本申请涉及一种异常行为检测方法、装置、计算机设备及可读存储介质。所述方法包括:获取用户行为数据;基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况;基于所述行为偏差情况确定所述用户行为是否异常。采用本方法能够从多个维度检测出用户行为存在的偏差,针对用户的疑似异常行为有着更高的反应灵敏度,能够有效应对更加复杂的网络环境和安全威胁场景,提高异常行为检测的准确率并降低误报率。并降低误报率。并降低误报率。
【技术实现步骤摘要】
异常行为检测方法、装置、计算机设备及可读存储介质
[0001]本申请涉及网络安全
,特别是涉及一种异常行为检测方法、装置、计算机设备及可读存储介质。
技术介绍
[0002]随着信息技术的快速发展和集群规模的不断扩大,产生了大量的日志数据。日志数据记录了系统的运行信息,而且,用户的网络行为越来越多样化,当用户在系统上进行操作时,也会产生大量的行为日志。因此对网络安全来说,基于行为日志对用户行为进行识别、判断发现异常行为事件是尤为重要的。
[0003]现有技术中针对用户行为分析的方法或装置,普遍是对用户行为日志中的数据进行解析来对用户的异常行为进行分析。但是,目前检测异常行为的方法中仅是针对某个单一维度的用户行为进行分析,因此对于较为复杂的安全威胁场景中异常行为的检测效果较弱,检测的准确率也相对较低。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种能够结合多种异常检测方式的异常行为检测方法、装置、计算机设备及可读存储介质。
[0005]第一方面,本申请提供了一种异常行为检测方法,所述方法包括:
[0006]获取用户行为数据;
[0007]基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况;
[0008]基于所述行为偏差情况确定所述用户行为是否异常。
[0009]在其中一个实施例中,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:
[0010]基于所述用户行为数据确定用户行为标签;/>[0011]基于所述用户行为标签与预设条件的比较结果得到所述行为偏差情况。
[0012]在其中一个实施例中,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:
[0013]基于所述用户行为数据获取预设时间内的用户行为特征值,所述用户行为特征值包括用户重复执行某一相同行为的次数;
[0014]基于所述用户行为特征值与预设阈值的比较结果得到所述行为偏差情况。
[0015]在其中一个实施例中,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:
[0016]将用户历史行为数据输入至行为基线检测模型中,得到用户行为基线,所述行为基线检测模型通过机器学习训练得到;
[0017]基于所述用户行为数据与所述用户行为基线的比较结果得到所述行为偏差情况。
[0018]在其中一个实施例中,所述基于所述行为偏差情况确定所述用户行为是否异常包
括:
[0019]基于每种所述行为偏差情况以及对应的权重进行加权计算,得到权重积分;
[0020]基于所述权重积分确定所述用户行为是否异常。
[0021]在其中一个实施例中,所述基于所述行为偏差情况确定所述用户行为是否异常还包括:
[0022]基于所述行为偏差情况生成偏差序列数据;
[0023]基于所述偏差序列数据生成网络安全矩阵模型标签序列;
[0024]将所述标签序列输入至异常检测模型,并输出异常标签序列,所述异常检测模型通过机器学习训练得到;
[0025]基于所述异常标签序列确定所述用户行为是否异常。
[0026]在其中一个实施例中,所述基于所述行为偏差情况确定所述用户行为是否异常还包括:
[0027]基于每种所述行为偏差情况以及对应的权重进行加权计算,得到权重积分;
[0028]基于所述行为偏差情况生成偏差序列数据;
[0029]基于所述偏差序列数据生成网络安全矩阵模型标签序列;
[0030]将所述标签序列输入至异常检测模型,并输出异常标签序列,所述异常检测模型通过机器学习训练得到;
[0031]基于所述权重积分和所述异常标签序列确定所述用户行为是否异常。
[0032]第二方面,本申请提供了一种异常行为检测装置,所述装置包括:
[0033]数据获取模块,用于获取用户行为数据;
[0034]数据分析模块,用于基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况;
[0035]异常确定模块,用于基于所述行为偏差情况确定所述用户行为是否异常。
[0036]第三方面,本申请提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面中任一项方法的步骤。
[0037]第四方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面中任一项方法的步骤。
[0038]上述异常行为检测方法、装置、计算机设备及可读存储介质,通过获取用户行为数据;基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况;基于所述行为偏差情况确定所述用户行为是否异常。使用至少两种分析方式对用户行为进行分析,可以从多个维度检测出用户行为存在的偏差,针对用户的疑似异常行为有着更高的反应灵敏度,能够有效应对更加复杂的网络环境和安全威胁场景,提高异常行为检测的准确率并降低误报率。
[0039]本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
[0040]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申
请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0041]图1为一个实施例中异常行为检测方法的应用环境图;
[0042]图2为一个实施例中异常行为检测方法的流程示意图;
[0043]图3为一个实施例中异常行为检测装置的结构框图。
具体实施方式
[0044]为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0045]除另作定义外,本申请所涉及的技术术语或者科学术语应具有本申请所属
具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制,它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体,其目的是涵盖不排他的包含;例如,包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元),而可包括未列出的步骤或模块(单元),或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接,而可以包括电气连接,无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。通常情况下,字符“/”表示前后关本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常行为检测方法,其特征在于,所述方法包括:获取用户行为数据;基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况;基于所述行为偏差情况确定所述用户行为是否异常。2.根据权利要求1所述的方法,其特征在于,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:基于所述用户行为数据确定用户行为标签;基于所述用户行为标签与预设条件的比较结果得到所述行为偏差情况。3.根据权利要求1所述的方法,其特征在于,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:基于所述用户行为数据获取预设时间内的用户行为特征值,所述用户行为特征值包括用户重复执行某一相同行为的次数;基于所述用户行为特征值与预设阈值的比较结果得到所述行为偏差情况。4.根据权利要求1所述的方法,其特征在于,所述基于至少两种分析方式对所述用户行为数据进行分析,得到行为偏差情况包括:将用户历史行为数据输入至行为基线检测模型中,得到用户行为基线,所述行为基线检测模型通过机器学习训练得到;基于所述用户行为数据与所述用户行为基线的比较结果得到所述行为偏差情况。5.根据权利要求1所述的方法,其特征在于,所述基于所述行为偏差情况确定所述用户行为是否异常包括:基于每种所述行为偏差情况以及对应的权重进行加权计算,得到权重积分;基于所述权重积分确定所述用户行为是否异常。6.根据权利要求1所述的方法,其特征在于,所述基于所...
【专利技术属性】
技术研发人员:黄章镕,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。