[发明专利]一种异常行为的检测方法、装置、电子设备及存储介质

说明书

本发明实施例提供了一种异常行为的检测方法、装置、电子设备及存储介质，方法包括：获取待检测日志；将生成时间的间隔不大于预设阈值的相邻日志记录划分至同一数据片，得到多个数据片；根据每个数据片中包括的日志记录的日志类型，生成日志向量；基于每个日志向量与各类别中心点之间的距离，确定日志记录是否为异常行为所产生的日志记录，类别中心点为对预先获取的日志样本划分得到的数据片样本所对应的日志向量样本进行聚类得到的类别的中心点。由于在进行数据片划分时，将生成时间的间隔不大于预设阈值的相邻日志记录划分至同一数据片，不会将连续的物理行为所产生的日志记录划分至不同的数据片中，可以准确确定异常行为所对应的日志记录。

技术领域

本发明涉及设备异常行为检测技术领域，特别是涉及一种异常行为的检测方法、装置、电子设备及存储介质。

背景技术

由于异常行为会威胁网络设备安全，所以对异常性行为的检测尤为重要。各种物理行为所产生的日志会具有一定的规律，符合一定的行为模式，因此通过对日志的分析处理可以确定异常行为。目前广泛应用的基于日志的异常行为检测也就是检测不符合行为模式的日志数据，进而确定该日志数据所对应的行为为异常行为。

目前的基于日志的异常行为检测方式为：首先获取日志数据，然后按照固定时间或固定日志数量进行数据切片，再对每个数据片统计包括的各日志类型的日志记录的数量，进而根据各日志类型的日志记录的数量，挖掘不符合行为模式的日志数据，实现基于日志数据的异常行为检测。

在上述异常行为检测方式中，由于其按照固定时间或固定日志数量进行数据切片，会将连续的物理行为产生的日志记录划分至不同的数据片中，导致日志数据的物理行为信息丢失，每个数据片包括的日志记录并不是连贯的物理行为所产生的日志记录，因此异常行为检测结果并不准确。

发明内容

本发明实施例的目的在于提供一种异常行为的检测方法、装置、电子设备及存储介质，用以解决目前的异常行为检测方式存在的检测结果不准确的问题。具体技术方案如下：

第一方面，本申请实施例提供了一种异常行为的检测方法，所述方法包括：

获取待检测日志，其中，所述待检测日志包括多条日志记录，每条日志记录包括生成时间和日志类型；

将生成时间的间隔不大于预设阈值的相邻日志记录划分至同一数据片，得到多个数据片，其中，每个数据片包括的日志记录对应一个物理行为；

根据每个数据片中包括的日志记录的日志类型，生成所述每个数据片对应的日志向量，其中，所述日志向量与所述日志类型相关；

基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录，其中，所述类别中心点为：对预先获取的日志样本划分得到的数据片样本所对应的日志向量样本进行聚类得到的类别的中心点。

可选的，所述基于每个所述日志向量与预先聚类得到的各类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录的步骤，包括：

计算每个所述日志向量与预先聚类得到的各类别中心点之间的距离，其中，所述日志向量与各类别中心点之间的距离用于表征每个日志向量属于该类别中心点对应的类别的概率；

针对所述每个数据片，确定所述距离中的最小距离所对应的类别，作为该数据片的目标类别；

如果所述目标类别为异常类别，确定该目标类别对应的数据片包括的日志记录为异常行为所产生的日志记录；或，

针对所述每个数据片，基于所对应的最小距离及目标类别所包括的日志向量样本与类别中心点之间的距离，确定所述每个数据片包括的日志记录是否为异常行为所产生的日志记录，其中，所述日志向量样本与所述类别中心点之间的距离用于表征该日志向量样本属于该类别的概率。