[发明专利]检测实体异常的方法、装置、计算机设备和可读存储介质

说明书

本发明提供了一种检测实体异常的方法、装置、计算机设备和可读存储介质。该方法包括：获取待检测实体的网络流；提取单位时长内网络流的流量特征，得到特征样例；利用特征样例遍历预设二分树结构，确定特征样例在二分树结构中对应的终端结点，以得到目标结点；根据目标结点和多个历史特征样例在二分树结构中对应的终端结点的分布，确定特征样例的异常得分；以及根据特征样例的异常得分，确定对应单位时长内待检测实体的异常情况。通过本发明，能够实现实时网络数据流的异常检测。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种检测实体异常的方法、装置、计算机设备和可读存储介质。

背景技术

随着大数据时代的全面到来，网络环境多样化、用户人员信息量激增、企业业务的不断扩增，网络安全的边界正在模糊且渐渐消失。作为企业资产当中极为重要的企业内部数据也面临着不断变化发展的安全威胁。用户实体行为分析(User and Entity BehaviorAnalytics，UEBA)系统作为当下不断完善的全面异常用户监测体系，旨在突破传统安全检测方案。

传统的安全检测方案当中基于规则、特征签名、人工分析等传统安全检测手段存在如下的问题：无法自动适应入侵者不断变换的攻击方式，从而无法实时提供安全告警。为了解决该问题，现有技术提出采用基于如隔离森林，支持向量机，局部异常因子等算法的异常检测方法，但这些类型的方法都适用于批式数据且为线下模式，虽有优异的异常识别原理，但缺乏对流式数据特征的抓取，无法满足在线实时数据流的异常检测。

因此，如何实现实时网络数据流的异常检测，成为本领域亟需解决的技术问题。

发明内容

本发明的目的是提供一种检测实体异常的方法、装置、计算机设备和可读存储介质，用于解决现有技术中的技术问题。

一方面，为实现上述目的，本发明提供了一种检测实体异常的方法。

该检测实体异常的方法包括：获取待检测实体的网络流；提取单位时长内所述网络流的流量特征，得到特征样例；利用特征样例遍历预设二分树结构，确定所述特征样例在所述二分树结构中对应的终端结点，以得到目标结点；根据所述目标结点和多个历史特征样例在所述二分树结构中对应的终端结点的分布，确定所述特征样例的异常得分，其中，所述历史特征样例位于所述特征样例之前；以及根据所述特征样例的异常得分，确定对应单位时长内所述待检测实体的异常情况。

进一步地，根据所述目标结点和多个历史特征样例在所述二分树结构中对应的终端结点的分布，确定所述特征样例的异常得分的步骤包括：确定所述目标结点的深度；在由所述二分树结构记录的、所述多个历史特征样例的密度分布中，查找所述目标结点处的密度，其中，所述密度分布包括所述二分树结构中每个终端结点处的密度，所述密度为所述多个历史特征样例在所述终端结点处分布的特征样例的数量；根据所述目标结点的深度和密度计算所述特征样例的异常得分。

进一步地，采用以下公式计算所述特征样例的异常得分S：

S＝Den*2^Dep

其中，Den为所述目标结点的深度，Dep为所述目标结点对应的密度。

进一步地，预设包括N个特征样例的参考窗口；所述多个历史特征样例位于所述参考窗口中；在确定所述特征样例的异常得分的步骤之后，所述检测实体异常的方法还包括：将所述特征样例存入缓存窗口，并获取下一个所述特征样例对应的异常得分；当所述缓存窗口中的特征样例的数量达到N时，利用所述缓存窗口中的特征样例代替所述参考窗口中的特征样例，并清空所述缓存窗口。

进一步地，预设多个所述二分树结构，对应于每个所述二分树结构，分别得到所述特征样例的异常得分；根据所述特征样例的异常得分，确定对应单位时长内所述待检测实体的异常情况的步骤包括：计算所述特征样例对应于所有所述二分树结构的异常得分的和，得到得分和；根据所述得分和确定对应单位时长内所述待检测实体的异常情况。