【技术实现步骤摘要】
本专利技术实施例涉及计算机,尤其涉及一种用户行为检测方法和系统。
技术介绍
1、随着全球化和数字化进程的加速推进,互联网已深度融入人们的生活和工作,但也带来了诸多安全挑战。用户异常行为,如违法违规跨境行为等借助加密虚拟专用网络技术变得更加隐蔽难测。目前,现有的网络监测手段大多集中在对明文网络协议和已知应用的监测,对于加密通信的解析能力极为有限。并且现有的监测手段在面对经过伪装或变异的加密协议时,往往无法准确判断其真实意图,导致无法准确识别或检测用户行为是否异常。例如,一些简单的端口封锁策略在面对新型加密协议使用非标准端口通信时便失去作用。可见,急需一种准确识别或检测用户行为是否异常的方式。
技术实现思路
1、本专利技术实施例提供一种用户行为检测方法和系统,以综合第一分类模型和第二分类模型的分类结果,从而实现用户行为的准确判断,提高用户行为检测的准确性。
2、第一方面,本专利技术实施例提供了一种用户行为检测方法,包括:
3、通过流量采集模块基于预设采集策略采集网络关键节点的网络流量数据,并基于预设筛选条件对所述网络流量数据进行筛选确定当前采集周期对应的目标流量数据,并将所述目标流量数据发送至协议分析模块;
4、通过协议分析模块基于协议解析引擎对接收到的目标流量数据进行网络协议解析确定目标网络协议和所述目标网络协议对应的目标协议类型,并基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量,并将所述协议特征向量发送至模型识别模块
5、通过模型识别模块基于接收到的协议特征向量和第一分类模型确定第一用户行为检测结果,并基于预设格式转换方式将所述协议特征向量转换为协议特征图,并基于所述协议特征图和第二分类模型确定第二用户行为检测结果,并基于所述第一用户行为检测结果和所述第二用户行为检测结果确定目标用户行为检测结果。
6、可选地,所述方法还包括:通过协议分析模块若检测到目标协议类型为未加密协议类型,则对目标网络协议进行未加密特征提取确定目标网络协议对应的第一协议特征向量;所述第一协议特征向量包括:协议请求方式、访问信息和端口号中的至少一个;通过协议分析模块若检测到目标协议类型为加密协议类型,则对目标网络协议进行加密特征提取确定目标网络协议对应的第二协议特征向量;所述第二协议特征向量包括:密码套件和证书指纹中的至少一个。
7、可选地,所述方法还包括:通过模型识别模块基于预设深度学习算法或预设格式转换模型将所述协议特征向量转换为图像格式得到转换后的协议特征图。
8、可选地,所述方法还包括:所述第一分类模型为预先训练好的机器学习模型;所述第二分类模型为预先训练好的深度学习模型。
9、可选地,所述方法还包括:通过模型识别模块将所述协议特征图输入至第二分类模型,在第二分类模型中对所述协议特征图进行图像特征提取得到协议图像特征,并基于所述协议图像特征进行分类预测确定分类预测结果;通过模型识别模块基于第二分类模型的输出确定第二用户行为检测结果。
10、可选地,所述方法还包括:通过模型识别模块若检测到所述第一用户行为检测结果和所述第二用户行为检测结果一致,则将一致结果确定为目标用户行为检测结果;通过模型识别模块若检测到所述第一用户行为检测结果和所述第二用户行为检测结果不一致,则基于第一分类模型对应的第一分类权重、第二分类模型对应的第二分类权重、所述第一用户行为检测结果和所述第二用户行为检测结果,确定目标用户行为检测结果。
11、可选地,所述方法还包括:通过协议分析模块将协议特征向量发送至行为分析模块;通过模型识别模块将目标用户行为检测结果发送至行为分析模块;通过dns监测模块获取网络流量数据对应的网络dns报文,并对所述网络dns报文进行解析确定报文解析信息,并基于所述报文解析信息和预设知识库进行比对确定比对结果,并基于所述比对结果标记所述网络dns报文中的访问请求信息,并将所述访问请求信息发送至行为分析模块;通过行为分析模块基于接收到的所述协议特征向量、所述目标用户行为检测结果和所述访问请求信息构建目标用户画像,并基于所述目标用户画像和数据挖掘技术确定行为间关联关系,并基于所述行为间关联关系进行用户行为判定确定用户行为的目标判定结果。
12、可选地,所述方法还包括:通过行为分析模块若检测到目标判定结果为用户行为异常,则触发报警并记录用户信息,并基于目标判定结果对应的所述协议特征向量、所述目标用户行为检测结果和所述访问请求信息更新预设知识库。
13、可选地,所述方法还包括:通过情报获取模块基于预设获取方式获取多个当前情报数据,并对所述多个当前情报数据进行交叉验证确定参考情报数据,并对所述参考情报数据进行关键信息提取,并将提取的关键信息存储至预设知识库。
14、第二方面,本专利技术实施例还提供了一种用户行为检测系统,该系统包括:流量采集模块、协议分析模块和模型识别模块;
15、其中,流量采集模块,用于基于预设采集策略采集网络关键节点的网络流量数据,并基于预设筛选条件对所述网络流量数据进行筛选确定当前采集周期对应的目标流量数据,并将所述目标流量数据发送至协议分析模块;
16、协议分析模块,用于基于协议解析引擎对接收到的目标流量数据进行网络协议解析确定目标网络协议和所述目标网络协议对应的目标协议类型,并基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量,并将所述协议特征向量发送至模型识别模块;
17、模型识别模块,用于基于接收到的协议特征向量和第一分类模型确定第一用户行为检测结果,并基于预设格式转换方式将所述协议特征向量转换为协议特征图,并基于所述协议特征图和第二分类模型确定第二用户行为检测结果,并基于所述第一用户行为检测结果和所述第二用户行为检测结果确定目标用户行为检测结果。
18、本专利技术实施例的技术方案,通过流量采集模块基于预设采集策略采集网络关键节点的网络流量数据,并基于预设筛选条件对所述网络流量数据进行筛选确定当前采集周期对应的目标流量数据,并将所述目标流量数据发送至协议分析模块;通过协议分析模块基于协议解析引擎对接收到的目标流量数据进行网络协议解析确定目标网络协议和所述目标网络协议对应的目标协议类型,并基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量,并将所述协议特征向量发送至模型识别模块;通过模型识别模块基于接收到的协议特征向量和第一分类模型确定第一用户行为检测结果,并基于预设格式转换方式将所述协议特征向量转换为协议特征图,并基于所述协议特征图和第二分类模型确定第二用户行为检测结果,并基于所述第一用户行为检测结果和所述第二用户行为检测结果确定目标用户行为检测结果,从而综合第一分类模型和第二分类模型的分类结果,即第一用户行为检测结果和第二用户行为检测结果,实现对用户行为的准确判断,进而提高了用户行为检测的准确性。
19、应当理解,本部分所描述的内容并非旨在标识本文档来自技高网...
【技术保护点】
1.一种用户行为检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过协议分析模块基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量,包括:
3.根据权利要求1所述的方法,其特征在于,通过模型识别模块基于预设格式转换方式将所述协议特征向量转换为协议特征图,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一分类模型为预先训练好的机器学习模型;所述第二分类模型为预先训练好的深度学习模型。
5.根据权利要求1所述的方法,其特征在于,通过模型识别模块基于所述协议特征图和第二分类模型确定第二用户行为检测结果,包括:
6.根据权利要求1所述的方法,其特征在于,通过模型识别模块基于所述第一用户行为检测结果和所述第二用户行为检测结果确定目标用户行为检测结果,包括:
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
9.根据权利要求7所述的方法,其特征在于,所述方法还包括:>
10.一种用户行为检测系统,其特征在于,包括:流量采集模块、协议分析模块和模型识别模块;
...【技术特征摘要】
1.一种用户行为检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过协议分析模块基于目标协议类型对目标网络协议进行特征提取确定目标网络协议对应的协议特征向量,包括:
3.根据权利要求1所述的方法,其特征在于,通过模型识别模块基于预设格式转换方式将所述协议特征向量转换为协议特征图,包括:
4.根据权利要求1所述的方法,其特征在于,所述第一分类模型为预先训练好的机器学习模型;所述第二分类模型为预先训练好的深度学习模型。
5.根据权利要求1所述的方法,其特征在于,通过模型识别...
【专利技术属性】
技术研发人员:刘纪伟,谢林燕,田普,梁泽,张峰,张玉,刘晓明,鲍永昌,刘武旭,董玉强,魏战松,尚程,杨满智,傅强,王杰,金红,陈晓光,胡兵,
申请(专利权)人:国家计算机网络与信息安全管理中心河北分中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。