(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113901455A(43)申请公布日2022.01.07(21)申请号202111194488.2(22)申请日2021.10.13(71)申请人北京天融信网络安全技术有限公司地址100000北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人刘柱鲍青波张楠(74)专利代理机构北京开阳星知识产权代理有限公司11710代理人王艳斌(51)Int.Cl.G06F21/55(2013.01)G06K9/62(2022.01)权利要求书2页说明书8页附图2页(54)发明名称一种异常操作行为检测方法、装置、设备及介质(57)摘要本公开涉及一种异常操作行为检测方法、装置、设备及介质，该方法包括：获取同一用户群组内的多个命令序列流；对命令序列流进行文本特征的提取，得到多个字节片段序列；通过隐马尔可夫模型计算字节片段序列的操作发生概率；利用孤立森林模型从操作发生概率中孤立出异常的目标操作发生概率；将目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。本公开能够有效提升异常操作行为检测的效率和准确性。CN113901455ACN113901455A权利要求书1/2页1.一种异常操作行为检测方法，其特征在于，包括：获取同一用户群组内的多个命令序列流；其中，所述命令序列流包括多个shell命令；对所述命令序列流进行文本特征的提取，得到多个字节片段序列；其中，所述字节片段序列用于表征用户操作所述shell命令的行为习惯；通过隐马尔可夫模型计算所述字节片段序列的操作发生概率；利用孤立森林模型从所述操作发生概率中孤立出异常的目标操作发生概率；将所述目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。2.根据权利要求1所述的方法，其特征在于，所述获取同一用户群组内的多个命令序列流，包括：通过linux系统中的bash程序记录用户执行的多条shell命令；根据执行时间的顺序对多条所述shell命令进行排序，得到初始序列流；根据操作人员类别和预设的时间窗口大小，对所述初始序列流进行群组划分，得到多个用户群组，每个所述用户群组内包括多条命令序列流。3.根据权利要求1所述的方法，其特征在于，在所述通过隐马尔可夫模型计算所述字节片段序列的操作发生概率之前，所述方法还包括：通过构建字典对所述字节片段序列进行编码。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：从所述字节片段序列选取样本作为隐马尔可夫模型的观测序列；通过所述隐马尔可夫模型根据当前的模型参数对所述观测序列进行识别以输出状态序列；其中，所述模型参数包括：初始状态概率向量、状态转移概率矩阵、观测概率矩阵；采用Baum‑Welch算法并根据所述状态序列对所述隐马尔可夫模型的模型参数进行更新。5.根据权利要求1所述的方法，其特征在于，所述利用孤立森林模型从所述操作发生概率中孤立出异常的目标操作发生概率，包括：计算每个所述操作发生概率在所述孤立森林模型中的平均路径长度；根据每个所述操作发生概率在所述孤立森林模型中的平均路径长度，计算每个所述操作发生概率的异常分数；判断所述异常分数是否超过预设的分数阈值；如果超过，则将该操作发生概率确定为异常的目标操作发生概率。6.根据权利要求1所述的方法，其特征在于，所述还包括：重复如下分离树的建立操作：从所述操作发生概率中随机选取部分样本，将选取的样本作为树的根节点；将所述操作发生概率对应的多个维度的作为一个特征点的多个属性，从多个所述属性中随机选取一个划分属性，并在该划分属性的最值范围内选取一个值作为左右子树的标准值，建立分离树；其中，所述维度与所述N‑gram的滑动窗口的大小有关；根据所述分离树的建立操作得到多颗分离树，多颗所述分离树形成所述孤立森林模型。7.根据权利要求1所述的方法，其特征在于，所述对所述命令序列流进行文本特征的提取，包括：通过汉语语言模型N‑gram对所述命令序列流进行文本特征的提取。2CN113901455A权利要求书2/2页8.一种异常操作行为检测装置，其特征在于，包括：获取模块，用于获取同一用户群组内的多个命令序列流；其中，所述命令序列流包括多个shell命令；提取模块，用于对所述命令序列流进行文本特征的提取，得到多个字节片段序列；其中，所述字节片段序列用于表征用户操作所述shell命令的行为习惯；计算模块，用于通过隐马尔可夫模型计算所述字节片段序列的操作发生概率；孤立模块，用于利用孤立森林模型从所述操作发生概率中孤立出异常的目标操作发生概率；确定模块，用于将所述目标操作发生概率对应的shell命令的操作行为确定为异常操作行为。9.一种电子设备，其特征在于，所述电子设备包括：处理器；用于