CN113630389A - 用户异常行为识别方法、系统、电子设备及存储介质 - Google Patents
用户异常行为识别方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN113630389A CN113630389A CN202110830809.7A CN202110830809A CN113630389A CN 113630389 A CN113630389 A CN 113630389A CN 202110830809 A CN202110830809 A CN 202110830809A CN 113630389 A CN113630389 A CN 113630389A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- user
- users
- behavior
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000002159 abnormal effect Effects 0.000 claims abstract description 97
- 230000006399 behavior Effects 0.000 claims abstract description 50
- 230000008859 change Effects 0.000 claims abstract description 9
- 238000001514 detection method Methods 0.000 claims description 27
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 230000035945 sensitivity Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000011161 development Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000005507 spraying Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出一种用户异常行为识别方法、系统、电子设备及存储介质,其方法技术方案包括流量异常检测步骤,通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量;用户行为识别步骤,若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户;异常行为分类步骤,识别所述异常用户的异常行为类型,并输出所述异常行为类型。本申请解决了现有用户异常行为识别方法无法准确标识出部分用户行为的问题。
Description
技术领域
本发明属于数据安全技术领域,尤其涉及一种用户异常行为识别方法、系统、电子设备及存储介质。
背景技术
随着个人便携式智能移动设备和无线网络的普及,中国网络及其各种应用呈现出井喷式的发展状态。信息化、数字化、大数据时代成为现代社会的大势所趋,如果网络出现异常,可能会对个人、组织和国家的经济、安全、隐私等方面的利益会造成严重的损失。目前,许多网络攻击者想方设法的绕开网络安全监控系统的侦查,获取机要信息或者妨碍网络的正常运行,以获取非法收入,得到非法受益。
现有技术包括基于端口的识别方法,计算机网络中的端口包含两种概念:(1)物理意义上的端口,应用在设备与设备之间的连接接口上;(2)逻辑意义上的端口,指的是TCP/IP协议中使用的端口号。现有逻辑意义上的端口总共可以分配65536个端口号,包括公认端口、注册端口和动态端口。其中公认端口范围为0至1023,注册端口范围为1024至49151,动态端口为1024至65535。在互联网的发展初期,应用程序较少时,使用公认端口可以标识用户行为的类型,而且攻击者常常利用某些端口号对网络进行发起攻击,也可以通过端口号识别出发生异常的行为。基于端口的识别方法虽然可以通过分析用户流量中端口号的关联性,可以达到识别用户异常行为的目的,但是它的缺点是无法准确标识出部分用户行为。
发明内容
本申请实施例提供了一种用户异常行为识别方法、系统、电子设备及存储介质,以至少解决现有用户异常行为识别方法无法准确标识出部分用户行为的问题。
第一方面,本申请实施例提供了一种用户异常行为识别方法,包括:流量异常检测步骤,通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量;用户行为识别步骤,若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户;异常行为分类步骤,识别所述异常用户的异常行为类型,并输出所述异常行为类型。
优选的,所述用户行为识别步骤进一步包括:对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
优选的,所述异常行为分类步骤进一步包括:使用k-means算法进行所述异常行为类型分簇。
优选的,所述流量异常检测步骤进一步包括:在所述流量异常检测步骤的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测步骤。
第二方面,本申请实施例提供了一种用户异常行为识别系统,适用于上述一种用户异常行为识别方法,包括:流量异常检测模块,通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量;用户行为识别模块,若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户;异常行为分类模块,识别所述异常用户的异常行为类型,并输出所述异常行为类型。
在其中一些实施例中,所述用户行为识别模块进一步包括:对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
在其中一些实施例中,所述异常行为分类模块进一步包括:使用k-means算法进行所述异常行为类型分簇。
在其中一些实施例中,所述流量异常检测模块进一步包括:在所述流量异常检测模块的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测模块。
第三方面,本申请实施例提供了一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的一种用户异常行为识别方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的一种用户异常行为识别方法。
本申请可应用于营销智能技术领域。相比于相关技术,本申请实施例提供的一种用户异常行为识别方法,使用机器学习算法进行用户异常行为识别的方法,包括流量异常检测功能和用户异常行为识别功能,可以基于某个时间点的流量进行流量异常检测,并基于检测的异常流量识别用户异常行为,可以准确准确标识出部分用户行为。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明的用户异常行为识别方法流程图;
图2为本发明的用户异常行为识别系统的框架图;
图3为本发明的电子设备的框架图;
以上图中:
1、流量异常检测模块;2、用户行为识别模块;3、异常行为分类模块;60、总线;61、处理器;62、存储器;63、通信接口。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
k-means算法是一种迭代求解的聚类分析算法,其步骤是,预将数据分为K组,则随机选取K个对象作为初始的聚类中心,然后计算每个对象与各个种子聚类中心之间的距离,把每个对象分配给距离它最近的聚类中心。聚类中心以及分配给它们的对象就代表一个聚类。每分配一个样本,聚类的聚类中心会根据聚类中现有的对象被重新计算。这个过程将不断重复直到满足某个终止条件。终止条件可以是没有(或最小数目)对象被重新分配给不同的聚类,没有(或最小数目)聚类中心再发生变化,误差平方和局部最小。
信息熵意为描述信源的不确定度。一个事件或一个系统,准确的说是一个随机变量,它有着一定的不确定性。如某个随机变量的不确定性很高,要消除这个不确定性,就需要引入很多的信息,这些很多信息的度量就用“信息熵”表达。需要引入消除不确定性的信息量越多,则信息熵越高,反之则越低。例如某个信息确定性很高,几乎不需要引入信息,因此信息熵很低。
以下,结合附图详细介绍本发明的实施例:
图1为本发明的用户异常行为识别方法流程图,请参见图1,本发明用户异常行为识别方法包括如下步骤:
S1:通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量。
可选的,在所述流量异常检测步骤的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测步骤。
在具体实施中,基于某个时间点的流量经过流量异常检测部分进行流量异常检测,通过判断某个时间点t上的信息熵值变化是否超过预先设定的阈值来确定时间点t是否发生了异常;在此部分,通过固定流量数据的窗口,比如1小时、1天、7天,将这个时间段内的数据进行熵值计算,因为熵是判断数据的混乱程度,数值越大代表数据越混乱,可选的,可预先设置为10,之后根据报警的灵敏度进行调整。
在具体实施中,若未检测到异常流量,则重复执行步骤S1进行下一时间点的检测。
S2:若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户。
可选的,对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
在具体实施中,若检测到了异常流量,根据用户行为数据进行相似度计算,基于用户行为数据进行相似度计算,因为不同用户间存在关联的行为,那么他们具有一定的行为相似性。若检测到异常流量中所有用户的行为具有关联性,则判断此并非异常,若检测到有一用户的行为与其他用户不同,则认为该用户为异常用户。
S3:识别所述异常用户的异常行为类型,并输出所述异常行为类型。
可选的,使用k-means算法进行所述异常行为类型分簇。
在具体实施中,基于之前识别的异常行为用户,并使用k-means算法进行异常行为类别分簇;使用k-means算法,数据被分成k组,k可以预先设置为5,通过把它们分配到最近的聚类中心。然后,能够计算每个对象到聚类中心的距离(或相似性),并且选择最大的距离作为异常值。
在具体实施中,反馈网络管理员或相关用户对应的异常行为用户和对应异常类型。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例提供了一种用户异常行为识别系统,适用于上述的一种用户异常行为识别方法。如以下所使用的,术语“单元”、“模块”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件、或者软件和硬件的组合的实现也是可能并被构想的。
图2为根据本发明的用户异常行为识别系统的框架图,请参见图2,包括:
流量异常检测模块1:通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量。
可选的,在所述流量异常检测步骤的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测步骤。
在具体实施中,基于某个时间点的流量经过流量异常检测部分进行流量异常检测,通过判断某个时间点t上的信息熵值变化是否超过预先设定的阈值来确定时间点t是否发生了异常;在此部分,通过固定流量数据的窗口,比如1小时、1天、7天,将这个时间段内的数据进行熵值计算,因为熵是判断数据的混乱程度,数值越大代表数据越混乱,可选的,可预先设置为10,之后根据报警的灵敏度进行调整。
在具体实施中,若未检测到异常流量,则重复执行流量异常检测模块进行下一时间点的检测。
用户行为识别模块2:若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户。
可选的,对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
在具体实施中,若检测到了异常流量,根据用户行为数据进行相似度计算,基于用户行为数据进行相似度计算,因为不同用户间存在关联的行为,那么他们具有一定的行为相似性。若检测到异常流量中所有用户的行为具有关联性,则判断此并非异常,若检测到有一用户的行为与其他用户不同,则认为该用户为异常用户。
异常行为分类模块3:识别所述异常用户的异常行为类型,并输出所述异常行为类型。
可选的,使用k-means算法进行所述异常行为类型分簇。
在具体实施中,基于之前识别的异常行为用户,并使用k-means算法进行异常行为类别分簇;使用k-means算法,数据被分成k组,k可以预先设置为5,通过把它们分配到最近的聚类中心。然后,能够计算每个对象到聚类中心的距离(或相似性),并且选择最大的距离作为异常值。
在具体实施中,反馈网络管理员或相关用户对应的异常行为用户和对应异常类型。
另外,结合图1描述的一种用户异常行为识别方法可以由电子设备来实现。图3为本发明的电子设备的框架图。
电子设备可以包括处理器61以及存储有计算机程序指令的存储器62。
具体地,上述处理器61可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器62可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器62可在数据处理装置的内部或外部。在特定实施例中,存储器62是非易失性(Non-Volatile)存储器。在特定实施例中,存储器62包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器61所执行的可能的计算机程序指令。
处理器61通过读取并执行存储器62中存储的计算机程序指令,以实现上述实施例中的任意一种用户异常行为识别方法。
在其中一些实施例中,电子设备还可包括通信接口63和总线60。其中,如图3所示,处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。
通信端口63可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线60包括硬件、软件或两者,将电子设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线60可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(FrontSide Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该电子设备可以执行本申请实施例中的一种用户异常行为识别方法。
另外,结合上述实施例中的一种用户异常行为识别方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种用户异常行为识别方法。
而前述的存储介质包括:U盘、移动硬盘、只读存储器(ReadOnly Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种用户异常行为识别方法,其特征在于,包括:
流量异常检测步骤,通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量;
用户行为识别步骤,若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户;
异常行为分类步骤,识别所述异常用户的异常行为类型,并输出所述异常行为类型。
2.根据权利要求1所述的用户异常行为识别方法,其特征在于,所述用户行为识别步骤进一步包括:对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
3.根据权利要求1所述的用户异常行为识别方法,其特征在于,所述异常行为分类步骤进一步包括:使用k-means算法进行所述异常行为类型分簇。
4.根据权利要求1所述的用户异常行为识别方法,其特征在于,所述流量异常检测步骤进一步包括:在所述流量异常检测步骤的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测步骤。
5.一种用户异常行为识别系统,其特征在于,包括:
流量异常检测模块,通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量;
用户行为识别模块,若存在异常流量,则根据所述异常流量中用户的用户相似度,识别出所述用户中的异常用户;
异常行为分类模块,识别所述异常用户的异常行为类型,并输出所述异常行为类型。
6.根据权利要求5所述的用户异常行为识别系统,其特征在于,所述用户行为识别模块进一步包括:对所述异常流量中所述用户的用户行为数据之间的相似度进行计算,根据一预设相似度标准,判定不符合所述预设相似度标准的所述用户为所述异常用户。
7.根据权利要求5所述的用户异常行为识别系统,其特征在于,所述异常行为分类模块进一步包括:使用k-means算法进行所述异常行为类型分簇。
8.根据权利要求5所述的用户异常行为识别系统,其特征在于,所述流量异常检测模块进一步包括:在所述流量异常检测模块的执行过程中,根据所述异常流量检测的灵敏度对所述预设阈值进行调整,若未检测到所述异常流量,则对下一所述时间点执行所述流量异常检测模块。
9.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的用户异常行为识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至4中任一项所述的用户异常行为识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110830809.7A CN113630389B (zh) | 2021-07-22 | 2021-07-22 | 用户异常行为识别方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110830809.7A CN113630389B (zh) | 2021-07-22 | 2021-07-22 | 用户异常行为识别方法、系统、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113630389A true CN113630389A (zh) | 2021-11-09 |
| CN113630389B CN113630389B (zh) | 2024-04-12 |
Family
ID=78380573
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110830809.7A Active CN113630389B (zh) | 2021-07-22 | 2021-07-22 | 用户异常行为识别方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113630389B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185422A1 (en) * | 2010-01-22 | 2011-07-28 | The School of Electrical Eng. & Computer Science (SEECS), National University of sciences | Method and system for adaptive anomaly-based intrusion detection |
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| CN110602109A (zh) * | 2019-09-17 | 2019-12-20 | 东南大学 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111641629A (zh) * | 2020-05-28 | 2020-09-08 | 腾讯科技(深圳)有限公司 | 一种异常行为检测方法、装置、设备及存储介质 |
| CN112491660A (zh) * | 2020-12-07 | 2021-03-12 | 北京明略昭辉科技有限公司 | 异常流量的识别方法、装置、电子设备及可读存储介质 |
| CN112560970A (zh) * | 2020-12-21 | 2021-03-26 | 上海明略人工智能(集团)有限公司 | 基于自编码的异常图片检测方法、系统、设备及存储介质 |
-
2021
- 2021-07-22 CN CN202110830809.7A patent/CN113630389B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110185422A1 (en) * | 2010-01-22 | 2011-07-28 | The School of Electrical Eng. & Computer Science (SEECS), National University of sciences | Method and system for adaptive anomaly-based intrusion detection |
| CN102271091A (zh) * | 2011-09-06 | 2011-12-07 | 电子科技大学 | 一种网络异常事件分类方法 |
| CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
| CN110602109A (zh) * | 2019-09-17 | 2019-12-20 | 东南大学 | 一种基于多特征熵的应用层DDoS攻击检测与防御方法 |
| CN111181932A (zh) * | 2019-12-18 | 2020-05-19 | 广东省新一代通信与网络创新研究院 | Ddos攻击检测与防御方法、装置、终端设备及存储介质 |
| CN111641629A (zh) * | 2020-05-28 | 2020-09-08 | 腾讯科技(深圳)有限公司 | 一种异常行为检测方法、装置、设备及存储介质 |
| CN112491660A (zh) * | 2020-12-07 | 2021-03-12 | 北京明略昭辉科技有限公司 | 异常流量的识别方法、装置、电子设备及可读存储介质 |
| CN112560970A (zh) * | 2020-12-21 | 2021-03-26 | 上海明略人工智能(集团)有限公司 | 基于自编码的异常图片检测方法、系统、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 刘见,赵震宇,裴茂林,杨爱超,单鹏,刘明: "智能变电站过程层网络异常流量检测", 《计算技术与自动化》 * |
| 杨岳湘,王海龙,卢锡城: "基于信息熵的大规模网络流量异常分类", 《计算机工程与科学》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117061254A (zh) * | 2023-10-12 | 2023-11-14 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
| CN117061254B (zh) * | 2023-10-12 | 2024-01-23 | 之江实验室 | 异常流量检测方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113630389B (zh) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108809B2 (en) | System and method for analyzing binary code for malware classification using artificial neural network techniques | |
| US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| US10686829B2 (en) | Identifying changes in use of user credentials | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| EP3721365B1 (en) | Methods, systems and apparatus to mitigate steganography-based malware attacks | |
| US9438612B1 (en) | Calculating consecutive matches using parallel computing | |
| US20160219068A1 (en) | Method and apparatus for automatically identifying signature of malicious traffic using latent dirichlet allocation | |
| CN112165455A (zh) | 数据访问控制方法、装置、计算机设备和存储介质 | |
| EP2284752B1 (en) | Intrusion detection systems and methods | |
| TWI674514B (zh) | 惡意軟體辨識裝置及方法 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
| CN111064719B (zh) | 文件异常下载行为的检测方法及装置 | |
| US11297083B1 (en) | Identifying and protecting against an attack against an anomaly detector machine learning classifier | |
| EP3331210B1 (en) | Apparatus, method, and non-transitory computer-readable storage medium for network attack pattern determination | |
| CN113630389B (zh) | 用户异常行为识别方法、系统、电子设备及存储介质 | |
| CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
| CN116738369A (zh) | 一种流量数据的分类方法、装置、设备及存储介质 | |
| EP3361405B1 (en) | Enhancement of intrusion detection systems | |
| CN117391214A (zh) | 模型训练方法、装置及相关设备 | |
| CN112073360B (zh) | 超文本传输数据的检测方法、装置、终端设备及介质 | |
| CN114398887A (zh) | 一种文本分类方法、装置及电子设备 | |
| CN109299135B (zh) | 基于识别模型的异常查询识别方法、识别设备及介质 | |
| CN109214212A (zh) | 信息防泄露方法及装置 | |
| CN114039744B (zh) | 一种基于用户特征标签的异常行为预测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |