本申请公开了一种行为画像构建方法、装置、电子设备及存储介质,其中,方法包括:服务器接收集群内的至少两个终端中每个终端上报的行为数据;对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;基于调整后行为数据,学习得到每个进程的行为基线;将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。为画像模型。为画像模型。
【技术实现步骤摘要】
行为画像构建方法、装置、电子设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种行为画像构建方法、装置、电子设备及存储介质。
技术介绍
[0002]在虚拟网络场景中,多个物理服务器通常以集群的方式工作。相关技术中,电子设备通过学习得到的行为画像过滤行为日志,根据过滤结果识别可疑行为,行为识别的检测成本高。
技术实现思路
[0003]有鉴于此,本申请实施例提供一种行为画像构建方法、装置、电子设备及存储介质,以至少解决相关技术在行为识别时检测成本高的问题。
[0004]本申请实施例的技术方案是这样实现的:
[0005]本申请实施例提供了一种行为画像构建方法,应用于服务器,所述方法包括:
[0006]接收集群内的至少两个终端中每个终端上报的行为数据;
[0007]对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;
[0008]基于调整后行为数据,学习得到每个进程的行为基线;
[0009]将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。
[0010]其中,上述方案中,所述将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型,包括:
[0011]确定所述进程类型;
[0012]根据不同的进程类型,将对应的行为基线存入对应进程类型的终端行为画像模型;其中,
[0013]进程类型包括以下之一:
[0014]系统进程;
[0015]关键业务进程;
[0016]其他业务进程;
[0017]终端行为画像模型包括以下之一:
[0018]系统进程行为画像模型;
[0019]关键业务进程行为画像模型;
[0020]其他业务进程行为画像模型。
[0021]上述方案中,所述方法还包括:
[0022]向所述集群内的各个终端分发所述终端行为画像模型,以使得每个终端基于本地的分发的终端行为画像模型进行行为异常检测。
[0023]上述方案中,所述方法还包括:
[0024]在满足设定条件的情况下,对当前终端行为画像模型继续更新;其中,
[0025]所述设定条件表征当前终端行为画像模型对应的异常行为漏报率大于第一设定阈值,和/或当前终端行为画像模型对应的正常行为误报率大于第二设定阈值。
[0026]本申请实施例还提供了一种行为画像构建方法,应用于集群内的终端,所述方法包括:
[0027]向服务器上报本地行为数据;以指示服务器对接收到的各个终端的行为数据进行关联分析,得到用于进程行为基线学习所需的进程行为数据,并最终得到适用于集群的终端行为画像模型;
[0028]基于所述终端行为画像模型,对终端本地的异常行为进行异常检测。
[0029]上述方案中,所述基于所述终端行为画像模型,对终端本地的异常行为进行异常检测,包括:
[0030]接收所述服务器下发的终端行为画像模型;
[0031]基于接收到的终端行为画像模型对本地的异常行为进行异常检测。
[0032]本申请实施例还提供了一种行为识别画像构建装置,包括:
[0033]接收单元,用于接收集群内的至少两个终端中每个终端上报的行为数据;
[0034]调整单元,用于对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;
[0035]学习单元,用于基于调整后行为数据,学习得到每个进程的行为基线;
[0036]封装单元,用于将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。
[0037]本申请实施例还提供了一种行为画像构建装置,包括:
[0038]上报单元,用于向服务器上报本地行为数据;以指示服务器对接收到的各个终端的行为数据进行关联分析,得到用于进程基线学习所需的进程行为数据,并最终得到适用于集群的终端行为画像模型;
[0039]检测单元,用于基于所述终端行为画像模型,对终端本地的异常行为进行异常检测。
[0040]本申请实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
[0041]其中,所述处理器用于运行所述计算机程序时,执行上述行为识别画像构建方法的步骤。
[0042]本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述行为画像构建方法的步骤。
[0043]本申请实施例提供的方案,服务器接收集群内的至少两个终端中每个终端上报的行为数据;对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;基于调整后行为数据,学习得到每个进程的行为基线;将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。集群内的终端向服务器上报本地行为数据;以指示服务器对接收到的各个终端的行为数据进行关联分析,得到用于进程基线学习所需的进程行为数据,并最终得到适用于集群的终端行为画像模型;基于所述终端行为画像模型,对终端本地的异常行为进行异常检测。基于本申请实施例提供
的方案,服务器对各终端上报的用于学习各个进程行为基线的各个行为数据进行调整,得到适用于集群的终端行为画像模型,终端基于终端行为画像模型,对终端本地的异常行为进行异常检测,这样,集群内的终端无需学习终端行为画像模型,降低了行为识别时检测成本。
附图说明
[0044]图1为本申请实施例提供的行为画像构建方法实现流程示意图;
[0045]图2为本申请另一实施例提供的行为画像构建方法实现流程示意图;
[0046]图3为本申请应用实施例提供的检测框架示意图;
[0047]图4为本申请应用实施例提供的云端行为画像构建方法实现流程示意图;
[0048]图5为本申请实施例提供的行为画像构建装置的结构示意图;
[0049]图6为本申请另一实施例提供的行为画像构建装置的结构示意图;
[0050]图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0051]在虚拟网络场景中,多个物理服务器通常以集群的方式工作。相关技术中,电子设备通过学习得到的行为画像过滤行为日志,根据过滤结果识别可疑行为,行为识别的检测成本高。
[0052]基于此,在本申请的各种实施例中,服务器接收集群内的至少两个终端中每个终端上报的行为数据;对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;基于调整后行为数据,学习得到每个进程的行为基线;将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。集群内的终端向服务器上报本地行为数据;以指示服务器对接收到的各个终端的行为数据进行关联分析,得到用于进程行为基线学习所需的进程行为数据,并最终得到适用于集群的终端行为画像模型;基于所述终端行为画像模本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种行为画像构建方法,其特征在于,应用于服务器,所述方法包括:接收集群内的至少两个终端中每个终端上报的行为数据;对于每个进程,关联分析该进程在各个终端的行为数据,调整用于学习该进程行为基线的各个行为数据;基于调整后行为数据,学习得到每个进程的行为基线;将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型。2.根据权利要求1所述的方法,其特征在于,所述将学习得到的各个进程的行为基线,封装得到适用于集群的终端行为画像模型,包括:确定所述进程类型;根据不同的进程类型,将对应的行为基线存入对应进程类型的终端行为画像模型;其中,进程类型包括以下之一:系统进程;关键业务进程;其他业务进程;终端行为画像模型包括以下之一:系统进程行为画像模型;关键业务进程行为画像模型;其他业务进程行为画像模型。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:向所述集群内的各个终端分发所述终端行为画像模型,以使得每个终端基于本地的分发的终端行为画像模型进行行为异常检测。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:在满足设定条件的情况下,对当前终端行为画像模型继续更新;其中,所述设定条件表征当前终端行为画像模型对应的异常行为漏报率大于第一设定阈值,和/或当前终端行为画像模型对应的正常行为误报率大于第二设定阈值。5.一种行为画像构建方法,其特征在于,应用于集群内的终端,所述方法包括:向服务器上报本地行为数据;以指示服务器对接收到的各个终端的行为数据进行关联分析,得到用于进程行为基线学习所需的进程行为数据,并最终得到适用...
【专利技术属性】
技术研发人员:曹锦新,郭开,董枫,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。