[发明专利]一种网络安全场景的异常检测方法、装置、设备及介质

说明书

本申请公开了一种网络安全场景的异常检测方法，包括：获取网络安全场景中各分组对象的时序特征并计算出与各时序特征对应的时序特征点的异常评分；根据各时序特征点的异常评分确定出各时序特征点的异常等级；确定出与各分组对象对应的时间序列的时间窗口大小，并根据时间窗口大小为各时间序列划分时间段；利用各时序特征点的异常等级更新对应的时间段内各时间序列对应的异常等级；根据更新后的异常等级确定出网络安全场景的综合异常级别；本方法能够提高对网络安全场景的异常检测的准确度。本申请还公开了一种网络安全场景的异常检测装置、设备及计算机可读存储介质，均具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种网络安全场景的异常检测方法、装置、设备及计算机可读存储介质。

背景技术

在网络安全领域，随着数据量的快速增长，传统的网络安全设备的数据处理能力捉襟见肘，且大多基于内容检测的网络安全检测方式无法应对当前的网络攻击态势。基于网络安全数据统计量的时间序列异常检测算法可以对用户或实体建立历史行为基线，得出对应的时序特征，从而有效地发现当前用户或实体的异常行为，进而对网络安全场景进行异常检测。

而随着用户或实体数量越来越多，传统的单时序异常评分算法无法有效地感知不同时间段不同网络安全场景的综合态势，因此目前一般采用多时间序列异常点的评分方式实现快速定位到异常的网络安全场景以及异常的时间段，使得安全分析更有针对性，从而提高安全分析的效率。但是，现有技术中，一般是使用当前时间段中所有时间序列中异常评分的最大值作为该时间段的综合评分；其缺点在于使用异常评分的最大值作为综合评分不足以反映当前时段所有时序异常的综合态势，而且时间序列上的异常点也不一定是发生异常行为，有可能是正常业务行为，因此将使得确定出的异常行为不够准确，使得对网络安全场景的异常检测并不准确。

因此，如何提高对网络安全场景异常检测的准确度，是本领域技术人员目前需要解决的技术问题。

发明内容

有鉴于此，本发明的目的在于提供一种网络安全场景的异常检测方法，能够提高对网络安全场景异常检测的准确度；本发明的另一目的是提供一种网络安全场景的异常检测装置、设备及计算机可读存储介质，均具有上述有益效果。

为解决上述技术问题，本发明提供一种网络安全场景的异常检测方法，包括：

获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分；

根据各所述时序特征点的异常评分确定出各所述时序特征点的异常等级；

确定出与各所述分组对象对应的时间序列的时间窗口大小，并根据所述时间窗口大小为各所述时间序列划分时间段；

利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级；

根据更新后的所述异常等级确定出所述网络安全场景的综合异常级别。

优选地，所述获取网络安全场景中各分组对象的时序特征的过程，具体包括：

根据所述网络安全场景确定出各所述分组对象的统计数据的时间聚合窗口；

根据所述统计数据的字段类型确定出对应的统计算子；

利用所述统计算子计算出所述时序特征。

优选地，在所述获取网络安全场景中各分组对象的时序特征并计算出与各所述时序特征对应的时序特征点的异常评分之后，进一步包括：

利用带拉普拉斯平滑项的Min-max标准化方法分别对各所述时序特征点的异常评分进行标准化处理。

优选地，所述利用各所述时序特征点的异常等级更新对应的时间段内各所述时间序列对应的异常等级的过程，具体包括：