[發(fā)明專利]一種特權賬號異常行為分析方法有效
| 申請?zhí)枺?/td> | 202011492061.6 | 申請日: | 2020-12-17 |
| 公開(公告)號: | CN112651433B | 公開(公告)日: | 2021-12-14 |
| 發(fā)明(設計)人: | 吳建亮;胡鵬;莊曉珊 | 申請(專利權)人: | 廣州錦行網(wǎng)絡科技有限公司 |
| 主分類號: | G06Q40/00 | 分類號: | G06Q40/00;G06K9/62 |
| 代理公司: | 北京精金石知識產(chǎn)權代理有限公司 11470 | 代理人: | 楊蘭蘭 |
| 地址: | 510095 廣東省廣州*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 特權 賬號 異常 行為 分析 方法 | ||
1.一種特權賬號異常行為分析方法,其特征在于,包括如下步驟:
S100:在特權賬號管理系統(tǒng)上以錄屏的方式采集特權賬號的使用,生成第一特權賬號會話視頻數(shù)據(jù);
S200:從第一特權賬號會話視頻數(shù)據(jù)中,獲取特權賬號使用者的申請工單數(shù)據(jù)、身份數(shù)據(jù)及接入的IP地址數(shù)據(jù);
S300:根據(jù)會話視頻數(shù)據(jù)的第一行為特征,生成相應的第一行為特征庫;
所述第一行為特征包括使用原因、使用者身份、使用者的IP地址、特權賬號的操作日期和時間、特權賬號類型、操作的數(shù)據(jù)對象、數(shù)據(jù)修改前后的值;
所述第一行為特征庫,包括:使用原因數(shù)據(jù)庫A、身份數(shù)據(jù)庫B和使用者的IP地址數(shù)據(jù)庫C、特權賬號的操作日期和時間數(shù)據(jù)庫D、特權賬號類型數(shù)據(jù)庫E、操作的數(shù)據(jù)對象數(shù)據(jù)庫F和修改前后數(shù)據(jù)值數(shù)據(jù)庫G;
S400:對特權賬號會話視頻數(shù)據(jù)進行人工審計,對特權賬號行為的第二行為特征進行劃分,所述第二行為特征包括安全行為、威脅行為和疑似威脅行為;
S500:根據(jù)特權賬號會話視頻數(shù)據(jù)的第一行為特征和第二行為特征,對特權賬號會話視頻數(shù)據(jù)進行行為特征標簽的標注;
S600:建立核方法機器學習模型,通過隨機森林分析模型對不同數(shù)據(jù)特征進行各行為特征標簽的評估,訓練核方法機器學習模型學習特權賬號會話視頻數(shù)據(jù)的不同行為特征;
S700:對訓練好的核方法機器學習模型進行準確度評估,根據(jù)隨機森林模型各評估器的評分結果的誤差,優(yōu)化隨機森林模型各評估器的參數(shù);
S800:以錄屏方式實時采集特權賬號的使用,生成第二特權賬號會話視頻數(shù)據(jù)庫;
S900:使用訓練好的核方法機器學習模型,輸入第二特權賬號會話視頻數(shù)據(jù)庫中的數(shù)據(jù),檢測特權賬號的行為是否為威脅行為,并根據(jù)檢測結果采取相應措施。
2.根據(jù)權利要求1所述的特權賬號異常行為分析方法,其特征在于,步驟S600中對核方法機器學習模型的訓練包括如下步驟:
S601:導入第一行為特征庫和隨機森林分類模型模塊;
S602:對第一行為特征庫進行數(shù)據(jù)預處理,進行格式轉換及缺失值處理;
S603:對第一行為特征庫的各特征數(shù)據(jù)庫中的數(shù)據(jù)進行劃分,將一部分數(shù)據(jù)作為訓練樣本集,用于對核方法機器學習模型的訓練;將另一部分數(shù)據(jù)作為測試樣本集,用于對特權賬號的行為進行測試;
S604:使用Scikit-Learn工具包將各特征數(shù)據(jù)庫中的訓練樣本集數(shù)據(jù)導入隨機森林分類模型中對應于各行為特征的評估器類,分別對隨機森林分類模型各評估器的核方法機器學習模型進行訓練,直到各評估器對各自特征的檢測結果與第一行為特征庫中該特征的真實特征一致;
S605:分別獲取各特征數(shù)據(jù)庫的行為特征相關性特征矩陣和目標數(shù)組,確定各評估器的權重;
S606:根據(jù)確定的各評估器的權重及各評估器的評估結果,得到第一行為特征庫的檢測結果,并重復步驟S604到步驟S606,直到特征檢測結果與第一行為特征庫的真實特征一致,得到訓練好的核方法機器學習模型。
3.根據(jù)權利要求2所述的特權賬號異常行為分析方法,其特征在于,隨機森林模型的特征評估結果通過如下方法獲得:
使用sort voting算法獲取各評估器對特征行為預測的準確率;
通過各第一行為特征對特權行為的重要性分配各評估器的權重weights;
根據(jù)各評估器的權重參數(shù)weights及各評估器的預測概率得到整個隨機森林的預測結果。
4.根據(jù)權利要求2所述的特權賬號異常行為分析方法,其特征在于,隨機森林模型初始化參數(shù)為默認超參數(shù),使用第一行為特征所包含的特征數(shù)個決策樹,最多允許5層判別進行訓練。
5.根據(jù)權利要求2所述的特權賬號異常行為分析方法,其特征在于,步驟S602中的預處理包括如下步驟:
S6021:剔除特殊的異常數(shù)據(jù),統(tǒng)一數(shù)據(jù)格式,對于缺失值統(tǒng)一使用0補充;
S6022:使用One-Hot Encoding的方式對第一行為特征庫中的各特征數(shù)據(jù)庫中的數(shù)據(jù)進行處理,將其全部轉化為數(shù)字形式。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣州錦行網(wǎng)絡科技有限公司,未經(jīng)廣州錦行網(wǎng)絡科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011492061.6/1.html,轉載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06Q 專門適用于行政、商業(yè)、金融、管理、監(jiān)督或預測目的的數(shù)據(jù)處理系統(tǒng)或方法;其他類目不包含的專門適用于行政、商業(yè)、金融、管理、監(jiān)督或預測目的的處理系統(tǒng)或方法
G06Q40-00 金融;保險;稅務策略;公司或所得稅的處理
G06Q40-02 .銀行業(yè),例如,利息計算、信貸審批、抵押、家庭銀行或網(wǎng)上銀行
G06Q40-04 .交易,例如,股票、商品、金融衍生工具或貨幣兌換
G06Q40-06 .投資,例如,金融工具、資產(chǎn)組合管理或者基金管理
G06Q40-08 .保險,例如,風險分析或養(yǎng)老金
