CN117294492A - 异常行为检测方法、装置、电子设备及存储介质 - Google Patents
异常行为检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117294492A CN117294492A CN202311230281.5A CN202311230281A CN117294492A CN 117294492 A CN117294492 A CN 117294492A CN 202311230281 A CN202311230281 A CN 202311230281A CN 117294492 A CN117294492 A CN 117294492A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- abnormal
- determining
- sub
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 68
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- 230000006399 behavior Effects 0.000 claims abstract description 61
- 238000000034 method Methods 0.000 claims abstract description 27
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims description 68
- 230000004044 response Effects 0.000 claims description 26
- 238000013507 mapping Methods 0.000 claims description 13
- 238000005065 mining Methods 0.000 claims description 11
- 238000007781 pre-processing Methods 0.000 claims description 6
- 230000000694 effects Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 238000011160 research Methods 0.000 description 4
- 238000007418 data mining Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 3
- 239000013598 vector Substances 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000010219 correlation analysis Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本公开提出了一种异常行为检测方法、装置、电子设备及存储介质,该方法包括:获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集;基于用户标识从频繁项集中获取对应的子频繁项集;基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识,以及基于设备地址和历史登录地址确定待检测用户的第二判断标识;基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为。通过从频繁项集和设备地址两个维度判断待检测用户是否存在异常行为,可以提升待检测用户登录行为管控的准确性,同时本公开中算法挖掘的频繁项集能兼顾对低频用户和高频用户的检测,可以扩大检测范围,提升用户的检测效果和用户体验。
Description
技术领域
本公开涉及安全技术领域,尤其涉及一种异常行为检测方法、装置、电子设备及存储介质。
背景技术
现有技术中,用户登录行为管控策略主要有两类,第一类是建立规则,限制用户的登录IP,频次等行为。第二类是使用数据挖掘算法用于挖掘关联规则,一般分为两种,第一种是建立已知异常行为特征库,当用户进行访问时,将用户的行为特征与异常行为库进行比对,若匹配则判断用户行为异常,进行用户拦截或者二次增强验证;第二种是建立用户正常行为的特征库,当用户进行访问时,将用户行为特征数据与特征库数据进行比对,当匹配时,判定为正常行为,当用户行为特征偏离正常行为特征超过设定阈值时,判断该用户行为为异常行为,进行用户拦截或者二次增强验证。
发明内容
本公开旨在至少在一定程度上解决相关技术中的技术问题之一。
为此,本公开的一个目的在于提出一种异常行为检测方法。
本公开的第二个目的在于提出一种异常行为检测装置。
本公开的第三个目的在于提出一种电子设备。
本公开的第四个目的在于提出一种非瞬时计算机可读存储介质。
本公开的第五个目的在于提出一种计算机程序产品。
为达上述目的,本公开第一方面实施方式提出了一种异常行为检测方法,包括:获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集;基于所述用户标识从所述频繁项集中获取对应的子频繁项集;基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,以及基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识;基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为。
根据本公开的一个实施方式,生成所述频繁项集,包括:获取所有用户的历史用户数据以及所述历史用户数据的数据量;针对任一用户,获取所述用户数据中的特征数据,以及基于所述数据量确定所述用户对应的最小支持度;基于所有用户的特征数据和最小支持度生成所述频繁项集。
根据本公开的一个实施方式,所述基于所有用户的特征数据和最小支持度生成所述频繁项集,包括:针对任一用户,基于所述特征数据生成所述用户的正常子规则库和异常子规则库;基于所述最小支持度,将所述正常子规则库更新至所述最小支持度对应的正常子频繁项集中,和/或将所述异常子规则库更新至所述最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成所述频繁项集。
根据本公开的一个实施方式,所述基于所述特征数据生成所述用户的正常子规则库和异常子规则库,包括:基于Apriori算法对所述特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则;基于所述关联规则生成所述正常子规则库和所述异常子规则库。
根据本公开的一个实施方式,所述基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,包括:基于所述行为数据与所述子频繁项集中所述用户对应的正常子规则库中的规则确定第一相似度,以及基于所述行为数据与所述子频繁项集中所述用户对应的异常子规则库中的规则确定第二相似度;基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识。
根据本公开的一个实施方式,所述基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识,包括:将所述第一相似度与第一相似度阈值进行比较,以及将所述第二相似度与第二相似度阈值进行比较;响应于所述第一相似度小于所述第一相似度阈值且所述第二相似度小于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一正常标识;或者,响应于所述第一相似度大于或者等于所述第一相似度阈值和/或所述第二相似度大于或者等于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一异常标识。
根据本公开的一个实施方式,所述基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识,包括:将所述设备地址和所述历史登录地址进行匹配;响应于所述历史登录地址中存在与所述设备地址中相同的地址,确定所述第二判断标识为第二正常标识;或者,响应于所述历史登录地址中不存在与所述设备地址中相同的地址,确定所述第二判断标识为第二异常标识。
根据本公开的一个实施方式,所述基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为,包括:响应于所述第一判断标识为第一正常标识且所述第二判断标识为第二正常标识,确定所述待检测用户不存在异常行为;或者,响应于所述第一判断标识为第一异常标识和/或所述第二判断标识为第二异常标识,确定所述待检测用户存在异常行为。
根据本公开的一个实施方式,所述获取所述用户数据中的特征数据,包括:对所述用户数据进行预处理,以生成候选用户数据;对所述候选用户数据进行特征提取,以获取所述用户数据中的特征数据。
根据本公开的一个实施方式,所述基于所述数据量确定所述用户对应的最小支持度,包括:获取数据量-最小支持度映射表,基于所述数据量在所述数据量-最小支持度映射表进行查表,以确定所述数据量对应的最小支持度。
为达上述目的,本公开第二方面实施例提出了一种异常行为检测装置,包括:获取模块,用于获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集;生成模块,用于基于所述用户标识从所述频繁项集中获取对应的子频繁项集;标记模块,用于基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,以及基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识;判断模块,用于基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为。
根据本公开的一个实施方式,所述生成模块,还用于:获取所有用户的历史用户数据以及所述历史用户数据的数据量;针对任一用户,获取所述用户数据中的特征数据,以及基于所述数据量确定所述用户对应的最小支持度;基于所有用户的特征数据和最小支持度生成所述频繁项集。
根据本公开的一个实施方式,所述生成模块,还用于:针对任一用户,基于所述特征数据生成所述用户的正常子规则库和异常子规则库;基于所述最小支持度,将所述正常子规则库更新至所述最小支持度对应的正常子频繁项集中,和/或将所述异常子规则库更新至所述最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成所述频繁项集。
根据本公开的一个实施方式,所述生成模块,还用于:基于Apriori算法对所述特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则;基于所述关联规则生成所述正常子规则库和所述异常子规则库。
根据本公开的一个实施方式,所述标记模块,还用于:基于所述行为数据与所述子频繁项集中所述用户对应的正常子规则库中的规则确定第一相似度,以及基于所述行为数据与所述子频繁项集中所述用户对应的异常子规则库中的规则确定第二相似度;基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识。
根据本公开的一个实施方式,所述标记模块,还用于:将所述第一相似度与第一相似度阈值进行比较,以及将所述第二相似度与第二相似度阈值进行比较;响应于所述第一相似度小于所述第一相似度阈值且所述第二相似度小于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一正常标识;或者,响应于所述第一相似度大于或者等于所述第一相似度阈值和/或所述第二相似度大于或者等于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一异常标识。
根据本公开的一个实施方式,所述标记模块,还用于:将所述设备地址和所述历史登录地址进行匹配;响应于所述历史登录地址中存在与所述设备地址中相同的地址,确定所述第二判断标识为第二正常标识;或者,响应于所述历史登录地址中不存在与所述设备地址中相同的地址,确定所述第二判断标识为第二异常标识。
根据本公开的一个实施方式,所述判断模块,还用于:响应于所述第一判断标识为第一正常标识且所述第二判断标识为第二正常标识,确定所述待检测用户不存在异常行为;或者,响应于所述第一判断标识为第一异常标识和/或所述第二判断标识为第二异常标识,确定所述待检测用户存在异常行为。
根据本公开的一个实施方式,所述生成模块,还用于:对所述用户数据进行预处理,以生成候选用户数据;对所述候选用户数据进行特征提取,以获取所述用户数据中的特征数据。
根据本公开的一个实施方式,所述生成模块,还用于:获取数据量-最小支持度映射表,基于所述数据量在所述数据量-最小支持度映射表进行查表,以确定所述数据量对应的最小支持度。
为达上述目的,本公开第三方面实施例提出了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以实现如本公开第一方面实施例所述的异常行为检测方法。
为达上述目的,本公开第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于实现如本公开第一方面实施例所述的异常行为检测方法。
为达上述目的,本公开第五方面实施例提出了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时用于实现如本公开第一方面实施例所述的异常行为检测方法。
由此,通过从频繁项集和设备地址两个维度判断待检测用户是否存在异常行为,可以提升待检测用户登录行为管控的准确性,同时本公开中算法挖掘的频繁项集能兼顾对低频用户和高频用户的检测,可以扩大检测范围,提升用户的检测效果和用户体验。
附图说明
图1是本公开一个实施方式的一种异常行为检测方法的示意图;
图2是本公开一个实施方式的另一种异常行为检测方法的示意图;
图3是本公开一个实施方式的另一种异常行为检测方法的示意图;
图4是本公开一个实施方式的一种异常行为检测装置的示意图;
图5是本公开一个实施方式的一种电子设备的示意图。
具体实施方式
下面详细描述本公开的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
本公开技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
图1为本公开提出的一种异常行为检测方法的一种示例性实施方式的示意图,如图1所示,该异常行为检测方法包括以下步骤:
S101,获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集,待检测用户包括高频用户和低频用户。
本申请实施例的异常行为检测方法可应用于用户在进行异地登录账号的场景中,本申请实施例的异常行为检测的执行主体可为本申请实施例的异常行为检测装置,该异常行为检测装置可以设置在电子设备上。
在本公开实施例中,待检测用户的用户标识、设备地址、行为数据和历史登录地址可为用户在登录时同时上传的。
用户标识为标识待检测用户的身份的数据,该用户标识可为多种,此处不作任何限定,举例来说,用户标识可为待检测用户的电话号码、身份证号码、登录账号等。
需要说明的是,行为数据可包括多种,此处不作任何限定。举例来说,行为数据可包括用户属性数据、时间属性数据、空间属性数据、用户属性数据、以及操作属性数据等,此处不作任何限定。具体地,用户属性数据、时间属性数据、空间属性数据、用户属性数据、以及操作属性数据中各可包含多种信息,此处不作任何限定。举例来说,可通过下表进行表示:
需要说明的是,频繁项集挖掘是数据挖掘研究课题中一个很重要的研究基础,它可以告诉我们在数据集中经常一起出现的变量,为可能的决策提供一些支持。频繁项集挖掘是关联规则、相关性分析、因果关系、序列项集、局部周期性、情节片段等许多重要数据挖掘任务的基础。因此,频繁项集有着很广泛的应用,例如:购物篮数据分析、网页预取、交叉购物、个性化网站、网络入侵检测等。,对频繁项集挖掘算法进行研究的方向大概可归纳为以下四个方面:一、在遍历方向上采取自底向上、自顶向下以及混合遍历的方式;二、在搜索策略上采取深度优先和宽度优先策略;三、在项集的产生上着眼于是否会产生候选项集;四、在数据库的布局上,从垂直和水平两个方向上考虑数据库的布局。对于不同的遍历方式,数据库的搜索策略和布局方式将会产生不同的方法,研究表明,没有什么挖掘算法能同时对所有的定义域和数据类型都优于其他的挖掘算法,也就是说,对于每一种相对较为优秀的算法,它都有它具体的适用场景和环境。
需要说明的是,本公开实施例中的频繁项集,同样可针对低频用户进行建立,以此可以扩大覆盖范围,提升用户检测的准确率和用户体验。
S102,基于用户标识从频繁项集中获取对应的子频繁项集。
需要说明的是,子频繁项集中包含有待检测用户的判断规则,用以判断待检测用户的行为数据是否为正常行为下产生的。可以理解的是,不同的用户对应的判断规则可为不同,此处不作任何限定。
在本公开实施例中,频繁项集可包括多个子频繁项集,每个用户可对应包含且只能对应包含一个子频繁项集。子频繁项集中可包含判断用户行为的规则,需要说明的是,子频繁项集还可再进行细分为多个频繁项集,此处不作任何限定,例如子频繁项集还可再进行细分为正常子频繁项集和异常子频繁项集等。
需要说明的是,每个子频繁项集可设有区别标识,该区别标识与用户标识一一对应,以方便快速查询到与用户标识匹配的频繁项集。
S103,基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识,以及基于设备地址和历史登录地址确定待检测用户的第二判断标识。
在本公开实施例中,基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识的方法可为多种,此处不作任何限定。
可选地,可通过将用户行为数据和子频繁项集中的数据输入至第一判断标识生成模型中,以获取第一判断标识。该第一判断标识生成模型可为提前训练好的,并存储在电子设备的存储空间中,以方便在需要时调取使用。
可选地,还可基于预设算法对用户行为数据和子频繁项集中的数据进行运算,以生成第一判断标识。该预设算法为提前设计好的,并可根据实际的设计需要进行变更,此处不作任何限定。
在本公开实施例中,基于设备地址和历史登录地址确定待检测用户的第二判断标识的方法可为多种,此处不作任何限定。
可选地,可通过将基于设备地址和历史登录地址进行匹配,并基于匹配结果确定第二判断标识。
可选地,可通过将设备地址和历史登录地址输入至第二判断标识生成模型中,以获取第二判断标识。该第二判断标识生成模型可为提前训练好的,并存储在电子设备的存储空间中,以方便在需要时调取使用。
S104,基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为。
在本公开实施例中,基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为的方法可为多种,在一种可能实现的方式中,可通过预设的规则对第一判断标识和第二判断标识进行判断,确定用户是否存在异常行为。该判断规则为提前设定好的,并可根据实际的设计需要进行变更,此处不作任何限定。
在本公开实施例中,首先获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集,然后基于用户标识从频繁项集中获取对应的子频繁项集,而后基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识,以及基于设备地址和历史登录地址确定待检测用户的第二判断标识,最后基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为。由此,通过从频繁项集和设备地址两个维度判断待检测用户是否存在异常行为,可以提升待检测用户登录行为管控的准确性,同时本公开中算法挖掘的频繁项集能兼顾对低频用户和高频用户的检测,可以扩大检测范围,提升用户的检测效果和用户体验。
上述实施例中,生成频繁项集,还可通过图2进一步解释,该方法包括:
S201,获取所有用户的历史用户数据以及历史用户数据的数据量。
在本公开实施例中,获取所有用户的历史用户数据的方法可为多种,此处不作任何限定。举例来说,可通过调用服务器中的用户操作数据进行获取,还可通过用户上传的历史操作数据进行获取。
在本公开实施例中,历史用户数据的数据量可为多种,举例来说,可为用户每次进行一个独立操作的数据量,也可为用户针对单独一个系统操作的数据量。
S202,针对任一用户,获取用户数据中的特征数据,以及基于数据量确定用户对应的最小支持度。
在本公开实施例中,可对用户数据进行预处理,以生成候选用户数据,然后对候选用户数据进行特征提取,以获取用户数据中的特征数据。
需要说明的是,对用户数据进行预处理的方法可为多种,此处不作任何限定。举例来说,可对用户数据进行数据集成、数据清理、数据转换以及数据简化处理,根据样本缺失程度,判断样本是否删除;通过样本属性值的分布情况,判断属性值是否存在异常,对异常数据作插补、替换、删除等处理。
在本公开实施例中,基于数据量确定用户对应的最小支持度可通过获取数据量-最小支持度映射表,基于数据量在数据量-最小支持度映射表进行查表,以确定数据量对应的最小支持度。该数据量-最小支持度映射表可如下表所示:
S203,基于所有用户的特征数据和最小支持度生成频繁项集。
在本公开实施例中,针对任一用户,可首先基于特征数据生成用户的正常子规则库和异常子规则库,然后基于最小支持度,将正常子规则库更新至最小支持度对应的正常子频繁项集中,和/或将异常子规则库更新至最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成频繁项集。
需要说明的是,基于特征数据生成用户的正常子规则库和异常子规则库,可首先基于Apriori算法对特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则,然后基于关联规则生成正常子规则库和异常子规则库。
在本公开实施例中,首先获取所有用户的历史用户数据以及历史用户数据的数据量,然后针对任一用户,获取用户数据中的特征数据,以及基于数据量确定用户对应的最小支持度,最后基于所有用户的特征数据和最小支持度生成频繁项集。由此,通过获取使用用户数据和历史用户数据的数据量,确定最小支持度,以此可以适配于低频用户,提升最终生成的频繁项集的实用性和最终检测用户行为的准确性。
在本公开实施例中,对于每个子频繁项集,可以启用多个进程并行计算,每个进程可配置多个线程,能快速计算出高频用户及低频用户的频繁项集,解决用户量大时原始Apriori算法计算面对大用户数量时计算较慢的问题。理论上只要硬件支持,就可不断增加进程与线程数量,加快计算速度。举例来说,最高数量可设置为该库表的用户数量,例如10-100万条数据/线程。
上述实施例中,基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识,还可通过图3进一步解释,该方法包括:
S301,基于行为数据与子频繁项集中用户对应的正常子规则库中的规则确定第一相似度,以及基于行为数据与子频繁项集中用户对应的异常子规则库中的规则确定第二相似度。
在本公开实施例中,可通过将行为数据、子频繁项集中用户对应的正常子规则库中的规则、子频繁项集中用户对应的异常子规则库中的规则分别生成向量,并通过计算向量之间的向量距离,确定第一相似度和第二相似度。第一相似度和第二相似度越大,则说明二者之间的越不相似,第一相似度和第二相似度越小,则说明二者之间的越相似。
S302,基于第一相似度和第二相似度,确定待检测用户的第一判断标识。
在本公开实施例中,可通过将第一相似度与第一相似度阈值进行比较,以及将第二相似度与第二相似度阈值进行比较,响应于第一相似度小于第一相似度阈值且第二相似度小于第二相似度阈值,确定待检测用户的第一判断标识为第一正常标识。
需要说明的是,第一相似度阈值和第二相似度阈值为提前设定好的,并可根据实际的设计需要进行变更,此处不作任何限定。
在本公开实施例中,首先基于行为数据与子频繁项集中用户对应的正常子规则库中的规则确定第一相似度,以及基于行为数据与子频繁项集中用户对应的异常子规则库中的规则确定第二相似度,然后基于第一相似度和第二相似度,确定待检测用户的第一判断标识。由此,通过将待检测用户的行为数据分别与正常子规则库中的规则和异常子规则库中的规则进行相似度计算,可以快速准确的确定第一判断标识,为后续的判断用户的行为提供数据基础。
在本公开实施例中,基于设备地址和历史登录地址确定待检测用户的第二判断标识,可首先将设备地址和历史登录地址进行匹配,响应于历史登录地址中存在与设备地址中相同的地址,确定第二判断标识为第二正常标识,响应于历史登录地址中不存在与设备地址中相同的地址,确定第二判断标识为第二异常标识。
上述实施例中,基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为,可通过预设的判断规则进行确定。在一种可能实现的方式中,响应于第一判断标识为第一正常标识且第二判断标识为第二正常标识,确定待检测用户不存在异常行为。响应于第一判断标识为第一异常标识和/或第二判断标识为第二异常标识,确定待检测用户存在异常行为。
与上述几种实施例提供的异常行为检测方法相对应,本公开的一个实施例还提供了一种异常行为检测装置,由于本公开实施例提供的异常行为检测装置与上述几种实施例提供的异常行为检测方法相对应,因此上述异常行为检测方法的实施方式也适用于本公开实施例提供的异常行为检测装置,在下述实施例中不再详细描述。
图4为本公开提出的一种异常行为检测装置的示意图,如图4所示,该异常行为检测装置400,包括:获取模块410、生成模块420、标记模块430和判断模块440。
其中,获取模块410,用于获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集,待检测用户包括高频用户和低频用户。
生成模块420,用于基于用户标识从频繁项集中获取对应的子频繁项集。
标记模块430,用于基于用户行为数据和子频繁项集中的数据确定待检测用户的第一判断标识,以及基于设备地址和历史登录地址确定待检测用户的第二判断标识。
判断模块440,用于基于第一判断标识和第二判断标识确定待检测用户是否存在异常行为。
在本公开的一个实施例中,生成模块420,还用于:获取所有用户的历史用户数据以及历史用户数据的数据量;针对任一用户,获取用户数据中的特征数据,以及基于数据量确定用户对应的最小支持度;基于所有用户的特征数据和最小支持度生成频繁项集。
在本公开的一个实施例中,生成模块420,还用于:针对任一用户,基于特征数据生成用户的正常子规则库和异常子规则库;基于最小支持度,将正常子规则库更新至最小支持度对应的正常子频繁项集中,和/或将异常子规则库更新至最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成频繁项集。
在本公开的一个实施例中,生成模块420,还用于:基于Apriori算法对特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则;基于关联规则生成正常子规则库和异常子规则库。
在本公开的一个实施例中,标记模块430,还用于:基于行为数据与子频繁项集中用户对应的正常子规则库中的规则确定第一相似度,以及基于行为数据与子频繁项集中用户对应的异常子规则库中的规则确定第二相似度;基于第一相似度和第二相似度,确定待检测用户的第一判断标识。
在本公开的一个实施例中,标记模块430,还用于:将第一相似度与第一相似度阈值进行比较,以及将第二相似度与第二相似度阈值进行比较;响应于第一相似度小于第一相似度阈值且第二相似度小于第二相似度阈值,确定待检测用户的第一判断标识为第一正常标识;或者,响应于第一相似度大于或者等于第一相似度阈值和/或第二相似度大于或者等于第二相似度阈值,确定待检测用户的第一判断标识为第一异常标识。
在本公开的一个实施例中,标记模块430,还用于:将设备地址和历史登录地址进行匹配;响应于历史登录地址中存在与设备地址中相同的地址,确定第二判断标识为第二正常标识;或者,响应于历史登录地址中不存在与设备地址中相同的地址,确定第二判断标识为第二异常标识。
在本公开的一个实施例中,判断模块440,还用于:响应于第一判断标识为第一正常标识且第二判断标识为第二正常标识,确定待检测用户不存在异常行为;或者,响应于第一判断标识为第一异常标识和/或第二判断标识为第二异常标识,确定待检测用户存在异常行为。
在本公开的一个实施例中,生成模块420,还用于:对用户数据进行预处理,以生成候选用户数据;对候选用户数据进行特征提取,以获取用户数据中的特征数据。
在本公开的一个实施例中,生成模块420,还用于:获取数据量-最小支持度映射表,基于数据量在数据量-最小支持度映射表进行查表,以确定数据量对应的最小支持度。
由此,通过从频繁项集和设备地址两个维度判断待检测用户是否存在异常行为,可以提升待检测用户登录行为管控的准确性,同时本公开中算法挖掘的频繁项集能兼顾对低频用户和高频用户的检测,可以扩大检测范围,提升用户的检测效果和用户体验。
为了实现上述实施例,本公开实施例还提出一种电子设备500,如图5所示,该电子设备500包括:处理器501和处理器通信连接的存储器502,存储器502存储有可被至少一个处理器执行的指令,指令被至少一个处理器501执行,以实现如本公开第一方面实施例的异常行为检测方法。
为了实现上述实施例,本公开实施例还提出一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机实现如本公开第一方面实施例的异常行为检测方法。
为了实现上述实施例,本公开实施例还提出一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如本公开第一方面实施例的异常行为检测方法。
在本公开的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本公开和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本公开的限制。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本公开的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管上面已经示出和描述了本公开的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本公开的限制,本领域的普通技术人员在本公开的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (22)
1.一种异常行为检测方法,其特征在于,包括:
获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集,所述待检测用户包括高频用户和低频用户;
基于所述用户标识从所述频繁项集中获取对应的子频繁项集;
基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,以及基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识;
基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为。
2.根据权利要求1所述的方法,其特征在于,生成所述频繁项集,包括:
获取所有用户的历史用户数据以及所述历史用户数据的数据量;
针对任一用户,获取所述用户数据中的特征数据,以及基于所述数据量确定所述用户对应的最小支持度;
基于所有用户的特征数据和最小支持度生成所述频繁项集。
3.根据权利要求2所述的方法,其特征在于,所述基于所有用户的特征数据和最小支持度生成所述频繁项集,包括:
针对任一用户,基于所述特征数据生成所述用户的正常子规则库和异常子规则库;
基于所述最小支持度,将所述正常子规则库更新至所述最小支持度对应的正常子频繁项集中,和/或将所述异常子规则库更新至所述最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成所述频繁项集。
4.根据权利要求3所述的方法,其特征在于,所述基于所述特征数据生成所述用户的正常子规则库和异常子规则库,包括:
基于Apriori算法对所述特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则;
基于所述关联规则生成所述正常子规则库和所述异常子规则库。
5.根据权利要求4所述的方法,其特征在于,所述基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,包括:
基于所述行为数据与所述子频繁项集中所述用户对应的正常子规则库中的规则确定第一相似度,以及基于所述行为数据与所述子频繁项集中所述用户对应的异常子规则库中的规则确定第二相似度;
基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识。
6.根据权利要求5所述的方法,其特征在于,所述基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识,包括:
将所述第一相似度与第一相似度阈值进行比较,以及将所述第二相似度与第二相似度阈值进行比较;
响应于所述第一相似度小于所述第一相似度阈值且所述第二相似度小于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一正常标识;或者,
响应于所述第一相似度大于或者等于所述第一相似度阈值和/或所述第二相似度大于或者等于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一异常标识。
7.根据权利要求1所述的方法,其特征在于,所述基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识,包括:
将所述设备地址和所述历史登录地址进行匹配;
响应于所述历史登录地址中存在与所述设备地址中相同的地址,确定所述第二判断标识为第二正常标识;或者,
响应于所述历史登录地址中不存在与所述设备地址中相同的地址,确定所述第二判断标识为第二异常标识。
8.根据权利要求1-7中任一项所述的方法,其特征在于,所述基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为,包括:
响应于所述第一判断标识为第一正常标识且所述第二判断标识为第二正常标识,确定所述待检测用户不存在异常行为;或者,
响应于所述第一判断标识为第一异常标识和/或所述第二判断标识为第二异常标识,确定所述待检测用户存在异常行为。
9.根据权利要求2所述的方法,其特征在于,所述获取所述用户数据中的特征数据,包括:
对所述用户数据进行预处理,以生成候选用户数据;
对所述候选用户数据进行特征提取,以获取所述用户数据中的特征数据。
10.根据权利要求2所述的方法,其特征在于,所述基于所述数据量确定所述用户对应的最小支持度,包括:
获取数据量-最小支持度映射表,基于所述数据量在所述数据量-最小支持度映射表进行查表,以确定所述数据量对应的最小支持度。
11.一种异常行为检测装置,其特征在于,包括:
获取模块,用于获取待检测用户的用户标识、设备地址、行为数据和历史登录地址,并获取频繁项集;
生成模块,用于基于所述用户标识从所述频繁项集中获取对应的子频繁项集;
标记模块,用于基于所述用户行为数据和所述子频繁项集中的数据确定待检测用户的第一判断标识,以及基于所述设备地址和所述历史登录地址确定待检测用户的第二判断标识;
判断模块,用于基于所述第一判断标识和所述第二判断标识确定所述待检测用户是否存在异常行为。
12.根据权利要求11所述的装置,其特征在于,所述生成模块,还用于:
获取所有用户的历史用户数据以及所述历史用户数据的数据量;
针对任一用户,获取所述用户数据中的特征数据,以及基于所述数据量确定所述用户对应的最小支持度;
基于所有用户的特征数据和最小支持度生成所述频繁项集。
13.根据权利要求12所述的装置,其特征在于,所述生成模块,还用于:
针对任一用户,基于所述特征数据生成所述用户的正常子规则库和异常子规则库;
基于所述最小支持度,将所述正常子规则库更新至所述最小支持度对应的正常子频繁项集中,和/或将所述异常子规则库更新至所述最小支持度对应的异常子频繁项集中,直至所有用户的用户数据更新完成,生成所述频繁项集。
14.根据权利要求13所述的装置,其特征在于,所述生成模块,还用于:
基于Apriori算法对所述特征数据中的正常数据和异常数据进行频繁模式挖掘,以产生关联规则;
基于所述关联规则生成所述正常子规则库和所述异常子规则库。
15.根据权利要求14所述的装置,其特征在于,所述标记模块,还用于:
基于所述行为数据与所述子频繁项集中所述用户对应的正常子规则库中的规则确定第一相似度,以及基于所述行为数据与所述子频繁项集中所述用户对应的异常子规则库中的规则确定第二相似度;
基于所述第一相似度和所述第二相似度,确定所述待检测用户的第一判断标识。
16.根据权利要求15所述的装置,其特征在于,所述标记模块,还用于:
将所述第一相似度与第一相似度阈值进行比较,以及将所述第二相似度与第二相似度阈值进行比较;
响应于所述第一相似度小于所述第一相似度阈值且所述第二相似度小于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一正常标识;或者,
响应于所述第一相似度大于或者等于所述第一相似度阈值和/或所述第二相似度大于或者等于所述第二相似度阈值,确定所述待检测用户的第一判断标识为第一异常标识。
17.根据权利要求11所述的装置,其特征在于,所述标记模块,还用于:
将所述设备地址和所述历史登录地址进行匹配;
响应于所述历史登录地址中存在与所述设备地址中相同的地址,确定所述第二判断标识为第二正常标识;或者,
响应于所述历史登录地址中不存在与所述设备地址中相同的地址,确定所述第二判断标识为第二异常标识。
18.根据权利要求11-17中任一项所述的装置,其特征在于,所述判断模块,还用于:
响应于所述第一判断标识为第一正常标识且所述第二判断标识为第二正常标识,确定所述待检测用户不存在异常行为;或者,
响应于所述第一判断标识为第一异常标识和/或所述第二判断标识为第二异常标识,确定所述待检测用户存在异常行为。
19.根据权利要求12所述的装置,其特征在于,所述生成模块,还用于:
对所述用户数据进行预处理,以生成候选用户数据;
对所述候选用户数据进行特征提取,以获取所述用户数据中的特征数据。
20.根据权利要求12所述的装置,其特征在于,所述生成模块,还用于:
获取数据量-最小支持度映射表,基于所述数据量在所述数据量-最小支持度映射表进行查表,以确定所述数据量对应的最小支持度。
21.一种电子设备,其特征在于,包括存储器、处理器;
其中,所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于实现如权利要求1-10中任一项所述的方法。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-10中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311230281.5A CN117294492A (zh) | 2023-09-21 | 2023-09-21 | 异常行为检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311230281.5A CN117294492A (zh) | 2023-09-21 | 2023-09-21 | 异常行为检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117294492A true CN117294492A (zh) | 2023-12-26 |
Family
ID=89256478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311230281.5A Pending CN117294492A (zh) | 2023-09-21 | 2023-09-21 | 异常行为检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117294492A (zh) |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111400357A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种识别异常登录的方法和装置 |
CN112583768A (zh) * | 2019-09-30 | 2021-03-30 | 北京国双科技有限公司 | 一种用户异常行为检测方法及装置 |
CN112966259A (zh) * | 2021-03-03 | 2021-06-15 | 北京科东电力控制系统有限责任公司 | 电力监控系统运维行为安全威胁评估方法及设备 |
US11055405B1 (en) * | 2019-04-30 | 2021-07-06 | Splunk Inc. | Anomaly event detection using frequent patterns |
CN113806523A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种基于分类的异常检测方法和系统 |
CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
CN114969084A (zh) * | 2021-02-25 | 2022-08-30 | 中国移动通信集团江苏有限公司 | 异常操作行为检测方法、装置、电子设备及存储介质 |
CN115208938A (zh) * | 2022-07-06 | 2022-10-18 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
CN115618341A (zh) * | 2022-11-10 | 2023-01-17 | 北京安信天行科技有限公司 | 一种基于大数据的数据库用户行为的分析方法及系统 |
-
2023
- 2023-09-21 CN CN202311230281.5A patent/CN117294492A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11055405B1 (en) * | 2019-04-30 | 2021-07-06 | Splunk Inc. | Anomaly event detection using frequent patterns |
CN112583768A (zh) * | 2019-09-30 | 2021-03-30 | 北京国双科技有限公司 | 一种用户异常行为检测方法及装置 |
CN111400357A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种识别异常登录的方法和装置 |
CN113806523A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种基于分类的异常检测方法和系统 |
CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
CN114969084A (zh) * | 2021-02-25 | 2022-08-30 | 中国移动通信集团江苏有限公司 | 异常操作行为检测方法、装置、电子设备及存储介质 |
CN112966259A (zh) * | 2021-03-03 | 2021-06-15 | 北京科东电力控制系统有限责任公司 | 电力监控系统运维行为安全威胁评估方法及设备 |
CN115208938A (zh) * | 2022-07-06 | 2022-10-18 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
CN115618341A (zh) * | 2022-11-10 | 2023-01-17 | 北京安信天行科技有限公司 | 一种基于大数据的数据库用户行为的分析方法及系统 |
Non-Patent Citations (1)
Title |
---|
姬炳帅等: "面向电子商务的用户异常行为检测研究", 信息网络安全, no. 09, 30 September 2014 (2014-09-30), pages 1 - 3 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2018063694A (ja) | Webページの悪意のある要素を検出するシステム及び方法 | |
CN107508809B (zh) | 识别网址类型的方法及装置 | |
CN109495479B (zh) | 一种用户异常行为识别方法及装置 | |
KR102111192B1 (ko) | 신분 정보 검증을 위한 방법 및 장치 | |
CN104520871A (zh) | 漏洞矢量信息分析 | |
Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
CN116126945B (zh) | 基于数据分析的传感器运行状态分析方法和系统 | |
US20180227263A1 (en) | System and method for providing services | |
CN110392046B (zh) | 网络访问的异常检测方法和装置 | |
CN108234426B (zh) | Apt攻击告警方法和apt攻击告警装置 | |
CN112989157A (zh) | 一种检测爬虫请求的方法和装置 | |
CN105812353A (zh) | 终端识别方法和装置 | |
JP2023012311A (ja) | 情報処理装置、情報処理方法及びプログラム | |
CN111683089B (zh) | 一种识别钓鱼网站的方法、服务器、介质及计算机设备 | |
CN117294492A (zh) | 异常行为检测方法、装置、电子设备及存储介质 | |
CN115859305B (zh) | 一种基于知识图谱的工控安全态势感知方法及系统 | |
CN115208938B (zh) | 用户行为管控方法及装置、计算机可读存储介质 | |
CN116318974A (zh) | 站点风险识别方法、装置、计算机可读介质及电子设备 | |
CN111694969B (zh) | 一种用户身份识别方法及装置 | |
CN112822200A (zh) | 一种物联网数据安全防护方法、装置及服务器 | |
CN112561412B (zh) | 目标对象标识的确定方法、装置、服务器及存储介质 | |
CN115496120A (zh) | 物联网设备异常检测方法、装置、设备及存储介质 | |
CN116663338B (zh) | 一种基于相似算例的仿真分析方法、装置、设备及介质 | |
CN112463783A (zh) | 索引数据监控方法、装置、计算机设备和存储介质 | |
Hemavathy et al. | Performance validation of clustering algorithms using selection of attributes and application of filters in terms of data reduction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |