[发明专利]一种异常检测方法和装置

说明书

本申请公开了一种异常检测方法和装置，所述方法包括：根据用户访问服务器行为的历史流量数据建立基础矩阵，并根据待检测当天用户访问服务器行为的流量数据获取待检测当天的观察向量；计算基础矩阵和待检测当天的观察向量的马氏距离，根据马氏距离判断用户访问服务器行为是否异常。本申请基于马氏距离实现了对企业中的异常行为的检测，从而提高了企业的安全性。

技术领域

本申请涉及互联网技术，尤指一种异常检测方法和装置。

背景技术

企业安全中的一个关键问题就是检测妥协用户(即企业网络用户中遭受网络攻击(如被植入病毒)后被控制的用户)和企业中有恶意意图的内部工作人员。由于该问题发生的场景具有多样性、连接公司网络环境角色的庞大多样性，使得这个问题非常复杂。而目前还未有可靠有效的方法对妥协用户或恶意用户进行行为分析和异常检测。

发明内容

本申请提供了一种异常检测方法和装置，能够检测企业中的异常行为，从而提高企业的安全性。

本申请提供了一种异常检测方法，包括：

根据用户访问服务器行为的历史流量数据建立基础矩阵，并根据待检测当天用户访问服务器行为的流量数据获取待检测当天的观察向量；

计算基础矩阵和待检测当天的观察向量的马氏距离，根据马氏距离判断用户访问服务器行为是否异常。

可选的，所述计算基础矩阵和待检测当天的观察向量的马氏距离包括：

将所述基础矩阵和所述观察向量进行归一化处理；

对归一化处理后的基础矩阵进行奇异值分解；

根据归一化处理后的观察向量和奇异值分解得到的矩阵计算马氏距离。

可选的，所述根据归一化处理后的观察向量和奇异值分解得到的矩阵计算马氏距离包括：

按照公式计算所述马氏距离；

其中，为取矩阵U的前r列得到的矩阵，为归一化处理后的观察向量，为取矩阵S前r项对角线元素得到的矩阵，矩阵U和矩阵S为所述奇异分解得到的矩阵。

可选的，所述根据马氏距离判断用户访问服务器行为是否异常包括：

根据所述马氏距离计算评分，根据所述评分判断所述用户访问服务器行为是否异常。

可选的，所述根据马氏距离计算评分包括：

按照公式计算所述评分；

其中，score为所述评分，A为所述评分的最高值和最低值之差，m为马氏距离，m₀为所述评分为A/2对应的马氏距离，k为曲线的斜率。

本发明实施例提出了一种异常检测装置，包括：

获取模块，用于根据用户访问服务器行为的历史流量数据建立基础矩阵，并根据待检测当天用户访问服务器行为的流量数据获取待检测当天的观察向量；

计算模块，用于计算基础矩阵和待检测当天的观察向量的马氏距离；

检测模块，用于根据马氏距离判断用户访问服务器行为是否异常。

可选的，所述计算模块具体用于：

将所述基础矩阵和所述观察向量进行归一化处理；

对归一化处理后的基础矩阵进行奇异值分解；

根据归一化处理后的观察向量和奇异值分解得到的矩阵计算马氏距离。

可选的，所述检测模块具体用于：

根据所述马氏距离计算评分，根据所述评分判断所述用户访问服务器行为是否异常。