本發明公開了一種異常檢測方法及裝置，本發明是綜合獲取全面的日志數據，從獲取的日志數據中提取特征，對該特征進行處理，基于處理以后的特征，通過SVM算法訓練生成異常檢測模型，并通過所述異常檢測模型對異常行為進行自動檢測，同時將檢測結果進一步訓練異常檢測模型，以獲得更準確的模型，最終實現地對異常行為進行檢測，也就是說，本發明是基于全面的日志數據，并通過不斷進化學習后的異常檢測模型來對網絡進行異常檢測，從而實現準確檢測異常行為，繼而有效解決了現有技術中不能有效對網絡進行異常檢測的問題。

技術領域

本發明涉及計算機技術領域，特別是涉及一種異常檢測方法及裝置。

背景技術

隨著網絡的不斷發展，處于信息爆炸時代的我們面臨著一個嚴峻的問題，就是如何維護網絡安全。對網絡異常行為的檢測能夠較好的解決該問題，即通通過記錄系統運行時信息的日志，以對異常行為進行檢測。異常檢測旨在實時發現異常行為，開發人員能夠及時發現并解決問題，減少系統停機時間或者減少將造成的損失。

但是目前開發人員基本都是通過關鍵字搜索和預先定義的規則匹配來手動檢查日志。而由于系統的大規模以及并行性使得系統行為變得復雜，并且開發人員通常只熟悉其中的某個子組件，對整個系統行為并不完全了解，致使現有方法難以識別整個系統的日志，從而不能對網絡進行有效的異常檢測。

發明內容

本發明提供了一種異常檢測方法及裝置，以解決現有技術中不能有效對網絡進行異常檢測的問題。

第一方面，本發明提供了一種異常檢測方法，該方法包括：對獲取的日志數據進行分析，從所述日志數據中提取得到特征，并對所述特征進行處理；基于處理以后的特征，通過支持向量機SVM算法訓練生成異常檢測模型，并通過所述異常檢測模型對異常行為進行檢測，得到檢測結果；根據所述檢測結果進一步訓練所述異常檢測模型；其中，所述日志數據包括以下中的一種或多種：文件操作日志數據、網絡連接日志數據、進程日志數據和人機交互狀態日志數據。

可選地，所述通過所述異常檢測模型對異常行為進行檢測，包括獲取預設時間段內的日志數據；基于獲取的所述預設時間段內的日志數據，通過所述異常檢測模型對異常行為進行檢測；其中，所述預設時間段為根據異常行為的共性行為特征的數據量以及所要求檢測結果的準確度進行設置。

可選地，從所述日志數據中提取得到特征，并對所述特征進行處理，包括：從所述日志數據中提煉出安全場景及異常場景下的共性行為特征，將提煉出來的共性行為特征的數值縮放至預設置信區間內，并對缺省的共性行為特征的數值進行賦值；

基于處理以后的特征，通過支持向量機SVM算法訓練生成異常檢測模型，包括：基于縮放以及賦值后的共性行為特征，通過SVM算法訓練生成所述異常檢測模型。

可選地，所述將提煉出來的共性行為特征的數值縮放至預設置信區間內，包括：將提煉出來的共性行為特征的數值轉換到均值為0且標準差為1的范圍內。

可選地，對缺省的共性行為特征的數值進行賦值，包括：根據缺省的共性行為特征所對應的內容，對缺省的共性行為特征的數值進行賦值。

可選地，所述根據所述檢測結果進一步訓練所述異常檢測模型，包括：將每次異常檢測模型得到結果作為訓練集，以獲取所述異常檢測模型的更合理的懲罰系數和核函數。

可選地，所述得到檢測結果之后，該方法還包括：設定異常行為的共性行為特征的數據檢測閾值；根據所述檢測結果中異常行為的共性行為特征的數值與所述數據檢測閾值的差異程度，對所述檢測結果中的異常行為的異常程度進行量化顯示。

可選地，所述對獲取的日志數據進行分析之前，該方法還包括：對獲取的日志數據進行數據清洗。