In order to overcome the existing technology to select the cluster members easily lead to the problem of high false alarm rate of the detection results, the present invention provides a mobile user behavior anomaly detection method, the sliding window is adopted to obtain the dynamic data acquisition, in order to improve the accuracy of user behavior, the concept of Duun_index is introduced after the traditional FC algorithm and incremental initial clustering stage. The selection of cluster members increment generated after the then high quality member selection after the voting fusion algorithm to get the final result, the correlation matrix similarity comparison and users of normal behavior, the average difference of the changes to determine whether the normal user behavior, so as to achieve the purpose of efficient and accurate anomaly detection.
【技术实现步骤摘要】
一种移动用户异常行为检测方法
本专利技术涉及信息安全可信
,具体涉及一种基于选择性聚类融合的移动用户异常行为检测方法。
技术介绍
随着Internet的广泛应用,整个人类社会的生活与工作正在逐渐被计算机技术、网络技术及通信技术所影响和改变着。随着智能终端的快速普及和移动互联网的迅猛发展,许多用户将互联网入口从PC端转移到了智能手机等移动智能终端,云计算技术在移动通信行业的应用必然会开创移动互联网的新时代。目前移动云服务所涉及的安全性等可信要求大多相对较低,移动云服务所涉及的各个要素和环节的可信性已成为阻碍移动云服务发展和广泛应用的重要障碍。本文旨在从用户可信方面研究用户协作层的异常行为分析技术,立足移动终端的固有缺陷,向用户提供低耗、高效、可靠的满意服务。只有当用户行为是正常合法的,用户的请求才会被智慧映射层接收,进行进一步的处理。聚类融合技术是将多个对一组对象进行聚类划分的不同结果进行合并的技术,合并后的结果比原先单一聚类的结果更加优越,稳定性和精确性都得到了明显提升。选择性聚类融合是利用设计的选择策略对聚类成员进行筛选,选出优质的聚类成员再进行融合,提高了聚类结果的质量。现有的选择性聚类融合算法一般采用差异度计算公式来对聚类成员的差异度进行衡量,从而选择优质的成员。而仅仅依据差异度来选择聚类成员容易造成检测结果误报率高,所以必须联合多方面因素考量,才能取得较好的结果。
技术实现思路
为了克服现有技术中来选择聚类成员容易造成检测结果误报率高的问题,本专利技术提供了一种移动用户异常行为检测方法,其采用滑动窗口动态的获取数据,以提高用户行为获取的准确性,在 ...
【技术保护点】
一种移动用户异常行为检测方法,其特征是:包含以下步骤:S1.对数据集进行训练,建立正常行为数据库;S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X,采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ;S3.异常检测过程:S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据P={P1,P2,...,PN}进行关联矩阵转换,得到相应的关联矩阵M={M1,M2,...,MN};S302.对S1步骤中的正常行为数据库中的N个正常行为数据P={P1,P2,...,PN}进行平均差异度计算;S303.把S2步骤得到的聚类融合结果Γ加入到正常行为数据集P中,再次进行平均差异度计算;S304.对S302步骤和S303步骤得到的差异度进行比较,如果S303步骤得到的差异度小于S302步骤得到的差异度,则S2步骤中的数据集X为正常行为,将S1步骤中的正常行为数据库更新为N+1个聚类结果的聚类成员集合;如果S303步骤得到的差异度大于S302步骤得到的差异度,则S2步骤中的数据集X确定为异常行为。
【技术特征摘要】
1.一种移动用户异常行为检测方法,其特征是:包含以下步骤:S1.对数据集进行训练,建立正常行为数据库;S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X,采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ;S3.异常检测过程:S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据P={P1,P2,...,PN}进行关联矩阵转换,得到相应的关联矩阵M={M1,M2,...,MN};S302.对S1步骤中的正常行为数据库中的N个正常行为数据P={P1,P2,...,PN}进行平均差异度计算;S303.把S2步骤得到的聚类融合结果Γ加入到正常行为数据集P中,再次进行平均差异度计算;S304.对S302步骤和S303步骤得到的差异度进行比较,如果S303步骤得到的差异度小于S302步骤得到的差异度,则S2步骤中的数据集X为正常行为,将S1步骤中的正常行为数据库更新为N+1个聚类结果的聚类成员集合;如果S303步骤得到的差异度大于S302步骤得到的差异度,则S2步骤中的数据集X确定为异常行为。2.根据权利要求1所述的一种移动用户异常行为检测方法,其特征是:所述的S2步骤中的基于分形的聚类融合算法的过程是:S201.初始聚类过程:S2011.利用滑动窗口模型获取移动用户窗口范围内的数据集X;S2012.将S2011步骤获得的数据集X随机划分为H组数据子集{Xi}(i=1,2,...,H),并对Xi进行k-means聚类,每组数据子集产生K个簇并记录每一个簇的聚类中心,共得到H组聚类中心;S2013.利用S2012步骤得到的H组聚类中心对数据集X重新k-means聚类,得到数据集X的初始聚类集合λ={λ1,λ2,...,λH},其中λH表示数据集X的初始聚类集合中的某一个初始聚类;λi表示H组数据子集中的第i个聚类,表示λi中的第k个簇;S202.增量过程:S2021.对在S201步骤中尚未分配的点b,与S2013步骤中得到的聚类集合Ci求并集得到用户全部数据Ci′=Ci∪b(i=1,2,...,H);分别计算Ci与Ci'的分形维数Fi、Fi'及其分形影响度FIDi=|Fi-Fi'|,相互比较后得到FIDi的值最小的一个其中,S2022.遴选S2013步...
【专利技术属性】
技术研发人员:朱军龙,吴庆涛,郑瑞娟,张明川,谢萍,魏汪洋,张茉莉,杜鹃,
申请(专利权)人:河南科技大学,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。