使用用户操作生成模型检测异常用户行为的方法和系统技术方案

本发明专利技术涉及一种使用用户操作生成模型检测异常用户行为的方法和系统。公开了一种用于检测用户的异常行为的方法。处理器从用户活动日志中标识用户在第一时段内执行的与针对所述用户的一个或多个角色所关联的任务的用户活动模式相匹配的第一数量的操作。处理器还从所述用户活动日志中标识所述用户在第二时段内执行的与所述用户活动模式相匹配的第二数量的操作。处理器计算所述第一数量的操作与所述第二数量的操作之间的偏差量，所述偏差标识在所述一个或多个角色中花费的时间量之间的差异。处理器然后判定所述第一数量的操作与所述第二数量的操作之间的所述偏差量是否超出异常行为阈值。

【技术实现步骤摘要】
使用用户操作生成模型检测异常用户行为的方法和系统
本公开一般地涉及改进的数据处理系统，具体地说，涉及处理与用户行为相关的信息。更具体地说，本公开涉及用于检测用户的异常行为的方法和装置。
技术介绍
当今，针对计算资源具有许多类型的攻击。执行这些攻击的计算机用户可以包括访问者、客户、工作者和其它类型的计算机用户。此外，恶意软件和其它类型的计算机程序可以针对计算资源执行这些攻击。例如，恶意软件可以控制用户凭证以便针对用户有权访问的计算资源执行攻击。在检测这些攻击的上下文中，标识用户行为何时指示攻击是所感兴趣的。 用于标识攻击的当前方法将被监视行为与可疑行为模式相匹配。这些当前方法将被监视行为与已知用于标识攻击的固定规则和统计信息相匹配。例如，标识成功之前的多次失败登录尝试指示密码猜测攻击。因为当前方法被限制为标识已知攻击模式，它们无法检测与已知模式不符的攻击。 还存在当前统计方法，其用于基于检测与用户操作频率标准的偏差来检测可疑行为。例如，用于检测可疑行为的统计方法可能包括基于将下载频率比从在线库下载文档的标准频率多5倍的计算机用户标识为可能攻击，生成警报。这些本文档来自技高网...

【技术保护点】
一种用于检测用户的异常行为的方法，所述方法包括：一个或多个处理器从用户活动日志中标识用户在第一时段内执行的与针对所述用户的一个或多个角色所关联的任务的用户活动模式相匹配的第一数量的操作；一个或多个处理器从所述用户活动日志中标识所述用户在第二时段内执行的与所述用户活动模式相匹配的第二数量的操作；一个或多个处理器计算所述第一数量的操作与所述第二数量的操作之间的偏差量，其中所述偏差标识在所述一个或多个角色中花费的时间量之间的差异；以及一个或多个处理器判定所述第一数量的操作与所述第二数量的操作之间的所述偏差量是否超出异常行为阈值。

【技术特征摘要】
2013.08.27 US 14/011,2131.一种用于检测用户的异常行为的方法，所述方法包括: 一个或多个处理器从用户活动日志中标识用户在第一时段内执行的与针对所述用户的一个或多个角色所关联的任务的用户活动模式相匹配的第一数量的操作； 一个或多个处理器从所述用户活动日志中标识所述用户在第二时段内执行的与所述用户活动模式相匹配的第二数量的操作； 一个或多个处理器计算所述第一数量的操作与所述第二数量的操作之间的偏差量，其中所述偏差标识在所述一个或多个角色中花费的时间量之间的差异；以及 一个或多个处理器判定所述第一数量的操作与所述第二数量的操作之间的所述偏差量是否超出异常行为阈值。2.根据权利要求1的方法，其中基于所述用户在针对确定所述用户的所述角色而选择的时段内的操作，从所述用户活动日志中生成所述用户的所述一个或多个角色。3.根据权利要求1的方法，其中在一个或多个资源上执行所述第一数量的操作和所述第二数量的操作中的一个或多个操作，并且其中部分地标识用于在资源上执行所述一个或多个操作的所述一个或多个角色。4.根据权利要求1的方法，其中所述异常行为阈值是以下项之一:一个所述用户的异常行为阈值、一个所述用户在所述一个或多个角色中的异常行为阈值、多个所述用户的异常行为阈值，以及多个所述用户在所述一个或多个角色中的异常行为阈值。5.根据权利要求1的方法，还包括: 响应于确定所述第一数量的操作与所述第二数量的操作之间的所述偏差量超出所述异常行为阈值，一个或多个处理器生成警报。6.根据权利要求1的方法，其中所述用户活动模式是第一模式，所述偏差量是第一偏差，并且还包括: 一个或多个处理器从所述用户活动日志中标识所述用户在所述第一时段内执行的与第二用户活动模式相匹配的第三数量的操作； 一个或多个处理器从所述用户活动日志中标识所述用户在所述第二时段内执行的与所述第二用户活动模式相匹配的第四数量的操作； 一个或多个处理器计算所述第一和第三数量的操作与所述第二和第四数量的操作之间的第二偏差量，其中所述第二偏差量是所述用户在所述第一时段和所述第二时段内的角色中花费的时间之间的差异；以及 一个或多个处理器判定所述第二偏差量是否超出所述异常行为阈值。7.根据权利要求6的方法，其中所述第一和第三用户活动模式用于与所述用户的第一角色关联的任务，并且所述第二和第四用户活动模式用于与所述用户的不同于所述第一角色的第二角色关联的另一个任务。8.根据权利要求6的方法，其中一个或多个处理器计算所述第一和第三数量的操作与所述第二和第四数量的操作之间的第二偏差量包括: 标识所述用户执行所述第一数量的操作花费的第一时间量、所述用户执行所述第二数量的操作花费的第二时间量、所述用户执行所述第三数量的操作花费的第三时间量，以及所述用户执行所述第四数量的操作花费的第四时间量； 标识所述用户在所述第一时段内的所述第一时间量和所述第三时间量之间花费的第一时间比； 标识所述用户在所述第二时段内的所述第二时间量和所述第四时间量之间花费的第二时间比；以及 其中一个或多个处理器计算所述第一和第三数量的操作与所述第二和第四数量的操作之间的第二偏差量的步骤包括通过将所述用户花费的所述第一时间比与所述用户花费的所述第二时间比相比较来计算所述第二偏差量，其中所述第二偏差量是所述用户在所述第一时段和所述第二时段之间的角色中花费的时间比的差异。9.根据权利要求2的方法，其中生成所述一个或多个角色进一步包括使用角色挖掘方法来标识所述一个或多个角色。10.根据权利要求9的方法，其中从以下项中的一个或多个来选择所述角色挖掘方法:离散和概率角色挖掘、单集群和多集群算法，以及从隐含狄利克雷分配和隐藏主题...

【专利技术属性】
技术研发人员：S·N·沙里，I·M·莫洛伊，朴瑛姿，W·泰肯，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：美国;US