CN107579956A - 一种用户行为的检测方法和装置 - Google Patents

一种用户行为的检测方法和装置 Download PDF

Info

Publication number
CN107579956A
CN107579956A CN201710668128.9A CN201710668128A CN107579956A CN 107579956 A CN107579956 A CN 107579956A CN 201710668128 A CN201710668128 A CN 201710668128A CN 107579956 A CN107579956 A CN 107579956A
Authority
CN
China
Prior art keywords
user
behavior
similarity
data
current
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710668128.9A
Other languages
English (en)
Other versions
CN107579956B (zh
Inventor
王占
王占一
韩琳
谢军平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qianxin Technology Co Ltd
Original Assignee
Beijing Qianxin Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qianxin Technology Co Ltd filed Critical Beijing Qianxin Technology Co Ltd
Priority to CN202010421256.5A priority Critical patent/CN111695114B/zh
Priority to CN201710668128.9A priority patent/CN107579956B/zh
Publication of CN107579956A publication Critical patent/CN107579956A/zh
Application granted granted Critical
Publication of CN107579956B publication Critical patent/CN107579956B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/90335Query processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computational Linguistics (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请实施例提供了一种用户行为的检测方法和装置,所述方法包括:获取当前用户与其他用户之间的行为相似度;依据所述行为相似度,确定一个或多个目标用户;采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;依据所述概率值,对所述当前行为进行检测。本实施例通过分析与当前用户具有较高相似性的目标用户的行为,对当前用户的当前行为进行检测,不依赖于人工分析与其他的行为特征库,能够自动对用户行为进行分析并发现内部威胁和异常行为,提高了异常行为的识别效率,降低了异常行为的误报率和漏报率。

Description

一种用户行为的检测方法和装置
技术领域
本申请涉及信息安全技术领域,特别是涉及一种用户行为的检测方法、一种用户行为的检测装置、一种用户相似度数据表的生成方法和一种用户相似度数据表的生成装置。
背景技术
随着互联网技术的高速发展,异常检测成为了网络安全领域的一个重要而迫切的问题。在过去几十年中,由于DDoS(Distributed Denial of Service,分布式拒绝服务攻击)、病毒、木马、爬虫等攻击行为的猖獗和泛滥,针对这些入侵行为的检测技术越来越丰富。但是,除了病毒、木马等来自外部的恶意攻击,企业局域网也面临着来自于内部的网络威胁,例如,内部员工窃取数据、身份冒用、内部用户非法操作等等。这些来自内部的异常行为的模式与传统的网络攻击行为的模式不同,不具有固定的特征,无法建立起类似病毒木马的特征库,因此更加难以察觉和发现,使得网络对于内部攻击的检测效率很低。
在传统的内部异常检测系统中,绝大多数企业局域网通过安全策略管理来实现对内部异常行为的监测。通常,安全策略管理方式可以分为“白名单策略”和“黑名单策略”。其中,“白名单策略”采用建立正常行为模型的方式,凡是不符合该模型的行为将被识别为异常;而“黑名单策略”则相反,它将所有不可接受的行为归纳起来建立一个模型,凡是符合该模型的行为将被识别为异常。使用安全管理策略的用户可以根据系统的特点和安全要求来制定策略或规则,并选择相应的检测模式。
在实际操作中,“白名单策略”和“黑名单策略”各有优劣,“白名单策略”的漏报率低,但误报率高;黑名单策略的误报率低,但恶意行为多种多样,很大部分没有被收集在行为模式库中,因此漏报率相应就高。但是,无论是采用“白名单策略”或“黑名单策略”,在策略制定和管理过程中都需要大量的人工参与,并且随着恶意行为类型的增加,网络管理员负担也会越来越重,“白名单策略”的误报率会逐渐增高,“黑名单策略”的漏报率也会逐渐增高,因此,基于安全策略的管理方式在实际操作中缺乏灵活性和主动性。
发明内容
鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的一种用户行为的检测方法、一种用户行为的检测装置、一种用户相似度数据表的生成方法和相应的一种用户相似度数据表的生成装置。
本申请实施例提供了一种用户行为的检测方法,包括:
获取当前用户与其他用户之间的行为相似度;
依据所述行为相似度,确定一个或多个目标用户;
采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
依据所述概率值,对所述当前行为进行检测。
本申请实施例还提供了一种用户行为的检测方法,包括:
获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
获取当前用户与其他用户之间的行为相似度;
采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
本申请实施例还提供了一种用户相似度数据表的生成方法,包括:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
本申请实施例还提供了一种用户行为的检测装置,包括:
获取模块,用于获取当前用户与其他用户之间的行为相似度;
确定模块,用于依据所述行为相似度,确定一个或多个目标用户;
计算模块,用于采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
检测模块,用于依据所述概率值,对所述当前行为进行检测。
本申请实施例还提供了一种用户行为的检测装置,包括:
用户行为获取模块,用于获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
自身偏离值计算模块,用于依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
当前相似度计算模块,用于依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
行为相似度获取模块,用于获取当前用户与其他用户之间的行为相似度;
相似度偏离值计算模块,用于采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
用户行为检测模块,用于依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
本申请实施例还提供了一种用户相似度数据表的生成装置,包括:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
本申请实施例,可以根据当前用户与其他用户之间的行为相似度,确定出目标用户,并采用当前用户与目标用户之间的行为相似度,计算出当前用户的当前行为的概率值,从而可以依据该概率值,对当前行为进行检测。本实施例通过分析与当前用户具有较高相似性的目标用户的行为,对当前用户的当前行为进行检测,不依赖于人工分析与其他的行为特征库,能够自动对用户行为进行分析并发现内部威胁和异常行为,提高了异常行为的识别效率,降低了异常行为的误报率和漏报率。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本申请一个实施例的一种用户行为的检测方法实施例的步骤流程图;
图2示出了根据本申请另一个实施例的一种用户行为的检测方法实施例的步骤流程图;
图3示出了本申请的终端的日志数据的示意图;
图4A和图4B示出了本申请的用户的网络操作行为画像示意图;
图5示出了本申请的用户聚类的结果示意图;
图6示出了本申请的终端与用户类别关联示意图;
图7示出了根据本申请又一个实施例的一种用户行为的检测方法实施例的步骤流程图;
图8示出了根据本申请一个实施例的一种用户相似度数据表的生成方法实施例的步骤流程图;
图9示出了根据本申请一个实施例的一种用户行为的检测装置实施例的结构框图;
图10示出了根据本申请另一个实施例的一种用户行为的检测装置实施例的结构框图;以及,
图11示出了根据本申请一个实施例的一种用户相似度数据表的生成装置实施例的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参照图1,示出了根据本申请一个实施例的一种用户行为的检测方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,获取当前用户与其他用户之间的行为相似度;
在本申请实施例中,行为相似度是对用户行为之间的相似性进行的度量。一般地,两两用户之间的行为相似度越高,说明这两位用户之间的行为具有更高的一致性。
通常,可以对每个用户的行为进行记录,并按照一定的方式进行分析,得到全部用户的用户相似度数据表,并将该数据表预置于服务器中,该数据表中可以记录有全部用户两间之间的行为相似度。
因此,在具体实现中,可以直接从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
步骤102,依据所述行为相似度,确定一个或多个目标用户;
在本申请实施例中,目标用户可以是指与当前用户具有较高相似性的用户,目标用户可以不止一个。
在具体实现中,在获得当前用户与其他用户之间的行为相似度后,可以对行为相似度进行降序排序,并确定排序在前的预设个数的用户为目标用户。例如,可以将当前用户与其他用户之间的行为相似度按照从大到小的顺序进行排序,将前5个或前10个用户确定为目标用户。
或者,也可以直接确定行为相似度超过预设阈值的一个或多个用户为目标用户。例如,可以设定阈值为0.8,当任一用户与当前用户的行为相似度超过0.8,则可以识别该用户为目标用户。
当然,本领域技术人员可以根据实际情况选择上述两种方式中的一种来确定目标用户,或者同时结合上述两种来确定目标用户;本领域技术人员还可以按照其他方式确定目标用户,本申请实施例对此不作限定。
需要说明的是,上述预设个数与预设阈值的具体数值仅为一种示例,本领域技术人员可以根据实际需要确定。例如,可以确定需要识别的目标用户的个数为8个,设定阈值为0.85等等,本申请实施例对此亦不作限定。
步骤103,采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
在本申请实施例中,当前行为的概率值是对用户当前发生的某个行为进行的度量。
在本申请实施例中,可以以行为相似度为权重,加权计算当前用户发生当前行为的概率值。具体地,可以采用如下公式计算当前用户的当前行为的概率值:
其中,P(ai=1)为当前用户i的当前行为的概率值,sij表示当前用户i与其他用户j之间的行为相似度。
在具体实现中,可以首先分别确定一个或多个目标用户是否发生当前用户的当前行为,然后计算发生当前行为的目标用户的行为相似度之和,以及全部目标用户的行为相似度之和,并以发生当前行为的目标用户的行为相似度之和,与全部目标用户的行为相似度之和的比值作为当前用户的当前行为的概率值。
例如,当当前用户发生某个行为a时,可以首先确定在全部目标用户中,有哪些目标用户在过往的历史行为中发生过该行为a,然后计算所有在其历史行为中发生过该行为a的目标用户的行为相似度之和,以及全部用户目标用户的行为相似度之和,并以二者之间的比值,作为当前用户的当前行为的概率值。
如表一所示,列出了当前用户与其他用户(即用户1-用户10)的行为相似度以及其他用户是否发生当前行为(即行为a)的一种示例,通过对表一中的数据进行分析计算,可以得到当前用户的当前行为的概率值。
表一:
按照上述公式计算,可以得到当前用户的当前行为的概率值为:
步骤104,依据所述概率值,对所述当前行为进行检测。
在本申请实施例中,可以设定一阈值,当概率值小于该阈值时,可以识别当前行为为异常行为。
例如,可以设定阈值为0.5,当在步骤103中计算得到当前用户的当前行为的概率值小于0.5时,可以认为当前用户发生当前行为的概率较低,但现在却观测到当前用户发生了该行为,因此可以认为该行为为异常行为。
当然,上述阈值仅为一种示例,本领域技术人员可以根据实际需要确定该阈值的具体大小,本申请实施例对此不作限定。
在本申请实施例中,可以根据当前用户与其他用户之间的行为相似度,确定出目标用户,并采用当前用户与目标用户之间的行为相似度,计算出当前用户的当前行为的概率值,从而可以依据该概率值,对当前行为进行检测。本实施例通过分析与当前用户具有较高相似性的目标用户的行为,对当前用户的当前行为进行检测,不依赖于人工分析与其他的行为特征库,能够自动对用户行为进行分析并发现内部威胁和异常行为,提高了异常行为的识别效率,降低了异常行为的误报率和漏报率。
参照图2,示出了根据本申请另一个实施例的一种用户行为的检测方法实施例的步骤流程图,具体可以包括如下步骤:
步骤201,生成用户相似度数据表;
在本申请实施例中,用户相似度数据表可以是记录全部用户两两之间的行为相似度的数据表,该数据表可以是通过对每个用户的行为进行分析,并将分析结果量化后得到的。通常,该数据表可以是预置于服务器中的。
在具体实现中,可以通过如下子步骤生成用户相似度数据表。
子步骤2011,获取终端的日志数据;
通常,用户在终端上进行的任何操作,都可以通过日志数据的形式保存下来。例如,用户使用域账号登录了某台计算机,在该计算机上使用了office办公软件,然后访问了某个网站,从该网站上下载了一份文件等等。终端都可以将用户在该终端上的全部操作记录下来,并以日志数据的形式发送给服务器,由服务器对该数据进行分析和处理。
在本申请实施例中,可以将终端的日志数据划分为三个大类,即终端操作数据、应用操作数据,以及网络操作数据。
如图3所示,是本申请的终端的日志数据的示意图。终端操作数据可以是记录用户在各类终端上的操作行为的数据,例如,打印行为、域账号登录、U盘传输行为、VPN接入行为等等;应用操作数据可以是记录用户使用各种应用程序的行为,例如,使用office办公软件、使用OA系统,使用云应用程序以及手机应用程序等等;网络操作数据可以是记录用户的网络使用的行为,例如,登录服务器、访问网站、收发邮件、上传或下载文件等等。
根据用户行为的不同类型,终端或服务器可以采用不同的数据结构来记录上述数据。
例如,可以使用七元组记录服务器登录行为。七元组可以包括Time(时间)、User(用户名)、MID(终端设备序列号)、DIP(目标IP地址)、DPort(目标端口号)、Proto(协议类型)、Info(登录是否成功)等信息,从而可以形成如表二所示的服务器登录行为数据。
表二:服务器登录行为数据
可以使用六元组记录U盘传输行为。六元组可以包括Time(时间)、User(用户名)、MID(终端设备序列号)、File_path(文件路径),Operate(拷入或拷出标识),USB_SN(U盘序列号)等信息,从而可以形成如表三所示的U盘传输行为数据。
表三:U盘传输行为数据
可以使用四元组记录用户的终端进程行为。四元组可以包括Time(时间)、User(用户名)、MID(终端设备序列号)、DIP(目标IP地址)等信息,从而可以形成如表四所示的终端进程行为数据。
表四:终端进程行为数据
当然,以上仅为一种示例,对于不同的行为数据,可以采用不同的记录方式,本申请实施例对此不作限定。
子步骤2012,依据所述日志数据,生成用户的行为数据;
通常,用户的用户名User会有重名,而终端设备序列号MID一般不会重复,所以可以取(User,MID)两个字段的组合作为主键,对不同行为的数据进行关联和整合,得到主键对应的键值。
在具体实现中,可以分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID,并依据User和MID,对终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
在对各类数据进行关联时,可以以(User,MID)为主键,分别获取与该主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,生成用户的行为数据。
例如,在表四中提供了User与MID之间的映射关系,通过该表四,可以将MID映射到具体的User上,从而可以根据表一、表三和表四,得到如表五所示的关联后的数据。
表五:关联后的数据
子步骤2013,采用所述用户的行为数据,计算所述用户的特征信息;
在本申请实施例中,当生成用户的行为数据后,可以根据用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数。
例如,可以根据用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数。其中,指定网络范围可以包括第一网络范围或第二网络范围,第一网络范围可以是企业内网,对应地,第二网络范围可以是企业外网。
也即,可以统计在指定时间段内每个用户的每个行为各发生了多少次,在该时间段内发生该行为的用户一共有多少人,以及当前一共有多少用户;或者,分别统计在不同的网络环境下,每个用户的每个行为各发生了多少次,在该网络环境下发生该行为的用户一共有多少人,以及当前一共有多少用户;或者,同时结合时间与网络特征,分别统计在指定时间段内,在不同的网络环境下,每个用户的每个行为各发生了多少次,在该指定时间段内和网络环境下发生该行为的用户一共有多少人,以及当前一共有多少用户等等。
然后,可以采用每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值。
在具体实现中,可以使用对数修正的TF-IDF算法(Term Frequency–Inverse DocumentFrequency,词频-逆向文件频率加权算法)提取用户与终端之间具有代表性的行为,将用户与终端的行为特征化。TF-IDF算法是信息检索与文本挖掘中常用的加权技术,该算法通过tf(词频)以及idf(逆向文件频率)计算,可以有效剔除没有区分能力的词语,同时保留特征短语。
在本申请实施例中,不同于文本特征,用户行为数据具有用户数量远小于用户行为数量的特点,因此在计算时需要修正TF-IDF算法中tf的计算方式,即对每个用户的每个行为发生的次数取对数后再计算词频。
在具体实现中,可以分别计算每个用户的每个行为发生的次数的对数值;并以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;通过计算词频和逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
具体地,可以采用如下公式计算每个用户发生每个行为的特征值:
在计算得到每个用户发生每个行为的特征值后,可以依据该特征值,生成用户的特征信息。
在本申请实施例中,可以识别大于第一预设阈值的特征值为目标特征值;并依据目标特征值,生成用户的行为特征向量。
在具体实现中,可以将TF-IDF值降序排列,选取TF-IDF值大于预设阈值的行为构成用户的行为特征向量。
例如,可以设定第一预设阈值为0.7,从而在计算出每个行为的TF-IDF值后,对全部行为的TF-IDF值进行排序,并从中选出TF-IDF大于0.7的行为构成用户的行为特征向量。
如表六所示,是一种用户行为的特征值的示例,该用户的全部行为可以根据日志数据的类型分为终端操作行为、应用操作行为和网络操作行为,每种操作行为又可以包括多个具体的行为,根据TF-IDF算法可以具体计算出每个具体的行为的特征值。
表六:用户行为的特征值示例
从而可以得到该用户的行为特征向量为:
-
在本申请实施例中,在根据TF-IDF算法计算出每个具体的行为的特征值后,还可以以图像的方式直观地刻画出该用户的某类操作行为。
如图4A和图4B所示,分别是用户的网络操作行为画像示意图。其中,图4A是用户1的网络操作行为画像示意图,图4B是用户2的网络操作行为画像示意图。
在图4A和图4B中,X轴表示时间,单位可以自由定义,如1天、1周、1月等。Z轴表示关注的行为维度,如登录行为、web行为等。当然,Z轴也可以展示具体行为,如登录服务器A、登录服务器B、登录服务器C分别占据一个维度。Y轴为计算得到的特征值,表示某一时间单位上、某种行为维度上对于某些终端所表现的重要程度。从图4A和图4B中可以看到,不同用户的网络行为画像是有差别的,管理员可以通过这种差别,直观地了解对每个用户的网络行为特点。
子步骤2014,依据所述用户的特征信息,生成用户相似度数据表。
对于每个用户,均可以计算出该用户的特征向量。因此,可以采用用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度,进而采用余弦相似度,生成用户相似度数据表。
如表七所示,是一种用户相似度数据表的示例,该数据表中记录有任意两个用户之间的行为相似度,该行为相似度等于用户的行为特征向量之间的余弦相似度。
表七:用户相似度数据表示例
当然,本领域技术人员还可以以其他方式记录用户两两用户之间的行为相似度,本申请实施例对用户相似度数据表的具体形式不作限定。
在生成用户相似度数据表后,可以将该数据表预置于服务器中。
需要说明的是,在本申请的一种示例中,在生成用户相似度数据表后,还可以采用该用户相似度数据表,生成一个或多个用户类别,并将终端分别关联至一个或多个用户类别。
在本申请实施例中,终端可以包括U盘、手机、电脑等设备,终端是用户行为的客体。通过将终端分别与用户类别进行关联,可以确定各个类别主要使用到的终端种类。
如图5所示,是本申请的用户聚类的结果示意图。在图5中,每个圆点表示一个用户,每个圆圈为一类用户。在获得用户聚类结果后,可以分别将终端与各个用户类别进行关联,从而得到如图6所示的终端与用户类别关联示意图。在图6中,每个圆点表示一个用户,每个方框表示每个用户类别所关联的终端。
步骤202,从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度;
在本申请实施例中,由于预置于服务器中记录了任意两个用户之间的行为相似度,因此,可以直接从预置的用户相似度数据表中提取出当前用户与其他用户之间的行为相似度。
步骤203,依据所述行为相似度,确定一个或多个目标用户;
在本申请实施例中,目标用户可以是指与当前用户具有较高相似性的用户。
在具体实现中,可以确定行为相似度超过第二预设阈值的一个或多个用户为目标用户;或者,对行为相似度进行降序排序,并确定排序在前的预设个数的用户为目标用户,本申请实施例对确定目标用户的具体方式不作限定。
步骤204,分别确定所述一个或多个目标用户是否发生所述当前用户的当前行为;
例如,对于当前用户发生的某个行为a,可以首先确定在全部目标用户的历史行为中,是否发生过该行为a。
步骤205,计算发生所述当前行为的目标用户的行为相似度之和,以及全部目标用户的行为相似度之和;
在具体实现中,可以计算出所有在其历史行为中发生过该行为a的目标用户的行为相似度之和P1,以及全部用户目标用户的行为相似度之和P2
步骤206,以所述发生所述当前行为的目标用户的行为相似度之和,与所述全部目标用户的行为相似度之和的比值作为所述当前用户的当前行为的概率值;
即,可以以P1与P2之间的比值P1/P2,作为当前用户的当前行为的概率值。
步骤207,依据所述概率值,对所述当前行为进行检测。
在本申请实施例中,可以设定一阈值,当概率值小于该阈值时,可以识别当前行为为异常行为。
例如,可以设定阈值为0.5,当在步骤103中计算得到当前用户的当前行为的概率值小于0.5时,可以认为当前用户发生当前行为的概率较低,但现在却观测到当前用户发生了该行为,因此可以认为该行为为异常行为。
参照图7,示出了根据本申请又一个实施例的一种用户行为的检测方法实施例的步骤流程图,具体可以包括如下步骤:
步骤701,获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
在本申请实施例中,当前行为和历史行均可以是指由至少一个用户行为构成的集合。即,当前用户的当前行为可以是指在一个预设时间段内,当前用户所发生的全部用户行为。例如,访问服务器A,访问服务器B,访问网站G等等。类似地,其他用户的当前行为也可以是指在相同的时间段内,其他用户分别发生的用户行为。例如,访问服务器A,访问服务器B,访问网站H,访问网站I,访问网站K等等。对于历史行为,则可以是指在当前行为所针对的时间段之间所发生过的全部用户行为。
如表八所示,是一种当前用户的当前行为和历史行为的示例。
表八:当前用户的当前行为和历史行为示例
步骤702,依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
通常,用户的自身偏离值可以用作衡量该用户的当前行为与该用户的历史行为之间的偏离度。
在本申请实施例中,可以首先提取当前用户的当前行为和历史行为中的第一共同行为,第一共同行为可以是指在当前行为和历史行为中同时发生的用户行为。在提取出第一共同行为后,可以再分别统计第一共同行为和当前用户的当前行为的数量,然后计算第一共同行为的数量与当前用户的当前行为的数量之间的第一比值,并以该第一比值与特定数值之间的差值的绝对值作为自身偏离值,特定数值可以为1。
例如,对于如表八所示的当前用户的当前行为和历史行为,可以确定当前行为和历史行为中的第一共同行为包括{访问服务器A,访问服务器B},然后可以计算出第一共同行为的数量为2,当前行为的数量为3,即{访问服务器A,访问服务器B,访问网站G},因此,可以确定二者之间的比值为2/3,然后得到特定数值1与该比值之间的差值的绝对值为1/3,即为当前用户的自身偏离值。
在具体实现中,可以采用如下公式计算用户的自身偏离值:
其中,||符号表示集合中元素的数量,∩符号表示集合的交集。
因此,对于表八所示的当前用户的当前行为和历史行为,也可以直接采用上述公式计算的大当前用户的自身偏离值为:
步骤703,依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
在本申请实施例中,可以首先提取当前用户的当前行为和其他用户的当前行为中的第二共同行为。第二共同行为可以是指在当前用户的当前行为和其他用户的当前行为中同时发生的用户行为。然后,在分别统计第二共同行为和当前用户的当前行为的数量后,计算第二共同行为的数量与当前用户的当前行为的数量之间的第二比值,并以该第二比值作为当前相似度。
步骤704,获取当前用户与其他用户之间的行为相似度;
在本申请实施例中,行为相似度可以是指当前用户的历史行为与其他用户的历史行为之间的相似性。
通常,可以对每个用户的行为进行记录,并按照一定的方式进行分析,得到全部用户的用户相似度数据表,并将该数据表预置于服务器中,该数据表中可以记录有全部用户两间之间的行为相似度。
因此,在具体实现中,可以直接从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
用户相似度数据表的生成方式可以参阅上述实施例中子步骤2011-子步骤2014的描述,本实施例对此不再赘述。
步骤705,采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
在本申请实施例中,在计算获得当前用户与其他用户的当前相似度后,可以采用该当前相似度,生成当前相似度向量。在从预置的用户相似度数据表中提取出当前用户与其他用户之间的行为相似度后,也可以采用该行为相似度,生成行为相似度向量。
如表九所示,是当前用户与其他用户(即用户1-用户5)的当前相似度与行为相似度的示例。
表九:当前用户与其他用户的当前相似度与行为相似度的示例
通过对表九中的数据进行处理,可以得到如表十所示的当前用户的当前相似度向量与行为相似度向量。
表十:当前用户的当前相似度向量与行为相似度向量示例
因此,在具体实现中,可以通过当前相似度向量与行为相似度向量计算当前用户的相似度偏离值。相似度偏离值可以用作衡量某用户与其他用户之间的相似性的偏离度。
具体地,可以首先计算当前相似度和行为相似度之间的余弦相似度,并以该余弦相似度与特定数值之间的差值的绝对值作为相似度偏离值,该特定数值可以为1。
例如,对于如表十所示的当前用户的当前相似度向量与行为相似度向量可以首先计算之间的余弦相似度并以该余弦相似度与特定数值1之间的差值的绝对值作为当前用户的相似度偏离值。
因此,对于表十所示的当前用户,可以计算得到其相似度偏离值为:
步骤706,依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
通常,用户的自身偏离值和相似度偏离值的取值范围都为[0,1],趋近于0时,表示行为偏离小;反之,趋近于1时表示行为偏离大。因此,通过对自身偏离值和相似度偏离值配合使用,可以降低用户行为分析的误报率。
在具体实现中,当自身偏离值大于第二预设值,相似度偏离值小于第三预设值时,可以识别用户行为为正常行为;当自身偏离值大于第二预设值,相似度偏离值大于第二预设值时,可以识别用户行为为异常行为;当自身偏离值小于第三预设值时,可以识别用户行为为正常行为;当自身偏离值和相似度偏离值中的最小值大于第四预设值时,可以识别用户行为为异常行为。
例如,当自身偏离值接近1,相似度偏离值接近0时,用户行为可以被识别为正常;当自身偏离值接近1,相似度偏离值也接近1时,用户行为可以被识别为异常;当自身偏离度值接近0时,用户行为可以被识别为正常;根据经验设置阈值,如当自身偏离值和相似度偏离值中的最小值大于0.9时,用户行为可以被识别为异常。
通常,通过概率值可以识别用户某一个行为是否异常,通过自身偏离值和相似度偏离值可以识别用户总体行为是否异常。因此在通过自身偏离值和相似度偏离值识别的总体异常行为时,需要对该异常行为作进一步分析,查找异常原因。即当识别出某个用户行为为异常行为时,还可以对该异常行为进行追溯,具体分析用户总体行为中引起异常的是哪些行为,并输出这些行为。
在具体实现中,可以通过如下子步骤对异常行为进行追溯:
子步骤7061,确定当前的全部用户的用户行为集合U;
子步骤7062,计算当前的全部用户的用户行为集合U的相似度偏离值;
子步骤7063,对于所述用户行为U中的任一用户行为a,分别计算删除所述用户行为a之后的相似度偏离值;
子步骤7064,当所述用户行为集合U的相似度偏离值大于所述删除所述用户行为a之后的相似度偏离值时,将所述用户行为a从所述用户行为集合U中删除;
子步骤7065,返回执行所述计算当前的全部用户的用户行为集合U的相似度偏离值的步骤,直到所述用户行为集合U的相似度偏离值不大于所述删除所述用户行为a之后的相似度偏离值,或所述用户行为集合U中只包括一个用户行为。
子步骤7066,输出所述用户行为集合U。
具体地,可以设定当前的全部用户的用户行为集合为U,集合U中的每个用户行为用a表示。首先,可以计算用户行为集合U的相似度偏离值s_dev(U),对于集合U中的每个用户行为a,可以计算去掉该行为后的用户行为集合U的相似度偏离值s_dev(a),如果存在s_dev(a)>s_dev(U),则在集合U中删除使s_dev(a)最大的a,并重复上述步骤,直到集合U中不存在使s_dev(a)>s_dev(U)的行为a,或者当集合U中只剩下一个元素;此时,可以输出用户行为集合U,完成对异常行为的追溯。
在本申请实施例中,可以把异常检测识别出的异常行为按照固定的模板形成异常报告,有助于管理员后续响应处理这些异常行为。异常报告主要可以包括以下信息:User(用户名)、MID(终端设备序列号)、异常行为以及行为时间等等。
如下所示,是本申请的异常报告的一个示例:
异常报告
User:zhangsan
MID:56F213E9B29
异常行为1:访问数据库 192.168.10.3
异常行为1时间:2016-10-13 12:10:51
异常行为2:访问服务器 192.168.25.11
异常行为2时间:2016-10-13 12:01:30
其中,192.168.10.3和192.168.25.11分别是数据库的IP地址以及服务器的IP地址。
当然,本领域技术人员还可以按照其他方式输出异常报告,本实施例对此不作限定。
在检测出异常行为后,可以将异常报告发送给管理员,管理员可结合专家经验和其他资源进一步判定该用户行为是否属于异常。如果管理员判定用户行为正常,可以重新将用户当前行为标记为正常;如果管理员判定用户行为异常,除需要标记为异常外,还可以采取验证、拦截、阻断甚至与用户本人核实等管理手段进行处理。
参照图8,示出了根据本申请一个实施例的一种用户相似度数据表的生成方法实施例的步骤流程图,具体可以包括如下步骤:
步骤801,获取终端的日志数据;
步骤802,依据所述日志数据,生成用户的行为数据;
步骤803,采用所述用户的行为数据,计算所述用户的特征信息;
步骤804,依据所述用户的特征信息,生成用户相似度数据表。
由于本实施例中步骤801-步骤804与上述实施例中子步骤2011-子步骤2014类似,可以相互参阅,本实施例对此不再赘述。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
参照图9,示出了根据本申请一个实施例的一种用户行为的检测装置实施例的结构框图,具体可以包括如下模块:
获取模块901,用于获取当前用户与其他用户之间的行为相似度;
确定模块902,用于依据所述行为相似度,确定一个或多个目标用户;
计算模块903,用于采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
检测模块904,用于依据所述概率值,对所述当前行为进行检测。
在本申请实施例中,所述获取模块901具体可以包括如下子模块:
提取子模块,用于从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
在本申请实施例中,所述预置的用户相似度数据表可以通过调用如下模块生成:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
在本申请实施例中,所述日志数据可以包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块具体可以包括如下子模块:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
在本申请实施例中,所述行为数据生成子模块具体可以包括如下单元:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
在本申请实施例中,所述特征信息计算模块具体可以包括如下子模块:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
在本申请实施例中,所述统计子模块具体可以包括如下单元:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
在本申请实施例中,所述计算子模块具体可以包括如下单元:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
在本申请实施例中,所述特征信息生成子模块具体可以包括如下单元:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
在本申请实施例中,所述用户相似度数据表生成模块具体可以包括如下子模块:
余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
在本申请实施例中,所述装置还可以包括如下模块:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。
在本申请实施例中,所述确定模块902具体可以包括如下子模块:
第一目标用户确定子模块,用于确定所述行为相似度超过第二预设阈值的一个或多个用户为目标用户。
在本申请实施例中,所述确定模块902还可以包括如下子模块:
行为相似度排序子模块,用于对所述行为相似度进行降序排序;
第二目标用户确定子模块,用于确定排序在前的预设个数的用户为目标用户。
在本申请实施例中,所述计算模块903具体可以包括如下子模块:
当前行为确定子模块,用于分别确定所述一个或多个目标用户是否发生所述当前用户的当前行为;
行为相似度之和计算子模块,用于计算发生所述当前行为的目标用户的行为相似度之和,以及全部目标用户的行为相似度之和;
概率值计算子模块,用于以所述发生所述当前行为的目标用户的行为相似度之和,与所述全部目标用户的行为相似度之和的比值作为所述当前用户的当前行为的概率值。
在本申请实施例中,所述检测模块904具体可以包括如下子模块:
异常行为识别子模块,用于当所述概率值小于第三预设阈值时,识别所述当前行为为异常行为。
参照图10,示出了根据本申请另一个实施例的一种用户行为的检测装置实施例的结构框图,具体可以包括如下模块:
用户行为获取模块1001,用于获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
自身偏离值计算模块1002,用于依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
当前相似度计算模块1003,用于依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
行为相似度获取模块1004,用于获取当前用户与其他用户之间的行为相似度;
相似度偏离值计算模块1005,用于采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
用户行为检测模块1006,用于依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
在本申请实施例中,所述自身偏离值计算模块1002具体可以包括如下子模块:
第一共同行为提取子模块,用于提取所述当前用户的当前行为和历史行为中的第一共同行为;
第一行为数量统计子模块,用于分别统计所述第一共同行为和所述当前用户的当前行为的数量;
第一比值计算子模块,用于计算所述第一共同行为的数量与所述当前用户的当前行为的数量之间的第一比值;
自身偏离值确定子模块,用于以所述第一比值与特定数值之间的差值的绝对值作为自身偏离值。
在本申请实施例中,所述当前相似度计算模块1003具体可以包括如下子模块:
第二共同行为提取子模块,用于提取所述当前用户的当前行为和其他用户的当前行为中的第二共同行为;
第二行为数量统计子模块,用于分别统计所述第二共同行为和所述当前用户的当前行为的数量;
第二比值计算子模块,用于计算所述第二共同行为的数量与所述当前用户的当前行为的数量之间的第二比值;以所述第二比值作为当前相似度。
在本申请实施例中,所述装置还可以包括如下子模块:
当前相似度向量生成子模块,用于采用所述当前相似度,生成当前相似度向量。
在本申请实施例中,所述行为相似度获取模块1004具体可以包括如下子模块:
行为相似度提取子模块,用于从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
在本申请实施例中,所述预置的用户相似度数据表可以通过调用如下模块生成:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
在本申请实施例中,所述日志数据可以包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块具体可以包括如下子模块:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
在本申请实施例中,所述行为数据生成子模块具体可以包括如下单元:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
在本申请实施例中,所述特征信息计算模块具体可以包括如下子模块:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
在本申请实施例中,所述统计子模块具体可以包括如下单元:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
在本申请实施例中,所述计算子模块具体可以包括如下单元:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
在本申请实施例中,所述特征信息生成子模块具体可以包括如下单元:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
在本申请实施例中,所述用户相似度数据表生成模块具体可以包括如下子模块:
第一余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
在本申请实施例中,所述装置还可以包括如下模块:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。
在本申请实施例中,所述装置还可以包括如下模块:
行为相似度向量生成模块,用于采用所述行为相似度,生成行为相似度向量。
在本申请实施例中,所述相似度偏离值计算模块1005具体可以包括如下子模块:
第二余弦相似度计算子模块,用于计算所述当前相似度和行为相似度之间的余弦相似度;
相似度偏离值确定子模块,用于以所述余弦相似度与特定数值之间的差值的绝对值作为相似度偏离值。
在本申请实施例中,所述用户行为检测模块1006具体可以包括如下子模块:
第一检测子模块,用于当所述自身偏离值大于第二预设值,相似度偏离值小于第三预设值时,识别所述用户行为为正常行为;
第二检测子模块,用于当所述自身偏离值大于第二预设值,相似度偏离值大于第二预设值时,识别所述用户行为为异常行为;
第三检测子模块,用于当所述自身偏离值小于第三预设值时,识别所述用户行为为正常行为;
第四检测子模块,用于当所述自身偏离值和相似度偏离值中的最小值大于第四预设值时,识别所述用户行为为异常行为。
在本申请实施例中,所述用户行为检测模块1006还可以包括如下子模块:
异常行为追溯子模块,用于对所述异常行为进行追溯。
在本申请实施例中,所述异常行为追溯子模块具体可以包括如下单元:
用户行为集合确定单元,用于确定当前的全部用户的用户行为集合U;
第一相似度偏离值计算单元,用于计算当前的全部用户的用户行为集合U的相似度偏离值;
第二相似度偏离值计算单元,用于对于所述用户行为U中的任一用户行为a,分别计算删除所述用户行为a之后的相似度偏离值;
用户行为删除单元,用于当所述用户行为集合U的相似度偏离值大于所述删除所述用户行为a之后的相似度偏离值时,将所述用户行为a从所述用户行为集合U中删除;
返回单元,用于返回执行所述第一相似度偏离值计算单元计算当前的全部用户的用户行为集合U的相似度偏离值,直到所述用户行为集合U的相似度偏离值不大于所述删除所述用户行为a之后的相似度偏离值,或所述用户行为集合U中只包括一个用户行为。
用户行为集合输出单元,用于输出所述用户行为集合U。
参照图11,示出了根据本申请一个实施例的一种用户相似度数据表的生成装置实施例的结构框图,具体可以包括如下模块:
日志数据获取模块1101,用于获取终端的日志数据;
行为数据生成模块1102,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块1103,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块1104,用于依据所述用户的特征信息,生成用户相似度数据表。
在本申请实施例中,所述日志数据可以包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块1102具体可以包括如下子模块:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
在本申请实施例中,所述行为数据生成子模块具体可以包括如下单元:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
在本申请实施例中,所述特征信息计算模块1103具体可以包括如下子模块:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
在本申请实施例中,所述统计子模块具体可以包括如下单元:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
在本申请实施例中,所述计算子模块具体可以包括如下单元:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
在本申请实施例中,所述特征信息生成子模块具体可以包括如下单元:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
在本申请实施例中,所述用户相似度数据表生成模块1104具体可以包括如下子模块:
余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
在本申请实施例中,所述装置还可以包括如下模块:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的用户行为的检测方法、用户行为的检测装置、用户相似度数据表的生成方法和用户相似度数据表的生成装置中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本申请公开了A1、一种用户行为的检测方法,包括:
获取当前用户与其他用户之间的行为相似度;
依据所述行为相似度,确定一个或多个目标用户;
采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
依据所述概率值,对所述当前行为进行检测。
A2、如A1所述的方法,所述获取当前用户与其他用户之间的行为相似度的步骤包括:
从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
A3、如A2所述的方法,所述预置的用户相似度数据表通过如下方式生成:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
A4、如A3所述的方法,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述依据所述日志数据,生成用户的行为数据的步骤包括:
分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
A5、如A4所述的方法,所述依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据的步骤包括:
以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
A6、如A3所述的方法,所述采用所述用户的行为数据,计算所述用户的特征信息的步骤包括:
根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
依据所述特征值,生成所述用户的特征信息。
A7、如A6所述的方法,所述根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数的步骤包括:
根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
A8、如A6所述的方法,所述采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值的步骤包括:
分别计算每个用户的每个行为发生的次数的对数值;
以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
A9、如A6所述的方法,所述依据所述特征值,生成所述用户的特征信息的步骤包括:
识别大于第一预设阈值的特征值为目标特征值;
依据所述目标特征值,生成所述用户的行为特征向量。
A10、如A9所述的方法,所述依据所述用户的特征信息,生成用户相似度数据表的步骤包括:
采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
采用所述余弦相似度,生成用户相似度数据表。
A11、如A3所述的方法,还包括:
采用所述用户相似度数据表,生成一个或多个用户类别;
将所述终端分别关联至所述一个或多个用户类别。
A12、如A1所述的方法,所述依据所述行为相似度,确定一个或多个目标用户的步骤包括:
确定所述行为相似度超过第二预设阈值的一个或多个用户为目标用户。
A13、如A1所述的方法,所述依据所述行为相似度,确定一个或多个目标用户的步骤包括:
对所述行为相似度进行降序排序;
确定排序在前的预设个数的用户为目标用户。
A14、如A1所述的方法,所述采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值的步骤包括:
分别确定所述一个或多个目标用户是否发生所述当前用户的当前行为;
计算发生所述当前行为的目标用户的行为相似度之和,以及全部目标用户的行为相似度之和;
以所述发生所述当前行为的目标用户的行为相似度之和,与所述全部目标用户的行为相似度之和的比值作为所述当前用户的当前行为的概率值。
A15、如A1所述的方法,所述依据所述概率值,对所述当前行为进行检测的步骤包括:
当所述概率值小于第三预设阈值时,识别所述当前行为为异常行为。
本申请还公开了B16、一种用户行为的检测方法,包括:
获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
获取当前用户与其他用户之间的行为相似度;
采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
B17、如B16所述的方法,所述依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值的步骤包括:
提取所述当前用户的当前行为和历史行为中的第一共同行为;
分别统计所述第一共同行为和所述当前用户的当前行为的数量;
计算所述第一共同行为的数量与所述当前用户的当前行为的数量之间的第一比值;
以所述第一比值与特定数值之间的差值的绝对值作为自身偏离值。
B18、如B16所述的方法,所述依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度的步骤包括:
提取所述当前用户的当前行为和其他用户的当前行为中的第二共同行为;
分别统计所述第二共同行为和所述当前用户的当前行为的数量;
计算所述第二共同行为的数量与所述当前用户的当前行为的数量之间的第二比值;
以所述第二比值作为当前相似度。
B19、如B18所述的方法,还包括:
采用所述当前相似度,生成当前相似度向量。
B20、如B16所述的方法,其特征在于,所述获取当前用户与其他用户之间的行为相似度的步骤包括:
从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
B21、如B20所述的方法,所述预置的用户相似度数据表通过如下方式生成:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
B22、如B21所述的方法,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述依据所述日志数据,生成用户的行为数据的步骤包括:
分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
B23、如B22所述的方法,所述依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据的步骤包括:
以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
B24、如B21所述的方法,所述采用所述用户的行为数据,计算所述用户的特征信息的步骤包括:
根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
依据所述特征值,生成所述用户的特征信息。
B25、如B24所述的方法,所述根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数的步骤包括:
根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
B26、如B24所述的方法,所述采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值的步骤包括:
分别计算每个用户的每个行为发生的次数的对数值;
以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
B27、如B24所述的方法,所述依据所述特征值,生成所述用户的特征信息的步骤包括:
识别大于第一预设阈值的特征值为目标特征值;
依据所述目标特征值,生成所述用户的行为特征向量。
B28、如B27所述的方法,所述依据所述用户的特征信息,生成用户相似度数据表的步骤包括:
采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
采用所述余弦相似度,生成用户相似度数据表。
B29、如B21所述的方法,还包括:
采用所述用户相似度数据表,生成一个或多个用户类别;
将所述终端分别关联至所述一个或多个用户类别。
B30、如B16所述的方法,在所述获取当前用户与其他用户之间的行为相似度的步骤后,还包括:
采用所述行为相似度,生成行为相似度向量。
B31、如B16所述的方法,所述采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值的步骤包括:
计算所述当前相似度和行为相似度之间的余弦相似度;
以所述余弦相似度与特定数值之间的差值的绝对值作为相似度偏离值。
B32、如B16所述的方法,所述依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测的步骤包括:
当所述自身偏离值大于第二预设值,相似度偏离值小于第三预设值时,识别所述用户行为为正常行为;
当所述自身偏离值大于第二预设值,相似度偏离值大于第二预设值时,识别所述用户行为为异常行为;
当所述自身偏离值小于第三预设值时,识别所述用户行为为正常行为;
当所述自身偏离值和相似度偏离值中的最小值大于第四预设值时,识别所述用户行为为异常行为。
B33、如B12所述的方法,在所述识别所述用户行为为异常行为的步骤后,还包括:
对所述异常行为进行追溯。
B34、如B33所述的方法,所述对所述异常行为进行追溯的步骤包括:
确定当前的全部用户的用户行为集合U;
计算当前的全部用户的用户行为集合U的相似度偏离值;
对于所述用户行为U中的任一用户行为a,分别计算删除所述用户行为a之后的相似度偏离值;
当所述用户行为集合U的相似度偏离值大于所述删除所述用户行为a之后的相似度偏离值时,将所述用户行为a从所述用户行为集合U中删除;
返回执行所述计算当前的全部用户的用户行为集合U的相似度偏离值的步骤,直到所述用户行为集合U的相似度偏离值不大于所述删除所述用户行为a之后的相似度偏离值,或所述用户行为集合U中只包括一个用户行为。
输出所述用户行为集合U。
本申请还公开了C35、一种用户相似度数据表的生成方法,包括:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
C36、如C35所述的方法,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述依据所述日志数据,生成用户的行为数据的步骤包括:
分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
C37、如C36所述的方法,所述依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据的步骤包括:
以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
C38、如C35所述的方法,所述采用所述用户的行为数据,计算所述用户的特征信息的步骤包括:
根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
依据所述特征值,生成所述用户的特征信息。
C39、如C38所述的方法,所述根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数的步骤包括:
根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
C40、如C38所述的方法,所述采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值的步骤包括:
分别计算每个用户的每个行为发生的次数的对数值;
以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
C41、如C38所述的方法,所述依据所述特征值,生成所述用户的特征信息的步骤包括:
识别大于第一预设阈值的特征值为目标特征值;
依据所述目标特征值,生成所述用户的行为特征向量。
C42、如C41所述的方法,所述依据所述用户的特征信息,生成用户相似度数据表的步骤包括:
采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
采用所述余弦相似度,生成用户相似度数据表。
C43、如C35所述的方法,还包括:
采用所述用户相似度数据表,生成一个或多个用户类别;
将所述终端分别关联至所述一个或多个用户类别。
本申请还公开了D44、一种用户行为的检测装置,包括:
获取模块,用于获取当前用户与其他用户之间的行为相似度;
确定模块,用于依据所述行为相似度,确定一个或多个目标用户;
计算模块,用于采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
检测模块,用于依据所述概率值,对所述当前行为进行检测。
D45、如D44所述的装置,所述获取模块包括:
提取子模块,用于从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
D46、如D45所述的装置,所述预置的用户相似度数据表通过调用如下模块生成:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
D47、如D46所述的装置,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块包括:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
D48、如D47所述的装置,所述行为数据生成子模块包括:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
D49、如D46所述的装置,所述特征信息计算模块包括:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
D50、如D49所述的装置,所述统计子模块包括:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
D51、如D49所述的装置,所述计算子模块包括:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
D52、如D49所述的装置,所述特征信息生成子模块包括:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
D53、如D52所述的装置,所述用户相似度数据表生成模块包括:
余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
D54、如D46所述的装置,还包括:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。
D55、如D44所述的装置,所述确定模块包括:
第一目标用户确定子模块,用于确定所述行为相似度超过第二预设阈值的一个或多个用户为目标用户。
D56、如D44所述的装置,所述确定模块包括:
行为相似度排序子模块,用于对所述行为相似度进行降序排序;
第二目标用户确定子模块,用于确定排序在前的预设个数的用户为目标用户。
D57、如D44所述的装置,所述计算模块包括:
当前行为确定子模块,用于分别确定所述一个或多个目标用户是否发生所述当前用户的当前行为;
行为相似度之和计算子模块,用于计算发生所述当前行为的目标用户的行为相似度之和,以及全部目标用户的行为相似度之和;
概率值计算子模块,用于以所述发生所述当前行为的目标用户的行为相似度之和,与所述全部目标用户的行为相似度之和的比值作为所述当前用户的当前行为的概率值。
D58、如D44所述的装置,所述检测模块包括:
异常行为识别子模块,用于当所述概率值小于第三预设阈值时,识别所述当前行为为异常行为。
本申请还公开了E59、一种用户行为的检测装置,包括:
用户行为获取模块,用于获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
自身偏离值计算模块,用于依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
当前相似度计算模块,用于依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
行为相似度获取模块,用于获取当前用户与其他用户之间的行为相似度;
相似度偏离值计算模块,用于采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
用户行为检测模块,用于依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
E60、如E59所述的装置,所述自身偏离值计算模块包括:
第一共同行为提取子模块,用于提取所述当前用户的当前行为和历史行为中的第一共同行为;
第一行为数量统计子模块,用于分别统计所述第一共同行为和所述当前用户的当前行为的数量;
第一比值计算子模块,用于计算所述第一共同行为的数量与所述当前用户的当前行为的数量之间的第一比值;
自身偏离值确定子模块,用于以所述第一比值与特定数值之间的差值的绝对值作为自身偏离值。
E61、如E59所述的装置,所述当前相似度计算模块包括:
第二共同行为提取子模块,用于提取所述当前用户的当前行为和其他用户的当前行为中的第二共同行为;
第二行为数量统计子模块,用于分别统计所述第二共同行为和所述当前用户的当前行为的数量;
第二比值计算子模块,用于计算所述第二共同行为的数量与所述当前用户的当前行为的数量之间的第二比值;以所述第二比值作为当前相似度。
E62、如E61所述的装置,还包括:
当前相似度向量生成子模块,用于采用所述当前相似度,生成当前相似度向量。
E63、如E59所述的装置,所述行为相似度获取模块包括:
行为相似度提取子模块,用于从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
E64、如E63所述的装置,所述预置的用户相似度数据表通过调用如下模块生成:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
E65、如E64所述的装置,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块包括:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
E66、如E65所述的装置,所述行为数据生成子模块包括:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
E67、如E64所述的装置,所述特征信息计算模块包括:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
E68、如E67所述的装置,所述统计子模块包括:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
E69、如E67所述的装置,所述计算子模块包括:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
E70、如E67所述的装置,所述特征信息生成子模块包括:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
E71、如E70所述的装置,所述用户相似度数据表生成模块包括:
第一余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
E72、如E64所述的装置,还包括:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。
E73、如E59所述的装置,还包括:
行为相似度向量生成模块,用于采用所述行为相似度,生成行为相似度向量。
E74、如E59所述的装置,所述相似度偏离值计算模块包括:
第二余弦相似度计算子模块,用于计算所述当前相似度和行为相似度之间的余弦相似度;
相似度偏离值确定子模块,用于以所述余弦相似度与特定数值之间的差值的绝对值作为相似度偏离值。
E75、如E59所述的装置,所述用户行为检测模块包括:
第一检测子模块,用于当所述自身偏离值大于第二预设值,相似度偏离值小于第三预设值时,识别所述用户行为为正常行为;
第二检测子模块,用于当所述自身偏离值大于第二预设值,相似度偏离值大于第二预设值时,识别所述用户行为为异常行为;
第三检测子模块,用于当所述自身偏离值小于第三预设值时,识别所述用户行为为正常行为;
第四检测子模块,用于当所述自身偏离值和相似度偏离值中的最小值大于第四预设值时,识别所述用户行为为异常行为。
E76、如E75所述的装置,还包括:
异常行为追溯子模块,用于对所述异常行为进行追溯。
E77、如E76所述的装置,所述异常行为追溯子模块包括:
用户行为集合确定单元,用于确定当前的全部用户的用户行为集合U;
第一相似度偏离值计算单元,用于计算当前的全部用户的用户行为集合U的相似度偏离值;
第二相似度偏离值计算单元,用于对于所述用户行为U中的任一用户行为a,分别计算删除所述用户行为a之后的相似度偏离值;
用户行为删除单元,用于当所述用户行为集合U的相似度偏离值大于所述删除所述用户行为a之后的相似度偏离值时,将所述用户行为a从所述用户行为集合U中删除;
返回单元,用于返回执行所述第一相似度偏离值计算单元计算当前的全部用户的用户行为集合U的相似度偏离值,直到所述用户行为集合U的相似度偏离值不大于所述删除所述用户行为a之后的相似度偏离值,或所述用户行为集合U中只包括一个用户行为。
用户行为集合输出单元,用于输出所述用户行为集合U。
本申请还公开了F78、一种用户相似度数据表的生成装置,包括:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
F79、如F78所述的装置,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述行为数据生成模块包括:
日志数据获取子模块,用于分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
行为数据生成子模块,用于依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
F80、如F79所述的装置,所述行为数据生成子模块包括:
行为数据生成单元,用于以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
F81、如F78所述的装置,所述特征信息计算模块包括:
统计子模块,用于根据所述用户的行为数据,分别统计每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数;
计算子模块,用于采用所述每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,分别计算每个用户发生每个行为的特征值;
特征信息生成子模块,用于依据所述特征值,生成所述用户的特征信息。
F82、如F81所述的装置,所述统计子模块包括:
统计单元,用于根据所述用户的行为数据,分别统计在指定时间段,和/或,指定网络范围内每个用户的每个行为发生的次数、发生每个行为的用户数,以及用户总数,所述指定网络范围包括第一网络范围或第二网络范围。
F83、如F81所述的装置,所述计算子模块包括:
对数值计算单元,用于分别计算每个用户的每个行为发生的次数的对数值;
词频确定单元,用于以当前行为发生的次数的对数值,与每个行为发生的次数的对数值之和的比值为词频;
逆向文件频率确定单元,用于以用户总数与发生当前行为的用户数之间的比值的对数值为逆向文件频率;
特征值计算单元,用于计算所述词频和所述逆向文件频率的乘积,作为每个用户发生每个行为的特征值。
F84、如F81所述的装置,所述特征信息生成子模块包括:
目标特征值识别单元,用于识别大于第一预设阈值的特征值为目标特征值;
行为特征向量生成单元,用于依据所述目标特征值,生成所述用户的行为特征向量。
F85、如F84所述的装置,所述用户相似度数据表生成模块包括:
余弦相似度计算子模块,用于采用所述用户的行为特征向量,分别计算每个用户与其他用户之间的余弦相似度;
用户相似度数据表生成子模块,用于采用所述余弦相似度,生成用户相似度数据表。
F86、如F78所述的装置,还包括:
用户类别生成模块,用于采用所述用户相似度数据表,生成一个或多个用户类别;
终端关联模块,用于将所述终端分别关联至所述一个或多个用户类别。

Claims (10)

1.一种用户行为的检测方法,其特征在于,包括:
获取当前用户与其他用户之间的行为相似度;
依据所述行为相似度,确定一个或多个目标用户;
采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
依据所述概率值,对所述当前行为进行检测。
2.如权利要求1所述的方法,其特征在于,所述获取当前用户与其他用户之间的行为相似度的步骤包括:
从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
3.如权利要求2所述的方法,其特征在于,所述预置的用户相似度数据表通过如下方式生成:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
4.如权利要求3所述的方法,其特征在于,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所述依据所述日志数据,生成用户的行为数据的步骤包括:
分别获取终端操作数据、应用操作数据,和/或,网络操作数据中的用户名User和终端设备序列号MID;
依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据。
5.如权利要求4所述的方法,其特征在于,所述依据所述User和MID,对所述终端操作数据、应用操作数据,和/或,网络操作数据进行关联,生成用户的行为数据的步骤包括:
以(User,MID)为主键,分别获取与所述主键相对应的终端操作数据、应用操作数据,和/或,网络操作数据,以生成用户的行为数据。
6.一种用户行为的检测方法,其特征在于,包括:
获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
获取当前用户与其他用户之间的行为相似度;
采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
7.一种用户相似度数据表的生成方法,其特征在于,包括:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算所述用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
8.一种用户行为的检测装置,其特征在于,包括:
获取模块,用于获取当前用户与其他用户之间的行为相似度;
确定模块,用于依据所述行为相似度,确定一个或多个目标用户;
计算模块,用于采用所述当前用户与所述一个或多个目标用户之间的行为相似度,计算所述当前用户的当前行为的概率值;
检测模块,用于依据所述概率值,对所述当前行为进行检测。
9.一种用户行为的检测装置,其特征在于,包括:
用户行为获取模块,用于获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
自身偏离值计算模块,用于依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
当前相似度计算模块,用于依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
行为相似度获取模块,用于获取当前用户与其他用户之间的行为相似度;
相似度偏离值计算模块,用于采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
用户行为检测模块,用于依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测。
10.一种用户相似度数据表的生成装置,其特征在于,包括:
日志数据获取模块,用于获取终端的日志数据;
行为数据生成模块,用于依据所述日志数据,生成用户的行为数据;
特征信息计算模块,用于采用所述用户的行为数据,计算所述用户的特征信息;
用户相似度数据表生成模块,用于依据所述用户的特征信息,生成用户相似度数据表。
CN201710668128.9A 2017-08-07 2017-08-07 一种用户行为的检测方法和装置 Active CN107579956B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202010421256.5A CN111695114B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置
CN201710668128.9A CN107579956B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710668128.9A CN107579956B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202010421256.5A Division CN111695114B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置

Publications (2)

Publication Number Publication Date
CN107579956A true CN107579956A (zh) 2018-01-12
CN107579956B CN107579956B (zh) 2021-05-11

Family

ID=61034853

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201710668128.9A Active CN107579956B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置
CN202010421256.5A Active CN111695114B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202010421256.5A Active CN111695114B (zh) 2017-08-07 2017-08-07 一种用户行为的检测方法和装置

Country Status (1)

Country Link
CN (2) CN107579956B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108388593A (zh) * 2018-01-31 2018-08-10 北京奇艺世纪科技有限公司 一种防盗链方法、装置和内容服务器
CN108521435A (zh) * 2018-07-06 2018-09-11 武汉思普崚技术有限公司 一种用户网络行为画像的方法及系统
CN109347808A (zh) * 2018-09-26 2019-02-15 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109495479A (zh) * 2018-11-20 2019-03-19 华青融天(北京)软件股份有限公司 一种用户异常行为识别方法及装置
CN110020687A (zh) * 2019-04-10 2019-07-16 北京神州泰岳软件股份有限公司 基于操作人员态势感知画像的异常行为分析方法及装置
CN110138763A (zh) * 2019-05-09 2019-08-16 中国科学院信息工程研究所 一种基于动态web浏览行为的内部威胁检测系统及方法
CN110362981A (zh) * 2019-06-29 2019-10-22 上海淇毓信息科技有限公司 基于可信设备指纹判断异常行为的方法及系统
CN110493264A (zh) * 2019-09-18 2019-11-22 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
CN110875856A (zh) * 2018-08-31 2020-03-10 北京京东尚科信息技术有限公司 激活数据异常检测与分析的方法和装置
CN110888945A (zh) * 2019-11-28 2020-03-17 上海风秩科技有限公司 用户行为预测方法、装置、电子设备及存储介质
CN111385106A (zh) * 2018-12-11 2020-07-07 华为技术有限公司 一种用于故障根因的识别方法、装置和设备
CN111586001A (zh) * 2020-04-28 2020-08-25 咪咕文化科技有限公司 异常用户识别方法、装置、电子设备及存储介质
WO2020258505A1 (zh) * 2019-06-28 2020-12-30 平安科技(深圳)有限公司 网络访问的安全判定方法和装置
CN113129054A (zh) * 2021-03-30 2021-07-16 广州博冠信息科技有限公司 用户识别方法和装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101901317A (zh) * 2010-07-09 2010-12-01 北京大学 一种基于生长型分级自组织映射神经网络的入侵检测方法
CN102045357A (zh) * 2010-12-29 2011-05-04 深圳市永达电子股份有限公司 一种基于仿射聚类分析的入侵检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN104731914A (zh) * 2015-03-24 2015-06-24 浪潮集团有限公司 一种基于行为相似度的用户异常行为检测方法
US20150213358A1 (en) * 2009-11-17 2015-07-30 Hawk Network Defense Inc. Methods and apparatus for analyzing system events
CN105187242A (zh) * 2015-08-20 2015-12-23 中国人民解放军国防科学技术大学 一种基于变长序列模式挖掘的用户异常行为检测方法
CN106529711A (zh) * 2016-11-02 2017-03-22 东软集团股份有限公司 用户行为预测方法及装置
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102411596A (zh) * 2010-09-21 2012-04-11 阿里巴巴集团控股有限公司 一种信息推荐方法及系统
US9166993B1 (en) * 2013-07-25 2015-10-20 Symantec Corporation Anomaly detection based on profile history and peer history
CN106452808A (zh) * 2015-08-04 2017-02-22 北京奇虎科技有限公司 一种数据处理方法和装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150213358A1 (en) * 2009-11-17 2015-07-30 Hawk Network Defense Inc. Methods and apparatus for analyzing system events
CN101901317A (zh) * 2010-07-09 2010-12-01 北京大学 一种基于生长型分级自组织映射神经网络的入侵检测方法
CN102045357A (zh) * 2010-12-29 2011-05-04 深圳市永达电子股份有限公司 一种基于仿射聚类分析的入侵检测方法
CN104660464A (zh) * 2015-01-22 2015-05-27 贵州电网公司信息通信分公司 一种基于非广延熵的网络异常检测方法
CN104731914A (zh) * 2015-03-24 2015-06-24 浪潮集团有限公司 一种基于行为相似度的用户异常行为检测方法
CN105187242A (zh) * 2015-08-20 2015-12-23 中国人民解放军国防科学技术大学 一种基于变长序列模式挖掘的用户异常行为检测方法
CN106529711A (zh) * 2016-11-02 2017-03-22 东软集团股份有限公司 用户行为预测方法及装置
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108388593A (zh) * 2018-01-31 2018-08-10 北京奇艺世纪科技有限公司 一种防盗链方法、装置和内容服务器
CN108521435A (zh) * 2018-07-06 2018-09-11 武汉思普崚技术有限公司 一种用户网络行为画像的方法及系统
CN110875856A (zh) * 2018-08-31 2020-03-10 北京京东尚科信息技术有限公司 激活数据异常检测与分析的方法和装置
CN109347808B (zh) * 2018-09-26 2021-02-12 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109347808A (zh) * 2018-09-26 2019-02-15 北京计算机技术及应用研究所 一种基于用户群行为活动的安全分析方法
CN109495479A (zh) * 2018-11-20 2019-03-19 华青融天(北京)软件股份有限公司 一种用户异常行为识别方法及装置
CN109495479B (zh) * 2018-11-20 2021-12-24 华青融天(北京)软件股份有限公司 一种用户异常行为识别方法及装置
US11956118B2 (en) 2018-12-11 2024-04-09 Huawei Technologies Co., Ltd. Fault root cause identification method, apparatus, and device
CN111385106A (zh) * 2018-12-11 2020-07-07 华为技术有限公司 一种用于故障根因的识别方法、装置和设备
CN110020687A (zh) * 2019-04-10 2019-07-16 北京神州泰岳软件股份有限公司 基于操作人员态势感知画像的异常行为分析方法及装置
CN110020687B (zh) * 2019-04-10 2021-11-05 北京神州泰岳软件股份有限公司 基于操作人员态势感知画像的异常行为分析方法及装置
CN110138763A (zh) * 2019-05-09 2019-08-16 中国科学院信息工程研究所 一种基于动态web浏览行为的内部威胁检测系统及方法
CN110138763B (zh) * 2019-05-09 2020-12-11 中国科学院信息工程研究所 一种基于动态web浏览行为的内部威胁检测系统及方法
WO2020258505A1 (zh) * 2019-06-28 2020-12-30 平安科技(深圳)有限公司 网络访问的安全判定方法和装置
CN110362981A (zh) * 2019-06-29 2019-10-22 上海淇毓信息科技有限公司 基于可信设备指纹判断异常行为的方法及系统
CN110493264A (zh) * 2019-09-18 2019-11-22 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
CN110493264B (zh) * 2019-09-18 2021-12-24 北京工业大学 一种基于内网实体关系与行为链的内部威胁发现方法
CN110888945A (zh) * 2019-11-28 2020-03-17 上海风秩科技有限公司 用户行为预测方法、装置、电子设备及存储介质
CN111586001A (zh) * 2020-04-28 2020-08-25 咪咕文化科技有限公司 异常用户识别方法、装置、电子设备及存储介质
CN113129054A (zh) * 2021-03-30 2021-07-16 广州博冠信息科技有限公司 用户识别方法和装置
CN113129054B (zh) * 2021-03-30 2024-05-31 广州博冠信息科技有限公司 用户识别方法和装置

Also Published As

Publication number Publication date
CN107579956B (zh) 2021-05-11
CN111695114A (zh) 2020-09-22
CN111695114B (zh) 2023-09-01

Similar Documents

Publication Publication Date Title
CN107579956A (zh) 一种用户行为的检测方法和装置
Park et al. Classification of attack types for intrusion detection systems using a machine learning algorithm
Aljawarneh et al. Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model
CN110149343A (zh) 一种基于流的异常通联行为检测方法和系统
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN103930887B (zh) 使用行‑列数据存储的查询汇总生成
CN108768943A (zh) 一种检测异常账号的方法、装置及服务器
CN109040130B (zh) 基于属性关系图的主机网络行为模式度量方法
US20180139222A1 (en) Method and device for detecting website attack
CN108881263A (zh) 一种网络攻击结果检测方法及系统
CN103581909B (zh) 一种疑似手机恶意软件的定位方法及其装置
CN109845223A (zh) 使用预分类来实施网络安全策略
CN115021997B (zh) 一种基于机器学习的网络入侵检测系统
CN110691080A (zh) 自动溯源方法、装置、设备及介质
CN110334119A (zh) 一种数据关联处理方法、装置、设备及介质
CN111740868A (zh) 告警数据的处理方法和装置及存储介质
CN106453320A (zh) 恶意样本的识别方法及装置
CN106290941B (zh) 基于云计算与云存储的毒品及易制毒化学品检测管理系统及方法
CN116996286A (zh) 一种基于大数据分析的网络攻击和安全漏洞治理框架平台
Jaaz et al. Database techniques for resilient network monitoring and inspection
CN103036896A (zh) 用于检测恶意链接的方法及系统
CN109728977B (zh) Jap匿名流量检测方法及系统
Petersen Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks
CN106528805A (zh) 基于用户的移动互联网恶意程序url智能分析挖掘方法
CN110225009A (zh) 一种基于通信行为画像的代理使用者检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant after: QAX Technology Group Inc.

Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing.

Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd.

GR01 Patent grant
GR01 Patent grant