[发明专利]行为异常检测方法和装置

说明书

本发明公开了行为异常检测方法和装置，涉及网络安全技术领域。该方法的一具体实施方式包括：根据预设的异常因子检测方式，检测设定范围内的行为数据；当检测的结果指示行为数据包括至少一种异常因子时，计算每一种异常因子在设定范围内的发生率；根据每一种异常因子、每一种异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及关联关系对应的条件概率，计算行为数据对应的异常分数，当异常分数不小于预设的异常阈值时，行为数据指示了发生行为异常。该实施方式能够有效地降低行为异常的误报率或虚报率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种行为异常检测方法和装置。

背景技术

网络安全隐患(如数据泄密、网络攻击等)一般可由网络中的用户行为或实体行为异常引起及体现出来，其中，实体设备例如为个人计算机、手机、平板、服务器、虚拟机等。因此，检测行为(用户行为和/或实体行为)是否异常，是保证网络安全的重要前提。

目前，检测行为异常的方式主要通过规则匹配完成，即为异常配置对应的规则，当检测到的一具体行为(用户行为和/或实体行为)满足该规则时，则确定该行为异常。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

现有的这种行为异常检测方式，由于参考标准比较单一，会导致误报或虚报。

发明内容

有鉴于此，本发明实施例提供一种行为异常检测方法和装置，能够有效地降低行为异常的误报率或虚报率。

为实现上述目的，根据本发明实施例的一个方面，提供了一种行为异常检测方法，包括：

根据预设的异常因子检测方式，检测设定范围内的行为数据；

当检测的结果指示所述行为数据包括至少一种异常因子时，计算每一种所述异常因子在所述设定范围内的发生率；

根据每一种所述异常因子、每一种所述异常因子对应的发生率、存储的行为异常网络模型所包括的多个异常因子之间的关联关系及所述关联关系对应的条件概率，计算所述行为数据对应的异常分数，其中，所述行为异常网络模型与一行为异常相关，所述关联关系包括至少一个作为父节点的异常因子和一个作为子节点的组合因子或所述行为异常；

当所述异常分数不小于预设的异常阈值时，所述行为数据指示了发生所述行为异常。

优选地，上述行为异常检测方法，进一步包括：

构建所述行为异常网络模型，其中，所述行为异常网络模型包括多个异常因子以及所述多个异常因子之间的至少一段关联关系；

为每一段所述关联关系配置多个条件概率，所述条件概率表示了对应于父节点的发生情况组合子节点的发生概率；

存储所述行为异常网络模型和每一段所述关联关系对应配置的多个条件概率。

优选地，每一段所述关联关系包括下列中的一种情况：

所述子节点对应于至少两个父节点、所述子节点是另一段关联关系的父节点。

优选地，为每一段所述关联关系配置多个条件概率的步骤，包括：

针对每一段所述关联关系，执行：

针对所述至少一个父节点的每一种状态值的组合，配置所述子节点发生的条件概率和所述子节点未发生的条件概率，其中，所述状态值指示所述父节点发生或未发生。

优选地，

在计算所述行为数据对应的异常分数之前，进一步包括：根据所述行为数据包括的异常因子，从至少两个所述行为异常网络模型中，确定待使用的所述异常网络模型。

优选地，计算所述行为数据对应的异常分数的步骤，包括：