[发明专利]一种异常行为的检测方法、装置、电子设备及存储介质

权利要求书

1.一种异常行为的检测方法，其特征在于，所述方法包括：

获取待检测日志，其中，所述待检测日志包括多条日志记录，每条日志记录包括生成时间和日志类型；

将生成时间的间隔不大于预设阈值的相邻日志记录划分至同一数据片，得到多个数据片，其中，每个数据片包括的日志记录对应一个物理行为；

根据每个数据片中包括的日志记录的日志类型，生成所述每个数据片对应的日志向量，其中，所述日志向量与所述日志类型相关；

基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录，其中，所述类别中心点为：对预先获取的日志样本划分得到的数据片样本所对应的日志向量样本进行聚类得到的类别的中心点；

其中，所述基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录的步骤，包括：

计算每个所述日志向量与预先聚类得到的各类别中心点之间的距离，其中，所述日志向量与各类别中心点之间的距离用于表征每个日志向量属于该类别中心点对应的类别的概率；

针对所述每个数据片，确定所述距离中的最小距离所对应的类别，作为该数据片的目标类别；

如果所述目标类别为异常类别，确定该目标类别对应的数据片包括的日志记录为异常行为所产生的日志记录；或，

针对所述每个数据片，基于所对应的最小距离及目标类别所包括的日志向量样本与类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录，其中，所述日志向量样本与所述类别中心点之间的距离用于表征该日志向量样本属于该类别的概率。

2.如权利要求1所述的方法，其特征在于，所述针对所述每个数据片，基于所对应的最小距离及目标类别所包括的日志向量样本与类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录的步骤，包括：

针对所述每个数据片，如果该数据片所对应的最小距离大于该数据片所对应的目标类别所包括的日志向量样本与类别中心点之间的最大距离，确定该数据片包括的日志记录为异常行为所产生的日志记录。

3.如权利要求1所述的方法，其特征在于，所述根据每个数据片中包括的日志记录的日志类型，生成所述每个数据片对应的日志向量的步骤，包括：

统计所述每个数据片中包括的每种所述日志类型的日志记录的数量；

基于所述数量，生成所述每个数据片对应的日志向量。

4.如权利要求1所述的方法，其特征在于，在所述基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录的步骤之前，所述方法还包括：

按照预设规范化规则，对每个所述日志向量进行规范化处理，得到处理后的日志向量；

所述基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片是否为异常行为所产生的日志记录的步骤，包括：

基于每个所述处理后的日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片是否为异常行为所产生的日志记录。

5.如权利要求1-4任一项所述的方法，其特征在于，所述类别中心点的确定方式，包括：

获取日志样本，其中，所述日志样本包括多条日志记录样本，每条日志记录样本包括生成时间和日志类型；

将生成时间的间隔不大于预设阈值的相邻日志记录样本划分至同一数据片，得到多个数据片样本，其中，每个数据片样本包括的日志记录样本对应一个物理行为；

根据每个数据片样本中包括的日志记录样本的日志类型，生成所述每个数据片样本对应的日志向量样本，其中，所述日志向量样本与所述日志类型相关；

对所述日志向量样本进行聚类，确定每个类别的中心点，作为类别中心点。

6.如权利要求5所述的方法，其特征在于，所述对所述日志向量样本进行聚类，确定每个类别的中心点的步骤，包括：

基于所述日志向量样本，通过肘算法确定聚类处理的类别数量；

基于所述类别数量对所述日志向量样本进行聚类，确定各类别的中心点。