一种检测方法、相关方法及相关装置与流程

本申请涉及计算机技术领域，特别涉及一种检测方法、行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质。

背景技术：

在终端的安全领域中，需要对终端产生的行为日志中各个行为进行检测，以便检测确定目标行为和执行目标行为的目标实体。例如，可以是检测可疑或恶意的行为和执行这些行为的恶意实体。

一般而言，可以通过特征匹配的方式检测出终端中的目标实体。但是，采用特征匹配的方式很容易被目标实体伪装，从而逃避检测。因此，为了提高目标实体的检测精度，目前常用基于终端行为日志的行为检测方案。

相关技术中，通过技术人员编写规则的方式，将记录得到的终端行为日志和编写得到的规则进行匹配，以便实现对目标实体的分析和检测。但是，规则的质量和效果严重依赖于技术人员的经验，导致目标实体的检测范围覆盖不足，无法全面地对目标实体进行检测，降低目标实体检测的效果和准确性。

因此，如何提高目标实体检测的效果是本领域技术人员关注的重点问题。

技术实现要素：

本申请的目的是提供一种检测方法、行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质，解决现有检测手段准确性不高的问题。

为解决上述技术问题，本申请提供一种检测方法，包括：

获取终端行为日志；

根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征；

采用预先训练的行为检测模型对所述待检测特征进行检测，得到检测结果。

可选的，所述行为检测模型包括图神经网络模型。

可选的，所述根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征的步骤，包括：

根据预设格式对所述终端行为日志进行格式一致化处理，得到预处理日志；

根据所述预处理日志中实体之间的因果关系对所述预处理日志进行事件关联特征提取处理，得到所述待检测特征。

可选的，所述根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征的步骤，包括：

对所述终端行为日志进行三元组解析，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作；

根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征。

可选的，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征的步骤，包括：

将所有所述终端行为日志中所有事件对应的所述实体进行整合，得到所有事件对应的多个待关联实体；

根据所述多个待关联实体之间的因果关系将所述操作与所述多个待关联实体进行网状结构关联，得到所述待检测特征。

可选的，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待检测特征的步骤，包括：

针对每一终端行为日志中的事件，基于所述实体、所述操作及各实体之间的因果关系构建因果关系边；其中，所述因果关系边中的端点表征所述实体，所述因果关系边中的有向边表征实体之间的操作；

将所有所述因果关系边进行有向图聚合，得到所述待检测特征。

可选的，所述对所述终端行为日志进行三元组解析，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作的步骤，包括：

根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；

根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；

将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

本申请还提供一种行为检测模型生成方法，包括：

获取终端行为日志训练集；

根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据；

根据所述待训练特征数据进行检测模型训练得到行为检测模型。

可选的，所述行为检测模型包括图神经网络模型。

可选的，所述根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据的步骤，包括：

根据预设格式对所述终端行为日志训练集进行格式一致化处理，得到预处理日志；

根据所述预处理日志中实体之间的因果关系对所述预处理日志进行事件关联特征提取处理，得到所述待训练特征数据。

可选的，所述根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据的步骤，包括：

对所述终端行为日志训练集进行三元组解析，得到所述终端行为日志训练集中每个事件的实体及各实体之间因果关系对应的操作；

根据所述实体、所述操作及各实体之间的因果关系构建所述待训练特征数据。

可选的，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待训练特征数据的步骤，包括：

将所有所述终端行为日志训练集中所有事件对应的所述实体进行整合，得到所有事件对应的多个待关联实体；

根据所述多个待关联实体之间的因果关系将所述操作与所述多个待关联实体进行网状结构关联，得到所述待训练特征数据。

可选的，所述根据所述实体、所述操作及各实体之间的因果关系构建所述待训练特征数据的步骤，包括：

针对每一终端行为日志训练集中的事件，基于所述实体、所述操作及各实体之间的因果关系构建因果关系边；其中，所述因果关系边中的端点表征所述实体，所述因果关系边中的有向边表征实体之间的操作；

将所有所述因果关系边进行有向图聚合，得到所述待训练特征数据。

可选的，所述对所述终端行为日志训练集进行三元组解析，得到所述终端行为日志训练集中每个事件的实体及各实体之间因果关系对应的操作的步骤，包括：

根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；

根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；

将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

本申请还提供一种检测装置，包括：

行为日志获取模块，用于获取终端行为日志；

事件关联特征提取模块，用于根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征；

特征检测模块，用于采用预先训练的行为检测模型对所述待检测特征进行检测，得到检测结果。

本申请还提供一种行为检测模型生成装置，其特征在于，包括：

训练集获取模块，用于获取终端行为日志训练集；

图特征提取模块，用于根据所述终端行为日志训练集中实体之间的因果关系对所述终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据；

模型训练模块，用于根据所述待训练特征数据进行检测模型训练得到行为检测模型。

本申请还提供一种服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上所述的检测方法的步骤和/或如上所述的行为检测模型生成方法的步骤。

本申请还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的检测方法的步骤和/或如上所述的行为检测模型生成方法的步骤。

本申请所提供的一种检测方法，包括：获取终端行为日志；根据所述终端行为日志中实体之间的因果关系对所述终端行为日志进行事件关联特征提取处理，得到待检测特征；采用预先训练的行为检测模型对所述待检测特征进行检测，得到检测结果。

通过终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征，使得离散的事件之间形成非时间序列的关联关系，最后采用行为检测模型进行终端行为检测，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了目标实体的检测效果和准确性。

本申请还提供一种行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质，具有以上有益效果，在此不作赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例所提供的一种检测方法的流程图；

图2为本申请实施例所提供的检测方法的第一种图特征的示意图；

图3为本申请实施例所提供的检测方法的第二种图特征的示意图；

图4为本申请实施例所提供的检测方法的第三种图特征的示意图；

图5为本申请实施例所提供的检测方法的第四种图特征的示意图；

图6为本申请实施例所提供的一种行为检测模型生成方法的流程图；

图7为本申请实施例所提供的另一种检测方法的流程图；

图8为本申请实施例所提供的一种检测装置的结构示意图；

图9为本申请实施例所提供的一种行为检测模型生成装置的结构示意图。

具体实施方式

本申请的核心是提供一种检测方法、行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质，解决现有检测手段准确性不高的问题。

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

相关技术中，通过技术人员编写规则的方式，将记录得到的终端行为日志和编写得到的规则进行匹配，以便实现对目标实体的分析和检测。但是，规则的质量和效果严重依赖于技术人员的经验，导致目标实体的检测范围覆盖不足，无法全面地对目标实体进行检测。

在另一种相关技术中，通过机器学习的方式，基于训练数据训练出模型后进行预测。这类方案一般是将行为组织成基于时间顺序的序列，然后采用n-gram之类的算法抽取特征，基于这些特征进行模型训练和预测。这类方案的主要缺点是因为将行为简单地组织为时间序列，往往无法描述攻击场景的完整信息，特别是在涉及到多个同类实体的情况下(例如：存在多个进程同时运行)无法达到理想的检测效果，降低目标实体检测的效果和准确性。

因此，本申请提供一种检测方法，通过终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征，使得离散的事件之间形成非时间序列的关联关系，最后采用行为检测模型进行终端行为检测，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了目标实体的检测效果和准确性。

为了提高终端行为日志进行检测的效率和准确性，以便在因果关系的角度对离散的日志内容进行检测，而不是在时间关系进行检测，避免在时间角度丢失信息，提高日志检测的准确性和效率。以下通过一个实施例，对本申请提供的一种

请参考图1，图1为本申请实施例所提供的一种检测方法的流程图。

本实施例中，该方法可以包括：

s101，获取终端行为日志；

可见，本步骤旨在获取终端行为日志，获取到的终端行为日志就是需要进行日志检测的日志数据。获取该终端行为日志的方式可以是从终端中获取，也可以是从数据库中获取，还可以是从历史数据中获取，在此不作具体限定。

进一步的，该终端行为日志也可以从不同的数据源中获取。其中，数据源可以是不同的终端，也可以是从数据库中取出预存的日志数据，还可以是从终端取出实时的数据和从数据库中取出预存的日志数据。可见，本实施例中获取终端行为日志的方式并不唯一，在此不作具体限定。可以根据实际的应用的情况选择对应的获取方式。

其中，终端是指终端设备，终端设备泛指附有通信处理控制功能的通用计算机输入输出设备，常见的终端形式有pc(personalcomputer，个人计算机)、服务器、移动终端设备等。其中，终端上存在各种类型的实体，例如：用户、进程、文件、网络等。这些实体在终端上的活动会表现为各种行为，即终端行为，例如：某个用户运行了某个进程、某个进程创建了某个文件、某个进程访问了某个网络资源等。

其中，终端行为日志是在当前的终端监控产品、安全产品或审计产品中，将终端行为进行记录得到的日志数据。也就是说，将终端行为通过终端行为日志的方式记录下来，有些可能是终端操作系统自带的日志，有些可能是通过第三方产品监控并记录下来的。

s102，根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征；

在s101的基础上，本步骤旨在从终端行为日志中提取出待检测特征。具体的，本步骤根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征。可以是解析出终端行为日中每个事件的因果关系，在将所有因果关系进行聚合得到的表征事件关联特征的有向图。也可以是将所有事件对应的实体，根据每个实体之间的因果关系进行关联，得到网状结构图用于表示事件关联特征。

其中，终端行为日志中可以包括一个或多个事件，每个事件中又至少包括一个实体。当每个事件包括一个以上实体时，每个实体之间存在对应的因果关系。同时，每个事件之间有存在相同的实体，因此通过每个实体之间的因果关系将多个事件中相同的实体进行连接，得到关联每个事件的事件关联特征作为该待检测特征。

现有技术中，在对日志内容进行处理时，通常采用时间序列的方式将日志内容中的事件进行关联，进一步提取特征，以便进行神经网络模型训练和检测。但是，在终端行为日志中事件的发生较为复杂，通常不是以时间依次发生。所以，以时间序列为特征，会导致大部分特征信息遗漏和丢失，降低神经网络模型训练和检测的效果。问题在于各个存在关系的事件之间，由于执行过程存在依赖或等待等问题，导致存在关系的事件在执行事件上并非按照时间分布。

而本申请中是根据因果关系中的实体将各个事件进行联结，避免了时间联结造成的问题。并且，因果关系，也就是主谓宾的三元结构为一个事件中最基本的结构。实现了在不同时间跨度下可以将相同实体的事件进行联结，而不是仅仅依靠时间顺序联结各个事件，提高终端行为日志的检测准确性。

举例来说，实体a创建实体b，实体b修改实体c，这两个事件之间的发生存在先后顺序，可以属于本申请中事件关联特征的一种。实体a创建实体b，实体c修改实体b，这两个事件的关联并不是严格的因果关系，之间的关系仅仅为相同的实体b，但是同样也属于本申请中事件关联特征的一种。同样，若实体a创建实体b，实体a修改实体c，这两个事件的关联并不是按照时间顺序进行关联，但是也属于本申请中事件关联特征的一种。可见，本申请技术方案提取得到的待检测特征相比于时间顺序关联的特征，范围更大，可以包含更多的事件之间的关联特征，进而提高待检测特征中的信息量，提高检测和训练的准确性。

进一步的，为了提高特征提取的完整性和特征提取的效率，减少数据冗余，提高模型检测时的效率和效果，避免格式不一致导致的特征提取，降低特征提取的效果，本步骤可以包括：

步骤1，根据预设格式对终端行为日志进行格式一致化处理，得到预处理日志；

步骤2，根据预处理日志中实体之间的因果关系对预处理日志进行事件关联特征提取处理，得到待检测特征。

可见，本可选方案中主要是对如何进行待检测特征进行说明。本可选方案中根据预设格式对终端行为日志进行格式一致化处理，得到预处理日志；然后，根据预处理日志中实体之间的因果关系对预处理日志进行事件关联特征提取处理，得到待检测特征。其中，格式一致化处理主要是将终端行为日志处理为与预设格式相同的日志，也就是将不同格式的日志处理为相同格式的日志，避免日志的格式不同造成的处理效率和处理效果下降的问题。

也就是说，在预设格式的基础上将终端行为日志训练集的格式进行一致化处理，以便将各个日志数据之间的格式统一，以便提高对于日志数据进行处理的速度。例如，在不同的操作系统版本所生成的用户登录日志可能具有不同的格式、字段和含义。为了提高数据处理的速度和效率，可以将其格式进行统一处理，以便提高特征提取的效率。

进一步的，为了实现事件关联特征提取处理，以便从终端行为日志中提取出用于检测的特征，本步骤可以包括：

步骤1，对终端行为日志进行三元组解析，得到终端行为日志中每个事件的实体及各实体之间因果关系对应的操作；

步骤2，根据实体、操作及各实体之间的因果关系构建待检测特征。

可见，本实施例主要是对如何进行待检测特征进行说明。本可选方案中首先对终端行为日志进行三元组解析，得到终端行为日志中每个事件的实体及各实体之间因果关系对应的操作；然后，根据实体、操作及各实体之间的因果关系构建待检测特征。

由于，终端行为日志的事件一般是实体a通过执行操作再指向实体b。因此，可以根据实体a到操作再到实体b的三元组结构对终端行为日志进行三元组解析。该提取过程可以是从终端行为日志中提取出事件，然后将每个事件以“主谓宾”的三元组结构进行解析，将其中的“主语”和“宾语”作为实体，将“谓语”作为操作。其中，解析出的“主谓宾”的三元组结构，就是实体之间因果关系的一种表现形式。进一步的，还可以将因果关系表现为边的形式，也就是事件中的实体作为端点，将操作作为端点之间的边，最终，该端点即为实体，边即为操作。

最后，根据实体、操作及各实体之间的因果关系构建待检测特征。也就是将实体、操作以及各个实体之间的因果关系构建为将各个事件进行关联得到网状结构，即待检测特征。

进一步的，为了提高构建待检测特征的效率，构建出准确的待检测特征。上一可选方案中的“根据实体、操作及各实体之间的因果关系构建待检测特征”的步骤，可以包括：

步骤1，将所有终端行为日志中所有事件对应的实体进行整合，得到所有事件对应的多个待关联实体；

步骤2，根据多个待关联实体之间的因果关系将操作与多个待关联实体进行网状结构关联，得到待检测特征。

可见，本申请技术方案主要是对如何构建待检测特征进行说明。本可选方案中首先将所有终端行为日志中所有事件对应的实体进行整合，得到所有事件对应的多个待关联实体。由于终端行为日志中存在多个事件，或者获取到的多个终端行为日志存在多个事件。多个事件中可能在不同事件中存在相同的实体，因此，本步骤可以是将多个事件中的相同的实体进行去重，以便将多个事件中的所有实体整合为一个实体集合，也就是多个待关联实体。然后，根据多个待关联实体之间的因果关系将操作与多个待关联实体进行网状结构关联，得到待检测特征。也就是，根据实体之间的因果关系将这些多个待关联实体进行关联。

举例来说，存在多个事件，其中实体包括实体a、实体b，实体c，实体d，实体a、实体b、实体d、实体a、实体c。将其中重复的实体去除，整合为实体a、实体b，实体c，实体d。其中实体a、实体b，实体c，实体d就是待关联实体。然后，根据所有事件的因果关系将这些多个待关联实体直接进行关联，而不用按照每个事件进行关联，提高待检测特征构建的效率。并且，由于所有实体就是实体a、实体b，实体c，实体d。因此，将所有的因果关系将其进行关联集合，不会丢失信息。

进一步的，为了提高构建待检测特征的效率，构建出准确的待检测特征。上一可选方案中的“根据实体、操作及各实体之间的因果关系构建待检测特征”的步骤，可以包括：

步骤1，针对每一终端行为日志中的事件，基于实体、操作及各实体之间的因果关系构建因果关系边；其中，因果关系边中的端点表征实体，因果关系边中的有向边表征实体之间的操作；

步骤2，将所有因果关系边进行有向图聚合，得到待检测特征。

可见，本申请技术方案主要是对如何构建待检测特征进行说明。本可选方案中首先针对每一终端行为日志中的事件，基于实体、操作及各实体之间的因果关系构建因果关系边；其中，因果关系边中的端点表征实体，因果关系边中的有向边表征实体之间的操作。将所有因果关系边进行有向图聚合，得到待检测特征。也就是，对所有事件的实体、操作以及因果关系进行有向图构建，最后得到有向图数据即为待检测特征。

其中，图首先在数学中，是描述于一组对象的结构，其中某些对象对在某种意义上是相关的。这些对象对应于称为顶点的数学抽象(也称为端点或点)，并且每个相关的顶点对都称为边(也称为链接或线)。通常，图以图解形式描绘为顶点的一组点或环，并通过边的线或曲线连接。进一步的，在计算机科学中，一个图就是一些顶点的集合，这些顶点通过一系列边结对(连接)。顶点用圆圈表示，边就是这些圆圈之间的连线。顶点之间通过边连接，形成图的数据结构。

因此，本步骤中提取出的特征数据就是由终端实体作为端点，实体间行为作为边形成的图数据。可见，将终端行为日志处理为端点和边的形式，以便区分终端行为日志中的各个实体。

进一步的，为了提高待检测特征中信息的密度，增加对每个实体每个操作的信息量，本可选方案中可以对实体和操作附加属性参数。因此，上一可选方案中对终端行为日志进行三元组解析，得到终端行为日志中每个事件的实体及各实体之间因果关系对应的操作的步骤，可以包括：

步骤1，根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；

步骤2，根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；

步骤3，将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

可见，通过本可选方案中可以将实体和操作对应的属性信息作为属性参数进行附加，以便提高实体和操作的信息量。实体的属性信息可以是实体名称、实体创建时间等，操作的属性信息可以是操作时间等。

进一步的，为了实现对终端行为日志进行图特征提取处理，从终端行为日志中提取出以图形式的特征，本实施例中“根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征”的步骤，可以包括：

步骤1，对终端行为日志中每条日志内容进行边提取处理，得到多个端点及对应的多个边；

步骤2，将端点相同的边进行聚合，得到待检测特征。

可见，本可选方案主要是对如何进行图特征提取处理做说明。本可选方案中，首先，对终端行为日志中每条日志内容进行边提取处理，得到多个端点及对应的多个边。也就是，先将每一条日志数据转换为端点和边的形式。其中，日志内容一般是实体a通过执行操作再指向实体b。因此，可以根据实体a到操作再到实体b的三元组结构，将日志内容转换为多个端点和边。然后，将端点相同的边进行聚合，得到图训练集，并作为待训练特征数据。

其中，每条日志内容即为每个事件的日志内容。

进一步的，为了保持信息的完整性可以在各个端点和边中加入对应的属性，提高因果特征表示的完整性，避免出现信息丢失的问题。上一可选方案中“对终端行为日志中每条日志内容进行边提取处理，得到多个端点及对应的多个边”的步骤，可以包括：

步骤1，对日志内容进行三元组解析，得到日志内容对应的第一实体、操作以及第二实体；

步骤2，将第一实体作为第一端点，将第二实体作为第二端点，将操作作为第一端点与第二端点之间边的属性；

步骤3，将所有第一端点、所有第二端点与对应的边的属性进行组合，得到多个端点及对应的多个边。

请参考图2，图2为本申请实施例所提供的检测方法的第一种图特征的示意图。

可见，本可选方案中主要是说明如何进行端点和边的提取。本可选方案中首先对日志内容进行三元组解析，得到日志内容对应的第一实体、操作以及第二实体；然后，将第一实体作为第一端点，将第二实体作为第二端点，将操作作为第一端点与第二端点之间边的属性；最后，将所有第一端点、所有第二端点与对应的边的属性进行组合，得到多个端点及对应的多个边。此外，本可选方案中确定了第一端点、第二端点以及之间的连线(边)之后，也可以将第一实体的属性加入到第一端点中，将第二实体的属性加入到第二端点中，将操作的属性加入到边的属性中，最后得到对应的端点和边。其中，实体的属性可以是实体名称、实体创建时间等，操作的属性可以是操作时间等。

进一步的，为了将上一可选方案中边和端点聚合为图的形式，实现图特征提取处理，上一可选方案中“将端点相同的边进行聚合，得到待检测特征”的步骤，可以包括：

将多个边中相同的端点进行连接，得到待检测特征。

请参考图3，图3为本申请实施例所提供的检测方法的第二种图特征的示意图。

可见，本可选方案中可以直接将多个边的相同端点进行连接，形成对应的图，得到待检测特征。

进一步的，为了实现对终端行为日志进行有向图特征提取处理，从终端行为日志中提取出以有向图形式的特征。本实施例中“根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征”的步骤，可以包括：

步骤1，对终端行为日志中每条日志内容进行有向边提取处理，得到多个端点及对应的多个有向边；

步骤2，将端点相同的有向边进行聚合，得到待检测特征。

可见，本可选方案中主要是对如何进行有向图特征提取进行说明。本可选方案中，首先，对终端行为日志中每条日志内容进行有向边提取处理，得到多个端点及对应的多个有向边。也就是，先将每一条日志数据转换为端点和有向边的形式。其中，日志内容一般是实体a通过执行操作再指向实体b。因此，可以根据实体a到操作再到实体b的三元组结构，将日志内容转换为一条有向边。将多条日志进行转换后就可以得到多条有向边。然后，将多个有向边中端点相同的有向边进行聚合，得到待检测特征。

其中，每条日志内容即为每个事件的日志内容。

进一步的，为了保持信息的完整性可以在各个端点和边中加入对应的属性，提高因果特征表示的完整性，避免出现信息丢失的问题。因此，上一可选方案中“对终端行为日志中每条日志内容进行有向边提取处理，得到多个端点及对应的多个有向边”的步骤，可以包括：

步骤1，对日志内容进行三元组解析，得到日志内容对应的第一实体、操作以及第二实体；

步骤2，将第一实体作为首端点，将第二实体作为尾端点，将操作作为首端点到尾端点之间边的属性；

步骤3，将所有首端点、所有尾端点与对应的边的属性进行组合，得到多个端点及对应的多个有向边。

请参考图4，图4为本申请实施例所提供的检测方法的第三种图特征的示意图。

可见，本可选方案中主要是说明如何进行有向边的提取。本可选方案中首先对日志内容进行三元组解析，得到日志内容对应的第一实体、操作以及第二实体；然后，将第一实体作为首端点，将第二实体作为尾端点，将操作作为首端点到尾端点之间边的属性；最后，将所有首端点、所有尾端点与对应的边的属性进行组合，得到多个端点及对应的多个有向边。

此外，本可选方案中确定了首端点、尾端点以及之间的连线(边)之后，也可以将第一实体的属性加入到首端点中，将第二实体的属性加入到尾端点中，将操作的属性加入到边的属性中，最后得到对应的端点和有向边。其中，实体的属性可以是实体名称、实体创建时间等，操作的属性可以是操作时间等。

进一步的，为了将多个有向边进行较快的聚合处理，上一可选方案中的“将端点相同的有向边进行聚合，得到待检测特征”可以包括：

将多个有向边中相同的端点进行连接，得到待检测特征。

请参考图5，图5为本申请实施例所提供的检测方法的第四种图特征的示意图。

可见，本可选方案中可以直接将多个有向边的相同端点进行连接，形成对应的有向图，得到待检测特征。

s103，采用预先训练的行为检测模型对待检测特征进行检测，得到检测结果。

在s102的基础上，本步骤旨在采用预先训练的行为检测模型对待检测特征进行检测，得到检测结果。其中，行为检测模型为根据终端行为日志训练集进行训练得到的检测模型。

其中，根据终端行为日志训练集进行神经网络训练的步骤可以参考下一实施例的神经网络训练的内容，在此不做赘述。

进一步的，为了提高进行检测的准确性和效率，行为检测模型可以包括图神经网络模型。其中，图神经网络是一类基于神经网络机器学习算法的处理图信息的方法。

综上，本实施例通过终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征，使得离散的事件之间形成非时间序列的关联关系，最后采用行为检测模型进行终端行为检测，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了目标实体的检测效果和准确性。

为了避免在时间序列的角度进行日志分析，以因果关系的角度对离散的日志内容进行分析和检测，提高日志分析和检测的准确性。以下通过一个实施例，对本申请提供的一种行为检测模型生成方法进行说明。

请参考图6，图6为本申请实施例所提供的一种行为检测模型生成方法的流程图。

本实施例中，该方法可以包括：

s201，获取终端行为日志训练集；

本步骤旨在获取终端行为日志训练集。其中，该终端行为日志训练集为从不同的数据源中获取到的训练集数据，主要用于进行神经网络训练。

其中，数据源可以是不同的终端，也可以是从数据库中取出预存的训练集，还可以是从终端取出实时的数据作为训练集和从数据库中取出预存的训练集。可见，本实施例中获取该日志训练集的方式并不唯一，在此不作具体限定。可以根据实际的应用的情况选择对应的获取方式。

其中，终端是指终端设备，终端设备泛指附有通信处理控制功能的通用计算机输入输出设备，常见的终端形式有pc(personalcomputer，个人计算机)、服务器、移动终端设备等。其中，终端上存在各种类型的实体，例如：用户、进程、文件、网络等。这些实体在终端上的活动会表现为各种行为，即终端行为，例如：某个用户运行了某个进程、某个进程创建了某个文件、某个进程访问了某个网络资源等。

其中，终端行为日志是在当前的终端监控产品、安全产品或审计产品中，将终端行为进行记录得到的日志数据。也就是说，将终端行为通过终端行为日志的方式记录下来，有些可能是终端操作系统自带的日志，有些可能是通过第三方产品监控并记录下来的。

s202，根据终端行为日志训练集中实体之间的因果关系对终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据；

在s201基础上，本步骤旨在根据终端行为日志训练集中实体之间的因果关系对终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据。具体的，本步骤根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征。可以是解析出终端行为日中每个时间的因果关系，在将所有因果关系进行聚合得到的表征事件关联特征的有向图。也可以是将所有事件对应的实体，根据每个实体之间的因果关系进行关联，得到网状结构图用于表示事件关联特征。

进一步的，本步骤的内容上一实施例的内容大体相同。区别在于上一实施例中对终端行为日志进行处理，本实施例对终端行为日志训练集进行处理。也就是处理对象的名称不同，但是两者均是行为日志。因此，本步骤的说明可以参考上一实施例，在此不做赘述。

进一步的，本步骤可以包括：

步骤1，根据预设格式对终端行为日志训练集进行格式一致化处理，得到预处理日志；

步骤2，根据预处理日志中实体之间的因果关系对预处理日志进行事件关联特征提取处理，得到待训练特征数据。

进一步的，本步骤可以包括：

步骤1，对终端行为日志训练集进行三元组解析，得到终端行为日志训练集中每个事件的实体及各实体之间因果关系对应的操作；

步骤2，根据实体、操作及各实体之间的因果关系构建待训练特征数据。

进一步的，上一可选方案中“根据实体、操作及各实体之间的因果关系构建待训练特征数据”的步骤，可以包括：

步骤1，将所有终端行为日志训练集中所有事件对应的实体进行整合，得到所有事件对应的多个待关联实体；

步骤2，根据多个待关联实体之间的因果关系将操作与多个待关联实体进行网状结构关联，得到待训练特征数据。

进一步的，上一可选方案中“根据实体、操作及各实体之间的因果关系构建待训练特征数据”的步骤，可以包括：

步骤1，针对每一终端行为日志训练集中的事件，基于实体、操作及各实体之间的因果关系构建因果关系边；其中，因果关系边中的端点表征实体，因果关系边中的有向边表征实体之间的操作；

步骤2，将所有因果关系边进行有向图聚合，得到待训练特征数据。

进一步的，上一可选方案中“对终端行为日志训练集进行三元组解析，得到终端行为日志训练集中每个事件的实体及各实体之间因果关系对应的操作”的步骤，可以包括：

步骤1，根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；

步骤2，根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；

步骤3，将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

同上，以上所有可选方案的具体与上一实施例的内容大体相同，在此不做赘述。

s203，根据待训练特征数据进行检测模型训练得到行为检测模型。

在s202的基础上，本步骤旨在根据待训练特征数据进行检测模型训练得到行为检测模型。

本步骤中的检测模型训练可以参考现有技术中提供的任意一种训练方法，在此不作具体限定。

进一步的，为了提高进行训练的准确性和效率，采用更加合适的神经网络模型进行检测和网络训练，行为检测模型包括图神经网络模型。其中，图神经网络是一类基于神经网络机器学习算法的处理图信息的方法。

综上，本实施例通过对终端行为日志训练集进行事件关联特征提取，得到待训练特征数据，使得离散的事件之间形成非时间序列的关联关系，最后以各个终端行为之间的关联关系训练得到行为检测模型，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了目标实体的检测效果和准确性。

以下通过一个具体的实施例，对本申请提供的一种检测方法做进一步说明。

请参考图7，图7为本申请实施例所提供的另一种检测方法的流程图。

本实施例中，该方法可以包括：

s301，获取终端攻击行为日志训练集；

s302，对终端攻击行为日志训练集进行图特征提取处理，得到待训练特征数据；

s303，根据待训练特征数据进行图神经网络训练得到图神经网络模型；

s304，获取终端行为日志；

s305，对终端行为日志进行图特征提取处理，得到待检测特征；

s306，采用图神经网络模型对待检测特征进行检测，得到恶意攻击行为。

可见，本实施例中主要是日志数据中的恶意攻击行为进行模型训练和检测，通过对终端行为日志进行图特征提取，得到作为待检测特征的图数据，使得离散的事件之间形成非时间序列的关联关系，最后采用行为检测模型进行终端行为检测，而不是采用人工规则的方式对单一离散的行为特征进行匹配检测，提高了恶意实体的检测效果和准确性。

下面对本申请实施例提供的检测装置进行介绍，下文描述的检测装置与上文描述的检测方法可相互对应参照。

请参考图8，图8为本申请实施例所提供的一种检测装置的结构示意图。

本实施例中，该装置可以包括：

行为日志获取模块110，用于获取终端行为日志；

事件关联特征提取模块120，用于根据终端行为日志中实体之间的因果关系对终端行为日志进行事件关联特征提取处理，得到待检测特征；

特征检测模块130，用于采用预先训练的行为检测模型对待检测特征进行检测，得到检测结果。

可选的，行为检测模型包括图神经网络模型。

可选的，该检测特征提取模块120，可以包括：

检测预处理单元，用于根据预设格式对终端行为日志进行格式一致化处理，得到预处理日志；

检测提取单元，用于根据预处理日志中实体之间的因果关系对预处理日志进行事件关联特征提取处理，得到待检测特征。

可选的，该检测特征提取模块120，可以包括：

检测事件解析单元，用于对终端行为日志进行三元组解析，得到终端行为日志中每个事件的实体及各实体之间因果关系对应的操作；

检测特征构建单元，用于对终端行为日志进行三元组解析，得到终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

可选的，该检测特征构建单元，可以用于将所有终端行为日志中所有事件对应的实体进行整合，得到所有事件对应的多个待关联实体；根据多个待关联实体之间的因果关系将操作与多个待关联实体进行网状结构关联，得到待检测特征。

可选的，该检测特征构建单元，可以用于针对每一终端行为日志中的事件，基于实体、操作及各实体之间的因果关系构建因果关系边；其中，因果关系边中的端点表征实体，因果关系边中的有向边表征实体之间的操作；将所有因果关系边进行有向图聚合，得到待检测特征。

可选的，该检测事件解析单元，可以用于根据三元组结构对所述终端行为日志进行结构解析，得到所述终端行为日志中每个事件的三元组结构；根据属性信息格式对所述终端行为日志进行属性解析，得到所述终端行为日志中每个事件的属性信息；将所述每个事件的属性信息添加至对应的三元组结构的对应位置，得到所述终端行为日志中每个事件的实体及各实体之间因果关系对应的操作。

下面对本申请实施例提供的行为检测模型生成装置进行介绍，下文描述的行为检测模型生成装置与上文描述的行为检测模型生成方法可相互对应参照。

请参考图9，图9为本申请实施例所提供的一种行为检测模型生成装置的结构示意图。

本实施例中，该装置可以包括：

训练集获取模块210，用于获取终端行为日志训练集；

训练特征提取模块220，用于根据终端行为日志训练集中实体之间的因果关系对终端行为日志训练集进行事件关联特征提取处理，得到待训练特征数据；

模型训练模块230，用于根据待训练特征数据进行检测模型训练得到行为检测模型。

可选的，行为检测模型包括图神经网络模型。

可选的，该训练特征提取模块220，可以包括：

训练预处理单元，用于根据预设格式对终端行为日志训练集进行格式一致化处理，得到预处理日志；

训练提取单元，用于根据预处理日志中实体之间的因果关系对预处理日志进行事件关联特征提取处理，得到待训练特征数据。

可选的，该训练特征提取模块220，可以包括：

训练事件解析单元，用于对终端行为日志训练集进行三元组解析，得到终端行为日志训练集中每个事件的实体及各实体之间因果关系对应的操作；

训练特征构建单元，用于根据实体、操作及各实体之间的因果关系构建待训练特征数据。

可选的，该训练特征构建单元，可以用于将所有终端行为日志训练集中所有事件对应的实体进行整合，得到所有事件对应的多个待关联实体；根据多个待关联实体之间的因果关系将操作与多个待关联实体进行网状结构关联，得到待训练特征数据。

可选的，该训练特征构建单元，可以用于针对每一终端行为日志训练集中的事件，基于实体、操作及各实体之间的因果关系构建因果关系边；其中，因果关系边中的端点表征实体，因果关系边中的有向边表征实体之间的操作；将所有因果关系边进行有向图聚合，得到待训练特征数据。

可选的，该训练事件解析单元，可以用于根据属性信息格式对终端行为日志训练集进行三元组解析，得到终端行为日志训练集中每个事件的实体、实体对应的属性信息、各实体之间因果关系对应的操作及操作对应的属性信息；将实体对应的属性信息作为实体的属性参数，并附加至实体；将操作对应的属性信息作为操作的属性参数，并附加至实体。

本申请实施例还提供一种服务器，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如以上实施例所述的图行为检测模型生成方法的步骤和/或如以上实施例所述的检测方法的步骤。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如以上实施例所述的图行为检测模型生成方法的步骤和/或如以上实施例所述的检测方法的步骤。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的一种检测方法、行为检测模型生成方法、检测装置、行为检测模型生成装置、服务器以及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。