CN105516152A - 异常行为检测方法 - Google Patents

Abstract

本发明提出了一种异常行为检测的方法，该方法通过观察一定时期内主体/个体的行为在社交网络或者普适计算环境中呈现出的特定模式来检测异常。用户可以根据他们各自的社交标签被分为不同的组，他们的行为模式应该与群体的行为模式相似。然后整合个体和群体的行为模式来计算新行为的异常程度。通过监测主体/个体的行为，收集有关多维数组的特性，如时间，地点，频率，总和以及其它多维数组信息。本发明通过对这些记录进行分析和挖掘来建立一个学习模式知识库；基于社交标识来建立群体行为模式，用于计算异常行为系数；建立一定的时间段内自我更新机制，用于更新收集到的动态权重。在这个方法中，所有的行为都会被监测和分析。

Description

异常行为检测方法

技术领域

本发明提出了一种异常行为检测的方法，该方法涉及到互联网数据安全，大数据安全等领域。

背景技术

越来越多的各类网络应用程序促使了网络的发展。但人们在享受网络所带来的便利的同时，也面临着随之带来的安全问题。比如个人信息泄漏，身份盗窃等等。由于人们需要经常在网络上进行身份验证，而现有的个人安全信息识别过程比较复杂并且耗时，这无疑阻碍了当前的快节奏生活。

为了解决这个问题，本发明提出了基于价值系数的主体/个人异常行为检测方法。

在社交网络或者普适计算环境中，我们注意到在一定时期内主体或者特别个体的行为呈现出一种特定模式。并且在社交网络中，具有同样社会标签的主体呈现出相似的行为模式。本发明在历史行为模式的基础上，建立了基于个体行为模式的学习模型。并且将检测到的异常行为和结果划分为不同的等级。然后系统根据异常行为的等级来验证不同等级的活跃度。

发明内容

本发明的目的是提供一种异常行为检测的方法，通过这种方法可以显著提高主体/个体的安全性，并避免信息丢失所造成的损失。

为实现上述目的，本发明的技术方案是：

异常行为检测方法，本发明特征在于：在社交网络或者普适计算环境中，通过观察一段时间内个体的行为呈现出的特定模式来监测异常；每个个体在社交网络中有很多的社交标签，因此根据这些标签将其划分为不同的类别或者团体，个体的行为模式应该与其所属类别的群体行为模式相似，所以当发现个体产生新的行为后，参照个体和群体的行为模式发现个体行为的异常程度；采用对个体异常程度监测，构建个人行为特征向量(例如时间，地点，发生频率，总和以及其它多维数组信息)；根据这些记录在空间和时间的变化来检测异常行为，当发现异常行为时，根据其风险程度触发相应级别的警报来提醒用户；在监测并记录个体行为的基础上，通过对这些记录进行分析和挖掘来建立一个学习模式知识库；基于社交标识来建立群体行为模式，用于计算异常行为系数；建立一定的时间段内自我更新机制，用于更新收集到的动态权重。(本发明方法中，所有的行为都会被监测和分析。除此之外，系统还会根据异常行为系数值来进行不同级别的身份验证。)

本发明异常程度监测的步骤为：

1)、行为检测

个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息(例如行为发生的时间、地点等)，并利用这些信息构建行为特征向量，用以描述个体行为；个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息，该个体行为特征向量被定义为F_c＝{F₁，F₂，F₃...F_n}，其中n表示特征维度，考虑到不同特征的影响力存在显著差异，特征影响的不同权重被量化为：

2)、计算异常行为系数

本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数；

C_a＝W_GG_a+W_II_a

其中，C_a是行为异常系数，G_a是群组行为异常系数，W_G是G_a的权重，I_a是个体行为异常系数，W_I是I_a的权重；

子步骤：

步骤1：分组个体群体行为异常系数的计算公式如下：

G_a＝Dis(F_c，F_ig)

其中，F_g是基于社会标识的分组群体行为模式；

步骤2：如果记录数值为1，则个体行为异常系数计算公式为：

I_a＝Dis(F_c，F_ir)

其中，

Dis(F_c，F_r)＝||aF_c-aF_r||

这里的“||·||”代表矢量距离，F_r表示历史特征；

步骤3：如果记录数值大于1，则这些记录矢量用聚类算法(k-mean,k-median)被聚集成M类，并存储到数据库中。需要注意的是，我们将新的记录存储到数据库中时，当它们的量到达阀值后，需要对所有的的记录重新聚类；

当一个新的行为被获取时，会计算每一个群集中心的记录距离，并且最近的一个行为会被设定为个体异常行为系数I_a；

I_a＝argMin(D)

其中，

D＝Dis(F_c，F_irc)/OF(t，F_c，F_irc)，i∈{1，2，3，...M}，M∈R；

这里的F_irc表示i^th集群中心，OF(t，F_c，F_irc)表示i^th集群的权重；

步骤4：更新集群权重

自我更新机制就像人们的记忆机制，行为模式会不断地衰减直到新的相关激励发生；另一方面，如果一种行为模式经常被激发，这种行为应该被认为比其它行为更重要；同时，它可以像人们的记忆系统的遗忘过程那样衰减，也可以通过新的激励被积累。在一个时刻里的集群权重总值是它们的组合；

1)、激励累积

记录一个集群，当时间t>1，当前记录和集群之间的距离被表示为is(F_c，F_irc)，我们需要计算这些集群的权重累积值t:af(t，F_c，F_irc)；

首先，时间t中的累积程度可以通过距离反映，所以F_c，F_irc之间的累积程度值可以表示为：

f(t，F_c，F_irc)＝a/Dis(F_c，F_irc)；i∈{1，2，3，...M}

其中α是集群权重程度中转换持续时间参数；Dis(F_c，F_irc)是标准值，如果Dis(F_c，F_irc)＝0，时间t相对应的值为1；累积值可以表示为权重总值的总和f(t，F_c，F_irc)；

OF(t，F_c，F_irc)＝OF(t-1，F_c，F_irc)+f(t，F_c，F_irc)；i∈{1，2，3，...M}

其中，OF(t-1，F_c，F_irc)是时间t-1的累积总值，并且OF(0，F_c，F_irc)＝0；

考虑到随时间变化的行为模式，集群的影响权重可以被描述为一个指数曲线[3]；因此，我们得到一个集群的影响权重衰减公式：

$df(t,F_c,F_{irc})=\mathrm{\β}\×df{(t-d_t,F_{irc})}^{-\mathrm{\λ}\×d_t},i\∈\{1,2,3,\mathrm{...}M\}$

其中d_t是从激励最后时刻开始的衰减时间(例如：每周的同一天)，β和λ表示模式参数；这个公式表示每一个时间单元以及丢失部分的权重；这个过程引起放射性衰变的图像，经常作为描述遗忘的类比；

2)、权重总值

最后，在时刻t的权重总值被表示为累积值与衰减值的和；

OF(t，F_c，F_irc)＝af(t，F_c，F_irc)+df(t，F_c，F_irc)；i∈{1，2，3，...M}

此公式表示直到新的激励开始之前权重的衰减程度值；然后将其加在新对话进程中计算，并且重新启动衰减进程；这个进程是迭代的；

3)、行为鉴定

这一步，我们设定多阀值来确定系数的水平，并根据行为异常系数来进行行为检定。

子步骤：

步骤1：一级身份认证

如果主体/个体的行为异常系数值过低，这说明主体/个体行为与历史行为一致，这种主体/个体仅需要输入密码甚至不需要验证就可以进入；

步骤2：二级身份认证

如果主体/个体的行为异常系数值正常，当前行为与历史行为仅有一点不同，会请求一般签名认证或密码认证；

步骤3：三级身份认证

如果主体/个体的行为异常系数值较高，当前行为与历史行为有显著不同，会请求生物特征身份认证；

步骤4：四级身份认证

如果主体/个体的行为异常系数值非常高，这说明主体/个体行为与历史行为完全不同，系统会终止认证并发出警报。

本发明的有益效果是，如果主体/个体是合法的，不需要对其进行验证就能保证主体/个体的认证信息是安全的，这种方法提供的方便并节省了时间。如果主体/个体行为发生了一点变化，只需要花费一点时间去处理它；如果主体/个体的行为及历史行为完全不同，系统则会终止认证并出现警告，避免用户和信用卡发卡公司的损失；伪造的主体/个体不能通过该群体的认证和接合，这样就不能获得该群体的信息，证明该群体仍然是安全的；为了检测和控制欺诈登录行为，异常行为分析模块结合了历史模式记录系统和群体模式系统，而不仅仅是取决于个人信息；每时每刻都在监测异常行为，如果异常行为被监测到，会根据它的严重程度来进行不同级别的认证，而不仅仅是当收到一个密码重置请求时对用户的身份进行认证。

附图说明

图1为本发明的基本流程框图；

图2为本发明的元素权重变化图。

具体实施方式

下面结合具体的实例对本发明进一步的地说明：

见图1，图2，异常行为检测方法，本发明特征在于：在社交网络或者普适计算环境中，通过观察一段时间内个体的行为呈现出的特定模式来监测异常；每个个体在社交网络中有很多的社交标签，因此根据这些标签将其划分为不同的类别或者团体，个体的行为模式应该与其所属类别的群体行为模式相似，所以当发现个体产生新的行为后，参照个体和群体的行为模式发现个体行为的异常程度；采用对个体异常程度监测，构建个人行为特征向量(例如时间，地点，发生频率，总和以及其它多维数组信息)；根据这些记录在空间和时间的变化来检测异常行为，当发现异常行为时，根据其风险程度触发相应级别的警报来提醒用户；在监测并记录个体行为的基础上，通过对这些记录进行分析和挖掘来建立一个学习模式知识库；基于社交标识来建立群体行为模式，用于计算异常行为系数；建立一定的时间段内自我更新机制，用于更新收集到的动态权重。(本发明方法中，所有的行为都会被监测和分析。除此之外，系统还会根据异常行为系数值来进行不同级别的身份验证。)

本发明异常程度监测的步骤为：

1)、行为检测

个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息(例如行为发生的时间、地点等)，并利用这些信息构建行为特征向量，用以描述个体行为；个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息，该个体行为特征向量被定义为F_c＝{F₁，F₂，F₃...F_n}，其中n表示特征维度，考虑到不同特征的影响力存在显著差异，特征影响的不同权重被量化为：

2)、计算异常行为系数

本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数；

C_a＝W_GG_a+W_II_a

其中，C_a是行为异常系数，G_a是群组行为异常系数，W_G是G_a的权重，I_a是个体行为异常系数，W_I是I_a的权重；

子步骤：

步骤1：分组个体群体行为异常系数的计算公式如下：

G_a＝Dis(F_c，F_ig)

其中，F_g是基于社会标识的分组群体行为模式；

步骤2：如果记录数值为1，则个体行为异常系数计算公式为：

I_a＝Dis(F_c，F_ir)

其中，

Dis(F_c，F_r)＝||aF_c-aF_r||

这里的“||·||”代表矢量距离，F_r表示历史特征；

步骤3：如果记录数值大于1，则这些记录矢量用聚类算法(k-mean,k-median)被聚集成M类，并存储到数据库中。需要注意的是，我们将新的记录存储到数据库中时，当它们的量到达阀值后，需要对所有的的记录重新聚类；

当一个新的行为被获取时，会计算每一个群集中心的记录距离，并且最近的一个行为会被设定为个体异常行为系数I_a；

I_a＝argMin(D)

其中，

D＝Dis(F_c，F_irc)/OF(t，F_c，F_irc)，i∈{1，2，3，...M}，M∈R；

这里的F_irc表示i^th集群中心，OF(t，F_c，F_irc)表示i^th集群的权重；

步骤4：更新集群权重

自我更新机制就像人们的记忆机制，行为模式会不断地衰减直到新的相关激励发生；另一方面，如果一种行为模式经常被激发，这种行为应该被认为比其它行为更重要；同时，它可以像人们的记忆系统的遗忘过程那样衰减，也可以通过新的激励被积累。在一个时刻里的集群权重总值是它们的组合；

1)、激励累积

记录一个集群，当时间t>1，当前记录和集群之间的距离被表示为is(F_c，F_irc)，我们需要计算这些集群的权重累积值t:af(t，F_c，F_irc)；

首先，时间t中的累积程度可以通过距离反映，所以F_c，F_irc之间的累积程度值可以表示为：

f(t，F_c，F_irc)＝α/Dis(F_c，F_irc)；i∈{1，2，3，...M}

其中α是集群权重程度中转换持续时间参数；Dis(F_c，F_irc)是标准值，如果Dis(F_c，F_irc)＝0，时间t相对应的值为1；累积值可以表示为权重总值的总和f(t，F_c，F_irc)；

OF(t，F_c，F_irc)＝OF(t-1，F_c，F_irc)+f(t，F_c，F_irc)；i∈{1，2，3，...M}

其中，OF(t-1，F_c，F_irc)是时间t-1的累积总值，并且OF(0，F_c，F_irc)＝0；

考虑到随时间变化的行为模式，集群的影响权重可以被描述为一个指数曲线[3]；因此，我们得到一个集群的影响权重衰减公式：

$df(t,F_c,F_{irc})=\mathrm{\β}\×df{(t-d_t,F_{irc})}^{-\mathrm{\λ}\×d_t},i\∈\{1,2,3,\mathrm{...}M\}$

其中d_t是从激励最后时刻开始的衰减时间(例如：每周的同一天)，β和λ表示模式参数；这个公式表示每一个时间单元以及丢失部分的权重；这个过程引起放射性衰变的图像，经常作为描述遗忘的类比；

2)、权重总值

最后，在时刻t的权重总值被表示为累积值与衰减值的和；

OF(t，F_c，F_irc)＝af(t，F_c，F_irc)+df(t，F_c，F_irc)；i∈{1，2，3，...M}

此公式表示直到新的激励开始之前权重的衰减程度值；然后将其加在新对话进程中计算，并且重新启动衰减进程；这个进程是迭代的；

3)、行为鉴定

这一步，我们设定多阀值来确定系数的水平，并根据行为异常系数来进行行为检定。

子步骤：

步骤1：一级身份认证

如果主体/个体的行为异常系数值过低，这说明主体/个体行为与历史行为一致，这种主体/个体仅需要输入密码甚至不需要验证就可以进入；

步骤2：二级身份认证

如果主体/个体的行为异常系数值正常，当前行为与历史行为仅有一点不同，会请求一般签名认证或密码认证；

步骤3：三级身份认证

如果主体/个体的行为异常系数值较高，当前行为与历史行为有显著不同，会请求生物特征身份认证；

步骤4：四级身份认证

如果主体/个体的行为异常系数值非常高，这说明主体/个体行为与历史行为完全不同，系统会终止认证并发出警报。

Claims (2)

1.异常行为检测方法，其特征在于：在社交网络或者普适计算环境中，通过观察一段时间内个体的行为呈现出的特定模式来监测异常；每个个体在社交网络中有很多的社交标签，因此根据这些标签将其划分为不同的类别或者团体，个体的行为模式应该与其所属类别的群体行为模式相似，所以当发现个体产生新的行为后，参照个体和群体的行为模式发现个体行为的异常程度；采用对个体异常程度监测，构建个人行为特征向量；根据这些记录在空间和时间的变化来检测异常行为，当发现异常行为时，根据其风险程度触发相应级别的警报来提醒用户；在监测并记录个体行为的基础上，通过对这些记录进行分析和挖掘来建立一个学习模式知识库；基于社交标识来建立群体行为模式，用于计算异常行为系数；建立一定的时间段内自我更新机制，用于更新收集到的动态权重。

2.根据权利要求1所述的异常行为检测方法，其特征在于：异常程度监测的步骤为：

1)、行为检测

个体行为异常检测的第一步是监测和收集个体的日常行为相关的信息，并利用这些信息构建行为特征向量，用以描述个体行为；个体行为特征元素包括行为发生目的、时间、地点、频率以及其它多维信息，该个体行为特征向量被定义为F_c＝{F₁，F₂，F₃…F_n}，其中n表示特征维度，考虑到不同特征的影响力存在显著差异，特征影响的不同权重被量化为： $a=\left\{a_i\right|{\mathrm{\Σ}}_1^n{a}_i=1\};$

2)、计算异常行为系数

本发明通过融合个体行为异常系数和其所属群组的行为异常系数来计算个体总的行为异常系数；

C_a＝W_GG_a+W_II_a

其中，C_a是行为异常系数，G_a是群组行为异常系数，W_G是G_a的权重，I_a是个体行为异常系数，W_I是I_a的权重；

子步骤：

步骤1：分组个体群体行为异常系数的计算公式如下：

G_a＝Dis(F_c，F_ig)

其中，F_g是基于社会标识的分组群体行为模式；

步骤2：如果记录数值为1，则个体行为异常系数计算公式为：

I_a＝Dis(F_c，F_ir)

其中，

Dis(F_c，F_r)＝||aF_c-aF_r||

这里的“||·||”代表矢量距离，F_r表示历史特征；

步骤3：如果记录数值大于1，则这些记录矢量用聚类算法(k-mean，k-median)被聚集成M类，并存储到数据库中；需要注意的是，我们将新的记录存储到数据库中时，当它们的量到达阀值后，需要对所有的的记录重新聚类；

当一个新的行为被获取时，会计算每一个群集中心的记录距离，并且最近的一个行为会被设定为个体异常行为系数I_a；

I_a＝argMin(D)

其中，

D＝Dis(F_c，F_irc)/OF(t，F_c，F_irc)，i∈{1，2，3，...M}，M∈R；

这里的F_irc表示i^th集群中心，OF(t，F_c，F_irc)表示i^th集群的权重；

步骤4：更新集群权重

自我更新机制就像人们的记忆机制，行为模式会不断地衰减直到新的相关激励发生；另一方面，如果一种行为模式经常被激发，这种行为应该被认为比其它行为更重要；同时，它可以像人们的记忆系统的遗忘过程那样衰减，也可以通过新的激励被积累；在一个时刻里的集群权重总值是它们的组合；

1)、激励累积

记录一个集群，当时间t＞1，当前记录和集群之间的距离被表示为is(F_c，F_irc)，我们需要计算这些集群的权重累积值t：af(t，F_c，F_irc)；

首先，时间t中的累积程度可以通过距离反映，所以F_c，F_irc之间的累积程度值可以表示为：

f(t，F_c，F_irc)＝a/Dis(F_c，F_irc)；i∈{1，2，3，...M}

其中α是集群权重程度中转换持续时间参数；Dis(F_c，F_irc)是标准值，如果Dis(F_c，F_irc)＝0，时间t相对应的值为1；累积值可以表示为权重总值的总和f(t，F_c，F_irc)；

OF(t，F_c，F_irc)＝OF(t-1，F_c，F_irc)+f(t，F_c，F_irc)；i∈(1，2，3，...M}

其中，OF(t-1，F_c，F_irc)是时间t-1的累积总值，并且OF(0，F_c，F_irc)＝0；

考虑到随时间变化的行为模式，集群的影响权重可以被描述为一个指数曲线[3]；因此，我们得到一个集群的影响权重衰减公式：

$df(t,F_c,F_{irc})=\mathrm{\β}\×df{(t-d_t,F_{irc})}^{-\mathrm{\λ}\×d_t},i\∈\{1,2,3,...M\}$

其中d_t是从激励最后时刻开始的衰减时间，β和λ表示模式参数；这个公式表示每一个时间单元以及丢失部分的权重；这个过程引起放射性衰变的图像，经常作为描述遗忘的类比；

2)、权重总值

最后，在时刻t的权重总值被表示为累积值与衰减值的和；

OF(t，F_c，F_irc)＝af(t，F_c，F_irc)+df(t，F_c，F_irc)；i∈{1，2，3，...M}

此公式表示直到新的激励开始之前权重的衰减程度值；然后将其加在新对话进程中计算，并且重新启动衰减进程；这个进程是迭代的；

3)、行为鉴定

这一步，我们设定多阀值来确定系数的水平，并根据行为异常系数来进行行为检定；

子步骤：

步骤1：一级身份认证

如果主体/个体的行为异常系数值过低，这说明主体/个体行为与历史行为一致，这种主体/个体仅需要输入密码甚至不需要验证就可以进入；

步骤2：二级身份认证

如果主体/个体的行为异常系数值正常，当前行为与历史行为仅有一点不同，会请求一般签名认证或密码认证；

步骤3：三级身份认证

如果主体/个体的行为异常系数值较高，当前行为与历史行为有显著不同，会请求生物特征身份认证；

步骤4：四级身份认证

如果主体/个体的行为异常系数值非常高，这说明主体/个体行为与历史行为完全不同，系统会终止认证并发出警报。