[发明专利]一种异常行为检测方法、装置、设备及存储介质

权利要求书

1.一种异常行为检测方法，其特征在于，包括：

获取进程操作行为序列，将所述进程操作行为序列划分为多个待检测序列，各待检测序列中均包括多条用户进程操作行为，每条用户进程操作行为包括多个字段信息；

对于每个所述待检测序列，基于所述待检测序列中每条进程操作行为的所述多个字段信息的属性值进行特征提取，得到与所述待检测序列对应的特征向量；

对与各待检测序列对应的特征向量进行异常检测，确定被检测为异常的特征向量为异常特征向量；

确定所述异常特征向量中各维度特征的异常度；

基于所述异常特征向量中各维度特征的异常度确定所述异常特征向量中存在异常的特征项。

2.根据权利要求1所述的异常行为检测方法，其特征在于，所述基于所述待检测序列中每条进程操作行为的所述多个字段信息的属性值进行特征提取，得到与所述待检测序列对应的特征向量包括：

获取初始特征向量，所述初始特征向量的维度与预设特征项的数量相等，所述特征向量的每一个维度对应一个预设特征项；

遍历所述待检测序列中的各条进程操作行为；

对于当前进程操作行为，将所述当前进程操作行为中各字段信息的属性值分别与预设特征规则进行匹配；其中所述预设特征规则中包括与各预设特征项对应的多个特征规则；

基于所述当前进程操作行为中各字段信息的属性值与预设特征规则的匹配结果，更新当前初始特征向量；

当对所述待检测序列中的各条进程操作行为遍历完成之后，确定所述当前初始特征向量为与所述待检测序列对应的特征向量。

3.根据权利要求2所述的异常行为检测方法，其特征在于，所述基于所述当前进程操作行为中各字段信息的属性值与预设特征规则的匹配结果，更新当前初始特征向量包括：

遍历所述当前进程操作行为中的各字段信息的属性值；

若当前字段信息的属性值与所述预设特征规则中的至少一项特征规则相匹配时，确定匹配成功的特征规则所对应的预设特征项为目标特征项；

对所述目标特征项所对应的维度的值进行累加；

当对所述当前进程操作行为中的各字段信息的属性值遍历完成之后，基于对所述目标特征项所对应的维度的值的累加结果，更新当前初始特征向量。

4.根据权利要求1所述的异常行为检测方法，其特征在于，所述待检测序列为等长待检测序列，或非等长待检测序列；

当所述待检测序列为等长待检测序列时，所述将所述进程操作行为序列划分为多个待检测序列包括：

采用预设长度的滑动窗口对所述进程操作行为序列进行划分，得到多个等长待检测序列；

当所述待检测序列为非等长待检测序列时，所述将所述进程操作行为序列划分为多个待检测序列包括：

基于预设的序列划分规则，将所述进程操作行为序列划分为多个非等长待检测序列。

5.根据权利要求4所述的异常行为检测方法，其特征在于，所述对与各待检测序列对应的特征向量进行异常检测，确定被检测为异常的特征向量为异常特征向量包括：

当所述待检测序列为等长待检测序列时，采用无监督检测算法或者有监督检测算法对所述特征向量进行异常检测，确定被检测为异常的特征向量为异常特征向量；

当所述待检测序列为非等长待检测序列时，采用有监督检测算法对所述特征向量进行异常检测，确定被检测为异常的特征向量为异常特征向量；

其中，所述无监督检测算法为孤立森林算法。

6.根据权利要求1所述的异常行为检测方法，其特征在于，所述确定所述异常特征向量中各维度特征的异常度包括：

对所述异常特征向量中各维度特征对应的值进行量级转化，得到与所述异常特征向量中各维度特征对应的标准化值；

分别确定各维度特征对应的标准化值为各维度特征的异常度。

7.根据权利要求1所述的异常行为检测方法，其特征在于，所述获取进程操作行为序列之前还包括：

获取用户进程操作原始日志，所述用户进程操作原始日志包括多条用户进程操作行为；

按照时间顺序对所述多条用户进程操作行为进行排序，生成所述进程操作行为序列。