(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111676103.6 (22)申请日 2021.12.31 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 高智　郭开　董枫　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 代理人 林志鹏 (51)Int.Cl. G06F 21/56(2013.01) G06K 9/62(2022.01) (54)发明名称 文件行为检测基线确定及文件行为异常检 测方法、 装置 (57)摘要 本申请公开了一种文件行为检测基线确定 及文件行为异常检测方法、 装置， 包括： 构建文件 系统的初始 基线以得到当前基线； 当监测到针对 所述文件系统的实时文件行为， 则提取所述实时 文件行为的特征以得到目标特征； 基于所述目标 特征更新当前基线； 判断当前基线是否达到预设 稳定条件， 若当前基线达到所述预设稳定条件， 则将当前基线确定为文件行为检测基线。 这样， 通过监测针对文件系统的实时文件 行为， 基于实 时文件行为的特征更新基线， 实现基线的自学 习， 直到基线达到稳定状态， 能够提升基线构建 效率， 并且能够提升 检测准确率。 权利要求书3页 说明书13页 附图4页 CN 114297657 A 2022.04.08 CN 114297657 A 1.一种文件行为检测基线确定方法， 其特 征在于， 包括： 构建文件系统的初始基线以得到当前基线； 当监测到针对所述文件系统的实时文件行为， 则提取所述实时文件行为的特征以得到 目标特征； 基于所述目标 特征更新当前基线； 判断当前基线是否达到预设稳定条件， 若当前基线达到所述预设稳定条件， 则将当前 基线确定为文件行为检测基线。 2.根据权利要求1所述的文件行为检测基线确定方法， 其特征在于， 所述文件系统 的当 前基线包括： 目录基线； 所述目录基线包括该目录下所包含的所有文件的特征的泛化和/或 集合。 3.根据权利要求2所述的文件行为检测基线确定方法， 其特征在于， 所述目录基线包括 以下至少之一： 该目录下 所有文件的文件名的泛化； 该目录下 所有文件的用户集 合； 该目录下 所有文件的用户组集 合； 该目录下 所有文件的权限的泛化； 该目录下 所有文件的权限集 合； 操作该目录下 各个文件的进程 集合； 操作该目录下 各个文件的进程泛化。 4.根据权利要求1至3中任一项所述的文件行为检测基线确定方法， 其特征在于， 所述 文件系统的当前基线包括： 文件基线； 所述文件基线包括该文件的特 征的泛化和/或集 合。 5.根据权利要求4所述的文件行为检测基线确定方法， 其特征在于， 所述文件基线包括 以下至少之一： 该文件的用户集 合； 该文件的用户组集 合； 该文件的权限的泛化； 该文件的权限集 合； 操作该文件的进程 集合； 操作该文件的进程泛化。 6.一种文件行为异常检测方法， 其特 征在于， 包括： 获取针对文件系统中目标文件操作的待检测文件行为； 基于所述目标文件的标识， 确定对应的文件行为检测基线， 并基于该文件行为检测基 线对所述待检测文件行为进行安全检测； 其中， 所述文件行为检测基线为预先监测所述文件系统的实时文件行为， 当监测到针 对所述文件系统的实时文件行为， 则提取所述实时文件行为的特征以得到目标特征， 判断 所述目标特征是否已存在于当前基线中， 若所述 目标特征未存在于当前基线中， 则基于所 述目标特征更新当前基线， 直到当前基线达 到预设稳定条件时得到的基线。 7.根据权利要求6所述的文件行为异常检测方法， 其特征在于， 所述文件行为检测基线 包括目录基线， 所述目录基线包括该目录下 所包含的所有 文件的特 征的泛化和/或集 合；权　利　要　求　书 1/3 页 2 CN 114297657 A 2相应地， 所述基于所述目标文件的标识， 确定对应的文件行为检测基线， 并基于该文件 行为检测基线对所述待检测文件行为进行安全检测， 包括： 基于所述目标文件的标识， 确定对应的目录基线， 并基于该目录基线对所述待检测文 件行为进行安全检测。 8.根据权利要求7所述的文件行为异常检测方法， 其特征在于， 所述目标文件对应的目 录基线为： 所述目标文件所属的二级以上目录的目录基线。 9.根据权利要求7所述的文件行为异常检测方法， 其特征在于， 所述文件行为检测基线 还包括文件基线； 相应地， 在所述基于所述目标文件的标识， 确定对应的目录基线， 并基于该目录基线对 所述待检测文件行为进行安全检测的步骤之前， 还 包括： 基于所述目标文件的标识， 确定对应的文件基线， 并基于该文件基线对所述待检测文 件行为进行安全检测； 相应地， 基于所述目标文件的标识， 确定对应的目录基线， 并基于该目录基线对所述待 检测文件行为进行安全检测， 包括： 若基于所述文件基线对所述待检测文件行为的安全检测未通过时， 则基于所述目标文 件的标识， 确定对应的目录基线， 并基于该目录基线对所述待检测文件行为进行安全检测。 10.一种文件行为检测基线确定装置， 其特 征在于， 包括： 初始基线构建模块， 用于构建文件系统的初始基线以得到当前基线； 文件行为 监测模块， 用于监测所述文件系统中的实时文件行为； 目标特征获取模块， 用于当所述文件行为监测模块监测到针对所述文件系统的实时文 件行为， 则提取 所述实时文件行为的特 征以得到目标 特征； 当前基线更新模块， 用于基于所述目标 特征更新当前基线； 稳定条件判断模块， 用于判断当前基线是否 达到预设稳定条件； 检测基线确定模块， 用于若所述稳定条件判断模块判定当前基线达到所述预设稳定条 件， 则将当前基线确定为文件行为检测基线。 11.一种文件行为异常检测装置， 其特 征在于， 包括： 待检测文件行为获取模块， 用于获取针对文件系统中目标文件操作的待检测文件行 为； 待检测文件行为检测模块， 用于基于所述目标文件的标识， 确定对应的文件行为检测 基线， 并基于该文件行为检测基线对所述待检测文件行为进行安全检测； 其中， 所述文件行为检测基线为预先监测所述文件系统的实时文件行为， 当监测到针 对所述文件系统的实时文件行为， 则提取所述实时文件行为的特征以得到目标特征， 判断 所述目标特征是否已存在于当前基线中， 若所述 目标特征未存在于当前基线中， 则基于所 述目标特征更新当前基线， 直到当前基线达 到预设稳定条件时得到的基线。 12.一种电子设备， 其特 征在于， 包括： 存储器， 用于保存计算机程序； 处理器， 用于执行所述计算机程序， 以实现如权利要求1至5任一项所述的文件行为检 测基线确定方法， 和/或如权利要求6 至9任一项所述的文件行为异常检测方法。 13.一种计算机可读存储介质， 其特征在于， 用于保存计算机程序， 所述计算机程序被权　利　要　求　书 2/3 页 3 CN 114297657 A 3