CN115208938B - 用户行为管控方法及装置、计算机可读存储介质 - Google Patents
用户行为管控方法及装置、计算机可读存储介质 Download PDFInfo
- Publication number
- CN115208938B CN115208938B CN202210790537.7A CN202210790537A CN115208938B CN 115208938 B CN115208938 B CN 115208938B CN 202210790537 A CN202210790537 A CN 202210790537A CN 115208938 B CN115208938 B CN 115208938B
- Authority
- CN
- China
- Prior art keywords
- behavior
- data
- user
- rule base
- target user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/147—Network analysis or design for predicting network behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种用户行为管控方法及装置、计算机可读存储介质,本申请提供的方案包括:获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种用户行为管控方法及装置、计算机可读存储介质。
背景技术
随着互联网时代的到来,互联网涉及的范围越来越广泛,人们可以通过互联网获取各种各样的信息,实现资源共享,然而,随着网络的发展,系统越来越复杂,用户的行为操作也随之增多,网络攻击也变得越来越复杂化、多样化,如信息泄露、传播病毒、信息篡改等等,网络信息安全正面临着前所未有的挑战。
现有技术中,通过建立用户行为特征库,对访问时用户的行为进行识别,并在判断用户行为异常时进行用户拦截。
然而,建立用户行为特征库对行用户行为判别的方法对已知的正常或异常行为判断比较准确,但是对未知的行为判断效率低,且容易出错,导致漏报率较高,无法及时有效地对用户行为进行管控,为网络安全带来很大的隐患。
发明内容
本申请实施例的目的是提供一种用户行为管控方法及装置、计算机可读存储介质,用以解决用户行为管控效率低的问题。
为了解决上述技术问题,本说明书是这样实现的:
第一方面,提供了一种用户行为管控方法,包括:
获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;
基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;
基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;
基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控。
可选地,基于所述用户历史行为数据进行训练以得到用户行为预测规则库,包括:
基于各历史行为对应的用户历史行为数据确定训练样本,用户历史行为数据的类型包括正常行为数据和异常行为数据;
基于所述训练样本进行训练以得到所述用户行为预测规则库,其中对正常行为数据对应的训练样本进行训练得到所述正常行为规则库,对异常行为数据对应的训练样本进行训练得到所述异常行为规则库。
可选地,基于各历史行为对应的用户历史行为数据确定训练样本,包括:
获取目标历史行为对应的目标用户历史行为数据,所述目标用户历史行为数据包括对应用户基本属性、时间属性数据、位置属性数据以及操作内容数据的多个字段;
提取所述目标用户历史行为数据各字段对应数据的特征值;
基于各特征值组成的特征值向量,确定所述目标用户历史行为数据对应的训练样本。
可选地,基于所述训练样本进行训练以得到所述用户行为预测规则库,包括:
对各训练样本所有字段对应数据的特征值进行扫描,以统计包括K-1个字段对应的特征值向量的各第一项在各训练样本构成的数据集中出现的次数;
基于各第一项在所述数据集中出现的次数和训练样本的数量确定的各第一项的支持度和预设最小支持度,确定包括K-1个字段对应数据的特征值向量的各第二项,其中,K为大于或等于2的正整数;
通过对所述第二项进行连接和剪枝得到包括K个字段对应的特征值向量的各第三项;
对各第三项重复上述统计及确定步骤,直至确定包括最多字段对应数据的特征值向量的各项,得到所述用户行为预测规则库。
可选地,对各训练样本所有字段对应数据的特征值进行扫描之前,还包括:
对目标训练样本所有字段对应数据的特征值进行哈希计算,得到哈希值;
基于所述哈希值确定特征值存放位置,以存放所述目标训练样本所有字段对应数据的特征值。
可选地,对各训练样本所有字段对应数据的特征值进行扫描,包括:
基于哈希值与训练样本的映射关系,确定各训练样本所有字段对应数据的特征值的存放位置;
通过访问存放位置,获取并扫描各训练样本所有字段对应数据的特征值。
可选地,基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态,包括:
确定所述目标用户当前行为数据所有字段对应数据的特征值向量;
基于所述目标用户当前行为数据对应的特征值向量和所述正常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述正常行为规则库的第一相似度;
基于所述目标用户当前行为数据对应的特征值向量和所述异常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述异常行为规则库的第二相似度;
基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态。
可选地,基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态,包括:
若所述第一相似度小于预设正常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为异常行为;
若所述第一相似度大于所述预设正常行为阈值且所述第二相似度小于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为正常行为;
若所述第一相似度大于所述预设正常行为阈值且所述第二相似度大于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为潜在风险行为。
第二方面,提供了一种用户行为管控装置,包括:存储器和与所述存储器电连接的处理器,所述存储器存储有可在所述处理器运行的计算机程序,该计算机程序被该处理器执行时实现如第一方面所述的方法的步骤。
第三方面,提供了一种计算机可读存储介质,该计算机可读存储介质上存储计算机程序,该计算机程序被处理器执行时实现如第一方面所述的方法的步骤。
在本申请实施例中,通过获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控,由此可以准确检测异常行为和潜在风险行为,大大提高了检测效率。并采取及时有效的用户行为管控,提高网络安全性。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是本申请实施例的用户行为管控方法的流程示意图。
图2是本申请一个实施例的用户行为管控装置的结构方框图。
图3是本申请另一个实施例的用户行为管控装置的结构方框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。本申请中附图编号仅用于区分方案中的各个步骤,不用于限定各个步骤的执行顺序,具体执行顺序以说明书中描述为准。
为了解决现有技术中存在的问题,本申请实施例提供一种用户行为管控方法,如图1所示,包括以下步骤:
步骤102,获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;
步骤104,基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;
步骤106,基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;
步骤108,基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控。
用户历史行为数据是不同用户在执行每次网络访问行为时对应产生的一系列相关数据,采集以用于后续的预测规则库训练。用户基本属性例如包括用户姓名、账号、访问网络时使用的设备IP、设备名称等字段,这里的用户包括多个不同的用户。
时间属性数据例如包括用户访问网络时对应日志的生成时间、结束时间、持续时间和采集时间等字段,位置属性数据例如包括设备的具体地理位置、IP地址、网段、地域、数据采集来源,网络访问的源地址、源设备名、源端口、源MAC地址,网络访问的目的地址、目的设备名、目的端口、目的MAC地址等字段。操作内容数据例如包括访问的应用网站的编号、应用网站名称、应用网站下各模块编号、模块名称,用户行为的操作类型编号、操作类型、模块下各功能编号、功能名称,网站协议的动作,用户行为的操作结果(包括成果或失败),对应用户行为对象的操作内容、操作条件、操作对象等字段。
对于不同用户不同行为,将每次行为对应的数据信息按上述字段组成得到一条用户历史行为数据。一条用户历史行为数据包括对应用户基本属性、时间属性数据、位置属性数据以及操作内容数据的上述多个字段,则可能由于用户、时间、设备、操作等任一字段对应数据的不同,导致各条用户历史行为数据对应的数据内容不同。
例如,对于用户A在a时间点b位置用设备1执行了行为c,可采集得到该次行为对应30字段的第一历史行为数据;对于用户B在e时间点f位置用设备2执行了行为e,可采集得到该次行为对应30字段的第二历史行为数据。第一历史行为数据各字段对应的数据内容,与第二历史行为数据各字段对应的数据内容不同。
在执行步骤104之前,可以首先进行数据预处理,对采集的用户历史行为数据进行预处理,例如进行数据集成、数据清理、数据转换以及数据简化处理。根据数据缺失程度,判断某条用户历史行为数据是否删除;通过属性值的分布情况,判断属性值是否存在异常,并对明星异常数据作插补、替换、删除等处理。
并且,对预处理后的用户历史行为数据进行特征提取,通过特征选择算法,例如词频-逆文本频率指数(Term Frequency–Inverse Document Frequency,TF-IDF)算法进行特征简化,准确提取可以代表用户行为数据的因素,减少后续使用用户历史行为数据训练用户行为预测规则库的时间。
在步骤104中,基于所述用户历史行为数据进行训练以得到用户行为预测规则库,包括:基于各历史行为对应的用户历史行为数据确定训练样本,用户历史行为数据的类型包括正常行为数据和异常行为数据;基于所述训练样本进行训练以得到所述用户行为预测规则库,其中对正常行为数据对应的训练样本进行训练得到所述正常行为规则库,对异常行为数据对应的训练样本进行训练得到所述异常行为规则库。
可选地,基于各历史行为对应的用户历史行为数据确定训练样本,包括:获取目标历史行为对应的目标用户历史行为数据,所述目标用户历史行为数据包括对应用户基本属性、时间属性数据、位置属性数据以及操作内容数据的多个字段;提取所述目标用户历史行为数据各字段对应数据的特征值;基于各特征值组成的特征值向量,确定所述目标用户历史行为数据对应的训练样本。
如上文所述,每次行为对应的一条用户历史行为数据包括多个字段,则不同行为对应的用户历史行为数据包括的多个字段的数据不同。相应地,不同数据的特征值也不同。特征值是用于表示目标字段的目标数据内容的数值,例如用户A的特征值可以用一个数字或字符表示,用户B的特征值可以用另一个数字或字符表示,不同用户对应的特征值不同。不同字段下的不同数据的特征值不同,相同字段下的相同数据对应的特征值相同。
仍以一条用户历史行为数据包括30个字段为例,则通过一次行为对应的用户历史行为数据包括30字段对应数据的特征值,组成得到一个1*30维的特征值向量,一个1*30维的特征值向量即对应一个训练样本。由此,通过大量采集的用户历史行为数据,可以得到多个训练样本。
可选地,基于所述训练样本进行训练以得到所述用户行为预测规则库,包括:对各训练样本所有字段对应数据的特征值进行扫描,以统计包括K-1个字段对应的特征值向量的各第一项在各训练样本构成的数据集中出现的次数;基于各第一项在所述数据集中出现的次数和训练样本的数量确定的各第一项的支持度和预设最小支持度,确定包括K-1个字段对应数据的特征值向量的各第二项,其中,K为大于或等于2的正整数;通过对所述第二项进行连接和剪枝得到包括K个字段对应的特征值向量的各第三项;对各第三项重复上述统计及确定步骤,直至确定包括最多字段对应数据的特征值向量的各项,得到所述用户行为预测规则库。
多个训练样本构成一个数据集,数据集中的数据即为各个字段对应数据的特征值。对各训练样本所有字段对应数据的特征值进行扫描,可以统计得到每个特征值在该数据集中出现的次数。
以训练集中包括4个训练样本,每个训练样本包括3个字段数据对应的1*3维的特征值向量为例:训练样本1的特征值向量为(a、b、c);训练样本2的特征值向量为(a、b、e);训练样本3的特征值向量为(b、d、e);训练样本4的特征值向量为(a、c、e)。K为大于或等于2的正整数,当K=2时,包括1个字段对应特征值的所有项:{a}、{b}、{c}、{d}、{e},这些项组成项集C1。即,统计各项对应的一维特征值向量在数据集中出现的次数。
由上文可知,项{a}在数据集中出现的次数为3次,项{b}在数据集中出现的次数为3次,项{c}在数据集中出现的次数为2次,项{d}在数据集中出现的次数为1次,项{e}在数据集中出现的次数为3次。
基于各一维特征值向量在数据集中出现的次数和训练样本的数量确定各第一项的支持度,即目标项在数据集中出现的次数除以训练样本的数量得到目标项的支持度。
上述例子中,可以得出项{a}的支持度为3/4=75%,项{b}的支持度为3/4=75%,项{c}的支持度为2/4=50%,项{d}的支持度为1/4=25%,项{e}的支持度为3/4=75%。
例如设置预设最小支持度为50%,则可以筛除掉项{d},得到第二项{a}、{b}、{c}和{e}。
通过对各第二项进行连接和剪枝得到的第三项,是包括2个字段对应的特征值向量的项。例如,对第二项{a}、{b}、{c}和{e}进行两两排列组合,得到对应项{a,b}、{a,c}、{a,e}、{b,c}、{b,e}、{c,e}的第三项。
对于各第三项,重复上述统计步骤、支持度计算步骤和最小支持度筛选步骤。
例如,基于各二维特征值向量在数据集中出现的次数和训练样本的数量确定各第一项的支持度,可以得出项{a,b}的支持度为2/4=50%,{a,c}的支持度为2/4=50%,{a,e}的支持度为2/4=50%,{b,c}的支持度为1/4=25%,{b,e}的支持度为2/4=50%,{c,e}的支持度为1/4=25%。
通过与最小支持度50%进行比较,则可以筛除掉项{b,c}和{c,e},依次类推重复上述步骤,最终可以得到包括最多字段对应数据的特征值向量的各项,也即通过采集的用户历史行为数据对应的训练样本训练得到的用户行为预测规则库。
以一条用户历史行为数据包括30个字段为例,则最终训练得到的用户行为预测规则库可能包括多个项,每个项可能包括的字段等于或小于30个对应数据的特征值向量。
基于所述训练样本进行训练以得到所述用户行为预测规则库,其中对正常行为数据对应的训练样本进行训练得到所述正常行为规则库,对异常行为数据对应的训练样本进行训练得到所述异常行为规则库。
采集的用户历史行为数据对应正常行为或异常行为是事先可以知道,如此基于正常行为对应的用户历史行为数据的训练样本进行训练,得到正常行为规则库,正常规则库的各项的特征值都是对应正常数据。
同样地,基于异常行为对应的用户历史行为数据的训练样本进行训练,得到异常行为规则库,异常规则库的各项的特征值都是对应异常数据。
此外,上述数据集扫描会产生大量的操作,为减少扫描次数,提高用户行为预测规则库的训练效率,可选地,对各训练样本所有字段对应数据的特征值进行扫描之前,还包括:对目标训练样本所有字段对应数据的特征值进行哈希计算,得到哈希值;基于所述哈希值确定特征值存放位置,以存放所述目标训练样本所有字段对应数据的特征值。
对各训练样本所有字段对应数据的特征值进行扫描,包括:基于哈希值与训练样本的映射关系,确定各训练样本所有字段对应数据的特征值的存放位置;通过访问存放位置,获取并扫描各训练样本所有字段对应数据的特征值。
通过将多个字段对应的特征值存放在一块连续的存储区域中,并且特征值的存放位置通过一个哈希函数计算而得到的,如此可以根据哈希值即可取到所有字段的特征值,从而减少了扫描次数,大大提高了规则库训练的运行效率。同时,还可以开启多个并发线程来计算项集中每个项的支持度。
训练出的用户行为预测规则库,可用于实际用户行为的预测并对应及时管控。
在步骤106中,可选地,基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态,包括:
确定所述目标用户当前行为数据所有字段对应数据的特征值向量;
基于所述目标用户当前行为数据对应的特征值向量和所述正常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述正常行为规则库的第一相似度;
基于所述目标用户当前行为数据对应的特征值向量和所述异常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述异常行为规则库的第二相似度;
基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态。
在监测到网络当前存在目标用户行为时,则从用户基本属性、时间属性数据、位置属性数据以及操作内容数据的角度,获取目标用户当前行为数据。获取的目标用户当前行为数据的字段,与用于训练用户行为预测规则库的用户历史行为数据的字段相同,例如30个字段。并确定每个字段对应的特征值,得到目标用户当前行为数据对应的特征值向量。
如果用户行为预测规则库中的正常行为规则库最终训练出的各项的最多字段为25个,异常行为规则库最终训练出的各项的最多字段为28个,则将目标用户当前行为数据对应的1*30维特征值向量,与正常行为规则库的各项的1*25维特征值向量求相似度,以及与异常行为规则库的各项的1*28维特征值向量求相似度。
相似度是针对两个集合相似度的计算,先计算两个集合的交集数量,再除以两个集合的并集数量,即得到相似度。在用户行为预测规则库中存在多项的特征值向量时,将目标用户当前行为数据的特征值向量分别和规则库中的多条项的特征值向量分别进行相似度计算,并取相似度最大值作为最终的相似度计算结果。
正常行为规则库和异常行为规则库中包括的特征值向量是对应最多字段用户行为数据的特征,通过将目标用户当前行为数据对应的特征值向量分别与正常行为规则库和异常行为规则库中包括的特征值向量分别进行相似度计算,则可能包括以下情况:
1、目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量相似,且和异常行为规则库的特征值向量不相似;
2、目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量不相似,或者,和异常行为规则库的特征值向量相似;
3、目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量相似,且和异常行为规则库的特征值向量相似。
可选地,基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态,包括:若所述第一相似度小于预设正常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为异常行为;若所述第一相似度大于所述预设正常行为阈值且所述第二相似度小于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为正常行为;若所述第一相似度大于所述预设正常行为阈值且所述第二相似度大于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为潜在风险行为。
第一相似度小于预设正常行为阈值,也就是说,目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量不相似,确定所述目标用户当前行为数据对应的行为状态为异常行为。
第一相似度大于预设正常行为阈值且第二相似度小于预设异常行为阈值,也就是说,目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量相似,且和异常行为规则库的特征值向量不相似。
第一相似度大于预设正常行为阈值且第二相似度大于预设异常行为阈值,也就是说,目标用户当前行为数据对应的特征值向量和正常行为规则库的特征值向量相似,且和异常行为规则库的特征值向量相似。
在步骤108中,利用用户行为预测规则库,如果预测目标用户当前行为数据对应的行为状态为正常行为,则允许目标用户访问,并可进行良好标记;如果预测目标用户当前行为数据对应的行为状态为异常行为,则拦截目标用户当前行为;如果预测目标用户当前行为数据对应的行为状态为潜在风险行为,则进行警告标记。
此外,在一个实施例中,还可以对用户行为预测规则库及时进行迭代更新。当预测目标用户当前行为数据对应的行为状态为异常行为,且异常行为规则库中未记录该异常行为时,则基于目标用户当前行为数据动态更新异常行为规则库;同样地,当预测目标用户当前行为数据对应的行为状态为正常行为,且正常行为规则库中未记录该正常行为时,则基于目标用户当前行为数据动态更新正常行为规则库。
在本申请实施例中,通过获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控,由此可以准确检测异常行为和潜在风险行为,大大提高了检测效率。并采取及时有效的用户行为管控,提高网络安全性。
此外,通过哈希值存储特征值,降低了规则库训练的复杂度,减少了对数据集中原始数据的扫描次数。
本申请实施例提供的用户行为管控方法,执行主体可以为用户行为管控装置。本申请实施例中以用户行为管控装置执行用户行为管控方法为例,说明本申请实施例提供的用户行为管控装置。
如图2所示,本申请实施例的用户行为管控装置1000包括:
获取模块1200,获取用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据;
训练模块1400,基于所述用户历史行为数据进行训练以得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;
预测模块1600,基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态;
管控模块1800,基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控。
本申请实施例提供的用户行为管控装置能够实现图1的方法实施例实现的各个过程,为避免重复,这里不再赘述。
可选地,本申请实施例还提供一种用户行为管控装置,图3是本申请另一个实施例的用户行为管控装置的结构方框图。
如图3所示,用户行为管控装置2000包括存储器2200和与所述存储器2200电连接的处理器2400,所述存储器2200存储有可在所述处理器2400运行的计算机程序,所述计算机程序被所述处理器执行时实现上述任意一种用户行为管控方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本申请实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述任意一种用户行为管控方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random AccessMemory,简称RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
上面结合附图对本申请的实施例进行了描述,但是本申请并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本申请的启示下,在不脱离本申请宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本申请的保护之内。
Claims (8)
1.一种用户行为管控方法,其特征在于,包括:
获取各历史行为对应的用户历史行为数据,所述用户历史行为数据包括用户基本属性、时间属性数据、位置属性数据以及操作内容数据的多个字段;
基于各用户历史行为数据各字段对应数据的特征值组成的特征值向量,确定各用户历史行为数据对应的训练样本;
对各训练样本所有字段对应数据的特征值进行扫描,以统计包括K-1个字段对应的特征值向量的各第一项在各训练样本构成的数据集中出现的次数;
基于各第一项在所述数据集中出现的次数和训练样本的数量确定的各第一项的支持度和预设最小支持度,确定包括K-1个字段对应数据的特征值向量的各第二项,其中,K为大于或等于2的正整数;
通过对所述第二项进行连接和剪枝得到包括K个字段对应的特征值向量的各第三项;
对各第三项重复上述统计及确定步骤,直至确定包括最多字段对应数据的特征值向量的各项,得到用户行为预测规则库,所述用户行为预测规则库包括用于预测用户行为数据是否对应正常行为状态的正常行为规则库和用于预测用户行为数据是否对应异常行为状态的异常行为规则库;
基于所述用户行为预测规则库对目标用户当前行为数据进行预测,以确定所述目标用户当前行为数据对应的行为状态,具体包括:确定所述目标用户当前行为数据所有字段对应数据的特征值向量;基于所述目标用户当前行为数据对应的特征值向量和所述正常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述正常行为规则库的第一相似度;基于所述目标用户当前行为数据对应的特征值向量和所述异常行为规则库包括的各特征值向量,计算所述目标用户当前行为数据与所述异常行为规则库的第二相似度;基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态;
基于所述目标用户当前行为数据对应的行为状态对所述目标用户进行管控。
2.如权利要求1所述的方法,其特征在于,用户历史行为数据的类型包括正常行为数据和异常行为数据,其中基于正常行为数据对应的训练样本得到所述正常行为规则库,基于异常行为数据对应的训练样本得到所述异常行为规则库。
3.如权利要求2所述的方法,其特征在于,
基于各用户历史行为数据各字段对应数据的特征值组成的特征值向量,确定各用户历史行为数据对应的训练样本,包括:
获取目标历史行为对应的目标用户历史行为数据,所述目标用户历史行为数据包括对应用户基本属性、时间属性数据、位置属性数据以及操作内容数据的多个字段;
提取所述目标用户历史行为数据各字段对应数据的特征值;
基于各特征值组成的特征值向量,确定所述目标用户历史行为数据对应的训练样本。
4.如权利要求1所述的方法,其特征在于,对各训练样本所有字段对应数据的特征值进行扫描之前,还包括:
对目标训练样本所有字段对应数据的特征值进行哈希计算,得到哈希值;
基于所述哈希值确定特征值存放位置,以存放所述目标训练样本所有字段对应数据的特征值。
5.如权利要求4所述的方法,其特征在于,对各训练样本所有字段对应数据的特征值进行扫描,包括:
基于哈希值与训练样本的映射关系,确定各训练样本所有字段对应数据的特征值的存放位置;
通过访问存放位置,获取并扫描各训练样本所有字段对应数据的特征值。
6.如权利要求1所述的方法,其特征在于,基于所述第一相似度和所述第二相似度,确定所述目标用户当前行为数据对应的行为状态,包括:
若所述第一相似度小于预设正常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为异常行为;
若所述第一相似度大于所述预设正常行为阈值且所述第二相似度小于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为正常行为;
若所述第一相似度大于所述预设正常行为阈值且所述第二相似度大于预设异常行为阈值,则确定所述目标用户当前行为数据对应的行为状态为潜在风险行为。
7.一种用户行为管控装置,其特征在于,包括:存储器和与所述存储器电连接的处理器,所述存储器存储有可在所述处理器运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210790537.7A CN115208938B (zh) | 2022-07-06 | 2022-07-06 | 用户行为管控方法及装置、计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210790537.7A CN115208938B (zh) | 2022-07-06 | 2022-07-06 | 用户行为管控方法及装置、计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115208938A CN115208938A (zh) | 2022-10-18 |
| CN115208938B true CN115208938B (zh) | 2023-08-01 |
Family
ID=83579546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210790537.7A Active CN115208938B (zh) | 2022-07-06 | 2022-07-06 | 用户行为管控方法及装置、计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115208938B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
| CN111143175A (zh) * | 2019-11-29 | 2020-05-12 | 北京浪潮数据技术有限公司 | 一种风险行为检测方法、装置、设备以及计算机存储介质 |
| CN112835769A (zh) * | 2021-02-24 | 2021-05-25 | 北京顶象技术有限公司 | 一种业务数据异常诊断方法、装置、设备及存储介质 |
| CN114493839A (zh) * | 2022-01-24 | 2022-05-13 | 中国农业银行股份有限公司 | 风险用户预测模型训练方法、预测方法、设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107481090A (zh) * | 2017-07-06 | 2017-12-15 | 众安信息技术服务有限公司 | 一种用户异常行为检测方法、装置和系统 |
| CN109902849B (zh) * | 2018-06-20 | 2021-11-30 | 华为技术有限公司 | 用户行为预测方法及装置、行为预测模型训练方法及装置 |
-
2022
- 2022-07-06 CN CN202210790537.7A patent/CN115208938B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108449342A (zh) * | 2018-03-20 | 2018-08-24 | 北京搜狐互联网信息服务有限公司 | 恶意请求检测方法及装置 |
| CN111143175A (zh) * | 2019-11-29 | 2020-05-12 | 北京浪潮数据技术有限公司 | 一种风险行为检测方法、装置、设备以及计算机存储介质 |
| CN112835769A (zh) * | 2021-02-24 | 2021-05-25 | 北京顶象技术有限公司 | 一种业务数据异常诊断方法、装置、设备及存储介质 |
| CN114493839A (zh) * | 2022-01-24 | 2022-05-13 | 中国农业银行股份有限公司 | 风险用户预测模型训练方法、预测方法、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 用户行为异常检测在安全审计系统中的应用;江伟;陈龙;王国胤;;计算机应用(07);全文 * |
| 用户行为异常检测模型;郑红艳;吴照林;;计算机系统应用(08);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115208938A (zh) | 2022-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2020505707A (ja) | 侵入検出のための継続的な学習 | |
| CN105590055B (zh) | 用于在网络交互系统中识别用户可信行为的方法及装置 | |
| CN107305611B (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
| US9864855B2 (en) | Verification data processing method and device and storage medium | |
| CN110679114B (zh) | 一种估计数据对象可删除性的方法 | |
| CN111368289B (zh) | 一种恶意软件检测方法和装置 | |
| de Faria et al. | Evaluation of multiclass novelty detection algorithms for data streams | |
| CN116305168A (zh) | 一种多维度信息安全风险评估方法、系统及存储介质 | |
| CN111598711A (zh) | 目标用户账号识别方法、计算机设备及存储介质 | |
| CN115065545B (zh) | 基于大数据威胁感知的安全防护构建方法及ai防护系统 | |
| CN111340075A (zh) | 一种ics的网络数据检测方法及装置 | |
| CN110599278B (zh) | 聚合设备标识符的方法、装置和计算机存储介质 | |
| CN112839055B (zh) | 面向tls加密流量的网络应用识别方法、装置及电子设备 | |
| CN111651741B (zh) | 用户身份识别方法、装置、计算机设备和存储介质 | |
| CN115208938B (zh) | 用户行为管控方法及装置、计算机可读存储介质 | |
| JP5555238B2 (ja) | ベイジアンネットワーク構造学習のための情報処理装置及びプログラム | |
| JP7259932B2 (ja) | 仮説検証装置、仮説検証方法、及びプログラム | |
| CN109491892B (zh) | 一种项目环境的配置方法和装置 | |
| CN111125685A (zh) | 一种网络安全态势的预测方法及装置 | |
| CN116663338B (zh) | 一种基于相似算例的仿真分析方法、装置、设备及介质 | |
| CN114401122B (zh) | 一种域名检测方法、装置、电子设备及存储介质 | |
| US11714842B1 (en) | System and method for sensitive content analysis prioritization based on file metadata | |
| CN114629942B (zh) | 一种诈骗预警任务生成方法、装置、设备及介质 | |
| CN115098602B (zh) | 基于大数据平台的数据处理方法、装置、设备及存储介质 | |
| US20240073241A1 (en) | Intrusion response determination |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |