异常用户的识别方法及装置、非易失性存储介质制造方法及图纸

本申请公开了一种异常用户的识别方法及装置、非易失性存储介质。其中，该方法包括：根据用户账号与系统接口之间的关系数据，确定用户账号的图数据；根据图数据中的节点、边和权重，对图数据对应的用户账号进行分组，得到多个账号组；根据多个账号组中每个账号组中用户账号的特征，确定多个账号组分别对应的异常行为评分；从多个账号组分别对应的异常行为评分中确定位于预设取值范围内的目标异常行为评分，并将目标异常行为评分对应的账户组中的用户账号确定为异常用户账号。本申请解决了由于相关的异常用户的识别方法依赖于无法及时更新的预设专家经验数据库，造成的无法准确地识别异常用户的技术问题。别异常用户的技术问题。别异常用户的技术问题。

【技术实现步骤摘要】
异常用户的识别方法及装置、非易失性存储介质


[0001]本申请涉及计算机信息安全领域，具体而言，涉及一种异常用户的识别方法及装置、非易失性存储介质。

技术介绍

[0002]相关的针对系统用户是否产生异常行为的识别方法，大多基于采集和整合当前系统的系统侧数据，统一提交到管理端，由管理端基于自身的相关规则和特定行为判定当前系统用户行为是否正常、是否存在安全风险性或异常操作行为。由于相关识别方法依赖于自有的匹配规则及策略，导致在识别过程中往往出现大量误报、漏报的情况，在用户整体行为风险判断往往处于劣势；同时，由于相关识别方法对异常行为的判定是基于规则的，而该规则通常是通过专家经验整理的规则集合，导致目前相关的异常用户识别方法不能够有效地识别未知的异常行为。
[0003]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0004]本申请实施例提供了一种异常用户的识别方法及装置、非易失性存储介质，以至少解决由于相关的异常用户的识别方法依赖于无法及时更新的预设专家经验数据库，造成的无法准确地识别异常用户的技术问题。
[0005]根据本申请实施例的一个方面，提供了一种异常用户的识别方法，包括：根据用户账号与系统接口之间的关系数据，确定用户账号的图数据，其中，图数据以用户账号为节点、以用户账号之间的关系为边、以多个用户账号调用相同的系统接口的数量为权重；根据图数据中的节点、边和权重，对图数据对应的用户账号进行分组，得到多个账号组；根据多个账号组中每个账号组中用户账号的特征，确定多个账号组分别对应的异常行为评分；从多个账号组分别对应的异常行为评分中确定位于预设取值范围内的目标异常行为评分，并将目标异常行为评分对应的账户组中的用户账号确定为异常用户账号。
[0006]可选地，根据用户账号与系统接口之间的关系数据，确定用户账号的图数据之前，方法还包括：获取预设时长内系统接口所调用的日志数据，其中，日志数据至少包括：用户账号、用户登录时间和系统接口的身份识别信息；对日志数据中的用户账号进行去重处理，得到日志数据中用户账号的第一数量；对日志数据中系统接口的身份识别信息对应的用户账号进行去重处理，得到系统接口对应的用户账号的第二数量；在第一数量与第二数量满足预设关系的情况下，将第二数量对应的系统接口确定为目标系统接口；在日志数据中去除目标系统接口对应的数据，得到第一数据；在第一数据中，分别以用户账号和系统接口的身份识别信息为节点，以用户账号与系统接口之间的调用关系为边，确定用户账号与系统接口之间的关系数据。
[0007]可选地，根据图数据中的节点、边和权重，对图数据对应的用户账号进行分组，得到多个账号组，包括：步骤S301，确定将第一节点自第一节点所在的第一节点集合移动至多
个第二节点集合的多个第一模块度变化值，其中，第一节点集合与多个第二节点集合为相邻的节点集合，模块度变化值由多个第二节点集合中图数据中的节点、边和权重确定；步骤S302，对第一模块度变化值进行排序，得到第一排序结果；步骤S303，将第一节点分配至第一排序结果中第一目标模块度变化值对应的节点集合，得到多个第一目标节点集合，其中，第一目标模块度变化值为第一模块度变化值中的最大值；步骤S304，重复执行步骤S301至步骤S303，直至连续两次的第一目标模块度变化值为同一值，得到多个第二目标节点集合；步骤S305，根据多个第二目标节点集合，确定多个账号组。
[0008]可选地，根据多个第二目标节点集合，确定多个账号组，包括：步骤S30501，将多个第二目标节点集合中每个节点集合中的全部节点合并为第二节点，其中，第二节点的边权重为多个节点集合之间的边权重；步骤S30502，确定将第二节点自第二节点所在的第三节点集合移动至多个第四节点集合的多个第二模块度变化值，其中，第三节点集合与多个第四节点集合为相邻的节点集合；步骤S30503，对第二模块度变化值进行排序，得到第二排序结果；步骤S30504，将第二节点分配至第二排序结果中第二目标模块度变化值对应的节点集合，得到多个第三目标节点集合，其中，第二目标模块度变化值为第二模块度变化值中的最大值；步骤S30505，重复执行步骤S30502至步骤S30504，直至连续两次的第二目标模块度变化值为同一值，得到多个第四目标节点集合；步骤S30506，将多个第四目标节点集合确定为多个账号组。
[0009]可选地，根据多个账号组中每个账号组中用户账号的特征，确定多个账号组分别对应的异常行为评分，包括：步骤S501，对每个账号组中用户账号的每个特征对应的时间序列，进行离散化处理，得到多个第一时间序列；步骤S502，对多个第一时间序列进行排序，得到多个第二时间序列；步骤S503，将多个第二时间序列中数量为N/k的连续时间序列依次置入目标容器，其中，N为多个第二时间序列的数量，k为目标容器的数量，目标容器的面积为N/k，目标容器的宽度根据第一数值和第二数值确定，第一数值为第一个置入目标容器的时间序列所对应的数值，第二数值为第二个置入目标容器的时间序列所对应的数值；步骤S504，重复执行步骤S503，直至将多个第二时间序列全部置入目标容器；步骤S505，根据目标容器的面积和宽度，计算目标容器的高度，其中，目标容器的高度用于表征目标容器内的数据密度；步骤S506，根据用户账号的特征数量和目标容器的高度，确定多个账号组中每个账号组的异常行为评分，其中，异常行为评分与异常程度成正比。
[0010]可选地，特征至少包括：第一特征、第二特征和第三特征，其中，第一特征至少包括：调用系统接口的数量、系统接口的类型数据、平均调用系统接口的时间间隔；第二特征至少包括：会话的数量、会话的平均时长、每个会话多次调用系统接口的时间间隔；第三特征至少包括：每个用户账号对不同的系统接口的调用频次。
[0011]可选地，将目标异常行为评分对应的账户组中的用户账号确定为异常用户账号之后，方法还包括：生成基于异常用户账号的告警信息，并将告警信息存储到服务器的数据库中；通过以下至少之一形式，将告警信息发送至目标对象对应的终端设备：短消息、电子邮件和系统推送。
[0012]根据本申请实施例的再一方面，还提供了一种异常用户的识别装置，包括：第一确定模块，用于根据用户账号与系统接口之间的关系数据，确定用户账号的图数据，其中，图数据以用户账号为节点、以用户账号之间的关系为边、以多个用户账号调用相同的系统接
口的数量为权重；分组模块，用于根据图数据中的节点、边和权重，对图数据对应的用户账号进行分组，得到多个账号组；第二确定模块，用于根据多个账号组中每个账号组中用户账号的特征，确定多个账号组分别对应的异常行为评分；第三确定模块，用于从多个账号组分别对应的异常行为评分中确定位于预设取值范围内的目标异常行为评分，并将目标异常行为评分对应的账户组中的用户账号确定为异常用户账号。
[0013]根据本申请实施例的再一方面，还提供了一种非易失性存储介质，存储介质包括存储的程序，其中，程序运行时控制存储介质所在的设备执行以上的异常用本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常用户的识别方法，其特征在于，包括：根据用户账号与系统接口之间的关系数据，确定所述用户账号的图数据，其中，所述图数据以所述用户账号为节点、以所述用户账号之间的关系为边、以多个所述用户账号调用相同的所述系统接口的数量为权重；根据所述图数据中的所述节点、所述边和所述权重，对所述图数据对应的所述用户账号进行分组，得到多个账号组；根据所述多个账号组中每个账号组中所述用户账号的特征，确定所述多个账号组分别对应的异常行为评分；从所述多个账号组分别对应的异常行为评分中确定位于预设取值范围内的目标异常行为评分，并将所述目标异常行为评分对应的账户组中的所述用户账号确定为异常用户账号。2.根据权利要求1所述的方法，其特征在于，根据用户账号与系统接口之间的关系数据，确定所述用户账号的图数据之前，所述方法还包括：获取预设时长内所述系统接口所调用的日志数据，其中，所述日志数据至少包括：所述用户账号、用户登录时间和所述系统接口的身份识别信息；对所述日志数据中的所述用户账号进行去重处理，得到所述日志数据中所述用户账号的第一数量；对所述日志数据中所述系统接口的身份识别信息对应的所述用户账号进行去重处理，得到所述系统接口对应的所述用户账号的第二数量；在所述第一数量与所述第二数量满足预设关系的情况下，将所述第二数量对应的所述系统接口确定为目标系统接口；在所述日志数据中去除所述目标系统接口对应的数据，得到第一数据；在所述第一数据中，分别以所述用户账号和所述系统接口的身份识别信息为节点，以所述用户账号与所述系统接口之间的调用关系为边，确定所述用户账号与所述系统接口之间的所述关系数据。3.根据权利要求1所述的方法，其特征在于，根据所述图数据中的所述节点、所述边和所述权重，对所述图数据对应的所述用户账号进行分组，得到多个账号组，包括：步骤S301，确定将第一节点自所述第一节点所在的第一节点集合移动至多个第二节点集合的多个第一模块度变化值，其中，所述第一节点集合与所述多个第二节点集合为相邻的节点集合，所述模块度变化值由所述多个第二节点集合中所述图数据中的所述节点、所述边和所述权重确定；步骤S302，对所述第一模块度变化值进行排序，得到第一排序结果；步骤S303，将所述第一节点分配至所述第一排序结果中第一目标模块度变化值对应的节点集合，得到多个第一目标节点集合，其中，所述第一目标模块度变化值为所述第一模块度变化值中的最大值；步骤S304，重复执行所述步骤S301至所述步骤S303，直至连续两次的所述第一目标模块度变化值为同一值，得到多个第二目标节点集合；步骤S305，根据所述多个第二目标节点集合，确定所述多个账号组。4.根据权利要求3所述的方法，其特征在于，根据所述多个第二目标节点集合，确定所
述多个账号组，包括：步骤S30501，将所述多个第二目标节点集合中每个节点集合中的全部节点合并为第二节点，其中，所述第二节点的边权重为所述多个节点集合之间的边权重；步骤S30502，确定将所述第二节点自所述第二节点所在的第三节点集合移动至多个第四节点集合的多个第二模块度变化值，其中，所述第三节点集合与所述多个第四节点集合为相邻的节点集合；步骤S30503，对所述第二模块度变化值进行排序，得到第二排序结果；步骤S30504，将所述第二节点分配至所述第二排序结果中第二目标模块度变化值对应的节点集合，得到多个第三目标节点集合，其中，所述第二目标模块度变化值为所述第二模块度变化值中的最大值；步骤S305...

【专利技术属性】
技术研发人员：陈诚，邓宗元，汤建强，董晓军，周一峰，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：