[发明专利]主机用户异常行为检测方法、装置、存储介质及电子设备

说明书

本公开实施例提供了一种主机用户异常行为检测方法、装置、存储介质及电子设备，涉及网络与信息安全技术领域，用以至少部分地解决相关技术中存在的对主机的未知异常行为的检测存在滞后性的技术问题。涉及的主机用户异常行为检测方法包括：获取待检测主机的进程数据；基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。本公开实施例可根据用户操作特征对主机中未知异常行为进行检测，提高了主机异常检测的实时性。

技术领域

本公开涉及网络与信息安全技术领域，具体而言，涉及一种主机用户异常行为检测方法、装置、存储介质及电子设备。

背景技术

目前，传统的主机异常检测技术主要包括基于网络的入侵检测和基于主机的入侵检测两类，相关技术通常基于统计或规则匹配技术来对已知的异常行为，而在未知异常行为的检测方面存在滞后性的问题。

发明内容

本公开实施例提供一种主机用户异常行为检测方法、装置、存储介质及电子设备，以用于至少部分地解决相关技术中存在的对主机的未知异常行为的检测存在滞后性的技术问题。

根据本公开的第一个方面，提供了一种主机用户异常行为检测方法，包括：获取待检测主机的进程数据；基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。

可选的，所述进程数据，包括：待检测主机的进程执行程序信息、进程执行用户信息以及进程所操作的文件信息中的至少一者。

可选的，所述用户特征包括用户所属的用户组。

可选的，所述命令特征包括以下至少一者：命令类型、命令的字符长度、命令中参数的个数以及命令中特殊字符占比。

可选的，所述文件特征包括以下至少一者：文件类型、文件所属用户组、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。

可选的，基于所述进程数据提取用户操作特征，得到预测数据集，包括：提取所述进程数据的用户信息，根据用户组映射表确定所述进程数据的用户组信息，其中，所述用户组映射表中包括用户信息与用户组的对应关系；和/或，提取所述进程数据的进程执行命令的命令名称，根据命令类型映射表确定所述进程数据的命令类型，计算所述命令的字符长度、所述命令中参数的个数以及特殊字符占比，其中，所述命令类型映射表中包括命令名称与命令类型的对应关系；和/或，提取所述进程数据的关联文件的信息，根据文件类型映射表确定所述关联文件的文件类型，提取所述关联文件所属的用户信息，根据用户组映射表确定所述关联文件所属的用户组，计算所述关联文件的文件路径层级、文件路径信息字符长度以及文件名中特殊字符占比，其中，所述文件类型映射表中包括所述关联文件的信息与文件类型的对应关系。

可选的，所述命令类型映射表中包括命令类型与第一正则表达式规则的对应关系，与所述第一正则表达式规则匹配的命令名称与所述命令类型对应；所述文件类型映射表中包括文件类型与第二正则表达式规则的对应关系，匹配所述第二正则表达式规则的关联文件的信息与所述文件类型对应。

可选的，所述方法还包括：在将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果之后，根据所述检测结果确定出用户所操作的异常文件和/或异常命令。