CN113435505A - 一种安全用户画像的构建方法与装置 - Google Patents

一种安全用户画像的构建方法与装置 Download PDF

Info

Publication number
CN113435505A
CN113435505A CN202110716961.2A CN202110716961A CN113435505A CN 113435505 A CN113435505 A CN 113435505A CN 202110716961 A CN202110716961 A CN 202110716961A CN 113435505 A CN113435505 A CN 113435505A
Authority
CN
China
Prior art keywords
user
data
portrait
feature
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110716961.2A
Other languages
English (en)
Inventor
郑超
张微
陆秋文
黄园园
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongdian Jizhi Hainan Information Technology Co Ltd
Original Assignee
Zhongdian Jizhi Hainan Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhongdian Jizhi Hainan Information Technology Co Ltd filed Critical Zhongdian Jizhi Hainan Information Technology Co Ltd
Priority to CN202110716961.2A priority Critical patent/CN113435505A/zh
Publication of CN113435505A publication Critical patent/CN113435505A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Abstract

本发明公开了一种安全用户画像的构建方法与装置,其特征在于:包括初始化模块、数据采集模块、用户画像模型、用户特征分类训练模块、决策模块和数据中心构成,其中初始化模块用于构建初始用户画像;有益效果:通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,实时监控用户的资源访问行为做出判断,对异常行为进行及时的制止,避免系统遭受重要损失,具有较高的现实意义。

Description

一种安全用户画像的构建方法与装置
技术领域
本发明涉及互联网技术领域,更具体地说,本发明涉及一种安全用户画像的构建方法与装置。
背景技术
随着云计算的不断发展,越来越多的企业将数据与应用部署在云端,与此同时,以内外网为划分的安全边界变得模糊。将企业应用数据置于虚拟专用网中,并通过防火墙进行保护的模式现已难以为继。采用边界为中心的安全策略所依赖的是内部网络上一切都是可以信任的,然而这种假设已经不再是安全的。2015年5月28日中午11时携程“瘫痪门”事件导致携程官网、APP 同时崩溃,真实原因为携程服务器遭到来自内部高权限的员工的攻击就是一个非常典型的案例。零信任技术从重点关注企业数据资源的保护,逐渐扩展到对企业的设备、基础设施和用户等所有网络资源的保护。零信任安全模型假设攻击者可能出现在企业内部网络,企业内部网络基础设施与其它外部网络一样,面临同样的安全威胁,也容易受到攻击破坏,并不具有更高的可信度。在这种情况下,企业必须不断地分析和评估其内部网络和业务功能面临的安全风险,提升网络安全防护能力来降低风险。在零信任中,通常涉及将数据、计算和应用程序等网资源的访问权限最小化,只对那些必须用户和资产开启访问权限进行授权访问,并持续对每个访问请求者的身份和安全状态进行身份验证和授权。用户访问网络资源的行为是零信任安全架构体系的一个极为重要的监管因素,因此,针对用户访问行为构建用户画像,通过网络监控系统(SDN控制系统)可以轻易识别用户的访问行为是否异常,从而可以避免发生来自内部或者外部发起的安全攻击行为。
但是网络安全性不高,并且检查受到外部的网络攻击,因此需要设计一套方法来避免这些问题,以达到区分安全访问行为与异常访问的目的,可有效预防来自内部或者外部的安全攻击行为,最终提升零信任网络或系统的安全性和可靠性。
发明内容
为了克服现有技术的上述缺陷,本发明的实施例提供一种安全用户画像的构建方法与装置,通过需要设计一套方法来避免这些问题,以达到区分安全访问行为与异常访问的目的,可有效预防来自内部或者外部的安全攻击行为,最终提升零信任网络或系统的安全性和可靠性,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供如下技术方案:一种安全用户画像的构建方法与装置,包括初始化模块、数据采集模块、用户画像模型、用户特征分类训练模块、决策模块和数据中心构成,其中初始化模块用于构建初始用户画像,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像;数据采集模块,在用户成功登录后,采集用户访问网络资源的行为数据,采集的用户数据以用户的唯一识别号为索引,存储于数据中心;用户画像模型构造模块,根据用户的行为数据进行特征抽象,降低数据处理维度,对于具有不同的数据结构和类型进行预处理,获得XGBoost能处理的数据类型,同时对抽象特征采用交叉特征方法进行组合,获得更全面的训练效果以及用户模型;用户特征分类训练模块,根据用户画像模型的抽象特征数据,对用户行为特征进行训练分类,获得用户该行为的安全性分;决策模块,根据XGBoost模型计算获得的安全特征分,更新所述用户的用户画像,存储至数据中心;数据中心,分别与上述五大模块相连,用于存储用户采集数据,用户画像模型,提供XGBoost模型训练样本数据
在一个优选地实施方式中,通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,如果其安全特征分高于系统预定义的阈值,则系统可以拒绝该访问行为,其具体处理流程如下所示:
步骤一,构建初始用户画像,用户注册本发明所述零信任网络系统后,提交用户注册信息,包括用户角色等,系统存储用户注册信息,并根据系统预定义规则定义用户唯一识别号,优选的,所述用户唯一识别号可用于存储用户信息的唯一索引;同时,采集用户的首次访问IP地址,注册时所采用的设备,以及通过设备授权获取的用户注册的实际地理位置等信息并进行存储;
用户提交注册信息后,系统根据用户的角色为其分配初始的资源访问范围,系统在人工确认后,在数据中心存储该用户确定初始用户资源访问范围与权限。为了保证系统的可用性,对未注册的用户实施最低资源访问权限,在用户注册成功后,系统根据用户提交的注册信息,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像。
在一个优选地实施方式中,步骤二,采集用户资源访问数据,成功注册的用户在进行网络资源访问时,如果未登陆,则统一按未注册用户的权限进行资源访问,同时,系统分配临时用户识别码,不进行用户画像网络行为的采集,若用户登录成功,则从登录成功时刻开始,采集用户访问网络资源的行为数据,包括登录方式,账号,终端设备,时间,地点,IP地址等;用户在访问资源时,采集用户访问资源的时间,时长,资源的类型,对应资源的安全级别等信息。采集的用户数据以用户的唯一识别号为索引,存储于数据中心。
在一个优选地实施方式中,步骤三,利用系统用户画像模型对用户采集数据进行特征化,由于用户画像是对基于大量标签的用户行为数据进行特征提取所获得,用户模型的特征表征用户行为,可通过用户行为特征区别用户的哪些行为是异常的,从而达到实时调整资源访问授权的目的,保证系统的安全。
在一个优选地实施方式中,用户访问网络资源行为数据量庞大,不利于系统对全部数据行为进行处理,针对这种情况,建立用户画像模型时,根据用户的行为数据进行特征抽象,降低数据处理维度的同时,不降低系统的安全特性本质。优选的,用户的行为特征可以按下述方式进行抽象以获得抽象特征:
抽象特征 用户行为
登录方式 登录方式,登录时间戳
登录设备 设备名称,设备类型,设备唯一编号,设备数量等
IP地址 访问资源时使用的IP地址
物理位置 具体物理位置,设备获取的GPS定位地址
访问资源类型 资源的名称,安全级别,类型等
资源访问时长 资源访问的时间长度
键入信息 用户输入的文字信息
在一个优选地实施方式中,根据采集的数据量的不同,可对抽象特征以及具体行为进行扩充或者删减,抽象的特征数据由于取值的不同,具有不同的数据结构和类型,需对其进行预处理,对于数值型的特征数据,由于具有连续分布,需对其进行大颗粒度量化,比如:访问时间,以小时为单位进行量化,最小精度可以定义为0.1小时,对于类别型的特征数据,比如:登录方式,登录设备,IP地址等,优选的,采用独热编码方式对其进行量化处理,将不同特征映射至矩阵空间,获得特征对应唯一的向量。对于文本类型的特征数据,优选的采用词袋模型进行处理,获得相应的处理结果,由于用户行为不仅仅局限于某种单一的抽象特征,在模型构建时,需考虑多个抽象特征的组合的影响,优选的,对抽象特征的组合可采用交叉特征方法进行组合,组合的特征数量可以根据系统的运算能力以及实际的需要进行确定。
在一个优选地实施方式中,步骤四,根据用户画像模型获得的抽象数据特征,对用户行为特征进行训练分类,获得用户该行为的安全性分,训练方法优选地采用XGBoost模型算法,XGBoost模型算法过程如下:
对于给定的具有N个样本和M个特征的训练样本 D={(xb,yi)}(|D|=n,xi∈RM,yM∈R),XGBoost算法的最终训练结果是一个由K个 CART决策树函数相加得到的集成模型:
Figure RE-GDA0003206007720000051
其中
Figure BDA0003135347470000052
是XGBoost模型的输出,F={f(x)=wo(x)}(q:RM→T,w∈Rr)是 CART决策树的集合,一个CART决策树由树结构q和T个叶结点组成,每个叶结点j都有一个连续至于它对应,称为叶节点的权重wj,所有权值构成该树的权重向量w∈RT
树结构q通过属性判别可以将任意具有M维特征的样本映射到期某一个叶节点上。每一个决策树函数fk对应一个特有的树结构q以及对应的叶节点权重向量w。对于一个样本,XGBoost模型获取最终的预测值
Figure BDA0003135347470000053
的过程为:在每一颗决策树上将该样本映射到对应的叶节点上。再将该样本对应的K 个叶节点权重相加,训练分类时,从步骤三获得的数据样本中提取一定比例的数据输入上述算法模型中进行参数优化训练,选取的数据比例以使XGBoost 有预期的效果为准,样本数据越多,XGBoost的效果越好。预留部分的数据用于验证所述模型训练分类的准确度,这部分的数据越多,验证越准确,因此选取数据时,需要根据系统需要进行权衡;
利用提取的训练样本集,对XGBoost模型进行训练,系统可以将模型的参数调整至最有状态,根据训练获得的模型最优参数,设置为模型的最优参数,使用最优参数的XGBoost模型对用户画像特征数据进行计算,从而获得该用户特征行为的安全特征分数。
在一个优选地实施方式中,步骤五:XGBoost模型计算获得的安全特征分,更新所述用户的用户画像,存储至数据中心,如果该用户特征或者特征组合的安全特征分已有相应的数值,则用最新的安全分进行替代,否则,在用户画像特征中增加安全评估分。优选的,数据中心记录用户画像安全特征分的更新时间,若更新时间超过一定的阈值范围,则舍弃该用户画像安全特征分,否则,可用于零信任系统的用户访问资源行为。
本发明的技术效果和优点:本发明提供了一种安全用户画像的构建方法与装置,通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入 XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,实时监控用户的资源访问行为做出判断,对异常行为进行及时的制止,避免系统遭受重要损失,具有较高的现实意义。
附图说明
图1为本发明的安全用户画像构建方法处理流程示意图。
图2为本发明的整体流程示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如附图1-2所示的一种安全用户画像的构建方法与装置,包括初始化模块、数据采集模块、用户画像模型、用户特征分类训练模块、决策模块和数据中心构成,其中初始化模块用于构建初始用户画像,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像;数据采集模块,在用户成功登录后,采集用户访问网络资源的行为数据,采集的用户数据以用户的唯一识别号为索引,存储于数据中心;用户画像模型构造模块,根据用户的行为数据进行特征抽象,降低数据处理维度,对于具有不同的数据结构和类型进行预处理,获得XGBoost能处理的数据类型,同时对抽象特征采用交叉特征方法进行组合,获得更全面的训练效果以及用户模型;用户特征分类训练模块,根据用户画像模型的抽象特征数据,对用户行为特征进行训练分类,获得用户该行为的安全特征分;决策模块,根据XGBoost模型计算获得的安全特征分,更新所述用户的用户画像,存储至数据中心;数据中心,分别与上述五大模块相连,用于存储用户采集数据,用户画像模型,提供 XGBoost模型训练样本数据。
优选的,通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入 XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,如果其安全特征分高于系统预定义的阈值,则系统可以拒绝该访问行为,其具体处理流程如下所示。
步骤一,构建初始用户画像,用户注册本发明所述零信任网络系统后,提交用户注册信息,包括用户角色等,系统存储用户注册信息,并根据系统预定义规则定义用户唯一识别号,所述用户唯一识别号可用于存储用户信息的唯一索引;同时,采集用户的首次访问IP地址,注册时所采用的设备,以及通过设备授权获取的用户注册的实际地理位置等信息并进行存储;
用户提交注册信息后,系统根据用户的角色为其分配初始的资源访问范围,系统在人工确认后,在数据中心存储该用户确定初始用户资源访问范围与权限,为了保证系统的可用性,对未注册的用户实施最低资源访问权限,在用户注册成功后,系统根据用户提价的注册信息,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像。
优选的,步骤二,采集用户资源访问数据,成功注册的用户在进行网络资源访问时,如果未登陆,则统一按未注册用户的权限进行资源访问,同时,系统分配临时用户识别码,不进行用户画像网络行为的采集,若用户登录成功,则从登录成功时刻开始,采集用户访问网络资源的行为数据,包括登录方式,账号,终端设备,时间,地点,IP地址等;用户在访问资源时,采集用户访问资源的时间,时长,资源的类型,对应资源的安全级别等信息。采集的用户数据以用户的唯一识别号为索引,存储于数据中心。
优选的,步骤三,利用系统用户画像模型对用户采集数据进行特征化,由于用户画像是对基于大量标签的用户行为数据进行特征提取所获得,用户模型的特征表征用户行为,可通过用户行为特征区别用户的哪些行为是异常的,从而达到实时调整资源访问授权的目的,保证系统的安全。
优选的,用户访问网络资源行为数据量庞大,不利于系统对全部数据行为进行处理,针对这种情况,建立用户画像模型时,根据用户的行为数据进行特征抽象,降低数据处理维度的同时,不降低系统的安全特性本质,用户的行为特征可以按下述方式进行抽象以获得抽象特征:
Figure BDA0003135347470000081
Figure BDA0003135347470000091
优选的,根据采集的数据量的不同,可对抽象特征以及具体行为进行扩充或者删减,抽象的特征数据由于取值的不同,具有不同的数据结构和类型,需对其进行预处理,对于数值型的特征数据,由于具有连续分布,需对其进行大颗粒度量化,比如:访问时间,以小时为单位进行量化,最小精度可以定义为0.1小时,对于类别型的特征数据,比如:登录方式,登录设备,IP 地址等,优选的,采用独热编码方式对其进行量化处理,将不同特征映射至矩阵空间,获得特征对应唯一的向量,对于文本类型的特征数据,优选的采用词袋模型进行处理,获得相应的处理结果,由于用户行为不仅仅局限于某种单一的抽象特征,在模型构建时,需考虑多个抽象特征的组合的影响,对抽象特征的组合可采用交叉特征方法进行组合,组合的特征数量可以根据系统的运算能力以及实际的需要进行确定。
优选的,步骤四,根据用户画像模型获得的抽象数据特征,对用户行为特征进行训练分类,获得用户该行为的安全特征分,训练方法优选地采用 XGBoost模型算法,XGBoost模型算法过程如下:
对于给定的具有N个样本和M个特征的训练样本 D={(x0,vi)}(|D|-N,xi∈RM,yi∈R),XGBoost算法的最终训练结果是一个由K个 CART决策树函数相加得到的集成模型:
Figure RE-GDA0003206007720000101
其中
Figure BDA0003135347470000101
是XGBoost模型的输出,P=(f(k)=wo(x)})q,RM→T,w∈RT)是 CART决策树的集合,一个CART决策树由树结构q和T个叶结点组成,每个叶结点j都有一个连续至于它对应,称为叶节点的权重wj,所有权值构成该树的权重向量w∈RT
树结构q通过属性判别可以将任意具有M维特征的样本映射到期某一个叶节点上,每一个决策树函数fk对应一个特有的树结构q以及对应的叶节点权重向量w。对于一个样本,XGBoost模型获取最终的预测值
Figure BDA0003135347470000102
的过程为:在每一颗决策树上将该样本映射到对应的叶节点上。再将该样本对应的K 个叶节点权重相加,训练分类时,从步骤三获得的数据样本中提取一定比例的数据输入上述算法模型中进行参数优化训练,选取的数据比例以使XGBoost 有预期的效果为准,样本数据越多,XGBoost的效果越好,预留部分的数据用于验证所述模型训练分类的准确度,这部分的数据越多,验证越准确,因此选取数据时,需要根据系统需要进行权衡;
优选的,步骤五:XGBoost模型计算获得的安全特征分,更新所述用户的用户画像,存储至数据中心,如果该用户特征或者特征组合的安全特征分已有相应的数值,则用最新的安全特征分进行替代,否则,在用户画像特征中增加安全特征分,数据中心记录用户画像安全特征分的更新时间,若更新时间超过一定的阈值范围,则舍弃该用户画像安全特征分,否则,可用于零信任系统的用户访问资源行为。
本发明工作原理:通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,实时监控用户的资源访问行为做出判断,对异常行为进行及时的制止,避免系统遭受重要损失,具有较高的现实意义。
最后应说明的几点是:首先,在本申请的描述中,需要说明的是,除非另有规定和限定,术语“安装”、“相连”、“连接”应做广义理解,可以是机械连接或电连接,也可以是两个元件内部的连通,可以是直接相连,“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变,则相对位置关系可能发生改变;
其次:本发明公开实施例附图中,只涉及到与本公开实施例涉及到的结构,其他结构可参考通常设计,在不冲突情况下,本发明同一实施例及不同实施例可以相互组合;
最后:以上仅为本发明的优选实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种安全用户画像的构建方法与装置,其特征在于:包括初始化模块、数据采集模块、用户画像模型、用户特征分类训练模块、决策模块和数据中心构成,其中初始化模块用于构建初始用户画像,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像;数据采集模块,在用户成功登录后,采集用户访问网络资源的行为数据,采集的用户数据以用户的唯一识别号为索引,存储于数据中心;用户画像模型构造模块,根据用户的行为数据进行特征抽象,降低数据处理维度,对于具有不同的数据结构和类型进行预处理,获得XGBoost能处理的数据类型,同时对抽象特征采用交叉特征方法进行组合,获得更全面的训练效果以及用户模型;用户特征分类训练模块,根据用户画像模型的抽象特征数据,对用户行为特征进行训练分类,获得用户该行为的安全性分;决策模块,根据XGBoost模型计算获得的安全分,更新所述用户的用户画像,存储至数据中心;数据中心,分别与上述五大模块相连,用于存储用户采集数据,用户画像模型,提供XGBoost模型训练样本数据。
2.根据权利要求1所述的一种安全用户画像的构建方法与装置,其特征在于:通过采集用户的日常网络资源访问行为,根据用户画像模型进行特征提取,并进行预处理,将预处理输出的特征数据进行组合,然后输入XGBoost进行深度学习分类计算,获得用户特征以及组合安全特征分,构成用户的安全特征画像,用户特征画像可以输出给SDN网络用于安全访问控制,如果其安全特征分高于系统预定义的阈值,则系统可以拒绝该访问行为,其具体处理流程如下:
步骤一,构建初始用户画像,用户注册本发明所述零信任网络系统后,提交用户注册信息,包括用户角色等,系统存储用户注册信息,并根据系统预定义规则定义用户唯一识别号,所述用户唯一识别号可用于存储用户信息的唯一索引;同时,采集用户的首次访问IP地址,注册时所采用的设备,以及通过设备授权获取的用户注册的实际地理位置等信息并进行存储;
用户提交注册信息后,系统根据用户的角色为其分配初始的资源访问范围,系统在人工确认后,在数据中心存储该用户确定初始用户资源访问范围与权限,为了保证系统的可用性,对未注册的用户实施最低资源访问权限,在用户注册成功后,系统根据用户提价的注册信息,用系统预先定义的规则,对注册信息进行特征化,标签化,获取用户的初始画像。
3.根据权利要求1所述的一种安全用户画像的构建方法与装置,其特征在于:步骤二,采集用户资源访问数据,成功注册的用户在进行网络资源访问时,如果未登陆,则统一按未注册用户的权限进行资源访问,同时,系统分配临时用户识别码,不进行用户画像网络行为的采集,若用户登录成功,则从登录成功时刻开始,采集用户访问网络资源的行为数据,包括登录方式,账号,终端设备,时间,地点,IP地址等;用户在访问资源时,采集用户访问资源的时间,时长,资源的类型,对应资源的安全级别等信息。采集的用户数据以用户的唯一识别号为索引,存储于数据中心。
4.根据权利要求2所述的一种安全用户画像的构建方法与装置,其特征在于:步骤三,利用系统用户画像模型对用户采集数据进行特征化,由于用户画像是对基于大量标签的用户行为数据进行特征提取所获得,用户模型的特征表征用户行为,可通过用户行为特征区别用户的哪些行为是异常的,从而达到实时调整资源访问授权的目的,保证系统的安全。
5.根据权利要求3所述的一种安全用户画像的构建方法与装置,其特征在于:用户访问网络资源行为数据量庞大,不利于系统对全部数据行为进行处理,针对这种情况,建立用户画像模型时,根据用户的行为数据进行特征抽象,降低数据处理维度的同时,不降低系统的安全特性本质,用户的行为特征可以按下述方式进行抽象以获得抽象特征:
抽象特征 用户行为 登录方式 登录方式,登录时间戳 登录设备 设备名称,设备类型,设备唯一编号,设备数量等 IP地址 访问资源时使用的IP地址 物理位置 具体物理位置,设备获取的GPS定位地址 访问资源类型 资源的名称,安全级别,类型等 资源访问时长 资源访问的时间长度 键入信息 用户输入的文字信息
6.根据权利要求4所述的一种安全用户画像的构建方法与装置,其特征在于:根据采集的数据量的不同,可对抽象特征以及具体行为进行扩充或者删减,抽象的特征数据由于取值的不同,具有不同的数据结构和类型,需对其进行预处理,对于数值型的特征数据,由于具有连续分布,需对其进行大颗粒度量化,比如:访问时间,以小时为单位进行量化,最小精度可以定义为0.1小时,对于类别型的特征数据,比如:登录方式,登录设备,IP地址等,优选的,采用独热编码方式对其进行量化处理,将不同特征映射至矩阵空间,获得特征对应唯一的向量,对于文本类型的特征数据,优选的采用词袋模型进行处理,获得相应的处理结果,由于用户行为不仅仅局限于某种单一的抽象特征,在模型构建时,需考虑多个抽象特征的组合的影响,对抽象特征的组合可采用交叉特征方法进行组合,组合的特征数量可以根据系统的运算能力以及实际的需要进行确定。
7.根据权利要求5所述的一种安全用户画像的构建方法与装置,其特征在于:步骤四,根据用户画像模型获得的抽象数据特征,对用户行为特征进行训练分类,获得用户该行为的安全性分,训练方法优选地采用XGBoost模型算法,XGBoost模型算法过程如下:
对于给定的具有N个样本和M个特征的训练样本D={(xi,yi)}(|D|=N,xi∈RM,yi∈R),XGBoost算法的最终训练结果是一个由K个CART决策树函数相加得到的集成模型:
Figure RE-FDA0003206007710000041
其中
Figure RE-FDA0003206007710000042
是XGBoost模型的输出,F={f(x)=wq(x)}(q:RM→T,w∈RT)是CART决策树的集合,一个CART决策树由树结构q和T个叶结点组成,每个叶结点j都有一个连续至于它对应,称为叶节点的权重wj,所有权值构成该树的权重向量w∈RT
树结构q通过属性判别可以将任意具有M维特征的样本映射到期某一个叶节点上,每一个决策树函数fk对应一个特有的树结构q以及对应的叶节点权重向量w。对于一个样本,XGBoost模型获取最终的预测值
Figure RE-FDA0003206007710000043
的过程为:在每一颗决策树上将该样本映射到对应的叶节点上。再将该样本对应的K个叶节点权重相加,训练分类时,从步骤三获得的数据样本中提取一定比例的数据输入上述算法模型中进行参数优化训练,选取的数据比例以使XGBoost有预期的效果为准,样本数据越多,XGBoost的效果越好,预留部分的数据用于验证所述模型训练分类的准确度,这部分的数据越多,验证越准确,因此选取数据时,需要根据系统需要进行权衡。
8.根据权利要求6所述的一种安全用户画像的构建方法与装置,其特征在于:步骤五:XGBoost模型计算获得的安全特征分,更新所述用户的用户画像,存储至数据中心,如果该用户特征或者特征组合的安全特征分已有相应的数值,则用最新的安全特征分进行替代,否则,在用户画像特征中增加安全特征分,数据中心记录用户画像安全分的更新时间,若更新时间超过一定的阈值范围,则舍弃该用户画像安全特征分,否则,可用于零信任系统的用户访问资源行为。
CN202110716961.2A 2021-06-28 2021-06-28 一种安全用户画像的构建方法与装置 Pending CN113435505A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110716961.2A CN113435505A (zh) 2021-06-28 2021-06-28 一种安全用户画像的构建方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110716961.2A CN113435505A (zh) 2021-06-28 2021-06-28 一种安全用户画像的构建方法与装置

Publications (1)

Publication Number Publication Date
CN113435505A true CN113435505A (zh) 2021-09-24

Family

ID=77754829

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110716961.2A Pending CN113435505A (zh) 2021-06-28 2021-06-28 一种安全用户画像的构建方法与装置

Country Status (1)

Country Link
CN (1) CN113435505A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095683A (zh) * 2023-04-11 2023-05-09 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置
CN116582373A (zh) * 2023-07-14 2023-08-11 北京辰尧科技有限公司 一种用户访问控制方法、系统及电子设备
CN117150403A (zh) * 2023-08-22 2023-12-01 国网湖北省电力有限公司营销服务中心(计量中心) 一种决策节点行为异常检测方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020258102A1 (zh) * 2019-06-26 2020-12-30 深圳市欢太科技有限公司 内容推送方法、装置、移动终端及存储介质
CN112733995A (zh) * 2021-01-07 2021-04-30 中国工商银行股份有限公司 训练神经网络的方法、行为检测方法及行为检测装置
CN112737824A (zh) * 2020-12-23 2021-04-30 中电积至(海南)信息技术有限公司 一种零信任sdn网络中的用户信任度量方法
CN112861003A (zh) * 2021-02-19 2021-05-28 杭州谐云科技有限公司 一种基于云边协同的用户画像构建方法和系统
CN112950231A (zh) * 2021-03-19 2021-06-11 广州瀚信通信科技股份有限公司 一种基于XGBoost算法的异常用户识别方法、设备及计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020258102A1 (zh) * 2019-06-26 2020-12-30 深圳市欢太科技有限公司 内容推送方法、装置、移动终端及存储介质
CN112737824A (zh) * 2020-12-23 2021-04-30 中电积至(海南)信息技术有限公司 一种零信任sdn网络中的用户信任度量方法
CN112733995A (zh) * 2021-01-07 2021-04-30 中国工商银行股份有限公司 训练神经网络的方法、行为检测方法及行为检测装置
CN112861003A (zh) * 2021-02-19 2021-05-28 杭州谐云科技有限公司 一种基于云边协同的用户画像构建方法和系统
CN112950231A (zh) * 2021-03-19 2021-06-11 广州瀚信通信科技股份有限公司 一种基于XGBoost算法的异常用户识别方法、设备及计算机可读存储介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
孙瑞等: "基于多因素认证的零信任网络构建", 《金陵科技学院学报》 *
张向荣等: "《模式识别》", 30 September 2019, 西安电子科技大学出版社 *
梅阳阳: "基于网络行为的用户画像算法研究", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116095683A (zh) * 2023-04-11 2023-05-09 微网优联科技(成都)有限公司 无线路由器的网络安全防护方法及装置
CN116582373A (zh) * 2023-07-14 2023-08-11 北京辰尧科技有限公司 一种用户访问控制方法、系统及电子设备
CN116582373B (zh) * 2023-07-14 2023-09-22 北京辰尧科技有限公司 一种用户访问控制方法、系统及电子设备
CN117150403A (zh) * 2023-08-22 2023-12-01 国网湖北省电力有限公司营销服务中心(计量中心) 一种决策节点行为异常检测方法和系统

Similar Documents

Publication Publication Date Title
CN113435505A (zh) 一种安全用户画像的构建方法与装置
EP3713191B1 (en) Identifying legitimate websites to remove false positives from domain discovery analysis
CN108229963A (zh) 用户操作行为的风险识别方法及装置
CN106295349A (zh) 账号被盗的风险识别方法、识别装置及防控系统
CN106209821B (zh) 基于可信云计算的信息安全大数据管理系统
CN111629006B (zh) 融合深度神经网络和层级注意力机制的恶意流量更新方法
CN110855648B (zh) 一种网络攻击的预警控制方法及装置
CN111669384B (zh) 融合深度神经网络和层级注意力机制的恶意流量检测方法
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN110493181B (zh) 用户行为检测方法、装置、计算机设备及存储介质
CN112464117A (zh) 请求处理方法、装置、计算机设备和存储介质
CN112465513A (zh) 一种基于身份验证的网络安全系统及方法
CN108270723A (zh) 一种电力网络预测攻击路径的获取方法
CN111209564B (zh) 一种云平台安全状态预测方法、装置、设备及存储介质
CN115270996A (zh) 一种dga域名检测方法、检测装置及计算机存储介质
CN113946560A (zh) 一种数据库安全管理方法及系统
Bhogal et al. A review on big data security and handling
CN110874638B (zh) 面向行为分析的元知识联邦方法、装置、电子设备及系统
CN117235600A (zh) 一种用户异常行为检测方法及系统
CN113507463A (zh) 一种零信任网络的构建方法
CN111444484B (zh) 基于统一登录管理的企业内网用户身份画像处理方法
CN110717192B (zh) 基于Key-Value加速器的面向大数据安全的访问控制方法
Lu et al. An user behavior credibility authentication model in cloud computing environment
CN111683107A (zh) 面向互联网的安全审计方法和系统
CN111917801A (zh) 私有云环境下基于Petri网的用户行为认证方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210924

RJ01 Rejection of invention patent application after publication