【技术实现步骤摘要】
用户实体行为分析中分组异常检测方法及装置、终端
本专利技术涉及信息安全
,尤其涉及一种用户实体行为分析中分组异常检测方法及装置、终端。
技术介绍
在现代安全信息事件管理系统中,针对用户行行为异常的分析是最重要的方面,特别是用户实体行为异常的分析。用户实体行为分析(UserEntityBehaviorAnalysis,UEBA)是现代安全信息事件管理系统(SecurityInformationEventManagementSystem,SIEMS)中对于安全事件进行二次分析的重要手段。分析的主要目标是检测主体(即用户或可与实际用户即进行关联的账号、主机等)对客体(即实体)进行相关操作中是否存在异常,其中,实体可以是主机、服务/端口、文件夹/文件、系统定时任务、Windows主机的注册表等。一般而言,这种分析的方法包括特征匹配、流式计算以及基于机器学习的分析,其中基于机器学习的分析是用户实体行为分析中比较重要的手段,而且对于无法使用特征分析的未知威胁则可以利用机器学习的方法进行检测。在实际应用中,分组异常或用户分组...
【技术保护点】
1.一种用户实体行为分析中分组异常检测方法,其特征在于,包括:/n采用改进的Jaccard算法学习用户访问不同网段的历史数据,确定不同用户对于网段访问的相似度;/n根据用户对网段访问的相似度形成的网段访问相似度矩阵聚类得到用户分组集合;/n当任一网段的待检测分组与所述用户分组集合存在不同元素时,确定所述待检测分组为异常分组。/n
【技术特征摘要】
1.一种用户实体行为分析中分组异常检测方法,其特征在于,包括:
采用改进的Jaccard算法学习用户访问不同网段的历史数据,确定不同用户对于网段访问的相似度;
根据用户对网段访问的相似度形成的网段访问相似度矩阵聚类得到用户分组集合;
当任一网段的待检测分组与所述用户分组集合存在不同元素时,确定所述待检测分组为异常分组。
2.根据权利要求1所述的检测方法,其特征在于,所述采用改进的Jaccard算法学习用户访问不同网段的历史数据,确定不同用户对于网段访问的相似度,包括:
根据用户访问不同网段的历史数据形成网段访问关系矩阵A,其中,A=[a1,a2,…,an]T,ai∈{0,1}m,n为用户的个数,m为网段内的子网数,向量{0,1}m表示用户对网段内子网的访问情况,访问过该子网标志值为1,否则为0;
基于任两个用户访问同一网段的交集和所有用户访问总体网段的并集,计算两个用户对于同一网段访问的相似度,其中,
S(ui,uj)代表两用户网段访问的相似度。
3.根据权利要求2所述的检测方法,其特征在于,所述根据用户对网段访问的相似度形成的网段访问相似度矩阵聚类得到用户分组集合,包括:
根据用户对网段访问的相似度生成网段访问相似度矩阵,该矩阵为一个实对称矩阵,矩阵中的元素代表对用户的划分;
初始化用户分组集合G0;
根据预设相似度阈值确定待分组用户向量所属的同组用户向量,并将所述待分组用户向量加入分组集合中所述同组用户向量对应的元素。
4.根据权利要求3所述的检测方法,其特征在于,所述方法还包括:
若未检测到所述待分组用户向量所属的同组用户向量,将所述待分组用户向量直接加入所述用户分组集合中的元素。
5.根据权利要求4所述的检测方法,其特征在于,
最终形成的用户分组集合G0表示为:
{{u1,u2},{u1,u...
【专利技术属性】
技术研发人员:陈虎,唐开达,
申请(专利权)人:南京聚铭网络科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。