CN107770129A - 用于检测用户行为的方法和装置 - Google Patents
用于检测用户行为的方法和装置 Download PDFInfo
- Publication number
- CN107770129A CN107770129A CN201610680836.XA CN201610680836A CN107770129A CN 107770129 A CN107770129 A CN 107770129A CN 201610680836 A CN201610680836 A CN 201610680836A CN 107770129 A CN107770129 A CN 107770129A
- Authority
- CN
- China
- Prior art keywords
- domain
- circle
- behavior
- behavioral parameters
- login
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种用于检测用户行为的方法和装置,能够提高检测用户行为的效率。包括:确定用户的登录行为信息,登录行为信息包括至少两种行为参数;确定至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,正常行为域中的每个元素对应正常登录行为的行为参数;在至少两种行为参数属于正常行为域中的元素对应的行为参数的情况下,确定登录行为信息对应的登录行为为正常行为;在至少两种行为参数不属于正常行为域中的元素对应的行为参数的情况下,确定登录行为信息对应的登录行为为异常行为。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种用于检测用户行为的方法和装置。
背景技术
随着互联网的不断发展,各类网络应用在生产生活中发挥着越来越重要的作用。但与此同时,针对网络应用的攻击不断涌现,如各类黑客入侵、病毒木马等。另一方面,随着网络应用规模的不断增大,网络应用服务器越来越多,这些服务有些涉及金融、支付等处理业务,其安全稳定的运行十分重要。但是,由于网络运行在开放的环境中,并且网络化系统越来越复杂,难以在部署前发现所有可能的错误。一旦在运行过程中被攻击得手或者网络应用自身出现异常,将给应用的所有者及用户带来不可估量的损失。发生在计算机本地系统或者网络中的事件均被记录在日志数据文件中,这为实现计算机异常事件的检测提供了重要的重要数据源。分析计算机系统日志数据文件能及时发现入侵者的入侵行为。但是计算机系统日志文件的格式与种类繁多,具有数据量大、不易读懂的特点,因此需要提出切实可行的日志文件安全分析方法,以用于对用户行为进行检测,发掘潜在的安全威胁。
日志挖掘是一种广泛使用的检测应用状态异常的方法,随着计算机网络的迅猛发展,网络主机和服务器产生了海量的用户行为日志。传统的日志安全分析方法主要包括采用数据挖掘和机器学习方法对日志进行信息分析,实现异常日志的挖掘。目前这些方法主要存在以下问题:1)基于模式匹配挖掘的方法需要事先知道异常行为的模式,这种方法无法处理未知的异常行为,比如可以从登陆失败日志记录中挖掘登陆失败的登录行为信息,但是却无法判断登陆成功的用户行为是否异常。2)基于机器学习的方法,这种方法实现需要通过训练建立正常行为模型,这一步需要大量的训练数据样本,导致这种方法也无法实现未知异常的检测。
发明内容
本发明实施例提供了一种用于检测用户行为的方法和装置,以提高检测用户行为的效率。
第一方面,提供了一种用于检测用户行为的方法,包括:确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数;在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
在本发明实施例中,提出了一种用于检测用户行为的方法,该方法基于预设的正常行为域和用户的登录行为信息进行检测。该登录行为信息包括至少两种行为参数,该正常行为域中的每个元素对应正常登录行为的行为参数,通过确定该登录行为信息对应的元素是否落入正常行为域,检测用户的登录行为是否正常。该方法可以检测已知或未知的用户异常行为,并且不需要大量的训练数据样本,能够提高检测用户行为的效率以及降低检测用户行为的复杂度。
在一种可能的实现方式中,所述正常行为域根据预先采集的所述用户的N个登录行为信息确定。
在一种可能的实现方式中,所述正常行为域属于行为域,所述行为域的元素的坐标指示所述元素对应的行为参数,所述N个登录行为信息对应所述行为域中的N个目标元素,所述方法还包括:从所述N个目标元素中确定中心元素;确定以所述中心元素为圆心的多个圆中的每个圆包括的目标元素在所述N个目标元素中的比例值,所述多个圆根据半径大小依次递减;从所述多个圆中确定目标圆,所述目标圆的所述比例值与下一个圆的所述比例值之差大于预定的相似度T,0<T<1;将所述目标圆包括的区域确定为所述正常行为域。
在一种可能的实现方式中,所述从所述N个目标元素中确定中心元素,包括:确定所述N个目标元素中的每个目标元素与除所述每个目标元素之外的其他目标元素之间的平均距离;确定所述每个目标元素对应的圆包括的目标元素的个数,所述每个目标元素对应的圆是以所述每个目标元素为圆心,以所述平均距离为半径的圆;从所述N个目标元素中确定所述中心元素,所述中心元素对应的圆包括的目标元素的个数大于除所述中心元素之外的任意目标元素对应的圆包括的目标元素的个数。
在一种可能的实现方式中,所述至少两种行为参数包括:登录IP地址和登录时间。
第二方面,提供了一种用于检测用户行为的装置,所述装置包括用于执行第一方面的方法的模块。基于同一发明构思,由于该装置解决问题的原理与第一方面的方法设计中的方案对应,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
第三方面,提供了一种装置,所述装置包括存储器和处理器。所述存储器用于存储程序,所述处理器用于执行程序,当所述程序被执行时,所述处理器用于执行第一方面的方法。
第四方面,提供了一种系统芯片,所述系统芯片包括用于执行第一方面的方法的模块。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例的用于检测用户行为的方法的示意框图。
图2是本发明另一实施例的用于检测用户行为的方法的示意框图。
图3是本发明实施例的行为域的分布示意图。
图4是本发明实施例的装置的示意图。
图5是本发明又一实施例的装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例可应用于各种通信系统,因此,下面的描述不限制于特定通信系统。全球移动通讯(Global System of Mobile communication,简称“GSM”)系统、码分多址(Code Division Multiple Access,简称“CDMA”)系统、宽带码分多址(Wideband CodeDivision Multiple Access,简称“WCDMA”)系统、通用分组无线业务(General PacketRadio Service,简称“GPRS”)、长期演进(Long Term Evolution,简称“LTE”)系统、LTE频分双工(Frequency Division Duplex,简称“FDD”)系统、LTE时分双工(Time DivisionDuplex,简称“TDD”)、通用移动通信系统(Universal Mobile Telecommunication System,简称“UMTS”)等。在上述的系统中的基站或者终端使用传统Turbo码、LDPC码编码处理的信息或者数据都可以使用本实施例中的Polar码编码。
为了提高检测用户行为的效率以及降低检测用户行为的复杂度,本发明实施例提出了一种用于检测用户行为的方法,该方法基于预设的行为域模型和用户的登录行为信息,检测用户的登录行为是否异常。该方法可以检测已知或未知的用户异常行为,并且不需要大量的训练数据样本,能够提高检测用户行为的效率以及降低检测用户行为的复杂度。
图1是本发明实施例的用于检测用户行为的方法的示意图。该方法100包括:
S101,确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;
上述登录行为信息可以是用户登录网络系统(例如,用户登录网络主机或服务器)的信息。例如,该登录行为信息可以是用户的行为日志的信息。该行为参数可以是表征该用户的登录行为的参数,例如,该行为参数可以是用户登录时采用的互联网协议(InternetProtocol,IP)地址,用户的登录时间,用户的登录次数、用户的登录频率等信息。
S102,确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数。
其中,该预设的正常行为域可以是根据预先采集的用户的登录行为信息确定的。例如,所述至少两种行为参数可以包括用户登录IP地址和用户登录时间。该正常行为域的元素对应正常登录行为的行为参数,可以是该正常行为域的坐标分别对应用户正常登录的用户登录IP地址和用户登录时间。当用户的登录行为信息包括的用户登录IP地址和用户登录时间对应的元素落入正常行为域的范围之内时,可以确定该登录行为信息对应的用户登录行为为正常登录。当该用户的登录行为信息包括的用户登录IP地址和用户登录时间对应的元素未落入正常行为域的情况下,可以确定该登录行为信息对应的用户登录行为为异常行为。
具体地,正常行为域中的元素的坐标可以指示该元素对应的行为参数。本发明实施例对正常行为域采用的坐标系不作限定,该正常行为域可以采用正交坐标系、极坐标系、柱面坐标系、球面坐标系。该坐标系的维度与正常行为域中的元素对应的行为参数的个数相关。例如,当行为参数为两种行为参数时,正常行为域可以采用平面正交坐标系;当行为参数为三种行为参数时,正常行为域可以采用球面坐标系。
应理解,通常正常用户对服务器的使用或维护行为具有一定的规律,其在对服务器进行登录或操作维护的过程中,行为具有一定的相似性,所以可以构建正常登录行为对应的正常行为域。而黑客的行为和正常用户的行为差异性较大,黑客行为所构成的行为域和正常用户的行为域存在一定的差别。由此,本发明实施例可以根据对用户的行为域的分析,挖掘正常行为域,实现对黑客行为的检测。例如,可以根据用户的登录行为信息包括的行为参数是否属于正常行为域,检测用户的登录行为是否为正常行为。
S103,在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;
S104,在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
由于只采用了至少两种行为参数构建正常行为域,采用的行为参数较少,可以减少构建正常行为域和检测用户行为是否正常的计算复杂度。
在本发明实施例中,提出了一种用于检测用户行为的方法,该方法基于预设的正常行为域和用户的登录行为信息进行检测。该登录行为信息包括至少两种行为参数,该正常行为域中的每个元素对应正常登录行为的行为参数,通过确定该登录行为信息对应的元素是否落入正常行为域,检测用户的登录行为是否正常。该方法可以检测已知或未知的用户异常行为,并且不需要大量的训练数据样本,能够提高检测用户行为的效率以及降低检测用户行为的复杂度。
可选地,在方法100中,所述正常行为域可以根据预先采集的所述用户的N个登录行为信息确定。其中,所述正常行为域可以是以所述行为参数为坐标形成的坐标域。
可选地,确定正常行为域的原则可以是根据N个登录行为信息对应的登录行为的行为相似度确定正常行为域。本发明实施例对根据行为相似度确定正常行为域的具体方式不作限定。
可选地,在方法100中,所述正常行为域属于行为域,所述行为域也可是以所述行为参数为坐标形成的坐标域,或者说,所述行为域的元素的坐标指示所述元素对应的行为参数,所述N个登录行为信息对应所述行为域中的N个目标元素,所述方法还包括:从所述N个目标元素中确定中心元素;确定以所述中心元素为圆心的多个圆中的每个圆包括的目标元素在所述N个目标元素中的比例值,所述多个圆根据半径大小依次递减;从所述多个圆中确定目标圆,所述目标圆的所述比例值与下一个圆的所述比例值之差大于预定的相似度T;将所述目标圆包括的区域确定为所述正常行为域。
其中,上述行为域的元素的坐标系可以是平面坐标系。上述行为参数可以是两种行为参数。该两种行为参数可以是用户登录IP地址和用户登录时间。或者说,上述N个登录行为信息对应在行为域中的N个元素的坐标可以分别指示元素对应的用户登录IP地址和用户登录时间。
可选地,该中心元素的选取原则可以是尽量选取N个目标元素中坐标处于中心位置的元素为中心元素。例如,可以选取坐标最接近N个目标元素的平均坐标的元素为中心元素。也可以采用其他确定中心元素的方式。
可选地,在确定中心元素之后,可以确定以中心元素为元素的多个圆,该多个圆的半径由大到小依次递减。其中,多个圆中最大的圆所占的区域可以包括所述N个目标元素。所述多个圆的半径可以是按递减因子依次递减的。然后,可以计算所述每个圆包括的目标元素在所述N个目标元素中的比例值。例如,若上述比例值用θi表示,某个圆包含的目标元素的个数为Ci,则该圆对应的比例值θi=Ci/N。在确定每个圆对应的比例值之后,可以从最大圆开始,依次确定每个圆的比例值与下一个圆(即与每个圆相邻的半径更小的圆)的比例值之差,直至确定目标圆。其中,目标圆的比例值与下一个圆(即与目标圆相邻的半径更小的圆)的比例值之差大于预定的相似度T,其中0<T<1。该相似度T的取值可以根据本领域技术人员的经验或实际要求设定,本发明对此不作限定。在确定目标圆之后,可以将目标圆包括的区域确定为正常行为域。正常行为域之外的区域可以设定为异常行为域。
在本发明实施例中,基于预先采集的用户的多个登录行为信息,基于行为相似度构造用户的正常行为域,并利用该正常行为域检测用户的行为是否为正常行为,能够检测未知的用户行为是否正常,提高了检测用户行为的效率,降低了检测用户行为的复杂度。也可以说,由于无需采用大量训练数据样本,降低了构造正常行为域的复杂度。
可选地,在方法100中,所述从所述N个目标元素中确定中心元素的方法还包括:确定所述N个目标元素中的每个目标元素与除所述每个目标元素之外的其他目标元素之间的平均距离;确定所述每个目标元素对应的圆包括的目标元素的个数,所述每个目标元素对应的圆是以所述每个目标元素为圆心,以所述平均距离为半径的圆;从所述N个目标元素中确定所述中心元素,所述中心元素对应的圆包括的目标元素的个数大于除所述中心元素之外的任意目标元素对应的圆包括的目标元素的个数。
上文介绍了本发明实施例的用于用户行为检测的方法100,下文将结合具体例子,更加详细描述本发明实施例。应注意,图2的例子仅仅是为了帮助本领域技术人员理解本发明实施例,而非要将本发明实施例限于所例示的具体数值或具体场景。本领域技术人员根据所给出的图2的例子,显然可以进行各种等价的修改或变化,这样的修改和变化也落入本发明实施例的范围。
图2是本发明另一实施例的用于用户行为检测方法的示意框图。如2以行为参数包括用户登录IP地址和用户登录时间为例,介绍本发明实施的用于用户行为检测的方法200,该方法200主要描述了本发明实施例中确定正常行为域的具体方式,包括:
S201,对N个用户登录行为信息的行为参数的度量单位作预处理,包括:对登录IP地址预处理和用户登录时间预处理。
本发明实施例对IP地址的度量单位不作限定。例如,针对某个用户名所对应的登陆IP地址,其IP地址由二进制表示,可以将其地址转化十进制数字,例如,设IP地址为IP=A1.A2.A3.A4,那么此IP地址对应的10进制数为:
IPNum=A1×2563+A2×2562+A3×256+A4
考虑到转化后的数值较大,可以对得到的IPNum再取对数(以10为底),将最后的数值作为用户登录IP最终的度量值。
在对时间预处理的过程中,时间t的单位包括天、小时、分钟、秒等单位。随着时间t的选取单位不同,基于该单位构建的行为域的分布也会受影响。本发明实施例对时间单位的选取不作限定。例如,对于用户的登录行为记录,鉴于有的日志记录包含秒数,有的则不包含,优选地,可以以分钟为单位来计算时间t。
S202,对N个用户登录行为信息的行为参数作归一化处理,获取所述N个用户登录行为对应在行为域的N个目标元素的分布图。其中,在图2的方法中,元素也可以称为行为域中的点,或者分布图中的点。图3示出N个点的分布的示意图。如图3所示,不同的用户有各自对应的行为域。图中灰色的点表示用户的一次登录行为。
假设本发明实施例中的行为域采用了平面正交坐标系,若简单地以时间t为向量的值,IP度量值d为向量的值,列出N个用户行为信息对应的点的在行为域的分布图,可能会涉及以下问题:对于时间t,若直接将其转化成分钟数,可能会造成原本接近的两个时间在坐标轴上隔得很远。如:00:01和23:59是很接近的两个时间点,但若转化成分钟数,则差别很大。
可选地,为解决以上问题,可以采用如下设计:假设分布图中一共有N个点,对分布图中任意两点Pi和Pj(0<i≤N,0<j≤N),假设它们之间的时间差用Δt表示,则有:
其中,1440为一天内(即24小时)分钟数。
另外,分布图会随着时间t选取的单位不同而不同,如:以小时为单位的分布图中的点的个数比以分钟为单位的分布图的点的个数少,因此,作为一个优选的方法,可以采取对时间t和IP度量值d的归一化的方法。假设行为域中包括的基本向量为向量向量(xi,yi)为其一分量,进行归一化处理的过程如下:
对向量
对向量
式中,dmax和dmin为所有点中距离d的最大值和最小值。
S203,确定N个目标元素中的中心元素。在图2的例子,或者说,确定N个点中的中心点。
首先,计算N个点中的每个点与除所述N个点之外的其他点之间的平均距离。假设某用户的登录行为信息共有N条,则对应在行为域内的点的个数共有N个,对于该空间任意一点Pi(0<i<N),可以根据以下公式计算其它所有点与该点的距离的平均值
其中,Rij是点Pi与N个点中除Pi之外的的任意一点Pj之间的距离。例如,假设行为域包含两个基本向量,Rij可以根据以下公式确定:
其中,两个点之前的距离越小,该两个点之间的行为相似度越高。当然,也可以采用其他已知的衡量不同点之间相似性的方法。
然后,对于N个点中的每个点,以该点Pi为圆心,为半径,作一圆。设该圆包含的点个数为Ci,占所有点的比例值为θi=Ci/N。
取θk=max{θ1,θ2,…,θN}(0<k≤N),则点Pk即为该N个点中的中心点。
S204,根据中心元素以及N个目标元素的行为相似度,确定正常行为域。
a.以中心点为圆心,确定多个圆,该多个圆的半径依次减小。
其中该多个圆中的最大圆(即半径最大的圆)的半径Rmax的取值可以由以下方法确定:
(1)求出其它所有点与中心点的距离集合Rs,并将Rs降序排列;
(2)确定将Rs中的最大值作为所述最大圆的半径Rmax。即最大圆所占的区域包含所述N个点中的全部点。
上述多个圆可以是根据一定步长逐渐减缩小的。例如,可以是根据递减因子α(0<α<1),对Rmax循环递减得到的,本发明实施例对该递减因子的选取不作限定,例如可以是根据经验或检测要求选取。
b.在确定多个圆之后,可以计算上述每个圆对应的比例值θi。
c.从最大圆开始,计算每个圆与按照半径大小递减的下一个圆的比例值的差值,直至确定目标圆,该目标圆的比例值和下一个圆的比例值的差值大于预定的相似度T。该相似度T可以根据经验选取。其中,通常情况下该目标圆的包含的点数相对于目标圆之外的上一个圆(即比目标圆半径大的相邻的圆)点数可能会有较大的变化。换句话说,该目标圆包括的点为所述N个点中相似度较高的点。
d.确定该目标圆对应的区域为正常行为域。
在本发明实施例中,通过预先获取的用户的多个登录行为信息,基于行为相似度构建正常行为域的方法检测用户行为是否属于正常行为,能够降低检测方法的漏报和误报率。并且只采用了多个登录行为信息包括的用户登录IP地址和用户登录时间作为行为参数,降低了计算正常行为域的复杂度,以便于实际应用。
本发明实施例中,构建的正常行为域进关联到距离的计算,方法简单,便于操作,可以应用于分布式并行计算系统或其他网络系统中。
作为一个具体实施例,可以结合实验室所搭建的一台服务器的日志数据多本专利所提出的方法进行了测试,所用到的服务器包含有多个用户名,实验室的同学在正常使用这台服务器。于此同时,工程师也在使用这台服务器进行测试场景所需要的数据生成。选择参数阈值如下:递减因子α(0<α<1):0.1,相似度T(0<T<1):0.01,实验结果如下如所示:
由实验结果可以发现,该方法可以将和正常用户登陆行为差异较大的登陆行为有效地区分出来。
上文结合图1至图3详细描述了本发明实施例的用于检测用户行为的方法,下文将结合图4和图5描述本发明实施例的装置。
图4是本发明实施例的装置400的示意图,应理解,图4的装置400能够实现图1至图3中的方法的各个步骤,为了简洁,适当省略重复的描述,该装置400包括:
确定模块410,用于确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;
处理模块420,用于确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数;
所述处理模块420还用于在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;
所述处理模块420还用于在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
在本发明实施例中,提出了一种用于检测用户行为的方法,该方法基于预设的正常行为域和用户的登录行为信息进行检测。该登录行为信息包括至少两种行为参数,该正常行为域中的每个元素对应正常登录行为的行为参数,通过确定该登录行为信息对应的元素是否落入正常行为域,检测用户的登录行为是否正常。该方法可以检测已知或未知的用户异常行为,并且不需要大量的训练数据样本,能够提高检测用户行为的效率以及降低检测用户行为的复杂度。
图5是本发明实施例的装置500的示意图。应理解,图5的装置能够实现图1至图3中的方法的各个步骤,为了简洁,适当省略重复的描述,该装置500包括:
存储器510,用于存储程序;
处理器520,用于执行存储器510中的程序,当所述程序被执行时,所述处理器520用于确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数;在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
在本发明实施例中,提出了一种用于检测用户行为的方法,该方法基于预设的正常行为域和用户的登录行为信息进行检测。该登录行为信息包括至少两种行为参数,该正常行为域中的每个元素对应正常登录行为的行为参数,通过确定该登录行为信息对应的元素是否落入正常行为域,检测用户的登录行为是否正常。该方法可以检测已知或未知的用户异常行为,并且不需要大量的训练数据样本,能够提高检测用户行为的效率以及降低检测用户行为的复杂度。
另外,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
应理解,在本发明实施例中,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
应理解,在本发明的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,该单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
该作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例该方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上某一实施例中的技术特征和描述,为了使申请文件简洁清楚,可以理解适用于其他实施例,在其他实施例不再一一赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种用于检测用户行为的方法,其特征在于,包括:
确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;
确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数;
在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;
在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
2.如权利要求1所述的方法,其特征在于,所述正常行为域根据预先采集的所述用户的N个登录行为信息确定。
3.如权利要求2所述的方法,其特征在于,所述正常行为域属于行为域,所述行为域的元素的坐标指示所述元素对应的行为参数,所述N个登录行为信息对应所述行为域中的N个目标元素,所述方法还包括:
从所述N个目标元素中确定中心元素;
确定以所述中心元素为圆心的多个圆中的每个圆包括的目标元素在所述N个目标元素中的比例值,所述多个圆根据半径大小依次递减;
从所述多个圆中确定目标圆,所述目标圆的所述比例值与下一个圆的所述比例值之差大于预定的相似度T,0<T<1;
将所述目标圆包括的区域确定为所述正常行为域。
4.如权利要求3所述的方法,其特征在于,所述从所述N个目标元素中确定中心元素,包括:
确定所述N个目标元素中的每个目标元素与除所述每个目标元素之外的其他目标元素之间的平均距离;
确定所述每个目标元素对应的圆包括的目标元素的个数,所述每个目标元素对应的圆是以所述每个目标元素为圆心,以所述平均距离为半径的圆;
从所述N个目标元素中确定所述中心元素,所述中心元素对应的圆包括的目标元素的个数大于除所述中心元素之外的任意目标元素对应的圆包括的目标元素的个数。
5.如权利要求1至4中任一项所述的方法,其特征在于,所述至少两种行为参数包括:登录IP地址和登录时间。
6.一种用于检测用户行为的装置,其特征在于,包括:
确定模块,用于确定用户的登录行为信息,所述登录行为信息包括至少两种行为参数;
处理模块,用于确定所述至少两种行为参数是否属于预设的正常行为域中的元素对应的行为参数,所述正常行为域中的每个元素对应正常登录行为的行为参数;
所述处理模块还用于在所述至少两种行为参数属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为正常行为;
所述处理模块还用于在所述至少两种行为参数不属于所述正常行为域中的元素对应的行为参数的情况下,确定所述登录行为信息对应的登录行为为异常行为。
7.如权利要求6所述的装置,其特征在于,所述正常行为域根据预先采集的所述用户的N个登录行为信息确定。
8.如权利要求7所述的装置,其特征在于,所述正常行为域属于行为域,所述行为域的元素的坐标指示所述元素对应的行为参数,所述N个登录行为信息对应所述行为域中的N个目标元素,所述处理模块还用于从所述N个目标元素中确定中心元素;确定以所述中心元素为圆心的多个圆中的每个圆包括的目标元素在所述N个目标元素中的比例值,所述多个圆根据半径大小依次递减;从所述多个圆中确定目标圆,所述目标圆的所述比例值与下一个圆的所述比例值之差大于预定的相似度T,0<T<1;将所述目标圆包括的区域确定为所述正常行为域。
9.如权利要求8所述的装置,其特征在于,所述处理模块具体用于确定所述N个目标元素中的每个目标元素与除所述每个目标元素之外的其他目标元素之间的平均距离;确定所述每个目标元素对应的圆包括的目标元素的个数,所述每个目标元素对应的圆是以所述每个目标元素为圆心,以所述平均距离为半径的圆;从所述N个目标元素中确定所述中心元素,所述中心元素对应的圆包括的目标元素的个数大于除所述中心元素之外的任意目标元素对应的圆包括的目标元素的个数。
10.如权利要求6至9中任一项所述的装置,其特征在于,所述至少两种行为参数包括:登录IP地址和登录时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610680836.XA CN107770129B (zh) | 2016-08-17 | 2016-08-17 | 用于检测用户行为的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610680836.XA CN107770129B (zh) | 2016-08-17 | 2016-08-17 | 用于检测用户行为的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107770129A true CN107770129A (zh) | 2018-03-06 |
| CN107770129B CN107770129B (zh) | 2021-03-05 |
Family
ID=61260383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610680836.XA Active CN107770129B (zh) | 2016-08-17 | 2016-08-17 | 用于检测用户行为的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107770129B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
| CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
| CN104394021A (zh) * | 2014-12-09 | 2015-03-04 | 中南大学 | 基于可视化聚类的网络流量异常分析方法 |
| CN104731914A (zh) * | 2015-03-24 | 2015-06-24 | 浪潮集团有限公司 | 一种基于行为相似度的用户异常行为检测方法 |
| US20160028754A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
-
2016
- 2016-08-17 CN CN201610680836.XA patent/CN107770129B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
| CN101980480A (zh) * | 2010-11-04 | 2011-02-23 | 西安电子科技大学 | 半监督异常入侵检测方法 |
| CN102413013A (zh) * | 2011-11-21 | 2012-04-11 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常行为检测方法及装置 |
| CN103853841A (zh) * | 2014-03-19 | 2014-06-11 | 北京邮电大学 | 一种社交网用户异常行为的分析方法 |
| US20160028754A1 (en) * | 2014-07-23 | 2016-01-28 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
| CN104394021A (zh) * | 2014-12-09 | 2015-03-04 | 中南大学 | 基于可视化聚类的网络流量异常分析方法 |
| CN104731914A (zh) * | 2015-03-24 | 2015-06-24 | 浪潮集团有限公司 | 一种基于行为相似度的用户异常行为检测方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110519208A (zh) * | 2018-05-22 | 2019-11-29 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
| CN110519208B (zh) * | 2018-05-22 | 2021-11-30 | 华为技术有限公司 | 异常检测方法、装置及计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107770129B (zh) | 2021-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109598509B (zh) | 风险团伙的识别方法和装置 | |
| CN111339436B (zh) | 一种数据识别方法、装置、设备以及可读存储介质 | |
| CN107294974B (zh) | 识别目标团伙的方法和装置 | |
| CN111949803A (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
| CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
| CN113726783A (zh) | 异常ip地址识别方法、装置、电子设备及可读存储介质 | |
| CN106789837A (zh) | 网络异常行为检测方法及检测装置 | |
| CN109547427A (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN109450880A (zh) | 基于决策树的钓鱼网站检测方法、装置及计算机设备 | |
| CN110598794A (zh) | 一种分类对抗的网络攻击检测方法及系统 | |
| CN105554140A (zh) | 一种用户群体定位方法及服务器 | |
| CN107231358A (zh) | 一种问卷数据采集方法、服务器及移动终端 | |
| KR101854981B1 (ko) | 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 | |
| CN107770129A (zh) | 用于检测用户行为的方法和装置 | |
| CN113098852A (zh) | 一种日志处理方法及装置 | |
| CN108197498A (zh) | 获取数据的方法及装置 | |
| CN108090364A (zh) | 一种数据泄漏源的定位方法及系统 | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN115827379A (zh) | 异常进程检测方法、装置、设备和介质 | |
| CN106161338A (zh) | 用于验证用户身份的方法及装置 | |
| CN111210279B (zh) | 一种目标用户预测方法、装置和电子设备 | |
| CN110708342B (zh) | 恶意攻击对信息物理电力系统影响的量化方法及系统 | |
| CN114726876A (zh) | 一种数据检测方法、装置、设备和存储介质 | |
| CN113919488A (zh) | 对抗样本的生成方法、装置和服务器 | |
| CN111126503B (zh) | 一种训练样本的生成方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |