本申请实施例提供了一种用户行为风险评估方法及装置。方案如下:获取待评估用户的行为数据;从行为数据中提取预设行为事件对应的目标行为序列向量;将目标行为序列向量输入预先训练获得的风险评估模型,得到待评估用户的行为风险评估值,风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。应用本申请实施例提供的技术方案,能够实现对用户行为风险程度的评估。
A User Behavior Risk Assessment Method and Device
【技术实现步骤摘要】
一种用户行为风险评估方法及装置
本申请涉及网络安全
,特别是涉及一种用户行为风险评估方法及装置。
技术介绍
随着信息化技术的快速发展,网络信息安全,特别是内网信息安全越来越受到关注。目前,为了提高网络安全性,通常利用将用户的行为与预先配置的危险行为规则匹配。若二者匹配,则确定用户的行为存在风险。例如,预先配置的危险行为规则为1分钟内输错密码次数5次。若一用户1分钟内输错密码次数达到了5次,则确定该用户的行为存在风险。上述用户行为检测中,只能检测出用户的行为是否存在风险,无法评估出用户的行为的风险程度。
技术实现思路
本申请实施例的目的在于提供一种用户行为风险评估方法及装置,以实现对用户行为风险程度的评估。具体技术方案如下:第一方面,本申请实施例提供了一种用户行为风险评估方法,所述方法包括:获取待评估用户的行为数据;从所述行为数据中提取预设行为事件对应的目标行为序列向量;将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。第二方面,本申请实施例提供了一种用户行为风险评估装置,所述装置包括:获取单元,用于获取待评估用户的行为数据;提取单元,用于从所述行为数据中提取预设行为事件对应的目标行为序列向量;评估单元,用于将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。本申请实施例提供的一种用户行为风险评估方法及装置,通过带有指示真实风险评估值的标签的多个样本用户的行为序列向量,训练循环神经网络和逻辑回归算法,得到的风险评估模型。当获取到待评估用户的行为向量时,可从该行为数据中提取目标行为序列向量,利用预先训练获得的风险评估模型以及目标行为序列向量,可确定待评估用户的行为风险评估值,实现了对用户行为风险程度的评估。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的用户行为风险评估方法的一种流程示意图;图2为本申请实施例提供的风险评估模型训练方法的一种流程示意图;图3为本申请实施例提供的循环神经网络的一种信息处理示意图;图4为本申请实施例提供的循环神经网络的另一种信息处理示意图;图5为本申请实施例提供的逻辑回归曲线的一种示意图;图6为本申请实施例还提供的用户行为风险评估装置的一种结构示意图;图7为本申请实施例还提供的网络设备的一种结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。目前,用户行为检测中,只能利用用户行为与预先配置的危险行为规则,确定用户行为是否存在风险,无法评估出用户行为的风险程度,不利于用户对用户行为的处理。为实现对用户行为风险程度的评估,本申请实施例提供了一种用户行为风险评估方法。该用户行为风险评估方法可以应用于防火墙设备、路由器和交换机等网络设备。该用户行为风险评估方法中,通过带有指示真实风险评估值的标签的多个样本用户的行为序列向量,训练循环神经网络和逻辑回归算法,得到的风险评估模型。当获取到待评估用户的行为数据时,可从该行为数据中提取目标行为序列向量,利用预先训练获得的风险评估模型以及目标行为序列向量,可确定待评估用户的行为风险评估值,实现了对用户行为风险程度的评估。下面通过具体实施例,对本申请实施例提供的一种用户行为风险评估方法进行详细说明。为便于理解,下面以网络设备为执行主体进行说明。参考图1,图1为本申请实施例提供的用户行为风险评估方法的一种流程示意图。该方法包括如下步骤。步骤101,获取待评估用户的行为数据。网络设备可以通过网络爬手等工具从网络中获取到待评估用户在一段时间内的行为数据,也可以接收用户手动输入的待评估用户在一段时间内的行为数据。本申请实施例对待评估用户的行为数据的获取不做具体限定。上述待评估用户的行为数据可以为待评估用户的实时行为数据,也可以为待评估用户的历史行为数据。步骤102,从行为数据中提取预设行为事件对应的目标行为序列向量。其中,目标行为序列向量中每一元素对应一个预设行为事件。用户行为有的可能对网络安全造成影响,有的可能无关紧要,根据用户行为的敏感性和对网络安全影响的大小,本申请实施例中,将用户行为分为行为事件。一个可选的实施例中,预设行为事件可以包括:上传文件、下载文件、使用VPN(VirtualPrivateNetworks,虚拟专用网络)、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用FTP(FileTransferProtocol,文件传输协议)上传数据和使用FTP下载数据中的一种或多种。网络设备获取到待评估用户的行为数据后,对待评估用户的行为数据进行分析,从待评估用户的行为数据中提取预设行为事件对应的目标行为序列向量。例如,预设行为事件包括:上传文件、下载文件、登录成功和登录失败。网络设备获取到待评估用户的行为数据1。对行为数据1进行分析,先后确定上传文件、上传文件、下载文件、登录成功、登录成功、登录成功和登录失败。此时,网络设备可确定行为数据1对应的目标行为序列向量为{[上传文件],[上传文件],[下载文件],[登录成功],[登录成功],[登录成功],[登录失败]}。在本申请的一个实施例中,用户行为是时间密切相关。网络设备可以按照时间顺序,从行为数据中提取预设行为事件对应的目标行为序列向量。提高了基于目标行为序列向量确定行为风险评估值的准确性。一个可选的实施例中,网络设备可采用如下方式确定目标行为序列向量。步骤1021,检测第一预设行为事件与第二预设行为事件是否相同。若不同,则执行步骤1022。若相同,则执行步骤1023。第一预设行为事为当前时刻的行为数据对应的预设行为事件,第二预设行为事件为上一时刻的行为数据对应的预设行为事件。网络设备按照时间顺序,分析待评估用户的行为数据。网络设备分析行为数据得到首个行本文档来自技高网...
【技术保护点】
1.一种用户行为风险评估方法,其特征在于,所述方法包括:获取待评估用户的行为数据;从所述行为数据中提取预设行为事件对应的目标行为序列向量;将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。
【技术特征摘要】
1.一种用户行为风险评估方法,其特征在于,所述方法包括:获取待评估用户的行为数据;从所述行为数据中提取预设行为事件对应的目标行为序列向量;将所述目标行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值,所述风险评估模型为根据预设训练集训练对循环神经网络和逻辑回归算法训练得到的模型,所述预设训练集包括多个样本用户的行为序列向量以及样本用户的真实行为风险评估值。2.根据权利要求1所述的方法,其特征在于,所述从所述行为数据中提取预设行为事件对应的目标行为序列向量的步骤,包括:检测第一预设行为事件与第二预设行为事件是否相同,所述第一预设行为事为当前时刻的行为数据对应的预设行为事件,所述第二预设行为事件为上一时刻的行为数据对应的预设行为事件;若不同,则记录所述第一预设行为事件;若相同,则计算上一次记录的预设行为事件的时刻与当前时刻之间的时间差;检测所述时间差是否大于等于预设时间差阈值;若大于等于所述预设时间差阈值,则记录所述第一预设行为事件;根据记录的预设行为事件,确定所述待评估用户的目标行为序列向量。3.根据权利要求2所述的方法,其特征在于,所述根据记录的预设行为事件,确定所述待评估用户的目标行为序列向量的步骤,包括:根据预先存储的预设行为事件与字符的对应关系,确定记录的各预设行为事件对应的字符;由记录的各预设行为事件对应的字符,组成所述待评估用户的目标行为序列向量。4.根据权利要求1所述的方法,其特征在于,所述将所述目标用户行为序列向量输入预先训练获得的风险评估模型,得到所述待评估用户的行为风险评估值的步骤,包括:将所述目标行为序列向量输入预先训练获得的循环神经网络,获得所述循环神经网络最后一个隐层输出的序列信息;将所述序列信息输入预先训练获得的逻辑回归算法,得到所述待评估用户的行为风险评估值。5.根据权利要求1-4任一项所述的方法,其特征在于,所述预设行为事件包括:上传文件、下载文件、使用虚拟专用网络VPN、使用加密流量、登录成功、登录失败、切换账号、浏览网页、访问资产信息、内网传递文件、使用文件传输协议FTP上传数据和使用FTP下载数据中的一种或多种。6.一种用户行为风险评估装置,其特征在于,所述装置包括:获取单元,用于获取待评估用户的行为数据;提取单元,用于从所述...
【专利技术属性】
技术研发人员:孙尚勇,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。