CN116069607A - 基于图卷积神经网络的移动办公用户异常行为检测方法 - Google Patents
基于图卷积神经网络的移动办公用户异常行为检测方法 Download PDFInfo
- Publication number
- CN116069607A CN116069607A CN202310068042.8A CN202310068042A CN116069607A CN 116069607 A CN116069607 A CN 116069607A CN 202310068042 A CN202310068042 A CN 202310068042A CN 116069607 A CN116069607 A CN 116069607A
- Authority
- CN
- China
- Prior art keywords
- user
- user operation
- neural network
- graph
- baseline
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 49
- 238000013528 artificial neural network Methods 0.000 title claims abstract description 42
- 238000001514 detection method Methods 0.000 title claims abstract description 20
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000006399 behavior Effects 0.000 claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims description 12
- 230000006870 function Effects 0.000 claims description 7
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 238000005259 measurement Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 238000012549 training Methods 0.000 claims description 3
- 238000004458 analytical method Methods 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000008859 change Effects 0.000 abstract description 3
- 230000000875 corresponding effect Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000004364 calculation method Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了基于图卷积神经网络的移动办公用户异常行为检测方法,涉及用户实体行为分析技术领域,本发明通过采用知识图谱技术表示用户操作序列,为用户基线聚类保留了用户操作偏好信息;使用关系图卷积神经网络算法对用户操作图谱聚类出强关联实体集,解决了用户操作基线长度难以确定的问题,降低后期用户操作流数据与基线匹配的难度,提升了操作序列与基线匹配的准确率。本发明提出的通过寻找操作权值最大通路确定操作基线的方法,可完善操作基线语义、持续适应用户操作行为变化。同时,本发明通过构建服务器与客户端协同检测模型,可解决安卓设备受限于算力与带宽不足难以实时检测用户异常行为的问题。
Description
技术领域
本发明涉及用户实体行为分析技术领域,特别是涉及基于图卷积神经网络的移动办公用户异常行为检测方法。
背景技术
随着互联网技术的日益发展与国家大数据战略的推动,数据已经成为企业最重要的资产之一。当前针对企业数据库的攻击层出不穷,为了保护企业数据的安全,企业系统要对数据进行实时防护。已有的防护方案多是分析系统的日志信息发现入侵者,但是这种方法仅能防范已知的入侵方法,无法防范新式攻击手段,也无法防范账号失陷、员工内部攻击等恶意行为,因此内外的双向需求催生了用户实体行为分析(User and Entity BehaviorAnalysis,UEBA)。
用户实体行为分析是一种新兴的入侵检测系统,它的出现使得网络安全保卫从“事后检验”转变为“事先预防”。用户实体行为分析更关注用户对资源的访问行为,其核心思想是将用户当前行为序列与此用户过往行为基线相对比,识别出异常行为并及时告警,解决账号失陷等问题,在数据被盗取前及时阻断风险。
当前,不少移动端应用允许员工使用安卓设备进行相应的业务操作并访问数据库,因此需要提出一种方案在满足安卓设备算力与带宽限制的条件下,实时地识别用户操作中的异常行为,并及时针对异常用户告警、限权。
现有的用户实体行为分析方案中,如,从用户行为中提取特征,并将其与特征基线进行对比发现疑似异常用户,通过集成算法对疑似异常用户进行综合评分,评分超过设定阈值的用户被确定为异常用户。然而,这种方案中特征基线为预设,无法区分各个用户自身的特点及行为模式的改变,并且忽略了各实体在访问中的关联。该方案仅可对用户异常行为进行非实时检测,难以很好满足检测需求。又如,从用户网页访问信息中提取会话信息,采用SimHash算法计算用户间的相似性,通过模糊聚类得出嫌疑用户。然而,该方案使用模糊聚类的方式分析用户间差距得到异常用户,难以适配安卓设备,并且无法很好对单个用户的行为进行分析,并且在聚类过程中丢失了大量关联关系信息。
可见,现有的实时用户异常行为识别技术主要针对PC端进行检测,而安卓设备由于算力与带宽的限制,难以迁移使用针对PC端的检测方案实时高效进行数据基线聚类生成等操作。而且,现有的用户异常行为检测技术对于用户行为基线的提取主要采用将用户操作抽象为时序序列,进而使用K-means聚类等传统算法提取用户基线的方法。这样的算法难以界定用户操作序列的长度,并且忽略了用户访问各实体间的关联关系。
发明内容
为解决异常检测过程中,实体操作关联关系丢失与操作基线语义不完善的问题,本发明的目的是提供基于图卷积神经网络的移动办公用户异常行为检测方法,采用知识图谱处理用户操作序列,获取用户操作图谱;在考虑实体访问关联性条件下,使用关系图卷积神经网络算法聚类得到关联节点组,并将关联节点组匹配用户操作图谱得到用户操作基线。为满足在安卓设备端实时检测用户异常行为的需求,本发明针对安卓设备算力受限与带宽受限问题提出了一种服务器与用户设备协同检测的方案。
为此,本发明提供了以下技术方案:
一方面,本发明公开了一种基于图卷积神经网络的移动办公用户异常行为检测方法,应用于用户设备离线识别移动办公用户异常行为,当前用户设备带宽支持实时传输用户操作流数据时,所述方法包括:
用户设备向服务器实时上传用户操作流数据;
服务器通过基线聚类算法获取用户操作基线;
服务器实时比较提取出的用户操作序列信息与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
比较用户操作偏离程度与偏离阈值的大小;当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
其中,所述基线聚类算法包括:
获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
使用符号集合近似算法将操作基线转换为字符串。
进一步地,还包括:服务器将用户操作基线发送至客户端,客户端接受并更新用户操作基线。
进一步地,基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集,包括:
将所述用户操作图谱输入至关系图卷积神经网络中;
使用所述关系图卷积神经网络进行训练;
使用最小化交叉熵损失函数进行分类,输出强关联节点集。
进一步地,基于固定时间窗口内的操作流数据构建用户操作图谱,包括:
根据各用户设备采集的数据以及已知的应用先验知识,将应用界面各可操作组件抽象为实体,实体间关系为用户操作各组件的时序关系,关系权重为操作频次。
进一步地,用户限权包括:限制用户访问数据库权限和读取应用缓存信息权限。
进一步地,所述方法在确定用户设备带宽支持实时传输用户操作流数据之前,还包括:
用户设备连接服务器并初始化信息;
实时抓取并处理用户操作数据。
又一方面,本发明还提供了一种基于图卷积神经网络的移动办公用户异常行为检测方法,应用于服务器在线识别移动办公用户异常行为,当前用户设备带宽不支持实时传输用户操作流数据时,所述方法包括:
获取用户设备存储器中已记录的用户操作基线;所述用户操作基线由服务器按照基线聚类算法确定之后传输至用户设备;
提取操作特征字符串;
通过比较操作特征字符串与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
比较用户操作偏离程度与偏离阈值的大小,当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
其中,所述基线聚类算法包括:
获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
使用符号集合近似算法将操作基线转换为字符串。
进一步地,提取操作特征字符串包括:使用符号集合近似算法将操作流数据转换为字符串,通过首项固定的滑动窗口法提取相应操作特征字符串。
进一步地,当用户操作偏离程度小于阈值时,返回执行提取操作特征字符串的步骤。
又一方面,本发明还提供了一种基于图卷积神经网络的移动办公用户异常行为检测系统,所述系统包括:用户设备和服务器;
所述用户设备包括初始化模块、用户操作数据获取模块、带宽判断模块和离线识别模块;其中:
所述初始化模块用于用户设备连接服务器并初始化信息;
所述用户操作数据获取模块用于实时抓取并处理用户操作数据;
所述带宽判断模块用于判断当前用户设备带宽是否支持实时传输用户操作流数据,若当前设备带宽受限,则用户设备利用离线识别模块进行离线用户异常行为检测;若当前设备带宽不受限,则服务器进行在线用户异常行为检测;所述离线识别模块采用上述离线识别方法进行用户异常行为检测;所述服务器采用上述在线识别方法进行用户异常行为检测。
本发明的优点和积极效果:
与现有技术相比,本发明通过采用知识图谱技术表示用户操作序列,为用户基线聚类保留了用户操作偏好信息;使用关系图卷积神经网络算法对用户操作图谱聚类出强关联实体集,解决了用户操作基线长度难以确定的问题,降低后期用户操作流数据与基线匹配的难度,提升了操作序列与基线匹配的准确率;提出的通过寻找操作权值最大通路确定操作基线的方法,可完善操作基线语义、持续适应用户操作行为变化;通过构建服务器与客户端协同检测模型,可解决安卓设备受限于算力与带宽不足难以实时检测用户异常行为的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图做以简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中移动办公用户异常行为检测主流程图;
图2为本发明实施例中用户异常行为离线识别流程图;
图3为本发明实施例中用户异常行为在线识别模块图;
图4为本发明实施例中强关联节点聚类流程图;
图5为本发明实施例中用户操作图谱示意图;
图6为本发明实施例中关系图卷积神经网络示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1所示,本发明提出的基于图卷积神经网络的移动办公用户异常行为检测方法,可根据用户设备带宽是否受限分为在线检测与离线检测两种,具体包括以下步骤:
S101、用户设备连接服务器并初始化信息。
其中,需初始化信息包括:用户信息(用户名、归属群组)、设备信息(设备硬件地址、设备缓存、设备日志)、网络信息(IP地址、网络带宽状况)等。
S102、实时抓取并处理用户操作数据。
用户设备实时抓取用户设备应用的操作流数据(包括但不限于点击按钮、输入文本框),本地存储用户操作流数据。
S103、判断当前用户设备带宽是否支持实时传输用户操作流数据。
带宽受限,则说明当前用户设备带宽不支持实时传输用户操作流数据,无法进行在线识别,只能离线识别;带宽不受限,则说明当前用户设备带宽支持实时传输用户操作流数据,可以进行在线识别。
S104、若当前设备带宽受限,则启动移动端用户异常行为离线识别方案。
S105、若当前设备带宽不受限,则启动移动端用户异常行为在线识别方案。
用户异常行为离线识别指用户带宽无法支持流数据实时传输时,用户可以依据已接收的用户操作基线对用户操作进行分析。如图2所示,本发明提出的移动端用户异常行为离线识别方法步骤为:
S201、获取用户设备存储器中已记录的用户操作基线。
S202、提取操作特征字符串。
由于用户操作序列字符串是以流数据形式产生,使用符号集合近似(SymbolicAggregate Approximation,SAX)算法将操作流数据转换为字符串,通过首项固定的滑动窗口法提取相应操作特征字符串,用于进行特征匹配。
S203、求得用户操作偏离程度。
通过比较操作特征字符串与用户操作基线的编辑距离,可得到用户操作与基线之间的相似程度,并使用编辑距离作为用户操作偏离程度的量化衡量指标。
S204、比较操作偏离程度与偏离阈值的大小。
S205、当用户偏离程度大于等于阈值时,应用告警并对用户限权(包括但不限于访问数据库权限、读取应用缓存信息权限)。
S206、当用户偏离程度小于阈值时,日志记录此次比较信息,并转步骤S202,重新提取操作特征字符串。
当用户设备带宽允许时,设备将用户操作序列字符串上传到服务器,服务器对操作序列进行行为提取、基线聚类等对算力消耗大的操作,识别精度高于离线识别。通过构建服务器与客户端协同检测模型,可解决安卓设备受限于算力与带宽不足难以实时检测用户异常行为的问题。
用户异常行为在线识别功能由3个模块组成,分别为:数据预处理模块、操作基线获取模块、异常检测模块,用户异常行为在线识别模块图如图3所示。本发明提出的移动端用户异常行为在线识别方法步骤为:
S301、数据预处理。
用户设备向服务器实时上传用户操作流数据。
S302、获取用户操作基线。
通过调用操作基线获取模块中的基线聚类算法获取用户操作基线。
S303、更新移动端用户操作基线。
服务器将用户操作基线发送至客户端,客户端接受并更新用户操作基线,该用户基线用于在用户异常行为离线识别时与用户操作序列进行对比。
S304、异常实时检测。
实时比较提取出的用户操作序列信息与用户行为基线之间的偏离程度,并比较用户行为偏离程度与阈值大小。若偏离程度大于等于阈值,则及时告警并对用户限权(包括但不限于访问数据库、读取应用缓存信息);若偏离程度小于阈值时,日志记录此次比较信息。
其中,基线聚类方法步骤如下:
S401、获取用户操作序列数据。
S402、构建知识图谱。
知识图谱的基本单位是“实体-关系-实体”构成的三元组,构建用户操作图谱的原始数据为固定时间窗口内用户设备发送的操作流数据。根据各用户设备采集的数据以及已知的应用先验知识,将应用界面各可操作组件抽象为实体,实体间关系为用户操作各组件的时序关系,关系权重为操作频次,实体i与实体j间的关系权重记作wij。
S403、运用关系图卷积神经网络聚类得到强关联实体集。
由于用户对各实体的操作具有时序性,而简单地将操作序列抽象为特征字符串会损失相应的关联关系,因此可以采用以图结构为基础的知识图谱对其进行表示。由于图结构不属于欧式空间结构,因此对于图结构中的节点聚类不能简单地使用K-means等聚类方法。本发明中,通过使用关系图卷积神经网络(Relational graph convolutionalnetwork,R-GCN)处理知识库中关系数据特征,得到强关联实体集。R-GCN的网络结构如图6所示。
R-GCN中的关系传播模型为:
为解决关系过拟合问题,使用基数分解法对R-GCN层进行规则化:
为实现强关联节点聚类,使用R-GCN卷积得到每个节点的向量表示,然后使用采用最小化交叉熵损失函数的分类器,得到强关联节点聚类结果,强关联节点聚类流程图如图4所示。具体包括:输入用户操作图谱,使用关系图卷积神经网络训练,使用最小化交叉熵损失函数分类,最后输出强关联节点集。采用的最小化交叉熵损失函数如下:
S404、将强关联实体集匹配用户操作图谱得到用户操作基线。
用户操作图谱示例如图5所示,其中的圆圈表示操作实体,线条和箭头表示操作实体之间的关系;该示例中共有6个操作实体,操作实体1、操作实体3之间存在关联,操作实体3、操作实体2之间存在关联,操作实体2、操作实体4之间存在关联,操作实体4、操作实体6之间存在关联,操作实体6、操作实体2之间存在关联,操作实体5相对独立。
将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线。路径权重计算公式如下:
S405、用户操作基线字符化。
使用符号集合近似(Symbolic Aggregate Approximation,SAX)算法将操作基线转换为字符串。
针对操作基线长度与语义关系难以反映用户的操作偏好的问题,本发明提出将操作序列字符化的方法,通过构建知识图谱,保留了用户操作实体的时序关系;采用关系图卷积神经网络替代传统聚类算法从用户操作图谱中聚类出强关联实体集,根据强关联实体各子集中节点数目确定操作基线长度;将聚类得到的强关联实体集与用户操作图谱相匹配,寻找到包含强关联实体集各节点的操作权值最大的通路作为用户操作基线,得到的操作基线可充分反映用户的操作偏好。从而解决了用户操作基线长度难以确定的问题,降低后期用户操作流数据与基线匹配的难度,提升了操作序列与基线匹配的准确率。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,当前用户设备带宽支持实时传输用户操作流数据时,所述方法包括:
用户设备向服务器实时上传用户操作流数据;
服务器通过基线聚类算法获取用户操作基线;
服务器实时比较提取出的用户操作序列信息与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
比较用户操作偏离程度与偏离阈值的大小;当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
其中,所述基线聚类算法包括:
获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
使用符号集合近似算法将操作基线转换为字符串。
2.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,还包括:服务器将用户操作基线发送至客户端,客户端接受并更新用户操作基线。
3.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集,包括:
将所述用户操作图谱输入至关系图卷积神经网络中;
使用所述关系图卷积神经网络进行训练;
使用最小化交叉熵损失函数进行分类,输出强关联节点集。
4.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,基于固定时间窗口内的操作流数据构建用户操作图谱,包括:
根据各用户设备采集的数据以及已知的应用先验知识,将应用界面各可操作组件抽象为实体,实体间关系为用户操作各组件的时序关系,关系权重为操作频次。
5.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,用户限权包括:限制用户访问数据库权限和读取应用缓存信息权限。
6.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,所述方法在确定用户设备带宽支持实时传输用户操作流数据之前,还包括:
用户设备连接服务器并初始化信息;
实时抓取并处理用户操作数据。
7.一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,当前用户设备带宽不支持实时传输用户操作流数据时,所述方法包括:
获取用户设备存储器中已记录的用户操作基线;所述用户操作基线由服务器按照基线聚类算法确定之后传输至用户设备;
提取操作特征字符串;
通过比较操作特征字符串与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
比较用户操作偏离程度与偏离阈值的大小,当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
其中,所述基线聚类算法包括:
获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
使用符号集合近似算法将操作基线转换为字符串。
8.根据权利要求7所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,提取操作特征字符串包括:使用符号集合近似算法将操作流数据转换为字符串,通过首项固定的滑动窗口法提取相应操作特征字符串。
9.根据权利要求7所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,当用户操作偏离程度小于阈值时,返回执行提取操作特征字符串的步骤。
10.一种基于图卷积神经网络的移动办公用户异常行为检测系统,其特征在于,所述系统包括:用户设备和服务器;
所述用户设备包括初始化模块、用户操作数据获取模块、带宽判断模块和离线识别模块;其中:
所述初始化模块用于用户设备连接服务器并初始化信息;
所述用户操作数据获取模块用于实时抓取并处理用户操作数据;
所述带宽判断模块用于判断当前用户设备带宽是否支持实时传输用户操作流数据,若当前设备带宽受限,则用户设备利用离线识别模块进行离线用户异常行为检测;若当前设备带宽不受限,则服务器进行在线用户异常行为检测;所述离线识别模块采用如权利要求7~9任一项所述的基于图卷积神经网络的移动办公用户异常行为检测方法进行用户异常行为检测;所述服务器采用如权利要求1~6任一项所述的基于图卷积神经网络的移动办公用户异常行为检测方法进行用户异常行为检测。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310068042.8A CN116069607A (zh) | 2023-01-13 | 2023-01-13 | 基于图卷积神经网络的移动办公用户异常行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310068042.8A CN116069607A (zh) | 2023-01-13 | 2023-01-13 | 基于图卷积神经网络的移动办公用户异常行为检测方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116069607A true CN116069607A (zh) | 2023-05-05 |
Family
ID=86169534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310068042.8A Pending CN116069607A (zh) | 2023-01-13 | 2023-01-13 | 基于图卷积神经网络的移动办公用户异常行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116069607A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116668192A (zh) * | 2023-07-26 | 2023-08-29 | 国网山东省电力公司信息通信公司 | 一种网络用户行为异常检测方法及系统 |
-
2023
- 2023-01-13 CN CN202310068042.8A patent/CN116069607A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116668192A (zh) * | 2023-07-26 | 2023-08-29 | 国网山东省电力公司信息通信公司 | 一种网络用户行为异常检测方法及系统 |
CN116668192B (zh) * | 2023-07-26 | 2023-11-10 | 国网山东省电力公司信息通信公司 | 一种网络用户行为异常检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9910980B2 (en) | Cyber security | |
Bindu et al. | Mining social networks for anomalies: Methods and challenges | |
CN111538741B (zh) | 一种面向警情大数据的深度学习分析方法及系统 | |
Yang et al. | Directed network community detection: A popularity and productivity link model | |
CN107249000B (zh) | 一种移动用户异常行为检测方法 | |
Fan et al. | An interactive visual analytics approach for network anomaly detection through smart labeling | |
CN117473571B (zh) | 一种数据信息安全处理方法及系统 | |
Elovici et al. | Using data mining techniques for detecting terror-related activities on the web | |
Liu et al. | Malicious traffic detection combined deep neural network with hierarchical attention mechanism | |
CN116069607A (zh) | 基于图卷积神经网络的移动办公用户异常行为检测方法 | |
Gong et al. | Model uncertainty based annotation error fixing for web attack detection | |
Khan et al. | A pilot study and survey on methods for anomaly detection in online social networks | |
Tundis et al. | Experiencing the detection of radicalized criminals on facebook social network and data-related issues | |
CN117675387A (zh) | 基于用户行为分析的网络安全风险预测方法及系统 | |
CN113657443B (zh) | 一种基于soinn网络的在线物联网设备识别方法 | |
Zhang | The WSN intrusion detection method based on deep data mining | |
Dong et al. | Security situation assessment algorithm for industrial control network nodes based on improved text simhash | |
Chouhan et al. | A survey: Analysis of current approaches in anomaly detection | |
Chouchani et al. | A user-centered approach for integrating social actors into communities of interest | |
Li et al. | An Anomaly Detection Approach Based on Integrated LSTM for IoT Big Data | |
Luo et al. | A hierarchical CNN-transformer model for network intrusion detection | |
Iashvili et al. | Enhancing Cyber Intelligence Capabilities through Process Automation: Advantages and Opportunities. | |
Anand et al. | Anomaly Detection in Disaster Recovery: A Review, Current Trends and New Perspectives | |
DIOP | LDA based on real-time classification of CCTV systems using codeblocks information | |
Sharma et al. | Network anomaly detection through hybrid algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |