本發明公開了一種基于自適應滑動窗口GAN的用戶行為安全檢測方法，利用Spark平臺對獲取的用戶數據進行并行化處理，并使用GAN分別訓練不同時間窗口下的正常用戶行為模型；利用當前窗口長度處理獲取的待檢測數據，并將當前時刻的所述待檢測數據與上一時刻數據做屬性相似度計算；利用所述正常用戶行為模型根據計算出的相似度值進行檢測，并將得到的異常評分與設定的閾值進行比較，判斷當前時間段是否正常，使用GAN作為無監督的異常行為檢測器，結合使用自適應滑動窗口技術對時序數據進行處理，提高了檢測準確率。

技術領域

本發明涉及用戶行為異常檢測技術領域，尤其涉及一種基于自適應滑動窗口GAN的用戶行為安全檢測方法。

背景技術

隨著現在對于網絡安全尤其是內部用戶安全行為檢測的重視程度不斷加深，用戶行為安全檢測技術也在不斷地進步。在現實網絡環境中，用戶行為數據存在數據量少、樣本不均衡的問題，傳統的異常檢測方法無法有效運用于用戶行為異常檢測，并且在時間序列的檢測中，傳統的檢測方法中使用固定長度時間窗口，由于數據流的不可預測的變化性質，這種先驗知識不容易確定，降低檢測準確率。

發明內容

本發明的目的在于提供一種基于自適應滑動窗口GAN的用戶行為安全檢測方法，提高檢測準確率。

為實現上述目的，本發明提供了一種基于自適應滑動窗口GAN的用戶行為安全檢測方法，包括以下步驟：

利用Spark平臺對獲取的用戶數據進行并行化處理，并使用GAN分別訓練不同時間窗口下的正常用戶行為模型；

利用當前窗口長度處理獲取的待檢測數據，并將當前時刻的所述待檢測數據與上一時刻數據做屬性相似度計算；

利用所述正常用戶行為模型根據計算出的相似度值進行檢測，并將得到的異常評分與設定的閾值進行比較，判斷當前時間段是否正常。

其中，利用Spark平臺對獲取的用戶數據進行并行化處理，并使用GAN分別訓練不同時間窗口下的正常用戶行為模型，包括：

利用Spark平臺對獲取的用戶數據進行并行化處理，并獨一每個所述用戶數據進行屬性提取和歸一化處理；

基于設定的數據時間段，構建對應的訓練集，并基于所述訓練集，利用GAN 分別對時間窗口長度為1、2、3、4、5的正常用戶行為模型。

其中，利用當前窗口長度處理獲取的待檢測數據，并將當前時刻的所述待檢測數據與上一時刻數據做屬性相似度計算，包括：

獲取待檢測數據，并對得到待檢測數據進行歸一化處理，并初始化當前時間窗口大小為1；

基于當前所述時間窗口的長度對所述待檢測數據進行劃分；

基于當前時刻的所述待檢測數據對應的矩陣以及上一時刻對應的矩陣，將兩個矩陣展平成向量，基于兩個所述向量的乘積除以模長，得到對應的屬性相似度。

其中，利用所述正常用戶行為模型根據計算出的相似度值進行檢測，并將得到的異常評分與設定的閾值進行比較，判斷當前時間段是否正常，包括：

基于當前所述時間窗口的長度，將所述屬性相似度與設定的閾值進行比較；

若所述屬性相似度小于設定的所述閾值，則分別計算從當前所述時間窗口大小遞減到1時的各個屬性相似度，并選取設定的所述屬性相似度對應的的窗口大小處理所述待檢測數據，以及利用對應的所述正常用戶行為模型進行異常檢測；

若所述屬性相似度大于設定的所述閾值，則以當前所述時間窗口大小處理所述待檢測數據，并利用對應的所述正常用戶行為模型進行異常檢測，同時將當前所述時間窗口大小加1。

其中，利用對應的所述正常用戶行為模型進行異常檢測之后，所述方法還包括：