本发明专利技术提出了一种异常用户检测方法及装置,检测方法包括:获取用户的行为数据信息;对行为数据信息进行预处理,获得行为序列;将行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定用户是否为异常用户;其中,行为序列包括:操作事件和时间间隔信息。根据本发明专利技术的异常用户检测方法,依据移动端用户行为的特点,充分利用异常用户特征,在行为序列挖掘过程中,加入时间间隔属性,进行带有时间间隔的行为序列挖掘,可以有效提升异常用户检测的准确率。
【技术实现步骤摘要】
异常用户检测方法及装置
本专利技术涉及信息安全
,尤其涉及一种异常用户检测方法及装置。
技术介绍
目前最为主流的移动端异常用户检测方法为基于行为特征的检测方法,某些算法同时结合了其他的检测方法,但是总的来看,目前的异常用户检测的方案仍然存在一定的局限性。比如:(1)检测准确率不高基于行为特征的检测方式是目前检测准确率最高,算法设计、部署相对成熟的方法。但是在实际应用中,由于异常用户具有多种表现、异常用户可能存在动态变化等问题,仍然存在大量误报,检测准确率与召回率仍需进一步提升。(2)关于时间属性的利用程度较低用户的行为属性中,时间是一种重要属性,不同时间进行不同操作,用户的异常程度不同,同时操作之间的时间间隔也是一个重要属性,不同操作的时间间隔差距不同,用户的异常程度同样存在巨大差距。
技术实现思路
本专利技术要解决的技术问题是提高异常用户检测的准确性,本专利技术提出了一种异常用户检测方法及装置。根据本专利技术实施例的异常用户检测方法,包括:获取用户的行为数据信息;对所述行为数据信息进行预处理,获得行为序列;将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;其中,所述行为序列包括:操作事件和时间间隔信息。根据本专利技术实施例的异常用户检测方法,依据移动端用户行为的特点,充分利用异常用户特征,在行为序列挖掘过程中,加入时间间隔属性,进行带有时间间隔的行为序列挖掘,可以有效提升异常用户检测的准确率。根据本专利技术的一些实施例,所述异常行为库的训练方法包括:对已知异常用户的所有操作的时间间隔进行模糊聚类处理,得到所述时间间隔的隶属度矩阵;基于所述隶属度矩阵,生成候选序列和频繁模糊时间间隔序列;基于所述频繁模糊时间间隔序列,获取异常用户行为特征序列,以构成所述异常行为库。在本专利技术的一些实施例中,所述获取用户的行为数据信息,包括:通过动态监听模块对用户的系统行为、短信、通话、网络情况和位置信息进行监听,以获取所述用户的行为数据信息。根据本专利技术的一些实施例,所述方法还包括:在判定所述用户是否为异常用户的过程中,更新所述异常行为库。在本专利技术的一些实施例中,所述方法还包括:在判定所述用户是否为异常用户后,输出异常报告。根据本专利技术实施例的异常用户检测装置,包括:动态监听模块,用于获取用户的行为数据信息;用户行为提取模块,用于对所述行为数据信息进行预处理,获得行为序列;检测匹配模块,用于将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;其中,所述行为序列包括:操作事件和时间间隔信息。根据本专利技术实施例的异常用户检测装置,用户行为提取模块依据移动端用户行为的特点,充分利用异常用户特征,在行为序列挖掘过程中,加入时间间隔属性,进行带有时间间隔的行为序列挖掘,可以有效提升异常用户检测的准确率。根据本专利技术的一些实施例,所述装置还包括异常行为库训练模块,所述异常行为库训练模块包括:模糊聚类模块,用于对已知异常用户的所有操作的时间间隔进行模糊聚类处理,得到所述时间间隔的隶属度矩阵;频繁序列挖掘模块,用于基于所述隶属度矩阵,生成候选序列和频繁模糊时间间隔序列;异常特征判定模块,用于基于所述频繁模糊时间间隔序列,获取异常用户行为特征序列,以构成所述异常行为库。在本专利技术的一些实施例中,所述动态监听模块用于:通过动态监听模块对用户的系统行为、短信、通话、网络情况和位置信息进行监听,以获取所述用户的行为数据信息。根据本专利技术的一些实施例,所述装置还包括异常行为库更新模块:用于在判定所述用户是否为异常用户的过程中,更新所述异常行为库。在本专利技术的一些实施例中,所述装置还包括:异常报告模块,用于在判定所述用户是否为异常用户后,输出异常报告。附图说明图1为根据本专利技术实施例的异常用户检测装置的结构图;图2为根据本专利技术实施例的异常用户检测方法流程图;图3为根据本专利技术实施例的异常用户检测方法应用于移动终端应用程序运营示意图;图4为根据本专利技术实施例的异常用户检测方法流程图;图5为根据本专利技术实施例的异常行为库的训练方法流程图。具体实施方式为更进一步阐述本专利技术为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本专利技术进行详细说明如后。国内外在移动端异常用户的检测领域进行了大量的研究,提出了一些移动端异常用户检测方法,并验证了可行性。目前移动端异常用户检测方法可分为:基于行为特征的检测方法,基于内容的检测方法,基于图的检测方法,无监督学习检测方法等。基于行为特征的检测方法由于异常用户为了实现利益最大化,通常会进行异常的操作,比如提高操作的频率或者某些特定的行为组合,因此异常账号与正常账号在某些行为特征方法必然存在差异。基于行为特征检测方案的基本思想时利用异常帐号与正常帐号在行为特征方面的不同来检测异常帐号。在移动端用户操作的过程中会留下大量的行为信息,有效利用这些信息是实现异常用户判定的基础与关键。基于行为特征检测方案的主要流程为首先获取数据训练集,然后从数据中抽取相应的行为特征,再利用分类算法对这些特征进行训练形成分类器,最后利用测试样本集对分类器进行测试并判断分类结果。基于内容的检测方法由于异常用户很可能通过发布广告、色情、钓鱼等消息来获取利益,因此在发布的消息内容方面异常用户与正常用户之间存在区别。基于内容的检测方案是利用异常用户与正常用户所发布的内容不同来进行检测,因此检测的重点放在判断用户所发布的消息是否为恶意效益。根据不同的消息内容利用对象,可以将基于内容的检测方案分为利用单个帐号的内容特征与利用群体帐号的内容特征。利用单个用户内容特征是根据单个异常用户发布的消息内容如消息中嵌入的URL以及发布消息的行为与正常用户的区别等来检测异常用户。另一种为利用群体用户的内容特征,攻击者为了扩大恶意消息的传播范围来获取更大的利益会控制大量的异常用户发布相同或相似的恶意消息,因此可以利用群体用户的消息内容特征来进行异常用户的检测。基于图的检测方法移动端用户会与其他用户之间存在联系,如社交软件的好友关系、通讯录关系等,而且只有两个账号之间存在联系时才能够进行信息交流。因此,一方面攻击者为了更广泛传播恶意信息从而在短时间内与大量正常用户建立联系,一方面攻击者通过有偿与其他用户建立联系,从中获取利益。因此,异常用户与正常用户在所组成的图结构中存在区别,基于图的检测侧方案就是利用这种区别来检测异常用户。基于图的检测方案关键是构造一个图,在图中异常用户和正常用户具有不同的结构或者链接方式,然后利用图挖掘的相关算法找到图中具体的异常结构或者异常结点。无监督学习检测方法基于行为特征和基于内容的检测方案都是有监督学习的方案,即对分类器本文档来自技高网...
【技术保护点】
1.一种异常用户检测方法,其特征在于,包括:/n获取用户的行为数据信息;/n对所述行为数据信息进行预处理,获得行为序列;/n将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;/n其中,所述行为序列包括:操作事件和时间间隔信息。/n
【技术特征摘要】
1.一种异常用户检测方法,其特征在于,包括:
获取用户的行为数据信息;
对所述行为数据信息进行预处理,获得行为序列;
将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;
其中,所述行为序列包括:操作事件和时间间隔信息。
2.根据权利要求1所述的异常用户检测方法,其特征在于,所述异常行为库的训练方法包括:
对已知异常用户的所有操作的时间间隔进行模糊聚类处理,得到所述时间间隔的隶属度矩阵;
基于所述隶属度矩阵,生成候选序列和频繁模糊时间间隔序列;
基于所述频繁模糊时间间隔序列,获取异常用户行为特征序列,以构成所述异常行为库。
3.根据权利要求1所述的异常用户检测方法,其特征在于,所述获取用户的行为数据信息,包括:
通过动态监听模块对用户的系统行为、短信、通话、网络情况和位置信息进行监听,以获取所述用户的行为数据信息。
4.根据权利要求1所述的异常用户检测方法,其特征在于,所述方法还包括:在判定所述用户是否为异常用户的过程中,更新所述异常行为库。
5.根据权利要求1所述的异常用户检测方法,其特征在于,所述方法还包括:
在判定所述用户是否为异常用户后,输出异常报告。
6.一种异常用户检测装置,其特征在于,包括:
动态监听模块,用于获取用户...
【专利技术属性】
技术研发人员:程光,钮艳,赵淳璐,潘进,杨博,王祥,张琳,刘晓辉,姚晓,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。