CN113726814A - 用户异常行为识别方法、装置、设备及存储介质 - Google Patents

用户异常行为识别方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN113726814A
CN113726814A CN202111055481.2A CN202111055481A CN113726814A CN 113726814 A CN113726814 A CN 113726814A CN 202111055481 A CN202111055481 A CN 202111055481A CN 113726814 A CN113726814 A CN 113726814A
Authority
CN
China
Prior art keywords
behavior
user
data
item set
frequent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111055481.2A
Other languages
English (en)
Other versions
CN113726814B (zh
Inventor
邓建锋
严梦嘉
张超
王涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111055481.2A priority Critical patent/CN113726814B/zh
Publication of CN113726814A publication Critical patent/CN113726814A/zh
Application granted granted Critical
Publication of CN113726814B publication Critical patent/CN113726814B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了用户异常行为识别方法、装置、设备及存储介质,该方法包括:提取流量数据;根据流量数据获取用户访问网络图;根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;根据所述行为数据项集以及行为时间项集计算用户行为置信度;根据所述用户行为置信度识别用户频繁行为和非频繁行为。本发明能够在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。

Description

用户异常行为识别方法、装置、设备及存储介质
技术领域
本发明涉及网络安全领域,具体地说,涉及用户异常行为识别方法、装置、设备及存储介质。
背景技术
目前,采用图1示出的流量评估方法,对用户行为的流量数据进行分析和异常识别。如图1所示,首先执行步骤S110,获取用户流量数据。步骤S120:通过提取设定的指标,并对设定的指标进行方差分析,计算方差与置信区间的偏差,从而获得设定指标的分支。步骤S130:对于各指标的分值进行加权求和,获得流量数据的稳定性分值。步骤S140:判断稳定性分值是否满足阈值。若步骤S140判断为否,则执行步骤S150:对于流量数据进行威胁性评估。若步骤S140判断为是,则执行步骤S160:更新正常基线(阈值)。然后执行步骤S170:将更新的基线存入正常流量规则库中。
由此可见,目前的方案中,可以通过研究用户行为产生的流量数据,对各指标作独立的方差分析,生成评定基线;通过研究用户行为流量特征,评估推理用户行为与业务规则内容的差异,用以解决网络资源和流量分配不均的问题;通过研究用户行为测试用例的生成方法,使用了流量回放方法,用以自动化生成用户行为测试用例。
然而,目前的方案存在如下缺陷:仅分析特征成分,未对特征做再深层有序的挖掘,未考虑用户完整访问过程;使用的数据分析方法主要关注数据内容的离散测量;面对大数据量,穷举数据集很难应用;应用接口的流量数据都是上下文相互关联,不能对独立数据作完分析后就下基线的定论。
由此,如何基于流量数据进行用户异常行为识别,从而考虑到用户完整访问过程,避免单一特征的孤立或无序统计,是本领域技术人员亟待解决的技术问题。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
针对现有技术中的问题,本发明的目的在于提供用户异常行为识别方法、装置、设备及存储介质,克服了现有技术的困难,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
本发明的实施例提供一种用户异常行为识别方法,包括:
提取流量数据;
根据流量数据获取用户访问网络图;
根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;
根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;
根据所述行为数据项集以及行为时间项集计算用户行为置信度;
根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
在本申请的一些实施例中,所述根据所述用户请求数据集生成行为数据项集包括:
将所述用户请求数据集拆分为静态数据集以及动态数据集;
计算所述静态数据集中各数据项与所述动态数据集中各数据项的契合度;
将所述契合度大于设定阈值的数据项加入所述行为数据项集。
在本申请的一些实施例中,所述静态数据集中各数据项与所述动态数据集中各数据项的契合度根据卡方检测计算。
在本申请的一些实施例中,所述根据所述行为数据项集以及行为时间项集计算用户行为置信度包括:
计算所述行为数据项集中各数据项的支持度;
自所述行为数据项集中筛选出支持度不满足最小支持度的数据项,将其作为异常行为的一部分,这些不频繁项是异常行为的高命中项;
计算所述行为时间项集中各数据项的支持度;
自所述行为时间项集中删除支持度不满足最小支持度的数据项;
将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集;
计算所述频繁项集中各频繁项的置信度,所述置信度用于识别所述频繁项集中各频繁项是否为用户异常行为。
在本申请的一些实施例中,所述将所述行为数据项集以及所述行为时间项集中的数据项按所述用户访问网络图进行组合。
在本申请的一些实施例中,所述将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集之后,还包括置信度迭代计算步骤,所述置信度迭代计算步骤包括:
计算所述频繁项集中各频繁项的支持度;
自所述频繁项集中删除支持度不满足最小支持度的频繁项;
将所述频繁项集中的数据项进行组合,获得迭代更新的频繁项集;
计算所述迭代更新的频繁项集中各频繁项的置信度,所述置信度用于识别所述频繁项集中各频繁项是否为用户异常行为。
在本申请的一些实施例中,所述频繁项集中的数据项按所述用户访问网络图进行组合。
根据本发明的又一方面,还提供一种用户异常行为识别装置,包括:
提取模块,配置成提取流量数据;
第一获取模块,配置成根据流量数据获取用户访问网络图;
第二获取模块,配置成根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;
第一生成模块,配置成根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;
第一计算模块,配置成根据所述行为数据项集以及行为时间项集计算用户行为置信度;
识别模块,配置成根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
根据本发明的又一方面,还提供一种用户异常行为识别处理设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行如上所述用户异常行为识别方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述用户异常行为识别方法的步骤。
相比现有技术,本发明的目的在于:
通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的现有的用户异常行为识别方法的流程图。
图2是本发明的用户异常行为识别方法的一种实施例的流程图。
图3是本发明的用户异常行为识别方法的另一种实施例的流程图。
图4是本发明的用户访问网络图的示意图。
图5是本发明的行为时间项集的示意图。
图6是本发明的用户请求数据集的示意图。
图7是本发明的频繁项集的频繁项组合的示意图。
图8是本发明的用户异常行为识别装置的一种实施例的模块示意图。
图9是本发明的用户异常行为识别装置的另一种实施例的模块示意图。
图10是本发明的用户异常行为识别设备的结构示意图。
图11是本发明一实施例的计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的实施方式。相反,提供这些实施方式使得本发明将全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的结构,因而将省略对它们的重复描述。
参见图2,图2是本发明的用户异常行为识别方法的一种实施例的流程图。本发明的实施例提供一种用户异常行为识别方法,包括以下步骤:
步骤S210:提取流量数据。
步骤S220:根据流量数据获取用户访问网络图。
具体而言,步骤S220可以根据流量数据中的应用接口访问相关信息进行归集,从而能够编制用户访问网络图。用户访问网络图可以如图4所示.在图4的实施例中,根据流量数据获取接口1至接口6以及他们之间的访问关系。进一步地,可以仅对设定的接口(例如接口1至接口3)以及他们之间的访问关系,来生成用户访问网络图400。
步骤S230:根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间。
具体而言,用户请求数据集600可以如图6所示,其包括根据用户访问网络图400中的每一节点(接口)的请求数据。例如,用户请求数据集A:{a1,a2,a3},其中,a1为用户访问网络图400中的节点1(接口1)的请求数据;a2为用户访问网络图400中的节点2(接口2)的请求数据;a3为用户访问网络图400中的节点3(接口3)的请求数据。
具体而言,行为时间项集可以如图5所示,行为时间项集X:{x1,x2,x3},其中,x1为用户访问所述用户访问网络图400中节点1(接口1)耗费的时间(如标号510);x2为用户访问所述用户访问网络图400中节点2(接口2)耗费的时间(如标号520);x3为用户访问所述用户访问网络图400中节点3(接口3)耗费的时间(如标号530)。
步骤S240:根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据。
具体而言,所述行为数据项集中的行为数据为对用户请求数据集中的数据项进行筛选后,获得的数据。
步骤S250:根据所述行为数据项集以及行为时间项集计算用户行为置信度。
步骤S260:根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
进一步对,步骤S260还可以定义用户正常行为基线,由此,可以根据所定义的正常行为基线以及异常行为,识别用户异常行为。
本发明通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
图3是本发明的用户异常行为识别方法的另一种实施例的流程图。如图3所示,该用户异常行为识别方法,包括:
步骤S310:提取流量数据。
步骤S320:筛选应用接口访问数据。
具体而言,步骤S320截图分析测试行为的流量数据,根据http(HyperTextTransfer Protocol,超文本传输协议)流量特征,解析出流量特征,如URL(UniformResource Locator,统一资源定位符)、REQ(请求)和RESP(反馈)的body(信息体),从而可以根据这些特征筛选出应用接口访问数据。
步骤S330:用户访问数据配对,获取用户请求数据集。
例如,根据图4中的接口1至接口6,分析出接口1:为主页,它包含对接口2、接口5、接口6的访问链接,并进一步取出包含每个接口中包含的数据:作为用户请求数据集。
又例如,用户请求数据集600可以如图6所示,其包括根据用户访问网络图400中的每一节点(接口)的请求数据。例如,用户请求数据集A:{a1,a2,a3},其中,a1为用户访问网络图400中的节点1(接口1)的请求数据;a2为用户访问网络图400中的节点2(接口2)的请求数据;a3为用户访问网络图400中的节点3(接口3)的请求数据。
步骤S341:将用户请求数据集拆分为静态数据集和动态数据集。
具体而言,静态数据例如为:<title>流动感知</title>...
链接:<dd><a href="/stark/web/card/list/"class=""style="text-decoration:none;">数据源控制</a></dd>。动态数据例如为可以选取<table>、<input>内容。本发明并非以此为限制。
步骤S342:根据流量数据获取用户访问网络图。
具体而言,步骤S342可以根据流量数据中的应用接口访问相关信息进行归集,从而能够编制用户访问网络图。用户访问网络图可以如图4所示.在图4的实施例中,根据流量数据获取接口1至接口6以及他们之间的访问关系。进一步地,可以仅对设定的接口(例如接口1至接口3)以及他们之间的访问关系,来生成用户访问网络图400。
步骤S350:计算所述静态数据集中各数据项与所述动态数据集中各数据项的契合度。
具体而言,所述静态数据集中各数据项与所述动态数据集中各数据项的契合度根据卡方检测计算。
步骤S360:将所述契合度大于设定阈值的数据项加入所述行为数据项集。
由此,通过步骤S360可以形成行为数据项集。行为数据项集Y:{y1,y2},其中,y1、y2例如可以是静态数据集中的静态数据项,也可以是动态数据集中的动态数据项。
步骤S370:获取行为时间项集。
具体而言,行为时间项集可以如图5所示,行为时间项集X:{x1,x2,x3},其中,x1为用户访问所述用户访问网络图400中节点1(接口1)耗费的时间(如标号510);x2为用户访问所述用户访问网络图400中节点2(接口2)耗费的时间(如标号520);x3为用户访问所述用户访问网络图400中节点3(接口3)耗费的时间(如标号530)。
步骤S381:计算所述行为数据项集中各数据项的支持度。
具体而言,支持度为:数据项(数据项的组合)在流量数据集中出现的次数与流量数据集总数据之比。
步骤S382:自所述行为数据项集中删除支持度不满足最小支持度的数据项。
具体而言,最小支持度可以按需设置,本发明并非也以此为限制。步骤S382相当于自所述行为数据项集中删除支持度小于最小支持度的数据项。
例如,行为数据项集Y:{y1,y2}中,y1的支持度为0.1,y2的支持度为0.8。其中,y1的支持度不满足最小支持度的数据项,需要从行为数据项集Y中删除,获得行为数据项集Y:{y2}。
步骤S383:计算所述行为时间项集中各数据项的支持度。
具体而言,支持度的计算方式可以与步骤S381相同。
步骤S384:自所述频繁项集中筛选出支持度不满足最小支持度的频繁项。
具体而言,可以将筛选出的频繁项作为异常行为的一部分,这些不频繁项是异常行为的高命中项。
具体而言,最小支持度可以按需设置,本发明并非也以此为限制。步骤S384相当于自所述行为时间项集中删除支持度小于最小支持度的数据项。
例如,行为时间项集X:{x1,x2,x3}中,x1的支持度为0.6,x2的支持度为0.8,x3的支持度为0.2。其中,x3的支持度不满足最小支持度的数据项,需要从行为时间项集X中删除,获得行为时间项集X:{x1,x2}。
步骤S385:将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集。
具体而言,在前述的实施例中,依次选取行为数据项集中的一个数据项和行为时间项集中的一个数据项进行组合,获得多个频繁项集。行为数据项集Y:{y2},行为时间项集X:{x1,x2},由此,可以组合获得频繁项集T:{(x1,y2);(x2,y2)}。
步骤S386:迭代计算所述频繁项集中各频繁项的置信度。
具体而言,计算所述频繁项集中各频繁项的置信度,所述置信度用于识别所述频繁项集中各频繁项是否为用户异常行为。
具体而言,置信度为频繁项中第一个数据项和第二个数据项同时发生,占第二个数据项发生的比值。
具体而言,在第一次的置信度的计算中,对于频繁项集T:{(x1,y2);(x2,y2)},频繁项(x1,y2)的置信度例如为0.8,频繁项(x2,y2)的置信度例如为0.5。
然后,在每一次迭代中:
首先,计算所述频繁项集中各频繁项的支持度,自所述频繁项集中筛选出支持度不满足最小支持度的频繁项,将所述频繁项集中的数据项进行组合,获得迭代更新的频繁项集。
例如,对于频繁项集T:{(x1,y2);(x2,y2)},频繁项(x1,y2)的支持度例如为0.8,频繁项(x2,y2)的支持度例如为0.5。频繁项(x1,y2)和频繁项(x2,y2)的支持度均不满足最小支持度的频繁项。将所述频繁项集中的数据项进行组合,获得迭代更新的频繁项集T’:{(x1,y2)→(x2,y2);(x2,y2)→(x1,y2)}。
具体而言,所述频繁项集中的数据项按所述用户访问网络图进行组合。如图4,用户访问网络图400的接口1、接口2、接口3依次请求访问,因此,接口1的数据不会直接跳转至接口3的数据,接口2的数据不会直接跳转至接口1的数据,接口3的数据不会直接跳转至接口1的数据和接口2的数据。换言之,在上述迭代更新的频繁项集T’:{(x1,y2)→(x2,y2);(x2,y2)→(x1,y2)}中,(x2,y2)→(x1,y2)是不符合用户访问网络图400的,因此,迭代更新的频繁项集T’应为:{(x1,y2)→(x2,y2)}。在第二次的置信度的计算中,对于迭代更新的频繁项集T’:{(x1,y2)→(x2,y2)},频繁项(x1,y2)→(x2,y2)的置信度例如为0.1。
然后,计算迭代更新的频繁项集T’{(x1,y2)→(x2,y2)}中的频繁项的置信度。在一些实施例中,频繁项(x1,y2)→(x2,y2)的置信度例如为0.1。由此迭代更新的频繁项集T’仅包含一个频繁项,因此,无需再次迭代。在本申请的一些实施例中,当迭代更新的频繁项集T’包含多个频繁项时,可以继续进行置信度的迭代计算。上述迭代计算的频繁项以及频繁项的组合可以参见图7。由此,相比图7示出的枚举方式,上述迭代算法,计算的数据量更少,在提高用户行为分析的契合度的同时,避免了暴力枚举造成的计算耗费资源和时间的问题。
步骤S390:根据所述用户行为置信度识别用户异常行为。
具体而言,根据用户行为的置信度统计数据,可以设置阀值范围为(0.6,0.2)(本发明并非以此为限制),置信度0.6以上的为强关联集,即在频繁项的第一项频繁项的前提下,出现频繁项的第二项频繁项是常规的行为;低于0.2的为极弱关联集,在频繁项的第一项频繁项的前提下,出现频繁项的第二项频繁项是有风险的行为。换言之,置信度大于等于0.6是常规行为;置信度小于0.6且大于等于0.2是准风险行为;置信度小于0.2是风险行为。
具体而言,对于前述的频繁项集T:{(x1,y2);(x2,y2)},频繁项(x1,y2)的置信度例如为0.8,频繁项(x2,y2)的置信度例如为0.5。对于迭代更新的频繁项集T’:{(x1,y2)→(x2,y2)},频繁项(x1,y2)→(x2,y2)的置信度例如为0.1。基于前述的阀值范围(0.6,0.2),频繁项(x1,y2)为常规行为,换言之,在x1的时间内,出现y2的行为数据,是常规行为;频繁项(x2,y2)为准风险行为,换言之,在x2的时间内,出现y2的行为数据,是准风险行为;频繁项(x1,y2)→(x2,y2)为风险行为,换言之,在x1的时间内,出现y2的行为数据,并且随后在x2的时间内,出现y2的行为,是风险行为。
以上仅仅是示意性地描述本发明的具体实现方式,本发明并非也以此为限制,步骤的拆分、合并、执行顺序的变化、模块的拆分、合并、信息传输的变化皆在本发明的保护范围之内。
图8是本发明的用户异常行为识别装置的一种实施例的模块示意图。本发明的用户异常行为识别装置800,如图8所示,包括但不限于:提取模块810、第一获取模块820、第二获取模块830、第一生成模块840、第一计算模块850以及识别模块860。
提取模块810配置成提取流量数据;
第一获取模块820配置成根据流量数据获取用户访问网络图;
第二获取模块830配置成根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;
第一生成模块840配置成根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;
第一计算模块850配置成根据所述行为数据项集以及行为时间项集计算用户行为置信度;
识别模块860配置成根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
上述模块的实现原理参见用户异常行为识别方法中的相关介绍,此处不再赘述。
本发明的用户异常行为识别装置通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
图9是本发明的用户异常行为识别装置的另一种实施例的模块示意图。本发明的用户异常行为识别装置900包括但不限于:提取模块910、筛选模块920、第三获取模块930、拆分模块941、第四获取模块942、第二计算模块950、第一生成模块960、第五获取模块970、第三计算模块981、第一筛选模块982、第四计算模块983、第二筛选模块984、组合模块985、迭代计算模块986以及识别模块990。
提取模块910,配置成提取流量数据。
筛选模块920,配置成筛选应用接口访问数据。
第三获取模块930,配置成用户访问数据配对,获取用户请求数据集。
拆分模块941,配置成将用户请求数据集拆分为静态数据集和动态数据集。
第四获取模块942,配置成根据流量数据获取用户访问网络图。
第二计算模块950,配置成计算所述静态数据集中各数据项与所述动态数据集中各数据项的契合度。
第一生成模块960,配置成将所述契合度大于设定阈值的数据项加入所述行为数据项集。
第五获取模块970,配置成获取行为时间项集。
第三计算模块981,配置成计算所述行为数据项集中各数据项的支持度。
第一筛选模块982,配置成自所述行为数据项集中筛选出支持度不满足最小支持度的数据项。
第四计算模块983,配置成计算所述行为时间项集中各数据项的支持度。
第二筛选模块984,配置成自所述行为时间项集中筛选出支持度不满足最小支持度的数据项。
组合模块985,配置成将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集。
迭代计算模块986,配置成迭代计算所述频繁项集中各频繁项的置信度。
识别模块990配置成根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
上述模块的实现原理参见用户异常行为识别方法中的相关介绍,此处不再赘述。
图8和图9仅仅是示意性的分别示出本发明提供的用户异常行为识别装置800以及900,在不违背本发明构思的前提下,模块的拆分、合并、增加都在本发明的保护范围之内。本发明提供的用户异常行为识别装置800以及900可以由软件、硬件、固件、插件及他们之间的任意组合来实现,本发明并非以此为限。
本发明实施例还提供一种用户异常行为识别处理设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的用户异常行为识别方法的步骤。
如上所示,该实施例本发明的用户异常行为识别处理设备通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图10是本发明的用户异常行为识别处理设备的结构示意图。下面参照图10来描述根据本发明的这种实施方式的电子设备1000。图10显示的电子设备1000仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000的组件可以包括但不限于:至少一个处理单元1010、至少一个存储单元1020、连接不同平台组件(包括存储单元1020和处理单元1010)的总线1030、显示单元1040等。
其中,存储单元存储有程序代码,程序代码可以被处理单元1010执行,使得处理单元1010执行本说明书上述用户异常行为识别方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元1010可以执行如图1中所示的步骤。
存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备10001(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备1000交互的设备通信,和/或与使得该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器1060可以通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的用户异常行为识别方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述用户异常行为识别方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例的用以执行用户异常行为识别的计算机可读存储介质能够通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
图11是本发明的计算机可读存储介质的结构示意图。参考图11所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品1100,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本申请通过用户访问网络图、用户请求数据集以及行为时间项集之间渐近关联关系作级联分析,并以此计算用户行为置信度,根据所述用户行为置信度识别用户异常行为。由此,在基于流量数据进行用户异常行为的识别中,考虑到用户完整访问过程,避免单一特征的孤立或无序统计。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。

Claims (10)

1.一种用户异常行为识别方法,其特征在于,包括:
提取流量数据;
根据流量数据获取用户访问网络图;
根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;
根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;
根据所述行为数据项集以及行为时间项集计算用户行为置信度;
根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
2.根据权利要求1所述的用户异常行为识别方法,其特征在于,所述根据所述用户请求数据集生成行为数据项集包括:
将所述用户请求数据集拆分为静态数据集以及动态数据集;
计算所述静态数据集中各数据项与所述动态数据集中各数据项的契合度;
将所述契合度大于设定阈值的数据项加入所述行为数据项集。
3.根据权利要求2所述的用户异常行为识别方法,其特征在于,所述静态数据集中各数据项与所述动态数据集中各数据项的契合度根据卡方检测计算。
4.根据权利要求1所述的用户异常行为识别方法,其特征在于,所述根据所述行为数据项集以及行为时间项集计算用户行为置信度包括:
计算所述行为数据项集中各数据项的支持度;
自所述行为数据项集中删除支持度不满足最小支持度的数据项;
计算所述行为时间项集中各数据项的支持度;
自所述行为时间项集中删除支持度不满足最小支持度的数据项;
将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集;
计算所述频繁项集中各频繁项的置信度,所述置信度用于识别所述频繁项集中各频繁项是否为用户异常行为。
5.根据权利要求4所述的用户异常行为识别方法,其特征在于,所述将所述行为数据项集以及所述行为时间项集中的数据项按所述用户访问网络图进行组合。
6.根据权利要求4所述的用户异常行为识别方法,其特征在于,所述将所述行为数据项集以及所述行为时间项集中的数据项进行组合,获得频繁项集之后,还包括置信度迭代计算步骤,所述置信度迭代计算步骤包括:
计算所述频繁项集中各频繁项的支持度;
自所述频繁项集中筛选出支持度不满足最小支持度的频繁项;
将所述频繁项集中的数据项进行组合,获得迭代更新的频繁项集;
计算所述迭代更新的频繁项集中各频繁项的置信度,所述置信度用于识别所述频繁项集中各频繁项是否为用户异常行为。
7.根据权利要求6所述的用户异常行为识别方法,其特征在于,所述频繁项集中的数据项按所述用户访问网络图进行组合。
8.一种用户异常行为识别装置,其特征在于,包括:
提取模块,配置成提取流量数据;
第一获取模块,配置成根据流量数据获取用户访问网络图;
第二获取模块,配置成根据所述流量数据,获取用户请求数据集以及行为时间项集,所述用户请求数据集包括所述用户访问网络图中每一节点的请求数据,所述行为时间项集包括用户访问所述用户访问网络图中每一节点耗费的时间;
第一生成模块,配置成根据所述用户请求数据集生成行为数据项集,所述行为数据项集包括行为数据;
第一计算模块,配置成根据所述行为数据项集以及行为时间项集计算用户行为置信度;
识别模块,配置成根据所述用户行为置信度识别用户频繁行为和非频繁行为,并根据用户频繁行为和非频繁行为定义用户异常行为。
9.一种用户异常行为识别处理设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任意一项所述用户异常行为识别方法的步骤。
10.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被执行时实现权利要求1至7任意一项所述用户异常行为识别方法的步骤。
CN202111055481.2A 2021-09-09 2021-09-09 用户异常行为识别方法、装置、设备及存储介质 Active CN113726814B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111055481.2A CN113726814B (zh) 2021-09-09 2021-09-09 用户异常行为识别方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111055481.2A CN113726814B (zh) 2021-09-09 2021-09-09 用户异常行为识别方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN113726814A true CN113726814A (zh) 2021-11-30
CN113726814B CN113726814B (zh) 2022-09-02

Family

ID=78682860

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111055481.2A Active CN113726814B (zh) 2021-09-09 2021-09-09 用户异常行为识别方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN113726814B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020082886A1 (en) * 2000-09-06 2002-06-27 Stefanos Manganaris Method and system for detecting unusual events and application thereof in computer intrusion detection
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US20120330611A1 (en) * 2011-06-22 2012-12-27 Honeywell International Inc. Monitoring access to a location
CN105262715A (zh) * 2015-03-27 2016-01-20 中国人民解放军信息工程大学 一种基于模糊时序关联模式的异常用户检测方法
CN106022900A (zh) * 2016-08-08 2016-10-12 北京京东尚科信息技术有限公司 用户风险数据挖掘方法和装置
WO2018077152A1 (zh) * 2016-10-24 2018-05-03 中国银联股份有限公司 一种主机变量异常检测方法及系统
CN110222243A (zh) * 2019-05-27 2019-09-10 北京小米移动软件有限公司 确定异常行为的方法、装置和存储介质
CN110392046A (zh) * 2019-06-28 2019-10-29 平安科技(深圳)有限公司 网络访问的异常检测方法和装置
CN110704773A (zh) * 2018-06-25 2020-01-17 顺丰科技有限公司 基于频繁行为序列模式的异常行为检测方法及系统
CN111159127A (zh) * 2018-11-07 2020-05-15 中移(苏州)软件技术有限公司 一种基于Apriori算法的日志分析的方法及装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020082886A1 (en) * 2000-09-06 2002-06-27 Stefanos Manganaris Method and system for detecting unusual events and application thereof in computer intrusion detection
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US20120330611A1 (en) * 2011-06-22 2012-12-27 Honeywell International Inc. Monitoring access to a location
CN105262715A (zh) * 2015-03-27 2016-01-20 中国人民解放军信息工程大学 一种基于模糊时序关联模式的异常用户检测方法
CN106022900A (zh) * 2016-08-08 2016-10-12 北京京东尚科信息技术有限公司 用户风险数据挖掘方法和装置
WO2018077152A1 (zh) * 2016-10-24 2018-05-03 中国银联股份有限公司 一种主机变量异常检测方法及系统
CN110704773A (zh) * 2018-06-25 2020-01-17 顺丰科技有限公司 基于频繁行为序列模式的异常行为检测方法及系统
CN111159127A (zh) * 2018-11-07 2020-05-15 中移(苏州)软件技术有限公司 一种基于Apriori算法的日志分析的方法及装置
CN110222243A (zh) * 2019-05-27 2019-09-10 北京小米移动软件有限公司 确定异常行为的方法、装置和存储介质
CN110392046A (zh) * 2019-06-28 2019-10-29 平安科技(深圳)有限公司 网络访问的异常检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘波,等: "采用属性相关分析的异常数据检测方法", 《系统工程与电子技术》 *

Also Published As

Publication number Publication date
CN113726814B (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN110992169B (zh) 一种风险评估方法、装置、服务器及存储介质
US11190562B2 (en) Generic event stream processing for machine learning
EP2814218B1 (en) Detecting anomalies in work practice data by combining multiple domains of information
US12019739B2 (en) User behavior risk analytic system with multiple time intervals and shared data extraction
US9852208B2 (en) Discovering communities and expertise of users using semantic analysis of resource access logs
CN114298417A (zh) 反欺诈风险评估方法、训练方法、装置及可读存储介质
CN111401700A (zh) 一种数据分析方法、装置、计算机系统及可读存储介质
CN111435393B (zh) 对象漏洞的检测方法、装置、介质及电子设备
CN111427974A (zh) 数据质量评估管理方法和装置
CN111813960A (zh) 基于知识图谱的数据安全审计模型装置、方法及终端设备
CN110730164B (zh) 安全预警方法及相关设备、计算机可读存储介质
CN113297840B (zh) 恶意流量账号检测方法、装置、设备和存储介质
CN115034596A (zh) 一种风险传导预测方法、装置、设备和介质
US20220414491A1 (en) Automated resolution of over and under-specification in a knowledge graph
CN113987086A (zh) 数据处理方法、数据处理装置、电子设备以及存储介质
US11681831B2 (en) Threat detection using hardware physical properties and operating system metrics with AI data mining
US20150269241A1 (en) Time series clustering
CN113726814B (zh) 用户异常行为识别方法、装置、设备及存储介质
CN116860311A (zh) 脚本分析方法、装置、计算机设备及存储介质
CN107656927A (zh) 一种特征选择方法及设备
CN114492364A (zh) 相同漏洞的判断方法、装置、设备和存储介质
JP5156692B2 (ja) 擬似データ生成装置、擬似データ生成方法及びコンピュータプログラム
CN113626815A (zh) 病毒信息的识别方法、病毒信息的识别装置及电子设备
CN110795424B (zh) 特征工程变量数据请求处理方法、装置及电子设备
CN112348661A (zh) 基于用户行为轨迹的服务策略分配方法、装置及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20211130

Assignee: QUANZHI TECHNOLOGY (HANGZHOU) Co.,Ltd.

Assignor: CHINA TELECOM Corp.,Ltd.

Contract record no.: X2024110000010

Denomination of invention: Method, device, device, and storage medium for identifying abnormal user behavior

Granted publication date: 20220902

License type: Common License

Record date: 20240226