【技术实现步骤摘要】
一种基于知识图谱的网络异常用户检测方法、装置和设备
本申请涉及网络安全
,尤其涉及一种基于知识图谱的网络异常用户检测方法、装置和设备。
技术介绍
网络日志是网站的用户点击信息和其他访问行为的汇总,详细地记录了网站行为的相关属性。在网站遭受攻击后,网络管理者通常会查看相关的网络访问日志的信息。因此,网络日志成为网络管理者发现并防御网络入侵者的攻击行为的重要凭据。然而,为了逃避追查,入侵者通常会让攻击行为产生的日志信息和正常访问行为产生的日志信息尽可能相似,使得网络管理者发现入侵者的难度加大。目前,现有的基于网络日志的异常行为分析方法,主要通过网络日志构建模型,试图找到正常日志内容和攻击日志内容的特点与差异,但现有方法均是针对单条日志进行分析,即单个访问行为的相关属性,存在异常用户检测结果精度不高的问题。
技术实现思路
本申请提供了一种基于知识图谱的网络异常用户检测方法、装置和设备,用于解决现有技术均是针对单条日志进行分析,即单个访问行为的相关属性,存在异常用户检测结果精度不高的技术问题。有鉴于此,本申...
【技术保护点】
1.一种基于知识图谱的网络异常用户检测方法,其特征在于,包括:/n基于获取的访问用户的网络日志构建用户访问行为的知识图谱,得到网络行为图谱;/n基于所述网络行为图谱和所述网络日志提取各所述访问用户的访问行为特征;/n将各所述访问用户的访问行为特征输入预置随机森林模型进行用户类型检测,输出用户类型为异常的访问用户,所述预置随机森林模型为所述访问用户的访问行为特征与用户类型的关系映射模型。/n
【技术特征摘要】
1.一种基于知识图谱的网络异常用户检测方法,其特征在于,包括:
基于获取的访问用户的网络日志构建用户访问行为的知识图谱,得到网络行为图谱;
基于所述网络行为图谱和所述网络日志提取各所述访问用户的访问行为特征;
将各所述访问用户的访问行为特征输入预置随机森林模型进行用户类型检测,输出用户类型为异常的访问用户,所述预置随机森林模型为所述访问用户的访问行为特征与用户类型的关系映射模型。
2.根据权利要求1所述的基于知识图谱的网络异常用户检测方法,其特征在于,所述基于获取的访问用户的网络日志构建用户访问行为的知识图谱,得到网络行为图谱,包括:
在获取访问用户的网络日志后,将所述网络日志内的访问地址作为节点,根据所述网络日志获取所述节点之间的访问关系,并基于所述节点和所述访问关系构建用户访问行为的知识图谱,得到网络行为图谱;
其中,所述网络行为图谱中具有所述访问关系的两个节点之间连接有一条边,所述边的权重为所述两个节点之间的访问次数。
3.根据权利要求1所述的基于知识图谱的网络异常用户检测方法,其特征在于,所述基于所述网络行为图谱和所述网络日志提取各所述访问用户的访问行为特征,包括:
基于所述网络行为图谱提取各所述访问用户的第一网络访问特征,并基于所述网络日志提取各所述访问用户的第二网络访问特征,得到各所述访问用户的访问行为特征;
其中,所述第一网络访问特征包括:用户路径规模特征、用户日志数量特征或用户访问频率特征,第二网络访问特征包括:URL长度特征、请求参数数量特征、特殊字符频率特征或字符熵特征。
4.根据权利要求3所述的基于知识图谱的网络异常用户检测方法,其特征在于,基于所述网络行为图谱提取各所述访问用户的用户路径规模特征,包括:
在提取所述网络行为图谱中各所述访问用户所有的访问路径的权重后,计算各所述访问用户所有的访问路径的权重之和与所述网络行为图谱中所有所述访问用户所有的访问路径的权重之和的比值,得到各所述访问用户的用户路径规模特征。
5.根据权利要求1所述的基于知识图谱的网络异常用户检测方法,其特征在于,所述预置随机森林模型的配置过程包括:
获取正常访问用户和异常访问用户的历史网络日志;
基于所述历史网络日志构建的网络行为图谱和所述历史网络日志提取所述正常访问用户和所述异常访问用户的访问行为特征;
对所述正常访问用户和所述异常访问用户的访问行为特征进行类别标记,得到训练集;
通过所述训练集对随机森...
【专利技术属性】
技术研发人员:孙强强,连耿雄,陈昊,丘惠军,陈霖,匡晓云,杨祎巍,
申请(专利权)人:深圳供电局有限公司,南方电网科学研究院有限责任公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。