一種基于融合機器學習算法的用戶安全行為基線分析方法，針對要監控的用戶或設備建立行為特征矩陣；建立基于時間維度的二維特征矩陣；定位行為基線異常的用戶或設備；對行為異常的用戶或設備抽取時間維度的特征向量；定位發生基線異常的時間。本發明基于融合機器學習算法，從行為特征和行為發生頻度兩個方面對用戶行為的安全性進行異常匹配，從而判斷用戶的行為是否威脅到網絡安全或存在滲透攻擊的可能。

技術領域

本發明涉及網絡安全技術領域，具體地說是一種基于融合機器學習算法的用戶安全行為基線分析方法。

背景技術

隨著網絡空間安全和大數據技術的發展，針對用戶行為分析的安全分析平臺開始步入高速發展階段。如何在大量的數據中找到異常行為成為各廠家和平臺研究的重點。用戶行為基線異常分析是用戶行為分析眾多情境中的重要一環。

用戶安全行為分析與電商平臺等普通用戶行為分析有本質的區別。針對用戶行為的基線異常分析大多采用人工智能分析方法，如采用貝葉斯、線性回歸等，該類算法都需要大量的訓練樣本，這些算法在消費領域得到了很好驗證。但是用戶安全行為分析則不同，在網絡中尤其在某些敏感的內網中攻擊樣本極少，往往一年中也不會出現一次，做不到大量訓練樣本的積累，也不可能開展大數據集的智能訓練。

發明內容

本發明的目的在于提供一種基于融合機器學習算法的用戶安全行為基線分析方法，用于解決傳統用戶行為的基線異常分析方法做不到大量訓練樣本的積累、開展大數據集的智能訓練問題。

本發明解決其技術問題所采取的技術方案是：

一種基于融合機器學習算法的用戶安全行為基線分析方法，該方法包括：

針對要監控的用戶或設備建立行為特征矩陣；

建立基于時間維度的二維特征矩陣；

定位行為基線異常的用戶或設備；

對行為異常的用戶或設備抽取時間維度的特征向量；

定位發生基線異常的時間。

在第一種可能實現的方式中，特征矩陣包括：U_i＝[S₁ S₂ S₃…S_n]，式中，U_i表示要監控的用戶或設備i，S_i＝{S}表示用戶或設備i的一個監控指標的特征值。

在第二種可能實現的方式中，建立基于時間維度的二維特征矩陣包括在用戶行為特征矩陣U_i＝[S₁ S₂ S₃…S_n]的基礎上增加時間維度的標簽形成基于時間維度的特征二維矩陣：

式中，表示監控的用戶或者設備U_i在T_i時刻的特征表現；表示U_i在T_i時間范圍內S_n特征的表現值。

在第三種可能實現的方式中，定位行為基線異常的用戶或設備包括：

利用K-Means算法對所有的矩陣進行聚類無監督分析，形成“用戶-分組”或者“設備-分組”的動態群組中；

如果“用戶-分組”或者“設備-分組”的群組發生群組變化，認為發生變化的用戶或者設備的風險提升，則定位到發生異常行為的用戶或設備。

在第四種可能實現的方式中，對行為異常的用戶或設備抽取時間維度的特征向量包括：

針對定位為異常的用戶或設備進行從各個指標S_n進行時間維度的抽取，形成異常用戶或設備的單一指標的時間維度矩陣