本發明提供一種用戶行為序列異常檢測方法、終端及存儲介質，獲取預設時間段用戶行為信息；將特征屬性進行聚合順序；將用戶預設時間段內的行為配置成行向量，再形成行為行向量時間序列；提取任意兩個用戶的行為行向量時間序列，計算相關系數，并判斷向量相似度；采用動態規整算法查找兩個用戶的行為行向量時間序列的最優距離；計算所有用戶之間的距離平均值和標準差；如有用戶與其他用戶間的距離大于平均值的+3倍標準差，則判斷所述用戶為異常用戶。本發明可以分析用戶行為細節，克服用戶由于未有連續行為造成無法生成特征矩陣，序列長度不一致的問題，降低異常檢測的誤報率。使得可以識別掩藏在群組內部的異常行為，保障數據信息的安全性。

技術領域

本發明涉及數據處理技術領域，尤其涉及一種基于用戶行為序列相似度的異常檢測方法、終端及存儲介質。

背景技術

隨著科技不斷的發展，數據信息已成為當前重要的載體。數據信息承載著企業的信息，用戶的信息，交易的信息以及通信的信息。數據信息對每個人每個企業均具有十分重要的作用。

數據信息的異常問題是當前需要重視的問題。對于數據異常問題，基于大數據挖掘的流量分析可以動態全面地尋找內網中的惡意行為。而現有技術中的IPS/IDS，也就是入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于，IDS是一種積極主動的安全防護技術。

現有技術中還涉及NTA，也就是流量異常分析方式，這兩種方式均是基于規則匹配和預設統計閾值的方法，無法識別掩藏在群組內部的異常行為，這樣導致數據信息的安全性無法保障。

發明內容

為了克服上述現有技術中的不足，提高檢測內網中群組內部異常行為的準確率，本發明提供一種用戶行為序列異常檢測方法，本方法的特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

方法包括：

獲取預設時間段用戶行為信息；

基于訪問地址信息將預設時間段內的特征屬性進行聚合；

將預設時間段內的行為矩陣按照時間進行順序；將用戶預設時間段內的行為配置成行向量，再基于時間順序形成行為行向量時間序列；

提取任意兩個用戶的行為行向量時間序列，計算兩個用戶之間的相關系數，并判斷兩用戶在預設時間段內預設時間節點上的向量相似度；

在預設時間段內，采用動態規整算法查找兩個用戶的行為行向量時間序列的最優距離；

基于上述方式得到的最優距離，計算所有用戶之間的距離平均值和標準差；

在預設時間段內，如有用戶與其他用戶間的距離大于平均值的+3倍標準差，則判斷所述用戶為異常用戶，并寫入到異常用戶列表中。

進一步需要說明的是，獲取異常用戶列表中的異常用戶與正常用戶之間的相似度；

如果相似度大于平均值-3倍標準差，且正常用戶數占比超過90％，則所述異常用戶變更為正常用戶，否則確定為異常用戶。

進一步需要說明的是，步驟獲取預設時間段用戶行為信息之前還包括：

基于內網用戶，獲取預設時間段內訪問目標服務器的行為信息。

進一步需要說明的是，所述訪問目標服務器的行為信息包括：內網用戶訪問每個目標服務器產生的流量信息、時間信息以及所屬應用協議的信息。

進一步需要說明的是，在預設時間段內，統計與內網用戶連接過的目標服務器，并形成目標服務器IP列表；

統計內網用戶與每個目標服務器連接時，分別產生的上下行流量總和以及分別與每個目標服務器連接的總頻次。