CN111866023A - 一种异常用户行为审计方法和装置 - Google Patents

一种异常用户行为审计方法和装置 Download PDF

Info

Publication number
CN111866023A
CN111866023A CN202010773422.8A CN202010773422A CN111866023A CN 111866023 A CN111866023 A CN 111866023A CN 202010773422 A CN202010773422 A CN 202010773422A CN 111866023 A CN111866023 A CN 111866023A
Authority
CN
China
Prior art keywords
calculating
correlation coefficient
similarity
behavior sequence
users
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010773422.8A
Other languages
English (en)
Inventor
陈昊
孙强强
连耿雄
丘惠军
陈霖
匡晓云
陈晓
杨祎巍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CSG Electric Power Research Institute
Shenzhen Power Supply Bureau Co Ltd
Research Institute of Southern Power Grid Co Ltd
Original Assignee
Shenzhen Power Supply Bureau Co Ltd
Research Institute of Southern Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Power Supply Bureau Co Ltd, Research Institute of Southern Power Grid Co Ltd filed Critical Shenzhen Power Supply Bureau Co Ltd
Priority to CN202010773422.8A priority Critical patent/CN111866023A/zh
Publication of CN111866023A publication Critical patent/CN111866023A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种异常用户行为审计方法和装置,用于解决传统的异常检测方法误报率高的技术问题。本发明包括:获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;计算每两个所述用户的用户行为序列之间的相似度;根据所述相似度计算相对应的两个所述用户之间的相关系数;根据所述相关系数计算稳定范围;根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。提高了对异常行为的检测准确率。

Description

一种异常用户行为审计方法和装置
技术领域
本发明涉及异常行为分析技术领域,尤其涉及一种异常用户行为审计方法和装置。
背景技术
随着互联网的普及程度越来越高,网民的人数呈现爆炸性的增长,网络用户行为呈现出它的复杂性和多样性,恰当的对网络用户行为进行分析、管理和预警,是需要解决的问题。
当下虽然大部分组织己建立起相对稳定的信息网络安全保护机制,同时确认的安全事件数量相对往年略有减少,但其性质和后果却愈发严重,并持续演变为新的威胁。面对如此复杂严峻的形式,设计安全措施防范网络安全事件的发生是当前网络安全领域一个十分迫切的问题。但要想完全避免安全事件发生是不现实的,只能尽可能去发现网络异常或入侵企图,便采取有效举措进行处理和防范,这样的研究称为网络异常检测。
现有的网络异常检测技术根据研究对象和应用场景可分为两类:基于主机和基于网络。基于主机的异常检测大多针对主机日志、操作命令等进行分析,存在交互性不够、难在线检测的问题。在基于网络的异常检测方面,卡迈基梅隆大学的R.A.Maxion于1990年首次提出针对网络数据流的异常检测,将网络行为分为“正常”和“异常”两类;符合规范的网络行为定性为正常行为,而与正常行为偏离较大的行为定性为异常行为。但传统的基于网络流统计分析的异常检测方法存在误报率较高的问题。
发明内容
本发明提供了一种异常用户行为审计方法,用于解决传统的异常检测方法误报率高的技术问题。
一方面,本发明提供的一种异常用户行为审计方法,包括:
获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;
计算每两个所述用户的用户行为序列之间的相似度;
根据所述相似度计算相对应的两个所述用户之间的相关系数;
根据所述相关系数计算稳定范围;
根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;
基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。
可选地,所述计算每两个所述用户行为序列之间的相似度的步骤,包括:
计算每两个所述用户行为序列之间的最长公共子序列;
计算所述最长公共子序列的第一长度;
计算所述最长公共子序列对应的两个所述用户行为序列的并集,并计算所述并集的第二长度;
分别计算每个所述最长公共子序列的所述第一长度与对应的所述第二长度的差,得到每两个所述用户的用户行为序列之间的相似度。
可选地,所述根据所述相似度计算相对应的两个所述用户之间的相关系数的步骤,包括:
根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
可选地,所述根据所述相关系数计算稳定范围的步骤,包括:
计算多个所述用户的相关系数之间的平均相关系数和相关系数方差;
基于所述平均相关系数与所述相关系数方差,计算稳定范围。
可选地,所述根据所述相关系数和所述稳定范围,确定疑似异常行为序列和正常行为序列的步骤,包括:
将相关系数处于所述稳定范围内的所述用户行为序列确定为正常行为序列;
将相关系数处于所述稳定范围之外的所述用户行为序列确定为疑似异常行为序列。
另一方面,本发明提供的一种异常用户行为审计装置,包括:
用户行为序列构建模块,用于获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;
相似度计算模块,用于计算每两个所述用户的用户行为序列之间的相似度;
相关系数计算模块,用于根据所述相似度计算相对应的两个所述用户之间的相关系数;
稳定范围计算模块,用于根据所述相关系数计算稳定范围;
疑似异常行为序列确定模块,用于根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;
异常行为确定模块,用于基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。
可选地,所述相似度计算模块,包括:
最长公共子序列计算子模块,用于计算每两个所述用户行为序列之间的最长公共子序列;
第一长度计算子模块,用于计算所述最长公共子序列的第一长度;
第二长度计算子模块,用于计算所述最长公共子序列对应的两个所述用户行为序列的并集,并计算所述并集的第二长度;
相似度计算子模块,用于分别计算每个所述最长公共子序列的所述第一长度与对应的所述第二长度的差,得到每两个所述用户的用户行为序列之间的相似度。
可选地,所述相关系数计算模块,包括:
平均相似度计算子模块,用于根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
相关系数计算子模块,用于求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
可选地,所述稳定范围计算模块,包括:
平均相关系数和相关系数方差计算子模块,用于计算多个所述用户的相关系数之间的平均相关系数和相关系数方差;
稳定范围计算子模块,用于基于所述平均相关系数与所述相关系数方差,计算稳定范围。
可选地,所述疑似异常行为序列确定模块,包括:
正常行为序列确定子模块,用于将相关系数处于所述稳定范围内的所述用户行为序列确定为正常行为序列;
疑似异常行为序列确定子模块,用于将相关系数处于所述稳定范围之外的所述用户行为序列确定为疑似异常行为序列。
从以上技术方案可以看出,本发明具有以下优点:本发明实施例通过构建用户的用户行为序列,计算每两个用户的用户行为序列之间的相似度和相关系数,来生成判断是否存在疑似异常行为序列的稳定范围,从而确定疑似异常行为序列,并根据疑似异常行为序列和正常行为序列之间的相似度,确定异常行为序列,提高了对异常行为的检测准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种异常用户行为审计方法的步骤流程图;
图2为本发明实施例提供的一种异常用户数据的处理流程图;
图3为本发明实施例提供的一种相似度计算方法的步骤流程图;
图4为本发明实施例提供的一种最长公共子序列计算流程图;
图5为本发明实施例提供的一种相关系数计算流程图;
图6为本发明实施例提供的一种异常用户行为检测流程图;
图7为本发明实施例提供的一种异常用户行为审计装置的结构框图。
具体实施方式
本发明实施例提供了一种异常用户行为审计方法和装置,用于解决传统的异常检测方法误报率高的技术问题。
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1,图1为本发明实施例提供的一种异常用户行为审计方法的步骤流程图。
本发明提供的一种异常用户行为审计方法,包括:
步骤101,获取用户数据,根据用户数据构建多个用户分别对应的多个用户行为序列;
在本发明实施例中,用户数据可以从系统日志中提取,包括网络设备的IP地址,用户在一定时间范围内的用户行为等;用户行为指用户在网络上的操作行为等。在获取用户数据后,可以将不同的用户数据转换为对应的特征值,以IP地址为例,本申请采用字典方式对用户主机进行集合编号。假设存在n个IP地址:127.0.0.1,127.0.0.2,...,127.0.0.n,对以上IP地址进行序列化,对每个第一次出现的IP地址进行依次编号,用一个字典保存序列IP序列化的值,即字典的键值key为序列化前的IP地址,value值为序列化后的值。
在将用户数据转换为相应的特征值后,可以得到用户行为序列,用户行为序列可以理解为“基于时间序列的用户行为”,其表征用户在某一时间段内,按照时间先后顺序记录的人从事某种活动的每一步行为。
可以理解的,根据获取用户数据的时间段不同,同一个用户可以有多个用户行为序列。
需要说明的是,从系统日志中提取的用户数据可能会存在异常或缺失,因此,在获取到用户数据后,需要对用户数据进行异常处。
如图2所示,示出了针对异常用户数据的处理流程图。
针对缺失值,可以采用删除或填充的方式替代缺失值,使缺失值与其他数值之间的关系保持最大,在一个示例中,可以通过人工填充记录、均值填充等方法。在用户序列转化的过程中需要注意删除冗余的属性,对关键值缺失的属性,如果数量较少可以使用人工填充的方法,比如对于原始数据中的SCRPORT(源端口)、DSTPORT(目标端口)等属性,可以选择直接舍弃。如果是时间属性缺失,则可以采用关联填充的方法,根据时间窗的前后行为进行推断,取近似的时间值。
异常值是数据集中偏离大部分数据的数据。从数据值上表现为:数据集中与平均值的偏差超过两倍标准的数据。通常在用户行为序列转化的过程中涉及的异常值主要是相关IP地址的数值出现问题,比如一些明显不属于该网络内部的IP地址段,需要重新采集数据或者直接删除。
步骤102,计算每两个用户的用户行为序列之间的相似度;
在本发明实施例中,当获取到多个用户在同一时间区间内的用户行为序列后,就可以通过计算用户之间的相似度来表示两个用户行为之间的相似程度和关系。现在计算用户之间序列相似度的算法大部分是基于集合之间的交集运算,比如Jaccard算法,夹角余弦算法等。
在一个示例中,可以采用基于Jaccard算法的改进算法Common-Jaccard算法计算两个用户行为序列之间的相似度。请参阅图3,具体可以包括以下子步骤:
S11,计算每两个用户行为序列之间的最长公共子序列;
S12,计算最长公共子序列的第一长度;
S13,计算最长公共子序列对应的两个用户行为序列的并集,并计算并集的第二长度;
S14,分别计算每个最长公共子序列的第一长度与对应的第二长度的差,得到每两个用户的用户行为序列之间的相似度。
基于Common-Jaccard算法计算两个用户行为序列之间的相似度需要获取两个用户行为序列之间的最长子序列,并计算最长子序列的第一长度。然后计算两个用户的用户行为序列的并集并计算该并集的第二长度。根据第一长度和第二长度的差值并可求取两个用户行为序列之间的相似度。
以公式表示如下:
Figure BDA0002617494520000071
其中,A、B为两个用户行为序列;C为A、B之间的最长公共子序列;len()用于求取集合的长度。acj为A、B的相似度。
在一个示例中,如图4所示,A、B之间的最长公共子序列可以通过以下方式计算得到:
假设用户行为序列A=(x1,x2,...,xm);用户行为序列B=(y1,y2,...,yn);将A和B的最长公共子序列记为LCS(A,B);要找出A和B的最长公共子序列(Longest CommonSequence,LCS),首先考虑A的最后一个元素和B的最后一个元素。
如果xm等于yn,即A的最后一个元素与B的最后一个元素相同,则说明该元素一定位于公共子序列中。因此,现在只需要找:LCS(Xm-1,Yn-1);
如果xm不等于yn,即A的最后一个元素与B的最后一个元素不相同,则说明该元素位于公共子序列中。此时需要计算xm与yn-1的最长公共子序列LCS(xm,yn-1),以及xm-1与yn的最长公共子序列LCS(xm-1,yn)。
重复执行上述两个步骤,即可得到A与B的最长公共子序列。
步骤103,根据相似度计算相对应的两个用户之间的相关系数;
在计算得到任意两个用户的用户行为序列之间的相似度后,可以根据相似度计算两个用户之间的相关系数。
在一个示例中,如图5所示,计算两个用户之间的相关系数的步骤可以包括以下子步骤:
S21,根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
S22,求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
在本发明实施例中,通过分析一段时间内相似度的变化,可以得到该时间段内,用户行为最相近的用户组合。两个用户在一段时间内的平均相似度越大,相似度变化幅值越小,则这两个用户的关系越相近。这一特征可用相关系数RC来表示:
Figure BDA0002617494520000081
其中,aavg为平均相似度;acj为相似度。
在计算得到每两个用户之间的相关系数之后,可以根据相似度和相关系数分析哪一个用户的用户行为与其他用户的用户行为差异较大,从而确定异常用户。
步骤104,根据相关系数计算稳定范围;
步骤105,根据相关系数与稳定范围,确定疑似异常行为序列和正常行为序列;
在本发明实施例中,可以根据相关系数计算出稳定范围,用以区分正常行为序列与疑似异常行为序列。
在本发明实施例中,步骤104可以包括:
计算多个用户的相关系数之间平均相关系数和相关系数方差;
基于平均相关系数与相关系数方差,计算稳定范围。
具体地,已采集时间一周为例,可以通过分别求出一周内所有用户之间的相似度与相关系数,来计算所有用户的平均相关系数RCavg及相关系数方差RCdx。计算平均相关系数与相关系数方差的差与和,将差与和之间,但不包括该差与和的数值范围确定为稳定范围。
相对系数处于稳定范围内的用户,可以视为稳定用户组合,稳定用户组合内的用户的用户行为序列为正常用户行为序列。相对系数在稳定范围之外的用户,视为疑似用户组合,疑似用户组内的用户的用户行为序列为疑似异常行为序列。
步骤106,基于疑似异常行为序列与正常行为序列之间的相似度,在疑似异常行为序列中确定异常行为序列。
对于疑似异常用户组合,分别比较疑似异常行为序列与正常用户的正常行为序列之间的相似度变化幅度,若组合中某一用户与其他用户之间的相似度变化幅度较大,则可判定为异常用户,加入到异常用户集中。通过上述流程,可计算得到异常用户集。可判定某用户在一周内发生了异常行为。
进一步地,针对异常用户集,缩小时间窗,如1天,重复执行上述流程,可得到某1天内某个用户产生了异常行为。
请参阅图6,图6为本发明实施例提供的一种异常用户行为检测流程图。
如图6所示,首先需要计算作为训练集的多个用户的平均相关系数RCavg和相关系数方差RCdx,接着计算作为测试集的多个用户各自的相关系数RC;判断RC是否满足RCavg-RCdx<RC<RCavg+RCdx,若是,将相对应的用户组合确定为稳定用户组合;若否,将相对应的用户组合确定为疑似用户组合。比较疑似用户组合内的用户与其余稳定用户之间的相似度幅度变化,将相似度幅度变化大的疑似用户确定为异常用户,其相应的用户行为序列即为异常行为序列。
本发明实施例通过构建用户的用户行为序列,计算每两个用户的用户行为序列之间的相似度和相关系数,来生成判断是否存在疑似异常行为序列的稳定范围,从而确定疑似异常行为序列,并根据疑似异常行为序列和正常行为序列之间的相似度,确定异常行为序列,提高了对异常行为的检测准确率。
请参阅图7,图7为本发明实施例提供的一种异常用户行为审计装置的结构框图。
本发明提供的一种异常用户行为审计装置,包括:
用户行为序列构建模块701,用于获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;
相似度计算模块702,用于计算每两个所述用户的用户行为序列之间的相似度;
相关系数计算模块703,用于根据所述相似度计算相对应的两个所述用户之间的相关系数;
稳定范围计算模块704,用于根据所述相关系数计算稳定范围;
疑似异常行为序列确定模块705,用于根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;
异常行为确定模块706,用于基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。
在本发明实施例中,所述相似度计算模块702,可以包括:
最长公共子序列计算子模块,用于计算每两个所述用户行为序列之间的最长公共子序列;
第一长度计算子模块,用于计算所述所述最长公共子序列的第一长度;
第二长度计算子模块,用于计算所述所述最长公共子序列对应的两个所述用户行为序列的并集,并计算所述并集的第二长度;
相似度计算子模块,用于分别计算每个所述最长公共子序列的所述第一长度与对应的所述第二长度的差,得到每两个所述用户的用户行为序列之间的相似度。
在本发明实施例中,所述相关系数计算模块703,可以包括:
平均相似度计算子模块,用于根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
相关系数计算子模块,用于求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
在本发明实施例中,所述稳定范围计算模块704,可以包括:
平均相关系数和相关系数方差计算子模块,用于计算多个所述用户的相关系数之间平均相关系数和相关系数方差;
稳定范围计算子模块,用于基于所述平均相关系数与所述相关系数方差,计算稳定范围。
在本发明实施例中,所述疑似异常行为序列确定模块705,可以包括:
正常行为序列确定子模块,用于将相关系数处于所述稳定范围内的所述用户行为序列确定为正常行为序列;
疑似异常行为序列确定子模块,用于将相关系数处于所述稳定范围之外的所述用户行为序列确定为疑似异常行为序列。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,可以是电性、机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来达到实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种异常用户行为审计方法,其特征在于,包括:
获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;
计算每两个所述用户的用户行为序列之间的相似度;
根据所述相似度计算相对应的两个所述用户之间的相关系数;
根据所述相关系数计算稳定范围;
根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;
基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。
2.根据权利要求1所述的方法,其特征在于,所述计算每两个所述用户行为序列之间的相似度的步骤,包括:
计算每两个所述用户行为序列之间的最长公共子序列;
计算所述最长公共子序列的第一长度;
计算所述最长公共子序列对应的两个所述用户行为序列的并集,并计算所述并集的第二长度;
分别计算每个所述最长公共子序列的所述第一长度与对应的所述第二长度的差,得到每两个所述用户的用户行为序列之间的相似度。
3.根据权利要求1所述的方法,其特征在于,所述根据所述相似度计算相对应的两个所述用户之间的相关系数的步骤,包括:
根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
4.根据权利要求1所述的方法,其特征在于,所述根据所述相关系数计算稳定范围的步骤,包括:
计算多个所述用户的相关系数之间的平均相关系数和相关系数方差;
基于所述平均相关系数与所述相关系数方差,计算稳定范围。
5.根据权利要求4所述的方法,其特征在于,所述根据所述相关系数和所述稳定范围,确定疑似异常行为序列和正常行为序列的步骤,包括:
将相关系数处于所述稳定范围内的所述用户行为序列确定为正常行为序列;
将相关系数处于所述稳定范围之外的所述用户行为序列确定为疑似异常行为序列。
6.一种异常用户行为审计装置,其特征在于,包括:
用户行为序列构建模块,用于获取用户数据,根据所述用户数据构建多个用户分别对应的多个用户行为序列;
相似度计算模块,用于计算每两个所述用户的用户行为序列之间的相似度;
相关系数计算模块,用于根据所述相似度计算相对应的两个所述用户之间的相关系数;
稳定范围计算模块,用于根据所述相关系数计算稳定范围;
疑似异常行为序列确定模块,用于根据所述相关系数与所述稳定范围,确定疑似异常行为序列和正常行为序列;
异常行为确定模块,用于基于所述疑似异常行为序列与所述正常行为序列之间的相似度,在所述疑似异常行为序列中确定异常行为序列。
7.根据权利要求6所述的装置,其特征在于,所述相似度计算模块,包括:
最长公共子序列计算子模块,用于计算每两个所述用户行为序列之间的最长公共子序列;
第一长度计算子模块,用于计算所述最长公共子序列的第一长度;
第二长度计算子模块,用于计算所述最长公共子序列对应的两个所述用户行为序列的并集,并计算所述并集的第二长度;
相似度计算子模块,用于分别计算每个所述最长公共子序列的所述第一长度与对应的所述第二长度的差,得到每两个所述用户的用户行为序列之间的相似度。
8.根据权利要求6所述的装置,其特征在于,所述相关系数计算模块,包括:
平均相似度计算子模块,用于根据每两个所述用户分别对应的多个用户行为序列之间的相似度,计算平均相似度;
相关系数计算子模块,用于求取所述平均相似度与所述相似度的商,确定相对应的两个所述用户之间的相关系数。
9.根据权利要求6所述的装置,其特征在于,所述稳定范围计算模块,包括:
平均相关系数和相关系数方差计算子模块,用于计算多个所述用户的相关系数之间的平均相关系数和相关系数方差;
稳定范围计算子模块,用于基于所述平均相关系数与所述相关系数方差,计算稳定范围。
10.根据权利要求9所述的装置,其特征在于,所述疑似异常行为序列确定模块,包括:
正常行为序列确定子模块,用于将相关系数处于所述稳定范围内的所述用户行为序列确定为正常行为序列;
疑似异常行为序列确定子模块,用于将相关系数处于所述稳定范围之外的所述用户行为序列确定为疑似异常行为序列。
CN202010773422.8A 2020-08-04 2020-08-04 一种异常用户行为审计方法和装置 Pending CN111866023A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010773422.8A CN111866023A (zh) 2020-08-04 2020-08-04 一种异常用户行为审计方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010773422.8A CN111866023A (zh) 2020-08-04 2020-08-04 一种异常用户行为审计方法和装置

Publications (1)

Publication Number Publication Date
CN111866023A true CN111866023A (zh) 2020-10-30

Family

ID=72953495

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010773422.8A Pending CN111866023A (zh) 2020-08-04 2020-08-04 一种异常用户行为审计方法和装置

Country Status (1)

Country Link
CN (1) CN111866023A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269937A (zh) * 2020-11-16 2021-01-26 加和(北京)信息科技有限公司 一种计算用户相似度的方法、系统及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
US20180225460A1 (en) * 2015-10-09 2018-08-09 Nippon Telegraph And Telephone Corporation Vulnerability detection device, vulnerability detection method, and vulnerability detection program
CN109978016A (zh) * 2019-03-06 2019-07-05 重庆邮电大学 一种网络用户身份识别方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180225460A1 (en) * 2015-10-09 2018-08-09 Nippon Telegraph And Telephone Corporation Vulnerability detection device, vulnerability detection method, and vulnerability detection program
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
CN109978016A (zh) * 2019-03-06 2019-07-05 重庆邮电大学 一种网络用户身份识别方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
金倩倩等: "基于相似度分析的电力信息内网用户行为异常预警方法", 《计算机系统应用》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112269937A (zh) * 2020-11-16 2021-01-26 加和(北京)信息科技有限公司 一种计算用户相似度的方法、系统及装置
CN112269937B (zh) * 2020-11-16 2024-02-02 加和(北京)信息科技有限公司 一种计算用户相似度的方法、系统及装置

Similar Documents

Publication Publication Date Title
US10728263B1 (en) Analytic-based security monitoring system and method
US10686829B2 (en) Identifying changes in use of user credentials
US10171335B2 (en) Analysis of site speed performance anomalies caused by server-side issues
Kim et al. Statistical techniques for detecting traffic anomalies through packet header data
US7716739B1 (en) Subjective and statistical event tracking incident management system
CN112398779A (zh) 一种网络流量数据分析方法及系统
US10263833B2 (en) Root cause investigation of site speed performance anomalies
CN109842628A (zh) 一种异常行为检测方法及装置
US7962611B2 (en) Methods, systems and computer program products for detecting flow-level network traffic anomalies via abstraction levels
US20100214069A1 (en) Method and system for state encoding
US20040250169A1 (en) IDS log analysis support apparatus, IDS log analysis support method and IDS log analysis support program
CN106415507A (zh) 日志分析装置、攻击检测装置、攻击检测方法以及程序
US20170126713A1 (en) Calculating consecutive matches using parallel computing
CN114915479B (zh) 一种基于Web日志的Web攻击阶段分析方法及系统
KR20090001609A (ko) 사이버위협 예보 시스템 및 방법
Colombe et al. Statistical profiling and visualization for detection of malicious insider attacks on computer networks
CN112149749A (zh) 异常行为检测方法、装置、电子设备及可读存储介质
US10504026B2 (en) Statistical detection of site speed performance anomalies
CN110598959A (zh) 一种资产风险评估方法、装置、电子设备及存储介质
CN113904881A (zh) 一种入侵检测规则误报处理方法和装置
CN111866023A (zh) 一种异常用户行为审计方法和装置
Mihailescu et al. Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity
CN111507878A (zh) 一种基于用户画像的网络犯罪嫌疑人侦查方法及系统
CN113810334B (zh) 一种邮件系统异常ip的检测方法及检测系统
JP2023035449A (ja) 攻撃検知装置、攻撃検知方法及び攻撃検知プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201030