【技术实现步骤摘要】
本专利技术网络技术与安全,尤其涉及一种异常行为检测方法、装置、可读介质及电子设备。
技术介绍
1、用户行为以零信任用户行为为例,其中,零信任指的是持续验证,永不信任,零信任代表了新一代的网络安全防护理念。零信任基于身份认证和动态授权构建访问控制的信任基础,基于零信任原则,可以保障办公系统的终端安全、链路安全和访问控制安全。在零信任理念中,所有的用户和设备都被视为潜在的不可信任,因此需要对用户的行为进行实时监测和动态评估,通过检测用户行为中的异常活动,以保护敏感数据资产和企业系统安全。
2、由于传统的用户行为异常检测方法过于局限,无法适应复杂和多样化的用户行为模式,当用户行为超出预设规则范围时,会导致检测结果不准确。
技术实现思路
1、鉴于以上现有技术的不足,专利技术的目的在于提供一种异常行为检测方法、装置、可读介质及电子设备,提高了异常行为检测结果的准确性。
2、根据本申请实施例的一个方面,提供一种异常行为检测方法,包括:
3、获取用户日志信息,所述用户日志信息至少包括用户的登录日志、客户端信息日志以及网关访问日志;
4、根据所述用户日志信息的日志类型将所述用户日志信息映射到灰度图像的像素值范围内,以得到三原色图像信息;
5、将所述三原色图像信息输入预先构建的检测模型,通过所述检测模型以检测得到用户行为是否为异常行为。
6、根据本申请实施例的一个方面,提供一种异常行为检测装置,所述装置包括:
7、获
8、映射模块,用于根据所述用户日志信息的日志类型将所述用户日志信息映射到灰度图像的像素值范围内,以得到三原色图像信息;
9、分类模块,用于将所述三原色图像信息输入预先构建的检测模型,通过所述检测模型以检测得到用户行为是否为异常行为。
10、在本申请的一些实施例中,基于以上技术方案,所述映射模块还用于,根据所述用户日志信息的日志类型从所述用户日志信息中提取与所述日志类型对应的字段特征;将与所述日志类型对应的字段特征映射到灰度图像的像素值范围内,得到设定范围内的特征像素值;将所述特征像素值中与网关访问行为对应的特征像素值填充到红色像素通道,将所述特征像素值中与终端行为对应的特征像素值填充到绿色像素通道,以及将所述特征像素值中与登录行为对应的特征像素值填充到蓝色像素通道,以得到三原色图像信息。
11、在本申请的一些实施例中,基于以上技术方案,所述映射模块还用于,若所述日志类型为字符串类型,则采用特征编码的方式或者字符n元模型编码的方式,将与所述字符串类型对应的字段特征转换为设定范围内的特征像素值。
12、在本申请的一些实施例中,基于以上技术方案,所述映射模块还用于,若采用特征编码的方式,则将与所述字符串类型对应的字段特征中每个字符的信息交换标准代码值进行相加,得到累加结果;计算所述累加结果与所述字段特征中字符串的长度之间的比值,并将所述比值映射到设定范围内的特征像素值,得到所述特征像素值。
13、在本申请的一些实施例中,基于以上技术方案,所述映射模块还用于,若采用字符n元模型编码的方式,则将与所述字符串类型对应的字段特征中的字符串分割为连续的n个字符的片段;分别对一个n个字符的片段进行特征编码,并将编码后的片段映射为一个数值,得到多个字符片段对应的特征编码结果;将多个字符片段对应的特征编码结果进行累加并取平均值,将所述平均值映射到设定范围内的特征像素值,得到所述特征像素值。
14、在本申请的一些实施例中,基于以上技术方案,所述映射模块还用于,若所述日志类型为数值类型,则采用线性归一化方式或者比例缩放方式,将与数值类型的对应的字段特征映射到设定范围内的特征像素值。
15、在本申请的一些实施例中,基于以上技术方案,所述装置还包括训练模块,用于获取用户历史日志信息,所述用户历史日志信息至少包括用户历史登录日志、历史客户端信息日志以及历史网关访问日志;根据所述用户历史日志信息的日志类型将所述用户历史日志信息映射到灰度图像的像素值范围内,以得到三原色历史图像信息;将所述三原色历史图像信息作为训练样本输入卷积神经网络中进行特征提取;将经过所述卷积神经网络提取得到的特征输入长短期记忆网络中进行时序建模,得到不同特征之间的依赖关系;将不同特征之间的依赖关系输入注意力机制层进行加权求和,并将求和结果经过全连接层进行训练处理,直至模型收敛,得到所述检测模型。
16、根据本申请实施例的一个方面,提供一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如以上技术方案中的异常行为检测方法。
17、根据本申请实施例的一个方面,提供一种电子设备,该电子设备包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器被配置为经由执行所述可执行指令来执行如以上技术方案中的异常行为检测方法。
18、根据本申请实施例的一个方面,提供一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行如以上技术方案中的异常行为检测方法。
19、本专利技术有益效果如下:
20、本专利技术所述的方法和装置,通过将用户的登录日志、客户端信息日志以及网关访问日志多个数据源的信息融合得到用户日志信息,然后将融合后的用户日志信息转化为三原色图像信息,这样可以提供更全面的特征信息来描述用户行为。另外,通过将三原色图像输入至预先构建的检测模型,通过检测模型来捕捉三原色图像的局部信息和全局信息,如此可以进一步提高异常行为检测结果的准确性。
本文档来自技高网...【技术保护点】
1.一种异常行为检测方法,其特征在于,包括:
2.根据权利要求1所述的一种异常行为检测方法,其特征在于,根据所述用户日志信息的日志类型将所述用户日志信息映射到灰度图像的像素值范围内,以得到三原色图像信息,包括:
3.根据权利要求2所述的一种异常行为检测方法,其特征在于,将与所述日志类型对应的字段特征映射到灰度图像的像素值范围内,得到设定范围内的特征像素值,包括:
4.根据权利要求3所述的一种异常行为检测方法,其特征在于,采用特征编码的方式或者字符n元模型编码的方式,将与所述字符串类型的对应的字段特征转换为设定范围内的特征像素值,包括:
5.根据权利要求3所述的一种异常行为检测方法,其特征在于,采用特征编码的方式或者字符n元模型编码的方式,将与所述字符串类型的对应的字段特征转换为设定范围内的特征像素值,包括:
6.根据权利要求2所述的一种异常行为检测方法,其特征在于,将与所述日志类型对应的字段特征映射到灰度图像的像素值范围内,得到设定范围内的特征像素值,包括:
7.根据权利要求1至6任意一项所述的一种异常行为检
8.一种异常行为检测装置,其特征在于,所述装置包括:
9.一种计算机可读介质,其特征在于,所述计算机可读介质上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至7中任意一项所述的异常行为检测方法。
10.一种电子设备,其特征在于,包括:
...【技术特征摘要】
1.一种异常行为检测方法,其特征在于,包括:
2.根据权利要求1所述的一种异常行为检测方法,其特征在于,根据所述用户日志信息的日志类型将所述用户日志信息映射到灰度图像的像素值范围内,以得到三原色图像信息,包括:
3.根据权利要求2所述的一种异常行为检测方法,其特征在于,将与所述日志类型对应的字段特征映射到灰度图像的像素值范围内,得到设定范围内的特征像素值,包括:
4.根据权利要求3所述的一种异常行为检测方法,其特征在于,采用特征编码的方式或者字符n元模型编码的方式,将与所述字符串类型的对应的字段特征转换为设定范围内的特征像素值,包括:
5.根据权利要求3所述的一种异常行为检测方法,其特征在于,采用特征编码的方式或者...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。