本發明實施例提供了一種異常行為檢測方法和裝置，涉及網絡安全技術領域，用于解決現有技術中數據分析的效率較低，無法從海量數據中分析出異常行為的問題。該方法包括：獲取待檢測數據；通過數據檢測模型對所述待檢測數據進行檢測確定異常行為，所述數據檢測模型為以用戶的歷史數據為樣本數據、孤立森林算法為模型算法構建的機器學習模型歷史數據包括所述異常行為對應的異常數據；對所述異常行為進行事件上報。本發明實施例用于異常行為檢測。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種異常行為檢測方法和裝置。

背景技術

隨著網路技術的飛速發展，敏感信息和個人隱私信息無處不在，而保障敏感信息和個人隱私信息的安全是網絡安全的重要任務之一。

傳統網絡安全技術中普遍通過制定針對性的訪問控制策略來保障敏感信息和個人隱私信息的安全，然而快速增長的海量數據使得大數據平臺中的敏感信息和個人隱私信息無處不在，準確發現和定位敏感信息并制定針對性的訪問控制策略變得越來越困難，因此僅僅依靠訪問控制策略已無法完全避免敏感信息和個人隱私信息被違規使用。為了能夠發現敏感信息和個人隱私信息被違規使用，現有技術中進一步提出基于用戶數據對大數據平臺的每一個用戶的行為進行分析，進而發現用戶的異常行為，并警告惡意事件。然而，隨著Hadoop、Hive、Spark等技術的發展，用戶的數據量呈指數級增長，而現有技術中普遍基于人工進行數據分析的，數據分析的效率較低，因此了解每個用戶的數據活動變得非常困難，更不用說在每天千萬億字節(Petabyte，PB)級的數據流中分析并警告異單個惡意事件。因此如何分析大數據平臺每個用戶的數據，發現并警告敏感數據違規被使用行為，降低數據泄露風險，進而保護大數據平臺的數據安全是一個亟待解決的問題。

發明內容

有鑒于此，本發明實施例提供了一種異常行為檢測方法和裝置，用于解決現有技術中數據分析的效率較低，無法從海量數據中分析出異常行為的問題。

為了實現上述目的，本發明實施例提供技術方案如下：

第一方面，本發明的實施例提供一種異常行為檢測方法，包括：

獲取待檢測數據；

通過數據檢測模型對所述待檢測數據進行檢測確定異常行為，所述數據檢測模型為以用戶的歷史數據為樣本數據、孤立森林算法為模型算法構建的機器學習模型，所述歷史數據包括所述異常行為對應的異常數據；

對所述異常行為進行事件上報。

作為本發明實施例一種可選的實施方式，在通過數據檢測模型對所述待檢測數據進行檢測確定異常行為之前，所述方法還包括：

述待檢測數據進行檢測確定異常行為之前，所述方法還包括：

獲取所述歷史數據；

根據算法模型和/或檢測目標標簽選取數據特征，所述檢測目標標簽為用于進行異常行為檢測的數據特征的標簽；

將所述歷史數據分為訓練數據集和測試數據集；

利用所述訓練數據集、所述數據特征以及孤立森林算法構建所述數據檢測模型；

通過所述數據檢測模型對所述測試數據集進行檢測，獲取所述數據檢測模型的性能的評估結果；

根據所述評估結果和所述測試數據集中的真實異常數據的情況，調整所述數據檢測模型的模型參數，以對所述數據檢測模型進行修正。

作為本發明實施例一種可選的實施方式，在將所述歷史數據分為訓練數據集和測試數據集之前，所述方法還包括：

根據聚合規則對所述歷史數據進行聚合處理，以將一次用戶操作產生的數據聚合為一條操作事件對應的數據；

其中，所述聚合規則由檢測大數據平臺各類組件的操作特征確定。