[发明专利]一种基于机器学习算法的终端异常行为识别方法

权利要求书

1.一种基于机器学习算法的终端异常行为识别方法，其特征在于，包括：

获取终端行为日志数据；

对所述日志数据进行清洗和集成，得到以终端单位时间内的行为数据为统计特征的样本集；

对样本集按最优簇类数进行聚类，得到聚类模型；

持续对终端最近一段单位时间内的行为数据进行清洗、集成，并获得实时样本集，使用聚类模型对实时样本集进行类别划分，将样本划分至距离最近且距离小于阈值的簇心所属簇类，若样本距离所有簇心均大于阈值，则进行增量学习；

利用增量学习的样本补充训练样本集，通过补充后的样本训练集构造更新的聚类模型，同时将补充的样本划分至新的簇心，以此作为一个行为模式的识别类型；

在进行样本集构造时，包括如下步骤：

对日志数据进行清洗和空值填充，对处理后的数据按照单位时间进行分块，构造单维度统计特征，利用处理过的数据构造多维度统计特征，得到以终端单位时间内的行为数据为统计特征的样本集，并对样本集进行z-score标准化处理；

在确定最优簇类数并进行聚类时，采用如下方法确定轮廓系数Si：

其中，ai表示样本i与其同簇类各点距离的均值，bi表示样本i到其他簇类质心距离的最小值，Si表示训练集内样本点的轮廓系数，且-1≤Si≤1；

根据轮廓系数确定最优簇类数，具体包括如下步骤：

构建单样本轮廓系数算法，得到每个样本的轮廓系数；

计算所有样本轮廓系数的均值，得到整个样本集被聚为k类后的轮廓系数Sk；

遍历簇类数k，2≤k≤n，n为正整数，得到簇类数为2～n时的n-1个轮廓系数Sk，以其中最大的Sk对应的k值作为最优簇类数；

进行增量学习以划分至新的行为识别模型的样本，通过如下步骤进行处理：

收集所有需要进行增量学习的样本并作为新增样本加入训练样本集，得到更新后的训练样本集；

使用更新后的训练样本集训练聚类模型，包括确定最优簇类数和类别划分，更新的聚类模型将新增样本划分至新的簇心；

对该新的簇心类别进行定义，并作为新的行为模式识别模型；

所述的多维度统计特征包括占比类特征和风险指数类特征。

2.根据权利要求1所述的基于机器学习算法的终端异常行为识别方法，其特征在于，所述的占比类特征至少包括不存在签名占比、签名验证不成功占比和不在白名单占比。

3.根据权利要求1所述的基于机器学习算法的终端异常行为识别方法，其特征在于，所述的风险指数类特征至少包括端口连接状态风险指数和服务状态风险指数，所述风险指数通过如下方法进行计算：

风险指数＝A·B^T

其中，A表示各类型项目风险系数矩阵；B表示各类项目对应的项目数矩阵。