CN112583768A - 一种用户异常行为检测方法及装置 - Google Patents
一种用户异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN112583768A CN112583768A CN201910938622.1A CN201910938622A CN112583768A CN 112583768 A CN112583768 A CN 112583768A CN 201910938622 A CN201910938622 A CN 201910938622A CN 112583768 A CN112583768 A CN 112583768A
- Authority
- CN
- China
- Prior art keywords
- current
- historical
- time
- characteristic
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例公开了一种用户异常行为检测方法及装置,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户行为是否正常,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。
Description
技术领域
本申请涉及计算机领域,尤其涉及一种用户异常行为检测方法及装置。
背景技术
在企业内部每时每刻都在产生着大量的用户行为,例如员工可以通过电脑复制文本、通过聊天工具聊天、通过网页访问网站、通过邮件沟通等,对于一些大型企业而言,员工或达到上万人,网络终端可能达到几十万个,产生的用户行为的数据量是非常庞大的。
在这些大量的用户行为中,可能存在着一些异常行为,大到通过邮件发送企业机密数据,小到上班时间浏览购物网站,这些异常行为严重时可能造成企业数据的外泄,对企业的数据安全产生一定的威胁。如何对用户行为进行实时监测,识别出其中的异常行为,是目前亟待解决的技术问题。
目前,可以根据用户的历史行为训练用户的正常行为模型,利用训练好的正常行为模型为用户的当前行为进行分类,从而判断用户的当前行为是否为异常行为。然而这种模型训练方式需要大量的训练数据,同时计算量较大,无法实现实时检测。
发明内容
为了解决现有技术中用户异常行为对数据安全造成的威胁,本申请实施例提供了一种用户异常行为检测方法及装置,准确并实时地进行异常行为的检测,提高企业数据的安全性。
本申请实施例提供了一种用户异常行为检测方法,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
所述方法包括:
获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:
根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
可选的,所述方法还包括:
预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。
可选的,所述基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数,包括:
对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。
可选的,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。
可选的,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。
本申请实施例还提供了一种用户异常行为检测装置,包括:
密度曲线获取单元,用于预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
当前特征获取单元,用于获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
异常指数获取单元,用于基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述异常指数获取单元包括:
第一异常指数计算单元,用于根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
第二异常指数计算单元,用于根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
第三异常指数计算单元,用于根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
异常指数获取子单元,用于基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
可选的,所述装置还包括:
模型训练单元,用于预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述第一异常指数计算单元具体用于:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述第二异常指数计算单元具体用于:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述第三异常指数计算单元具体用于:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。
可选的,所述异常指数获取子单元具体用于:
对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。
可选的,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。
可选的,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。
本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现所述的用户异常行为检测方法。
本申请实施例还提供了一种关键词的确定用户异常行为检测设备,包括至少一个处理器、与处理器连接的至少一个存储器、以及总线;其中,所述处理器与所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行所述的用户异常行为检测方法。
本申请实施例提供了一种用户异常行为检测方法及装置,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户行为是否正常,而无需消耗很多时间去实时估计,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请提供的一种用户异常行为检测方法的流程图;
图2为本申请提供的一种用户异常行为检测装置的结构框图;
图3为本申请提供的一种用户异常行为检测设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
企业内部时刻产生着大量的用户行为,这些用户行为可能存在异常,较严重时会造成企业数据的外泄,对企业的数据安全产生一定的威胁。目前的用户行为检测方法中,可以利用用户的历史行为训练用户的正常行为模型,利用训练好的正常行为模型为用户的当前行为进行分类,从而判断用户的当前行为是否为异常行为。然而这种模型训练方式需要大量的训练数据,同时计算量较大,无法实现实时检测。对于大型企业而言,实时性不好可能导致很多异常行为不能及时发现,容易存在数据安全隐患。
基于以上技术问题,本申请实施例提供了一种用户异常行为检测方法及装置,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户行为是否正常,而无需消耗很多时间去实时估计,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。
参见图1,为本申请实施例提供的一种用户异常行为检测方法的流程图,在执行用户异常行为检测方法之前,可以先进行:
S100,根据多个历史用户行为的历史特征,得到时间核密度曲线。
在本申请实施例中,企业中的用户在工作过程中会产生大量的用户行为,这些用户行为利用用户行为数据来表征,用户行为数据可以依托于大数据平台去采集、存储以及管理。
具体来说,用户行为可以分为网络端事件和终端事件两类,其中网络端事件可以包括用户通过网络进行的行为,例如通过网页访问网站、利用邮件进行交流、通过聊天工具聊天等,终端事件可以包括用户利用终端本身进行的行为,例如通过电脑复制文本、利用打印机打印文件等。
对于上述两种不同类别的用户行为,其用户行为数据可以包括不同的特征,具体的,网络端事件的用户行为数据可以包括时间、协议、地区、源互联网协议地址(InternetProtocol,IP)、目标IP、区域、单位(Identity document,id)、部门id、用户id等特征的至少一种,其中,网络端事件的协议可以包括超文本传输协议(Hyper Text TransferProtocol,HTTP)、文件传输协议(File Transfer Protocol,FTP)、简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)、WebMail、超文本传输安全协议(HypertextTransfer Protocol Secure,HTTPS)、邮局协议第三版本(Post Office Protocol-Version3,POP3)等;而终端事件的用户行为数据可以包括时间、通道、地区、源IP、区域、单位标识id、部门id、用户id、应用名称等特征的至少一种,这里的通道可以包括即时通讯(instantmessenger,IM)通道、邮件通道、HTTP通道、FTP通道、网络共享通道、打印通道、刻录通道、移动存储通道等。
本申请实施例中,可以对用户行为进行检测,被检测的用户行为可以作为当前用户行为,而被检测的用户行为之前的产生的用户行为可以作为历史用户行为,在对当前用户行为进行检测之前,可以先对历史用户行为进行分析。
具体的,可以从大数据平台获取历史用户行为数据,并对历史用户行为数据进行特征提取,得到至少一个历史特征。对于网络端事件的历史用户行为数据,提取的历史特征可以包括历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征等中的至少一种;对于终端事件的历史用户行为数据,提取的历史特征可以包括历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征、历史应用名称特征等中的至少一种。在本申请实施例中,可以将历史时间特征之外的其他特征作为历史其他特征。
在提取出历史特征后,可以生成表格文件记录历史特征,以便后续对历史特征进行处理,表格文件的格式可以是csv。当然,也可以不生成表格文件,而是存储历史特征在数据库中的位置,在后续需要对历史特征进行处理时,从而大数据平台的数据库中直接读取相应的历史特征。
在提取出历史特征后,可以对历史特征进行数据预处理,其中数据预处理可以包括数据清洗和数据加工,其中数据清洗即去除历史特征中的空值等没有实际意义的值,数据加工包括对历史特征中的字段进行格式转换,例如从数据库中提取出的历史特征中的时间字段的格式为str格式,此时可以转换为datetime格式,对于协议、通道等字段也可以进行one_hot编码等。
当然,对历史特征进行预处理是为了能够高效的利用历史特征,若提取的历史特征本身格式正确,其中的字符都是有意义的,也可以不进行数据预处理。
在提取历史特征后,或在对历史特征进行数据预处理后,可以根据各个历史特征,在实时监测用户行为的过程中确定当前用户行为是否为异常行为。具体的,每个历史用户行为可以具有多项历史特征,例如访问网页的用户行为,可以包括历史时间特征、历史协议特征、历史ip特征等,而多个历史用户行为可以具有同一项历史特征,该项历史特征可以具有多个特征值,例如发邮件的用户行为和访问网页的用户行为均具有历史时间特征,这两个历史时间可以作为历史时间特征的两个特征值。
因此可以根据多个历史用户的历史特征得到各项历史特征的核密度、频繁项集以及频次的至少一种,其中,历史特征的核密度可以体现该项历史特征下的不同特征值对应的核密度,历史特征的频繁项集可以体现该项历史特征下的不同特征值对应的频繁项集特性,历史特征的频次可以体现该项历史特征下的不同特征值出现的历史频次。
对于一项历史特征,若多个历史用户行为具有的特征值为离散分布的值,则可以得到该历史特征的频繁项集,例如对于历史时间特征、历史协议特征、历史通道特征等,可以对应有频繁项集,若该历史特征为历史时间特征之外的历史其他特征,则可以对应有历史频次,例如历史ip特征可以对应有历史频次。对于历史时间特征,可以通过月、周、日、时、分等角度表达,这样可以体现用户行为的一些规律,例如周一到周五为工作日,产生的用户行为较多,而周六和周日为休息日,产生的用户行为较少。对于历史时间特征而言,相比于时间核密度,时间频繁项集能够有效体现特征之间的关联性。
对于一项历史特征,若多个历史用户行为具有的特征值为离散分布的值,但是可以通过拟合而连续,例如历史时间特征的特征值为时间点,通过拟合可以形成连续的时间线,则可以得到该历史特征的核密度,例如历史时间特征可以对应有时间核密度。相比于时间频繁项集,时间核密度可以覆盖较多的时间点,而历史未发生用户行为的时间点,也可以根据历史时间特征的时间核密度拟合得到较为准确的核密度。
核密度通过核密度估计得到,其中核密度估计可以利用核函数实现,核函数可以根据历史特征的数据特点及场景需求调整,可以包括高斯核函数、高帽核函数、Epanechnikov核函数、指数核函数、线性核函数、余弦核函数等。
作为一种示例,对历史时间特征的时间核密度估计可以是时分核密度估计、周几核密度估计、日期核密度估计的至少一种,得到的时间核密度分别通过时分核密度曲线、周几核密度曲线和日期核密度曲线体现,从而体现不同时间维度上的时间核密度。具体来说,时分核密度曲线体现的是用时和分表示的时间点上的核密度,例如08:00、09:00的核密度,这里的08:00可以包括多个日期中的08:00;周几核密度曲线体现的是用周表示的时间点上的核密度,例如周一、周二、周三的核密度,这里的周一可以是一个月中的不同周的周一,也可以是不同月中周一;日期核密度曲线体现的是以日期表示的时间点上的核密度,例如2019/09/28、2019/09/29的核密度。
在得到历史特征的核密度后,可以对历史特征的核密度进行存储。例如可以对时间核密度曲线进行存储,时间核密度曲线可以以字典格式存储,时间点的粒度可以为分钟或者更小,从而对应保存时间特征值和核密度。
传统方法中利用核密度模型进行用户行为检测,都是将历史数据存储在核密度模型中,在使用核密度模型时重新计算核密度分布,此种方法在模型使用阶段需要大量的计算,降低模型效率。对于大量用户行为的实时监测,该方法会严重影响检测的实时性,因此本申请实施例中,可以预先计算时间核密度分布,然后将时间核密度曲线以字典格式存储,在检测阶段只需进行查字典即可得到各特征值的核密度,无需实时进行时间核密度曲线的构建,极大的减少了检测阶段的计算量,提升了检测效率。
各项历史特征的核密度、频繁项集以及历史频次均可以体现用户行为的规律,因此可以利用这些数据去估计用户行为的异常程度。具体的,根据历史特征的核密度可以计算当前用户行为对应的核密度异常指数,根据历史特征的频繁项集可以计算当前用户对应的频繁项集异常指数,根据历史时间特征之外的历史其他特征的历史频次可以计算当前用户对应的频次异常指数,根据核密度异常指数、频繁项集异常指数和频次异常指数的至少一项,可以计算当前用户行为的行为异常指数。
通常来说,一项历史特征中,某一个特征中的时间核密度越高,说明具有该特征的用户行为再次发生的可能性也越高;同理,一项历史特征中,某一个特征的历史频次越高,说明具有该特征的用户行为再次发生的可能性也较高。
用户在某一时间点发生的可能性,可以用于评估该时间点发生当前用户行为的异常指数,从而表征当前用户行为的异常程度。通常来说,在一个时间点发生用户行为可能性较高时,则在该时间点发生的当前用户行为是异常行为的可能性较低,当前用户行为对应的异常指数也较低;而在另一个时间点发生用户行为可能性较低时,则在该时间点发生的当前用户行为是异常行为的可能性较高,当前用户行为对应的异常指数也较高。例如,某用户在周日10点产生用户行为的可能性较低,而当前用户行为为用户在周日10点发送了邮件,则可以认为当前用户行为为异常行为的可能性较高,确定出的当前用户行为对应的异常指数也较高。
为了便于根据历史特征计算用户行为的异常指数,可以利用历史特征进行异常检测模型的训练,这样,在用户行为检测阶段,可以将当前用户行为的当前特征输入异常检测模型中,得到当前用户行为的异常指数。
具体的,可以异常检测模型可以包括时间核密度模型、频繁项集模型和频次模型等多个子模型。其中,时间核密度模型中可以存储有时间核密度曲线,以及多个时间特征与核密度异常指数的转化关系,时间核密度曲线可以以字典形式存储,在向时间核密度模型输入对应的当前特征后,该模型可以通过查找字典,以及时间特征和核密度异常指数的转化关系,确定当前用户行为的核密度异常指数;频繁项集模型可以根据对应的历史特征得到该历史特征的频繁项集,在输入对应的当前特征后,可以根据该历史特征的频繁项集和当前特征得到当前用户行为的频繁项集异常指数;频次模型可以根据对应的历史其他特征得到该历史其他特征的多个特征值的历史频次,在输入对应的当前其他特征后,可以根据该历史其他特征的多个特征值的历史频次和当前其他特征得到当前用户行为的频次异常指数。进而,可以根据核密度异常指数、频繁项集异常指数和频次异常指数的至少一项,计算当前用户行为的行为异常指数。
其中,时间核密度模型与时间频繁项集模型可以互补,得到更加合理的用户行为评分。举例来说,历史用户常在周一早上八点发邮件,如果某用户因为临时晚了几分钟,在周一早上九点发邮件,应为正常行为,时间核密度模型会判定为正常,输出的核密度异常指数较低,而时间频繁项集模型会判定为异常,输出的频繁项集异常指数较高;如果某用户在周二早上八点发邮件,应为异常行为,此时频繁项集算法会判定为异常,输出的频繁项集异常指数较高,而时间核密度算法会判定为正常,输出的核密度异常指数较低。综合两者的评分,可以有效的区分这些情况下的异常行为。
可以理解的是,一个子模型可以只由一个历史特征训练得到,也可以由多个历史特征组合训练得到,也就是说,该子模型只能在输入相应历史特征对应的当前特征后,才能得到相应的异常指数。举例来说,对于历史时间特征和当前时间特征,可以对应核密度模型和频繁项集模型,形成时间核密度模型和时间频繁项集模型,利用历史时间特征对时间核密度模型进行训练,在将当前时间特征输入时间核密度模型后,可以得到核密度异常指数;对于历史协议特征和当前协议特征,可以对应协议频繁项集模型,利用历史协议特征对协议频繁项集模型进行训练,在将当前协议特征输入协议频繁项集模型后,可以得到频繁项集异常指数;对于历史通道特征和当前通道特征,可以对应通道频繁项集模型;对于历史ip特征和当前ip特征,可以对应ip频次模型,利用历史通道特征对ip频次模型进行训练,在将当前ip特征输入ip频次模型后,可以得到频次异常指数。
在对异常行为检测模型进行训练之前,可以对异常行为检测模型进行参数配置,参数可以通过配置文件配置,这些参数可以是各个子模型中的算法的基础参数,决定着各个子模型的类别和功能。在利用多个历史特征进行多个子模型训练时,各个子模型可以顺次训练,例如可以先利用一个历史特征对其对应的子模型进行训练,然后利用另一个历史特征对其对应的另一个子模型进行训练。
在异常行为检测模型训练完成后,保存异常行为检测模型,具体的,可以将异常行为检测模型以model文件保存到HDFS中相应的位置,以供异常行为检测应用调用。异常行为检测应用可以封装为docker镜像,从而快速复制到多台机器中,在启动时执行异常行为检测。
在S100后,已经得到了以字典形式存储的多个时间特征的时间核密度,以及包括时间核密度模型、频繁项集模型和频次模型等多个子模型的异常行为检测模型,则可以进行以下用户异常行为检测的方法,该方法可以包括以下步骤:
S101,获取当前用户行为的当前特征。
本申请实施例中,可以对用户行为进行检测,被检测的用户行为可以作为当前用户行为,而被检测的用户行为之前的产生的用户行为可以作为历史用户行为。当前用户行为和历史用户行为均可以由大数据平台采集及存储,因此可以从大数据平台获取当前用户行为。
在获取当前用户行为数据后,可以对当前用户行为进行特征提取,得到至少一个当前特征。对于网络端事件的当前用户行为数据,提取的当前特征可以包括当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征等中的至少一种;对于终端事件的当前用户行为数据,提取的当前特征可以包括当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征等中的至少一种。在本申请实施例中,可以将当前时间特征之外的其他特征作为当前其他特征。
可以理解的是,当前特征和历史特征是对应的,这是因为为了对当前特征进行处理,需要以同一项的历史特征为依据,举例来说,当前特征包括当前时间特征,对应的历史特征包括历史时间特征,当前时间特征包括当前协议特征,则对应的历史特征包括历史协议特征,等等。
在获取到当前特征后,可以对当前特征进行预处理,预处理的方式可以参考对历史特征的预处理方式。
S102,基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。
在本申请实施例中,由于预先得到时间核密度曲线,这样可以得到各个时间特征的核密度,因此在得到当前时间特征后,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。
具体的,可以查找到当前时间特征对应的时间核密度,根据时间核密度特别设计的转化公式,可以计算得到时间核异常指数。
具体的,还可以将当前时间特征输入预先训练的时间核密度模型,获取时间核密度模型输出的核密度异常指数,这里的时间核密度模型为预先根据历史时间特征训练得到,且存储有时间核密度曲线,以及多个时间特征与核密度异常指数的转化关系。
因此,本申请实施例中,只要查找时间核密度曲线即可得到各个时间特征值的核密度,而无需实时进行时间核密度曲线的构建,减少了检测阶段的计算量,提升了检测效率。
时间核异常指数在一定程度上可以体现当前用户行为的行为异常指数,因此可以得到用户行为的行为异常指数,例如可以将时间核异常指数作为行为异常指数,也可以结合时间核异常指数和其他异常指数计算行为异常指数。
由于当前用户行为还可以具有当前其他数据,本申请实施例中还可以根据当前用户行为的当前其他数据计算得到当前其他异常指数。
作为一种可能的实现方式,可以根据至少一项当前特征以及当前特征对应的历史特征的频繁项集,计算得到当前用户行为对应的频繁项集异常指数。
具体的,可以根据至少一项当前特征以及当前特征对应的历史特征的频繁项集,得到当前特征的频繁项集,根据为频繁项集特别设计的转化公式,计算得到当前用户行为对应的频繁项集异常指数。
当然,也可以将至少一项当前特征输入对应的频繁项集模型,获取频繁项集模型输出的频繁项集异常指数,这里的频繁项集模型是预先根据当前特征对应的历史特征训练得到的。
作为另一种可能的实现方式,可以根据至少一项当前其他特征以及当前其他特征对应的历史其他特征的历史频次,计算得到当前用户行为对应的频次异常指数。
具体的,可以根据至少一项当前其他特征以及当前特征对应的历史其他特征的历史频次,得到当前其他特征出现的概率,根据为出现概率值特别设计的转化公式,计算得到当前用户行为对应的频次异常指数。
当然,也可以将至少一项当前其他特征输入对应的频次模型,获取频次模型输出的频次异常指数,这里的频次模型是预先根据当前其他特征对应的历史其他特征训练得到的。
在得到核密度异常指数、频繁项集异常指数和频次异常指数后,可以对这三项异常指数进行加权平均,得到当前用户行为对应的行为异常指数。各个子模型的输出的异常指数的权重可以根据实际情况而定,用户可以在检测前对权重进行设置,这样得到的当前用户行为对应的行为异常指数更加准确。具体实施时,权重可以保存在配置文件中,每次调用异常行为检测模型可以加载配置文件,从而为每个子模型配置权重。
在利用异常行为检测模型得到异常指数之前,需要进行异常行为检测模型的加载,然而,在数据并发量较高的情况下,例如每秒上万并发量的情况下,每次调用异常行为检测模型都重新加载异常行为检测模型显然不能满足要求,所以本申请实施例设计了预加载模式,只在第一次调用时加载一次异常行为检测模型,然后保存在内存里。本申请实施例同时采用了多进程技术,使进行异常行为检测的异常行为检测应用能够充分利用所在服务器的每个CPU核心,提供更大的并发量。结合预加载和多进程技术,保证了高并发情况下的检测效率。
在计算得到当前用户行为的行为异常指数后,可以根据行为异常指数判断当前用户行为是否异常行为,若是,可以进行报警。具体来说,可以设置安全阈值,在行为异常指数大于安全阈值时,可以认为当前用户行为是异常行为。
基于以上技术问题,本申请实施例提供了一种用户异常行为检测方法,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户的行为是否正常,而无需消耗很多时间去实时估计,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。此外,利用模型预加载的方式结合多进程技术,可以进一步提高数据处理速度,在用户量极大、用户行为非常多的情况下,也能做到实时的检测。
基于以上实施例提供的一种用户异常行为检测方法,本申请实施例还提供了一种用户异常行为检测装置,下面结合附图来详细说明其工作原理。
参见图2,该图为本申请实施例提供的一种用户异常行为检测装置的结构框图,该装置包括:
密度曲线获取单元,用于预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
当前特征获取单元,用于获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
异常指数获取单元,用于基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述异常指数获取单元包括:
第一异常指数计算单元,用于根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
第二异常指数计算单元,用于根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
第三异常指数计算单元,用于根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
异常指数获取子单元,用于基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
可选的,所述装置还包括:
模型训练单元,用于预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述第一异常指数计算单元具体用于:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述第二异常指数计算单元具体用于:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述第三异常指数计算单元具体用于:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。
可选的,所述异常指数获取子单元具体用于:
对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。
可选的,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。
可选的,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。
本申请实施例提供了一种用户异常行为检测装置,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户行为是否正常,而无需消耗很多时间去实时估计,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。
所述用户异常行为检测装置包括处理器和存储器,上述密度曲线获取单元、当前特征获取单元、异常指数获取单元、第一异常指数计算单元、第二异常指数计算单元、第三异常指数计算单元、异常指数获取子单元和模型训练单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来准确并实时地进行异常行为的检测,提高企业数据的安全性。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述用户异常行为检测方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述用户异常行为检测方法。
本发明实施例提供了一种用户异常行为检测设备,参考图3所示,为本申请提供的一种用户异常行为检测设备30的结构框图,该设备30包括至少一个处理器301、以及与处理器301连接的至少一个存储器302、总线303;其中,处理器301、存储器302通过总线303完成相互间的通信;处理器301用于调用存储器302中的程序指令,以执行上述的用户异常行为检测方法。本文中的设备30可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在用户异常行为检测设备上执行时,适于执行初始化有如下方法步骤的程序:
预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:
根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
可选的,所述方法还包括:
预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。
可选的,所述基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数,包括:
对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。
可选的,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。
可选的,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种用户异常行为检测方法,其特征在于,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
所述方法包括:
获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
2.根据权利要求1所述的方法,其特征在于,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
3.根据权利要求1所述的方法,其特征在于,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:
根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。
5.根据权利要求3所述的方法,其特征在于,所述基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数,包括:
对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。
6.根据权利要求3所述的方法,其特征在于,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。
7.根据权利要求3所述的方法,其特征在于,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。
8.一种用户异常行为检测装置,其特征在于,包括:
密度曲线获取单元,用于预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
当前特征获取单元,用于获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
异常指数获取单元,用于基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
9.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,该程序被处理器执行时实现权利要求1~7中任一项所述的用户异常行为检测方法。
10.一种用户异常行为检测设备,其特征在于,包括至少一个处理器、与处理器连接的至少一个存储器、以及总线;其中,所述处理器与所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行如权利要求1~7中任一项所述的用户异常行为检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910938622.1A CN112583768A (zh) | 2019-09-30 | 2019-09-30 | 一种用户异常行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910938622.1A CN112583768A (zh) | 2019-09-30 | 2019-09-30 | 一种用户异常行为检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112583768A true CN112583768A (zh) | 2021-03-30 |
Family
ID=75116189
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910938622.1A Pending CN112583768A (zh) | 2019-09-30 | 2019-09-30 | 一种用户异常行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112583768A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
| CN117294492A (zh) * | 2023-09-21 | 2023-12-26 | 中移互联网有限公司 | 异常行为检测方法、装置、电子设备及存储介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681312A (zh) * | 2016-01-28 | 2016-06-15 | 李青山 | 一种基于频繁项集挖掘的移动互联网异常用户检测方法 |
| CN106500754A (zh) * | 2016-12-30 | 2017-03-15 | 深圳前海弘稼科技有限公司 | 传感器的检测方法和传感器的检测装置 |
| CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
| US9826349B1 (en) * | 2016-07-13 | 2017-11-21 | Verizon Patent And Licensing Inc. | Accuracy estimation and enhancement of position data using kernel density estimation |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN108134944A (zh) * | 2017-12-14 | 2018-06-08 | 北京奇艺世纪科技有限公司 | 一种收入异常主播用户的识别方法、装置及电子设备 |
| CN109213654A (zh) * | 2018-07-05 | 2019-01-15 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN109558416A (zh) * | 2018-11-07 | 2019-04-02 | 北京先进数通信息技术股份公司 | 一种异常交易的检测方法、装置及存储介质 |
| CN110188015A (zh) * | 2019-04-04 | 2019-08-30 | 北京升鑫网络科技有限公司 | 一种主机访问关系异常行为自适应检测装置及其监测方法 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
-
2019
- 2019-09-30 CN CN201910938622.1A patent/CN112583768A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681312A (zh) * | 2016-01-28 | 2016-06-15 | 李青山 | 一种基于频繁项集挖掘的移动互联网异常用户检测方法 |
| US9826349B1 (en) * | 2016-07-13 | 2017-11-21 | Verizon Patent And Licensing Inc. | Accuracy estimation and enhancement of position data using kernel density estimation |
| CN106789885A (zh) * | 2016-11-17 | 2017-05-31 | 国家电网公司 | 一种大数据环境下用户异常行为检测分析方法 |
| CN106500754A (zh) * | 2016-12-30 | 2017-03-15 | 深圳前海弘稼科技有限公司 | 传感器的检测方法和传感器的检测装置 |
| CN108134944A (zh) * | 2017-12-14 | 2018-06-08 | 北京奇艺世纪科技有限公司 | 一种收入异常主播用户的识别方法、装置及电子设备 |
| CN108055281A (zh) * | 2017-12-27 | 2018-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
| CN109213654A (zh) * | 2018-07-05 | 2019-01-15 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN109558416A (zh) * | 2018-11-07 | 2019-04-02 | 北京先进数通信息技术股份公司 | 一种异常交易的检测方法、装置及存储介质 |
| CN110188015A (zh) * | 2019-04-04 | 2019-08-30 | 北京升鑫网络科技有限公司 | 一种主机访问关系异常行为自适应检测装置及其监测方法 |
| CN110222525A (zh) * | 2019-05-14 | 2019-09-10 | 新华三大数据技术有限公司 | 数据库操作审计方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 牛继强: "《面向土地用途分区的空间数据挖掘理论与方法》", 31 October 2017 * |
| 鲜永菊 等: "《入侵检测》", 31 August 2009 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174237A (zh) * | 2022-07-08 | 2022-10-11 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
| CN115174237B (zh) * | 2022-07-08 | 2023-04-18 | 河北科技大学 | 一种物联网系统恶意流量的检测方法、装置和电子设备 |
| CN117294492A (zh) * | 2023-09-21 | 2023-12-26 | 中移互联网有限公司 | 异常行为检测方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108156006B (zh) | 一种埋点数据上报方法、装置及电子设备 | |
| US10496815B1 (en) | System, method, and computer program for classifying monitored assets based on user labels and for detecting potential misuse of monitored assets based on the classifications | |
| US20200160230A1 (en) | Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs | |
| CN108615119B (zh) | 一种异常用户的识别方法及设备 | |
| WO2017067394A1 (zh) | 客户服务方式的分配方法及系统 | |
| CN113765881A (zh) | 异常网络安全行为的检测方法、装置、电子设备及存储介质 | |
| CN108306846B (zh) | 一种网络访问异常检测方法及系统 | |
| CN105099729B (zh) | 一种识别用户身份标识的方法和装置 | |
| US9373078B1 (en) | Methods and systems for predictive alerting | |
| CN110781372B (zh) | 一种优化网站的方法、装置、计算机设备及存储介质 | |
| US11860722B2 (en) | Computer-based systems and/or computing devices configured for root cause analysis of computing incidents using machine learning to determine when a software version change is a cause of a computing incident | |
| CN113132297B (zh) | 数据泄露的检测方法及装置 | |
| CN113992340A (zh) | 用户异常行为识别方法、装置、设备、存储介质和程序 | |
| CN112583768A (zh) | 一种用户异常行为检测方法及装置 | |
| US20160248724A1 (en) | Social Message Monitoring Method and Apparatus | |
| WO2019019373A1 (zh) | 一种事件处理方法及终端设备 | |
| US9332031B1 (en) | Categorizing accounts based on associated images | |
| CN111949696A (zh) | 一种全要素关联分析方法及装置 | |
| Lee et al. | Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop | |
| Khan et al. | The presence of Twitter bots and cyborgs in the# FeesMustFall campaign | |
| US11468191B2 (en) | Method and apparatus for identifying applets of risky content based on differential privacy preserving | |
| CN111466102B (zh) | 用于在多通信平台环境中为通信事件提供上下文关键词集合的方法、系统以及设备 | |
| CN114428704A (zh) | 全链路分布式监控的方法、装置、计算机设备和存储介质 | |
| CN113934920A (zh) | 目标信息的推送方法、设备及存储介质 | |
| CN108629195B (zh) | 一种数据处理的方法、装置、电子设备和计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210330 |
|
| RJ01 | Rejection of invention patent application after publication |