基于机器学习的用户行为异常的检测方法技术

一种基于机器学习的用户行为异常检测系统和方法，该系统由控制模块、数据获取和预处理模块、学习模块、序列存储模块、检测模块、检测结果输出模块组成；该系统配置在需要监控的服务器上，采用Ｕｎｉｘ平台上的ｓｈｅｌｌ命令作为训练数据和审计数据，在对数据进行预处理后，利用机器学习模型建立计算机网络系统中关键合法用户的正常行为轮廓，在检测中通过比较关键合法用户的当前行为与其正常行为轮廓来识别异常行为，即是否发生入侵；如果该用户的当前行为较大程度地偏离了其历史上的正常行为轮廓，即认为发生了异常：可能是关键合法用户进行了非授权操作，或是外部入侵者冒用关键合法用户的帐号进行了非法操作，以便引起网络管理员的注意，采取措施保证安全。

【技术实现步骤摘要】

【技术保护点】
一种基于机器学习的用户行为异常检测系统，该系统配置在需要监控的服务器上，采用Ｕｎｉｘ平台上的用户接口ｓｈｅｌｌ命令作为审计数据，在用户界面层分析用户行为来检测服务器中是否发生入侵；其特征在于：所述系统包括有：控制模块，负责设置系统的 工作状态和各种检测参数，并对数据获取和预处理模块、学习模块、检测模块和整个系统的运行进行控制；数据获取和预处理模块，负责从服务器中获取原始的训练数据或审计数据，即用户执行的ｓｈｅｌｌ命令行数据，并将这些原始训练数据或审计数据处理成ｓ ｈｅｌｌ命令流的形式后，分别送入学习模块或检测模块，用于学习或检测；学习模块，采用机器学习技术，从训练数据中获取网络系统中某个合法用户正常行为的知识，并在其基础上建立用于表示该合法用户的正常行为轮廓的ｓｈｅｌｌ命令序列库；序 列存储模块，用于存储学习模块所建立的ｓｈｅｌｌ命令序列库，并在检测时，供检测模块进行检索比较；检测模块，负责对所述合法用户在被监测时间内执行的ｓｈｅｌｌ命令审计数据进行分析处理，完成包括但不限于“行为模式序列”的挖掘、相似度计算或赋 值、相似度的加窗滤噪、判决值计算和用户行为判决的工作；检测结果输出模块，负责显示检测模块生成的判决值曲线，并在检测模块的控制下对异常行为进行报警。...

【技术特征摘要】

【专利技术属性】
技术研发人员：田新广，隋进国，李学春，王辉柏，邹涛，
申请(专利权)人：北京首信科技有限公司，
类型：发明
国别省市：11[中国|北京]