一种用户网络行为画像的方法及系统技术方案

本发明专利技术公开了一种用户网络行为画像的方法及系统，采集特定对象的访问流量，实时从其中获取流量携带的网络信息，再基于所述网络信息，学习建立所述特定对象的访问关系模型，将所述特定对象的当前访问数据与访问关系模型进行匹配，认定所述特定对象是否访问异常，并且采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型，有助于系统对用户的网络行为进行画像。

A method and system for user network behavior portrait

The invention discloses a method and a system for portraying user's network behavior, which collects the access traffic of a specific object, obtains the network information carried by the traffic in real time, and then, based on the network information, learns to establish the access relation model of the specific object, and sets up the current access data and the access relation of the specific object. The model matches to determine whether the specific object has abnormal access, and uses sliding time window to introduce real-time network information to correct the access relationship model, which is helpful for the system to portray the user's network behavior.

【技术实现步骤摘要】
一种用户网络行为画像的方法及系统
本申请涉及网络信息安全
，尤其涉及一种用户网络行为画像的方法及系统。
技术介绍
用户访问网络的行为呈现多种多样，不同的时间、不同的地域、访问不同的资源都会导致访问流量出现完全不同的情况。而出于网络安全的考虑，却又十分有必要监测网络的访问流量，防止攻击。现有的监测流量方法和系统，没有动态考虑用户的属性，或者只是简单地从时间、地域等简单维度，监测用户的访问流量。所以，提供一种能够为不同用户进行画像的方法和系统，建立模型，定期校正模型，基于模型进行监测流量，就显得非常有必要。
技术实现思路
本专利技术的目的在于提供一种用户网络行为画像的方法及系统，实现基于模型进行监测流量，以解决上述
技术介绍
中提出的问题。第一方面，本申请提供一种用户网络行为画像的方法，所述方法包括：采集特定对象的访问流量，实时获取流量携带的网络信息；基于所述网络信息，学习建立所述特定对象的访问关系模型；将所述特定对象的当前访问数据与访问关系模型进行匹配，根据所述匹配的结果认定所述特定对象是否访问异常；采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型。结合第一方面，在第一方面第一种可能的实现方式中，所述根据所述匹配的结果认定所述特定对象是否访问异常，具体包括：根据匹配的结果，判断所述特定对象是否偏离访问关系模型的基准；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。结合第一方面，在第一方面第二种可能的实现方式中，所述判断所述特定对象是否偏离访问关系模型的基准，具体包括：根据访问关系模型确定用户访问关系的平均值；根据所述特定对象的实时访问数据计算实时访问关系值；计算所述特定对象的实时访问关系值与所述平均值的差值，判断所述差值是否大于预先定义的阈值；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。结合第一方面，在第一方面第三种可能的实现方式中，所述采用滑动时间窗口引入实时采集的网络信息，具体包括：获取初始滑动时间窗口的网络信息；利用特征和权值估计出滑动时间窗口的位置序列；使用所述位置序列中的窗口时刻采集所述特定对象的访问流量；从所述访问流量中获取携带的网络信息，校正所述访问关系模型。第二方面，本申请提供一种用户网络行为画像的系统，所述系统包括：流量采集模块，用于采集特定对象的访问流量，实时获取流量携带的网络信息；模型建立模块，用于基于所述网络信息，学习建立所述特定对象的访问关系模型；数据匹配模块，用于将所述特定对象的当前访问数据与访问关系模型进行匹配，根据所述匹配的结果认定所述特定对象是否访问异常；模型校正模块，用于采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型。结合第二方面，在第二方面第一种可能的实现方式中，所述数据匹配模块根据所述匹配的结果认定所述特定对象是否访问异常，具体包括：判断认定模块，用于根据匹配的结果，判断所述特定对象是否偏离访问关系模型的基准；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。结合第二方面，在第二方面第二种可能的实现方式中，所述判断认定模块判断所述特定对象是否偏离访问关系模型的基准，具体包括：确定均值子模块，用于根据访问关系模型确定用户访问关系的平均值；实时计算子模块，用于根据所述特定对象的实时访问数据计算实时访问关系值；判断子模块，用于计算所述特定对象的实时访问关系值与所述平均值的差值，判断所述差值是否大于预先定义的阈值；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。结合第二方面，在第二方面第三种可能的实现方式中，所述模型校正模块采用滑动时间窗口引入实时采集的网络信息，具体包括：获取初始滑动时间窗口的网络信息；利用特征和权值估计出滑动时间窗口的位置序列；使用所述位置序列中的窗口时刻采集所述特定对象的访问流量；从所述访问流量中获取携带的网络信息，校正所述访问关系模型。本专利技术提供一种用户网络行为画像的方法及系统，采集特定对象的访问流量，实时从其中获取流量携带的网络信息，再基于所述网络信息，学习建立所述特定对象的访问关系模型，将所述特定对象的当前访问数据与访问关系模型进行匹配，认定所述特定对象是否访问异常，并且采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型，有助于系统对用户的网络行为进行画像。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术用户网络行为画像的方法的一个实施例的方法流程图；图2为本专利技术判断特定对象是否偏离访问关系模型的基准的一个实施例的方法流程图；图3为本专利技术采用滑动时间窗口引入实时采集的网络信息的一个实施例的方法流程图；图4为本专利技术用户网络行为画像的系统的一个实施例的系统框架图。具体实施方式下面结合附图对本专利技术的优选实施例进行详细阐述，以使本专利技术的优点和特征能更易于被本领域技术人员理解，从而对本专利技术的保护范围做出更为清楚明确的界定。图1为本专利技术提供的用户网络行为画像的方法的一个实施例的流程图，该方法包括：步骤101，采集特定对象的访问流量，实时获取流量携带的网络信息。步骤102，基于所述网络信息，学习建立所述特定对象的访问关系模型。还可以包括：向服务器发送获取访问数据的请求，请求中携带有所述特定对象的唯一标识；服务器在接收到请求后，根据唯一标识查询本地数据库，将查找到的所述特定对象的历史访问数据返回。根据网络信息结合历史访问数据，学习建立所述特定对象的访问关系模型。步骤103，将所述特定对象的当前访问数据与访问关系模型进行匹配，根据所述匹配的结果认定所述特定对象是否访问异常。步骤104，采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型。在一些优选实施例中，所述学习建立所述特定对象的访问关系模型，具体可以包括：根据所述特定对象的访问流量，识别出流量包含的各种业务。根据预先定义的各种业务对应的权重值、以及业务种类数量对应的系数，计算所述特定对象的访问关系值。计算所述特定对象的访问关系值可以采用如下公式：Value＝(Service1*Weight1+Service2*Weight2+……+Servicen*Weightn)*Coeff其中，Value为某一特定对象的访问关系值，Servicen为某一种业务，Weightn为权重值，Coeff为某一特定对象业务种类数量对应的系数。根据所述特定对象的访问关系值，确定所述特定对象所属的类型，进而得出所述类型对应的访问关系模型。在一些优选实施例中，所述根据所述匹配的结果认定所述特定对象是否访问异常，具体包括：根据匹配的结果，判断所述特定对象是否偏离访问关系模型的基准；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。图2为在一些优选实施例中，所述判断所述特定对象是否偏离访问关系模型的基准，具体包括：步骤201，根据访问关系模型确定用户访问关系的平均值；步骤202，根据所述特定对象的实时访问数据计算实时访问关系值；步骤203，计算所述特定本文档来自技高网...

【技术保护点】
1.一种用户网络行为画像的方法，所述方法包括：采集特定对象的访问流量，实时获取流量携带的网络信息；基于所述网络信息，学习建立所述特定对象的访问关系模型；将所述特定对象的当前访问数据与访问关系模型进行匹配，根据所述匹配的结果认定所述特定对象是否访问异常；采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型。

【技术特征摘要】
1.一种用户网络行为画像的方法，所述方法包括：采集特定对象的访问流量，实时获取流量携带的网络信息；基于所述网络信息，学习建立所述特定对象的访问关系模型；将所述特定对象的当前访问数据与访问关系模型进行匹配，根据所述匹配的结果认定所述特定对象是否访问异常；采用滑动时间窗口引入实时采集的网络信息，校正所述访问关系模型。2.根据权利要求1所述的方法，所述根据所述匹配的结果认定所述特定对象是否访问异常，具体包括：根据匹配的结果，判断所述特定对象是否偏离访问关系模型的基准；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。3.根据权利要求2所述的方法，所述判断所述特定对象是否偏离访问关系模型的基准，具体包括：根据访问关系模型确定用户访问关系的平均值；根据所述特定对象的实时访问数据计算实时访问关系值；计算所述特定对象的实时访问关系值与所述平均值的差值，判断所述差值是否大于预先定义的阈值；如果判断为是，则认定所述特定对象访问异常；如果判断为否，则认定所述特定对象访问正常。4.根据权利要求1所述的方法，所述采用滑动时间窗口引入实时采集的网络信息，具体包括：获取初始滑动时间窗口的网络信息；利用特征和权值估计出滑动时间窗口的位置序列；使用所述位置序列中的窗口时刻采集所述特定对象的访问流量；从所述访问流量中获取携带的网络信息，校正所述访问关系模型。5.一种用户网络行为画像的系统，所述系统包括：流量采集模块，用于采集特定对象的访问流量，实...

【专利技术属性】
技术研发人员：段彬，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：湖北,42