一种基于用户画像的网络犯罪嫌疑人侦查方法及系统技术方案

本发明专利技术涉及一种基于用户画像的网络犯罪嫌疑人侦查方法及系统。所述侦查方法包括：获取各个类型的网络异常行为；根据所述网络异常行为构建网络异常行为规则库；获取具有网络异常行为的异常用户的历史异常参数；根据所述历史异常参数构建异常用户画像；获取当前网络异常行为；将所述当前网络异常行为与所述异常用户画像进行匹配，判断网络犯罪嫌疑人是否是所述异常用户画像中的异常用户，若是，输出所述异常用户的网络账号；若否，将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号。采用本发明专利技术所提供的侦查方法及系统能够提高审计效率。

【技术实现步骤摘要】
一种基于用户画像的网络犯罪嫌疑人侦查方法及系统
本专利技术涉及网络犯罪行为侦查领域，特别是涉及一种基于用户画像的网络犯罪嫌疑人侦查方法及系统。
技术介绍
随着网络科技的进步，网络犯罪行为随之增加，为了有效、准确的检测网络入侵行为，有些学者提出了网络入侵检测模型，并研究和设计了相应的入侵检测方法，传统的入侵检测方法可以在一定程度上检测到网络入侵行为，但其只能用于区分正常和网络异常行为，无法针对具体用户进行审计；而传统的日志审计方法虽然可以通过用户的日志来分析用户的行为，但对于用户行为异常与否的判别准确率有待提高。针对用户行为异常与否判别准确率低的问题，GIUSEPPEA等人提出用户画像的概念，在精准营销、推荐系统等场景中被广泛使用。朱佳俊等将用户画像用于网络异常行为检测，构建正常用户的用户画像，运用机器学习的方法对正常用户的行为进行学习，通过马氏距离和孤立森林算法判定受测行为是否异常。赵刚等通过基本标签、功能标签、级别标签和行为标签来建立正常用户的用户画像，然后使用模式匹配算法进行异常检测，并实现精准定位。WeijieWang等人定义了多种标签，为正常用户事先建立用户画像，通过日志挖掘等多种手段获取用户行为特征，并与用户画像进行匹配，由此发现用户的网络异常行为。但上述基于用户画像的网络异常行为检测方法都是通过对正常用户构建用户画像，分析正常用户的行为来判定行为是否正常，但无法区分网络异常行为的种类，对用户行为的刻画不够全面，导致审计效率极低。
技术实现思路
本专利技术的目的是提供一种基于用户画像的网络犯罪嫌疑人侦查方法及系统，以解决传统的基于用户画像的网络异常行为检测方法审计效率低的问题。为实现上述目的，本专利技术提供了如下方案：一种基于用户画像的网络犯罪嫌疑人侦查方法，包括：获取各个类型的网络异常行为；根据所述网络异常行为构建网络异常行为规则库；所述网络异常行为规则库中的每个异常行为规则包括所述网络异常行为的编号以及操作频率；获取具有网络异常行为的异常用户的历史异常参数；所述历史异常参数包括基本属性标签、行为属性标签以及网络异常行为相似度标签；所述基本属性标签为网络用户的基本信息资料信息；所述行为属性标签包括历史网络异常行为统计标签以及行为统计标签；所述网络异常行为相似度标签为所述网络用户的行为序列与所述网络异常行为规则库中各个规则的相似度；根据所述历史异常参数构建异常用户画像；获取当前网络异常行为；将所述当前网络异常行为与所述异常用户画像进行匹配，判断网络犯罪嫌疑人是否是所述异常用户画像中的异常用户，得到第一判断结果；若所述第一判断结果表示为网络犯罪嫌疑人是所述异常用户画像中的异常用户，输出所述异常用户的网络账号；若所述第一判断结果表示为网络犯罪嫌疑人不是所述异常用户画像中的异常用户，将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号。可选的，所述根据所述网络异常行为构建网络异常行为规则库，具体包括：获取所述网络异常行为的行为序列；利用层次聚类算法，根据所述行为序列对所述网络用户进行聚类，确定类簇；获取每个所述类簇中的共有操作以及操作频率；根据所述操作频率确定所述共有操作的平均频率；将所述平均频率作为异常行为规则中的操作频率，确定异常行为规则；根据所述异常行为规则构建所述网络异常行为规则库。可选的，所述将所述当前网络异常行为与所述异常用户画像进行匹配，具体包括：获取所述当前网络异常行为的类别；根据所述当前网络异常行为的类别确定与各类网络异常行为的关联度值；获取所述异常用户画像中所有所述异常用户的历史网络异常行为统计标签和网络异常行为相似度标签；根据所述关联度值、所述异常用户画像中所有异常用户的历史网络异常行为统计标签以及网络异常行为相似度标签，利用朴素贝叶斯方法计算每个所述异常用户的犯罪行为概率，确定网络犯罪行为概率高于概率阈值的k个异常用户；k为大于或等于0的整数；判断所述k个异常用户中是否包含网络犯罪嫌疑人，得到第二判断结果；若所述第二判断结果为所述k个异常用户中包含网络犯罪嫌疑人，确定所述网络犯罪嫌疑人是所述异常用户画像中的异常用户。可选的，所述将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号，具体包括：获取用户操作日志中当前所有网络用户的行为序列；将所述行为序列与所述网络异常行为规则库进行匹配，确定所述行为序列与各个异常行为规则的相似度，并选取相似度最大值；判断所述相似度最大值是否大于网络异常行为相似度的门限值，得到第三判断结果；若所述第三判断结果表示为所述相似度最大值大于网络异常行为相似度的门限值，判定所述相似度最大值对应的网络用户的行为异常，记录所述网络用户的网络账号，并构建用户画像；继续审计剩余网络用户，直至所有网络用户审计完成。一种基于用户画像的网络犯罪嫌疑人侦查系统，包括：网络异常行为获取模块，用于获取各个类型的网络异常行为；网络异常行为规则库构建模块，用于根据所述网络异常行为构建网络异常行为规则库；所述网络异常行为规则库中的每个异常行为规则包括所述网络异常行为的编号以及操作频率；历史异常参数获取模块，用于获取具有网络异常行为的异常用户的历史异常参数；所述历史异常参数包括基本属性标签、行为属性标签以及网络异常行为相似度标签；所述基本属性标签为网络用户资料信息；所述行为属性标签包括历史网络异常行为统计标签以及行为统计标签；所述网络异常行为相似度标签为所述网络用户的行为序列与所述网络异常行为规则库中各个规则的相似度；异常用户画像构建模块，用于根据所述历史异常参数构建异常用户画像；当前网络异常行为获取模块，用于获取当前网络异常行为；第一判断模块，用于将所述当前网络异常行为与所述异常用户画像进行匹配，判断网络犯罪嫌疑人是否是所述异常用户画像中的异常用户，得到第一判断结果；第一网络账号输出模块，用于若所述第一判断结果表示为网络犯罪嫌疑人是所述异常用户画像中的异常用户，输出所述异常用户的网络账号；第二网络账号输出模块，用于若所述第一判断结果表示为网络犯罪嫌疑人不是所述异常用户画像中的异常用户，将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号。可选的，所述网络异常行为规则库构建模块具体包括：第一行为序列获取单元，用于获取所述网络异常行为的行为序列；聚类单元，用于利用层次聚类算法，根据所述行为序列对所述网络用户进行聚类，确定类簇；共有操作以及操作频率获取单元，用于获取每个所述类簇中的共有操作以及操作频率；平均频率确定单元，用于根据所述操作频率确定所述共有操作的平均频率；异常行本文档来自技高网...

【技术保护点】
1.一种基于用户画像的网络犯罪嫌疑人侦查方法，其特征在于，包括：/n获取各个类型的网络异常行为；/n根据所述网络异常行为构建网络异常行为规则库；所述网络异常行为规则库中的每个异常行为规则包括所述网络异常行为的编号以及操作频率；/n获取具有网络异常行为的异常用户的历史异常参数；所述历史异常参数包括基本属性标签、行为属性标签以及网络异常行为相似度标签；所述基本属性标签为网络用户资料信息；所述行为属性标签包括历史网络异常行为统计标签以及行为统计标签；所述网络异常行为相似度标签为所述网络用户的行为序列与所述网络异常行为规则库中各个规则的相似度；/n根据所述历史异常参数构建异常用户画像；/n获取当前网络异常行为；/n将所述当前网络异常行为与所述异常用户画像进行匹配，判断网络犯罪嫌疑人是否是所述异常用户画像中的异常用户，得到第一判断结果；/n若所述第一判断结果表示为网络犯罪嫌疑人是所述异常用户画像中的异常用户，输出所述异常用户的网络账号；/n若所述第一判断结果表示为网络犯罪嫌疑人不是所述异常用户画像中的异常用户，将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号。/n...

【技术特征摘要】
1.一种基于用户画像的网络犯罪嫌疑人侦查方法，其特征在于，包括：
获取各个类型的网络异常行为；
根据所述网络异常行为构建网络异常行为规则库；所述网络异常行为规则库中的每个异常行为规则包括所述网络异常行为的编号以及操作频率；
获取具有网络异常行为的异常用户的历史异常参数；所述历史异常参数包括基本属性标签、行为属性标签以及网络异常行为相似度标签；所述基本属性标签为网络用户资料信息；所述行为属性标签包括历史网络异常行为统计标签以及行为统计标签；所述网络异常行为相似度标签为所述网络用户的行为序列与所述网络异常行为规则库中各个规则的相似度；
根据所述历史异常参数构建异常用户画像；
获取当前网络异常行为；
将所述当前网络异常行为与所述异常用户画像进行匹配，判断网络犯罪嫌疑人是否是所述异常用户画像中的异常用户，得到第一判断结果；
若所述第一判断结果表示为网络犯罪嫌疑人是所述异常用户画像中的异常用户，输出所述异常用户的网络账号；
若所述第一判断结果表示为网络犯罪嫌疑人不是所述异常用户画像中的异常用户，将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号。


2.根据权利要求1所述的基于用户画像的网络犯罪嫌疑人侦查方法，其特征在于，所述根据所述网络异常行为构建网络异常行为规则库，具体包括：
获取所述网络异常行为的行为序列；
利用层次聚类算法，根据所述行为序列对所述网络用户进行聚类，确定类簇；
获取每个所述类簇中的共有操作以及操作频率；
根据所述操作频率确定所述共有操作的平均频率；
将所述平均频率作为异常行为规则中的操作频率，确定异常行为规则；
根据所述异常行为规则构建所述网络异常行为规则库。


3.根据权利要求1所述的基于用户画像的网络犯罪嫌疑人侦查方法，其特征在于，所述将所述当前网络异常行为与所述异常用户画像进行匹配，具体包括：
获取所述当前网络异常行为的类别；
根据所述当前网络异常行为的类别确定与各类网络异常行为的关联度值；
获取所述异常用户画像中所有所述异常用户的历史网络异常行为统计标签和网络异常行为相似度标签；
根据所述关联度值、所述异常用户画像中所有异常用户的历史网络异常行为统计标签以及网络异常行为相似度标签，利用朴素贝叶斯方法计算每个所述异常用户的犯罪行为概率，确定网络犯罪行为概率高于概率阈值的k个异常用户；k为大于或等于0的整数；
判断所述k个异常用户中是否包含网络犯罪嫌疑人，得到第二判断结果；
若所述第二判断结果为所述k个异常用户中包含网络犯罪嫌疑人，则确定所述网络犯罪嫌疑人是所述异常用户画像中的异常用户。


4.根据权利要求1所述的基于用户画像的网络犯罪嫌疑人侦查方法，其特征在于，所述将所有网络用户的行为序列与所述网络异常行为规则库进行匹配，对所有网络用户进行全面审计，输出网络犯罪嫌疑人的网络账号，具体包括：
获取用户操作日志中当前所有网络用户的行为序列；
将所述行为序列与所述网络异常行为规则库进行匹配，确定所述行为序列与各个异常行为规则的相似度，并选取相似度最大值；
判断所述相似度最大值是否大于网络异常行为相似度的门限值，得到第三判断结果；
若所述第三判断结果表示为所述相似度最大值大于网络异常行为相似度的门限值，判定所述相似度最大值对应的网络用户的行为异常，记录所述网络用户的网络账号，并构建用户画像；
继续审计剩余网络用户，直至所有网络用户审计完成。


5.一种基于用户画像的网络犯罪嫌疑人侦查系统，其特征在于，包括：
网络异常行为获取模块，用于获取各个类型的网络异常行为；
网络异常行为规则库构建模块，用于根据所述网络异常行为构建网络异常行为规则库；所述网络异常行为规则库中的每...

【专利技术属性】
技术研发人员：徐雅斌，张梅舒，
申请(专利权)人：北京信息科技大学，
类型：发明
国别省市：北京;11