用户异常行为识别方法、系统、电子设备及存储介质技术方案

本发明专利技术提出一种用户异常行为识别方法、系统、电子设备及存储介质，其方法技术方案包括流量异常检测步骤，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别步骤，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类步骤，识别所述异常用户的异常行为类型，并输出所述异常行为类型。本申请解决了现有用户异常行为识别方法无法准确标识出部分用户行为的问题。为的问题。为的问题。

【技术实现步骤摘要】
用户异常行为识别方法、系统、电子设备及存储介质


[0001]本专利技术属于数据安全
，尤其涉及一种用户异常行为识别方法、系统、电子设备及存储介质。

技术介绍

[0002]随着个人便携式智能移动设备和无线网络的普及，中国网络及其各种应用呈现出井喷式的发展状态。信息化、数字化、大数据时代成为现代社会的大势所趋，如果网络出现异常，可能会对个人、组织和国家的经济、安全、隐私等方面的利益会造成严重的损失。目前，许多网络攻击者想方设法的绕开网络安全监控系统的侦查，获取机要信息或者妨碍网络的正常运行，以获取非法收入，得到非法受益。
[0003]现有技术包括基于端口的识别方法，计算机网络中的端口包含两种概念：(1)物理意义上的端口，应用在设备与设备之间的连接接口上；(2)逻辑意义上的端口，指的是TCP/IP协议中使用的端口号。现有逻辑意义上的端口总共可以分配65536个端口号，包括公认端口、注册端口和动态端口。其中公认端口范围为0至1023，注册端口范围为1024至49151，动态端口为1024至65535。在互联网的发展初期，应用程序较少时，使用公认端口可以标识用户行为的类型，而且攻击者常常利用某些端口号对网络进行发起攻击，也可以通过端口号识别出发生异常的行为。基于端口的识别方法虽然可以通过分析用户流量中端口号的关联性，可以达到识别用户异常行为的目的，但是它的缺点是无法准确标识出部分用户行为。

技术实现思路

[0004]本申请实施例提供了一种用户异常行为识别方法、系统、电子设备及存储介质，以至少解决现有用户异常行为识别方法无法准确标识出部分用户行为的问题。
[0005]第一方面，本申请实施例提供了一种用户异常行为识别方法，包括：流量异常检测步骤，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别步骤，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类步骤，识别所述异常用户的异常行为类型，并输出所述异常行为类型。
[0006]优选的，所述用户行为识别步骤进一步包括：对所述异常流量中所述用户的用户行为数据之间的相似度进行计算，根据一预设相似度标准，判定不符合所述预设相似度标准的所述用户为所述异常用户。
[0007]优选的，所述异常行为分类步骤进一步包括：使用k
‑
means算法进行所述异常行为类型分簇。
[0008]优选的，所述流量异常检测步骤进一步包括：在所述流量异常检测步骤的执行过程中，根据所述异常流量检测的灵敏度对所述预设阈值进行调整，若未检测到所述异常流量，则对下一所述时间点执行所述流量异常检测步骤。
[0009]第二方面，本申请实施例提供了一种用户异常行为识别系统，适用于上述一种用
户异常行为识别方法，包括：流量异常检测模块，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别模块，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类模块，识别所述异常用户的异常行为类型，并输出所述异常行为类型。
[0010]在其中一些实施例中，所述用户行为识别模块进一步包括：对所述异常流量中所述用户的用户行为数据之间的相似度进行计算，根据一预设相似度标准，判定不符合所述预设相似度标准的所述用户为所述异常用户。
[0011]在其中一些实施例中，所述异常行为分类模块进一步包括：使用k
‑
means算法进行所述异常行为类型分簇。
[0012]在其中一些实施例中，所述流量异常检测模块进一步包括：在所述流量异常检测模块的执行过程中，根据所述异常流量检测的灵敏度对所述预设阈值进行调整，若未检测到所述异常流量，则对下一所述时间点执行所述流量异常检测模块。
[0013]第三方面，本申请实施例提供了一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的一种用户异常行为识别方法。
[0014]第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的一种用户异常行为识别方法。
[0015]本申请可应用于营销智能
相比于相关技术，本申请实施例提供的一种用户异常行为识别方法，使用机器学习算法进行用户异常行为识别的方法，包括流量异常检测功能和用户异常行为识别功能，可以基于某个时间点的流量进行流量异常检测，并基于检测的异常流量识别用户异常行为，可以准确准确标识出部分用户行为。
附图说明
[0016]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：
[0017]图1为本专利技术的用户异常行为识别方法流程图；
[0018]图2为本专利技术的用户异常行为识别系统的框架图；
[0019]图3为本专利技术的电子设备的框架图；
[0020]以上图中：
[0021]1、流量异常检测模块；2、用户行为识别模块；3、异常行为分类模块；60、总线；61、处理器；62、存储器；63、通信接口。
具体实施方式
[0022]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0023]显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用
于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的
技术实现思路
的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。
[0024]在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。
[0025]除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属
内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户异常行为识别方法，其特征在于，包括：流量异常检测步骤，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别步骤，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类步骤，识别所述异常用户的异常行为类型，并输出所述异常行为类型。2.根据权利要求1所述的用户异常行为识别方法，其特征在于，所述用户行为识别步骤进一步包括：对所述异常流量中所述用户的用户行为数据之间的相似度进行计算，根据一预设相似度标准，判定不符合所述预设相似度标准的所述用户为所述异常用户。3.根据权利要求1所述的用户异常行为识别方法，其特征在于，所述异常行为分类步骤进一步包括：使用k
‑
means算法进行所述异常行为类型分簇。4.根据权利要求1所述的用户异常行为识别方法，其特征在于，所述流量异常检测步骤进一步包括：在所述流量异常检测步骤的执行过程中，根据所述异常流量检测的灵敏度对所述预设阈值进行调整，若未检测到所述异常流量，则对下一所述时间点执行所述流量异常检测步骤。5.一种用户异常行为识别系统，其特征在于，包括：流量异常检测模块，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别模块，若存在异常...

【专利技术属性】
技术研发人员：王硕，王同乐，李霞，杨康，
申请(专利权)人：北京明略软件系统有限公司，
类型：发明
国别省市：