[发明专利]一种异常检测方法、装置及设备

说明书

本申请提供一种异常检测方法、装置及设备，该方法可以通过依据已获得的各内网终端在不同特征维度上的行为特征值，并分别按照第一智能算法确定第一类异常终端，以及，按照第二智能算法确定第二类异常终端；依据第一类异常终端以及各特征维度上出现异常的第二类异常终端确定目标异常终端，并依据第二指定时间段内已监测到的目标异常终端在不同特征维度上的行为特征值确定引起目标异常终端异常的异常原因。以依据异常原因，减少异常终端出现异常行为的误报率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常检测方法、装置及设备。

背景技术

目前，网络安全技术主要集中在对来自外部网络的攻击进行防御响应，而对内网终端产生异常流量的行为考虑的较少。而伴随着内网业务的不断扩增，内网终端产生异常流量对企业自身数据安全及系统稳定造成的威胁在不断增加。因此，对内网终端的流量行为的异常检测也成为保障网络安全的重要环节。

在现有技术中，对内网终端进行异常检测常用的方法是通过人工检测各内网终端的行为是否正常，例如检测内网终端访问目的端口号的次数是否大于阈值，如果大于阈值，则认为该内网终端的行为属于异常行为，并进行上报。而在实际应用中，可能存在该内网终端的行为仅仅是习惯行为，并不是真正的异常行为。可见，现有技术的异常检测方法不仅单一且还需要太多的人工干预，进而容易造成异常检测的误报率高。

发明内容

有鉴于此，本发明提供一种异常检测方法、装置及设备，以降低误报率。

具体地，本申请是通过如下技术方案实现的：

第一方面，本申请实施例提供一种异常检测方法，所述方法包括：

获得第一指定时间段内已监测到的各内网终端在不同特征维度上的行为特征值；

依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第一智能算法确定存在异常行为的第一类异常终端；

依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第二智能算法确定每一特征维度上出现异常的第二类异常终端；所述第二智能算法不同于所述第一智能算法；

依据所述第一类异常终端以及各特征维度上出现异常的第二类异常终端确定目标异常终端，依据第二指定时间段内已监测到的目标异常终端在不同特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因；所述第二指定时间段早于所述第一指定时间段，所述异常原因为：基于突发行为引起的异常，或者基于习惯行为引起的异常。

第二方面，基于相同的构思，本申请还提供一种异常检测装置，所述装置包括：

特征值获得单元，获得第一指定时间段内已监测到的各内网终端在不同特征维度上的行为特征值；

第一异常终端确定单元，用于依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第一智能算法确定存在异常行为的第一类异常终端；

第二异常终端确定单元，用于依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第二智能算法确定每一特征维度上出现异常的第二类异常终端；所述第二智能算法不同于所述第一智能算法；

异常原因确定单元，用于依据所述第一类异常终端以及各特征维度上出现异常的第二类异常终端确定目标异常终端，依据第二指定时间段内已监测到的目标异常终端在不同特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因；所述第二指定时间段早于所述第一时间段，所述异常原因为：基于突发行为引起的异常，或者基于习惯行为引起的异常。

第三方面，本申请实施例提供一种电子设备，该电子设备包括处理器和存储器；

所述存储器，用于存储机器可执行指令；