一种异常行为检测方法和装置制造方法及图纸

本发明专利技术公开了一种异常行为检测方法和装置，涉及数据安全防护领域。该方法的一具体实施方式包括：在预定时间间隔内，基于多个数据维度对待检测用户的历史行为数据进行采样，组合多个数据维度的历史行为数据，以生成待检测数组；基于待检测数组生成待检测序列，结合起始概率矩阵、背景显像概率矩阵和转移概率矩阵一同输入隐马尔可夫模型中，以通过模型中的第一算法处理待检测序列，得到最大概率隐藏状态字符串；处理最大概率隐藏状态字符串，得到异常行为序列，计算异常行为序列的异常得分，比对异常得分和预定分值阈值，以识别待检测用户的行为是否异常。该实施方式对用户历史行为数据进行采样、处理和评估打分，以定位并检测异常行为。

【技术实现步骤摘要】
一种异常行为检测方法和装置
本专利技术涉及数据安全防护领域，尤其涉及一种异常行为检测方法和装置。
技术介绍
UEBA(UserEntityBehaviorAnalytics，用户实体行为分析)自诞生以来，一直为数据安全防护的主流，通过机器学习方法进行安全分析，以检测高级、隐藏和内部威胁。用户行为建模和异常检测是UEBA的重要组成部分。目前用户行为异常检测主要表现为“单维统计多维组合展示方法”和“基于规则的关键事件行为链方法”。其中，“单维统计多维组合展示方法”是对用户行为在单维度上的传统统计，并设置单维异常阈值，多维组合由专家经验进行权重设置并组合；“基于规则的关键事件行为链方法”是对多维特征行为进行时间序列上的链式规则描述。在实现本专利技术的过程中，专利技术人发现现有技术至少存在如下问题：“单维统计多维组合展示方法”缺乏对多维数据之间潜在联系的描述能力，“基于规则的关键事件行为链方法”需要大量专家和安全技术人员进行数据分析和总结，耗费人力成本较大。
技术实现思路
有鉴于此，本专利技术实施例提供一种异本文档来自技高网...

【技术保护点】
1.一种异常行为检测方法，其特征在于，包括：/n在预定时间间隔内，基于多个数据维度对待检测用户的历史行为数据进行采样，组合所述多个数据维度的历史行为数据，以生成待检测数组；/n基于待检测数组生成待检测序列，结合起始概率矩阵、背景显像概率矩阵和转移概率矩阵一同输入隐马尔可夫模型中，以通过模型中的第一算法处理所述待检测序列，得到最大概率隐藏状态字符串；/n处理所述最大概率隐藏状态字符串，得到异常行为序列，计算所述异常行为序列的异常得分，比对所述异常得分和预定分值阈值，以识别所述待检测用户的行为是否异常。/n

【技术特征摘要】
1.一种异常行为检测方法，其特征在于，包括：
在预定时间间隔内，基于多个数据维度对待检测用户的历史行为数据进行采样，组合所述多个数据维度的历史行为数据，以生成待检测数组；
基于待检测数组生成待检测序列，结合起始概率矩阵、背景显像概率矩阵和转移概率矩阵一同输入隐马尔可夫模型中，以通过模型中的第一算法处理所述待检测序列，得到最大概率隐藏状态字符串；
处理所述最大概率隐藏状态字符串，得到异常行为序列，计算所述异常行为序列的异常得分，比对所述异常得分和预定分值阈值，以识别所述待检测用户的行为是否异常。


2.根据权利要求1所述的方法，其特征在于，所述基于待检测数组生成待检测序列，包括：
将待检测数组中的非0数据标志为1，得到二进制串，转制二进制串为十进制数；
按照采样时间段从小到大的顺序，对各待检测数组的十进制数进行排序组合，得到十进制序列；
从十进制序列的尾部开始，按序提取第一预定长度的非0十进制数，得到一个子序列，在子序列的头部添加0，得到待检测序列。


3.根据权利要求1所述的方法，其特征在于，在所述基于待检测数组生成待检测序列，结合起始概率矩阵、背景显像概率矩阵和转移概率矩阵一同输入隐马尔可夫模型中之前，还包括：
对于待赋值背景显像概率矩阵中一元素，将下标中的行数转制为行二进制串以及将列数转制为列二进制串；
判断所述行二进制串与所述列二进制串的按位与结果是否等于所述行二进制串，若不等，则将所述元素设置为0；
若相等，则获取所述待赋值背景显像概率矩阵的总阶数，将所述总阶数减1并转制为阶二进制串；其中，所述总阶数为2的数据维度总数次方；
确定所述行二进制串与所述阶二进制串的按位与结果，统计按位与结果中0的个数，并判断所述行数是否等于所述列数；
若相等，则将所述元素设置为预定背景概率阈值，否则基于所述预定背景概率阈值和所述个数，确定所述元素的数值；
重复上述转制、判断和赋值过程，得到所述待赋值背景显像概率矩阵中各元素的数值，以构建所述背景显像概率矩阵。


4.根据权利要求1所述的方法，其特征在于，所述处理所述最大概率隐藏状态字符串，得到异常行为序列，包括：
去除所述最大概率隐藏状态字符串中的首位字符0，得到第一字符串；
按照所述多个数据维度的维度数量，将所述第一字符串中的字符由十进制数转制为二进制串，以基于二进制串生成对应于字符的第一数组；
确定第一数组中非0的第一数据，获取与所述第一数据对应的第一数据维度和采样时间段；
从与所述第一数据维度对应的期望值表中，查询与所述采样时间段对应的期望值，将所述第一数据替换为所述期望值，得到第二数组；
确定与所述采样时间段对应的待检测数组，将所述第二数组和待检测数组相减并取绝对值，得到第三数组，按照采样时间段从小到大的顺序组合第三数组，得到异常行为序列。


5.根据权利要求4所述的方法，其特征在于，在所述从与所述第一数据维度对应的期望值表中，查询与所述采样时间段对应的期望值之前，还包括：
在所述预定时间间隔内，基于多个数据维度对样本用户的历史行为数据进行采样，组合所述多个数据维度的历史行为数据，以生成样本数组；
以所述预定时间间隔为单位，将预定时长划分为多个时间段，以一时间段为中心，确定各统计维度下的统计时间区间，从样本数组中获取与一数据维度和一统计时间区间对应的数据；
基于各统计维度下获取的数据，计算所述一数据维度在所述一时间段的期望值，重复上述数据获取和计算操作，得到所述一数据维度在每个时间段的期望值；
按照时间段从小到大的顺序对期望值进行排序，得到与所述一数据维度对应的期望值表。


6.根据权利要求5所述的方...

【专利技术属性】
技术研发人员：陈少涵，胡跃，吴雪阳，
申请(专利权)人：北京天空卫士网络安全技术有限公司，
类型：发明
国别省市：北京;11