[发明专利]一种异常信息检测方法和装置

权利要求书

1.一种异常信息检测方法，其特征在于，包括：

获取设定时间段内待检测目标的日志信息；

从所述日志信息中解析出预设指标对应的指标信息，其中，所述预设指标指示与账号相关的指标，所述与账号相关的指标，包括：下述指标中的任意一种或多种：

用于指示进程信息中的一个或多个进程特征的进程指标、用于指示登录信息中的一个或多个登录特征的登录指标以及用于指示账号所登录的终端设备的一个或多个设备特征的设备指标；

对所述指标信息进行处理；

利用处理后的结果和异常检测模型，检测所述待检测目标中存在的异常账号；

所述对所述指标信息进行处理，包括：对所述指标信息进行归一化处理以及对所述指标信息中所包括的指标进行聚合；

所述异常检测模型是基于企业系统或企业软件在安全环境下实际运行的日志数据以及企业系统或企业软件在添加了攻击者后的日志数据训练得到的。

2.根据权利要求1所述的方法，其特征在于，所述对所述指标信息进行归一化处理，包括：

针对所述指标信息包括所述待检测目标所运行的目标进程的多个进程特征的情况，

对比多个所述进程特征；

当对比的结果指示所述目标进程的所属账号与所述目标进程的登录账号一致，则为所述目标进程分配第一进程特征值；

当对比的结果指示所述目标进程的所属账号与所述目标进程的登录账号不一致，则为所述目标进程分配第二进程特征值；

其中，处理后的结果包括：所述目标进程的第一进程特征值或所述第二进程特征值。

3.根据权利要求1所述的方法，其特征在于，所述对所述指标信息进行归一化处理，进一步包括：

针对所述指标信息包括所述待检测目标中登录信息的多个登录特征的情况，

判断多个所述登录特征对应的登录时间是否在预设的时间范围内，如果是，则为所述登录信息包括的登录账号分配第一登录特征值；否则，为所述登录信息包括的登录账号分配第二登录特征值；

其中，处理后的结果包括：所述登录账号的所述第一登录特征值或者所述第二登录特征值。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述对所述指标信息中所包括的指标进行聚合，进一步包括：

对所述指标信息进行聚合，为一个或多个预设的附加特征生成对应的特征值，其中，处理后的结果进一步包括：所述附加特征的特征值。

5.根据权利要求4所述的方法，其特征在于，对所述指标信息进行聚合，为一个或多个预设的附加特征生成对应的特征值，包括：

聚合所述指标信息包括的进程特征；

根据聚合的结果，统计属于所述待检测目标的目标进程数量；

确定所述目标进程数量为一个所述附加特征的特征值。

6.根据权利要求4所述的方法，其特征在于，对所述指标信息进行聚合，为一个或多个预设的附加特征生成对应的特征值，包括：

聚合所述指标信息包括的登录特征和设备特征；

根据聚合的结果，统计属于所述待检测目标的终端设备登录过的账号数量和/或属于所述待检测目标的账号登录过的终端设备数量；

确定所述终端设备登录过的账号数量或者所述账号登录过的终端设备数量为一个所述附加特征的特征值。

7.根据权利要求4所述的方法，其特征在于，进一步包括：

确定检测出的所述异常账号所登录的终端设备。

8.根据权利要求4所述的方法，其特征在于，进一步包括：

生成并发送告警信息给所述待检测目标的管理设备和/或与检测出的所述异常账号相关的终端设备。