一種基于用戶的行為分析的檢測異常行為的方法通過可反饋調(diào)節(jié)的滑動時間窗實時采集用戶行為數(shù)據(jù)，并通過構(gòu)建多角度行為庫以及多角度行為分析模型對用戶的行為數(shù)據(jù)進行分析，并將該分析結(jié)果數(shù)據(jù)組與所設(shè)定的可接受的置信值進行分析對比，且可根據(jù)分析對比結(jié)果來反饋調(diào)整數(shù)據(jù)采集的時間窗的參數(shù)以及更新行為庫，從而得到了全方位的分析與準確的判斷，能夠在提高檢測準確度的前提下，通過盡量小的計算復雜度獲得用戶行為的分析結(jié)果。

技術(shù)領(lǐng)域

本發(fā)明涉及信息技術(shù)領(lǐng)域，特別涉及一種基于用戶的行為分析的檢測異常行為的方法。

背景技術(shù)

隨著互聯(lián)網(wǎng)用戶的數(shù)量增長和類型的多樣性，對用戶行為進行分析以追蹤潛在的問題或檢測出惡意用戶、惡意行為等也逐漸變得越來越難，尤其是海量的用戶數(shù)據(jù)對用戶分析處理的效率提出了更高的要求，使得傳統(tǒng)的用戶數(shù)據(jù)存儲和分析方法己經(jīng)不能勝任了。隨著大數(shù)據(jù)時代的來臨，大數(shù)據(jù)分析也應(yīng)運而生。大數(shù)據(jù)分析是指對規(guī)模巨大的數(shù)據(jù)進行分析。大數(shù)據(jù)分析基于數(shù)據(jù)可視化可以直觀的展示數(shù)據(jù)，基于數(shù)據(jù)挖掘可讓我們深入數(shù)據(jù)內(nèi)部去挖掘價值。

用戶惡意行為在不斷的演化和變異，而且隨著網(wǎng)絡(luò)流量越來越大，隱藏在大量正常網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)惡意行為越來越難以發(fā)現(xiàn)。機器學習技術(shù)被認為是海量惡意行為自動分析的重要方法，但是現(xiàn)有機器學習模型的退化問題比較嚴重。同時，隨著數(shù)據(jù)量的增加，統(tǒng)計分析的計算復雜度越來越高，基于可信度的惡意行為檢測方法的效率問題越來越突出。因此需要一種能夠處理海量數(shù)據(jù)，實時吸收新發(fā)現(xiàn)的知識，根據(jù)檢測分析模型實時高速分析和檢測惡意行為的方法。

在實際場景中，用戶希望系統(tǒng)能夠在短時間內(nèi)檢測到用戶在非法地使用他們的主機，并做出相應(yīng)響應(yīng)，例如激活攝像頭將非法用戶拍照留存，保護隱私文件等。同時，模型應(yīng)有較高的準確率，過高的誤警率會降低用戶體驗以及系統(tǒng)的可信度。

本發(fā)明目的是解決現(xiàn)有機器學習模型退化比較嚴重的問題和現(xiàn)有的檢測方法的準確率較低的問題，提出一種設(shè)立可反饋調(diào)節(jié)的動態(tài)滑動窗口并實時統(tǒng)計分析用戶的行為，動態(tài)跟蹤用戶的行為習慣，基于己知行為以及用戶給定的可接受最大錯誤概率，通過分析模塊多角度地檢測惡意行為的方法。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明提出了一種基于用戶行為分析的異常行為檢測方法和裝置。通過合適的時間滑動窗口實時地采集用戶行為數(shù)據(jù)，將用戶行為數(shù)據(jù)輸入到數(shù)據(jù)分析模型中，經(jīng)過模型的分析判斷給出用戶行為正常與否的結(jié)論，以供使用者做出后續(xù)的判斷。

更具體而言，本發(fā)明提出了一種基于用戶行為分析的異常行為檢測方法。其中，該方法包括如下步驟；

首先，設(shè)定初始的用于用戶行為數(shù)據(jù)采集的時間滑動窗口參數(shù)，并基于該設(shè)定的時間滑動窗口參數(shù)對用戶行為數(shù)據(jù)進行實時采集，通過多維數(shù)組來表示該用戶行為數(shù)據(jù)；

第二步，構(gòu)建標準用戶行為樣本庫，包括標準惡意用戶行為樣本庫、標準正常用戶行為樣本庫以及可疑用戶行為樣本庫；其中標準惡意用戶行為樣本庫中保存有多條且標準的用于表征用戶行為屬于惡意行為的用戶行為數(shù)據(jù)，標準正常用戶行為樣本庫保存有多條且標準的用于表征用戶行為屬于正常行為的用戶行為數(shù)據(jù)，可疑用戶行為樣本庫保存有多條用于表征用戶行為屬于可疑行為的用戶行為數(shù)據(jù)；

第三步，以標準用戶行為樣本庫構(gòu)建多角度行為分析模型；

第四步，將所采集的用戶行為數(shù)據(jù)輸入到所構(gòu)建的多角度行為分析模型中，得出分析結(jié)論值數(shù)組；

第五步，基于分析結(jié)論值數(shù)組計算得到分析可信度值，將分析可信度值與使用者預先設(shè)定的可接受置信度值進行比較，并根據(jù)該比較結(jié)果來選擇執(zhí)行反饋調(diào)整以及重測的步驟，包括反饋調(diào)整時間滑動窗口參數(shù)以重新采集用戶行為數(shù)據(jù)，再次執(zhí)行步驟一至步驟四，或根據(jù)該比較結(jié)果給出當前實時采集的用戶行為數(shù)據(jù)的分析結(jié)果。