【技术实现步骤摘要】
异常用户检测方法及装置
本专利技术涉及信息安全
,尤其涉及一种异常用户检测方法及装置。
技术介绍
目前最为主流的移动端异常用户检测方法为基于行为特征的检测方法,某些算法同时结合了其他的检测方法,但是总的来看,目前的异常用户检测的方案仍然存在一定的局限性。比如:(1)检测准确率不高基于行为特征的检测方式是目前检测准确率最高,算法设计、部署相对成熟的方法。但是在实际应用中,由于异常用户具有多种表现、异常用户可能存在动态变化等问题,仍然存在大量误报,检测准确率与召回率仍需进一步提升。(2)关于时间属性的利用程度较低用户的行为属性中,时间是一种重要属性,不同时间进行不同操作,用户的异常程度不同,同时操作之间的时间间隔也是一个重要属性,不同操作的时间间隔差距不同,用户的异常程度同样存在巨大差距。
技术实现思路
本专利技术要解决的技术问题是提高异常用户检测的准确性,本专利技术提出了一种异常用户检测方法及装置。根据本专利技术实施例的异常用户检测方法,包括:获取用户的
【技术保护点】
1.一种异常用户检测方法,其特征在于,包括:/n获取用户的行为数据信息;/n对所述行为数据信息进行预处理,获得行为序列;/n将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;/n其中,所述行为序列包括:操作事件和时间间隔信息。/n
【技术特征摘要】
1.一种异常用户检测方法,其特征在于,包括:
获取用户的行为数据信息;
对所述行为数据信息进行预处理,获得行为序列;
将所述行为序列与预先训练的异常行为库中的异常行为特征进行匹配,以判定所述用户是否为异常用户;
其中,所述行为序列包括:操作事件和时间间隔信息。
2.根据权利要求1所述的异常用户检测方法,其特征在于,所述异常行为库的训练方法包括:
对已知异常用户的所有操作的时间间隔进行模糊聚类处理,得到所述时间间隔的隶属度矩阵;
基于所述隶属度矩阵,生成候选序列和频繁模糊时间间隔序列;
基于所述频繁模糊时间间隔序列,获取异常用户行为特征序列,以构成所述异常行为库。
3.根据权利要求1所述的异常用户检测方法,其特征在于,所述获取用户的行为数据信息,包括:
通过动态监听模块对用户的系统行为、短信、通话、网络情况和位置信息进行监听,以获取所述用户的行为数据信息。
4.根据权利要求1所述的异常用户检测方法,其特征在于,所述方法还包括:在判定所述用户是否为异常用户的过程中,更新所述异常行为库。
5.根据权利要求1所述的异常用户检测方法,其特征在于,所述方法还包括:
在判定所述用户是否为异常用户后,输出异常报告。
6.一种异常用户检测装置,其特征在于,包括:
动态监听模块,用于获取用户...
【专利技术属性】
技术研发人员:程光,钮艳,赵淳璐,潘进,杨博,王祥,张琳,刘晓辉,姚晓,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。