[发明专利]异常网络安全行为的检测方法、装置、电子设备及存储介质

权利要求书

1.一种异常网络安全行为的检测方法，其特征在于，包括：

获取用户的网络安全行为对应的当前日志数据，其中，所述当前日志数据包括网络流量日志和/或系统应用日志；

获取网络安全行为基线，并基于所述网络安全行为基线对所述当前日志数据进行检测，以确定所述用户的网络安全行为是否为异常网络安全行为，其中，所述网络安全行为基线是根据输入的配置参数通过预设的学习周期内的网络安全行为对应的日志数据学习得到。

2.根据权利要求1所述的异常网络安全行为的检测方法，其特征在于，所述配置参数包括所述学习周期、基线数据项和基线数据项学习方法，所述基线数据项包括检测对象和检测特征，所述检测特征是根据检测对象进行统计或计算确定的，所述获取网络安全行为基线之前，包括：

获得所述配置参数，并获得所述配置参数中学习周期内的网络安全行为对应的日志数据；

根据所述基线数据项，获得所述日志数据中的目标数据；

根据所述日志数据中的基线数据项学习方法对所述目标数据进行统计，得到所述目标数据的数量或平均值，并根据所述目标数据的数量或平均值得到所述网络安全行为基线，其中，所述目标数据包括源IP、目的IP、用户名和文件大小中的部分或全部。

3.根据权利要求2所述的异常网络安全行为的检测方法，其特征在于，所述基于所述网络安全行为基线对所述当前日志数据进行检测，以确定所述用户的网络安全行为是否为异常网络安全行为，包括：

根据所述基线数据项，获得所述当前日志数据中的目标数据；

将所述当前日志数据中的目标数据与所述基线进行比较；

如果所述当前日志数据中的目标数据与所述基线不匹配，则确定所述用户的网络安全行为是异常网络安全行为；或者，

根据所述基线数据项，获得预定时间内多个日志数据中的目标数据；

对所述多个日志数据中的目标数据进行统计，并将所述多个日志数据中的目标数据的统计结果与所述基线进行比较；

如果所述统计结果与所述基线不匹配，则确定所述用户的网络安全行为是异常网络安全行为。

4.根据权利要求1-3任一项所述的异常网络安全行为的检测方法，其特征在于，在获取网络安全行为基线之后以及基于所述网络安全行为基线对所述当前日志数据进行检测之前，还包括：

接收基线修改指令，并根据所述基线修改指令调优所述网络安全行为基线，以基于调优后的网络安全行为基线对所述当前日志数据进行检测。

5.根据权利要求1所述的异常网络安全行为的检测方法，其特征在于，在确定所述用户的网络安全行为是异常网络安全行为之后，还包括：根据所述异常网络安全行为确定出异常网络安全行为主体，并基于所述异常网络安全行为主体确定是否记录所述异常网络安全行为。

6.根据权利要求5所述的异常网络安全行为的检测方法，其特征在于，所述基于所述异常网络安全行为主体确定是否记录所述异常应为，包括：

判断所述异常网络安全行为主体是否与预设的白名单策略匹配；

如果否，则记录所述异常网络安全行为，否则丢弃所述异常网络安全行为。

7.一种异常网络安全行为的检测装置，其特征在于，包括：

获取模块，用于获取用户的网络安全行为对应的当前日志数据，其中，所述当前日志数据包括网络流量日志和/或系统应用日志；

检测模块，用于获取网络安全行为基线，并基于所述网络安全行为基线对所述当前日志数据进行检测，以确定所述用户的网络安全行为是否为异常网络安全行为，其中，所述网络安全行为基线是根据输入的配置参数通过预设的学习周期内的网络安全行为对应的日志数据学习得到。

8.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现根据权利要求1～6任一项所述的异常网络安全行为的检测方法。