The embodiment of this application provides an abnormal user identification method and device, which includes: acquiring the current behavior data of the user to be identified; extracting the current characteristic data of the current behavior data in the behavior dimensions of multiple behavior dimensions; acquiring the operation and maintenance information and geographic information of the user to be identified; and determining the operation and maintenance information and location according to the operation and maintenance information and geographic information of the user to be identified. For each behavior dimension, the first judgment result is obtained by judging whether the current feature data matches the group feature baseline data corresponding to the target group. If the first judgment result is not matched, the user to be identified is identified as an abnormal user. By applying the technical scheme provided in the embodiment of this application, the anomalous network access users can be identified.
【技术实现步骤摘要】
一种异常用户识别方法及装置
本申请涉及网络安全领域,特别是涉及一种异常用户识别方法及装置。
技术介绍
随着网络技术的大量应用与快速发展,网络信息安全威胁也在不断增加。在企业网中,新的安全威胁不断的涌现,病毒日益肆虐,为了解决现有安全防御体系中的不足,很多企业都部署了EAD(EndpointAdmissionDefense,端点准入防御)解决方案和VPN(VirtualPrivateNetwork,虚拟专用网络)网关,整合单点防御系统,加强对用户的管理,实施统一的安全策略,提高网络终端的主动抵抗能力。然而,在企业网络的管理中,仍然面临着网络准入用户异常登录的安全威胁,如何快速、简单、直接的识别出异常登录的网络准入用户,也就是,如何快速、简单、直接的识别出异常用户,是企业网络管理中迫切需要解决的问题。
技术实现思路
本申请实施例的目的在于提供一种异常用户识别方法及装置,以实现识别出异常用户。具体技术方案如下:在第一方面,本申请实施例提供了一种异常用户识别方法,所述方法包括:获取待识别用户的当前行为数据;提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据;获取所...
【技术保护点】
1.一种异常用户识别方法,其特征在于,所述方法包括:获取待识别用户的当前行为数据;提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据;获取所述待识别用户的运维信息和地理信息;根据所述待识别用户的运维信息和地理信息,确定与所述运维信息和地理信息匹配的所述待识别用户所属目标群组;针对每一所述行为维度,判断在该行为维度下的当前特征数据是否与所述目标群组对应的群组特征基线数据匹配,得到第一判断结果;若所述第一判断结果为不匹配,则确定所述待识别用户为异常用户。
【技术特征摘要】
1.一种异常用户识别方法,其特征在于,所述方法包括:获取待识别用户的当前行为数据;提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据;获取所述待识别用户的运维信息和地理信息;根据所述待识别用户的运维信息和地理信息,确定与所述运维信息和地理信息匹配的所述待识别用户所属目标群组;针对每一所述行为维度,判断在该行为维度下的当前特征数据是否与所述目标群组对应的群组特征基线数据匹配,得到第一判断结果;若所述第一判断结果为不匹配,则确定所述待识别用户为异常用户。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:针对每一所述行为维度,判断在该行为维度下的当前特征数据是否与所述待识别用户对应的用户特征基线数据匹配,得到第二判断结果;所述若所述第一判断结果为不匹配,则确定所述待识别用户为异常用户的步骤,包括:若所述第一判断结果为不匹配,且所述第二判断结果为不匹配,则确定所述待识别用户为异常用户。3.根据权利要求1所述的方法,其特征在于,在获取待识别用户的当前行为数据之前,还包括:获取属于所述目标群组的多个用户中各用户的历史行为数据;针对每一所述用户的每一历史行为数据,提取该用户的该历史行为数据中在各所述行为维度下的历史特征数据;基于每一所述行为维度下的历史特征数据,确定该行为维度下各用户对应的用户特征基线数据;基于每一所述行为维度下各用户对应的用户特征基线数据,确定在该行为维度下所述目标群组对应的群组特征基线数据。4.根据权利要求3所述的方法,其特征在于,所述基于每一所述行为维度下的历史特征数据,确定该行为维度下各用户对应的用户特征基线数据的步骤,包括:对于每一所述行为维度下的每一用户,获取该用户在该行为维度下的历史特征数据中的第一历史数据特征,作为该行为维度下该用户对应的用户特征基线数据;所述第一历史数据特征的数量与该用户在该行为维度下的历史特征数据的数量的比值超过预设比例阈值。5.根据权利要求3所述的方法,其特征在于,所述基于每一所述行为维度下各用户对应的用户特征基线数据,确定在该行为维度下所述目标群组对应的群组特征基线数据的步骤,包括:对于每一所述行为维度,获取该行为维度下各用户对应的用户特征基线数据的并集,作为该行为维度下所述目标群组对应的群组特征基线数据。6.一种异常用户识别装置,其特征在于,所述装置包括:第一获取模块,用于获取待识别用户的当前行为数据;提取模块,用于提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据;第二获取...
【专利技术属性】
技术研发人员:赵志伟,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。