[發(fā)明專(zhuān)利]一種異常行為識(shí)別方法和裝置有效
| 申請(qǐng)?zhí)枺?/td> | 202010630842.0 | 申請(qǐng)日: | 2020-07-03 |
| 公開(kāi)(公告)號(hào): | CN111865941B | 公開(kāi)(公告)日: | 2022-12-27 |
| 發(fā)明(設(shè)計(jì))人: | 陳少涵;連鵬程;柳賽普 | 申請(qǐng)(專(zhuān)利權(quán))人: | 北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司;成都天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司 |
| 主分類(lèi)號(hào): | H04L9/40 | 分類(lèi)號(hào): | H04L9/40;H04L41/0631;G06F17/18 |
| 代理公司: | 中原信達(dá)知識(shí)產(chǎn)權(quán)代理有限責(zé)任公司 11219 | 代理人: | 張一軍;韓黎捷 |
| 地址: | 100176 北京市大興區(qū)北京*** | 國(guó)省代碼: | 北京;11 |
| 權(quán)利要求書(shū): | 查看更多 | 說(shuō)明書(shū): | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 異常 行為 識(shí)別 方法 裝置 | ||
1.一種異常行為識(shí)別方法,其特征在于,包括:
獲取主機(jī)行為數(shù)據(jù);根據(jù)主機(jī)行為數(shù)據(jù)和主機(jī)與用戶(hù)的綁定關(guān)系,確定用戶(hù)行為數(shù)據(jù);所述用戶(hù)行為數(shù)據(jù)包括:用戶(hù)若干行為特征的數(shù)據(jù);
針對(duì)識(shí)別維度:根據(jù)當(dāng)前用戶(hù)在當(dāng)前時(shí)間段和歷史時(shí)間段若干行為特征的數(shù)據(jù),確定所述當(dāng)前用戶(hù)的行為偏離向量;包括:針對(duì)所述當(dāng)前用戶(hù)的每種行為特征:歷史時(shí)間段的數(shù)量大于1,根據(jù)各個(gè)歷史時(shí)間段行為特征的數(shù)據(jù),生成箱形圖;根據(jù)箱形圖,在各個(gè)歷史時(shí)間段行為特征的數(shù)據(jù)中確定若干非異常行為特征的數(shù)據(jù);通過(guò)取對(duì)數(shù)對(duì)非異常行為特征在各個(gè)歷史時(shí)間段的數(shù)據(jù)以及所述非異常行為特征在當(dāng)前時(shí)間段的數(shù)據(jù)進(jìn)行歸一化;根據(jù)歸一化后的行為特征在各個(gè)歷史時(shí)間段和當(dāng)前時(shí)間段的數(shù)據(jù),計(jì)算與行為特征對(duì)應(yīng)的當(dāng)前用戶(hù)的行為偏差;每種所述行為特征對(duì)應(yīng)的所述當(dāng)前用戶(hù)的行為偏差為所述行為偏離向量的一個(gè)元素;
根據(jù)所述當(dāng)前用戶(hù)的行為偏離向量,確定所述當(dāng)前用戶(hù)的行為偏離方向;
根據(jù)所述當(dāng)前用戶(hù)的行為偏離方向和其他用戶(hù)的行為偏離方向,確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù);根據(jù)所述當(dāng)前用戶(hù)的行為偏離向量,確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第二分?jǐn)?shù);根據(jù)所述其他用戶(hù)以及所述當(dāng)前用戶(hù)的若干行為特征在當(dāng)前時(shí)間段的數(shù)據(jù),確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù);其中,所述第一分?jǐn)?shù)用于表征所述當(dāng)前用戶(hù)的行為偏離方向相對(duì)于其他用戶(hù)的行為偏離方向的偏離程度;所述第二分?jǐn)?shù)用于表征所述當(dāng)前用戶(hù)的當(dāng)前行為相對(duì)于其歷史行為的偏離程度;所述第三分?jǐn)?shù)用于表征所述當(dāng)前用戶(hù)的當(dāng)前行為相對(duì)于所述若干其他用戶(hù)的當(dāng)前行為的偏離程度;
根據(jù)所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù)、第二分?jǐn)?shù)和第三分?jǐn)?shù),確定所述當(dāng)前用戶(hù)的當(dāng)前行為是否存在異常。
2.如權(quán)利要求1所述的方法,其特征在于,
所述根據(jù)所述其他用戶(hù)以及所述當(dāng)前用戶(hù)的若干行為特征在當(dāng)前時(shí)間段的數(shù)據(jù),確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù),包括:
針對(duì)所述識(shí)別維度下的每種行為特征:計(jì)算在所述當(dāng)前時(shí)間段若干其他用戶(hù)的行為特征的數(shù)據(jù)的統(tǒng)計(jì)值;
根據(jù)各個(gè)所述行為特征對(duì)應(yīng)的統(tǒng)計(jì)值以及所述當(dāng)前用戶(hù)在當(dāng)前時(shí)間段的若干行為特征的數(shù)據(jù),確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù)。
3.如權(quán)利要求2所述的方法,其特征在于,
所述根據(jù)各個(gè)所述行為特征對(duì)應(yīng)的統(tǒng)計(jì)值以及所述當(dāng)前用戶(hù)在當(dāng)前時(shí)間段的若干行為特征的數(shù)據(jù),確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù),包括:
根據(jù)各個(gè)所述行為特征對(duì)應(yīng)的統(tǒng)計(jì)值以及所述當(dāng)前用戶(hù)在當(dāng)前時(shí)間段的若干行為特征的數(shù)據(jù),計(jì)算所述當(dāng)前用戶(hù)的當(dāng)前行為與所述若干其他用戶(hù)的當(dāng)前行為的相似度;
根據(jù)所述當(dāng)前用戶(hù)的當(dāng)前行為與所述若干其他用戶(hù)的當(dāng)前行為的相似度,確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù)。
4.如權(quán)利要求1所述的方法,其特征在于,進(jìn)一步包括:
根據(jù)識(shí)別維度下所述其他用戶(hù)以及所述當(dāng)前用戶(hù)的若干行為特征在當(dāng)前時(shí)間段的數(shù)據(jù),確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第三分?jǐn)?shù);其中,所述第三分?jǐn)?shù)用于表征所述當(dāng)前用戶(hù)的當(dāng)前行為相對(duì)于所述若干其他用戶(hù)的當(dāng)前行為的偏離程度;
所述根據(jù)所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù),確定所述當(dāng)前用戶(hù)的當(dāng)前行為是否存在異常,包括:
根據(jù)所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù)和第三分?jǐn)?shù),確定所述當(dāng)前用戶(hù)的當(dāng)前行為是否存在異常。
5.如權(quán)利要求1所述的方法,其特征在于,
所述根據(jù)所述當(dāng)前用戶(hù)的行為偏離方向和其他用戶(hù)的行為偏離方向,確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù),包括:
根據(jù)所述當(dāng)前用戶(hù)的行為偏離方向,確定所述當(dāng)前用戶(hù)在各個(gè)特征維度的分片值;其中,所述當(dāng)前用戶(hù)在特征維度的分片值用于表征在所述特征維度下所述當(dāng)前用戶(hù)的行為偏離方向相對(duì)于其他用戶(hù)的行為偏離方向的偏離程度;
根據(jù)所述其他用戶(hù)的行為偏離方向,確定所述其他用戶(hù)在各個(gè)特征維度的分片值;
根據(jù)所述當(dāng)前用戶(hù)以及所述其他用戶(hù)在各個(gè)所述特征維度的分片值,確定所述當(dāng)前用戶(hù)對(duì)應(yīng)的分片組合;
根據(jù)所述分片組合對(duì)應(yīng)的用戶(hù)數(shù)量,確定所述當(dāng)前用戶(hù)在所述識(shí)別維度下的第一分?jǐn)?shù)。
該專(zhuān)利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專(zhuān)利權(quán)人授權(quán)。該專(zhuān)利全部權(quán)利屬于北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司;成都天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司,未經(jīng)北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司;成都天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買(mǎi)此專(zhuān)利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010630842.0/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專(zhuān)利網(wǎng)。
- 同類(lèi)專(zhuān)利
- 專(zhuān)利分類(lèi)
- 異常檢測(cè)裝置、異常檢測(cè)方法
- 異常檢測(cè)方法、異常檢測(cè)裝置及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法以及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法以及異常檢測(cè)系統(tǒng)
- 異常檢測(cè)裝置、異常檢測(cè)方法及異常檢測(cè)系統(tǒng)
- 異常探測(cè)裝置、異常探測(cè)方法以及計(jì)算機(jī)可讀取的存儲(chǔ)介質(zhì)
- 異常檢測(cè)裝置、異常檢測(cè)方法及記錄介質(zhì)
- 異常檢測(cè)裝置、異常檢測(cè)系統(tǒng)以及異常檢測(cè)方法
- 異常檢測(cè)系統(tǒng)、異常檢測(cè)裝置和異常檢測(cè)方法
- 異常檢測(cè)方法、異常檢測(cè)裝置及異常檢測(cè)系統(tǒng)
- 過(guò)濾以及監(jiān)控程序的行為的方法
- 數(shù)據(jù)挖掘的方法和裝置
- 網(wǎng)絡(luò)異常行為檢測(cè)方法及檢測(cè)裝置
- 基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測(cè)方法和系統(tǒng)
- 用于檢測(cè)用戶(hù)行為的方法和裝置
- 行為數(shù)據(jù)分析方法及裝置
- 一種基于網(wǎng)絡(luò)的行為教育方法
- 網(wǎng)絡(luò)行為分類(lèi)方法、設(shè)備、存儲(chǔ)介質(zhì)及裝置
- 一種在線支付業(yè)務(wù)行為的異常檢測(cè)方法、裝置及電子設(shè)備
- 行為采集方法及系統(tǒng)
- 識(shí)別媒體、識(shí)別媒體的識(shí)別方法、識(shí)別對(duì)象物品以及識(shí)別裝置
- 一種探針卡識(shí)別裝置和方法
- 識(shí)別裝置、識(shí)別方法以及記錄介質(zhì)
- 識(shí)別裝置、識(shí)別系統(tǒng),識(shí)別方法以及存儲(chǔ)介質(zhì)
- 識(shí)別程序、識(shí)別方法以及識(shí)別裝置
- 車(chē)載身份識(shí)別方法及系統(tǒng)
- 車(chē)載身份識(shí)別方法及系統(tǒng)
- 車(chē)載身份識(shí)別方法及系統(tǒng)
- 識(shí)別裝置、識(shí)別方法以及識(shí)別程序
- 識(shí)別裝置、識(shí)別方法及識(shí)別程序
- 一種數(shù)據(jù)庫(kù)讀寫(xiě)分離的方法和裝置
- 一種手機(jī)動(dòng)漫人物及背景創(chuàng)作方法
- 一種通訊綜合測(cè)試終端的測(cè)試方法
- 一種服裝用人體測(cè)量基準(zhǔn)點(diǎn)的獲取方法
- 系統(tǒng)升級(jí)方法及裝置
- 用于虛擬和接口方法調(diào)用的裝置和方法
- 線程狀態(tài)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種JAVA智能卡及其虛擬機(jī)組件優(yōu)化方法
- 檢測(cè)程序中方法耗時(shí)的方法、裝置及存儲(chǔ)介質(zhì)
- 函數(shù)的執(zhí)行方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
