本公开提供了一种用户行为分析方法、装置、电子设备及计算机存储介质,获取目标用户在目标内网中的待分析数据;将待分析数据转换为对应的特征向量;基于预先训练的异常检测模型对特征向量进行异常检测,得到待分析数据中的异常数据,和/或基于机器学习算法对特征向量进行检测,得到异常数据;基于异常数据生成目标用户的行为画像。本公开中,可以将目标用户在目标内网中的待分析数据转换为对应的特征向量且可以基于预先训练的异常检测模型对特征向量进行异常检测,得到待分析数据中的异常数据,和/或基于机器学习算法对特征向量进行检测,得到异常数据,实现了对待分析数据中的异常数据的准确检测,进而实现了准确对内网中的用户行为进行分析。中的用户行为进行分析。中的用户行为进行分析。
【技术实现步骤摘要】
用户行为分析方法、装置、电子设备及计算机存储介质
[0001]本公开涉及网络安全
,更具体地说,涉及用户行为分析方法、装置、电子设备及计算机存储介质。
技术介绍
[0002]当前,为了便于多个用户间进行相互通信,可以将多个用户纳入设置的内网(Local Area Network)中,使得多个用户借助内网进行通信。然而,由于内网中的计算机之间可以进行访问和通信,且可以进行资源共享等,所以内网的安全受到用户的影响,比如用户恶意传播加密文件、篡改涉密文件等的话,会造成内网的安全性降低。
[0003]为了保证内网的安全,可以基于特征知识库和规则匹配识别检测来对用户的行为进行检测,以此来判定内网是否安全;但是基于特征知识库和规则匹配识别检测的方式是一种非黑即白式的检测技术,对领域技术和知识有很强的依赖性,需要领域专家或者专业技术的支撑,且专家知识只能针对历史已发生的恶意特性或者事先能预知的特性来建立规则库,而用户行为的随机性和灵活性很高,专家很难事先预知,所以基于特征知识库和规则匹配识别检测的方式无法检测内网中用户触发的各种各样潜在的“合法”行为,容易出现漏检情况,难以保证内网的安全。
[0004]综上所述,如何准确对内网中的用户行为进行分析是目前本领域技术人员亟待解决的问题。
技术实现思路
[0005]本公开的目的是提供一种用户行为分析方法,其能在一定程度上解决如何准确对内网中的用户行为进行分析的技术问题。本公开还提供了一种用户行为分析装置、电子设备及计算机可读存储介质。
[0006]根据本公开实施例的第一方面,提供一种用户行为分析方法,包括:
[0007]获取目标用户在目标内网中的待分析数据;
[0008]将所述待分析数据转换为对应的特征向量;
[0009]基于预先训练的异常检测模型对所述特征向量进行异常检测,得到所述待分析数据中的异常数据,和/或基于机器学习算法对所述特征向量进行检测,得到所述异常数据;
[0010]基于所述异常数据生成所述目标用户的行为画像。
[0011]优选的,所述将所述待分析数据转换为对应的特征向量,包括:
[0012]对所述待分析数据进行范式化处理,得到处理结果;
[0013]将所述处理结果转换为对应的所述特征向量;
[0014]其中,所述范式化处理包括信息补全、属性统一映射、数据校验归并、关联整合、过滤、聚合、异常行为识别。
[0015]优选的,所述将所述处理结果转换为对应的所述特征向量,包括:
[0016]基于特征处理算子独热编码、和/或N
‑
Gram模型、和/或TF
‑
IDF模型、和/或预设特
征算子、和/或预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量,所述预设特征算子包括计数、方差、均值。
[0017]优选的,所述基于特征处理算子独热编码、和/或N
‑
Gram模型、和/或TF
‑
IDF模型、和/或预设特征算子、和/或预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量,包括:
[0018]基于所述特征处理算子独热编码对所述待分析数据中的枚举类型数据进行特征处理、转换,得到对应的所述特征向量;
[0019]和/或基于所述预设特征算子对所述待分析数据中的待聚合数据进行特征处理、转换,得到对应的所述特征向量;
[0020]和/或基于所述N
‑
Gram模型和所述TF
‑
IDF模型对所述待分析数据中的文本类字符串进行特征处理、转换,得到对应的所述特征向量;
[0021]和/或基于所述预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量。
[0022]优选的,所述基于预先训练的异常检测模型对所述特征向量进行异常检测,包括:
[0023]基于预先训练的所述异常检测模型对所述特征向量进行异常检测,所述异常检测模型包括基于时序算法和/或分类算法和/或统计分析算法生成的检测模型。
[0024]优选的,所述异常检测模型包括:
[0025]基于所述时序算法及所述统计分析算法搭建的、对所述待分析数据中的单维度时序数据进行异常检测的第一检测模型;
[0026]基于所述分类算法搭建的、对所述待分析数据中的多维有标签数据进行异常检测的第二检测模型,其中,所述分类算法包括SVM、xgboost。
[0027]优选的,所述基于机器学习算法对所述特征向量进行检测,包括:
[0028]基于所述机器学习算法对所述待分数据中多维无标签数据对应的所述特征向量进行检测,所述机器学习算法包括聚类算法、图算法。
[0029]优选的,所述待分析数据的类型包括用户行为信息、涉密信息流转数据、网络流量数据、用户自身信息、内网信息。
[0030]优选的,所述基于所述异常数据生成所述目标用户的行为画像,包括:
[0031]基于所述异常数据确定所述目标用户的异常行为类别及异常行为事件;
[0032]基于所述异常行为类别及所述异常行为事件生成所述行为画像。
[0033]优选的,所述异常行为类别包括登录异常、越权违规、操作违规、登录违规、履职异常、数据外发违规中的一个或多个;所述异常行为事件包括:违规降级打印数据、违规使用外设、国外地址登录、违规持有涉密文件、主机登录违规、数据库登录违规、违规访问涉密文件、非常用设备登录、频繁删除账号、频繁变更文件、进程控制违规、违规修改注册信息、非工作时间登录中的一个或多个。
[0034]根据本公开实施例的第二方面,提供一种用户行为分析装置,包括:
[0035]第一获取模块,用于获取目标用户在目标内网中的待分析数据;
[0036]第一转换模块,用于将所述待分析数据转换为对应的特征向量;
[0037]第一检测模块,用于基于预先训练的异常检测模型对所述特征向量进行异常检测,得到所述待分析数据中的异常数据,和/或基于机器学习算法对所述特征向量进行检
测,得到所述异常数据;
[0038]第一生成模块,用于基于所述异常数据生成所述目标用户的行为画像。
[0039]根据本公开实施例的第三方面,提供一种电子设备,包括:
[0040]存储器,用于存储计算机程序;
[0041]处理器,用于执行所述存储器中的所述计算机程序,以实现如上任一所述方法的步骤。
[0042]根据本公开实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述方法的步骤。
[0043]本公开提供的一种用户行为分析方法,获取目标用户在目标内网中的待分析数据;将待分析数据转换为对应的特征向量;基于预先训练的异常检测模型对特征向量进行异常检测,得到待分析数据中的异常数据,和/或基于机器学习算法对特征向量进行检测,得到异常数据;基于异常数据生成目标用户本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用户行为分析方法,其特征在于,包括:获取目标用户在目标内网中的待分析数据;将所述待分析数据转换为对应的特征向量;基于预先训练的异常检测模型对所述特征向量进行异常检测,得到所述待分析数据中的异常数据,和/或基于机器学习算法对所述特征向量进行检测,得到所述异常数据;基于所述异常数据生成所述目标用户的行为画像。2.根据权利要求1所述的方法,其特征在于,所述将所述待分析数据转换为对应的特征向量,包括:对所述待分析数据进行范式化处理,得到处理结果;将所述处理结果转换为对应的所述特征向量;其中,所述范式化处理包括信息补全、属性统一映射、数据校验归并、关联整合、过滤、聚合、异常行为识别。3.根据权利要求2所述的方法,其特征在于,所述将所述处理结果转换为对应的所述特征向量,包括:基于特征处理算子独热编码、和/或N
‑
Gram模型、和/或TF
‑
IDF模型、和/或预设特征算子、和/或预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量,所述预设特征算子包括计数、方差、均值。4.根据权利要求3所述的方法,其特征在于,所述基于特征处理算子独热编码、和/或N
‑
Gram模型、和/或TF
‑
IDF模型、和/或预设特征算子、和/或预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量,包括:基于所述特征处理算子独热编码对所述待分析数据中的枚举类型数据进行特征处理、转换,得到对应的所述特征向量;和/或基于所述预设特征算子对所述待分析数据中的待聚合数据进行特征处理、转换,得到对应的所述特征向量;和/或基于所述N
‑
Gram模型和所述TF
‑
IDF模型对所述待分析数据中的文本类字符串进行特征处理、转换,得到对应的所述特征向量;和/或基于所述预设算法对所述处理结果进行特征处理、转换,得到对应的所述特征向量。5.根据权利要求1所述的方法,其特征在于,所述基于预先训练的异常检测模型对所述特征向量进行异常检测,包括:基于预先训练的所述异常检测模型对所述特征向量进行异常检测,所述异常检测模型包括基于时序算法和/或分类算法和/或统计分析算法生成的检测模型。6.根据权利要求...
【专利技术属性】
技术研发人员:王亮,朱豪杰,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。