(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211077440.8 (22)申请日 2022.09.05 (65)同一申请的已公布的文献号 申请公布号 CN 115174270 A (43)申请公布日 2022.10.11 (73)专利权人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 肖勇　范渊　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 王洋 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 114816749 A,202 2.07.29 CN 101741862 A,2010.0 6.16 CN 111885060 A,2020.1 1.03 CN 113328992 A,2021.08.31 CN 113886830 A,2022.01.04 CN 101794382 A,2010.08.04 CN 101556609 A,2009.10.14 CN 10212 2374 A,201 1.07.13 JP 2005084722 A,2005.03.31 JP 2004038232 A,20 04.02.05 姚恩建等.城市轨道交通 新站开通初期实时 进出站客 流量预测. 《中国铁道科 学》 .2018,(第 02期), 审查员 郭珩 (54)发明名称 一种行为异常检测方法、 装置、 设备及 介质 (57)摘要 本申请公开了一种行为异常检测方法、 装 置、 设备及介质， 涉及计算机技术领域， 包括： 获 取用户访问网络隧道产生的隧道 流量； 对所述隧 道流量进行分析， 以得到分析结果， 并将所述分 析结果发送并保存至本地的数据基础库； 判断所 述分析结果与预设的行为检测规则是否匹配， 若 所述分析结果与预设的行为检测规则不匹配， 则 基于所述行为检测规则计算出规则置信度； 判断 所述规则置信度与预设拦截阈值之间的大小关 系， 若所述规则置信度不小于预设拦截阈值， 则 判定所述用户访问行为异常。 通过本申请的上述 技术方案， 能够有效增加数据传输的安全性， 提 高行为异常检测的准确性， 增加行为异常检测的 效率。 权利要求书2页 说明书8页 附图4页 CN 115174270 B 2022.11.29 CN 115174270 B 1.一种行为异常检测方法， 其特 征在于， 包括： 获取用户访问网络隧道产生的隧道流 量； 对所述隧道流量进行分析， 以得到分析结果， 并将所述分析结果发送并保存至本地的 数据基础库； 判断所述分析结果与 预设的行为检测规则是否匹配， 若所述分析结果与预设的行为检 测规则不匹配， 则基于所述行为检测规则计算出规则置信度； 判断所述规则 置信度与预设拦截阈值之间的大小关系， 若所述规则 置信度不小于预设 拦截阈值， 则判定所述用户访问行为异常； 其中， 所述若所述分析结果与 预设的行为检测规则不匹配之后， 还包括： 将用户访问行 为标记为异常， 并向用户发送告警信息， 以便所述用户根据所述告警信息确定出告警回复 结果； 获取所述告警回复结果， 并判断所述告警回复结果的类型， 若 所述告警回复结果的类 型为不准确， 则对所述行为检测规则中的规则置信度进行重新计算， 以得到当前规则置信 度； 若所述告警回复结果的类型为 准确， 则确定出当前 所述行为检测规则中的规则置信度。 2.根据权利要求1所述的行为异常检测方法， 其特征在于， 所述获取用户访问网络隧道 产生的隧道流 量， 包括： 基于预设接口获取用户访问网络隧道产生的隧道流量， 并将所述隧道流量发送至本地 的隧道流 量采集程序； 利用预设的隧道流 量采集程序采集并记录所述隧道流 量。 3.根据权利要求2所述的行为异常检测方法， 其特征在于， 所述对所述隧道流量进行分 析， 以得到分析 结果， 并将所述分析 结果发送并保存至 本地的数据基础库， 包括： 对所述隧道流量进行分析， 以得到包含用户IP所在地、 用户访问时间以及访 问流量信 息的分析 结果； 将包含用户IP所在地、 用户访问时间以及访问流量信 息的所述分析结果发送并保存至 本地的所述数据基础库。 4.根据权利要求1所述的行为异常检测方法， 其特征在于， 所述判断所述分析结果与 预 设的行为检测规则是否匹配， 包括： 根据分析 结果从预设的规则库中筛 选出与所述用户相匹配的所有行为检测规则； 分别判断所述分析 结果与所述行为检测规则是否匹配。 5.根据权利要求1所述的行为异常检测方法， 其特征在于， 所述基于所述行为检测规则 计算出规则置信度， 包括： 获取与所述用户相对应的所有的所述当前规则置信度和所述 规则置信度； 将所有的所述当前规则置信度和所述 规则置信度进行相乘处 理， 以得到规则置信度。 6.根据权利要求1至5任一项所述的行为异常检测方法， 其特征在于， 所述判断所述规 则置信度与预设拦截阈值之间的大小关系之后， 还 包括： 若所述规则置信度小于预设拦截阈值， 则判定所述用户访 问行为正常， 然后基于所述 隧道流量确定出目标设备， 建立本地与所述目标设备之间的连接关系。 7.一种行为异常检测装置， 其特 征在于， 包括： 隧道流量获取模块， 用于获取用户访问网络隧道产生的隧道流 量； 分析模块， 用于对所述隧道流量进行分析， 以得到分析结果， 并将所述分析结果发送并权　利　要　求　书 1/2 页 2 CN 115174270 B 2保存至本地的数据基础库； 第一判断模块， 用于判断所述分析结果与预设的行为检测规则是否匹配， 若所述分析 结果与预设的行为检测规则不匹配， 则基于所述行为检测规则计算出规则置信度； 第二判断模块， 用于判断所述规则置信度与预设拦截阈值之间的大小关系， 若所述规 则置信度不小于预设拦截阈值， 则判定所述用户访问行为异常； 其中， 所述第 一判断模块， 具体还用于将用户访问行为标记为异常， 并向用户发送告警 信息， 以便所述用户根据所述告警信息确定出告警回复结果； 获取所述告警回复结果， 并判 断所述告警回复结果的类型， 若所述告警回复结果的类型为不准确， 则对所述行为检测规 则中的规则置信度进行重新计算， 以得到当前规则置信度； 若所述告警回复结果的类型为 准确， 则确定出当前 所述行为检测规则中的规则置信度。 8.一种电子设备， 其特 征在于， 包括： 存储器， 用于保存计算机程序； 处理器， 用于执行所述计算机程序， 以实现如权利要求1至6任一项所述的行为异常检 测法。 9.一种计算机可读存储介质， 其特征在于， 用于保存计算机程序； 其中， 所述计算机程 序被处理器执行时实现如权利要求1至 6任一项所述的行为异常检测法。权　利　要　求　书 2/2 页 3 CN 115174270 B 3