本发明专利技术提供一种用户行为序列异常检测方法、终端及存储介质,获取预设时间段用户行为信息;将特征属性进行聚合顺序;将用户预设时间段内的行为配置成行向量,再形成行为行向量时间序列;提取任意两个用户的行为行向量时间序列,计算相关系数,并判断向量相似度;采用动态规整算法查找两个用户的行为行向量时间序列的最优距离;计算所有用户之间的距离平均值和标准差;如有用户与其他用户间的距离大于平均值的+3倍标准差,则判断所述用户为异常用户。本发明专利技术可以分析用户行为细节,克服用户由于未有连续行为造成无法生成特征矩阵,序列长度不一致的问题,降低异常检测的误报率。使得可以识别掩藏在群组内部的异常行为,保障数据信息的安全性。
【技术实现步骤摘要】
一种用户行为序列异常检测方法、终端及存储介质
本专利技术涉及数据处理
,尤其涉及一种基于用户行为序列相似度的异常检测方法、终端及存储介质。
技术介绍
随着科技不断的发展,数据信息已成为当前重要的载体。数据信息承载着企业的信息,用户的信息,交易的信息以及通信的信息。数据信息对每个人每个企业均具有十分重要的作用。数据信息的异常问题是当前需要重视的问题。对于数据异常问题,基于大数据挖掘的流量分析可以动态全面地寻找内网中的恶意行为。而现有技术中的IPS/IDS,也就是入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。现有技术中还涉及NTA,也就是流量异常分析方式,这两种方式均是基于规则匹配和预设统计阈值的方法,无法识别掩藏在群组内部的异常行为,这样导致数据信息的安全性无法保障。
技术实现思路
为了克服上述现有技术中的不足,提高检测内网中群组内部异常行为的准确率,本专利技术提供一种用户行为序列异常检测方法,本方法的特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。方法包括:获取预设时间段用户行为信息;基于访问地址信息将预设时间段内的特征属性进行聚合;将预设时间段内的行为矩阵按照时间进行顺序;将用户预设时间段内的行为配置成行向量,再基于时间顺序形成行为行向量时间序列;提取任意两个用户的行为行向量时间序列,计算两个用户之间的相关系数,并判断两用户在预设时间段内预设时间节点上的向量相似度;在预设时间段内,采用动态规整算法查找两个用户的行为行向量时间序列的最优距离;基于上述方式得到的最优距离,计算所有用户之间的距离平均值和标准差;在预设时间段内,如有用户与其他用户间的距离大于平均值的+3倍标准差,则判断所述用户为异常用户,并写入到异常用户列表中。进一步需要说明的是,获取异常用户列表中的异常用户与正常用户之间的相似度;如果相似度大于平均值-3倍标准差,且正常用户数占比超过90%,则所述异常用户变更为正常用户,否则确定为异常用户。进一步需要说明的是,步骤获取预设时间段用户行为信息之前还包括:基于内网用户,获取预设时间段内访问目标服务器的行为信息。进一步需要说明的是,所述访问目标服务器的行为信息包括:内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。进一步需要说明的是,在预设时间段内,统计与内网用户连接过的目标服务器,并形成目标服务器IP列表;统计内网用户与每个目标服务器连接时,分别产生的上下行流量总和以及分别与每个目标服务器连接的总频次。进一步需要说明的是,在预设时间段内,统计内网用户每次连接目标服务器连接的总时长以及与目标服务器最后一次连接时间距离当前时间的时长,并配置活跃度;在预设时间段内,统计内网用户与目标服务器连接使用的应用层协议种类数。进一步需要说明的是,计算两个用户之间的相关系数方式为:基于上述公式分别计算两个用户在每个时间节点上的相关系数。进一步需要说明的是,采用动态规整算法计算两个用户的行为行向量时间序列最优距离的计算方式为:γ(i,j)=d(qi,cj)+max{γ(i-1,j-1),γ(i-1,j),γ(i,j-1)}。本专利技术还提供一种实现用户行为序列异常检测方法的终端设备,包括:存储器,用于存储计算机程序及用户行为序列异常检测方法;处理器,用于执行所述计算机程序及用户行为序列异常检测方法,以实现用户行为序列异常检测方法的步骤。本专利技术还提供一种具有用户行为序列异常检测方法的可读存储介质,可读存储介质上存储有计算机程序,所述计算机程序被处理器执行以实现用户行为序列异常检测方法的步骤。从以上技术方案可以看出,本专利技术具有以下优点:本专利技术步骤清晰、复用率高:因为流量数据的特性,可以提取出高频共用的规则为行为提取特征,实现复用,例如时间、协议、流量字节以及连接频次等等,基于时间的扩展度高。本专利技术方法可以应用于内网群组中异常检测的场景中。基于相似度的离群点检测可以帮助企业或政府组织安全分析人员快速定位异常用户,脱离传统安全工具的规则限制,主动识别用户行为的规律。本专利技术还原业务场景种类多,克服痛点多。在现实场景下,能够从用户每天的行为特征入手去衡量用户之间的相似程度,可以满足全面分析用户行为细节的需求,克服用户由于出差、休假、或在预设时间段内未有连续行为等因素造成的没有工作而无法生成特征矩阵,造成的序列长度不一致的问题,大大降低了异常检测的误报率。使得可以识别掩藏在群组内部的异常行为,保障数据信息的安全性。附图说明为了更清楚地说明本专利技术的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为基于用户行为序列相似度的异常检测方法流程图;图2为基于用户行为序列相似度的异常检测方法架构示例图;图3为基于用户行为序列相似度的异常检测方法实施例流程图。具体实施方式本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本专利技术的范围。本专利技术为了提高检测内网中群组内部异常行为的准确率,提供一种用户行为序列异常检测方法,如图1所示。方法按照预定的方法读取相关信息,统计所述时间内用户的行为量化。本专利技术基于终端处理器的数据处理,通过读取存储在可读存储设备中的代码指令,执行相似度的运算,对群组内部行为特征离群点的检测。本专利技术涉及的用户是内网用户。内网用户指的是在局域网,或单位办公网而建立的网络。当然内网也可以与外网进行连接。当然也可以是基于光纤专到单体楼、一个社区、或者一个办公区等地域范围比较大基于以太网技术的于内网。在内网中的系统架构100可以包括终端设备101、102、103中的一种或多种,网络104和服务器105。通信网络104是用以在终端设备101、102、103和服务器105之间提供通信链路的介质。通信网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。应该理解,图2中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。比如服务器105可以是多个服务器组成的服务器集群等。需要说明的本文档来自技高网...
【技术保护点】
1.一种用户行为序列异常检测方法,其特征在于,方法包括:/n获取预设时间段用户行为信息;/n基于访问地址信息将预设时间段内的特征属性进行聚合;/n将预设时间段内的行为矩阵按照时间进行顺序;将用户预设时间段内的行为配置成行向量,再基于时间顺序形成行为行向量时间序列;/n提取任意两个用户的行为行向量时间序列,计算两个用户之间的相关系数,并判断两用户在预设时间段内预设时间节点上的向量相似度;/n在预设时间段内,采用动态规整算法查找两个用户的行为行向量时间序列的最优距离;/n基于上述方式得到的最优距离,计算所有用户之间的距离平均值和标准差;/n在预设时间段内,如有用户与其他用户间的距离大于平均值的+3倍标准差,则判断所述用户为异常用户,并写入到异常用户列表中。/n
【技术特征摘要】
1.一种用户行为序列异常检测方法,其特征在于,方法包括:
获取预设时间段用户行为信息;
基于访问地址信息将预设时间段内的特征属性进行聚合;
将预设时间段内的行为矩阵按照时间进行顺序;将用户预设时间段内的行为配置成行向量,再基于时间顺序形成行为行向量时间序列;
提取任意两个用户的行为行向量时间序列,计算两个用户之间的相关系数,并判断两用户在预设时间段内预设时间节点上的向量相似度;
在预设时间段内,采用动态规整算法查找两个用户的行为行向量时间序列的最优距离;
基于上述方式得到的最优距离,计算所有用户之间的距离平均值和标准差;
在预设时间段内,如有用户与其他用户间的距离大于平均值的+3倍标准差,则判断所述用户为异常用户,并写入到异常用户列表中。
2.根据权利要求1所述的用户行为序列异常检测方法,其特征在于,
获取异常用户列表中的异常用户与正常用户之间的相似度;
如果相似度大于平均值-3倍标准差,且正常用户数占比超过90%,则所述异常用户变更为正常用户,否则确定为异常用户。
3.根据权利要求1所述的用户行为序列异常检测方法,其特征在于,
步骤获取预设时间段用户行为信息之前还包括:
基于内网用户,获取预设时间段内访问目标服务器的行为信息。
4.根据权利要求3所述的用户行为序列异常检测方法,其特征在于,
所述访问目标服务器的行为信息包括:内网用户访问每个目标服务器产生的流量信息、时间信息以及所属应用协议的信息。
5.根据权利要求3所述的用户行为序列异常检测方法,其特征在于,
在预设时...
【专利技术属性】
技术研发人员:邹斯达,李兴国,苗功勋,路冰,孙宁,
申请(专利权)人:中孚安全技术有限公司,中孚信息股份有限公司,北京中孚泰和科技发展股份有限公司,南京中孚信息技术有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。