异常行为检测方法、设备及存储介质技术

技术编号：44332060 阅读：1 留言：0更新日期：2025-02-18 20:40

本公开实施例提供一种异常行为检测方法、设备及存储介质，通过采集预设时间窗口内属于同一会话的待检测行为集合；对待检测行为集合中的每一行为添加标签，并根据待检测行为集合所有行为的标签获取待检测行为集合的标签特征；根据预设的嵌入特征提取模型，将待检测行为集合的标签特征映射为嵌入特征；基于待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断待检测行为集合是否存在异常。通过标签的方式实现以自然语言表示待检测行为集合中的各行为，将待检测行为集合所有行为的标签量化为标签特征再映射为嵌入特征，具有较强的解释性，基于嵌入特征进行异常行为识别，可提高识别准确性，减少误报的发生。

全部详细技术资料下载

【技术实现步骤摘要】

本公开实施例涉及计算机与网络通信，尤其涉及一种异常行为检测方法、设备及存储介质。

技术介绍

1、异常行为检测是主机入侵检测系统的重要功能，旨在发现偏离基线的未知异常行为。主机入侵检测系统可以采集各种层面的主机数据，包括系统调用、文件创建、文件读写、命令执行、网络连接等。

2、现有的异常行为检测方案主要依靠执行命令序列、系统调用序列和进程创建等数据，使用统计、机器学习或深度学习等方法进行异常检测。但是现有的异常行为检测方案准确率低，容易出现误报。

技术实现思路

1、本公开实施例提供一种异常行为检测方法、设备及存储介质，以提高异常行为检测的准确率，有效的避免出现误报。

2、第一方面，本公开实施例提供一种异常行为检测方法，包括：

3、采集预设时间窗口内属于同一会话的待检测行为集合；

4、对所述待检测行为集合中的每一行为添加标签，以标识每一行为的属性信息，并根据所述待检测行为集合所有行为的标签获取所述待检测行为集合的标签特征；

5、根据预设的嵌入特征提取模型，将所述待检测行为集合的标签特征映射为嵌入特征；

6、基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常。

7、第二方面，本公开实施例提供一种异常行为检测设备，包括：

8、采集单元，用于采集预设时间窗口内属于同一会话的待检测行为集合；

9、标签处理单元，用于对所述待检测行为集合

10、映射单元，用于根据预设的嵌入特征提取模型，将所述待检测行为集合的标签特征映射为嵌入特征；

11、异常识别单元，用于基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常。

12、第三方面，本公开实施例提供一种电子设备，包括：至少一个处理器和存储器；

13、所述存储器存储计算机执行指令；

14、所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的异常行为检测方法。

15、第四方面，本公开实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第一方面以及第一方面各种可能的设计所述的异常行为检测方法。

16、第五方面，本公开实施例提供一种计算机程序产品，包括计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第一方面以及第一方面各种可能的设计所述的异常行为检测方法。

17、本公开实施例提供的异常行为检测方法、设备及存储介质，通过采集预设时间窗口内属于同一会话的待检测行为集合；对所述待检测行为集合中的每一行为添加标签，以标识每一行为的属性信息，并根据所述待检测行为集合所有行为的标签获取所述待检测行为集合的标签特征；根据预设的嵌入特征提取模型，将所述待检测行为集合的标签特征映射为嵌入特征；基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常。本公开实施例通过标签的方式实现以自然语言表示待检测行为集合中的各行为，增强了行为数据的可读性，进而将待检测行为集合所有行为的标签量化为标签特征，再映射为嵌入特征，充分描述待检测行为集合的特性，具有较强的解释性，基于嵌入特征进行异常行为识别，可提高识别准确性，减少误报的发生。

本文档来自技高网...

【技术保护点】

1.一种异常行为检测方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述对所述待检测行为集合中的每一行为添加标签，以标识每一行为的属性信息，并根据所述待检测行为集合所有行为的标签获取所述待检测行为集合的标签特征，包括：

3.根据权利要求2所述的方法，其特征在于，所述根据所述预设标签集合中每一标签出现的次数构建所述待检测行为集合的标签特征，包括：

4.根据权利要求1-3任一项所述的方法，其特征在于，所述基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常，包括：

5.根据权利要求1-3任一项所述的方法，其特征在于，所述基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常，包括：

6.根据权利要求1-3任一项所述的方法，其特征在于，所述历史行为集合的嵌入特征包括至少一个历史异常行为集合的嵌入特征；所述基于所述待检测行为集合的嵌入特征以及预先获取的历史行为集合的嵌入特征，判断所述待检测行为集合是否存在异常，包括：

7.根据权利要求2所述的方法，其特征在于，所述预设标签集合包括不同目标字段对应的标签子集；相应的，所述根据预设标签集合，对待检测行为集合中的每一行为中的多个目标字段分别添加标签，包括：

8.根据权利要求7所述的方法，其特征在于，所述目标字段包括以下一种或多种：程序名字段、源IP字段、目的IP字段、端口字段、文件路径字段、文件名字段。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

10.根据权利要求1所述的方法，其特征在于，所述嵌入特征提取模型是通过如下过程训练得到：

11.根据权利要求1或10所述的方法，其特征在于，所述嵌入特征提取模型采用Transformer模型中的编码器。

12.一种异常行为检测设备，其特征在于，包括：

13.一种电子设备，其特征在于，包括：至少一个处理器和存储器；

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如权利要求1-11任一项所述的方法。

15.一种计算机程序产品，其特征在于，包括计算机执行指令，当处理器执行所述计算机执行指令时，实现如权利要求1-11任一项所述的方法。

...

【技术特征摘要】

1.一种异常行为检测方法，其特征在于，包括：

3.根据权利要求2所述的方法，其特征在于，所述根据所述预设标签集合中每一标签出现的次数构建所述待检测行为集合的标签特征，包括：

7.根据权利要求2所述的方法，其特征在于，所...

【专利技术属性】
技术研发人员：马骏，陈越，
申请(专利权)人：抖音视界有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人