威胁检测方法、装置、行为画像方法、装置及电子设备

摘要

本发明公开了一种威胁检测方法、装置、行为画像方法、装置、电子设备及可读存储介质，该威胁检测方法包括：获取各预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的正常行为的被访问资源信息和/或访问者信息；根据正常行为基线，检测待检测行为中的异常行为；可见，本发明通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，在资源访问信息的基础上对待检测行为进行异常行为检测，从而实现对未知的可疑或恶意行为的检测，扭转了信息安全攻防对抗中防守方被动和滞后的局面，提高了信息安全产品的安全防护效果。

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种威胁检测方法、装置、行为画像方法、装置、电子设备及可读存储介质。

背景技术

在信息安全领域，攻防双方存在持续的对抗，攻击方总是试图采用新的手段来躲避检测和绕过防护，这就出现了对防守方来说是未知的威胁。

目前业界对于威胁的检测和防护一般是基于已知威胁的特征(如传统杀毒、失陷指标IOC检测等)或行为(如主动防御和行为检测等)，这就导致现有威胁检测方案对于未知威胁的效果较差，防守方往往因处于被动地位而总是滞后于攻击方，使得信息安全产品的安全防护效果不佳。因此，如何能够对未知的威胁进行检测和防护，扭转信息安全攻防对抗中防守方被动和滞后的局面，提高信息安全产品的安全防护效果，是现今急需解决的问题。

发明内容

本发明的目的是提供一种威胁检测方法、装置、行为画像方法、装置、电子设备及可读存储介质，以检测异常行为来防护未知威胁，提高了信息安全产品的安全防护效果。

为解决上述技术问题，本发明提供一种威胁检测方法，包括：

获取各预设类资源各自对应的正常行为基线；其中，所述正常行为基线包括所述预设类资源中的正常行为的被访问资源信息和/或访问者信息；

根据所述正常行为基线，检测待检测行为中的异常行为。

可选的，所述根据所述正常行为基线，检测待检测行为中的异常行为之后，还包括：

对所述异常行为进行威胁处理。

可选的，所述获取各预设类资源各自对应的正常行为基线，包括：

获取各所述正常行为各自对应的资源访问信息；其中，所述资源访问信息包括所述被访问资源信息和所述访问者信息；

根据所述资源访问信息，构建每个所述预设类资源各自对应的正常行为基线。

可选的，所述根据所述正常行为基线，检测待检测行为中的异常行为，包括：

获取当前资源访问信息；其中，当前资源访问信息包括当前待检测行为对应的被访问资源信息和访问者信息；

根据当前资源访问信息中的被访问资源信息，确定目标基线；其中，所述目标基线为当前资源访问信息对应的预设类资源的正常行为基线；

对当前资源访问信息和所述目标基线进行比较，确定当前资源访问信息与所述目标基线的差异性；

根据所述差异性，检测当前待检测行为是否为所述异常行为。

可选的，所述对当前资源访问信息和所述目标基线进行比较，确定当前资源访问信息与所述目标基线的差异性，包括：

计算当前资源访问信息与所述目标基线的相似度；其中，所述相似度为当前资源访问信息与所述目标基线的被访问资源相似度或当前资源访问信息与所述目标基线的访问者相似度；

将所述相似度的倒数作为所述差异性。

可选的，所述根据所述差异性，检测当前待检测行为是否为所述异常行为，包括：

判断所述差异性是否大于差异性阈值；

若大于所述差异性阈值，则将当前待检测行为确定为所述异常行为。

本发明还提供了一种威胁检测装置，包括：

基线获取模块，用于获取各预设类资源各自对应的正常行为基线；其中，所述正常行为基线包括所述预设类资源中的正常行为的被访问资源信息和/或访问者信息；

异常检测模块，用于根据所述正常行为基线，检测待检测行为中的异常行为。

本发明还提供了一种行为画像方法，包括：

获取各正常行为各自对应的资源访问信息；其中，所述资源访问信息包括被访问资源信息和访问者信息；

根据所述资源访问信息，构建每个预设类资源各自对应的正常行为基线；其中，所述正常行为基线包括所述预设类资源中的被访问资源信息和/或访问者信息。

可选的，所述根据所述资源访问信息，构建每个预设类资源各自对应的正常行为基线，包括：

根据所述被访问资源信息，获取当前预设类资源对应的资源访问信息集；其中，所述资源访问信息集包括访问当前预设类资源的资源访问信息；

根据所述资源访问信息集，生成当前预设类资源对应的正常行为基线。

可选的，所述根据所述资源访问信息集，生成当前预设类资源对应的正常行为基线之前，还包括：

根据所述资源访问信息集，统计当前预设类资源中各资源的访问分布状况；

根据所述访问分布状况，判断当前预设类资源是否完成正常行为画像；

若是，则执行所述根据所述资源访问信息集，生成当前预设类资源对应的正常行为基线的步骤；

若否，则执行所述获取各正常行为各自对应的资源访问信息的步骤。

可选的，所述根据所述访问分布状况，判断当前预设类资源是否完成正常行为画像，包括：

在当前访问分布状况的统计时间未达到预设画像时间或当前访问分布状况与上一访问分布状况的离散程度差不小于离散程度阈值时，确定当前预设类资源未完成正常行为画像，并执行所述获取各正常行为各自对应的资源访问信息的步骤；

在所述统计时间达到所述预设画像时间且所述离散程度差小于所述离散程度阈值时，确定当前预设类资源完成正常行为画像，并执行所述根据所述资源访问信息集，生成当前预设类资源对应的正常行为基线的步骤。

本发明还提供了一种行为画像装置，包括：

信息获取模块，用于获取各正常行为各自对应的资源访问信息；其中，所述资源访问信息包括被访问资源信息和访问者信息；

基线构建模块，用于根据所述资源访问信息，构建每个预设类资源各自对应的正常行为基线；其中，所述正常行为基线包括所述预设类资源中的被访问资源信息和/或访问者信息。

本发明还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述所述的威胁检测方法和/或如上述所述的行为画像方法的步骤。

本发明还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上述所述的威胁检测方法和/或如上述所述的行为画像方法的步骤。

本发明所提供的一种威胁检测方法，包括：获取各预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的正常行为的被访问资源信息和/或访问者信息；根据正常行为基线，检测待检测行为中的异常行为；

可见，本发明通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，在资源访问信息的基础上对待检测行为进行异常行为检测，从而实现对未知的可疑或恶意行为的检测，扭转了信息安全攻防对抗中防守方被动和滞后的局面，提高了信息安全产品的安全防护效果。此外，本发明还提供了一种威胁检测装置、行为画像方法、装置、电子设备及可读存储介质，同样具有上述有益效果。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例所提供的一种威胁检测方法的流程图；

图2为本发明实施例所提供的另一种威胁检测方法的异常行为检测过程的流程图；

图3为本发明实施例所提供的一种威胁检测装置的结构框图；

图4为本发明实施例所提供的一种行为画像方法的流程图；

图5为本发明实施例所提供的另一种行为画像方法的基线化过程的流程图；

图6为本发明实施例所提供的一种行为画像装置的结构框图；

图7为本发明实施例所提供的一种电子设备的结构示意图；

图8为本实施例提供的一种电子设备的具体结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参考图1，图1为本发明实施例所提供的一种威胁检测方法的流程图。该方法可以包括：

步骤101：获取各预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的正常行为的被访问资源信息和/或访问者信息。

具体的，本步骤中的预设类资源可以为预先设置的资源类别。本实施例并不限定预设类资源的具体类别设置，如可以直接将终端中能够被访问的资源的分为文件类资源、网络类资源和注册表类资源等预设类资源，也可以进一步对文件、网络和注册表等资源进行划分，将终端中能够被访问的资源的分为多种文件类资源、多种网络类资源和多种注册表类资源等预设类资源。

可以理解的是，本步骤中的各预设类资源各自对应的正常行为基线可以为基线化的各预设类资源对应的正常行为的被访问资源信息和/或访问者信息，即访问各预设类资源的正常行为的访问资源信息和访问者信息的基线化结果；正常行为可以为终端上的进程或用户正常的行为，如EDR(Endpoint Detection Response，终端威胁检测响应)设备检测到的正常的行为；被访问资源信息和访问者信息可以为表示进程或用户(即访问者信息)对某个资源(即被访问资源信息，如文件、网络或注册表等)访问的资源访问信息中的信息。

也就是说，本步骤中处理器通过获取各预设类资源各自对应的正常行为基线，从而能够利用各预设类资源的正常行为基线，对待检测行为进行异常行为检测，实现对未知的可疑或恶意行为的检测。

具体的，对于本步骤中处理器获取各预设类资源各自对应的正常行为基线的具体方式，可以由设计人员根据实用场景和用户需求自行设置，如处理器可以直接获取预先设置的各预设类资源各自对应的正常行为基线，或者接收服务器或存储设备传输的各预设类资源各自对应的正常行为基线。处理器也可以自行生成各预设类资源各自对应的正常行为基线，如处理器可以对正常行为进行画像，构建各预设类资源各自对应的正常行为基线；例如处理器可以采用图4所示的行为画像方法，获取各正常行为各自对应的资源访问信息；根据资源访问信息，构建每个预设类资源各自对应的正常行为基线；其中，资源访问信息包括被访问资源信息和访问者信息。

步骤102：根据正常行为基线，检测待检测行为中的异常行为。

可以理解的是，本步骤中的待检测行为可以为需要进行异常行为检测的行为，如EDR监测到的终端上的进程或用户的行为。本实施例并不限定待检测行为的具体选择，如待检测行为可以为EDR设备检测到的全部行为，待检测行为也可以EDR设备检测到的通过现有方式不能够确定为正常行为的行为。

对应的，本步骤中处理器可以利用待检测行为所访问的预设类资源的正常行为基线，对待检测行为进行异常行为检测，从而能够检测识别出待检测行为中的异常行为，即可疑或恶意行为，实现对未知的可疑或恶意行为的检测。

具体的，本步骤中处理器可以先获取待检测行为对应的资源访问信息，再通过该资源访问信息与该资源访问信息所访问的预设类资源的正常行为基线的比较，确定该待检测行为的行为类别。

需要说明的是，本实施例并不限定步骤101与步骤102的先后顺序，如处理器可以先进行步骤101再进行步骤102，即获取全部预设类资源各自对应的正常行为基线后，再利用获取的正常行为基线对待检测行为的异常行为检测；也可以在进行步骤101的过程中进行步骤102，即获取部分预设类资源各自对应的正常行为基线后，可以在获取剩余的预设类资源各自对应的正常行为基线的过程中，利用已获取的正常行为基线对待检测行为的行为类别进行识别。

进一步的，本实施例中处理器还可以对检测出的异常行为进行威胁处理，以消除异常行为的安全威胁。本实施例并不限定对异常行为所进行的威胁处理的具体方式，如处理器可以对异常行为进行拦截，即处理器可以在确定待检测行为为异常行为后，拦截该待检测行为，以避免终端中可疑或恶意行为的执行，保证终端的使用安全；处理器也可以对异常行为的发起方(如进程)进行隔离；处理器还可以对异常行为所添加的文件进行删除和对异常行为所修改的文件进行修复等，以避免终端中可疑或恶意行为对终端中资源的影响。

本实施例中，本发明实施例通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，在资源访问信息的基础上对待检测行为进行异常行为检测，从而实现对未知的可疑或恶意行为的检测，扭转了信息安全攻防对抗中防守方被动和滞后的局面，提高了信息安全产品的安全防护效果。

基于上述实施例，本实施例将对上述实施例中的若干步骤进行具体阐述。上述实施例中的根据正常行为基线，检测待检测行为中的异常行为的过程可以如图2所示，包括：

步骤1021：获取当前资源访问信息；其中，当前资源访问信息包括当前待检测行为对应的被访问资源信息和访问者信息。

需要说明的是，本步骤中的当前资源访问信息可以为任一待检测行为(即当前待检测行为)对应的资源访问信息，如EDR设备当前监测得到的任意一个待检测行为对应的资源访问信息；其中，资源访问信息可以包括被访问资源信息和访问者信息；也就是说，本实施例中处理器可以通过对获取的当前待检测行为进行行为建模，将当前待检测行为抽象为当前资源访问信息，即进程或用户(即访问者信息)对某个资源(即被访问资源信息，如文件、网络或注册表等)的访问的信息。

步骤1022：根据当前资源访问信息中的被访问资源信息，确定目标基线；其中，目标基线为当前资源访问信息对应的预设类资源的正常行为基线。

具体的，本步骤中处理器可以根据当前资源访问信息中的进程或用户所要访问的资源(即被访问资源信息)，确定该资源所在的预设类资源的正常行为基线(即目标基线)，从而利用目标基线与当前资源访问信息的比较，实现对当前待检测行为的异常行为检测。

步骤1023：对当前资源访问信息和目标基线进行比较，确定当前资源访问信息与目标基线的差异性。

需要说明的是，本步骤中处理器可以通过对当前资源访问信息与目标基线的比较，确定两者的差异性。对于本步骤中对当前资源访问信息和目标基线进行比较，确定当前资源访问信息与目标基线的差异性的具体方式，可以由设计人员自行设置，如处理器可以计算当前资源访问信息与目标基线的相似度，并将计算得到的相似度的倒数作为当前资源访问信息与目标基线的差异性。

具体的，上述计算得到的当前资源访问信息与目标基线的相似度，可以为量化计算得到的当前资源访问信息与目标基线的被访问资源信息的相似度(即被访问资源相似度)，例如当前资源访问信息的被访问资源信息与目标基线中相同的访问者信息对应的被访问资源信息的相似度，即同一用户或进程在当前资源访问信息中所要访问的资源信息(如资源属性和大小等)与目标基线中所要访问的资源信息的相似度；上述计算得到的当前资源访问信息与目标基线的相似度，也可以为量化计算得到的当前资源访问信息与目标基线的访问者信息的相似度(即被访问资源相似度)，例如当前资源访问信息的访问者信息与目标基线中相同的被访问资源信息对应的访问者信息的相似度，即当前资源访问信息中访问某一资源的用户或进程的信息与目标基线中该资源对应的用户或进程的信息的相似度。

步骤1024：根据差异性，检测当前待检测行为是否为异常行为。

其中，本步骤中处理器可以利用确定的当前资源访问信息与目标基线的差异性，判断当前资源访问信息对应的当前待检测行为是否为异常行为，即确定当前待检测行为的行为类别，实现对当前待检测行为的异常行为检测。

具体的，本实施例并不限定处理器根据差异性，检测当前待检测行为是否为异常行为的具体方式，如处理器可以直接将与目标基线的差异性大于差异性阈值的当前待检测行为的行为类别确定为异常行为，即本步骤中处理器可以判断差异性是否大于差异性阈值；若大于差异性阈值，则可以将当前待检测行为确定为异常行为，即确定当前待检测行为的行为类别为异常行为；若不大于差异性阈值，则可以将当前待检测行为确定为正常行为，即确定当前待检测行为的行为类别为正常行为。

相应于上面的方法实施例，本发明实施例还提供了一种威胁检测装置，下文描述的威胁检测装置与上文描述的威胁检测方法可相互对应参照。

请参考图3，图3为本发明实施例所提供的一种威胁检测装置的结构框图。该装置可以包括：

基线获取模块10，用于获取各预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的正常行为的被访问资源信息和/或访问者信息；

异常检测模块20，用于根据正常行为基线，检测待检测行为中的异常行为。

可选的，该装置还可以包括：

威胁处理模块，用于对异常行为进行威胁处理。

可选的，基线获取模块10可以包括：

信息获取子模块，用于获取各正常行为各自对应的资源访问信息；其中，资源访问信息包括被访问资源信息和访问者信息；

基线构建子模块，用于根据资源访问信息，构建每个预设类资源各自对应的正常行为基线。

可选的，异常检测模块20可以包括：

抽象子模块，用于获取当前资源访问信息；其中，当前资源访问信息包括当前待检测行为对应的被访问资源信息和访问者信息；

基线确定子模块，用于根据当前资源访问信息中的被访问资源信息，确定目标基线；其中，目标基线为当前资源访问信息对应的预设类资源的正常行为基线；

基线比较子模块，用于对当前资源访问信息和目标基线进行比较，确定当前资源访问信息与目标基线的差异性；

异常检测子模块，用于根据差异性，检测当前待检测行为是否为异常行为。

可选的，基线比较子模块可以具体用于计算当前资源访问信息与目标基线的相似度；其中，相似度为当前资源访问信息与目标基线的被访问资源相似度或当前资源访问信息与目标基线的访问者相似度；将相似度的倒数作为差异性。

可选的，异常检测子模块可以具体用于判断差异性是否大于差异性阈值；若大于差异性阈值，则将当前待检测行为确定为异常行为。

本实施例中，本发明实施例通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，在资源访问信息的基础上对待检测行为进行异常行为检测，从而实现对未知的可疑或恶意行为的检测，扭转了信息安全攻防对抗中防守方被动和滞后的局面，提高了信息安全产品的安全防护效果。

基于上述实施例，本实施例提供了一种行为画像方法，以通过对正常行为进行画像，生成每个预设类资源各自对应的正常行为基线，从而利用生成的正常行为基线对待检测行为进行异常检测。具体的，请参考图4，图4为本发明实施例所提供的一种行为画像方法的流程图。该方法可以包括：

步骤201：获取各正常行为各自对应的资源访问信息；其中，资源访问信息包括被访问资源信息和访问者信息。

可以理解的是，本步骤中的正常行为可以为终端上的进程或用户的正常行为，如EDR设备检测到的正常的行为。本步骤中的资源访问信息可以表示进程或用户(即访问者信息)对某个资源(即被访问资源信息，如文件、网络或注册表等)的访问，即资源访问信息可以包括访问者信息和被访问资源信息。本步骤中处理器可以通过对获取的正常行为进行行为建模，将正常行为抽象转换为相应的资源访问信息，以方便后续的处理。

具体的，本实施例所提供的行为画像方法可以应用于EDR设备，如EDR设备的处理器可以利用自行监测得到的正常行为，构建各预设类资源各自对应的正常行为基线，从而对监测的待检测行为进行异常行为检测，实现对未知的可疑或恶意行为的检测；本实施例所提供的行为画像方法也可以应用于与EDR设备连接的其他设备，如与EDR设备连接的服务器的处理器可以利用EDR设备监测得到的正常行为，构建各预设类资源各自对应的正常行为基线，从而使自身或EDR设备能够对EDR设备监测的待检测行为进行异常行为检测，本实施例对此不做任何限制。

对应的，本步骤之前还可以包括处理器获取正常行为，本实施例并不限定处理器获取正常行为的具体方式，如处理器可以持续获取EDR设备监测的终端上的进程或用户的正常行为，如EDR设备的处理器可以监测获取终端上的进程或用户的正常行为；处理器也可以一次获取预先设置的生成各预设类资源各自对应的正常行为基线的全部正常行为，本实施例对此不做任何限制。

步骤202：根据资源访问信息，构建每个预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的被访问资源信息和/或访问者信息。

可以理解的是，本步骤中处理器可以利用访问各预设类资源中资源的正常行为的资源访问信息，对各预设类资源中各资源的访问情况进行基线化，得到每个预设类资源各自对应的正常行为基线，从而使得后续能够利用各预设类资源的正常行为基线，对待检测行为进行异常行为检测，实现对未知的可疑或恶意行为的检测。

具体的，对于本步骤中处理器根据资源访问信息，构建每个预设类资源各自对应的正常行为基线的具体方式，可以由设计人员根据实用场景和用户需求自行设置，如处理器可以直接利用全部正常行为的资源访问信息，生成各预设类资源各自对应的正常行为基线；处理器也可以先确定各预设类资源对应的正常行为的资源访问信息是否足够完成基线化，从而利用能够完成基线化的预设类资源对应的资源访问信息，生成相应的正常行为基线，以保证正常行为基线的准确性。本实施例对此不做任何限制。

也就是说，本步骤中处理器可以根据获取的资源访问信息中的被访问资源信息，获取当前预设类资源对应的资源访问信息集，即访问当前预设类资源的正常行为的资源访问信息集合；根据资源访问信息集，生成当前预设类资源对应的正常行为基线；其中，资源访问信息集包括访问当前预设类资源的资源访问信息；当前预设类资源可以为任一预设类资源。

对应的，对于上述处理器确定各预设类资源对应的正常行为的资源访问信息是否足够完成基线化的具体方式，可以由设计人员自行设置，如处理器可以利用各预设类资源中资源的访问分布状况，对预设类资源的正常行为的访问进行正常行为画像，从而确定访问分布状况满足要求(即正常行为画像完成)的预设类资源对应的资源访问信息足够完成基线化，以利用完成正常行为画像的预设类资源对应的资源访问信息，生成相应的正常行为基线；确定未完成正常行为画像的预设类资源，可以继续获取正常行为并进入步骤101，得到访问该预设类资源的资源访问信息，直至完成该预设类资源的正常行为画像。

也就是说，上述处理器根据获取的资源访问信息中的被访问资源信息，获取当前预设类资源对应的资源访问信息集后，可以根据资源访问信息集，统计当前预设类资源中各资源的访问分布状况；根据访问分布状况，判断当前预设类资源是否完成正常行为画像；若是，则根据资源访问信息集，生成当前预设类资源对应的正常行为基线；若否，则进入步骤201，继续获取访问当前预设类资源的资源访问信息。

本实施例中，本发明实施例通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，利用正常行为的资源访问信息对访问各预设类资源的正常行为进行画像，构建各预设类资源各自对应的正常行为基线，从而使得后续能够利用各预设类资源的正常行为基线，对待检测行为进行异常行为检测，以实现对未知的可疑或恶意行为的检测。

基于上述实施例，本实施例将对上述实施例中的若干步骤进行具体阐述。其中，在一种实施方式中，正常行为可以为EDR设备的应用过程中，持续监测得到的正常的行为。在这种情况下，上述实施例中的根据资源访问信息，构建每个预设类资源各自对应的正常行为基线的过程可以如图5所示，包括：

步骤2021：根据被访问资源信息，获取当前预设类资源对应的资源访问信息集；其中，资源访问信息集包括访问当前预设类资源的资源访问信息。

可以理解的是，本实施例是以任意一种预设类资源(即当前预设类资源)对应的正常行为基线的构建为例进行的展示，对于全部预设类资源各自对应的正常行为基线的构建，可以采用与本实施例所提供的方法相同或相似的方式实现，本实施例对此不做任何限制。

具体的，本步骤中处理器利用已获取的正常行为的资源访问信息中的被访问资源信息，确定访问当前预设类资源中资源的资源访问信息的集合(即资源访问信息集)。

步骤2022：根据资源访问信息集，统计当前预设类资源中各资源的访问分布状况。

其中，本步骤中处理器可以利用当前预设类资源对应的资源访问信息集，统计资源访问信息集中各资源访问信息对当前预设类资源中资源的访问的分布状况(即访问分布状况)，以利用当前预设类资源中各资源的访问分布状况作为当前预设类资源的正常行为的画像(即正常行为画像)。

步骤2023：根据访问分布状况，判断当前预设类资源是否完成正常行为画像；若是，则进入步骤2024；若否，则进入步骤2025。

可以理解的是，本步骤中处理器利用当前预设类资源中各资源的访问分布状况，确定当前预设类资源的正常行为画像是否符合要求，即是否能够结束当前预设类资源的画像阶段，从而利用正常行为画像完成的当前预设类资源对应的资源访问信息集，生成当前预设类资源对应的正常行为基线。

具体的，对于本步骤中处理器根据访问分布状况，判断当前预设类资源是否完成正常行为画像的具体方式，可以由设计人员根据实用场景和用户需求自行设置，如处理器可以利用当前时间的访问分布状况(即当前访问分布状况)的离散程度(如熵值、方差或标准差)与上一次的访问分布状况(即上一访问分布状况)的离散程度的比较，确定当前预设类资源是否完成正常行为画像，即通过两次访问分布状况的变化趋势，确定当前预设类资源的画像阶段是否能够结束。处理器也可以利用访问分布状况中各资源的访问次数与次数阈值的比较，确定当前预设类资源是否完成正常行为画像；例如在访问分布状况中各资源的访问次数均达到次数阈值时，确定当前预设类资源完成正常行为画像，并进入步骤2024；在访问分布状况中各资源的访问次数未均达到次数阈值时，确定当前预设类资源未完成正常行为画像，并进入步骤2025。处理器还可以利用当前预设类资源的访问分布状况(即当前访问分布状况)的统计时间与预设画像时间的比较，确定当前预设类资源是否完成正常行为画像；例如在统计时间达到预设画像时间时，确定当前预设类资源完成正常行为画像，并进入步骤2024；在统计时间未达到预设画像时间时，确定当前预设类资源未完成正常行为画像，并进入步骤2025。

对应的，处理器还可以先后或同时判断当前访问分布状况的统计时间是否达到预设画像时间和当前访问分布状况与上一访问分布状况的离散程度差是否小于离散程度阈值；在当前访问分布状况的统计时间未达到预设画像时间或当前访问分布状况与上一访问分布状况的离散程度差不小于离散程度阈值时，确定当前预设类资源未完成正常行为画像，并进入步骤2025，继续获取正常行为进行当前预设类资源的正常行为画像；在统计时间达到预设画像时间且离散程度差小于离散程度阈值时，确定当前预设类资源完成正常行为画像，并进入步骤2024，根据资源访问信息集，生成当前预设类资源对应的正常行为基线。

例如，本步骤中处理器可以检测当前访问分布状况的统计时间是否达到预设画像时间，如按预设时间间隔检测当前访问分布状况的统计时间是否达到预设画像时间；若未达到预设画像时间，则进入步骤2025；若达到预设画像时间，则获取当前访问分布状况的熵值，并判断当前访问分布状况的熵值与上一访问分布状况的熵值之差(即离散程度差)是否小于阈值(即离散程度阈值)；若小于阈值，则可以确定两次访问分布状况的变化趋势不大，即当前预设类资源对应的正常行为的访问情况为基本平稳，可以确定当前预设类资源完成正常行为画像，并进入步骤2024，完成当前预设类资源对应的正常行为的基线化；若不小于阈值，可以确定两次访问分布状况的变化趋势较大，可以确定当前预设类资源未完成正常行为画像，并进入步骤2025，继续进行当前预设类资源的正常行为画像。

步骤2024：根据资源访问信息集，生成当前预设类资源对应的正常行为基线。

其中，本步骤中处理器可以在确定当前预设类资源完成正常行为画像时，对当前预设类资源对应的资源访问信息集中的资源访问信息进行基线化，得到当前预设类资源的正常行为基线，以利用当前预设类资源的正常行为基线，对访问当前预设类资源中的资源的待检测行为进行异常行为检测，将与正常行为基线的差异过大的待检测行为确定为异常行为，即可疑或恶意行为。

步骤2025：继续获取正常行为。

可以理解的是，本步骤中处理器可以在确定当前预设类资源未完成正常行为画像时，继续获取EDR设备监测得到的正常行为，以利用访问当前预设类资源中资源的正常行为的资源访问信息，继续进行当前预设类资源的正常行为画像。

本实施例中，利用当前预设类资源中资源的访问分布状况，确定当前预设类资源对应的资源访问信息是否足够完成基线化，保证了正常行为基线的准确性，从而提高了异常行为检测的准确性。

相应于上面的方法实施例，本发明实施例还提供了一种行为画像装置，下文描述的行为画像装置与上文描述的行为画像方法可相互对应参照。

请参考图6，图6为本发明实施例所提供的一种行为画像装置的结构框图。该装置可以包括：

信息获取模块30，用于获取各正常行为各自对应的资源访问信息；其中，资源访问信息包括被访问资源信息和访问者信息；

基线构建模块40，用于根据资源访问信息，构建每个预设类资源各自对应的正常行为基线；其中，正常行为基线包括预设类资源中的被访问资源信息和/或访问者信息。

可选的，基线构建模块40可以包括：

集合子模块，用于根据被访问资源信息，获取当前预设类资源对应的资源访问信息集；其中，资源访问信息集包括访问当前预设类资源的资源访问信息；

生成子模块，用于根据资源访问信息集，生成当前预设类资源对应的正常行为基线。

可选的，基线构建模块40还可以包括：

统计子模块，用于根据资源访问信息集，统计当前预设类资源中各资源的访问分布状况；

分布判断子模块，用于根据访问分布状况，判断当前预设类资源是否完成正常行为画像；若是，则向生成子模块发送启动信号；若否，则向信息获取模块30发送启动信号。

可选的，分布判断子模块可以具体用于：在当前访问分布状况的统计时间未达到预设画像时间或当前访问分布状况与上一访问分布状况的离散程度差未达到离散程度阈值时，确定当前预设类资源未完成正常行为画像，并向信息获取模块30发送启动信号；在统计时间达到预设画像时间且离散程度未达到离散程度阈值时，确定当前预设类资源完成正常行为画像，并向生成子模块发送启动信号。

本实施例中，本发明实施例通过将终端的行为抽象为访问者对被访问资源的访问对应的资源访问信息，利用正常行为的资源访问信息对访问各预设类资源的正常行为进行画像，构建各预设类资源各自对应的正常行为基线，从而使得后续能够利用各预设类资源的正常行为基线，对待检测行为进行异常行为检测，以实现对未知的可疑或恶意行为的检测。

相应于上面的方法实施例，本发明实施例还提供了一种电子设备，下文描述的一种电子设备与上文描述的一种威胁检测方法和行为画像方法可相互对应参照。

请参考图7，图7为本发明实施例所提供的一种电子设备的结构示意图。该电子设备可以包括：

存储器D1，用于存储计算机程序；

处理器D2，用于执行计算机程序时实现上述方法实施例所提供的威胁检测方法和/或上述方法实施例所提供的行为画像方法的步骤。

具体的，请参考图8，图8为本实施例提供的一种电子设备的具体结构示意图，该电子设备可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上处理器(central processing units，CPU)322(例如，一个或一个以上处理器)和存储器332，一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中，存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对电子设备中的一系列指令操作。更进一步地，中央处理器322可以设置为与存储介质330通信，在电子设备310上执行存储介质330中的一系列指令操作。

电子设备310还可以包括一个或一个以上电源326，一个或一个以上有线或无线网络接口350，一个或一个以上输入输出接口358，和/或，一个或一个以上操作系统341。例如，Windows ServerTM，Mac OS XTM，UnixTM，LinuxTM，FreeBSDTM等。

其中，电子设备310可以具体为EDR设备，如EDR设备通过对终端的监测，得到的正常行为；并利用正常行为，对监测的终端中的待检测行为进行异常行为检测，实现对未知的可疑或恶意行为的检测，提高EDR设备的安全防护效果。

上文所描述的威胁检测方法和/或行为画像方法中的步骤可以由电子设备的结构实现。

相应于上面的方法实施例，本发明实施例还提供了一种可读存储介质，下文描述的一种可读存储介质与上文描述的一种威胁检测方法和行为画像方法可相互对应参照。

一种可读存储介质，可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例所提供的威胁检测方法和/或上述方法实施例所提供的行为画像方法的步骤。

该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置、电子设备及可读存储介质而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

以上对本发明所提供的一种威胁检测方法、装置、行为画像方法、装置、电子设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本发明进行若干改进和修饰，这些改进和修饰也落入本发明权利要求的保护范围内。