一种基于用户行为分析的异常行为检测方法技术
An anomaly behavior detection method based on user behavior analysis
A method of analysis of user behavior based on the detection of abnormal behavior by feedback sliding time window real-time acquisition of user behavior data regulation, and through the construction of multi angle and multi angle behavior base on user behavior analysis data analysis model, and the results of data analysis group and the set of acceptable confidence values by comparative analysis, and can adjust the feedback time window of data acquisition according to the analysis results of the parameters and update behavior library, thus obtained the comprehensive analysis and accurate judgment, can improve the detection accuracy of the premise, through the analysis of the complexity of the calculation is as small as possible to obtain the user behavior.
【技术实现步骤摘要】
一种基于用户行为分析的异常行为检测方法
本专利技术涉及信息
,特别涉及一种基于用户的行为分析的检测异常行为的方法。
技术介绍
随着互联网用户的数量增长和类型的多样性,对用户行为进行分析以追踪潜在的问题或检测出恶意用户、恶意行为等也逐渐变得越来越难,尤其是海量的用户数据对用户分析处理的效率提出了更高的要求,使得传统的用户数据存储和分析方法己经不能胜任了。随着大数据时代的来临,大数据分析也应运而生。大数据分析是指对规模巨大的数据进行分析。大数据分析基于数据可视化可以直观的展示数据,基于数据挖掘可让我们深入数据内部去挖掘价值。用户恶意行为在不断的演化和变异,而且随着网络流量越来越大,隐藏在大量正常网络流量中的网络恶意行为越来越难以发现。机器学习技术被认为是海量恶意行为自动分析的重要方法,但是现有机器学习模型的退化问题比较严重。同时,随着数据量的增加,统计分析的计算复杂度越来越高,基于可信度的恶意行为检测方法的效率问题越来越突出。因此需要一种能够处理海量数据,实时吸收新发现的知识,根据检测分析模型实时高速分析和检测恶意行为的方法。在实际场景中,用户希望系统能够在短时...
【技术保护点】
一种基于用户行为分析的异常行为检测方法,其特征在于,该方法包括如下步骤;第一步,设定初始的用于用户行为数据采集的时间滑动窗口参数,并基于该设定的时间滑动窗口参数对用户行为数据进行实时采集,通过多维数组来表示该用户行为数据;第二步,构建标准用户行为样本库,包括标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库;其中标准恶意用户行为样本库中保存有多条且标准的用于表征用户行为属于恶意行为的用户行为数据,标准正常用户行为样本库保存有多条且标准的用于表征用户行为属于正常行为的用户行为数据,可疑用户行为样本库保存有多条用于表征用户行为属于可疑行为的用户行为数据;第三步...
【技术特征摘要】
1.一种基于用户行为分析的异常行为检测方法,其特征在于,该方法包括如下步骤;第一步,设定初始的用于用户行为数据采集的时间滑动窗口参数,并基于该设定的时间滑动窗口参数对用户行为数据进行实时采集,通过多维数组来表示该用户行为数据;第二步,构建标准用户行为样本库,包括标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库;其中标准恶意用户行为样本库中保存有多条且标准的用于表征用户行为属于恶意行为的用户行为数据,标准正常用户行为样本库保存有多条且标准的用于表征用户行为属于正常行为的用户行为数据,可疑用户行为样本库保存有多条用于表征用户行为属于可疑行为的用户行为数据;第三步,以标准用户行为样本库构建多角度行为分析模型;第四步,将所采集的用户行为数据输入到所构建的多角度行为分析模型中,得出分析结论值数组;第五步,基于分析结论值数组计算得到分析可信度值,将分析可信度值与使用者预先设定的可接受置信度值进行比较得到比较结果,当该比较结果表明本次分析不可信时选择执行反馈调整以及重测的步骤,包括反馈调整时间滑动窗口参数以重新采集用户行为数据,再次执行步骤一至步骤四,当该比较结果表明本次分析可信时根据该比较结果给出当前实时采集的用户行为数据的分析结果。2.根据权利要求1所述的基于用户行为分析的异常行为检测方法,其特征在于:所述的时间滑动窗口参数包括时间滑动窗口的长度以及数据采集基本时间元的间隔,且对时间滑动窗口参数进行反馈调整时可以调整该时间滑动窗口长度及数据采集基本时间元间隔二者中至少之一。3.根据权利要求1所述的基于用户行为分析的异常行为检测方法,其特征在于:所述分析结论值数组包括有异常概率值、正常概率值以及可疑概率值,其中的异常概率值表征当前实时采集的用户行为数据与标准恶意用户行为样本库中的样本间的相似程度,正常概率值表征当前实时采集的用户行为数据与标准正常用户行为样本库中的样本间的相似程度,可疑概率值表征当前实时采集的用户行为数据与可疑用户行为样本库中的样本间的相似程度。4.根据权利要求1所述的基于用户行为分析的异常行为检测方法,其特征在于:多角度行为分析模型包括基于马氏距离的多角度行为分析模型以及基于孤立森林的多角度行为分析模型;在所述基于马氏距离的多角度行为分析模型中通过分别计算当前实时采集的用户行为数据与标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库中的样本之间的马氏距离,来获得该包括了异常概率值、正常概率值以及可疑概率值的分析结论值数组。5.根据权利要求4所述的基于用户行为分析的异常行为检测方法,其特征在于:在所述基于马氏距离的多角度行为分析模型中选取异常概率值、正常概率值以及可疑概率值中的最小者,分别计算该最小者与其他两个数值的比值,并将这两个比值作为分析可信度值,仅当这两个比值均小于使用者预先设定的可接受置信度值时,认定本分析结果可信;否则,认定本分析结果不可信。6.根据权利要求4所述的基于用户行为分析的异常行为检测方法,其特征在于:在所述基于孤立森林的多角度行为分析模型中通过标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库分别构建出恶意行为森林、正常行为森林以及可疑行为森林,并分别计算当前实时采集的用户行为数据在恶意行为森林、正常行为森林以及可疑行为森林中的从根节点到该用户行为数据所处在的叶节点的平均路径距离,基于该平均路径距离来获得该包括了异常概率值、正常概率值以及可疑概率值的分析结论值数组;在所述基于孤立森林的多角度行为分析模型中选取异常概率值、正常概率值以及可疑概率值中的最大者,分别计算该最大者与其他两个数值的比值,并将这两个比值作为分析可信度值,仅当这两个比值均大于使用者预先设定的可接受置信度值时,认定本分析结果可信;否则,认定本分析结果不可信。7.一种基于用户行为分析的异常行为...
【专利技术属性】
技术研发人员:施勇,傅烨文,刘宁,
申请(专利权)人:上海丁牛信息科技有限公司,
类型:发明
国别省市:上海,31
-
暂无相关专利
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。