[发明专利]异常程序行为检测方法、装置

权利要求书

1.一种异常程序行为检测方法，其特征在于，所述方法包括：

从至少两个缓存区域的每个缓存区域中提取部分程序行为数据；

从所述程序行为数据中获取程序行为特征数据；

对所述程序行为特征数据进行聚类，得到离群特征数据；

从所述程序行为特征数据中获取除所述离群特征数据以外的程序行为特征数据作为第一正常数据集；

根据所述第一正常数据集中的程序行为特征数据对用于进行程序行为识别的机器学习模型进行训练；

将所述离群特征数据输入至所述机器学习模型中；

根据所述机器学习模型的输出结果，确定异常的程序行为数据。

2.根据权利要求1所述的异常程序行为检测方法，其特征在于，所述根据所述机器学习模型的输出结果，确定异常的程序行为数据，包括：

根据所述机器学习模型的输出结果，识别异常的程序行为特征数据；

将所述异常的程序行为特征数据与预设特征进行匹配；

根据所述异常的程序行为特征数据中与所述预设特征不匹配的程序行为特征数据，确定异常的程序行为数据。

3.根据权利要求2所述的异常程序行为检测方法，其特征在于，所述根据所述异常的程序行为特征数据中与所述预设特征不匹配的程序行为特征数据，确定异常的程序行为数据，包括：

将所述异常的程序行为特征数据中与所述预设特征不匹配的程序行为特征数据发送给用户进行人工检测；

接收未通过人工检测的程序行为特征数据，基于所述未通过人工检测的程序行为特征数据确定异常的程序行为数据。

4.根据权利要求1所述的异常程序行为检测方法，其特征在于，所述从所述程序行为数据中获取出程序行为特征数据，包括：

响应程序检测请求，获取所述程序检测请求针对的目标应用程序所对应的程序行为数据；

从所述目标应用程序所对应的程序行为数据中提取出所述程序行为特征数据。

5.根据权利要求4所述的异常程序行为检测方法，其特征在于，还包括：

在接收到所述程序检测请求后，将所述程序检测请求针对的目标应用程序所对应的程序行为数据存储在所述至少两个缓存区域中。

6.根据权利要求1所述的异常程序行为检测方法，其特征在于，所述从所述程序行为数据中获取出程序行为特征数据，包括：

将所述程序行为数据转换成预定格式的预处理数据；

从所述预处理数据中提取出所述程序行为特征数据。

7.根据权利要求1所述的异常程序行为检测方法，其特征在于，所述程序行为特征数据，包括以下任一或多个的组合：

程序行为时长、程序行为结果和程序行为的连续性。

8.根据权利要求1所述的异常程序行为检测方法，其特征在于，在所述确定异常的程序行为数据之后，所述方法包括：

获取所述异常的程序行为数据所对应的程序信息，将所述程序信息发送给用户。

9.一种异常程序行为检测装置，其特征在于，包括：

获取模块，用于从至少两个缓存区域的每个缓存区域中提取部分程序行为数据；从所述程序行为数据中获取程序行为特征数据；

聚类模块，用于对所述程序行为特征数据进行聚类，得到离群特征数据；

识别模块，用于从所述程序行为特征数据中获取除所述离群特征数据以外的程序行为特征数据作为第一正常数据集；根据所述第一正常数据集中的程序行为特征数据对用于进行程序行为识别的机器学习模型进行训练；

将所述离群特征数据输入至所述机器学习模型中，并根据所述机器学习模型的输出结果，确定异常的程序行为数据。

10.根据权利要求9所述的异常程序行为检测装置，其特征在于，所述识别模块还配置为：根据所述机器学习模型的输出结果，识别异常的程序行为特征数据；将所述异常的程序行为特征数据与预设特征进行匹配；根据所述异常的程序行为特征数据中与所述预设特征不匹配的程序行为特征数据，确定异常的程序行为数据。