[發明專利]一種異常行為識別方法和裝置有效
| 申請號: | 202010630842.0 | 申請日: | 2020-07-03 |
| 公開(公告)號: | CN111865941B | 公開(公告)日: | 2022-12-27 |
| 發明(設計)人: | 陳少涵;連鵬程;柳賽普 | 申請(專利權)人: | 北京天空衛士網絡安全技術有限公司;成都天空衛士網絡安全技術有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40;H04L41/0631;G06F17/18 |
| 代理公司: | 中原信達知識產權代理有限責任公司 11219 | 代理人: | 張一軍;韓黎捷 |
| 地址: | 100176 北京市大興區北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 異常 行為 識別 方法 裝置 | ||
本發明公開了一種異常行為識別方法和裝置,涉及計算機技術領域。該方法的一具體實施方式包括:針對識別維度:根據當前用戶在當前時間段和歷史時間段若干行為特征的數據,確定所述當前用戶的行為偏離向量;根據所述當前用戶的行為偏離向量,確定所述當前用戶的行為偏離方向;根據所述當前用戶的行為偏離方向和其他用戶的行為偏離方向,確定所述當前用戶在所述識別維度下的第一分數;其中,所述第一分數用于表征所述當前用戶的行為偏離方向相對于其他用戶的行為偏離方向的偏離程度;根據所述當前用戶在所述識別維度下的第一分數,確定所述當前用戶的當前行為是否存在異常。該實施方式能夠提高識別準確度,降低誤報率。
技術領域
本發明涉及網絡安全技術領域,尤其涉及一種異常行為識別方法和裝置。
背景技術
內部威脅是指企業內部員工或者冒充企業內部員工的外部人員對企業核心數據資產的惡意威脅。內部威脅可能導致企業內部的核心數據泄露,破壞企業的經營安全。由于內部威脅可以通過主機行為或用戶行為等體現,因此,識別異常行為可以判斷是否存在內部威脅。
現有技術一般基于規則匹配識別異常行為,即將采集到的當前行為數據與預設的規則進行匹配,如果匹配成功,則確定該行為異常。
但是,現有技術僅根據當前行為數據進行識別,導致識別準確度較低。
發明內容
有鑒于此,本發明實施例提供一種異常行為識別方法和裝置,能夠提高識別準確度。
第一方面,本發明實施例提供了一種異常行為識別方法,包括:
針對識別維度:根據當前用戶在當前時間段和歷史時間段若干行為特征的數據,確定所述當前用戶的行為偏離向量;
根據所述當前用戶的行為偏離向量,確定所述當前用戶的行為偏離方向;
根據所述當前用戶的行為偏離方向和其他用戶的行為偏離方向,確定所述當前用戶在所述識別維度下的第一分數;其中,所述第一分數用于表征所述當前用戶的行為偏離方向相對于其他用戶的行為偏離方向的偏離程度;
根據所述當前用戶在所述識別維度下的第一分數,確定所述當前用戶的當前行為是否存在異常。
可選地,
所述根據當前用戶在當前時間段和歷史時間段若干行為特征的數據,確定所述當前用戶的行為偏離向量,包括:
針對所述當前用戶的每種行為特征:根據所述行為特征在當前時間段和歷史時間段的數據,計算與所述行為特征對應的當前用戶的行為偏差;每種所述行為特征對應的所述當前用戶的行為偏差為所述行為偏離向量的一個元素。
可選地,
所述歷史時間段的數量大于1;
所述根據所述行為特征在當前時間段和歷史時間段的數據,計算與所述行為特征對應的當前用戶的行為偏差,包括:
對所述行為特征在各個歷史時間段的數據進行歸一化;
對所述行為特征在當前時間段的數據進行歸一化;
根據歸一化后的所述行為特征在各個歷史時間段和當前時間段的數據,計算與所述行為特征對應的當前用戶的行為偏差。
可選地,
進一步包括:
根據所述當前用戶的行為偏離向量,確定所述當前用戶在所述識別維度下的第二分數;其中,所述第二分數用于表征所述當前用戶的當前行為相對于其歷史行為的偏離程度;
所述根據所述當前用戶在所述識別維度下的第一分數,確定所述當前用戶的當前行為是否存在異常,包括:
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京天空衛士網絡安全技術有限公司;成都天空衛士網絡安全技術有限公司,未經北京天空衛士網絡安全技術有限公司;成都天空衛士網絡安全技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010630842.0/2.html,轉載請聲明來源鉆瓜專利網。
