[发明专利]一种终端行为监测方法、装置、电子设备及存储介质

说明书

本发明的实施例公开一种行为特征库方法、装置、电子设备及存储介质。该方法包括：采集网络中多个终端的多个行为特征；从多个行为特征中确定出每个终端的多个可用行为特征；利用该多个可用行为特征进行聚类分析，得到多个聚类中心点，及每个聚类中心点对应的终端类型及对应的标准行为矩阵；利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库，该终端行为特征库包括：终端类型与标准行为矩阵的对应关系；当监测到目标终端的任一行为特征对应的一维行为矩阵与终端行为特征库中目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时，确定该目标终端行为疑似异常。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种终端行为监测方法、装置、电子设备及存储介质。

背景技术

目前恶意代码肆意泛滥，而恶意代码的扩散和终端被攻击有很大一部分是来源于企业内网，因此企业都会对企业内网的终端进行行为监测，以进行防护确保内网安全。当前企业进行终端行为监测时，使用的检测规则通常都是人为制定的，但是企业内网环境复杂，终端众多，因此依靠人为制定检测规则进行终端行为监测存在效率低、灵活性低、准确性低的问题。

发明内容

有鉴于此，本发明实施例提供一种终端行为监测方法、装置、电子设备及存储介质，可以智能、科学的建立终端的行为特征库，基于该行为特征库进行终端行为监测可以提高监测的效率、灵活性及准确性。

在第一方面，本发明实施例提供一种终端行为监测方法，该方法包括：

采集网络中多个终端的多个行为特征；

从所述多个行为特征中确定出每个终端的多个可用行为特征；

分别将所述每个终端的多个可用行为特征转化成行为矩阵；

分别将每个终端对应的行为矩阵投影到超平面，在所述超平面上形成多个点，对超平面上的所述多个点进行聚类分析，得到多个聚类中心点；

根据在距离每个聚类中心点预设范围内的点对应的行为矩阵，确定该聚类中心点对应的终端类型及对应的标准行为矩阵；

利用每个聚类中心点对应的终端类型及对应的标准行为矩阵建立或更新终端行为特征库，所述终端行为特征库包括：所述终端类型与所述标准行为矩阵的对应关系；

当监测到目标终端的任一行为特征对应的一维行为矩阵与所述终端行为特征库中所述目标终端的终端类型对应的标准行为矩阵中的该一维行为矩阵不同时，确定所述目标终端行为疑似异常。优选的，所述分别将所述每个终端的多个可用行为特征转化成行为矩阵，包括：将所述每个终端的多个可用行为特征中的二维行为特征转换成一维行为矩阵；将所述每个终端的多个可用行为特征中的多维行为特征按照预设的转换映射表转换成多个一维矩阵，将所述多个一维矩阵转换成一维行为矩阵；将多个可用行为特征转换得到的一维行为矩阵结合，得到所述每个终端的行为矩阵。

优选的，在所述将每个可用行为特征转换的得到的一维行为矩阵结合，得到所述每个终端的行为矩阵之前，所述方法还包括：对每个一维行为矩阵进行归一化处理。

优选的，在所述确定所述目标终端行为疑似异常之后，所述方法还包括：将所述目标终端的行为特征与预先存储的所述目标终端在正常状态下的行为特征进行比较；如果所述目标终端的行为特征为未包含于所述目标终端在正常状态下的行为特征内，则确定所述目标终端行为异常。

优选的，所述从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征，包括：当满足终端行为特征库更新条件时，从所述多个行为特征中确定出所述多个终端中的每个终端的多个可用行为特征。

在第二方面，本发明实施例提供一种终端行为监测装置，该装置包括：

采集单元，用于采集网络中多个终端的多个行为特征；