[发明专利]一种异常行为检测方法、装置及验证系统

说明书

本申请涉及行为检测技术领域，提供一种异常行为检测方法、装置及验证系统。其中，异常行为检测方法包括：从区块链节点接收待检测行为；利用第一检测模型以及第二检测模型分别基于待检测行为进行检测，分别获得第一检测结果以及第二检测结果，第一检测模型基于正常行为样本集进行无监督学习后获得，第二检测模型基于正常行为样本集以及异常行为样本集进行有监督学习后获得；根据两个检测结果确定最终检测结果；将最终检测结果发送至区块链节点，以使区块链节点在最终检测结果为正常时，将源设备发送的功能请求转发至目标设备，否则拒绝将功能请求转发至目标设备。上述方法能够有效检测设备的异常联动行为，改善设备的安全性。

技术领域

本申请涉及行为检测技术领域，具体而言，涉及一种异常行为检测方法、装置及验证系统。

背景技术

由于区块链具有去多心化、信息共享、数据不可篡改、加密性良好等特性，因此近年来在物联网领域得到应用。例如，通过建立联盟链解决从属于不同平台的设备之间的互信问题，使得这些设备可以进行跨平台联动。然而，对于设备的异常联动行为(包括但不限于恶意行为)，尚缺乏有效的检测手段，导致设备的安全性受到潜在的威胁。

发明内容

有鉴于此，本申请实施例提供一种异常行为检测方法、装置及验证系统，利用两个不同特点的检测模型分别进行异常行为的检测，并综合两个模型的检测结果获得最终检测结果，从而可以有效检测设备的异常联动行为，改善设备的安全性。

为实现上述目的，本申请提供如下技术方案：

第一方面，本申请实施例提供一种异常行为检测方法，包括：从区块链节点接收待检测行为，所述待检测行为是所述区块链节点接收到源设备发送给目标设备的功能请求后，根据所述功能请求以及存储于区块链上的用于验证所述源设备和所述目标设备的身份和互信关系的验证数据生成的；利用第一检测模型以及第二检测模型分别基于所述待检测行为进行异常检测，并根据所述第一检测模型的输出获得第一检测结果以及根据所述第二检测模型的输出获得第二检测结果，其中，所述第一检测模型是基于正常行为样本集进行无监督学习后获得的，所述第二检测模型是基于所述正常行为样本集以及异常行为样本集进行有监督学习后获得的；根据所述第一检测结果以及所述第二检测结果确定针对所述待检测行为的最终检测结果；将所述最终检测结果发送至所述区块链节点，以使所述区块链节点在所述最终检测结果为正常时，将所述功能请求转发至所述目标设备，以及在所述最终检测结果为异常时，拒绝将所述功能请求转发至所述目标设备。

上述方法中使用的第一检测模型是基于正常行为样本集进行无监督学习后获得的，从而可以有效检测未知的异常行为，但由于在训练时未使用先验知识，因此检测准确率相对较低；第二检测模型是基于正常行为样本集以及异常行为样本集进行有监督学习后获得的，由于在训练时使用了先验知识，因此检测准确率相对较高，但难以检测未知的异常行为。因此，上述方法同时使用两个检测模型分别基于待检测行为进行异常检测，并根据两个检测模型的检测结果确定最终检测结果，相当于使得两个模型取长补短，使得最终检测结果中对异常行为的检测准确率显著提高。

从而，区块链节点根据该最终检测结果决定是否转发源设备发送给目标设备的功能请求(用于源设备和目标设备的联动)，能够有效阻止设备的异常联动行为危害设备安全，从而提高设备及整个网络的安全性。

在第一方面的一些实现方式中，所述根据所述第一检测结果以及所述第二检测结果确定针对所述待检测行为的最终检测结果，包括：若所述第一检测结果以及所述第二检测结果均为正常，则确定所述最终检测结果为正常；若所述第一检测结果以及所述第二检测结果均为异常，则确定所述最终检测结果为异常；若所述第一检测结果为正常且所述第二检测结果为异常，则确定所述最终检测结果为异常；若所述第一检测结果为异常且所述第二检测结果为正常，则根据对所述待检测行为的人工鉴定结果确定所述最终检测结果为正常或异常。