本發明實施例提供一種異常操作行為檢測處理方法及裝置。所述方法包括：采集預設時間段內的日志數據信息，并根據所述日志數據信息分別獲取各日志類型對應的操作行為的執行次數和執行時間；根據所述執行次數和執行時間，按照預設規則分別計算所述各日志類型對應的第一歸一化熵值和第二歸一化熵值；其中，所述第一歸一化熵值為所述各日志類型在第一預設時間維度上的熵值，所述第二歸一化熵值為所述各日志類型在第二預設時間維度上的熵值；根據所述第一歸一化熵值和所述第二歸一化熵值進行異常操作行為分析。所述裝置用于執行上述方法。本發明提供的方法及裝置提高了異常操作行為檢測的效率和準確性。

技術領域

本發明實施例涉及通信技術領域，尤其涉及一種異常操作行為檢測處理方法及裝置。

背景技術

隨著計算機技術與網絡應用的快速發展，人們的工作、生活、學習越來越越智能化、自動化，內部部署的網絡設備與信息系統不間斷地將各種操作行為記錄為日志數據，包括系統執行由自然人發出指令的操作行為、機器人發出的操作行為，而日志數據是服務改進、系統審計、安全分析、數據挖掘等應用的重要數據源，通過日志數據進行異常操作行為檢測越來越受到關注。

異常操作行為檢測作為一種積極主動的安全防護工具，提供了對內部攻擊、外部攻擊和誤操作的實時防護，在計算機網絡和系統受到危害之前進行報警、攔截和響應。異常操作行為檢測可以看作是一個分類問題，就是對給定的審計數據進行分類：什么樣的數據是正常的，什么樣的數據是異常的。在應用運行的過程中，應用本身和各種監控程序都會產生各類應用日志來記錄應用的狀態、重要的運行事件和網絡流量等，因此，應用日志適合用來進行異常檢測?，F有技術條件下，異常操作行為檢測方法通常是通過人工參與或者使用預先定義好的規則進行應用日志分析，并且大都是基于單個數據包進行檢測，異常檢測的報警信息為孤立的異常事件。這樣以來，由于對應用日志的假設有較大的依賴性，對異常操作行為識別性能較低；當程序產生了百萬行日志時，人工處理應用日志效率非常低，不可預測的異常事件也不適合用預先定義的規則進行處理；除此之外，當出現大規模異常行為時，很難從報警信息中直觀獲取異常操作行為的特點，難以從整體上評估當前的安全狀況。上述的種種原因都會大大影響應用運行過程中的異常操作行為檢測效率和準確性。

因此，如何提出一種方法提高異常操作行為檢測效率和準確性的問題是目前業界亟待解決的需要課題。

發明內容

針對現有技術中的缺陷，本發明實施例提供一種異常操作行為檢測處理方法及裝置。

一方面，本發明實施例提供一種異常操作行為檢測處理方法，包括：

采集預設時間段內的日志數據信息，并根據所述日志數據信息分別獲取各日志類型對應的操作行為的執行次數和執行時間；

根據所述執行次數和執行時間，按照預設規則分別計算所述各日志類型對應的第一歸一化熵值和第二歸一化熵值；其中，所述第一歸一化熵值為所述各日志類型在第一預設時間維度上的熵值，所述第二歸一化熵值為所述各日志類型在第二預設時間維度上的熵值；

根據所述第一歸一化熵值和所述第二歸一化熵值進行異常操作行為分析。

另一方面，本發明實施例提供一種異常操作行為檢測處理裝置，包括：

獲取單元，用于采集預設時間段內的日志數據信息，并根據所述日志數據信息分別獲取各日志類型對應的操作行為的執行次數和執行時間；

計算單元，用于根據所述執行次數和執行時間，按照預設規則分別計算所述各日志類型對應的第一歸一化熵值和第二歸一化熵值；其中，所述第一歸一化熵值為所述各日志類型在第一預設時間維度上的熵值，所述第二歸一化熵值為所述各日志類型在第二預設時間維度上的熵值；

分析單元，用于根據所述第一歸一化熵值和所述第二歸一化熵值進行異常操作行為分析。