一种用户异常行为检测和处理系统及其方法技术方案

本发明专利技术提供一种用户异常行为检测和处理系统及其方法，包括：用户数据处理模块：采用用户数据进行训练，并将获取的模型参数作为流量数据包上传；网络检测和识别分类模块：对流量数据包进行特征信息的提取、分类和特征向量的标记；异常识别模块：识别流量数据包是否异常，处理异常流量数据包，并将正常流量数据包和未能处理的异常流量数据包发送；参数执行聚合模块：识别和处理未能处理的异常流量数据包，并对正常流量数据包中的模型参数进行聚合，进而形成全局模型，并将全局模型发送至每个用户。与现有技术相比，本发明专利技术能够在不泄漏任何用户数据的情况下高效检测用户的异常行为并及时处理异常数据，确保在数据加密交互过程中的安全性。全性。全性。

【技术实现步骤摘要】
一种用户异常行为检测和处理系统及其方法


[0001]本专利技术涉及计算机网络安全领域，尤其是涉及一种用户异常行为检测和处理系统及其方法。

技术介绍

[0002]随着网络应用的广泛普及和网络攻击技术的不断发展，社会各界都对网络空间安全技术给予了高度关注，需要在网络空间安全领域解决入侵检测的问题。
[0003]近年来，对用户异常行为的检测已经成为入侵检测的重要分支。由于每个用户都有不同的工作任务和个人习惯，因此用户命令输入具有序列化和多样化的特征。故有必要设计一种检测系统来审核用户输入的shell命令，以快速检测和防止恶意行为。
[0004]但是，用户输入的Shell命令涉及操作隐私，许多用户无法共享用于算法模型训练的个人数据集。而大多数的入侵检测系统都是基于传统的机器学习算法构建的，很难在不涉及用户隐私的情况下使用用户的本地数据集进行训练。

技术实现思路

[0005]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种用户异常行为检测和处理系统及其方法，该系统和方法能够在不泄漏任何用户数据的情况下高效检测用户的异常行为并及时处理异常数据，确保在数据加密交互过程中的安全性。
[0006]本专利技术的目的可以通过以下技术方案来实现：
[0007]根据本专利技术的一个方面，提供一种用户异常行为检测和处理系统，包括：用户数据处理模块、网络检测和识别分类模块、异常识别模块和参数执行聚合模块；
[0008]用户数据处理模块：采用用户本地的数据进行训练，并将训练获取的模型参数作为流量数据包上传；
[0009]网络检测和识别分类模块：检测并对上传的流量数据包进行特征信息的提取和分类，以及为不同类型的特征信息标记对应的特征向量；
[0010]异常识别模块：根据特征向量和特征信息识别流量数据包是否异常，保存并处理异常流量数据包，并将正常流量数据包和未能处理的异常流量数据包发送至参数执行聚合模块；
[0011]参数执行聚合模块：对未能处理的异常流量数据包进行识别和处理，并对处理后的正常流量数据包中的模型参数进行聚合，进而形成用以每个用户联合建模的全局模型，并将全局模型发送至每个用户。
[0012]优选地，所述用户数据处理模块与网络检测和识别分类模块位于每个用户的子系统的终端服务器，所述异常识别模块和参数执行聚合模块位于中央服务器。
[0013]优选地，所述用户数据处理模块采用BiLSTM模型对用户本地的数据进行训练。
[0014]优选地，每个所述流量数据包的特征信息包括编号、时间戳、源地址、目标地址、协议、长度以及数据包信息。
[0015]优选地，所述异常识别模块包括用于存放各种异常的特征向量，以及每种异常的特征向量对应的处理手段的网络异常数据库。
[0016]优选地，所述系统还包括用于监测上传的流量数据包，进而防止流量数据包处理阻塞的虚拟化网络流量监控模块。
[0017]优选地，当监测的流量数据包的数量超过中央服务器的处理能力的70％时，所述虚拟化网络流量监控模块暂停流量数据包的上传。
[0018]根据本专利技术的另一个方面，提供了一种采用所述的用户异常行为检测和处理系统的用户异常行为检测和处理方法，包括以下步骤：
[0019]S1：采用用户本地的数据进行训练，并将训练获取的模型参数作为流量数据包上传，检测并对上传中的流量数据包进行特征信息的提取和分类，以及为不同类型的特征信息标记对应的特征向量；
[0020]S2：汇总多个用户上传的流量数据包，并根据特征向量和特征信息识别每个流量数据包是否异常，保存并处理异常流量数据包，并将正常流量数据包和未能处理的异常流量数据包上传；
[0021]S3：对未能处理的异常流量数据包进行识别和处理，并对处理后的所有流量数据包中的模型参数进行聚合，进而形成安全且用以每个用户联合建模的全局模型，并将全局模型发送至各个用户。
[0022]优选地，所述S2的具体内容为：
[0023]根据特征向量和特征信息资质识别每个流量数据包是否异常，获取异常流量数据包；将获取的异常流量数据包中的异常特征向量与网络异常数据库中存有的特征向量进行匹配，若网络异常数据库中存在异常流量数据包中的异常特征向量，则直接调用异常网络数据库中的处理方式进行处理；否则将未能处理的异常流量数据包上传至参数执行聚合模块。
[0024]优选地，所述S3具体内容为：
[0025]对未能处理的异常流量数据包进行识别，若确定是异常流量数据包，则进行相应处理并反馈给异常流量数据包所对应的用户的终端，并将该异常流量数据包的异常特征向量录入网络异常数据库，以便下次能够直接处理；若确定不是异常流量数据包，则恢复为正常流量数据包；将处理后的正常流量数据包中的模型参数进行聚合，进而形成用以每个用户联合建模的全局模型，并将全局模型发送至各个用户。
[0026]与现有技术相比，本专利技术具有以下优点：
[0027]1、本专利技术通过中央服务器协调多个子服务器，并统一用户数据集以建立通用模型实现数据交互。每个用户的子服务器使用独立数据进行本地训练，并将训练后的模型参数上传至中央服务器。由中央处理器汇总不同的子用户模型并下载，并训练全局模型。整个过程仅涉及模型的参数，不会泄露任何用户数据。
[0028]2、本专利技术在不泄漏任何用户数据的情况下，上传用户的模型参数的流量数据包，同时通过网络检测和识别分类模块和异常识别模块对流量数据包的异常情况进行监控和分析，并利用网络异常数据库，快速筛选并处理异常用户，进而形成安全的全局模型发送至每个用户，每个用户即可在保护隐私的条件下，利用全局模型处理数据。
[0029]3、本专利技术通过虚拟化网络流量监控模块读取中央服务器的型号，并按照中央服务
器70％的处理能力设定阈值，防止上传的流量数据包超过阈值，造成流量数据包上传阻塞或遗漏。
附图说明
[0030]图1为本实施例一种用户异常行为检测和处理系统的结构示意图。
具体实施方式
[0031]下面结合附图和具体实施例对本专利技术进行详细说明。
[0032]参考图1所示，本实施例提供一种用户异常行为检测和处理系统，包括：用户数据处理模块M1、网络检测和识别分类模块M2、异常识别模块M3、参数执行聚合模块M4和虚拟化网络流量监控模块M5；
[0033]其中，用户数据处理模块M1和网络检测和识别分类模块M2位于各个用户的子系统的终端服务器上，异常识别模块M3、参数执行聚合模块M4和虚拟化网络流量监控模块M5位于中央服务器上；
[0034]用户数据处理模块M1：采用用户本地的数据进行训练，并将训练获取的模型参数作为流量数据包上传至网络检测和识别分类模块M2；
[0035]作为一种可选的实施方式，用户数据处理模块M1采用BiLSTM模型对用户的数据进行训练。BiLSTM模型由前向LSTM和后向LSTM形成。BiLSTM可以更好地捕获双向语义相关性，从而进一步提高预测的准确性本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户异常行为检测和处理系统，其特征在于，包括：用户数据处理模块(M1)、网络检测和识别分类模块(M2)、异常识别模块(M3)和参数执行聚合模块(M4)；用户数据处理模块(M1)：采用用户本地的数据进行训练，并将训练获取的模型参数作为流量数据包上传；网络检测和识别分类模块(M2)：检测并对上传的流量数据包进行特征信息的提取和分类，以及为不同类型的特征信息标记对应的特征向量；异常识别模块(M3)：根据特征向量和特征信息识别流量数据包是否异常，保存并处理异常流量数据包，并将正常流量数据包和未能处理的异常流量数据包发送至参数执行聚合模块(M4)；参数执行聚合模块(M4)：对未能处理的异常流量数据包进行识别和处理，并对处理后的正常流量数据包中的模型参数进行聚合，进而形成用以每个用户联合建模的全局模型，并将全局模型发送至每个用户。2.根据权利要求1所述的一种用户异常行为检测和处理系统，其特征在于，所述用户数据处理模块(M1)与网络检测和识别分类模块(M2)位于每个用户的子系统的终端服务器，所述异常识别模块(M3)和参数执行聚合模块(M4)位于中央服务器。3.根据权利要求1所述的一种用户异常行为检测和处理系统，其特征在于，所述用户数据处理模块(M1)采用BiLSTM模型对用户本地的数据进行训练。4.根据权利要求1所述的一种用户异常行为检测和处理系统，其特征在于，每个所述流量数据包的特征信息包括编号、时间戳、源地址、目标地址、协议、长度以及数据包信息。5.根据权利要求4所述的一种用户异常行为检测和处理系统，其特征在于，所述异常识别模块(M3)包括用于存放各种异常的特征向量，以及每种异常的特征向量对应的处理手段的网络异常数据库。6.根据权利要求2所述的一种用户异常行为检测和处理系统，其特征在于，所述系统还包括用于监测上传的流量数据包，进而防止流量数据包处理阻塞的虚拟化网络流量监控模块(M5)。7.根据权利要求6所述的一种用户异常...

【专利技术属性】
技术研发人员：崔宁，
申请(专利权)人：上海交通大学，
类型：发明
国别省市：