[发明专利]入侵操作检测方法、装置、设备及计算机可读存储介质

权利要求书

1.一种入侵操作检测方法，其特征在于，包括：

S101、获取目标主机的日志文件，将所述日志文件作为待检测数据集，所述待检测数据集中每个数据点的n维数据值与所述日志文件中每个操作的n维操作数据相对应；

S102、利用所述待检测数据集中每个数据点的n维数据值，建立与所述待检测数据集对应的n维数据空间，所述n维数据空间由边长相等且互不相交的网格组成，将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内，并确定待检测的目标网格；

S103、检测目标网格内的数据点个数是否小于K+1；其中，K为k近邻参数值；若是，则将目标网格作为中心网格，执行S104；若否，则执行S105；

S104、查找中心网格的邻接网格，将所述中心网格和所述邻接网格组合生成重组网格，并检测所述重组网格内的数据点个数是否小于K+1；若是，则将重组网格作为中心网格，继续执行S104；若否，则执行S105；

S105、计算目标网格内每个数据点的局部离群因子；若所述n维数据空间内存在未检测的网格，则从未检测的网格内重新选取目标网格，并继续执行S103；若所述n维数据空间内不存在未检测的网格，则执行S106；

S106、将局部离群因子大于预定阈值的数据点作为异常数据点，将所述异常数据点对应的操作作为入侵操作。

2.根据权利要求1所述的入侵操作检测方法，其特征在于，所述S102中利用所述待检测数据集中每个数据点的n维数据值，建立与所述待检测数据集对应的n维数据空间，所述n维数据空间由边长相等且互不相交的网格组成，包括：

利用所述待检测数据集D中每个数据点的n维数据值，建立与所述待检测数据集对应的n维数据空间S＝R₁×R₂×...R_n；R_i为第i维数据集，且R_i的区间为R_i＝[l_i,h_i]，l_i为第i维数据集的最小值，h_i为第i维数据集的最大值；

其中，所述n维数据空间由边长相等且互不相交的网格组成，所述n维数据空间S的网格边长M为所述待检测数据集D的数据点个数；

所述n维数据空间S的每一维上的网格数量Num＝^┌(h_i-l_i)/Len^┐。

3.根据权利要求2所述的入侵操作检测方法，其特征在于，所述S102中将所述待检测数据集中每个数据点映射到所述n维数据空间的网格内，包括：

计算所述待检测数据集D中每个数据点X在所述n维数据空间内的第i维的下标index_i，且index_i＝^┌(x_i-l_i)/Len^┐；其中，所述待检测数据集D中每个数据点为X(x₁,x₂...x_n)，x_i为数据点X在第i维的数据值；

根据每个数据点X的每一维数据值的下标，将每个数据点映射到所述n维数据空间的网格内。

4.根据权利要求1至3中任意一项所述的入侵操作检测方法，其特征在于，所述S105中计算所述目标网格内每个数据点的局部离群因子，包括：

计算所述目标网格内每个数据点的k近邻数据集；所述k近邻数据集包括每个数据点的第k距离和每个k距离邻域内包含的数据点；

利用每个数据点的k近邻数据集计算每个数据点的局部可达密度，并利用每个数据点的局部可达密度确定每个数据点的局部离群因子。