[发明专利]基于树结构进行异常侦测的方法、装置及相关产品

说明书

本申请实施例提供了一种基于树结构进行异常侦测的方法、装置及相关产品。基于树结构进行异常侦测的方法通过获取安全服务进程树，所述安全服务进程树根据安全服务进程的变化生成，所述安全服务进程关联于系统操作日志源数据；根据安全服务进程树，确定所述系统操作日志源数据的上下文关系；将所述系统操作日志源数据的上下文关系输入到异常侦测模型中；所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系进行识别以判断所述系统操作日志源数据是否异常，进而判断用户的行为是否异常，以避免遭遇数据灾难以及避免用户受到不可估量的损失。

技术领域

本申请涉及信息技术领域，特别是涉及一种基于树结构进行异常侦测的方法、装置 及相关产品。

背景技术

21世纪是数据信息大发展的时代，移动互联、社交网络、电子商务等极大拓展了互联网的边界和应用范围，各种数据正在迅速膨胀并变大。互联网(社交、搜索、电商)、 移动互联网(微博)、物联网(传感器，智慧地球)、车联网、GPS、医学影像、安全监 控、金融(银行、股市、保险)、电信(通话、短信)都在疯狂产生着数据，海量的数 据隐含着巨大的信息。

数据是信息的载体，一旦遭遇数据灾难，可能给用户造成不可估量的损失。因此，提供一种进行异常侦测的方法，从而对用户的行为建立有效的监控。

发明内容

基于上述问题，本申请实施例提供了一种基于树结构进行异常侦测的方法、装置及 相关产品。

本申请实施例公开了如下技术方案：

1、一种基于树结构进行异常侦测的方法，其特征在于，包括：

获取安全服务进程树，所述安全服务进程树根据安全服务进程的变化生成，所述安 全服务进程关联于系统操作日志源数据；

根据安全服务进程树，确定所述系统操作日志源数据的上下文关系；

将所述系统操作日志源数据的上下文关系输入到异常侦测模型中；

所述异常侦测模型基于其异常侦测机制对所述系统操作日志源数据的上下文关系 进行识别以判断所述系统操作日志源数据是否异常。

2、根据权利要求1所述基于树结构进行异常侦测的方法，其特征在于，所述获取安全服务进程树之前，包括：

实时抓取关联于用户实体行为的系统操作日志源数据，并确定控制所述系统操作日 志源数据生成的安全服务进程；

确定在生成所述系统操作日志源数据的过程中所述安全服务进程的变化；

根据所述安全服务进程的变化，生成安全服务进程树，以确定所述系统操作日志源 数据的上下文关系。

3、根据权利要求2所述基于树结构进行异常侦测的方法，其特征在于，所述实时抓取关联于用户实体行为的系统操作日志源数据，包括：以事件的方式从数据源获取 关联于用户实体行为的系统操作日志源数据。

4、根据权利要求2所述基于树结构进行异常侦测的方法，其特征在于，所述以事件的方式获取关联于用户实体行为的系统操作日志源数据，包括：对从数据源获取到 的关联于用户实体行为的系统操作日志源数据进行封装处理得到事件，以所述事件为 数据单元获取关联于用户实体行为的系统操作日志源数据。

5、根据权利要求2所述基于树结构进行异常侦测的方法，其特征在于，所述实时抓取关联于用户实体行为的系统操作日志源数据，包括：按照设定的PUSH模型或者 PULL模型实时抓取关联于用户实体行为的系统操作日志源数据。

6、根据权利要求5所述基于树结构进行异常侦测的方法，其特征在于，在所述PUSH模型中设置有日志搜集器，所述日志搜集器的容量需要大于系统操作日志源数据 的最大生成量。