The invention relates to a method and system for discovering abnormal behavior of user network based on machine learning algorithm. The method is to collect network traffic data for deep packet analysis, cleaning, integration, transformation and regulation. Machine learning algorithm is used to calculate multiple historical eigenvectors to construct user behavior pattern matrix. Entropy weight method is used to calculate the weight of each historical eigenvector of user, and simple method is used. The algorithm calculates multiple real-time eigenvectors, calculates weights to get the user's network access behavior trust score, and uses the entropy weight method to update the weight to track the change of user's network access behavior trust score, in order to determine whether the user has abnormal behavior. The system includes acquisition and analysis layer, data processing layer, model analysis layer and result display layer. The acquisition and analysis layer has data acquisition module, analysis module and matching module. The data processing layer has data type conversion module, denoising module, data cleaning module and data standardization module. The model analysis layer has large data analysis engine, and the result display layer has judgment module and display module. Display module.
【技术实现步骤摘要】
基于机器学习算法的用户网络异常行为发现方法及系统
本专利技术涉及网络安全
,具体涉及一种基于机器学习算法的用户网络异常行为发现方法及系统。
技术介绍
随着互联网的飞速发展,通过对网络的被动监测,可以在用户无感知的环境下对网络情况进行深入洞察,从而针对日趋边界淡化的网络安全进行有效监测及防护,但存在以下问题:1)传统的网络风险发现方式,主要是利用特征匹配、通讯检测等手段来发现通讯和应用中违反安全策略的行为,其依赖静态规则,很容易被颠覆,也很难动态更新。2)传统的网络行为分析,主要针对网络的使用、连接进行全局性的分析,没有涉及到具体的网络交易行为,对于细节的用户行为把控及其可能产生的安全风险发现存在发现能力的不足。3)针对用户画像技术虽可对用户的操作全貌进行总览,但目前的用户画像技术大多通过阈值设定的技术来生成指标值,标签值的量化存在局限性。由于人类行为不稳定,难以预测,且网络中存在海量的用户操作行为,所涉及的数据量极大,通过人类自身无法实现识别,因此,用户行为分析一直是一个难题。
技术实现思路
本专利技术的目的在于针对现有技术的不足,提供一种至少能够克服上述部分问题的基于机器学习算法的用户网络异常行为发现方法及系统。为实现上述第一个目的,本专利技术采用以下技术方案:基于机器学习算法的用户网络异常行为发现方法,其包括以下步骤:1)采集网络流量数据,对所得到的网络流量数据进行深度包解析,获得用户网络访问行为数据;2)对用户网络访问行为数据进行清洗、集成、变换和规约,得到历史预处理数据和实时预处理数据;3)对历史预处理数据采用机器学习算法进行计算,得到与用户历史 ...
【技术保护点】
1.基于机器学习算法的用户网络异常行为发现方法,其特征在于:其包括以下步骤:1)采集网络流量数据,对所得到的网络流量数据进行深度包解析,获得用户网络访问行为数据;2)对用户网络访问行为数据进行清洗、集成、变换和规约,得到历史预处理数据和实时预处理数据;3)对历史预处理数据采用机器学习算法进行计算,得到与用户历史网络访问行为特征相对应的多个历史特征向量,并根据多个历史特征向量构建用户行为模式矩阵;4)采用熵权法对用户行为模式矩阵进行计算,得到用户各历史特征向量的权重;5)对实时预处理数据采用朴素贝叶斯算法进行计算,得到与用户当前网络访问行为特征相对应的多个实时特征向量;6)将多个实时特征向量与用户各历史特征向量的权重进行加权计算,得到用户网络访问行为信任度评分,并采用熵权法对多个实时特征向量进行计算,以更新用户各历史特征向量的权重;7)重复步骤5)和步骤6)多次,以跟踪用户网络访问行为信任度评分变化,判断用户网络访问行为信任度评分是否多次降低,若是,则判定用户存在异常行为。
【技术特征摘要】
1.基于机器学习算法的用户网络异常行为发现方法,其特征在于:其包括以下步骤:1)采集网络流量数据,对所得到的网络流量数据进行深度包解析,获得用户网络访问行为数据;2)对用户网络访问行为数据进行清洗、集成、变换和规约,得到历史预处理数据和实时预处理数据;3)对历史预处理数据采用机器学习算法进行计算,得到与用户历史网络访问行为特征相对应的多个历史特征向量,并根据多个历史特征向量构建用户行为模式矩阵;4)采用熵权法对用户行为模式矩阵进行计算,得到用户各历史特征向量的权重;5)对实时预处理数据采用朴素贝叶斯算法进行计算,得到与用户当前网络访问行为特征相对应的多个实时特征向量;6)将多个实时特征向量与用户各历史特征向量的权重进行加权计算,得到用户网络访问行为信任度评分,并采用熵权法对多个实时特征向量进行计算,以更新用户各历史特征向量的权重;7)重复步骤5)和步骤6)多次,以跟踪用户网络访问行为信任度评分变化,判断用户网络访问行为信任度评分是否多次降低,若是,则判定用户存在异常行为。2.根据权利要求1所述的基于机器学习算法的用户网络异常行为发现方法,其特征在于:所述历史特征向量和实时特征向量均由单维度特征和多维度特征构成,所述单维度特征由用户网络访问行为的URL参数、源IP、时间和操作系统中的一种以上构成,所述多维度特征由用户网络访问行为的登录地与HOST的组合特征、HOST与延迟的组合特征、HOST与操作系统的组合特征、以及时间与登录地的组合特征中的一种以上构成。3.根据权利要求1所述的基于机器学习算法的用户网络异常行为发现方法,其特征在于:步骤4)中采用熵权法对用户行为模式矩阵进行计算的方法是:通过熵权法将用户行为模式矩阵中的用户各历史特征向量纳入计算,获取不同特征值的混乱度,混乱度低的特征信息量更大,在综合评价中所起作用越大,则赋予该历史特征向量更高的权重。4.基于机器学习算法的用户网络异常行为发现系统,其特征...
【专利技术属性】
技术研发人员:陈伟,任竹艳,肖春黎,江煊丰,
申请(专利权)人:中电福富信息科技有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。