本發(fā)明實施例提供了一種異常行為的檢測方法、裝置、電子設備及存儲介質，方法包括：獲取待檢測日志；將生成時間的間隔不大于預設閾值的相鄰日志記錄劃分至同一數據片，得到多個數據片；根據每個數據片中包括的日志記錄的日志類型，生成日志向量；基于每個日志向量與各類別中心點之間的距離，確定日志記錄是否為異常行為所產生的日志記錄，類別中心點為對預先獲取的日志樣本劃分得到的數據片樣本所對應的日志向量樣本進行聚類得到的類別的中心點。由于在進行數據片劃分時，將生成時間的間隔不大于預設閾值的相鄰日志記錄劃分至同一數據片，不會將連續(xù)的物理行為所產生的日志記錄劃分至不同的數據片中，可以準確確定異常行為所對應的日志記錄。

技術領域

本發(fā)明涉及設備異常行為檢測技術領域，特別是涉及一種異常行為的檢測方法、裝置、電子設備及存儲介質。

背景技術

由于異常行為會威脅網絡設備安全，所以對異常性行為的檢測尤為重要。各種物理行為所產生的日志會具有一定的規(guī)律，符合一定的行為模式，因此通過對日志的分析處理可以確定異常行為。目前廣泛應用的基于日志的異常行為檢測也就是檢測不符合行為模式的日志數據，進而確定該日志數據所對應的行為為異常行為。

目前的基于日志的異常行為檢測方式為：首先獲取日志數據，然后按照固定時間或固定日志數量進行數據切片，再對每個數據片統(tǒng)計包括的各日志類型的日志記錄的數量，進而根據各日志類型的日志記錄的數量，挖掘不符合行為模式的日志數據，實現基于日志數據的異常行為檢測。

在上述異常行為檢測方式中，由于其按照固定時間或固定日志數量進行數據切片，會將連續(xù)的物理行為產生的日志記錄劃分至不同的數據片中，導致日志數據的物理行為信息丟失，每個數據片包括的日志記錄并不是連貫的物理行為所產生的日志記錄，因此異常行為檢測結果并不準確。

發(fā)明內容

本發(fā)明實施例的目的在于提供一種異常行為的檢測方法、裝置、電子設備及存儲介質，用以解決目前的異常行為檢測方式存在的檢測結果不準確的問題。具體技術方案如下：

第一方面，本申請實施例提供了一種異常行為的檢測方法，所述方法包括：

獲取待檢測日志，其中，所述待檢測日志包括多條日志記錄，每條日志記錄包括生成時間和日志類型；

將生成時間的間隔不大于預設閾值的相鄰日志記錄劃分至同一數據片，得到多個數據片，其中，每個數據片包括的日志記錄對應一個物理行為；

根據每個數據片中包括的日志記錄的日志類型，生成所述每個數據片對應的日志向量，其中，所述日志向量與所述日志類型相關；

基于每個所述日志向量與預先聚類得到的各類別中心點之間的距離，確定所述每個數據片包括的日志記錄是否為異常行為所產生的日志記錄，其中，所述類別中心點為：對預先獲取的日志樣本劃分得到的數據片樣本所對應的日志向量樣本進行聚類得到的類別的中心點。

可選的，所述基于每個所述日志向量與預先聚類得到的各類別中心點之間的距離，確定所述每個數據片包括的日志記錄是否為異常行為所產生的日志記錄的步驟，包括：

計算每個所述日志向量與預先聚類得到的各類別中心點之間的距離，其中，所述日志向量與各類別中心點之間的距離用于表征每個日志向量屬于該類別中心點對應的類別的概率；

針對所述每個數據片，確定所述距離中的最小距離所對應的類別，作為該數據片的目標類別；

如果所述目標類別為異常類別，確定該目標類別對應的數據片包括的日志記錄為異常行為所產生的日志記錄；或，

針對所述每個數據片，基于所對應的最小距離及目標類別所包括的日志向量樣本與類別中心點之間的距離，確定所述每個數據片包括的日志記錄是否為異常行為所產生的日志記錄，其中，所述日志向量樣本與所述類別中心點之間的距離用于表征該日志向量樣本屬于該類別的概率。