本申請公開了一種檢測方法，包括：獲取終端行為日志；根據終端行為日志中實體之間的因果關系對終端行為日志進行事件關聯特征提取處理，得到待檢測特征；采用預先訓練的行為檢測模型對待檢測特征進行檢測，得到檢測結果。通過終端行為日志中實體之間的因果關系對終端行為日志進行事件關聯特征提取處理，得到待檢測特征，使得離散的事件之間形成非時間序列的關聯關系，最后采用行為檢測模型進行終端行為檢測，而不是采用人工規則的方式對單一離散的行為特征進行匹配檢測，提高了目標實體的檢測效果和準確性。本申請還公開了一種行為檢測模型生成方法、檢測裝置、行為檢測模型生成裝置、服務器以及計算機可讀存儲介質，具有以上有益效果。

技術領域

本申請涉及計算機技術領域，特別涉及一種檢測方法、行為檢測模型生成方法、檢測裝置、行為檢測模型生成裝置、服務器以及計算機可讀存儲介質。

背景技術

在終端的安全領域中，需要對終端產生的行為日志中各個行為進行檢測，以便檢測確定目標行為和執行目標行為的目標實體。例如，可以是檢測可疑或惡意的行為和執行這些行為的惡意實體。

一般而言，可以通過特征匹配的方式檢測出終端中的目標實體。但是，采用特征匹配的方式很容易被目標實體偽裝，從而逃避檢測。因此，為了提高目標實體的檢測精度，目前常用基于終端行為日志的行為檢測方案。

相關技術中，通過技術人員編寫規則的方式，將記錄得到的終端行為日志和編寫得到的規則進行匹配，以便實現對目標實體的分析和檢測。但是，規則的質量和效果嚴重依賴于技術人員的經驗，導致目標實體的檢測范圍覆蓋不足，無法全面地對目標實體進行檢測，降低目標實體檢測的效果和準確性。

因此，如何提高目標實體檢測的效果是本領域技術人員關注的重點問題。

發明內容

本申請的目的是提供一種檢測方法、行為檢測模型生成方法、檢測裝置、行為檢測模型生成裝置、服務器以及計算機可讀存儲介質，解決現有檢測手段準確性不高的問題。

為解決上述技術問題，本申請提供一種檢測方法，包括：

獲取終端行為日志；

根據所述終端行為日志中實體之間的因果關系對所述終端行為日志進行事件關聯特征提取處理，得到待檢測特征；

采用預先訓練的行為檢測模型對所述待檢測特征進行檢測，得到檢測結果。

可選的，所述行為檢測模型包括圖神經網絡模型。

可選的，所述根據所述終端行為日志中實體之間的因果關系對所述終端行為日志進行事件關聯特征提取處理，得到待檢測特征的步驟，包括：

根據預設格式對所述終端行為日志進行格式一致化處理，得到預處理日志；

根據所述預處理日志中實體之間的因果關系對所述預處理日志進行事件關聯特征提取處理，得到所述待檢測特征。

可選的，所述根據所述終端行為日志中實體之間的因果關系對所述終端行為日志進行事件關聯特征提取處理，得到待檢測特征的步驟，包括：

對所述終端行為日志進行三元組解析，得到所述終端行為日志中每個事件的實體及各實體之間因果關系對應的操作；

根據所述實體、所述操作及各實體之間的因果關系構建所述待檢測特征。

可選的，所述根據所述實體、所述操作及各實體之間的因果關系構建所述待檢測特征的步驟，包括：

將所有所述終端行為日志中所有事件對應的所述實體進行整合，得到所有事件對應的多個待關聯實體；

根據所述多個待關聯實體之間的因果關系將所述操作與所述多個待關聯實體進行網狀結構關聯，得到所述待檢測特征。