主机用户异常行为检测方法、装置、存储介质及电子设备与流程

1.本公开涉及网络与信息安全技术领域，具体而言，涉及一种主机用户异常行为检测方法、装置、存储介质及电子设备。


背景技术：

2.目前，传统的主机异常检测技术主要包括基于网络的入侵检测和基于主机的入侵检测两类，相关技术通常基于统计或规则匹配技术来对已知的异常行为，而在未知异常行为的检测方面存在滞后性的问题。


技术实现要素：

3.本公开实施例提供一种主机用户异常行为检测方法、装置、存储介质及电子设备，以用于至少部分地解决相关技术中存在的对主机的未知异常行为的检测存在滞后性的技术问题。
4.根据本公开的第一个方面，提供了一种主机用户异常行为检测方法，包括：获取待检测主机的进程数据；基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。
5.可选的，所述进程数据，包括：待检测主机的进程执行程序信息、进程执行用户信息以及进程所操作的文件信息中的至少一者。
6.可选的，所述用户特征包括用户所属的用户组。
7.可选的，所述命令特征包括以下至少一者：命令类型、命令的字符长度、命令中参数的个数以及命令中特殊字符占比。
8.可选的，所述文件特征包括以下至少一者：文件类型、文件所属用户组、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。
9.可选的，基于所述进程数据提取用户操作特征，得到预测数据集，包括：提取所述进程数据的用户信息，根据用户组映射表确定所述进程数据的用户组信息，其中，所述用户组映射表中包括用户信息与用户组的对应关系；和/或，提取所述进程数据的进程执行命令的命令名称，根据命令类型映射表确定所述进程数据的命令类型，计算所述命令的字符长度、所述命令中参数的个数以及特殊字符占比，其中，所述命令类型映射表中包括命令名称与命令类型的对应关系；和/或，提取所述进程数据的关联文件的信息，根据文件类型映射表确定所述关联文件的文件类型，提取所述关联文件所属的用户信息，根据用户组映射表确定所述关联文件所属的用户组，计算所述关联文件的文件路径层级、文件路径信息字符长度以及文件名中特殊字符占比，其中，所述文件类型映射表中包括所述关联文件的信息与文件类型的对应关系。
10.可选的，所述命令类型映射表中包括命令类型与第一正则表达式规则的对应关系，与所述第一正则表达式规则匹配的命令名称与所述命令类型对应；所述文件类型映射
表中包括文件类型与第二正则表达式规则的对应关系，匹配所述第二正则表达式规则的关联文件的信息与所述文件类型对应。
11.可选的，所述方法还包括：在将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果之后，根据所述检测结果确定出用户所操作的异常文件和/或异常命令。
12.可选的，所述检测结果包括：所述主机用户存在异常行为或所述主机用户不存在异常行为，根据所述检测结果确定出用户所操作的异常文件和/或异常命令，包括：根据用户组以及命令类型对所述检测结果进行分组，得到第一检测结果组，其中，所述第一检测结果组对应的第一进程数据所属的第一用户组以及第一命令类型均一致，若所述第一检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第一用户组的用户在执行所述第一命令类型的命令时存在异常；和/或，根据用户组以及文件类型对检测结果进行分组，得到第二检测结果组，其中，所述第二检测结果组对应的第二进程数据所属的第二用户组以及第二文件类型均一致，若所述第二检测结果组中异常检测结果的数目大于检测结果的数目，确定所述第二用户组的用户在操作所述第二文件类型的文件时存在异常；和/或，根据用户组、命令类型以及文件类型对所述检测结果进行分组，得到第三检测结果组，其中，所述第三检测结果组对应的第三进程数据的第三用户组、第三文件类型以及第三命令类型均一致，若所述第三检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第三用户组的用户在执行所述第三命令类型的命令的过程操作所述第三命令类型的命令时存在异常。
13.可选的，所述方法还包括：在根据所述检测结果确定出用户所操作的异常文件和/或异常命令之后，根据用户所操作的异常文件和/或异常命令确定用户异常行为的目标风险等级；输出目标风险等级的告警事件。
14.根据本公开的第二个方面，还提供了一种主机用户异常行为检测装置，包括：获取模块，用于获取待检测主机的进程数据；提取模块，用于基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；预测模块，用于将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。
15.根据本公开的第三个方面，还提供了一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行本公开实施例提供的任意一种主机用户异常行为检测方法。
16.根据本公开的第四个方面，还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本公开实施例提供的任意一种主机用户异常行为检测方法。
17.本公开实施例的主机用户异常行为检测方法、装置、存储介质及电子设备，通过获取待检测主机的进程数据，提取进程数据中的用户操作特征，其中，用户操作特征以用户特征、命令特征及文件特征进行表征，从而可以通过关联用户特征、命令特征以及文件特征，构建用户操作特征，进而可利用训练好的用户异常行为检测模型基于用户操作特征对主机用户的异常行为进行检测，得到检测结果，实现了根据用户操作特征对主机中未知异常行为进行检测的目的，提高了主机异常检测的实时性。
18.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
19.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图；
21.图2是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图；
22.图3是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图；
23.图4是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图；
24.图5是根据本公开一示例性实施例示出的一种主机用户异常行为检测装置的结构示意图；
25.图6是根据本公开一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
26.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。
27.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
28.图1是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图，如图1所示，该方法包括：
29.在步骤s102中，获取待检测主机的进程数据；
30.在示例性实施例中，可采集待检测主机某一时刻正在执行的进程数据，采集的进程数据可包括：待检测主机的进程执行程序信息，如进程执行程序名称，进程执行用户信息，如进程执行主机用户名，以及进程所操作的文件信息，其中，进程所操作的文件包括但不限于进程打开的文件、进程创建的文件、进程修改的文件、进程删除的文件以及进程复制的文件。其中，某一时刻的进程数据可以是一条进程数据，也可以是多条进程数据。
31.在步骤s104中，基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；
32.其中，用户操作特征可用于表征用户的文件操作情况，由于主机的操作系统中的文件是保存系统及各类应用信息的载体，攻击者在进行恶意行为操作时无法避免文件操作。故基于用户的文件操作情况，可对主机用户的行为进行更加全面的描述，进而可根据用户的文件操作情况对主机未知异常行为的检测。
33.在示例性实施例中，用户特征可包括用户属性特征，命令特征可包括用户所操作的命令所具有的属性特征，文件特征可包括进程所操作的文件的属性特征。
34.在步骤s106中，将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。
35.在示例性实施例中，可基于训练数据集预先进行训练得到用户异常行为检测模型，其中，训练数据集中可包括在主机处于正常状态以及处于异常状态下分别通过采集主机的进程数据中提取的特征数据。其中，采集的主机的进程数据可包括进程执行程序名称、进程执行用户以及进程所操作的文件信息。训练数据集中特征数据的标签可以包括异常和正常两种标签。其中，用户异常行为检测模型的具体训练过程将在后文进行详细说明。
36.本公开实施例的主机用户异常行为检测方法，通过获取待检测主机的进程数据，提取进程数据中的用户操作特征，其中，用户操作特征以用户特征、命令特征及文件特征进行表征，从而可以通过关联用户特征、命令特征以及文件特征，构建用户操作特征，进而可利用训练好的用户异常行为检测模型基于用户操作特征对主机用户的异常行为进行检测，得到检测结果，实现了根据用户操作特征对主机中未知异常行为进行检测的目的，提高了主机异常检测的实时性。
37.在本公开的实施例中，所述用户特征可包括用户所属的用户组。
38.其中，用户可为进程执行用户，可获取进程执行用户的用户信息，如主机用户名，根据用户主机名确定用户所属的用户组。
39.将进程数据中进程执行用户所属的用户组作为用户操作特征中的用户特征，可在对主机进行异常检测时有效定位出存在异常的用户组，可将异常精确定位至用户组。
40.在本公开的实施例中，所述命令特征可包括以下至少一者：
41.命令类型、命令的字符长度、命令中参数的个数以及命令中特殊字符占比。
42.其中，命令类型与主机的运行环境相关，主机处于不同的运行环境下，命令可被划分为不同的命令类型，如，在web服务器主机环境中，命令类型可包括系统进程、中间件应用进程以及数据库应用进程。
43.命令的字符长度指命令中字符的总个数，其中，包括空格字符的个数。
44.命令中参数的个数指命令中所包含的参数的个数，该个数与命令中所包含的空格字符的个数相同。
45.命令中特殊字符占比指命令中所包含的特殊字符占命令总字符的比例，在本公开的实施例中特殊字符可被定义为：除“/”、空格字符
“”
、大小写字母以外的字符。
46.采用命令的以上多维度特征中的至少一个维度的特征来作为用户操作特征中的命令特征，可结合用户所执行的命令的特征来衡量用户操作是否存在异常。
47.在本公开的实施例中，所述文件特征可包括以下至少一者：
48.文件类型、文件所属用户组信息、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。
49.其中，文件类型与主机的运行环境相关，如，在linux环境中，可根据文件所在路径对文件进行分类，文件类型可被划分为二进制文件、配置文件以及临时文件。
50.文件所属用户组信息指文件所属的用户所属的用户组信息；
51.文件路径层级指文件从根目录到文件所在的文件夹所包含的文件夹层数；
52.文件路径信息字符长度指文件路径信息中字符的总个数；
53.文件名称中特殊字符占比指文件完整路径中特殊字符占全部有效字符的比例，在本公开的实施例中可定义特殊字符为：除“/”、空格字符
“”
、大小写字母以外的字符。
54.采用文件的以上多维度特征中的至少一个维度的特征来作为用户操作特征中的文件特征，可结合用户所操作的文件的特征来衡量用户操作是否存在异常。
55.在本公开的实施例中，预测数据集中的样本数据可包括：用户组、命令类型、命令的字符长度、命令中参数的个数、命令中特殊字符占比、文件类型、文件所属用户组、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。
56.在本公开的实施例中，基于所述进程数据提取用户操作特征，得到预测数据集，可包括：
57.提取所述进程数据的用户信息，根据用户组映射表确定所述进程数据的用户组信息，其中，所述用户组映射表中包括用户信息与用户组的对应关系；和/或，
58.提取所述进程数据的进程执行命令的命令名称，根据命令类型映射表确定所述进程数据的命令类型，计算所述命令的字符长度、所述命令中参数的个数以及特殊字符占比，其中，所述命令类型映射表中包括命令名称与命令类型的对应关系；
59.在示例性实施例中，可根据预先构建的用户组映射表中的用户信息与用户组的对应关系确定用户所属的用户组，示例性的，用户组映射表中可包括主机用户名与用户组之间的对应关系。
60.在示例性实施例中，可通过输入数据集command(命令)信息，提取命令名称部分，根据预先构建的命令类型映射表中的命令类型与命令名称的对应关系确定命令类型，得到对应的命令类型；
61.计算命令的字符长度，可通过输入command信息，计算command中字符的总个数(其中包含空格)，得到命令的字符长度；
62.计算命令中参数的个数com_opts，其中，com_opts可等于command中所包含的空格字符的个数；
63.计算命令中特殊字符的占比com_letter；
64.得到的每条进程数据中对应的命令特征值可包括：命令类型、命令的字符长度、命令中参数的个数以及命令中特殊字符的占比。
65.基于所述进程数据提取用户操作特征，得到预测数据集，可包括：
66.提取所述进程数据的关联文件的信息，根据文件类型映射表确定所述关联文件的文件类型，提取所述关联文件所属的用户信息，根据用户组映射表确定所述关联文件所属的用户组，计算所述关联文件的文件路径层级、文件路径信息字符长度以及文件名中特殊字符占比，其中，所述文件类型映射表中包括所述关联文件的信息与文件类型的对应关系；
67.在示例性实施例中，进程数据的关联文件的信息可以是文件路径，可根据预先构建的文件类型映射表中文件路径和文件类型的对应关系，确定文件类型，得到对应的文件
类型。
68.确定所述关联文件所属的用户组可包括：提取进程数据中的关联文件所属用户信息，根据预先构建的用户组映射表中用户信息与用户组之间的对应关系确定每条进程数据的用户组信息，并为每条进程数据添加对应的用户组信息；
69.计算文件路径层级，文件路径层级指文件从根目录到文件所在文件夹所包含的文件夹层数；
70.计算文件路径信息字符长度(也称文件字符长度)，计算文件路径信息中字符的总个数，得到文件路径信息字符长度；
71.文件名中特殊字符占比，计算文件完整路径中特殊字符占全部有效字符的比例，在本公开的实施例中，特殊字符可被定义为：除“/”、空格字符
“”
以及大、小写字母以外的字符。
72.得到的每条进程数据中对应的文件特征值可包括：文件类型、文件所属用户组信息、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。
73.利用预先构建的用户组映射表、命令类型映射表及文件类型映射表来为预测数据集中的数据添加用户信息、命令信息及文件信息，可有效提高构建预测数据集的效率。
74.在本公开的实施例中，所述命令类型映射表中可包括命令类型与第一正则表达式规则的对应关系，其中，与所述第一正则表达式规则匹配的命令名称与所述命令类型对应；
75.如，(rule1，命令类型1)，表示匹配第一正则表达式规则rule1的命令名称所对应的命令可归类为命令类型1；
76.所述文件类型映射表中包括文件类型与第二正则表达式规则的对应关系，与所述第二正则表达式规则匹配的关联文件的信息与所述文件类型对应。
77.其中，关联文件的信息以文件路径为例，如(rule1，文件类型1)，表示匹配第二正则表达式规则rule1的文件路径所对应的文件可归类为文件类型1。
78.将命令类型映射表中命名名称与命令类型之间的对应关系表示为第一正则表达式规则与命令类型之间的对应关系，可快速高效的利用正则表达式规则匹配出与各种命令类型对应的命令。同理，将文件类型映射表中文件名称与文件类型之间的对应关系表示为第二正则表达式规则与文件类型之间的对应关系，可快速高效的利用正则表达式规则匹配出与各种文件类型对应的文件。
79.图2是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图，如图2所示，该方法在图1所示的方法的基础上，还可进一步包括：
80.在步骤s202中，在将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果之后，根据所述检测结果确定出用户所操作的异常文件和/或异常命令。
81.在示例性实施例中，用户异常行为检测模型可输出每条进程数据的检测结果，每条进程数据的检测结果可包括：该条进程数据正常，或该条进程数据异常。在本公开的实施例中，预测数据集中的数据可被添加有用户信息、命令信息以及文件信息，在此基础上，将每条进程数据的检测结果结合该条进程数据对应的用户信息、命令信息以及文件信息，可确定出发生异常行为的用户，发生异常行为的用户所操作的文件，以及发生异常行为的用户所执行的命令。
82.在本公开的实施例中，所述检测结果可包括：所述主机用户存在异常行为或所述主机用户不存在异常行为，图3是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图，如图3所示，根据所述检测结果确定出用户所操作的异常文件和/或异常命令，可包括：
83.在步骤s2022中，根据用户组以及命令类型对所述检测结果进行分组，得到第一检测结果组，其中，所述第一检测结果组对应的第一进程数据所属的第一用户组以及第一命令类型均一致，若所述第一检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第一用户组的用户在执行所述第一命令类型的命令时存在异常；和/或
84.其中，将第一进程数据输入用户异常行为检测模型，该模型输出的检测结果即为第一检测结果，故，称第一检测结果与第一进程数据对应。
85.可选的，可将用户异常行为检测模型输出的所有检测结果中用户组与命令类型均一致的检测结果划分为一组，得到第一检测结果组。示例性的，用户组表示为gid，命令类型表示为com_type，检测结果表示为risk_status，则第一检测结果组可表示为gid＝gid1，com_type＝com_type1。如果count(gid＝gid1，com_type＝com_type1，risk_status＝异常)》count(gid1，com_type1，risk_status＝正常)，则可确定用户组gid1在执行com_type1命令类型的命令中存在异常状态。
86.在步骤s2024中，根据用户组以及文件类型对检测结果进行分组，得到第二检测结果组，其中，所述第二检测结果组对应的第二进程数据所属的第二用户组以及第二文件类型均一致，若所述第二检测结果组中异常检测结果的数目大于检测结果的数目，确定所述第二用户组的用户在操作所述第二文件类型的文件时存在异常；和/或
87.其中，将第二进程数据输入用户异常行为检测模型，该模型输出的检测结果即为第二检测结果，故，称第二检测结果与第二进程数据对应。
88.示例性的，可将用户异常行为检测模型输出的所有检测结果中用户组与文件类型均一致的检测结果划分为一组，得到第二检测结果组。示例性的，用户组表示为gid，文件类型表示为fd_type，检测结果表示为risk_status，则第二检测结果组可表示为gid＝gid1，fd_type＝fd_type1。如果count(gid＝gid1，fd_type＝fd_type1，risk_status＝异常)》count(gid1，fd_type1，risk_status＝正常)，则用户组gid1在操作fd_type1类型的文件中存在异常状态。
89.在步骤s2026中，根据用户组、命令类型以及文件类型对所述检测结果进行分组，得到第三检测结果组，其中，所述第三检测结果组对应的第三进程数据的第三用户组、第三文件类型以及第三命令类型均一致，若所述第三检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第三用户组的用户在执行所述第三命令类型的命令的过程操作所述第三操作命令时存在异常。
90.其中，将第三进程数据输入用户异常行为检测模型，该模型输出的检测结果即为第三检测结果，故，称第三检测结果与第三进程数据对应。
91.示例性的，可将用户异常行为检测模型输出的所有检测结果中用户组、命令类型以及文件类型均一致的检测结果划分为一组，得到第三检测结果组。示例性的，用户组表示为gid，命令类型表示为com_type，文件类型表示为fd_type，检测结果表示为risk_status，则第三检测结果组可表示为gid＝gid1，fd_type＝fd_type1，com_type＝com_type1。如果
count(gid＝gid1，com_type＝com_type1，fd_type1，risk_status＝异常)》count(gid＝gid1，com_type＝com_type1，fd_type＝fd_type1，risk_status＝正常)，则用户组gid1在执行com_type命令类型的过程中操作fd_type1类型的文件中存在异常状态。
92.需要说明的是，图3仅为主机用户异常行为检测方法包含步骤s2022-s2026的一种示例。
93.图4是根据本公开一示例性实施例示出的一种主机用户异常行为检测方法的流程图，如图4所示，该方法在图1所示的方法的基础上，还可进一步包括：
94.在步骤s402中，在根据所述检测结果确定出用户所操作的异常文件和/或异常命令之后，根据用户所操作的异常文件和/或异常命令确定用户异常行为的目标风险等级；
95.在示例性实施例中，根据检测结果确定出的异常可包括确定出用户组在执行某一或某几种类型的命令时存在异常；用户组在操作某一或某几种类型的文件时存在异常；或用户组在执行某一或某几种命令的过程中操作某一或或几种类型的文件时存在异常，这三种异常可分别对应三个不同的告警等级，如第一种异常对应告警等级a，第二种异常对应告警等级b，第三种异常对应告警等级c。
96.在步骤s404中，输出目标风险等级的告警事件。
97.在示例性实施例中，在确定出用户异常行为的目标风险等级之后，可将用户具体异常行为输出，如，输出检测结果中的异常用户组的信息，异常用户组执行的命令的命令类型和/或异常用户组操作的文件的文件类型。或者，也可同时输出目标风险等级，沿用上述示例，可直接输出告警等级a，告警等级b或告警等级c，从而可以简单明确的使用告警等级来对当前发生的异常情况进行告警。
98.以下对本公开实施例中用户异常行为检测模型的训练过程进行说明。
99.训练数据集的构建与处理：
100.构建主机历史进程记录数据集，在主机正常与异常状态下分别提取主机进程执行程序名称、进程执行用户以及进程所打开的文件信息；
101.例如，可获取系统中所有正在执行的进程信息，包括进程user、pid、command信息，其中，user为进程执行用户，pid为进程号，command为进程执行的完整命令；
102.利用获取的所有pid，获取进程所打开的文件信息；
103.确定文件所属用户；
104.每隔预设时间间隔，如10分钟，重复上述步骤，获取到主机在一定时间范围内的进程信息；
105.调整主机为风险状态，如使主机执行恶意软件等，记录新增进程信息，其中，新增进程同样可包括进程执行用户、进程号以及进程执行的完整命令。
106.根据主机状态为主机历史进程记录数据集中的数据添加正常或异常风险状态标签；
107.提取主机用户名与用户组的对应关系，保存至用户组映射表；
108.构建进程类型映射表：输入主机历史进程记录数据集中的数据中所有的进程执行命令，提取命令名称部分；根据主机的运行环境情况，定义命令类型，如命令类型1、命令类型2
…
命令类型n；定义每种命令类型对应的正则表达式规则；形成完整命令类型映射表，其中，命令类型映射表中可包括正则表达式与命令类型之间的对应关系，符合某一命令类型
对应的正则表达式规则的命令名称与该命令类型对应。
109.构建文件类型映射表：输入主机历史进程记录数据集中的数据中所有进程的关联文件信息，并去除重复信息后构成进程文件集合；根据主机的运行环境情况，定义文件类型，如文件类型1、文件类型2
…
文件类型n；定义每种文件类型对应的正则表达式规则；形成完整文件类型映射表，其中，文件类型映射表中可包括正则表达式与文件类型之间的对应关系，符合某一文件类型对应的正则表达式规则的文件名称与该文件类型对应。
110.根据用户组映射表、命令类型映射表以及文件类型映射表，为主机历史进程记录数据集中的每条数据添加用户组、命令类型以及文件类型信息，得到训练数据集。
111.以下以linux系统主机为例，对信息的提取进行示例性说明：
112.执行ps-aux命令，获取系统中所有正在执行的进程信息，包括进程user、pid以及command信息，其中，user为进程执行用户，pid为进程号，command为进程执行的完整命令(包括命令的名称和参数)，如，user＝root，pid＝1234，command＝/bin/bash/usr/bin/app1；
113.利用获取的所有pid，依次执行命令ls-l/proc/[pid]/fd/，如pid＝1234，则执行ls-l/proc/1234/fd/，获取进程号为1234的进程所打开的文件信息，所得结果为文件路径fdinfo1＝/var/lib/app1/data1,fdinfo2＝/var/lib/app1/data2
…
；
[0114]
获取文件所属用户，执行ls-l[fdinfo1]，如ls-l/var/lib/app1/data1，从结果中提取文件所属用户fd_owner；
[0115]
得到某一时刻time1中主机进程信息如下：
[0116]
{time1，user、pid、command，fdinfo，fd_owner}
[0117]
每间隔特定时间，如10分钟，重复上述步骤，获取主机一定时间范围内的进程信息[{time1，user、pid、command，fdinfo，fd_owner}，{time2，user、pid、command，fdinfo，fd_owner}，{time3，user、pid、command，fdinfo，fd_owner}
…
]；
[0118]
调整主机为风险状态，如执行恶意软件等，记录新增进程的信息；
[0119]
根据主机状态为训练数据集中数据添加风险状态标签risk_status，得到{time1，user、pid、command，fdinfo，fd_owner，risk_status}，其中，risk_status＝正常/异常。
[0120]
构建用户组映射表：
[0121]
提取主机用户名与gid(用户组id)的对应关系，如执行cat/etc/group，可获取用户root对应的gid＝0，保存至用户组映射表gid_map＝[{user1，gid1}，{user2，gid1}
…
]中；
[0122]
构建命令类型映射表：
[0123]
输入数据中所有的进程执行命令，提取命令名称部分，如以空格
“”
对command信息进行切分，得到第一部分信息即为命令名称，如command＝/bin/bash/usr/bin/app1，命令名称为/bin/bash，去除重复信息后构成进程命令名称集合[com_name1,com_name 2,com_name 3
…
]；
[0124]
根据主机的运行环境，定义命令类型，com_type[命令类型1，命令类型2，命令类型3
…
]，例如，在web服务器主机环境中可定义com_type[系统进程，中间件应用进程，数据库应用进程
…
]
[0125]
定义每种命令类型的对应正则表达式规则，如(rule1，命令类型1)，表示匹配规则
rule1的执行命令名称可归类为命令类型1；
[0126]
形成完整命令类型映射表{(rule1，命令类型1)，(rule2，命令类型2)
…
(rulex，命令类型n)}
[0127]
构建文件类型映射表：
[0128]
输入数据中所有的进程关联文件信息fdinfo，并去除重复信息后构成进程文件集合[fdinfo1，fdinfo2，fdinfo3
…
]；
[0129]
根据主机运行环境情况，定义文件类型，如文件类型1、文件类型2
…
文件类型n，例如，在linux环境中，可根据文件所在路径分类，定义文件类型[二进制文件，配置文件，临时文件
…
]
[0130]
定义每种文件类型对应的正则表达式规则，如(rule1，文件类型1)，表示匹配规则rule1的文件可归类为文件类型1；
[0131]
形成完整文件类型映射表{(rule1，文件类型1)，(rule2，文件类型2)
…
(rulex，文件类型n)}。
[0132]
根据用户组映射表、命令类型映射表以及文件类型映射表，为主机历史进程记录数据集中的每条数据添加用户组、命令类型以及文件类型信息。
[0133]
以下对用户异常行为检测模型训练过程中对用户特征的提取进行说明：
[0134]
输入数据集[{time1，user、pid、command，fdinfo，fd_owner}，{time2，user、pid、command，fdinfo，fd_owner}，{time3，user、pid、command，fdinfo，fd_owner}
…
]，逐条提取数据进行特征分析；
[0135]
用户组映射：提取数据中的user信息，利用用户组映射表gid_map，为每条数据添加对应的用户组信息{time1，user、pid、command，fdinfo，fd_owner,gid}
[0136]
命令特征提取：
[0137]
命令类型：输入数据集command信息，提取命令名称部分，根据命令类型映射表，得到对应的命令类型com_type；
[0138]
命令字符长度com_length：输入command信息，计算command中字符的总个数(包含空格)，如command＝/bin/bash/usr/bin/app1，com_length＝23，表示命令字符长度为23；
[0139]
命令中参数的个数com_opts：com_opts等于command中所包含空格字符的个数，如command＝/bin/bash/usr/bin/app1，则com_opts＝1；
[0140]
命令特殊字符占比com_letter：com_letter按照以下公式计算：
[0141]
com_letter＝命令中特殊字符个数/(com_length-com_opts)；
[0142]
command中字母字符(包括大小写字母)占比：如command＝/bin/bash/usr/bin/app2-2.3，其中，com_letter＝5/(23-1)＝0.23；
[0143]
得到每条数据中对应的命令特征值(com_type，com_length，com_opts，com_letter)，并添加进数据集中，得到{time1，user、pid、command(com_type，com_length，com_opts，com_letter)，fdinfo，fd_owner，gid}。
[0144]
文件特征提取：
[0145]
文件类型：输入数据集fdinfo信息，根据文件类型映射表，得到对应的文件类型fd_type；
[0146]
文件所属用户映射：提取数据中的fd_owner，利用用户组映射表gid_map，为每条
数据添加对应的用户组信息，得到fd_owner_gid；
[0147]
计算文件路径层级fd_level，fd_level等于fdinfo中所包含“/”字符的个数，如fdinfo＝/var/lib/app1/data1，则fd_level＝4；
[0148]
文件名字符长度fd_length，计算fdinfo中字符的总个数，如fdinfo＝/var/lib/app1/data1，fd_length＝19；
[0149]
文件名特殊字符占比fd_letter，fd_letter按照以下公式计算：
[0150]
fd_letter＝fdinfo中特殊字符个数/(fd_length-fd_level)；
[0151]
如fdinfo＝/var/lib/app1/data1，其中字母个数为13个，fd_letter＝2/(19-4)＝0.13；
[0152]
得到每条数据中对应的文件特征值(fd_type，fd_owner_gid，fd_level，fd_length，fd_letter)；
[0153]
结合命令特征，得到处理后的样本数据(gid，com_type，com_length，com_opts，com_letter，fd_type，fd_owner_gid，fd_level，fd_length，fd_letter,risk_status)。
[0154]
需要说明的是，在使用用户异常行为检测模型进行预测时，对预测数据集中用户操作特征的提取与上述对训练数据中用户操作特征的提取过程一致，此处不再赘述。
[0155]
在得到样本数据后，输入样本数据，对每个样本数据的每个字段进行归一化处理；将归一化后的样本数据输入机器学习模型，如神经网络模型或者svm(support vector machines，支持向量机)模型进行训练；输出训练完成的用户异常行为检测模型。
[0156]
以下对利用用户异常行为检测模型对待检测主机的用户异常行为进行识别的过程进行说明：
[0157]
采集待检测主机某一时刻的进程数据，该进程数据可包括主机进程执行程序名称、进程执行用户以及进程所打开的文件信息，
[0158]
参考上文中在进行模型训练过程中对用户特征的提取，对采集到的主机数据进行特征提取，得到测试数据集；
[0159]
测试数据集如[(gid1，com_type，com_length，com_opts，com_letter，fd_type，fd_owner_gid，fd_level，fd_length，fd_letter)，(gid2,com_type，com_length，com_opts，com_letter，fd_type，fd_owner_gid，fd_level，fd_length，fd_letter)
…
]；
[0160]
将测试数据集输入训练完成的用户异常行为检测模型，得到每条进程数据对应的风险状态值。
[0161]
得到的每条数据对应的风险状态值如[(gid1，com_type，com_length，com_opts，com_letter，fd_type，fd_owner_gid，fd_level，fd_length，fd_letter，risk_status)，(gid2，com_type，com_length，com_opts，com_letter，fd_type，fd_owner_gid，fd_level，fd_length，fd_letter，risk_status)
…
]。
[0162]
以下对根据用户异常行为检测模型输出的检测结果进行异常判断的过程进行说明。
[0163]
以gid、com_type、risk_status对用户异常行为检测模型输出的检测结果进行分组，如果count(gid＝gid1，com_type＝com_type1，risk_status＝异常)》count(gid1，com_type1，risk_status＝正常)，则用户组gid1在执行com_type1命令类型中存在异常状态，输出级别a告警事件；
[0164]
以gid、fd_type、risk_status对用户异常行为检测模型输出的检测结果进行分组，如果count(gid＝gid1，fd_type＝fd_type1，risk_status＝异常)》count(gid1，fd_type1，risk_status＝正常)，则用户组gid1在操作fd_type1类型文件中存在异常状态，输出级别b告警事件；
[0165]
以gid、com_type、fd_type、risk_status对用户异常行为检测模型输出的检测结果进行分组，如果count gid＝gid1，com_type＝com_type1，fd_type1，risk_status＝异常)》count(gid＝gid1，com_type＝com_type1，fd_type＝fd_type1，risk_status＝正常)，则用户组gid1在执行com_type命令类型过程操作fd_type1类型文件中存在异常状态，输出级别c告警事件；
[0166]
其中，告警级别a、b、c可根据应用场景自行定义。
[0167]
图5是根据本公开一示例性实施例示出的一种主机用户异常行为检测装置的结构示意图，如图5所示，该装置510包括：
[0168]
获取模块512，用于获取待检测主机的进程数据；
[0169]
提取模块514，用于基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；
[0170]
预测模块516，用于将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。
[0171]
在本公开的实施例中，所述进程数据，可包括：待检测主机的进程执行程序信息、进程执行用户信息以及进程所操作的文件信息中的至少一者。
[0172]
在本公开的实施例中，所述用户特征可包括用户所属的用户组。
[0173]
在本公开的实施例中，所述命令特征可包括以下至少一者：
[0174]
命令类型、命令的字符长度、命令中参数的个数以及命令中特殊字符占比。
[0175]
在本公开的实施例中，所述文件特征可包括以下至少一者：
[0176]
文件类型、文件所属用户组、文件路径层级、文件路径信息字符长度以及文件名称中特殊字符占比。
[0177]
在本公开的实施例中，所述提取模块具体用于：
[0178]
提取所述进程数据的用户信息，根据用户组映射表确定所述进程数据的用户组信息，其中，所述用户组映射表中包括用户信息与用户组的对应关系；
[0179]
和/或
[0180]
提取所述进程数据的进程执行命令的命令名称，根据命令类型映射表确定所述进程数据的命令类型，计算所述命令的字符长度、所述命令中参数的个数以及特殊字符占比，其中，所述命令类型映射表中包括命令名称与命令类型的对应关系；
[0181]
和/或
[0182]
提取所述进程数据的关联文件的信息，根据文件类型映射表确定所述进程数据的文件类型，提取所述进程数据中的关联文件所属的用户信息，根据用户组映射表确定所述关联文件所属的用户组，计算所述进程数据的文件路径层级、文件路径信息字符长度以及文件名中特殊字符占比，其中，所述文件类型映射表中包括所述关联文件的信息与文件类型的对应关系。
[0183]
在本公开的实施例中，所述命令类型映射表中包括命令类型与第一正则表达式规
则的对应关系，与所述第一正则表达式规则匹配的命令名称与所述命令类型对应；所述文件类型映射表中包括文件类型与第二正则表达式规则的对应关系，匹配所述第二正则表达式规则的关联文件的信息与所述文件类型对应。
[0184]
在本公开的实施例中，主机用户异常行为检测装置还可包括：
[0185]
第一确定模块，用于在将所述预测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果之后，根据所述检测结果确定出用户所操作的异常文件和/或异常命令。
[0186]
在本公开的实施例中，所述检测结果可包括：所述主机用户存在异常行为或所述主机用户不存在异常行为，所述第一确定模块具体可用于：
[0187]
根据用户组以及命令类型对所述检测结果进行分组，得到第一检测结果组，其中，所述第一检测结果组对应的第一进程数据所属的第一用户组以及第一命令类型均一致，若所述第一检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第一用户组的用户在执行所述第一命令类型的命令时存在异常；和/或
[0188]
根据用户组以及文件类型对检测结果进行分组，得到第二检测结果组，其中，所述第二检测结果组对应的第二进程数据所属的第二用户组以及第二文件类型均一致，若所述第二检测结果组中异常检测结果的数目大于检测结果的数目，确定所述第二用户组的用户在操作所述第二文件类型的文件时存在异常；和/或
[0189]
根据用户组、命令类型以及文件类型对所述检测结果进行分组，得到第三检测结果组，其中，所述第三检测结果组对应的第三进程数据的第三用户组、第三文件类型以及第三命令类型均一致，若所述第三检测结果组中异常检测结果的数目大于正常检测结果的数目，确定所述第三用户组的用户在执行所述第三命令类型的命令的过程操作所述第三命令类型的命令时存在异常。
[0190]
在本公开的实施例中，主机用户异常行为检测装置还可包括：
[0191]
第二确定模块，用于在根据所述检测结果确定出用户所操作的异常文件和/或异常命令之后，根据用户所操作的异常文件和/或异常命令确定用户异常行为的目标风险等级；
[0192]
输出模块，用于输出目标风险等级的告警事件。
[0193]
所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。
[0194]
如图6所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
[0195]
其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元610执行，使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元610可以执行如图1中所示的步骤s102：获取待检测主机的进程数据；在步骤s104：基于所述进程数据提取用户操作特征，得到预测数据集，其中，所述用户操作特征包括：用户特征、命令特征以及文件特征；步骤s106：将所述预
测数据集输入预先训练好的用户异常行为检测模型，得到所述用户异常行为检测模型输出的检测结果。
[0196]
存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(rom)6203。
[0197]
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0198]
总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
[0199]
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器660通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
[0200]
在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
[0201]
描述了根据本发明的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0202]
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0203]
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0204]
可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
[0205]
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c 等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0206]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0207]
此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
[0208]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
[0209]
本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权利要求指出。