【技术实现步骤摘要】
一种用户行为的检测方法和装置本申请是申请号为201710668128.9,申请日为2017.08.07,专利技术名称为“一种用户行为的检测方法和装置”的专利申请的分案申请。
本申请涉及信息安全
,特别是涉及一种用户行为的检测方法、一种用户行为的检测装置、一种用户相似度数据表的生成方法和一种用户相似度数据表的生成装置。
技术介绍
随着互联网技术的高速发展,异常检测成为了网络安全领域的一个重要而迫切的问题。在过去几十年中,由于DDoS(DistributedDenialofService,分布式拒绝服务攻击)、病毒、木马、爬虫等攻击行为的猖獗和泛滥,针对这些入侵行为的检测技术越来越丰富。但是,除了病毒、木马等来自外部的恶意攻击,企业局域网也面临着来自于内部的网络威胁,例如,内部员工窃取数据、身份冒用、内部用户非法操作等等。这些来自内部的异常行为的模式与传统的网络攻击行为的模式不同,不具有固定的特征,无法建立起类似病毒木马的特征库,因此更加难以察觉和发现,使得网络对于内部攻击的检测效率很低。在传统的内部异常检测系统中,绝大多数企业局域网通过安全策略管理来实现对内部异常行为的监测。通常,安全策略管理方式可以分为“白名单策略”和“黑名单策略”。其中,“白名单策略”采用建立正常行为模型的方式,凡是不符合该模型的行为将被识别为异常;而“黑名单策略”则相反,它将所有不可接受的行为归纳起来建立一个模型,凡是符合该模型的行为将被识别为异常。使用安全管理策略的用户可以根据系统的特点和安全要求来制定策略或规则,并选择相...
【技术保护点】
1.一种用户行为的检测方法,其特征在于,包括:/n获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;/n依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;/n依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;/n获取当前用户与其他用户之间的行为相似度;/n采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;/n依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测;/n其中,所述获取当前用户与其他用户之间的行为相似度的步骤包括:/n从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。/n
【技术特征摘要】
1.一种用户行为的检测方法,其特征在于,包括:
获取当前用户的当前行为和历史行为,以及其他用户的当前行为,所述当前行为包括在预设时间段内的一个或多个用户行为;
依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值;
依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度;
获取当前用户与其他用户之间的行为相似度;
采用所述当前相似度和行为相似度,计算所述当前用户的相似度偏离值;
依据所述自身偏离值和相似度偏离值,对所述用户行为进行检测;
其中,所述获取当前用户与其他用户之间的行为相似度的步骤包括:
从预置的用户相似度数据表中提取当前用户与其他用户之间的行为相似度。
2.如权利要求1所述的方法,其特征在于,所述依据所述当前用户的当前行为和历史行为,计算所述当前用户的自身偏离值的步骤包括:
提取所述当前用户的当前行为和历史行为中的第一共同行为;
分别统计所述第一共同行为和所述当前用户的当前行为的数量;
计算所述第一共同行为的数量与所述当前用户的当前行为的数量之间的第一比值;
以所述第一比值与特定数值之间的差值的绝对值作为自身偏离值。
3.如权利要求1所述的方法,其特征在于,所述依据所述当前用户的当前行为和其他用户的当前行为,计算所述当前用户与其他用户的当前相似度的步骤包括:
提取所述当前用户的当前行为和其他用户的当前行为中的第二共同行为;
分别统计所述第二共同行为和所述当前用户的当前行为的数量;
计算所述第二共同行为的数量与所述当前用户的当前行为的数量之间的第二比值;
以所述第二比值作为当前相似度。
4.如权利要求3所述的方法,其特征在于,还包括:
采用所述当前相似度,生成当前相似度向量。
5.如权利要求1所述的方法,其特征在于,所述预置的用户相似度数据表通过如下方式生成:
获取终端的日志数据;
依据所述日志数据,生成用户的行为数据;
采用所述用户的行为数据,计算用户的特征信息;
依据所述用户的特征信息,生成用户相似度数据表。
6.如权利要求5所述的方法,其特征在于,所述日志数据包括终端操作数据、应用操作数据,和/或,网络操作数据,所...
【专利技术属性】
技术研发人员:王占一,韩琳,谢军平,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。