网络操作信息之间又可能存在相互关联关系，服务器可以以每一进程操作信息、文件操作信息、注册表操作信息和网络操作信息为节点，以进程操作信息、文件操作信息、注册表操作信息和网络操作信息之间的关联关系连接对应的节点，进而构建出进程树。

示例性的结合，图6，为进程树的结构示意图。节点1(java_3122382409_0_17450178724997165561)可以与另外三个节点(节点2：dash_3122382409_0_336086928196871881、节点3dash_3122382409_0_4675899857355436056、节点4dash_3122382409_0_527413456859281216)相连。服务器将异常账号登录期间所有进程操作信息、文件操作信息、注册表操作信息和网络操作信息为节点放到一张大图中进行展示。若服务器检测到某一操作行为信息告警，则可以将该操作行为信息对应的连接线标绿。更加直观展示出告警之间的关系以及攻击流程，方便运营人员进行溯源分析。结合图6，若检测到节点1与节点2的操作行为信息告警，则可以对节点1和节点2之间的连接线进行标识(示例性的可以用颜色标识)

本申请实施例中，所述异常检测结果表征所述账号异常，则基于至少一个所述操作行为信息之间的关联关系构建进程树，以进行展示，可以方便用户通过进程树来对账号异常行为进行溯源分析。

请参阅图7，为本申请实施例提供的异常检测装置的结构示意图。

本申请实施例提供了一种异常检测装置800，包括：请求接收单元801、信息获取单元802、分析确定单元803。

请求接收单元801，用于接收登录请求；其中，所述登录请求中包括对应账号的登录特征信息；

信息获取单元802，用于在所述账号登录期间，获取所述账号对应的至少一个操作行为信息；

分析确定单元803，用于基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果。

本申请实施例中，异常检测装置800中的分析单元803，用于基于所述登录特征信息以及参考登录特征集合确定登录分值；其中，所述参考登录特征集合中包括：多个参考账号中每一所述参考账号对应的参考登录特征信息；

基于所述登录分值和至少一个所述行为分值确定检测分值；

基于检测分值确定所述异常检测结果。

本申请实施例中，异常检测装置800中的分析确定单元803，用于将所述登录特征信息与所述参考登录特征集合中的每一所述参考账号对应的所述参考登录特征信息进行匹配，确定所述登录分值。

本申请实施例中，异常检测装置800用于基在所述登录分值和至少一个所述行为分值中确定出满足告警条件的告警分值；基于每一所述告警分值对应的时间信息沿时间轴形成告警图谱进行展示；其中，时间信息可以为所述登录分值对应的登录请求的时间信息，或者所述行为分值对应的操作请求的时间信息。

本申请实施例中，所述登录特征信息包括以下至少之一：用户标识信息、登录时间信息、登录地址信息和登录类型信息；所述操作行为信息包括以下至少之一：进程操作信息、文件操作信息、注册表操作信息和网络操作信息。

本申请实施例中，异常检测装置800中的请求接收单元801，用于接收预定时段内的多个参考账号的登录请求；基于多个所述参考账号中的每一所述参考账号的登录请求包括的参考登录特征信息形成所述参考登录特征集合。

本申请实施例中，异常检测装置800用于若所述异常检测结果表征所述账号不属于所述参考登录特征集合，则将所述账号对应的所述登录特征信息加入所述参考登录特征集合。

本申请实施例中，异常检测装置800用于定期检测所述参考登录特征集合中的每一所述参考账号的所述参考登录特征信息，若所述参考登录特征集合中的一低热度账号的所述参考登录特征信息满足清理条件，则将所述低热度账号及其对应的所述参考登录特征信息删除。

本申请实施例中，异常检测装置800用于若所述异常检测结果表征所述账号异常，则基于至少一个所述操作行为信息之间的关联关系构建进程树，以进行展示。

本申请实施例中，通过请求接收单元801接收登录请求；其中，登录请求中包括对应账号的登录特征信息；通过信息获取单元802在账号登录期间，响应接收的至少一个操作请求，形成每一操作请求对应的操作行为信息；通过分析确定单元803基于登录特征信息，以及至少一个操作行为信息确定异常检测结果。这样，相较于相关技术中的只通过规则和异常检测的方法，从登录以及登录期间的相关信息进行异常检测，增加了异常检测的数据量以及数据种类，进而可以提高对网络攻击的检测准确性。

需要说明的是，本申请实施例中，如果以软件功能模块的形式实现上述的异常检测方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台异常检测装置(可以是个人计算机等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。

对应地，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现检测装置一侧方法中的步骤。

对应地，本申请实施例提供一种电子设备900，包括存储器902和处理器901，所述存储器902存储有可在处理器901上运行的计算机程序，所述处理器901执行所述程序时实现上述方法中的步骤。

这里需要指出的是：以上存储介质和装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质和装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。

需要说明的是，图8为本申请实施例提供的电子设备的一种硬件实体示意图，如图8所示，该电子设备900的硬件实体包括：处理器901和存储器902，其中；

处理器901通常控制电子设备900的总体操作。

存储器902配置为存储由处理器901可执行的指令和应用，还可以缓存待处理器901以及电子设备900中各模块待处理或已经处理的数据(例如，图像数据、音频数据、语音通信数据和视频通信数据)，可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory，RAM)实现。

应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储装置、只读存储器(Read Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机、服务器、或者网络装置等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储装置、ROM、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种异常检测方法，其特征在于，包括：

2.根据权利要求1所述的异常检测方法，其特征在于，所述基于所述登录特征信息，以及至少一个所述操作行为信息确定异常检测结果，包括：

基于所述登录分值和至少一个所述行为分值确定检测分值；

基于所述检测分值确定所述异常检测结果。

3.根据权利要求2所述的异常检测方法，其特征在于，所述基于所述登录特征信息以及参考登录特征集合确定登录分值，包括：

4.根据权利要求2所述的异常检测方法，其特征在于，所述通过预设检测模型对每一所述操作行为信息处理得到对应行为分值之后，所述方法还包括：

基于每一所述告警分值对应的时间信息沿时间轴形成告警图谱进行展示；其中，所述时间信息可以为所述登录分值对应的登录请求的时间信息，或者所述行为分值对应的操作请求的时间信息。

5.根据权利要求1所述的异常检测方法，其特征在于，所述登录特征信息包括以下至少之一：用户标识信息、登录时间信息、登录地址信息和登录类型信息；

6.根据权利要求1至5任一项所述的异常检测方法，其特征在于，所述方法还包括：

接收预定时段内的多个参考账号的登录请求；

7.根据权利要求6所述的异常检测方法，其特征在于，所述方法还包括：若所述异常检测结果表征所述账号不属于所述参考登录特征集合，则将所述账号对应的所述登录特征信息加入所述参考登录特征集合。

8.一种异常检测装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法中的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法中的步骤。