异常行为检测方法、装置及设备

（19）中华人民共和国国家知识产权局

（12）发明专利申请

（21）申请号 CN201811376561.6 （22）申请日 2018.11.19

（71）申请人 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司

地址 100085 北京市海淀区上地东路1号院3号楼四层

（10）申请公布号 CN109660517A

（43）申请公布日 2019.04.19

（72）发明人 薛智慧

（74）专利代理机构 工业和信息化部电子专利中心

代理人 田卫平

（51）Int.CI

权利要求说明书 说明书 幅图

（54）发明名称

异常行为检测方法、装置及设备

（57）摘要

本发明公开了一种异常行为检测方法、装

置及设备，其中，一种异常行为检测方法，包括：获取基于用户行为的原始数据流；对所述原始数据流的应用协议进行识别和解析后，得到解析数据；提取所述解析数据的多维关联特征；采用行为模型对所述多维关联特征进行异常检测，从而得到所述原始数据流的异常系数。通过对原始数据流进行识别和解析，并对解析的数据进行

提取多维关联特征操作，从而依据多维关联特征进行异常检测，得到异常系数。因从解析的原始数据流中直接提取多维关联特征，从而最大限度保留原始特征，二在检测时采用行为模型对异常系统进行检测，无需人工干预，采用多维关联特征，在降低计算开销的同时，提高了检测的准确性。

法律状态

法律状态公告日2019-04-19 2019-04-19 2019-05-14

法律状态信息

公开 公开

实质审查的生效

法律状态

公开 公开

实质审查的生效

权利要求说明书

异常行为检测方法、装置及设备的权利要求说明书内容是....请下载后查看