【技术实现步骤摘要】
一种基于孤立森林的用户异常访问行为检测方法
[0001]本专利技术涉及用户异常访问行为检测
,具体而言,涉及一种基于孤立森林的用户异常访问行为检测方法。
技术介绍
[0002]随着互联网信息技术的不断发展,数据已经成为各个企业的核心机密,如何更好地保障数据安全已经成为应对新时代的新挑战。来自外部的恶意攻击往往种类繁多,对于这种外部攻击企业通常会在网络的边界布置安全壁垒来将内外部隔离,以此对抗外部攻击。而实际上企业所面临的安全问题不仅仅来自外部,内部用户的异常行为甚至会导致更严重的损失。因此如何快速准确地监控并检测用户的异常行为已经成为了一个研究热点。
[0003]目前市场上的主流技术通常采用基于人工特征匹配和基于数据挖掘的关联分析方法来实现对用户异常行为的检测,但是这些方法都有自身的局限性。在基于人工特征匹配方法中用户的异常行为难以被准确地人工描述,由于在实际场景中用户的异常行为往往会不断地发生变化,不同行为的特征不能一概而论,这就导致具体的特征描述工作难以展开,一旦出现预先设定好的描述特征之外的异常行为就会难...
【技术保护点】
【技术特征摘要】
1.一种基于孤立森林的用户异常访问行为检测方法,其特征在于,包括如下步骤:步骤10,基于用户访问行为的历史日志数据来构建数据集X;步骤20,基于孤立森林算法并利用数据集X来构建孤立森林模型;步骤30,利用孤立森林模型对用户访问行为的待检测日志数据进行异常检测,得到异常检测结果;步骤40,对异常检测结果进行处理。2.根据权利要求1所述的基于孤立森林的用户异常访问行为检测方法,其特征在于,步骤10中基于用户访问行为的历史日志数据来构建数据集X的方法包括:步骤11,收集用户访问行为的历史日志数据;步骤12,对收集的所述用户访问行为的历史日志数据进行数据预处理,去掉用户访问行为的历史日志数据中的冗余数据;步骤13,对数据预处理后的用户访问行为的历史日志数据以元组的方式描述,从而将其整理合并构成数据集X。3.根据权利要求2所述的基于孤立森林的用户异常访问行为检测方法,其特征在于,步骤20中基于孤立森林算法并利用数据集X来构建孤立森林模型的方法包括:步骤21,从数据集X中随机选择m条样本数据,这些样本数据的集合记为子集X
i
,子集X
i
用于生成一棵孤立二叉树;步骤22,从子集X
i
中随机选择一个特征f,再随机选择一个切点p来分割子集X
s
,其中,p的取值在特征f的最大值与最小值之间,p作为一个超平面将子集X
i
中的样本数据划分为两部分;步骤23,若子集X
i
中的某条样本数据的特征f的值大于切点p的值,则将该样本数据分到节点的右孩子;若子集X
i
中的某条样本数据的特征f的值小于切点p的值则将该样本数据分到节点的左孩子;步骤24,重复对节点的左孩子和右孩子继续按步骤22和步骤23的方法进行切分,当达到设定条件时停止继续生成,得该孤立二叉树的所有节点;步骤25,该孤立二叉树的节点的集合记为Node={n1,n2,
…
,n
r
},节点的路径长度记为H={h1,h2,
…
,h
r
},计算该孤立二叉树的节点的路径长度的标准差σ;步骤26,重复步骤21~步骤25直到生成n棵孤立二叉树以及对应的孤立二叉树的路径长度的标准差的集合;步骤27,对所有孤立二叉树的路径长度的标准差的集合进行归一化处理,生成每棵孤立二叉树对应的权重值的集合;步骤28,返回孤立森林模型,该孤立森林模型包括生成的n棵孤立二叉树及其对应的权重值的集合。4.根据权利要求3所述的基于孤立森林的用户异常访问行为检测方法,其特征在于,步骤24中的所述设定条件包括以下三...
【专利技术属性】
技术研发人员:廖游,黎臻,张玄,张超,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。