[发明专利]一种异常信息检测方法和装置

说明书

本发明公开了一种异常信息检测方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：获取设定时间段内待检测目标的日志信息；从日志信息中解析出预设指标对应的指标信息，其中，预设指标指示与账号相关的指标；对指标信息进行处理；利用处理后的结果和异常检测模型，检测待检测目标中存在的异常账号。该实施方式有效地提高异常信息检测准确性。

技术领域

本发明涉及计算机技术领域，尤其涉及一种异常信息检测方法和装置。

背景技术

为了保证企业信息的安全性，一般会为企业用户分配对应的登录账号、密码以及访问权限等，以使企业用户利用该登录账号和密码访问其具有访问权限的信息。但是一旦账号被窃取，则将威胁信息的安全性。因此，及时检测并拦截异常的账号则显得十分重要。

目前，异常的检测方式主要是检测账号短时间内登录失败的次数，如果登录失败的次数过多，则判定该账号存在访问风险。但是，如果非法用户同时获取到账号和密码，或者非法用户用比较低的频率尝试账号或密码，现有的异常的检测方式则很难检测到，导致异常信息检测准确性较低。

发明内容

有鉴于此，本发明实施例提供一种异常信息检测方法和装置，能够有效地提高异常信息检测准确性。

为实现上述目的，根据本发明实施例的一个方面，提供了一种异常信息检测方法，包括：

获取设定时间段内待检测目标的日志信息；

从所述日志信息中解析出预设指标对应的指标信息，其中，所述预设指标指示与账号相关的指标；

对所述指标信息进行处理；

利用处理后的结果和异常检测模型，检测所述待检测目标中存在的异常账号。

可选地，所述与账号相关的指标，包括：

用于指示进程信息中的一个或多个进程特征的进程指标、用于指示登录信息中的一个或多个登录特征的登录指标以及用于指示账号所登录的终端设备的一个或多个设备特征的设备指标中的任意一种或多种指标。

可选地，所述对所述指标信息进行处理，包括：

针对所述指标信息包括所述待检测目标所运行的目标进程的多个进程特征的情况，

对比多个所述进程特征；

当对比的结果指示所述目标进程的所属账号与所述目标进程的登录账号一致，则为所述目标进程分配第一进程特征值；

当对比的结果指示所述目标进程的所属账号与所述目标进程的登录账号不一致，则为所述目标进程分配第二进程特征值；

其中，处理后的结果包括：所述目标进程的第一进程特征值或所述第二进程特征值。

可选地，所述对所述指标信息进行处理，进一步包括：

针对所述指标信息包括所述待检测目标中登录信息的多个登录特征的情况，

判断多个所述登录特征对应的登录时间是否在预设的时间范围内，如果是，则为所述登录信息包括的登录账号分配第一登录特征值；否则，为所述登录信息包括的登录账号分配第二登录特征值；

其中，处理后的结果包括：所述登录账号的所述第一登录特征值或者所述第二登录特征值。

可选地，所述对所述指标信息进行处理，进一步包括：

对所述指标信息进行聚合，为一个或多个预设的附加特征生成对应的特征值，其中，处理后的结果进一步包括：所述附加特征的特征值。

可选地，对所述指标信息进行聚合，为一个或多个预设的附加特征生成对应的特征值，包括：

聚合所述指标信息包括的进程特征；