[發明專利]一種用戶行為序列異常檢測方法、終端及存儲介質在審
| 申請號: | 202011350875.6 | 申請日: | 2020-11-26 |
| 公開(公告)號: | CN112491877A | 公開(公告)日: | 2021-03-12 |
| 發明(設計)人: | 鄒斯達;李興國;苗功勛;路冰;孫寧 | 申請(專利權)人: | 中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 濟南舜源專利事務所有限公司 37205 | 代理人: | 張亮 |
| 地址: | 250101 山東省濟南市高新*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 用戶 行為 序列 異常 檢測 方法 終端 存儲 介質 | ||
1.一種用戶行為序列異常檢測方法,其特征在于,方法包括:
獲取預設時間段用戶行為信息;
基于訪問地址信息將預設時間段內的特征屬性進行聚合;
將預設時間段內的行為矩陣按照時間進行順序;將用戶預設時間段內的行為配置成行向量,再基于時間順序形成行為行向量時間序列;
提取任意兩個用戶的行為行向量時間序列,計算兩個用戶之間的相關系數,并判斷兩用戶在預設時間段內預設時間節點上的向量相似度;
在預設時間段內,采用動態規整算法查找兩個用戶的行為行向量時間序列的最優距離;
基于上述方式得到的最優距離,計算所有用戶之間的距離平均值和標準差;
在預設時間段內,如有用戶與其他用戶間的距離大于平均值的+3倍標準差,則判斷所述用戶為異常用戶,并寫入到異常用戶列表中。
2.根據權利要求1所述的用戶行為序列異常檢測方法,其特征在于,
獲取異常用戶列表中的異常用戶與正常用戶之間的相似度;
如果相似度大于平均值-3倍標準差,且正常用戶數占比超過90%,則所述異常用戶變更為正常用戶,否則確定為異常用戶。
3.根據權利要求1所述的用戶行為序列異常檢測方法,其特征在于,
步驟獲取預設時間段用戶行為信息之前還包括:
基于內網用戶,獲取預設時間段內訪問目標服務器的行為信息。
4.根據權利要求3所述的用戶行為序列異常檢測方法,其特征在于,
所述訪問目標服務器的行為信息包括:內網用戶訪問每個目標服務器產生的流量信息、時間信息以及所屬應用協議的信息。
5.根據權利要求3所述的用戶行為序列異常檢測方法,其特征在于,
在預設時間段內,統計與內網用戶連接過的目標服務器,并形成目標服務器IP列表;
統計內網用戶與每個目標服務器連接時,分別產生的上下行流量總和以及分別與每個目標服務器連接的總頻次。
6.根據權利要求3所述的用戶行為序列異常檢測方法,其特征在于,
在預設時間段內,統計內網用戶每次連接目標服務器連接的總時長以及與目標服務器最后一次連接時間距離當前時間的時長,并配置活躍度;
在預設時間段內,統計內網用戶與目標服務器連接使用的應用層協議種類數。
7.根據權利要求1所述的用戶行為序列異常檢測方法,其特征在于,
計算兩個用戶之間的相關系數方式為:
基于上述公式分別計算兩個用戶在每個時間節點上的相關系數。
8.根據權利要求1所述的用戶行為序列異常檢測方法,其特征在于,
采用動態規整算法計算兩個用戶的行為行向量時間序列最優距離的計算方式為:
γ(i,j)=d(qi,cj)+max{γ(i-1,j-1),γ(i-1,j),γ(i,j-1)}。
9.一種實現用戶行為序列異常檢測方法的終端設備,其特征在于,包括:
存儲器,用于存儲計算機程序及用戶行為序列異常檢測方法;
處理器,用于執行所述計算機程序及用戶行為序列異常檢測方法,以實現如權利要求1至8任意一項所述用戶行為序列異常檢測方法的步驟。
10.一種具有用戶行為序列異常檢測方法的可讀存儲介質,其特征在于,所述可讀存儲介質上存儲有計算機程序,所述計算機程序被處理器執行以實現如權利要求1至8任意一項所述用戶行為序列異常檢測方法的步驟。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司,未經中孚安全技術有限公司;中孚信息股份有限公司;北京中孚泰和科技發展股份有限公司;南京中孚信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011350875.6/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:真空機械手
- 下一篇:介質器件的絲網印刷焊接方法及介質器件
