(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109660517A(43)申请公布日2019.04.19(21)申请号201811376561.6(22)申请日2018.11.19(71)申请人北京天融信网络安全技术有限公司地址100085北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人薛智慧(74)专利代理机构工业和信息化部电子专利中心11010代理人田卫平(51)Int.Cl.H04L29/06(2006.01)权利要求书2页说明书8页附图4页(54)发明名称异常行为检测方法、装置及设备(57)摘要本发明公开了一种异常行为检测方法、装置及设备，其中，一种异常行为检测方法，包括：获取基于用户行为的原始数据流；对所述原始数据流的应用协议进行识别和解析后，得到解析数据；提取所述解析数据的多维关联特征；采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。通过对原始数据流进行识别和解析，并对解析的数据进行提取多维关联特征操作，从而依据多维关联特征进行异常检测，得到异常系数。因从解析的原始数据流中直接提取多维关联特征，从而最大限度保留原始特征，二在检测时采用行为模型对异常系统进行检测，无需人工干预，采用多维关联特征，在降低计算开销的同时，提高了检测的准确性。CN109660517ACN109660517A权利要求书1/2页1.一种异常行为检测方法，其特征在于，包括：获取基于用户行为的原始数据流；对所述原始数据流的应用协议进行识别和解析后，得到解析数据；提取所述解析数据的多维关联特征；采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。2.如权利要求1所述的异常行为检测方法，其特征在于，所述对所述原始数据流的应用协议进行识别和解析后，得到解析数据，包括：对所述原始数据流进行应用协议识别；对识别后的原始数据流进行应用协议解析。3.如权利要求2所述的异常行为检测方法，其特征在于，所述对识别后的原始数据流进行应用协议解析，具体为：提取应用协议中的关键字段和\或特殊字段。4.如权利要求1所述的异常行为检测方法，其特征在于，所述对所述原始数据流的应用协议进行识别和解析后，得到解析数据的步骤之后，还包括：基于所述解析数据进行信誉检测。5.如权利要求1所述的异常行为检测方法，其特征在于，所述提取所述解析数据的多维关联特征，包括：提取链接层特征信息；提取应用协议特征信息；提取流量行为特征信息；将所述链接层特征信息、应用协议特征信息和流量行为特征信息汇总，从而得到一个多维特征向量。6.如权利要求5所述的异常行为检测方法，其特征在于，采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数，包括：预先定义变量k；计算所述多维特征向量的距离；定义对象p周边的临近点中，距离第k远的点对应的距离；定义对象p的临近第k距离内的所有点o到对象p的距离，即为可达距离；定义对象p的局部总距离为临近第k距离内所有点o到对象p的可达距离之和；定义对象p的局部异常系数为第k距离内所有点o的局部总距离之和与k倍的对象p的局部总距离之和，对象p的局部异常系数为ack(p)；若ack(p)接近1时，表示对象p与周边临近点的局部总距离相近，则表示对象p的异常概率较低；若ack(p)接近0时，表示对象p与周边临近点的局部总距离相远，则表示对象p的异常概率较高。7.如权利要求6所述的异常行为检测方法，其特征在于，所述变量k取值范围为：10-15。8.如权利要求1所述的异常行为检测方法，其特征在于，所述采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数之后，还包括基于所述异常系数进行学习，从而更新行为模型。2CN109660517A权利要求书2/2页9.一种异常行为检测装置，其特征在于，包括：数据流获取模块：用于获取基于用户行为的原始数据流；解析模块：用于对所述原始数据流的应用协议进行识别和解析后，得到解析数据；提取模块：用于提取所述解析数据的多维关联特征；检测模块：用于采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。10.一种电子设备，其特征在于，所述电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至5任一项所述的方法的步骤。3CN109660517A说明书1/8页异常行为检测方法、装置及设备技术领域[0001]本发明涉及网络安全领域，尤其涉及一种异常行为检测方法、装置及设备。背景技术[0002]随着信息技术的发展，网络已经成为人们日常生活中必不可少的一部分，给工作、生活、学习等都带来了极大的便