本公开公开了一种用户行为异常检测方法和装置,涉及安全领域。其中的方法包括:对用户行为日志进行分析,获取多个样本对应的行为特征向量;计算每两个样本的行为特征向量之间的相似度值;将计算的每一个相似度值,作为PR算法的相应行为特征向量之间的权重值;执行PR算法迭代计算,生成行为特征向量的PR值排序结果,其中,PR算法中每个样本的行为特征向量的PR值的初始值相同;根据PR值排序结果,确定异常行为。本公开将异常值检测转换为特征向量之间链接关系重要性排序问题,构造用户之间或用户行为之间的链接图,从而发现行为有异常的用户,提高了异常行为检测的准确性。
【技术实现步骤摘要】
用户行为异常检测方法和装置
本公开涉及安全领域,尤其涉及一种用户行为异常检测方法和装置。
技术介绍
根据Verizon2018年统计,28%的数据泄露是由内部威胁造成的,如何对企业内部用户的操作行为日志进行分析,发现异常和威胁,成为近几年的研究热点。
技术实现思路
本公开要解决的一个技术问题是,提供一种用户行为异常检测方法和装置,能够提高异常行为检测的准确性。根据本公开一方面,提出一种用户行为异常检测方法,包括:对用户行为日志进行分析,获取多个样本对应的行为特征向量;计算每两个样本的行为特征向量之间的相似度值;将计算的每一个相似度值,作为网页排名PR算法的相应行为特征向量之间的权重值;执行PR算法迭代计算,生成行为特征向量的PR值排序结果,其中,PR算法中每个样本的行为特征向量的PR值的初始值相同;根据PR值排序结果,确定异常行为。在一些实施例中,PR算法公式为其中,PR_it+1为样本i的第t+1次行为特征向量对应的PR值,PR_jt为样本j的第t次行为特征向量对应的PR值,S_ij为样本i的行为特征向量与样本j的行为特征向量之间的相似度值,m为样本个数,i≠j,t、i、j为大于等于1的正整数。在一些实施例中,多个样本对应的行为特征向量包括多个用户对应的行为特征向量;或者多个样本对应的行为特征向量包括同一用户的多个时间点对应的行为特征向量。在一些实施例中,其中,根据PR值排序结果,确定异常行为包括:将PR值排序结果中,PR值小于第一阈值的行为特征向量对应的用户行为,作为异常行为。在一些实施例中,根据PR值排序结果,确定异常行为包括:获取PR值排序结果中,PR值大于第二阈值的行为特征向量;若PR值大于第二阈值的行为特征向量的持续时间大于时间阈值,则将PR值大于第二阈值的行为特征向量对应的用户行为,作为异常行为。根据本公开的另一方面,还提出一种用户行为异常检测装置,包括:行为特征向量获取单元,被配置为对用户行为日志进行分析,获取多个样本对应的行为特征向量;相似度值计算单元,被配置为计算每两个样本的行为特征向量之间的相似度值;PR值排序单元,被配置为将计算的每一个相似度值,作为网页排名PR算法的相应行为特征向量之间的权重值;执行PR算法迭代计算,生成行为特征向量的PR值排序结果,其中,PR算法中每个样本的行为特征向量的PR值的初始值相同;异常行为识别单元,被配置为根据PR值排序结果,确定异常行为。在一些实施例中,PR算法公式为其中,PR_it+1为样本i的第t+1次行为特征向量对应的PR值,PR_jt为样本j的第t次行为特征向量对应的PR值,S_ij为样本i的行为特征向量与样本j的行为特征向量之间的相似度值,m为样本个数,i≠j,t、i、j为大于等于1的正整数。在一些实施例中,多个样本对应的行为特征向量包括多个用户对应的行为特征向量;或者多个样本对应的行为特征向量包括同一用户的多个时间点对应的行为特征向量。根据本公开的另一方面,还提出一种用户行为异常检测装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器的指令执行如上述的用户行为异常检测方法。根据本公开的另一方面,还提出一种计算机可读存储介质,其上存储有计算机程序指令,该指令被处理器执行时实现上述的用户行为异常检测方法。与现有技术相比,本公开实施例基于PR算法原理,将异常值检测转换为特征向量之间链接关系重要性排序问题,构造用户之间或用户行为之间的链接图,从而发现行为有异常的用户,提高了异常行为检测的准确性。通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。附图说明构成说明书的一部分的附图描述了本公开的实施例,并且连同说明书一起用于解释本公开的原理。参照附图,根据下面的详细描述,可以更加清楚地理解本公开,其中:图1为本公开的用户行为异常检测方法的一些实施例的流程示意图。图2为本公开的用户行为异常检测方法的另一些实施例的流程示意图。图3为本公开的用户行为异常检测方法的另一些实施例的流程示意图。图4为本公开的用户行为异常检测装置的一些实施例的结构示意图。图5为本公开的用户行为异常检测装置的另一些实施例的结构示意图。图6为本公开的用户行为异常检测装置的另一些实施例的结构示意图。具体实施方式现在将参照附图来详细描述本公开的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。图1为本公开的用户行为异常检测方法的一些实施例的流程示意图。在步骤110,对用户行为日志进行分析,获取多个样本对应的行为特征向量。多个样本对应的行为特征向量包括多个用户对应的行为特征向量;或者多个样本对应的行为特征向量包括同一用户的多个时间点对应的行为特征向量。例如,从日志中采集用户行为数据,进行特征工程,将不同用户行为或同一用户的周期性行为构建成m*n维特征空间的特征向量,其中,n为特征数,m为样本数。在步骤120,计算每两个样本的行为特征向量之间的相似度值。例如,计算行为特征向量两两之间的余弦相似度值,或距离相似度等。在步骤130,将计算的每一个相似度值,作为PR(PageRank,网页排名)算法的相应行为特征向量之间的权重值。在步骤140,执行PR算法迭代计算,生成行为特征向量的PR值排序结果。其中,PR算法中每个样本的行为特征向量的PR值的初始值相同,例如,每个样本的行为特征向量对应的PR值的初始值为1/m。步骤130和步骤140对特征特征向量之间链接关系重要性排序。在一些实施例中,PR算法公式为其中,PR_it+1为样本i的第t+1次行为特征向量对应的PR值,PR_jt为样本j的第t次行为特征向量对应的PR值,S_ij为样本i的行为特征向量与样本j的行为特征向量之间的相似度值,m为样本个数,i≠j,t、i、j分别为大于等于1的正整数。在步骤150,根据PR值排序结果,确定异常行为。在一本文档来自技高网...
【技术保护点】
1.一种用户行为异常检测方法,包括:/n对用户行为日志进行分析,获取多个样本对应的行为特征向量;/n计算每两个样本的行为特征向量之间的相似度值;/n将计算的每一个相似度值,作为网页排名PR算法的相应行为特征向量之间的权重值;/n执行PR算法迭代计算,生成行为特征向量的PR值排序结果,其中,所述PR算法中每个样本的行为特征向量的PR值的初始值相同;/n根据所述PR值排序结果,确定异常行为。/n
【技术特征摘要】
1.一种用户行为异常检测方法,包括:
对用户行为日志进行分析,获取多个样本对应的行为特征向量;
计算每两个样本的行为特征向量之间的相似度值;
将计算的每一个相似度值,作为网页排名PR算法的相应行为特征向量之间的权重值;
执行PR算法迭代计算,生成行为特征向量的PR值排序结果,其中,所述PR算法中每个样本的行为特征向量的PR值的初始值相同;
根据所述PR值排序结果,确定异常行为。
2.根据权利要求1所述的用户行为异常检测方法,其中,
所述PR算法公式为其中,PR_it+1为样本i的第t+1次行为特征向量对应的PR值,PR_jt为样本j的第t次行为特征向量对应的PR值,S_ij为样本i的行为特征向量与样本j的行为特征向量之间的相似度值,m为样本个数,i≠j,t、i、j为大于等于1的正整数。
3.根据权利要求1所述的用户行为异常检测方法,其中,
所述多个样本对应的行为特征向量包括多个用户对应的行为特征向量;
或者
所述多个样本对应的行为特征向量包括同一用户的多个时间点对应的行为特征向量。
4.根据权利要求1至3任一所述的用户行为异常检测方法,其中,根据所述PR值排序结果,确定异常行为包括:
将所述PR值排序结果中,PR值小于第一阈值的行为特征向量对应的用户行为,作为异常行为。
5.根据权利要求1至3任一所述的用户行为异常检测方法,其中,根据所述PR值排序结果,确定异常行为包括:
获取所述PR值排序结果中,PR值大于第二阈值的行为特征向量;
若所述PR值大于第二阈值的行为特征向量的持续时间大于时间阈值,则将所述PR值大于第二阈值的行为特征...
【专利技术属性】
技术研发人员:赵钧,周文红,房硕,张涛,陈盈,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。