本申请实施例公开了一种用户异常行为检测方法及装置,预先获取多个历史用户行为的历史特征,历史特征可以包括历史时间特征,根据多个历史时间特征的值进行时间核密度估计,可以得到时间核密度曲线,这样在获取到当前用户行为的当前特征后,当前特征包括当前时间特征,可以基于时间核密度曲线和当前时间特征,计算当前用户行为对应的行为异常指数。由于根据历史用户行为的历史特征去确定时间核密度曲线,需要较大的计算量,本申请实施例中可以预先得到时间核密度曲线,在进行用户行为的实时检测时,可以直接使用得到的时间核密度曲线来确定用户行为是否正常,因此减少了异常行为检测过程中的计算量,从而提高异常行为检测的实时性。
【技术实现步骤摘要】
一种用户异常行为检测方法及装置
本申请涉及计算机领域,尤其涉及一种用户异常行为检测方法及装置。
技术介绍
在企业内部每时每刻都在产生着大量的用户行为,例如员工可以通过电脑复制文本、通过聊天工具聊天、通过网页访问网站、通过邮件沟通等,对于一些大型企业而言,员工或达到上万人,网络终端可能达到几十万个,产生的用户行为的数据量是非常庞大的。在这些大量的用户行为中,可能存在着一些异常行为,大到通过邮件发送企业机密数据,小到上班时间浏览购物网站,这些异常行为严重时可能造成企业数据的外泄,对企业的数据安全产生一定的威胁。如何对用户行为进行实时监测,识别出其中的异常行为,是目前亟待解决的技术问题。目前,可以根据用户的历史行为训练用户的正常行为模型,利用训练好的正常行为模型为用户的当前行为进行分类,从而判断用户的当前行为是否为异常行为。然而这种模型训练方式需要大量的训练数据,同时计算量较大,无法实现实时检测。
技术实现思路
为了解决现有技术中用户异常行为对数据安全造成的威胁,本申请实施例提供了一种用户异常行为检测方法及装置,准确并实时地进行异常行为的检测,提高企业数据的安全性。本申请实施例提供了一种用户异常行为检测方法,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;所述方法包括:获取当前用户行为的当前特征,所述当前特征包括当前时间特征;基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。可选的,所述方法还包括:预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:将所述当前时间特征输入所述时间核密度模型;获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:将至少一项所述当前特征输入对应的频繁项集模型;获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:将至少所述当前其他特征输入对应的频次模型;获取所述频次模型输出的频次异常指数;所述频次模型预先根据所述当前其他特征对应的历史其他特征训练得到。可选的,所述基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数,包括:对所述核密度异常指数、所述频繁项集异常指数和频次异常指数进行加权平均,得到所述当前用户行为对应的行为异常指数。可选的,所述历史用户行为和所述当前用户行为为网络端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前协议特征、当前地区特征、当前源IP特征、当前目标IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史协议特征、历史地区特征、历史源IP特征、历史目标IP特征、历史区域特征、历史单位id特征、历史部门id特征、历史用户id特征。可选的,所述历史用户行为和所述当前用户行为为终端事件,所述当前其他特征包括以下至少一种:当前时间特征、当前通道特征、当前地区特征、当前源IP特征、当前区域特征、当前单位id特征、当前部门id特征、当前用户id特征、当前应用名称特征;所述历史其他特征至少包括以下特征中与所述当前其他特征对应的特征:历史时间特征、历史通道特征、历史地区特征、历史源IP特征、历史区域特征、历史单位id特征、历史用户id特征、历史部门id特征、历史应用名称特征。本申请实施例还提供了一种用户异常行为检测装置,包括:密度曲线获取单元,用于预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;当前特征获取单元,用于获取当前用户行为的当前特征,所述当前特征包括当前时间特征;异常指数获取单元,用于基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。可选的,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。可选的,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述异常指数获取单元包括:第一异常指数计算单元,用于根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;第二异常指数计算单元,用于根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;第三异常指数计算单元,用于根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;异常指数获取子单元,用于基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。可选的,所述装置还包括:模型训练单元,用于预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;所述第一异常指数计算单元具体用于:将所述当前时间特征输入所述时间核密度模型;获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;所述第二异常指数计算单元具体用于:本文档来自技高网...
【技术保护点】
1.一种用户异常行为检测方法,其特征在于,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;/n所述方法包括:/n获取当前用户行为的当前特征,所述当前特征包括当前时间特征;/n基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。/n
【技术特征摘要】
1.一种用户异常行为检测方法,其特征在于,预先获取多个历史用户行为的历史特征,所述历史特征包括历史时间特征,根据多个所述历史时间特征进行时间核密度估计,得到时间核密度曲线;
所述方法包括:
获取当前用户行为的当前特征,所述当前特征包括当前时间特征;
基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为对应的行为异常指数。
2.根据权利要求1所述的方法,其特征在于,所述时间核密度曲线包括以下至少一种:时分核密度曲线、周几核密度曲线、日期核密度曲线。
3.根据权利要求1所述的方法,其特征在于,所述历史用户行为还具有历史其他特征,所述当前用户行为还具有当前其他特征,则所述基于所述时间核密度曲线和所述当前时间特征,计算所述当前用户行为数据对应的行为异常指数,包括:
根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的核密度异常指数;
根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数;
根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数;
基于所述核密度异常指数、所述频繁项集异常指数和频次异常指数,计算所述当前用户行为对应的行为异常指数。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
预先利用所述历史特征训练用户异常行为检测模型,所述用户异常行为检测模型包括时间核密度模型、频繁项集模型和频次模型;所述时间核密度模型中存储有所述时间核密度曲线;
所述根据所述时间核密度曲线和所述当前时间特征,计算得到所述当前用户行为对应的时间核异常指数,包括:
将所述当前时间特征输入所述时间核密度模型;
获取所述时间核密度模型输出的时间核异常指数;所述时间核密度模型预先根据所述历史时间特征训练得到;
所述根据至少一项所述当前特征以及所述当前特征对应的历史特征的频繁项集,计算得到所述当前用户行为对应的频繁项集异常指数,包括:
将至少一项所述当前特征输入对应的频繁项集模型;
获取所述频繁项集模型输出的频繁项集异常指数;所述频繁项集模型预先根据所述当前特征对应的历史特征训练得到;
所述根据至少一项所述当前其他特征以及所述当前其他特征对应的历史其他特征的历史频次,计算得到所述当前用户行为对应的频次异常指数,包括:
将至少所述当前其他特征输入对应的频次模型;
获取所述频次模型输出的频次异常指数;...
【专利技术属性】
技术研发人员:朱兴坤,
申请(专利权)人:北京国双科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。