[发明专利]异常行为检测方法、装置及设备

说明书

本发明公开了一种异常行为检测方法、装置及设备，其中，一种异常行为检测方法，包括：获取基于用户行为的原始数据流；对所述原始数据流的应用协议进行识别和解析后，得到解析数据；提取所述解析数据的多维关联特征；采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。通过对原始数据流进行识别和解析，并对解析的数据进行提取多维关联特征操作，从而依据多维关联特征进行异常检测，得到异常系数。因从解析的原始数据流中直接提取多维关联特征，从而最大限度保留原始特征，二在检测时采用行为模型对异常系统进行检测，无需人工干预，采用多维关联特征，在降低计算开销的同时，提高了检测的准确性。

技术领域

本发明涉及网络安全领域，尤其涉及一种异常行为检测方法、装置及设备。

背景技术

随着信息技术的发展，网络已经成为人们日常生活中必不可少的一部分，给工作、生活、学习等都带来了极大的便利。但任何事情都有两面性，网络的开放性也同时带来了诸多安全性问题，比如：信息泄露、勒索软件、挖矿木马、僵尸网络、钓鱼等，都会使用网络对用户进行攻击。现有一些安全检测和防御技术，都只能对已发现并确定的攻击进行检测和防御，很难做到对未知攻击的检测。另一方面，如果用户已被攻击，恶意软件在非常隐蔽的情况下执行非法操作，用户是很难发现的。但由于常见恶意软件一般都会使用网络连接服务器获取指令，因此可通过流量基于行为分析的基础上来提早发现或阻断攻击。

现有通过流量发现或阻断攻击的方法有基于聚类的方法和基于灰色LOF的异常流量检测方法，基于聚类的方法基于特定的属性和维度特征，将数据流量划分为多个类或簇，然后根据各个簇内对象的数量、距离及密度等信息及各个簇之间的距离、密度等关系来判定异常对象或异常簇，以此来达到检测异常的目的。

基于聚类的方法存在以下缺陷：

1)聚类算法的核心目的是准确、高效的发现多个簇，并不是去发现异常或离群点，同时划分簇的效果还可能受到异常点、离群点的干扰。

2)聚类算法在优化生成簇的过程中，可能会丢弃或忽略离群点，导致待检测异常信息丢失。

3)聚类算法本质上是二分类方法，对于一个待检测对象，只能给出：正常、异常两种结果。但对于流量中的异常行为，更适合给出一个相对的异常程度。

基于灰色LOF的异常流量检测方法对流量数据包的：PacketIn、PacketOut、BytesIn、BytesOut四个维度作为检测数据源提取关联相关字段，将采集到的数据基于一套灰度理论进行分析和预测，把预测结果和原始数据进行对比，一定偏差范围内的归为正常流量，偏差之外的归为灰色流量。然后将灰色流量送入LOF模块进行异常检测，从而发现异常流量。

基于灰色LOF的异常流量检测方法存在以下缺陷：

1)数据采集源为：数据包和字节流，因此只能采集到流量的行为特征，无法采集到基于应用层数据的用户行为特征，以及多流量间的用户关联行为特征。

2)采集到的数据会首先经过灰度计算处理，在降低数据量的同时，也增加了额外的计算开销；同时经过灰度处理，可能会对原始的异常信息造成丢失。

发明内容

本发明实施例提供一种异常行为检测方法、装置及设备，用以至少解决现有技术存在的部分问题。

第一方面，本发明实施例提供一种异常行为检测方法，包括：

获取基于用户行为的原始数据流；

对所述原始数据流的应用协议进行识别和解析后，得到解析数据；

提取所述解析数据的多维关联特征；

采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。