[发明专利]一种终端时序特征检测方法、设备及介质

说明书

本发明涉及一种终端时序特征检测方法、设备及介质，首先通过基于时序预测算法集成学习的时序预测模型，和平均绝对百分比误差率算法，对时序特征预测值进行计算，然后终端基于所述时序特征预测值对实际产生的时序特征进行检测，以及时发现时序异常。本发明规避了单一时序预测算法对终端时序特征进行预测的瓶颈，体现出强鲁棒性的预测能力，有效提高了终端时序特征预测值的精准性，基于这样的时序特征预测值对终端时序异常进行检测，能够有效提高检测效率和检测精准度，适用于多场景。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种终端时序特征检测方法、设备及介质。

背景技术

安装在用户终端的安全产品需具备时序异常检测能力，即根据过去一段时间用户终端的时序信息，包括终端资产信息、终端行为信息以及威胁警告信息等，对未来一段时间内用户终端的时序特征进行预测，当实际产生的时序特征不满足预测值时，则判定为异常。可见，终端安全产品对终端时序特征预测值的精准性要求极高，若精准性达不到，则难以对终端的时序异常进行准确检测，对终端安全状况不能及时判定，进而难以保护用户终端的数据安全。

现有的终端安全产品大多基于单一的时序预测算法实现终端的时序异常检测功能，但单一的时序预测算法由于其局限性，难以适应不同的场景，对各场景下检测结果的准确率无法保证。因此，急需一种鲁棒性强、可自适应且能够适用各类场景的终端时序异常检测方法。

发明内容

有鉴于此，本发明提供一种终端时序特征检测方法、设备及介质，基于时序预测算法集成学习，结合平均绝对百分比误差率得到终端时序特征预测值，用于对终端的时序异常进行检测。本发明规避了单一时序预测算法对时序异常进行检测的瓶颈，采用多种时序预测算法集成学习的方式对时序特征进行预测，有效提高了时序特征预测值的精准度，至少部分解决现有技术中存在的问题。

具体发明内容为：

一种终端时序特征检测方法，包括：

获取终端日志数据；

对所述日志数据进行统计，得到所述终端的时序特征信息；

根据所述时序特征信息构建时序训练集和时序验证集；

通过基于时序预测算法集成学习的时序预测模型对所述时序训练集和所述时序验证集进行计算，分别得到模型预测值矩阵和模型验证值矩阵；

通过平均绝对百分比误差率算法对所述模型预测值矩阵和所述模型验证值矩阵进行计算，得到预测值范围系数；

计算所述模型预测值矩阵中各预测值与其对应的预测值范围系数的乘积，得到所述终端的时序特征预测值，所述时序特征预测值用于检测所述终端的时序特征是否异常。

进一步地，所述根据所述时序特征信息构建时序训练集和时序验证集，具体包括：

对所述时序特征信息进行行转列计算，得到各时序特征的时序值矩阵；

对所包含特征值不满足规定阈值的时序值矩阵进行过滤；

根据预置时间范围规则对过滤得到的各时序值矩阵按时间范围进行切分，得到时序训练集和时序验证集。

进一步地，所述通过基于时序预测算法集成学习的时序预测模型对所述时序训练集和所述时序验证集进行计算，分别得到模型预测值矩阵和模型验证值矩阵，具体包括：

确定场景下适用的时序预测算法，并根据场景需求对各时序预测算法进行调试和配置；

通过所述各时序预测算法和皮尔逊相关系数算法对所述时序训练集和所述时序验证集进行满足预置次数的交叉验证计算，得到模型预测值矩阵和模型验证值矩阵。

进一步地，所述交叉验证计算具体包括：