本實施例提供了一種異常用戶識別方法，包含以下步驟：（1）設(shè)定時間尺度，計算時間尺度內(nèi)每個用戶的通信量，記錄同一網(wǎng)絡(luò)前綴下每個用戶的應(yīng)用行為，為每個用戶建立用戶行為模型；（2）對兩兩用戶的通信量差值進(jìn)行離散化處理；（3）計算兩兩用戶應(yīng)用行為的比例差異；（4）計算兩兩用戶間的行為相似性值；（5）根據(jù)聚類算法對網(wǎng)絡(luò)中的用戶進(jìn)行聚類，分離出異常行為的用戶分簇，克服了現(xiàn)有技術(shù)中異常行為特征提取困難，聚類維數(shù)過高、聚類結(jié)果準(zhǔn)確性低等問題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別是一種異常用戶識別方法。

背景技術(shù)

由于網(wǎng)絡(luò)世界中不穩(wěn)定因素較多，一些用戶在使用過程中會存在諸如DDoS攻擊、端口掃描，蠕蟲病毒等行為異常，若不及時發(fā)現(xiàn)并阻止，異常行為將進(jìn)一步擴大，使網(wǎng)絡(luò)存在極大安全隱患，因此需要開發(fā)一種能夠識別異常用戶的方法，目前的異常用戶識別方法存在預(yù)設(shè)規(guī)則困難、特征提取困難，聚類維數(shù)過高及不適用于網(wǎng)絡(luò)匯聚節(jié)點上異常行為的分析等問題。

發(fā)明內(nèi)容

本發(fā)明提供了一種異常用戶識別方法，克服了現(xiàn)有技術(shù)中異常行為特征提取困難，聚類維數(shù)過高、聚類結(jié)果準(zhǔn)確性低等問題，為克服上述問題，本發(fā)明提供了以下技術(shù)方案：

一種異常用戶識別方法，其特征在于，包含以下步驟：

(1)設(shè)定時間尺度，計算時間尺度內(nèi)每個用戶的通信量，記錄同一網(wǎng)絡(luò)前綴下每個用戶的應(yīng)用行為，為每個用戶建立用戶行為模型；

(2)對兩兩用戶的通信量差值進(jìn)行離散化處理；

(3)計算兩兩用戶應(yīng)用行為的比例差異；

(4)計算兩兩用戶間的行為相似性值；

(5)根據(jù)聚類算法對網(wǎng)絡(luò)中的用戶進(jìn)行聚類，分離出異常行為的用戶分簇。

本發(fā)明提出了一種基于行為相似性的異常用戶識別方法，選擇了時間、用戶通信量以及用戶的應(yīng)用行為作為衡量用戶行為相似性的指標(biāo)，設(shè)定合理的時間尺度，記錄每個用戶在時間尺度內(nèi)的通信量和一系列應(yīng)用行為，然后計算用戶間相似性值，通過聚類算法對用戶進(jìn)行聚類，分離出異常用戶分簇，從而識別具有異常行為的用戶，并且不存在特征提取困難，聚類維數(shù)低、識別準(zhǔn)確率高。

進(jìn)一步的，所述用戶行為模型的建立方法如下：

(1)設(shè)定時間尺度為T，假設(shè)時間尺度T的某一網(wǎng)絡(luò)前綴中共有N個活躍用戶，其中存在異常用戶，其集合為U＝{U₁,U₂,…,U_i,…,U_N}，其中U表示所有用戶的集合，U_i表示集合中的一個網(wǎng)絡(luò)用戶；

(2)定義用戶行為模型，即：U_i＝{C_i,F_i}，i＝1.2.3…n，其中，C_i為用戶U_i的通信量，表示用戶發(fā)送的流量數(shù)C_send,i和接收的流量數(shù)C_rece,i之和，即:C_i＝C_send,i+C_rece,i；F_i表示用戶不同應(yīng)用行為的集合，集合中的每個元素代表一種應(yīng)用行為；