[發明專利]一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法在審
| 申請號: | 202310040216.X | 申請日: | 2023-01-12 |
| 公開(公告)號: | CN116248362A | 公開(公告)日: | 2023-06-09 |
| 發明(設計)人: | 趙磊;鄒云峰;徐超 | 申請(專利權)人: | 國網江蘇省電力有限公司營銷服務中心;國網江蘇省電力有限公司;國家電網有限公司 |
| 主分類號: | H04L9/40 | 分類號: | H04L9/40 |
| 代理公司: | 北京智繪未來專利代理事務所(普通合伙) 11689 | 代理人: | 王萍 |
| 地址: | 210019 江*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 雙層 隱馬爾可夫鏈 用戶 異常 網絡 訪問 行為 識別 方法 | ||
1.一種基于雙層隱馬爾可夫鏈的用戶異常網絡訪問行為識別方法,其特征在于,包括以下步驟:
步驟1,采集全量的歷史用戶訪問行為數據,分解行為數據,形成訓練樣本;
步驟2,基于訓練樣本進行數據訓練,得到用戶行為的行為模型;
步驟3,基于用戶訪問行為特征進行雙層馬爾科夫鏈建模,利用所述用戶行為的行為模型對實時網絡用戶行為進行檢測,識別出異常用戶;
步驟4,對所述異常用戶訪問操作用戶行為進行持續追蹤;
步驟5,對異常用戶行為進行識別。
2.根據權利要求1所述的方法,其中,所述步驟1,采集全量的歷史用戶訪問行為數據,分解行為數據,形成訓練樣本,具體包括:
步驟1-1,網絡探針提取全量的歷史用戶訪問行為數據,所述行為數據是所有訪問用戶行為數據的總集合;
步驟1-2,用戶行為分析器對比不同時間段的訪問用戶,去除偶發的用戶訪問用戶行為;
步驟1-3,用戶行為分析器統計所有數據中相同的訪問用戶。
3.根據權利要求2所述的方法,其中,所述網絡探針部署在網關入口的中間件服務器上,以插件形式按照旁路方式部署。
4.根據權利要求2所述的方法,其中,所述行為數據總集合包括用戶訪問時間、頁面點擊菜單順序、頁面停留時間;所述頁面停留時間為用戶從訪問到關閉網站頁面/訪問下一個網站頁面的時間。
5.根據權利要求1所述的方法,其中,所述步驟2,基于訓練樣本進行數據訓練,得到用戶行為的行為模型,根據異常業務訪問行為的特點,每一個異常業務訪問行為事件可以由若干網絡攻擊動作來描述,每個網絡攻擊動作則有則是由一組異常行為的數據時間序列構成。因此我們可以構建一個雙層隱馬爾可夫鏈模型來描述大時間跨度的異常業務訪問行為特征。具體包括:
步驟2-1,生成業務所有訪問操作集合;
步驟2-2,統計用戶行為訓練樣本中用戶前N個操作;
步驟2-3,生成雙層馬爾科夫鏈,構建用戶正常行為行為模型結構及估計模型參數;
步驟2-4,對用戶N+1步的操作進行預測,并與訓練樣本中用戶實際N+1步操作比較,修正所述的模型結構及模型參數;
步驟2-5,得到訓練后的用戶行為狀態轉移矩陣。
6.根據權利要求1所述的方法,其中,所述步驟4,對所述異常用戶訪問操作用戶行為進行持續追蹤,具體包括:
步驟6-1,將所述異常用戶標記到告警清單;
步驟6-2,對于標記到告警清單的用戶,持續記錄其訪問用戶行為,在長時間內對用戶行為預測。
7.根據權利要求1所述的方法,其中,所述步驟5,對異常用戶行為進行識別,具體包括:識別所述訪問用戶行為是否異常,并判斷所述訪問操作間隔是否呈現正態分布,若所述訪問用戶行為異常且所述訪問操作間隔未呈現正態分布,標記該用戶的訪問用戶行為為異常用戶行為。
8.一種異常用戶行為識別系統,其特征在于,包括:
采集單元,用于采集全量的歷史用戶訪問行為數據,分解行為數據,形成訓練樣本;
訓練單元,用于基于訓練樣本進行數據訓練,得到用戶行為的行為模型;
學習單元,用于基于用戶訪問行為特征進行雙層馬爾科夫鏈建模,利用所述用戶行為的行為模型對實時網絡用戶行為進行檢測,識別出異常用戶;
追蹤單元,用于對所述異常用戶訪問操作用戶行為進行持續追蹤;
識別單元,用于對異常用戶行為進行識別。
9.根據權利要求8所述的系統,其中,所述采集單元,用于采集全量的歷史用戶訪問行為數據,分解行為數據,形成訓練樣本,具體包括:
提取子單元,用于網絡探針提取全量的歷史用戶訪問行為數據,所述行為數據是所有訪問用戶行為數據的總集合;
預處理單元,用于用戶行為分析器對比不同時間段的訪問用戶,去除偶發的用戶訪問用戶行為;
統計單元,用于用戶行為分析器統計所有數據中相同的訪問用戶。
10.根據權利要求8所述的系統,其中,所述識別單元,用于對異常用戶行為進行識別,具體包括:識別所述訪問用戶行為是否異常,并判斷所述訪問操作間隔是否呈現正態分布,若所述訪問用戶行為異常且所述訪問操作間隔未呈現正態分布,標記該用戶的訪問用戶行為為異常用戶行為。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國網江蘇省電力有限公司營銷服務中心;國網江蘇省電力有限公司;國家電網有限公司,未經國網江蘇省電力有限公司營銷服務中心;國網江蘇省電力有限公司;國家電網有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310040216.X/1.html,轉載請聲明來源鉆瓜專利網。
