【技术实现步骤摘要】
一种用户异常行为检测方法及装置
本申请涉及计算机领域,尤其涉及一种用户异常行为检测方法及装置。
技术介绍
在企业内部每时每刻都在产生着大量的用户行为,例如员工可以通过电脑复制文本、通过聊天工具聊天、通过网页访问网站、通过邮件沟通等,对于一些大型企业而言,员工或达到上万人,网络终端可能达到几十万个,产生的用户行为的数据量是非常庞大的。在这些大量的用户行为中,可能存在着一些异常行为,大到通过邮件发送企业机密数据,小到上班时间浏览购物网站,这些异常行为严重时可能造成企业数据的外泄,对企业的数据安全产生一定的威胁。如何对用户行为进行实时监测,识别出其中的异常行为,是目前亟待解决的技术问题。目前,可以根据用户的历史行为训练用户的正常行为模型,利用训练好的正常行为模型为用户的当前行为进行分类,从而判断用户的当前行为是否为异常行为。然而这种模型训练方式需要大量的训练数据,同时计算量较大,无法实现实时检测。
技术实现思路
为了解决现有技术中用户异常行为对数据安全造成的威胁,本申请实施例提供了一种用户异常行为检测方法及装置,准确并实时地进行异常行为的检测,提高企业数据的安全性。本申请实施例提供了一种用户异常行为检测方法,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;所述方法包括:获取当前用户行为的当前特征,所述当前特征包括当前时间特征;基于所述时间核密度曲线和所述当前时间特征,计算所述 ...
【技术保护点】
1.一种用户异常行为检测方法,其特征在于,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;/n所述方法包括:/n获取当前用户行为的当前特征,所述当前特征包括当前时间特征;/n基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。/n
【技术特征摘要】
1.一种用户异常行为检测方法,其特征在于,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
所述方法包括:
获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
2.根据权利要求1所述的方法,其特征在于,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
3.根据权利要求1所述的方法,其特征在于,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:
根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;...
【专利技术属性】
技术研发人员:朱兴坤,
申请(专利权)人:北京国双科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。