一种行为链分析与异常关联检测的方法

本发明提供一种行为链分析与异常关联检测的方法，包括：收集程序操作行为数据，并构建行为链图模型，其中每个节点表示一个操作，每条边表示操作之间的顺序或关系；利用建模信息计算每个节点关联度，将计算得到的节点关联度与正常行为链的基线模型进行比较以判断是否存在异常；从检测到出的异常行为链中提取特征，包括异常节点的度数和异常边的权重，使用提取的特征作为输入数据，训练恶意行为检测模型；恶意行为检测模型学习提取的特征与恶意行为之间的关系，将输入的新的行为链进行识别和分类，以判断是否异常或恶意。本发明能够有效减少假阳性率和假阴性率，且具有较高的处理速度，解决了相关技术中程序恶意行为所带来的问题。