[发明专利]一种异常行为预测方法和装置

说明书

本发明涉及一种异常行为预测方法和装置，该方法包括：获取用户的样本数据；其中，所述样本数据包括预设时长的历史行为数据；对所述样本数据进行分解，得到时间参数；其中，所述时间参数用于表征所述样本数据按照时间序列的变化规律；根据所述时间参数，确定目标回归模型；利用所述目标回归模型对所述用户的当前行为数据进行预测，以获得对应所述当前行为数据的预测结果；判断所述预测结果是否位于所述样本数据的置信区间内；如果否，则确定所述当前行为数据为异常行为。本方案能够确定异常行为以实现对未知威胁的检测。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常行为预测方法和装置。

背景技术

随着网络安全威胁形态的演化，传统端点安全产品在防御传统已知威胁时，主要通过对恶意软件或攻击的摘要信息标记或特征信息进行识别，然而目前这种基于特征信息的方法，必须事先明确遭受网络安全入侵的定义才可以识别入侵，即检测恶意软件的传统方法依赖于发现入侵指标。因此，对于未被识别的全新的恶意软件或未知威胁，则会因检测不到异常行为而导致遭受网络威胁，不能及时进行防御和溯源。

鉴于此，针对以上不足，需要提供一种异常行为预测方法和装置来解决上述不足。

发明内容

本发明要解决的技术问题在于如何确定异常行为以实现对未知威胁的检测，针对现有技术中的缺陷，提供了一种异常行为预测方法和装置。

为了解决上述技术问题，第一方面，本发明提供了一种异常行为预测方法，该方法包括：

获取用户的样本数据；其中，所述样本数据包括预设时长的历史行为数据；

对所述样本数据进行分解，得到时间参数；其中，所述时间参数用于表征所述样本数据按照时间序列的变化规律；

根据所述时间参数，确定目标回归模型；

利用所述目标回归模型对所述用户的当前行为数据进行预测，以获得对应所述当前行为数据的预测结果；

判断所述当前行为数据是否符合所述预测结果；

如果否，则确定所述当前行为数据为异常行为。

可选地，所述对所述样本数据进行分解，得到时间参数，包括：

对所述样本数据按照季节因素进行分解，并根据分解后的样本数据确定第一时间参数；

对所述样本数据按照周期因素进行分解，并根据分解后的样本数据确定第二时间参数。

可选地，所述根据所述时间参数，确定目标回归模型，包括：

创建自回归移动平均模型；

将所述第一时间参数确定为所述自回归移动平均模型的移动平均阶数；

将所述第二时间参数确定为所述自回归移动平均模型的自回归参数；

根据所述移动平均阶数和所述自回归参数，确定所述目标回归模型。

可选地，在所述获取用户的样本数据之后，在所述对所述样本数据进行分解，得到时间参数之前，进一步包括：

对所述样本数据进行均值运算，得到对应所述样本数据的均值；

对所述样本数据进行标准差运算，得到对应所述样本数据的标准差；

对所述样本数据进行标准误差运算，得到对应所述样本数据的标准误差；

根据预设的置信度、所述均值、所述标准差和所述标准误差进行运算，获得对应所述样本数据的置信区间；其中，通过对所述置信区间进行分解得到所述时间参数。

可选地，所述利用所述目标回归模型对所述用户的当前行为数据进行预测，包括：