[發(fā)明專利]一種基于行為聚合特征的異常用戶檢測(cè)方法、終端及存儲(chǔ)介質(zhì)有效
| 申請(qǐng)?zhí)枺?/td> | 202011347823.3 | 申請(qǐng)日: | 2020-11-26 |
| 公開(公告)號(hào): | CN112488175B | 公開(公告)日: | 2023-06-23 |
| 發(fā)明(設(shè)計(jì))人: | 李興國(guó);鄒斯達(dá);苗功勛;路冰;孫寧 | 申請(qǐng)(專利權(quán))人: | 中孚安全技術(shù)有限公司;中孚信息股份有限公司;北京中孚泰和科技發(fā)展股份有限公司;南京中孚信息技術(shù)有限公司 |
| 主分類號(hào): | G06F18/23 | 分類號(hào): | G06F18/23;G06F18/22;H04L9/40 |
| 代理公司: | 濟(jì)南舜源專利事務(wù)所有限公司 37205 | 代理人: | 張亮 |
| 地址: | 250101 山東省濟(jì)南市高新*** | 國(guó)省代碼: | 山東;37 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 行為 聚合 特征 異常 用戶 檢測(cè) 方法 終端 存儲(chǔ) 介質(zhì) | ||
本發(fā)明提供一種基于行為聚合特征的異常用戶檢測(cè)方法、終端及存儲(chǔ)介質(zhì),獲取預(yù)設(shè)時(shí)間段內(nèi)的用戶行為信息;基于訪問地址信息將用戶預(yù)設(shè)時(shí)間段內(nèi)的特征屬性進(jìn)行聚合;將每個(gè)用戶的矩陣配置成一行向量;分別計(jì)算任意兩個(gè)用戶之間的相關(guān)系數(shù),作為行為相似度;查找相似度最大的兩個(gè)用戶,聚成一類;計(jì)算所述類與其他用戶之間的相似度,并更新聚成一類用戶的相似度矩陣,然后重復(fù)迭代計(jì)算;重復(fù)迭代計(jì)算達(dá)到預(yù)先設(shè)定的閾值之后,停止聚類過程,此時(shí)脫離內(nèi)網(wǎng)群組的用戶被認(rèn)定為具有異常行為。這樣,本發(fā)明降低了異常檢測(cè)的誤報(bào)率。可以識(shí)別掩藏在群組內(nèi)部的異常用,保障數(shù)據(jù)信息的安全性。
技術(shù)領(lǐng)域
本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域,尤其涉及一種基于行為聚合特征的異常用戶檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)。
背景技術(shù)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展,數(shù)據(jù)信息已成為當(dāng)前重要的載體。數(shù)據(jù)信息承載著企業(yè)的信息,用戶的信息,交易的信息以及通信的信息。數(shù)據(jù)信息對(duì)每個(gè)人每個(gè)企業(yè)均具有十分重要的作用。
基于TCP/IP協(xié)議的網(wǎng)絡(luò)架構(gòu)覆蓋了世界的每個(gè)角落,給大家的生活帶來了很多便利,但是隨之而來的是日益嚴(yán)峻的信息安全問題。各個(gè)重要機(jī)關(guān)、大型企業(yè)等通過在內(nèi)網(wǎng)架設(shè)防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和殺毒軟件等手段來抵御數(shù)據(jù)的泄露風(fēng)險(xiǎn),但是單點(diǎn)檢測(cè)往往只能局限于小部分的規(guī)則,無(wú)法應(yīng)對(duì)有預(yù)謀的竊密行為,導(dǎo)致數(shù)據(jù)信息的安全性無(wú)法保障。
發(fā)明內(nèi)容
為了克服上述現(xiàn)有技術(shù)中的不足,提高檢測(cè)內(nèi)網(wǎng)中群組內(nèi)部異常行為的準(zhǔn)確率,本發(fā)明提供一種基于行為聚合特征的異常用戶檢測(cè)方法,方法包括:
獲取預(yù)設(shè)時(shí)間段內(nèi)的用戶行為信息;
基于訪問地址信息將用戶預(yù)設(shè)時(shí)間段內(nèi)的特征屬性進(jìn)行聚合;
基于原始行為特征,做相鄰元素列變換,得到尺寸為目標(biāo)服務(wù)器個(gè)數(shù)的行為方陣,再將每個(gè)用戶的矩陣配置成一行向量;
分別計(jì)算任意兩個(gè)用戶之間的相關(guān)系數(shù),作為內(nèi)網(wǎng)群組中兩用戶在一段時(shí)間內(nèi)的行為相似度;
根據(jù)用戶之間的相似度矩陣,查找相似度最大的兩個(gè)用戶,聚成一類;
計(jì)算所述類與其他用戶之間的相似度,并更新聚成一類用戶的相似度矩陣,然后重復(fù)迭代計(jì)算;
重復(fù)迭代計(jì)算達(dá)到預(yù)先設(shè)定的閾值之后,停止聚類過程,此時(shí)脫離內(nèi)網(wǎng)群組的用戶被認(rèn)定為具有異常行為。
進(jìn)一步需要說明的是,從通信網(wǎng)絡(luò)的檢測(cè)器提取用戶使用的流量五元組,并截取用戶訪問的流量數(shù)據(jù);
在規(guī)定的時(shí)間窗口粒度按照用戶訪問過得目標(biāo)IP聚合行為特征;
基于所述行為特征的每個(gè)源IP生成行為特征矩陣。
進(jìn)一步需要說明的是,步驟相鄰元素列變換包括:
將用戶IP1與用戶IP2的特征維度相鄰元素交叉相乘,拼湊成一個(gè)新的行為特征方陣:
其中m和n均是屬于[1,num_distip]區(qū)間;
m和n用來分別表示元素的下標(biāo),矩陣的列索引;
i表示行為矩陣的行索引,不超過6的正整數(shù);
P表示上述原始行為特征矩陣中的元素。
進(jìn)一步需要說明的是,步驟計(jì)算任意兩個(gè)用戶之間的相關(guān)系數(shù)包括;
兩個(gè)用戶行為向量之間的相似度,將用戶行為特征矩陣配置成一行向量,執(zhí)行相似度的計(jì)算,用如下公式計(jì)算:
X,Y為兩個(gè)用戶的行為向量;
n表示向量的長(zhǎng)度;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中孚安全技術(shù)有限公司;中孚信息股份有限公司;北京中孚泰和科技發(fā)展股份有限公司;南京中孚信息技術(shù)有限公司,未經(jīng)中孚安全技術(shù)有限公司;中孚信息股份有限公司;北京中孚泰和科技發(fā)展股份有限公司;南京中孚信息技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011347823.3/2.html,轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。
- 過濾以及監(jiān)控程序的行為的方法
- 數(shù)據(jù)挖掘的方法和裝置
- 網(wǎng)絡(luò)異常行為檢測(cè)方法及檢測(cè)裝置
- 基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測(cè)方法和系統(tǒng)
- 用于檢測(cè)用戶行為的方法和裝置
- 行為數(shù)據(jù)分析方法及裝置
- 一種基于網(wǎng)絡(luò)的行為教育方法
- 網(wǎng)絡(luò)行為分類方法、設(shè)備、存儲(chǔ)介質(zhì)及裝置
- 一種在線支付業(yè)務(wù)行為的異常檢測(cè)方法、裝置及電子設(shè)備
- 行為采集方法及系統(tǒng)
