CN117040923A - 基于Apriori算法的用户行为异常检测方法及系统 - Google Patents

基于Apriori算法的用户行为异常检测方法及系统 Download PDF

Info

Publication number
CN117040923A
CN117040923A CN202311265290.8A CN202311265290A CN117040923A CN 117040923 A CN117040923 A CN 117040923A CN 202311265290 A CN202311265290 A CN 202311265290A CN 117040923 A CN117040923 A CN 117040923A
Authority
CN
China
Prior art keywords
access
user
confidence
user client
item set
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202311265290.8A
Other languages
English (en)
Other versions
CN117040923B (zh
Inventor
林兵
刘纯纯
王永君
程伟
吴伟斌
苏轶
赖博林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unicom Guangdong Industrial Internet Co Ltd
Original Assignee
China Unicom Guangdong Industrial Internet Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unicom Guangdong Industrial Internet Co Ltd filed Critical China Unicom Guangdong Industrial Internet Co Ltd
Priority to CN202311265290.8A priority Critical patent/CN117040923B/zh
Publication of CN117040923A publication Critical patent/CN117040923A/zh
Application granted granted Critical
Publication of CN117040923B publication Critical patent/CN117040923B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Algebra (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于Apriori算法的用户行为异常检测方法及系统,包括:搭建零信任网络;记录用户的访问数据,并生成访问项集;利用所述访问项集计算频繁项集和置信度;利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。通过Apriori算法,利用用户的访问数据计算频繁项集和置信度,然后利用访问数据和置信度对用户的行为进行异常度计算,最后通过异常度判断用户的行为是否异常,若存在异常,则自动调整访问策略,从而能够及时、有效地判断用户的行为是否存在异常,并在存在异常时快速、准确地做出策略调整,提高了网络安全,解决了现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。

Description

基于Apriori算法的用户行为异常检测方法及系统
技术领域
本发明涉及计算机算法技术领域,特别涉及一种基于Apriori算法的用户行为异常检测方法及系统。
背景技术
随着计算机技术的发展,大数据、物联网和云计算等新兴技术的出现使得对传统网络安全提出了挑战。为了提高网络数据的安全,“零信任”的概念被提出。对于以往一次授权可以持续访问的安全策略不同,零信任的核心在于持续验证,永不信任,无论对于网络的内外网的任何人、任何设备、任何系统均默认不信任策略。
目前常用的传统网络安全策略(如防火墙)和零信任安全策略,都是采取预先授权,手动操作下发策略,然后基于告警日志提醒的紧急处理方式来处理攻击事件。这种传统的攻击事件处理模式对于愈发进展复杂的网络安全环境,以及更多样化的攻击手段,显得落后和笨拙,不能完全满足现在及未来的安全防范需求。
发明内容
本发明的目的在于提供一种基于Apriori算法的用户行为异常检测方法及系统,以解决现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。
为解决上述技术问题,本发明提供一种基于Apriori算法的用户行为异常检测方法,包括:
搭建零信任网络;
记录用户的访问数据,并生成访问项集;
利用所述访问项集计算频繁项集和置信度;
利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述搭建零信任网络的方法包括:
搭建网络总体框架,包括控制器、数据库和用户客户端;
构建初始访问策略,表示用户客户端Vi对资源Sj进行网络协议和端口构成为p的访问策略。
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述记录用户的访问数据,并生成访问项集的方法包括:
用户客户端向控制器发起授权认证;
认证成功后,控制器下发初始访问策略
用户客户端根据所述初始访问策略生成设备ID,并将所述设备ID存放在UDP报文中;
用户客户端和数据库记录用户客户端的此次访问日志
汇总所述用户客户端的所有访问日志,并生成访问数据,其中,dpq表示用户客户端对第q个资源做出网络协议和端口构成p的访问,m表示可用于作限制策略的访问协议的种数,n表示可访问资源的个数;
利用所述访问数据形成访问项集
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,用户客户端和数据库记录用户客户端的此次访问日志的方法包括:
若用户客户端的此次访问为短连接,则采用单次记录;
若用户客户端的此次访问为长连接,则每间隔一预设周期记录一次。
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述利用所述访问项集计算频繁项集和置信度的方法包括:
给定最小支持度Supmin和最小置信度Confmin
采用连接步和剪枝步相互融合的方式,利用所述最小支持度Supmin和所述最小置信度Confmin从所述访问项集Itemsetn中找出频繁项集,并根据所述频繁项集/>获取与之对应的置信度/>
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述采用连接步和剪枝步相互融合的方式,利用所述最小支持度Supmin和所述最小置信度Confmin从所述访问项集Itemsetn中找出频繁项集,并根据所述频繁项集/>获取与之对应的置信度的方法包括:
设定候选集,所述候选集包含一项itemk的所有集合,itemk为所述访问项集Itemsetn中的第k项;
剔除所述候选集中所有小于所述最小支持度Supmin的集,以得到一项频繁项集/>
频繁项集自身连接产生两项候选集/>
剔除所述候选集中所有小于所述最小支持度Supmin的集,以得到两项频繁项集/>
计算频繁项集所对应的置信度集/>
重复上述步骤,并得到最大频繁项集和其所对应的置信度集/>
剔除置信度集中置信度小于所述最小置信度Confmin的项,以得到最大置信度/>
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述计算频繁项集所对应的置信度集/>的方法包括:
计算所述频繁项集中的访问事件A和访问事件B的置信度:
汇总所有所述置信度,以得到置信度集
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略的方法包括:
利用所述访问数据获取用户客户端的异常度;
将所述异常度与预设异常度阈值进行比较:若所述异常度大于所述预设异常度阈值,则判断用户存在异常行为;
当判断用户存在异常行为后,对所述初始访问策略进行自动调整,以得到最终的访问策略。
可选的,在所述的基于Apriori算法的用户行为异常检测方法中,所述利用所述访问数据获取用户客户端的异常度的方法包括:
从所述访问数据中获取预设时间段t内,用户客户端访问策略b的访问频率P(b)t
利用访问频率P(b)t和置信度计算异常度:
其中,表示用户客户端访问a项集后,访问b发生的概率。
为解决上述技术问题,本发明还提供一种基于Apriori算法的用户行为异常检测系统,用于进行如上任一项所述的基于Apriori算法的用户行为异常检测方法,所述用户行为异常检测系统包括:
用户客户端,用户通过所述用户客户端进行访问;
控制器,包括授权认证模块、策略生成模块和异常判断模块;所述授权认证模块用于对用户客户端进行授权认证以使用户客户端生成设备ID;所述策略生成模块用于获取所述用户客户端的访问数据,并根据所述访问数据生成访问策略;所述异常判断模块用于根据所述访问数据计算频繁项集和置信度,并判断用户是否存在异常行为;
数据库,用于存储访问数据。
本发明提供的基于Apriori算法的用户行为异常检测方法及系统,包括:搭建零信任网络;记录用户的访问数据,并生成访问项集;利用所述访问项集计算频繁项集和置信度;利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。通过Apriori算法,利用用户的访问数据计算频繁项集和置信度,然后利用访问数据和置信度对用户的行为进行异常度计算,最后通过异常度判断用户的行为是否异常,若存在异常,则自动调整访问策略,从而能够及时、有效地判断用户的行为是否存在异常,并在存在异常时快速、准确地做出策略调整,提高了网络安全,解决了现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。
附图说明
图1为本实施例提供的基于Apriori算法的用户行为异常检测方法的流程图;
图2为本实施例提供的基于Apriori算法的用户行为异常检测方法的逻辑图;
图3为本实施例提供的基于Apriori算法的用户行为异常检测系统的结构示意图。
具体实施方式
以下结合附图和具体实施例对本发明提出的基于Apriori算法的用户行为异常检测方法及系统作进一步详细说明。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。此外,附图所展示的结构往往是实际结构的一部分。特别的,各附图需要展示的侧重点不同,有时会采用不同的比例。
需要说明的是,本发明的说明书和权利要求书及附图说明中的“第一”、“第二”等是用于区别类似的对象,以便描述本发明的实施例,而不用于描述特定的顺序或先后次序,应该理解这样使用的结构在适当情况下可以互换。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
Apriori算法(关联规则挖掘算法)是经典的挖掘频繁项集和关联规则的数据挖掘算法。该算法的核心是通过已有的数据和项集,使用频繁项集性质的先验性质(即频繁项集的所有非空子集也一定是频繁的),逐层搜索的迭代方法,来压缩搜索空间,更快更优地挖掘到内部强关联关系。它利用逐层搜索的迭代方法找出数据库中项集的关系,以形成规则,其过程由连接(类矩阵运算)与剪枝(去掉那些没必要的中间结果)组成。该算法中项集的概念即为项的集合,项集出现的频率是包含项集的事务数,称为项集的频率;如果某项集满足最小支持度,则称它为频繁项集。
通过Apriori算法来对零信任网络中的资源访问者访问数据做项集的频繁关系挖掘,并将结果与实时访问动作匹配,自动生成策略及时下发,能够有效建立更加灵活和敏捷反应的安全防御阻断机制。
有基于此,本实施例提供一种基于Apriori算法的用户行为异常检测方法,如图1所示,包括:
S1,搭建零信任网络;
S2,记录用户的访问数据,并生成访问项集;
S3,利用所述访问项集计算频繁项集和置信度;
S4,利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。
本实施例提供的基于Apriori算法的用户行为异常检测方法及系统,通过Apriori算法,利用用户的访问数据计算频繁项集和置信度,然后利用访问数据和置信度对用户的行为进行异常度计算,最后通过异常度判断用户的行为是否异常,若存在异常,则自动调整访问策略,从而能够及时、有效地判断用户的行为是否存在异常,并在存在异常时快速、准确地做出策略调整,提高了网络安全,解决了现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。
需要说明的是,本实施例提供的基于Apriori算法的用户行为异常检测方法中,各个步骤之间还可以增加有其他方法步骤,以进一步完善本申请提供的基于Apriori算法的用户行为异常检测方法。在不违背本申请主旨前提下的增加有其他方法步骤的用户行为异常检测方法也应当属于本申请的保护范围。
此外,本领域技术人员所可以理解的是,用户在进行访问时,通常是借助用户客户端进行,用户客户端具体可以为手机、笔记本电脑、平板、手机等具有网络通信功能的电子产品。
进一步的,在本实施例中,步骤S1,搭建零信任网络的方法包括:
S11,搭建网络总体框架,包括控制器、数据库和用户客户端。具体的,在本实施例中,网络总体框架还可以包括网络中继器、服务端等,其中,用户客户端与控制器通信连接,数据库用于存放用户客户端和/或控制器产生的各类数据资料等。
较佳的,在本实施例中,基于WireGuard搭建零信任网络。WireGuard是一个易于配置、快速且安全的开源VPN,它利用了最新的加密技术,目的是提供一种更快、更简单、更精简的通用VPN。WireGuard不仅可以跨平台,使得其易于部署,而且其代码库非常精简,使得其调试更加容易,此外,WireGuard 运行在内核空间,可以高速提供安全的网络。
当然,在其他实施例中,也可以采用其他技术搭建网络总体框架,网络总体框架的具体搭建方法为本领域技术人员所熟知的,此处不再赘述。
S12,构建初始访问策略,表示用户客户端Vi对资源Sj(访问资源)进行网络协议和端口构成为p的访问策略。初始访问策略/>可以根据经验,预先设置若干访问策略,以对应不同的用户客户端、资源等。
进一步的,在本实施例中,步骤S2,记录用户的访问数据,并生成访问项集的方法包括:
S21,用户客户端向控制器发起授权认证。
S22,认证成功后,控制器下发初始访问策略。具体的,在本实施例中,控制器根据认证结果,从初始访问策略/>中挑选与该用户客户端所对应的初始访问策略并下发给用户客户端。
S23,用户客户端根据所述初始访问策略生成设备ID,并将所述设备ID存放在UDP报文中。具体的,在本实施例中,用户客户端根据自身硬件设备信息和控制器下发的虚拟IP,以及个人身份等信息,生成对应的设备ID,设备ID与用户客户端应当是一一对应的,且设备ID应当是唯一的,以便于区分不同的用户客户端。在进行端对端(客户端与服务端)的网络访问时,用户客户端将设备ID放入UDP的报文中。利用UDP来存放设备ID的方法为本领域技术人员所熟知的,此处不再赘述。
UDP(User Datagram Protocol,用户数据报协议)是OSI(Open SystemInterconnection,开放式系统互联)参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,它除了给应用程序发送数据包功能并允许它们在所需的层次上架构自己的协议之外,几乎没有做什么特别的事情。
S24,用户客户端和数据库记录用户客户端的此次访问日志,其中,t表示访问时刻,访问日志记录了在t时刻,用户客户端Vi对资源Sj进行网络协议和端口构成的p的访问。
具体的,在本实施例中,若用户客户端的此次访问为短连接,则采用单次记录;若用户客户端的此次访问为长连接,则每间隔一预设周期记录一次。可以根据访问时长来划分短连接和长连接,例如,设置访问时长阈值,当访问时长未超过访问时长阈值,则将该访问判定为短连接,否则为长连接。访问时长阈值的具体数值可以根据应用环境进行个性化设定,如设置半小时。如此,可以在一定程度上减少访问日志所产生的数据量,提高系统运行效率。
S25,汇总所述用户客户端的所有访问日志,并生成访问数据,其中,dpq表示用户客户端对第q个资源做出网络协议和端口构成p的访问,例如ICMP,UDP或TCP等类型,以及对应不同端口的组合;m表示可用于作限制策略的访问协议的种数,n表示可访问资源的个数。
具体的,在本实施例中,访问日志的内容具体可以包括多个访问数据,如访问时间、访问频率、设备ID、资源等,甚至还可以包括事务Tp。事务Tp表示该用户客户端使用协议p对访问资源的访问情况。
S26,利用所述访问数据形成访问项集
具体的,在本实施例中,itemk为访问项集Itemsetn中的第k项,其可以理解为可访问资源k。Itemsetn包含一个或多个item项,例如,包含k个项的集合表示为Itemsetk,即为包含k个访问资源的集合。
进一步的,在本实施例中,步骤S3,利用所述访问项集计算频繁项集和置信度的方法包括:
S31,给定最小支持度Supmin和最小置信度Confmin。最小支持度Supmin和最小置信度Confmin可以根据实际应用场景进行设定。
S32,采用连接步和剪枝步相互融合的方式,利用所述最小支持度Supmin和所述最小置信度Confmin从所述访问项集Itemsetn中找出频繁项集,并根据所述频繁项集/>获取与之对应的置信度/>
具体的,在本实施例中,首先,设定候选集,所述候选集包含一项itemk的所有集合,itemk为所述访问项集Itemsetn中的第k项。在本实施例中,itemk可以理解为用户客户端使用某个端口协议p访问资源q。
然后,对于给定的最小支持度Supmin,剔除所述候选集中所有小于所述最小支持度Supmin的集,以得到一项频繁项集/>
接着,频繁项集自身连接产生两项候选集/>。具体的,在本实施例中,采用简单的排列组合形式,考虑无序排列,频繁项集/>连接产生两项候选集/>。同样的,剔除所述候选集/>中所有小于所述最小支持度Supmin的集,以得到两项频繁项集
同时,计算频繁项集所对应的置信度集/>
具体的,在本实施例中,计算所述频繁项集中的访问事件A和访问事件B的置信度:
汇总所有所述置信度,以得到置信度集
其中,支持度表示同时包含访问事件A和访问事件B的事务占所有事务的比例,其计算方式为本领域技术人员所熟知的,此处不再赘述。
重复上述步骤,并得到最大频繁项集和其所对应的置信度集/>
之后,剔除置信度集中置信度小于所述最小置信度Confmin的项,以得到最大置信度/>。最大置信度/>是最大频繁项集/>中每个项集不同事务关联发生对应的置信度。
最后,保留所有中间频繁项集和与之对应的置信度/>
步骤S3的计算原理便是Apriori算法。在得到最大频繁项集和每个项集不同事务关联发生的对应置信度之后,则可以针对该用户的访问行为作判断和动态生成访问策略。
进一步的,在本实施例中,步骤S4,利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略的方法包括:
S41,利用所述访问数据获取用户客户端的异常度。
对于用户可访问策略(初始访问策略)来说,用户客户端的访问行为符合上述步骤S3中得到的最大频繁项集。在实际应用中,用户客户端对所有开放的策略资源有不同频率的访问,因此,在本实施例中,为了判断该用户的行为是否有异常,通过建立以下公式来衡量用户行为异常度:
其中,表示某用户客户端在t时间内的访问异常度;/>为在t时间内,某用户客户端对访问策略b的访问频率,其可以从访问数据中获得;/>表示用户客户端访问a项集后,访问b发生的概率,也是上述对应项集的置信度。
需要注意的是,由于项集a不一定是频繁项集,因此此处要记录从到/>的所有项集和置信度。
S42,将所述异常度与预设异常度阈值进行比较:若所述异常度/>大于所述预设异常度阈值/>,则判断用户存在异常行为,即可能对网络安全造成不利影响。
S43,当判断用户存在异常行为后,对所述初始访问策略进行自动调整,以得到最终的访问策略。
具体的,调整后的访问策略应当对其访问的资源进行限制,以实现对网络数据的防护。调整后的访问策略也可以预先设定,且设定了调整条件,当调整条件触发后,初始访问策略被替换为调整后的访问策略。访问策略的调整的实现方式可以是多种的,本领域技术人员可以根据实际情况进行选择,本申请仅以一种可实现的方式说明其可实施性,但本申请的保护范围不应当以此为限。
如图2所示,给出了本实施例提供的基于Apriori算法的用户行为异常检测的逻辑示意图。结合图2,对本申请提出的基于Apriori算法的用户行为异常检测方法原理进行简单说明。首先,搭建零信任网络;然后,记录用户访问行为,并生成访问日志;接着,针对某个用户计算频繁集/>和置信度/>;之后,利用异常度计算公式对用户接下来的行为进行异常度计算;然后将计算出来的异常度与预设异常度阈值进行比较,若所述异常度大于所述预设异常度阈值,则判断用户存在异常行为,系统自动调整该用户的访问策略,以实现对网络数据自动、高效地进行安全防护。
本实施例还提供一种基于Apriori算法的用户行为异常检测系统,如图3所示,所述用户行为异常检测系统包括:用户客户端,用户通过所述用户客户端进行访问;控制器,包括授权认证模块、策略生成模块和异常判断模块;所述授权认证模块用于对用户客户端进行授权认证以使用户客户端生成设备ID;所述策略生成模块用于获取所述用户客户端的访问数据,并根据所述访问数据生成访问策略;所述异常判断模块用于根据所述访问数据计算频繁项集和置信度,并判断用户是否存在异常行为;数据库,用于存储访问数据。
本实施例提供的基于Apriori算法的用户行为异常检测系统,通过控制器获取用户的访问数据,并利用用户的访问数据计算频繁项集和置信度,然后利用访问数据和置信度对用户的行为进行异常度计算,最后通过异常度判断用户的行为是否异常,若存在异常,则自动调整访问策略,从而能够及时、有效地判断用户的行为是否存在异常,并在存在异常时快速、准确地做出策略调整,提高了网络安全,解决了现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可,此外,各个实施例之间不同的部分也可互相组合使用,本发明对此不作限定。
本实施例提供的基于Apriori算法的用户行为异常检测方法及系统,包括:搭建零信任网络;记录用户的访问数据,并生成访问项集;利用所述访问项集计算频繁项集和置信度;利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。通过Apriori算法,利用用户的访问数据计算频繁项集和置信度,然后利用访问数据和置信度对用户的行为进行异常度计算,最后通过异常度判断用户的行为是否异常,若存在异常,则自动调整访问策略,从而能够及时、有效地判断用户的行为是否存在异常,并在存在异常时快速、准确地做出策略调整,提高了网络安全,解决了现有网络安全策略落后笨拙,无法满足当下网络安全防范需求的问题。
上述描述仅是对本发明较佳实施例的描述,并非对本发明范围的任何限定,本发明领域的普通技术人员根据上述揭示内容做的任何变更、修饰,均属于权利要求书的保护范围。

Claims (10)

1.一种基于Apriori算法的用户行为异常检测方法,其特征在于,包括:
搭建零信任网络;
记录用户的访问数据,并生成访问项集;
利用所述访问项集计算频繁项集和置信度;
利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略。
2.根据权利要求1所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述搭建零信任网络的方法包括:
搭建网络总体框架,包括控制器、数据库和用户客户端;
构建初始访问策略,表示用户客户端Vi对资源Sj进行网络协议和端口构成为p的访问策略。
3.根据权利要求2所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述记录用户的访问数据,并生成访问项集的方法包括:
用户客户端向控制器发起授权认证;
认证成功后,控制器下发初始访问策略
用户客户端根据所述初始访问策略生成设备ID,并将所述设备ID存放在UDP报文中;
用户客户端和数据库记录用户客户端的此次访问日志
汇总所述用户客户端的所有访问日志,并生成访问数据,其中,dpq表示用户客户端对第q个资源做出网络协议和端口构成p的访问,m表示可用于作限制策略的访问协议的种数,n表示可访问资源的个数;
利用所述访问数据形成访问项集
4.根据权利要求3所述的基于Apriori算法的用户行为异常检测方法,其特征在于,用户客户端和数据库记录用户客户端的此次访问日志的方法包括:
若用户客户端的此次访问为短连接,则采用单次记录;
若用户客户端的此次访问为长连接,则每间隔一预设周期记录一次。
5.根据权利要求3所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述利用所述访问项集计算频繁项集和置信度的方法包括:
给定最小支持度Supmin和最小置信度Confmin
采用连接步和剪枝步相互融合的方式,利用所述最小支持度Supmin和所述最小置信度Confmin从所述访问项集Itemsetn中找出频繁项集,并根据所述频繁项集/>获取与之对应的置信度/>
6.根据权利要求5所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述采用连接步和剪枝步相互融合的方式,利用所述最小支持度Supmin和所述最小置信度Confmin从所述访问项集Itemsetn中找出频繁项集,并根据所述频繁项集/>获取与之对应的置信度/>的方法包括:
设定候选集,所述候选集包含一项itemk的所有集合,itemk为所述访问项集Itemsetn中的第k项;
剔除所述候选集中所有小于所述最小支持度Supmin的集,以得到一项频繁项集
频繁项集自身连接产生两项候选集/>
剔除所述候选集中所有小于所述最小支持度Supmin的集,以得到两项频繁项集
计算频繁项集所对应的置信度集/>
重复上述步骤,并得到最大频繁项集和其所对应的置信度集/>
剔除置信度集中置信度小于所述最小置信度Confmin的项,以得到最大置信度/>
7.根据权利要求6所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述计算频繁项集所对应的置信度集/>的方法包括:
计算所述频繁项集中的访问事件A和访问事件B的置信度:
汇总所有所述置信度,以得到置信度集
8.根据权利要求5所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述利用所述访问数据和所述置信度判断用户是否存在异常行为,并动态生成访问策略的方法包括:
利用所述访问数据获取用户客户端的异常度;
将所述异常度与预设异常度阈值进行比较:若所述异常度大于所述预设异常度阈值,则判断用户存在异常行为;
当判断用户存在异常行为后,对所述初始访问策略进行自动调整,以得到最终的访问策略。
9.根据权利要求8所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述利用所述访问数据获取用户客户端的异常度的方法包括:
从所述访问数据中获取预设时间段t内,用户客户端访问策略b的访问频率P(b)t
利用访问频率P(b)t和置信度计算异常度:
其中,表示用户客户端访问a项集后,访问b发生的概率。
10.一种基于Apriori算法的用户行为异常检测系统,用于进行如权利要求1~9任一项所述的基于Apriori算法的用户行为异常检测方法,其特征在于,所述用户行为异常检测系统包括:
用户客户端,用户通过所述用户客户端进行访问;
控制器,包括授权认证模块、策略生成模块和异常判断模块;所述授权认证模块用于对用户客户端进行授权认证以使用户客户端生成设备ID;所述策略生成模块用于获取所述用户客户端的访问数据,并根据所述访问数据生成访问策略;所述异常判断模块用于根据所述访问数据计算频繁项集和置信度,并判断用户是否存在异常行为;
数据库,用于存储访问数据。
CN202311265290.8A 2023-09-28 2023-09-28 基于Apriori算法的用户行为异常检测方法及系统 Active CN117040923B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311265290.8A CN117040923B (zh) 2023-09-28 2023-09-28 基于Apriori算法的用户行为异常检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311265290.8A CN117040923B (zh) 2023-09-28 2023-09-28 基于Apriori算法的用户行为异常检测方法及系统

Publications (2)

Publication Number Publication Date
CN117040923A true CN117040923A (zh) 2023-11-10
CN117040923B CN117040923B (zh) 2024-03-19

Family

ID=88632029

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311265290.8A Active CN117040923B (zh) 2023-09-28 2023-09-28 基于Apriori算法的用户行为异常检测方法及系统

Country Status (1)

Country Link
CN (1) CN117040923B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017084205A1 (zh) * 2015-11-20 2017-05-26 同济大学 一种网络用户身份认证方法及系统
CN115189927A (zh) * 2022-06-24 2022-10-14 华北电力大学 一种基于零信任的电力网络安全防护方法
CN115859273A (zh) * 2022-12-08 2023-03-28 中国平安财产保险股份有限公司 一种数据库异常访问的检测方法、装置、设备及存储介质
US20230254318A1 (en) * 2021-10-13 2023-08-10 Zscaler, Inc. Generating zero-trust policy for application access based on sequence-based application segmentation

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017084205A1 (zh) * 2015-11-20 2017-05-26 同济大学 一种网络用户身份认证方法及系统
US20230254318A1 (en) * 2021-10-13 2023-08-10 Zscaler, Inc. Generating zero-trust policy for application access based on sequence-based application segmentation
CN115189927A (zh) * 2022-06-24 2022-10-14 华北电力大学 一种基于零信任的电力网络安全防护方法
CN115859273A (zh) * 2022-12-08 2023-03-28 中国平安财产保险股份有限公司 一种数据库异常访问的检测方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘明峰;侯路;郭顺森;韩然;: "基于改进Apriori的WiFi入侵检测模型研究", 沈阳航空航天大学学报, no. 02 *
孙瑞等: "基于多因素认证的零信任网络构建", 金陵科技学院学报, vol. 36, no. 1, pages 21 - 26 *

Also Published As

Publication number Publication date
CN117040923B (zh) 2024-03-19

Similar Documents

Publication Publication Date Title
US11669844B1 (en) Systems and methods for generation of alerts based on fraudulent network activity
US9979740B2 (en) Data surveillance system
CN107211016B (zh) 会话安全划分和应用程序剖析器
KR100825241B1 (ko) 이동식 지능형 데이터 캐리어를 통한 동적 데이터그램스위치, 및 온-디맨드 인증 및 암호화 방식에 의해가능해지는 퍼베이시브 사용자 중심 네트워크 보안
US20180375888A1 (en) Data Surveillance System with Contextual Information
US10523698B2 (en) Data surveillance system with patterns of centroid drift
EP3438905A1 (en) Systems and methods for estimating authenticity of local network of device initiating remote transaction
Vidalis et al. Assessing identity theft in the Internet of Things
US20230101686A1 (en) Model for identifying the most relevant person(s) for an event associated with a resource
Wang et al. Mining Network Traffic with the k‐Means Clustering Algorithm for Stepping‐Stone Intrusion Detection
Nair et al. Security attacks in internet of things
Kamarudin et al. Packet header intrusion detection with binary logistic regression approach in detecting R2L and U2R attacks
CN117040923B (zh) 基于Apriori算法的用户行为异常检测方法及系统
Jagannathan et al. Security breach prediction using Artificial Neural Networks
Venkatesh et al. Http botnet detection using hidden semi-markov model with snmp mib variables
CN112448916B (zh) 一种防止gan模型攻击并保护cdl训练信息的隐私防护方法
Hassan et al. A survey on sdn-based intrusion detection systems on the internet of thing: Concepts, issues, and blockchain applications
Akinola et al. Introduction to Cyber-security
CN117439816B (zh) 应用隐身方法、装置和计算机设备
Altamash et al. Reconnaissance of Credentials through Phishing Attacks & it’s Detection using Machine Learning
EP4099621A2 (en) Artificial intelligence cyber identity classification
US20240146747A1 (en) Methods and systems for multi-cloud breach detection using ensemble classification and deep anomaly detection
US20240126873A1 (en) Endpoint Threat Inoculation Computing System
US20230007036A1 (en) Cybersecurity system to manage security of a computing environment (ce)
US20240045957A1 (en) Utilizing machine learning to detect ransomware in code

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant