本发明专利技术公开了一种基于密度峰值自适应聚类的用户实体行为分析方法,包括如下步骤:步骤一,提取重要数据服务器一定时间段内的访问用户数据,以访问次数和访问行为构建数据图;步骤二,计算步骤一中用户数据点的局部密度和相互之间距离;步骤三,以拐点之前的点作为簇中心点;步骤四,分析各个数据点集群内的用户行为类型;步骤五,根据步骤四中构建的用户行为基线分析出用户异常行为信息;步骤六,根据筛选的可疑人员名单。本发明专利技术的基于密度峰值自适应聚类的用户实体行为分析方法,通过步骤一至六的设置可有效的对用户实体行为进行有效的分析,及时发现可疑用户。及时发现可疑用户。
【技术实现步骤摘要】
一种基于密度峰值自适应聚类的用户实体行为分析方法
[0001]本专利技术涉及一种分析方法,更具体的说是涉及一种基于密度峰值自适应聚类的用户实体行为分析方法。
技术介绍
[0002]随着数字信息技术的快速发展,使用移动设备在非办公场所进行办公的现象也就越来越普遍,极大的增加办公的随地性和便捷性,如此也增加了工作效率,加快了社会发展。
[0003]上述方式也相应的增加了数字资产的价值,因此同样被网络犯罪组织所垂涎,通过各种病毒、勒索软件来获取经济收益,而上述方式则会极大的侵害普通人们的利益,因此网络安全是目前数字时代的重中之重,现有的网络安全的主要防御方式是通过设置身份权限方式来隔绝犯罪组织,例如账户密码等,然而身份权限在实际情况中会出现被窃取的情况,因此现有的网络安全方式的安全性能还远远不够,无法达到目前网络环境的需求。
技术实现思路
[0004]针对现有技术存在的不足,本专利技术的目的在于提供一种能够有效提升网络安全性能的基于密度峰值自适应聚类的用户实体行为分析方法。
[0005]为实现上述目的,本专利技术提供了如下技术方案:一种基于密度峰值自适应聚类的用户实体行为分析方法,包括如下步骤:
[0006]步骤一,提取重要数据服务器一定时间段内的访问用户数据,以访问次数和访问行为构建数据图,使得访问用户数据在其上形成数据点;
[0007]步骤二,计算步骤一中用户数据点的局部密度和相互之间距离,计算局部密度与距离的乘积,将乘积从大到小依次排列,确定拐点;
[0008]步骤三,以拐点之前的点作为簇中心点,并将剩余的数据点分到各个簇中心点处,获得聚类完成的数据点集群;
[0009]步骤四,分析各个数据点集群内的用户行为类型,且与用户信息数据库进行比对,同时分析用户权限与行为类型的匹配度,构建出用户行为基线;
[0010]步骤五,根据步骤四中构建的用户行为基线分析出用户异常行为信息,判定为可疑人员,对该可疑人员进行关联分析,分析预期存在关联的人员;
[0011]步骤六,根据筛选的可疑人员名单,利用日志搜索对其操作进行回溯,最终确认其威胁行为。
[0012]作为本专利技术的进一步改进,所述步骤四中构建用户行为基线的具体步骤如下:
[0013]步骤四一,根据用户信息数据识别用户是否为新用户;
[0014]步骤四二,若用户为新用户,则提取该用户的权限,根据预设的权限的行为模型作为用户行为基线;
[0015]步骤四三,若用户为老用户,则从用户信息数据库内调取出该老用户的历史行为
数据,对历史行为数据进行分析,获得行为模型作为用户行为基线。
[0016]作为本专利技术的进一步改进,所述步骤四三中对历史行为数据进行分析的具体步骤如下:
[0017]步骤四三一,以访问的服务器和访问行为构建数据图;
[0018]步骤四三二,计算步骤四三一中数据图内数据点的局部密度和相互之间的距离,计算局部密度与距离的乘积,将乘积从大到小依次排列,确定拐点;
[0019]步骤四三二,以拐点之前的点的访问服务器和访问行为作为用户行为基线。
[0020]作为本专利技术的进一步改进,所述步骤五中对该可疑人员进行关联分析的具体步骤如下:
[0021]步骤五一,选定可疑人员所处类别集群内的人员作为预备关联人员;
[0022]步骤五二,对预备关联人员的身份权限进行识别比对,提取出身份权限识别比对结果不符的用户加入可疑人员名单。
[0023]本专利技术的有益效果,通过步骤一至步骤四的设置,便可利用密度峰值聚类算法的方式将访问重要数据服务器一定时间段的用户进行聚类,并且聚类基础为访问次数和访问行为,由此可以将访问重要数据服务器的用户根据其实体行为进行有效聚类,并且通过步骤五和步骤六的设置,便可实现对聚类完成的用户进行分析,有效的找出可疑人员,增加现有的网络安全性能。
具体实施方式
[0024]下面将所给出的实施例对本专利技术做进一步的详述。
[0025]本实施例的一种基于密度峰值自适应聚类的用户实体行为分析方法,包括如下步骤:
[0026]步骤一,提取重要数据服务器一定时间段内的访问用户数据,以访问次数和访问行为构建数据图,使得访问用户数据在其上形成数据点;
[0027]步骤二,计算步骤一中用户数据点的局部密度和相互之间距离,计算局部密度与距离的乘积,将乘积从大到小依次排列,确定拐点;
[0028]步骤三,以拐点之前的点作为簇中心点,并将剩余的数据点分到各个簇中心点处,获得聚类完成的数据点集群;
[0029]步骤四,分析各个数据点集群内的用户行为类型,且与用户信息数据库进行比对,同时分析用户权限与行为类型的匹配度,构建出用户行为基线;
[0030]步骤五,根据步骤四中构建的用户行为基线分析出用户异常行为信息,判定为可疑人员,对该可疑人员进行关联分析,分析预期存在关联的人员;
[0031]步骤六,根据筛选的可疑人员名单,利用日志搜索对其操作进行回溯,最终确认其威胁行为,在使用本实施例的分析方法的过程中,首先通过步骤一至步骤四来利用密度峰值聚类算法将访问重要数据服务器的用户数据以访问次数和访问行为进行聚类,然后再通过步骤五和步骤六的组合,对聚类完成的用户数据点集群进行识别分析,找出相应的可疑人员,由于上述过程一方面采用了密度峰值聚类算法,因而使用者并不需要设置很多参数,同时最终的分析结果与用户在该段时间内的实体行为有关,因而可以有效的排除用户权限和用户信息对于危害重要数据行为的干扰,能够更好更准确的识别出可疑人员,极大的增
加网络安全性能。
[0032]作为改进的一种具体实施方式,所述步骤四中构建用户行为基线的具体步骤如下:
[0033]步骤四一,根据用户信息数据识别用户是否为新用户;
[0034]步骤四二,若用户为新用户,则提取该用户的权限,根据预设的权限的行为模型作为用户行为基线;
[0035]步骤四三,若用户为老用户,则从用户信息数据库内调取出该老用户的历史行为数据,对历史行为数据进行分析,获得行为模型作为用户行为基线,通过上述步骤的设置,可实现对外部入侵或是新入职入侵和用户权限盗用以及老用户改变所产生的侵害行为进行有效的识别,极大增加网络安全性能。
[0036]作为改进的一种具体实施方式,所述步骤四三中对历史行为数据进行分析的具体步骤如下:
[0037]步骤四三一,以访问的服务器和访问行为构建数据图;
[0038]步骤四三二,计算步骤四三一中数据图内数据点的局部密度和相互之间的距离,计算局部密度与距离的乘积,将乘积从大到小依次排列,确定拐点;
[0039]步骤四三二,以拐点之前的点的访问服务器和访问行为作为用户行为基线,通过上述步骤的设置,可以有效的提取出历史数据中用户常访问的服务器和访问行为,如此便可有效的作为行为基线来判断该老用户是否出现问题的情况,并且上述步骤利用了密度峰值聚类原理,因此并不需要设置较多的参数本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于密度峰值自适应聚类的用户实体行为分析方法,其特征在于:包括如下步骤:步骤一,提取重要数据服务器一定时间段内的访问用户数据,以访问次数和访问行为构建数据图,使得访问用户数据在其上形成数据点;步骤二,计算步骤一中用户数据点的局部密度和相互之间距离,计算局部密度与距离的乘积,将乘积从大到小依次排列,确定拐点;步骤三,以拐点之前的点作为簇中心点,并将剩余的数据点分到各个簇中心点处,获得聚类完成的数据点集群;步骤四,分析各个数据点集群内的用户行为类型,且与用户信息数据库进行比对,同时分析用户权限与行为类型的匹配度,构建出用户行为基线;步骤五,根据步骤四中构建的用户行为基线分析出用户异常行为信息,判定为可疑人员,对该可疑人员进行关联分析,分析预期存在关联的人员;步骤六,根据筛选的可疑人员名单,利用日志搜索对其操作进行回溯,最终确认其威胁行为。2.根据权利要求1所述的基于密度峰值自适应聚类的用户实体行为分析方法,其特征在于:所述步骤四中构建用户行为基线的具体步骤如下:步骤四一,根据用户信息数据识别用户是否...
【专利技术属性】
技术研发人员:刘世华,叶展翔,张浩,
申请(专利权)人:温州职业技术学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。