CN110191113A - 一种用户行为风险评估方法及装置 - Google Patents
一种用户行为风险评估方法及装置 Download PDFInfo
- Publication number
- CN110191113A CN110191113A CN201910437481.5A CN201910437481A CN110191113A CN 110191113 A CN110191113 A CN 110191113A CN 201910437481 A CN201910437481 A CN 201910437481A CN 110191113 A CN110191113 A CN 110191113A
- Authority
- CN
- China
- Prior art keywords
- behavior
- default
- user
- assessed
- behavior event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请实施例提供了一种用户行为风险评估方法及装置。方案如下:获取待评估用户的行为数据;从行为数据中提取预设行为事件对应的目标行为序列向量;将目标行为序列向量输入预先训练获得的风险评估模型,得到待评估用户的行为风险评估值,风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。应用本申请实施例提供的技术方案,能够实现对用户行为风险程度的评估。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种用户行为风险评估方法及装置。
背景技术
随着信息化技术的快速发展,网络信息安全,特别是内网信息安全越来越受到关注。
目前,为了提高网络安全性,通常利用将用户的行为与预先配置的危险行为规则匹配。若二者匹配,则确定用户的行为存在风险。例如,预先配置的危险行为规则为1分钟内输错密码次数5次。若一用户1分钟内输错密码次数达到了5次,则确定该用户的行为存在风险。
上述用户行为检测中,只能检测出用户的行为是否存在风险,无法评估出用户的行为的风险程度。
发明内容
本申请实施例的目的在于提供一种用户行为风险评估方法及装置,以实现对用户行为风险程度的评估。具体技术方案如下:
第一方面,本申请实施例提供了一种用户行为风险评估方法,所述方法包括:
获取待评估用户的行为数据;
从所述行为数据中提取预设行为事件对应的目标行为序列向量;
将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
第二方面,本申请实施例提供了一种用户行为风险评估装置,所述装置包括:
获取单元,用于获取待评估用户的行为数据;
提取单元,用于从所述行为数据中提取预设行为事件对应的目标行为序列向量;
评估单元,用于将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。
本申请实施例提供的一种用户行为风险评估方法及装置,通过带有指示真实风险评估值的标签的多个样本用户的行为序列向量,训练循环神经网络和逻辑回归算法,得到的风险评估模型。当获取到待评估用户的行为向量时,可从该行为数据中提取目标行为序列向量,利用预先训练获得的风险评估模型以及目标行为序列向量,可确定待评估用户的行为风险评估值,实现了对用户行为风险程度的评估。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的用户行为风险评估方法的一种流程示意图;
图2为本申请实施例提供的风险评估模型训练方法的一种流程示意图;
图3为本申请实施例提供的循环神经网络的一种信息处理示意图;
图4为本申请实施例提供的循环神经网络的另一种信息处理示意图;
图5为本申请实施例提供的逻辑回归曲线的一种示意图;
图6为本申请实施例还提供的用户行为风险评估装置的一种结构示意图;
图7为本申请实施例还提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,用户行为检测中,只能利用用户行为与预先配置的危险行为规则,确定用户行为是否存在风险,无法评估出用户行为的风险程度,不利于用户对用户行为的处理。
为实现对用户行为风险程度的评估,本申请实施例提供了一种用户行为风险评估方法。该用户行为风险评估方法可以应用于防火墙设备、路由器和交换机等网络设备。该用户行为风险评估方法中,通过带有指示真实风险评估值的标签的多个样本用户的行为序列向量,训练循环神经网络和逻辑回归算法,得到的风险评估模型。当获取到待评估用户的行为数据时,可从该行为数据中提取目标行为序列向量,利用预先训练获得的风险评估模型以及目标行为序列向量,可确定待评估用户的行为风险评估值,实现了对用户行为风险程度的评估。
下面通过具体实施例,对本申请实施例提供的一种用户行为风险评估方法进行详细说明。为便于理解,下面以网络设备为执行主体进行说明。
参考图1,图1为本申请实施例提供的用户行为风险评估方法的一种流程示意图。该方法包括如下步骤。
步骤101,获取待评估用户的行为数据。
网络设备可以通过网络爬手等工具从网络中获取到待评估用户在一段时间内的行为数据,也可以接收用户手动输入的待评估用户在一段时间内的行为数据。本申请实施例对待评估用户的行为数据的获取不做具体限定。
上述待评估用户的行为数据可以为待评估用户的实时行为数据,也可以为待评估用户的历史行为数据。
步骤102,从行为数据中提取预设行为事件对应的目标行为序列向量。
其中,目标行为序列向量中每一元素对应一个预设行为事件。
用户行为有的可能对网络安全造成影响,有的可能无关紧要,根据用户行为的敏感性和对网络安全影响的大小,本申请实施例中,将用户行为分为行为事件。一个可选的实施例中,预设行为事件可以包括:上传文件、下载文件、使用VPN(Virtual PrivateNetworks,虚拟专用网络)、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用FTP(File Transfer Protocol,文件传输协议)上传数据和使用FTP下载数据中的一种或多种。
网络设备获取到待评估用户的行为数据后,对待评估用户的行为数据进行分析,从待评估用户的行为数据中提取预设行为事件对应的目标行为序列向量。例如,预设行为事件包括:上传文件、下载文件、登录成功和登录失败。网络设备获取到待评估用户的行为数据1。对行为数据1进行分析,先后确定上传文件、上传文件、下载文件、登录成功、登录成功、登录成功和登录失败。此时,网络设备可确定行为数据1对应的目标行为序列向量为{[上传文件],[上传文件],[下载文件],[登录成功],[登录成功],[登录成功],[登录失败]}。
在本申请的一个实施例中,用户行为是时间密切相关。网络设备可以按照时间顺序,从行为数据中提取预设行为事件对应的目标行为序列向量。提高了基于目标行为序列向量确定行为风险评估值的准确性。
一个可选的实施例中,网络设备可采用如下方式确定目标行为序列向量。
步骤1021,检测第一预设行为事件与第二预设行为事件是否相同。若不同,则执行步骤1022。若相同,则执行步骤1023。第一预设行为事为当前时刻的行为数据对应的预设行为事件,第二预设行为事件为上一时刻的行为数据对应的预设行为事件。
网络设备按照时间顺序,分析待评估用户的行为数据。网络设备分析行为数据得到首个行为事件,则可确定第一预设行为事件与第二预设行为事件不同,执行步骤1022。之后,网络设备分析行为数据每得到一个预设行为事件,将该预设行为事件作为第一预设行为事件,将上一时刻分析行为数据得到预设行为事件作为第二预设行为事件,并检测第一预设行为事件与第二预设行为事件是否相同。
步骤1022,记录第一预设行为事件。
若第一预设行为事件与第二预设行为事件不同,则网络设备可确定用户行为事件发生了变化,记录当前时刻的第一预设行为事件。
步骤1023,计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差。
若检测第一预设行为事件与第二预设行为事件相同,则网络设备计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差。例如,上一次记录的预设行为事件的时刻为1分钟,当前时刻为4分钟,则算上一次记录的预设行为事件的时刻与当前时刻之间的时间差为4-1=3分钟。
步骤1024,检测时间差是否大于等于预设时间差阈值。若大于等于预设时间差阈值,则执行步骤1025。若小于预设时间差阈值,则返回步骤1023。
本申请实施例中,预设时间差阈值可以根据实际需求进行设定。例如,预设时间差阈值可以为1分钟、3分钟、5分钟等。为了提高待评估用户的行为风险评估的准确性,可将预设时间差阈值设置为较小的值,如1分钟。为了降低对网络设备的负担,可将预设时间差阈值设置为较大的值,如10分钟。
步骤1025,记录第一预设行为事件。
网络设备若检测上一次记录的预设行为事件的时刻与当前时刻之间的时间差大于等于预设时间差阈值,则记录第一预设行为事件,用于后续评估用户的行为风险评估。
步骤1026,根据记录的预设行为事件,确定待评估用户的目标行为序列向量。
一个示例中,网络设备可直接由记录的预设行为事件,组成待评估用户的目标行为序列向量。如上述按照时间顺序,网络设备对行为数据1进行分析,先后确定上传文件、上传文件、下载文件、登录成功、登录成功、登录成功和登录失败。网络设备可确定行为数据1对应的目标行为序列向量为{[上传文件],[上传文件],[下载文件],[登录成功],[登录成功],[登录成功],[登录失败]}。
另一个示例中,为提高风险评估模型的检测效率,网络设备根据预先存储的预设行为事件与字符的对应关系,确定记录的各预设行为事件对应的字符;由记录的各预设行为事件对应的字符,组成待评估用户的目标行为序列向量。
例如,上传文件对应字符a,下载文件对应字符b,登录成功对应字符c,登录失败对应字符d。若网络设备对行为数据1进行分析,先后确定上传文件、上传文件、下载文件、登录成功、登录成功、登录成功和登录失败。则网络设备可确定行为数据1对应的目标行为序列向量为{a,a,b,c,c,c,d}。
本申请实施例中,将用户行为归为行为事件,相应的,用户一段时间的行为特征则可以视为行为事件序列,即上述行为序列向量。本申请实施例中,将难以抽象和程序化的行为数据抽象化,便于网络设备进行进一步的分析。
步骤103,将目标行为序列向量输入预先训练获得的风险评估模型,得到待评估用户的行为风险评估值。
本申请实施例中,风险评估模型包括循环神经网络和逻辑回归算法。风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,预设训练集包括多个样本用户的行为序列向量以及每一样本用户的真实行为风险评估值。
本申请的一个实施例中,风险评估模型的训练过程可参考图2所示。
步骤201,获取预先训练集。其中,预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
步骤202,将多个样本用户的行为序列向量分别输入循环神经网络,获得各个样本用户对应的序列信息。
一个可选的实施例中,风险评估模型可采用如图3所示的循环神经网络。其中,x1、x2、x3、x4分别表示行为序列向量中的一个元素。h1、h2、h3、h4分别表示循环神经网络的一个隐层。y1为x1对应的输出值,y2为x2对应的输出值,y3为x3对应的输出值,y4为x4对应的输出值。y1、y2、y3、y4组成行为序列向量对应的序列信息。图3所示的循环神经网络仅以4个隐层为例进行说明,并不起限定。
采用图3所示的循环神经网络训练风险评估模型时,要求输入循环神经网络的各个行为序列向量的长度N相同,进而输出同样长度N的序列信息。本申请实施例中,不同用户不同时间段的行为序列向量的长度不一定相同。若行为序列向量的长度小于循环神经网络要去的输入长度N,则在行为序列向量中填充空白序列,以使行为序列向量的长度到达N。若行为序列向量的长度大于循环神经网络要去的输入长度N,则对行为序列向量进行剪裁处理,以使行为序列向量的长度到达N。
另一个可选的实施例中,风险评估模型可采用如图4所示的循环神经网络。其中,x1、x2、x3、x4分别表示行为序列向量中的一个元素。h1、h2、h3、h4分别表示循环神经网络的一个隐层。Y为行为序列向量对应的输出向量,即行为序列向量对应的序列信息。图4所示的循环神经网络仅以4个隐层为例进行说明,并不起限定。为保证图4所示的循环神经网络使用各种长度的行为序列向量检测,循环神经网络可以设置多个隐层,例如100个隐层、200个隐层等。
循环神经网络输出并用于后续计算的序列信息,基于行为序列向量的长度确定。例如,若行为序列向量的长度为50,则获取循环神经网络第50个隐层输出的向量,作为行为序列向量对应的序列信息。若行为序列向量的长度为60,则获取循环神经网络第60个隐层输出的向量,作为行为序列向量对应的序列信息。
采用图4所示的循环神经网络训练风险评估模型,克服了以往无法对不定长序列进行全量信息建模的缺点,可以有效的发现用户行为中具有风险的行为,具有较高的准确率,召回率。
步骤203,将各个样本用户对应的序列信息分别输入逻辑回归算法,得到各个样本用户的预测行为风险评估值。
在获取到各个样本用户对应的序列信息后,可采用自动编码器对各个样本用户对应的序列信息进行编码,将编码后的各个样本用户对应的序列信息分别输入逻辑回归算法,得到各个样本用户的预测行为风险评估值。
在本申请的一个实施例中,逻辑回归算法的格式如下。
线性回归算法的表达式如公式(1)。
其中,z(x)表示线性回归值,n表示序列信息包括的元素个数。向量θ为参数向量,θi为向量θ中的第i个元素。x表示序列信息,xi表示为序列信息x中的第i个元素。
逻辑回归算法的表达式如公式(2)。
其中,y(z)表示逻辑回归值,本申请实施例中,y(z)表示行为风险评估值。-z表示线性回归值,即归一化函数值,e表示自然常数。图5所示,纵坐标表示y(z),横坐标表示z。归一化函数值z趋近于无穷大时,y(z)趋近于1,归一化函数值z趋近于无穷小时,y(z)趋近于0。
结合公式(1)和公式(2),可得到公式(3)。
根据上述公式(3),将编码后的各个样本用户对应的序列信息分别输入上述公式(3),得到各个样本用户的预测行为风险评估值。
步骤204,根据各个样本用户的预测行为风险评估值和真实行为风险评估值,计算损失值。
一个可选的实施例中,上述损失值可以采用使用MSE(Mean Squared Error,均方误差)公式作为损失函数计算得到。具体的,详见如下MSE公式。
其中,L(Θi)为损失值,H表示单次训练中样本用户的个数,Ih表示第h个样本用户的行为序列向量,F(Ih|Θi)表示将第h个样本用户的行为序列向量输入循环神经网络和逻辑回归算法后,得到的预测行为风险评估值,Xh表示第h个样本用户的真实行为风险评估值,i为训练的次数计数。
步骤205,根据损失值,判断循环神经网络和逻辑回归算法是否收敛。若是,则执行步骤206。若否,则执行步骤207。
一个可选的实施例中,若计算得到的损失值小于预设损失阈值,则确定环神经网络和逻辑回归算法收敛。若计算得到的损失值大于等于预设损失阈值,则确定环神经网络和逻辑回归算法未收敛。
步骤206,将当前的循环神经网络和逻辑回归算法作为风险评估模型。
步骤207,调整循环神经网络和逻辑回归算法的参数,返回执行步骤202。
例如,确定环神经网络和逻辑回归算法未收敛,调整循环神经网络和逻辑回归算法的参数。如,调整循环神经网络的词嵌入维度参数、迭代次数参数、批处理大小参数等,逻辑回归算法的参数向量θ。
上述风险评估模型的训练和上述用户行为风险评估方法可在同一设备上执行,也可以在不同的设备上执行。具体的可根据实际需要进行设定。
基于训练好的风险评估模型,将目标行为序列向量输该风险评估模型,得到待评估用户的行为风险评估值。例如,以上述图4所示的循环神经网络为例,网络设备将目标行为序列向量输入预先训练获得的循环神经网络,获得循环神经网络最后一个隐层输出的序列信息。其中,最后一个隐层为与目标行为序列向量的长度相同的一个隐层。网络设备将获得的序列信息输入预先训练获得的逻辑回归算法,得到待评估用户的行为风险评估值。
通过本申请实施例提供的技术方案,实现对用户行为风险程度的评估,利于用户对用户行为的处理。
与上述用户行为风险评估方法实施例对应,本申请实施例还提供了一种用户行为风险评估装置。参考图6,图6为本申请实施例还提供的用户行为风险评估装置的一种结构示意图,该装置包括:
获取单元601,用于获取待评估用户的行为数据;
提取单元602,用于从行为数据中提取预设行为事件对应的目标行为序列向量;
评估单元603,用于将目标行为序列向量输入预先训练获得的风险评估模型,得到待评估用户的行为风险评估值,风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
一个可选的实施例中,这种情况下,提取单元602,具体可以用于:
检测第一预设行为事件与第二预设行为事件是否相同,第一预设行为事为当前时刻的行为数据对应的预设行为事件,第二预设行为事件为上一时刻的行为数据对应的预设行为事件;
若不同,则记录第一预设行为事件;
若相同,则计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差;
检测时间差是否大于等于预设时间差阈值;
若大于等于预设时间差阈值,则记录第一预设行为事件;
根据记录的预设行为事件,确定待评估用户的目标行为序列向量。
一个可选的实施例中,提取单元602,具体可以用于:
根据预先存储的预设行为事件与字符的对应关系,确定记录的各预设行为事件对应的字符;
由记录的各预设行为事件对应的字符,组成待评估用户的目标行为序列向量。
一个可选的实施例中,评估单元603,具体可以用于:
将目标行为序列向量输入预先训练获得的循环神经网络,获得循环神经网络最后一个隐层输出的序列信息;
将序列信息输入预先训练获得的逻辑回归算法,得到待评估用户的行为风险评估值。
一个可选的实施例中,预设行为事件可以包括:上传文件、下载文件、使用虚拟专用网络VPN、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用文件传输协议FTP上传数据和使用FTP下载数据中的一种或多种。
本申请实施例提供的技术方案中,通过带有指示真实风险评估值的标签的多个样本用户的行为序列向量,训练循环神经网络和逻辑回归算法,得到的风险评估模型。当获取到待评估用户的行为数据时,可从该行为数据中提取目标行为序列向量,利用预先训练获得的风险评估模型以及目标行为序列向量,可确定待评估用户的行为风险评估值,实现了对用户行为风险程度的评估。
与上述用户行为风险评估方法实施例对应,本申请实施例还提供了一种网络设备,如图7所示,包括处理器701和机器可读存储介质702,机器可读存储介质702存储有能够被处理器701执行的机器可执行指令。处理器701被机器可执行指令促使实现上述图1-图5所示的任一步骤。
一个可选的实施例中,如图7所示,网络设备还可以包括:通信接口703和通信总线704;其中,处理器701、机器可读存储介质702、通信接口703通过通信总线704完成相互间的通信,通信接口703用于上述网络设备与其他设备之间的通信。
与上述用户行为风险评估方法实施例对应,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行指令促使实现上述图1-图5所示的任一步骤。
上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(Extended Industry Standard Architecture,扩展工业标准结构)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于用户行为风险评估装置、网络设备和机器可读存储介质实施例而言,由于其基本相似于用户行为风险评估方法实施例,所以描述的比较简单,相关之处参见用户行为风险评估方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (12)
1.一种用户行为风险评估方法,其特征在于,所述方法包括:
获取待评估用户的行为数据;
从所述行为数据中提取预设行为事件对应的目标行为序列向量;
将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
2.根据权利要求1所述的方法,其特征在于,所述从所述行为数据中提取预设行为事件对应的目标行为序列向量的步骤,包括:
检测第一预设行为事件与第二预设行为事件是否相同,所述第一预设行为事为当前时刻的行为数据对应的预设行为事件,所述第二预设行为事件为上一时刻的行为数据对应的预设行为事件;
若不同,则记录所述第一预设行为事件;
若相同,则计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差;
检测所述时间差是否大于等于预设时间差阈值;
若大于等于所述预设时间差阈值,则记录所述第一预设行为事件;
根据记录的预设行为事件,确定所述待评估用户的目标行为序列向量。
3.根据权利要求2所述的方法,其特征在于,所述根据记录的预设行为事件,确定所述待评估用户的目标行为序列向量的步骤,包括:
根据预先存储的预设行为事件与字符的对应关系,确定记录的各预设行为事件对应的字符;
由记录的各预设行为事件对应的字符,组成所述待评估用户的目标行为序列向量。
4.根据权利要求1所述的方法,其特征在于,所述将所述目标用户行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值的步骤,包括:
将所述目标行为序列向量输入预先训练获得的循环神经网络,获得所述循环神经网络最后一个隐层输出的序列信息;
将所述序列信息输入预先训练获得的逻辑回归算法,得到所述待评估用户的行为风险评估值。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述预设行为事件包括:上传文件、下载文件、使用虚拟专用网络VPN、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用文件传输协议FTP上传数据和使用FTP下载数据中的一种或多种。
6.一种用户行为风险评估装置,其特征在于,所述装置包括:
获取单元,用于获取待评估用户的行为数据;
提取单元,用于从所述行为数据中提取预设行为事件对应的目标行为序列向量;
评估单元,用于将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
7.根据权利要求6所述的装置,其特征在于,所述提取单元,具体用于:
检测第一预设行为事件与第二预设行为事件是否相同,所述第一预设行为事为当前时刻的行为数据对应的预设行为事件,所述第二预设行为事件为上一时刻的行为数据对应的预设行为事件;
若不同,则记录所述第一预设行为事件;
若相同,则计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差;
检测所述时间差是否大于等于预设时间差阈值;
若大于等于所述预设时间差阈值,则记录所述第一预设行为事件;
根据记录的预设行为事件,确定所述待评估用户的目标行为序列向量。
8.根据权利要求7所述的装置,其特征在于,所述提取单元,具体用于:
根据预先存储的预设行为事件与字符的对应关系,确定记录的各预设行为事件对应的字符;
由记录的各预设行为事件对应的字符,组成所述待评估用户的目标行为序列向量。
9.根据权利要求6所述的装置,其特征在于,所述评估单元,具体用于:
将所述目标行为序列向量输入预先训练获得的循环神经网络,获得所述循环神经网络最后一个隐层输出的序列信息;
将所述序列信息输入预先训练获得的逻辑回归算法,得到所述待评估用户的行为风险评估值。
10.根据权利要求6-9任一项所述的装置,其特征在于,所述预设行为事件包括:上传文件、下载文件、使用虚拟专用网络VPN、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用文件传输协议FTP上传数据和使用FTP下载数据中的一种或多种。
11.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910437481.5A CN110191113B (zh) | 2019-05-24 | 2019-05-24 | 一种用户行为风险评估方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910437481.5A CN110191113B (zh) | 2019-05-24 | 2019-05-24 | 一种用户行为风险评估方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110191113A true CN110191113A (zh) | 2019-08-30 |
| CN110191113B CN110191113B (zh) | 2021-09-24 |
Family
ID=67717686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910437481.5A Active CN110191113B (zh) | 2019-05-24 | 2019-05-24 | 一种用户行为风险评估方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110191113B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110636082A (zh) * | 2019-10-31 | 2019-12-31 | 新华三技术有限公司合肥分公司 | 一种入侵检测方法及装置 |
| CN110634024A (zh) * | 2019-09-12 | 2019-12-31 | 北京无限光场科技有限公司 | 一种用户属性标记方法、装置、电子设备及存储介质 |
| CN110705688A (zh) * | 2019-09-05 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 对操作事件进行风险评估的神经网络系统、方法及装置 |
| CN111128355A (zh) * | 2019-12-20 | 2020-05-08 | 创业慧康科技股份有限公司 | 一种目标事件评估方法及装置 |
| CN111353689A (zh) * | 2020-02-14 | 2020-06-30 | 北京贝壳时代网络科技有限公司 | 一种风险评估方法及装置 |
| CN111652627A (zh) * | 2020-07-07 | 2020-09-11 | 中国银行股份有限公司 | 风险评估方法及装置 |
| CN111754044A (zh) * | 2020-06-30 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 员工行为审计方法、装置、设备及可读存储介质 |
| CN112053245A (zh) * | 2020-09-03 | 2020-12-08 | 中国银行股份有限公司 | 信息评估方法及系统 |
| CN112330442A (zh) * | 2020-11-17 | 2021-02-05 | 深圳市欢太科技有限公司 | 基于超长行为序列的建模方法及装置、终端、存储介质 |
| CN112580917A (zh) * | 2019-09-30 | 2021-03-30 | 深圳无域科技技术有限公司 | 一种客户特征的评估方法及装置 |
| CN112637148A (zh) * | 2020-12-11 | 2021-04-09 | 平安普惠企业管理有限公司 | 验证用户的方法、装置、电子设备及介质 |
| CN112785146A (zh) * | 2021-01-20 | 2021-05-11 | 中慧绿浪科技(天津)集团有限公司 | 一种网络舆情的评估方法及系统 |
| WO2021139437A1 (zh) * | 2020-01-06 | 2021-07-15 | 支付宝(杭州)信息技术有限公司 | 事件序列数据的处理方法、装置、电子设备 |
| CN113361855A (zh) * | 2021-05-07 | 2021-09-07 | 浙江警官职业学院 | 一种短中长期风险的告警方法及装置 |
| CN113570204A (zh) * | 2021-07-06 | 2021-10-29 | 北京淇瑀信息科技有限公司 | 用户行为预测方法、系统和计算机设备 |
| CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
| CN115545570A (zh) * | 2022-11-28 | 2022-12-30 | 四川大学华西医院 | 一种护理教育培训的成果验收方法及系统 |
| CN116258579A (zh) * | 2023-04-28 | 2023-06-13 | 成都新希望金融信息有限公司 | 用户信用评分模型的训练方法及用户信用评分方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170262852A1 (en) * | 2016-03-10 | 2017-09-14 | Amadeus S.A.S. | Database monitoring system |
| CN108510280A (zh) * | 2018-03-23 | 2018-09-07 | 上海氪信信息技术有限公司 | 一种基于移动设备行为数据的金融欺诈行为预测方法 |
| CN108648020A (zh) * | 2018-05-15 | 2018-10-12 | 携程旅游信息技术(上海)有限公司 | 用户行为量化方法、系统、设备及存储介质 |
| CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
| CN109410036A (zh) * | 2018-10-09 | 2019-03-01 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
| CN109657890A (zh) * | 2018-09-14 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 一种转账欺诈的风险确定方法及装置 |
-
2019
- 2019-05-24 CN CN201910437481.5A patent/CN110191113B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170262852A1 (en) * | 2016-03-10 | 2017-09-14 | Amadeus S.A.S. | Database monitoring system |
| CN108510280A (zh) * | 2018-03-23 | 2018-09-07 | 上海氪信信息技术有限公司 | 一种基于移动设备行为数据的金融欺诈行为预测方法 |
| CN108648020A (zh) * | 2018-05-15 | 2018-10-12 | 携程旅游信息技术(上海)有限公司 | 用户行为量化方法、系统、设备及存储介质 |
| CN109657890A (zh) * | 2018-09-14 | 2019-04-19 | 阿里巴巴集团控股有限公司 | 一种转账欺诈的风险确定方法及装置 |
| CN109345260A (zh) * | 2018-10-09 | 2019-02-15 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
| CN109410036A (zh) * | 2018-10-09 | 2019-03-01 | 北京芯盾时代科技有限公司 | 一种欺诈检测模型训练方法和装置及欺诈检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陈大鹏: "基于用户行为分析与识别的数据库入侵检测系统的研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 * |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110705688A (zh) * | 2019-09-05 | 2020-01-17 | 阿里巴巴集团控股有限公司 | 对操作事件进行风险评估的神经网络系统、方法及装置 |
| CN110634024A (zh) * | 2019-09-12 | 2019-12-31 | 北京无限光场科技有限公司 | 一种用户属性标记方法、装置、电子设备及存储介质 |
| CN112580917B (zh) * | 2019-09-30 | 2024-04-05 | 深圳无域科技技术有限公司 | 一种客户特征的评估方法及装置 |
| CN112580917A (zh) * | 2019-09-30 | 2021-03-30 | 深圳无域科技技术有限公司 | 一种客户特征的评估方法及装置 |
| CN110636082A (zh) * | 2019-10-31 | 2019-12-31 | 新华三技术有限公司合肥分公司 | 一种入侵检测方法及装置 |
| CN110636082B (zh) * | 2019-10-31 | 2022-06-21 | 新华三技术有限公司合肥分公司 | 一种入侵检测方法及装置 |
| CN111128355A (zh) * | 2019-12-20 | 2020-05-08 | 创业慧康科技股份有限公司 | 一种目标事件评估方法及装置 |
| CN111128355B (zh) * | 2019-12-20 | 2024-04-26 | 创业慧康科技股份有限公司 | 一种目标事件评估方法及装置 |
| WO2021139437A1 (zh) * | 2020-01-06 | 2021-07-15 | 支付宝(杭州)信息技术有限公司 | 事件序列数据的处理方法、装置、电子设备 |
| CN111353689B (zh) * | 2020-02-14 | 2023-10-31 | 北京贝壳时代网络科技有限公司 | 一种风险评估方法及装置 |
| CN111353689A (zh) * | 2020-02-14 | 2020-06-30 | 北京贝壳时代网络科技有限公司 | 一种风险评估方法及装置 |
| CN111754044A (zh) * | 2020-06-30 | 2020-10-09 | 深圳前海微众银行股份有限公司 | 员工行为审计方法、装置、设备及可读存储介质 |
| CN111754044B (zh) * | 2020-06-30 | 2024-04-30 | 深圳前海微众银行股份有限公司 | 员工行为审计方法、装置、设备及可读存储介质 |
| CN111652627A (zh) * | 2020-07-07 | 2020-09-11 | 中国银行股份有限公司 | 风险评估方法及装置 |
| CN111652627B (zh) * | 2020-07-07 | 2024-04-23 | 中国银行股份有限公司 | 风险评估方法及装置 |
| CN112053245A (zh) * | 2020-09-03 | 2020-12-08 | 中国银行股份有限公司 | 信息评估方法及系统 |
| CN112053245B (zh) * | 2020-09-03 | 2023-09-19 | 中国银行股份有限公司 | 信息评估方法及系统 |
| CN112330442A (zh) * | 2020-11-17 | 2021-02-05 | 深圳市欢太科技有限公司 | 基于超长行为序列的建模方法及装置、终端、存储介质 |
| CN112637148A (zh) * | 2020-12-11 | 2021-04-09 | 平安普惠企业管理有限公司 | 验证用户的方法、装置、电子设备及介质 |
| CN112637148B (zh) * | 2020-12-11 | 2022-10-21 | 平安普惠企业管理有限公司 | 验证用户的方法、装置、电子设备及介质 |
| CN112785146A (zh) * | 2021-01-20 | 2021-05-11 | 中慧绿浪科技(天津)集团有限公司 | 一种网络舆情的评估方法及系统 |
| CN113361855A (zh) * | 2021-05-07 | 2021-09-07 | 浙江警官职业学院 | 一种短中长期风险的告警方法及装置 |
| CN113570204A (zh) * | 2021-07-06 | 2021-10-29 | 北京淇瑀信息科技有限公司 | 用户行为预测方法、系统和计算机设备 |
| CN114826707B (zh) * | 2022-04-13 | 2022-11-25 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
| CN114826707A (zh) * | 2022-04-13 | 2022-07-29 | 中国人民解放军战略支援部队航天工程大学 | 处理用户威胁的方法、装置、电子设备和计算机可读介质 |
| CN115545570B (zh) * | 2022-11-28 | 2023-03-24 | 四川大学华西医院 | 一种护理教育培训的成果验收方法及系统 |
| CN115545570A (zh) * | 2022-11-28 | 2022-12-30 | 四川大学华西医院 | 一种护理教育培训的成果验收方法及系统 |
| CN116258579A (zh) * | 2023-04-28 | 2023-06-13 | 成都新希望金融信息有限公司 | 用户信用评分模型的训练方法及用户信用评分方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110191113B (zh) | 2021-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110191113A (zh) | 一种用户行为风险评估方法及装置 | |
| CN115857447B (zh) | 基于数字孪生的复杂工业系统运行监测方法及系统 | |
| WO2020037918A1 (zh) | 基于预测模型的风险控制策略的确定方法及相关装置 | |
| CN109241711A (zh) | 基于预测模型的用户行为识别方法及装置 | |
| CN105024877B (zh) | 一种基于网络行为分析的Hadoop恶意节点检测系统 | |
| CN106713312A (zh) | 检测非法域名的方法及装置 | |
| CN112651435B (zh) | 一种基于自学习的电力网络探针流量异常的检测方法 | |
| CN108229156A (zh) | Url攻击检测方法、装置以及电子设备 | |
| CN110213244A (zh) | 一种基于时空特征融合的网络入侵检测方法 | |
| CN107729465B (zh) | 人物危险度的评估方法、装置及电子设备 | |
| CN108334758A (zh) | 一种用户越权行为的检测方法、装置及设备 | |
| CN110837872B (zh) | 一种工控网络入侵检测方法及系统 | |
| CN103795723A (zh) | 一种分布式物联网安全态势感知方法 | |
| CN110032859A (zh) | 异常帐户鉴别方法与装置及介质 | |
| CN109688154B (zh) | 一种网络入侵检测模型建立方法及网络入侵检测方法 | |
| CN107332931A (zh) | 机器型论坛水军的识别方法及装置 | |
| CN104298782A (zh) | 互联网用户主动访问行为轨迹的分析方法 | |
| CN112651306A (zh) | 工具取用监控方法及装置 | |
| CN109639662A (zh) | 基于深度学习的机载网络入侵检测方法 | |
| CN107426136A (zh) | 一种网络攻击的识别方法和装置 | |
| CN116232696A (zh) | 基于深度神经网络的加密流量分类方法 | |
| Wang et al. | A two-phase approach to fast and accurate classification of encrypted traffic | |
| CN109194622B (zh) | 一种基于特征效率的加密流量分析特征选择方法 | |
| CN111401067B (zh) | 一种蜜罐仿真数据的生成方法及装置 | |
| Tan et al. | Using hidden markov models to evaluate the real-time risks of network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |