本发明专利技术涉及一种基于机器学习的用户行为异常检测方法及装置,属于智能自动化技术领域。方法包括:采集用户行为日志信息,对所述用户行为日志信息进行预处理,得到预设格式的用户行为日志信息;从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数,将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测;如果用户行为被检测为异常,自动根据预先设置的模板结合用户信息和用户行为信息生成告警信息。本方法能够提高用户行为异常检测的准确率,有效的降低了误报率和漏报率,使得企业运维人员在面对内部人员攻击时可以提早发现,提早采取措施减少企业损失。失。失。
【技术实现步骤摘要】
一种基于机器学习的用户行为异常检测方法及装置
[0001]本专利技术属于智能自动化
,尤其涉及一种基于机器学习的用户行为异常检测方法及装置。
技术介绍
[0002]随着企业数字化转型的发展,网络安全也迎来了前所未有的挑战。企业将会面对各式各样的网络安全攻击,大量数据表明来自企业内部人员的攻击更加难以发现和防范。根据调研发现现有的用户行为异常检测方法并不能达到企业的要求,由于误报和漏报数量过多导致企业运维人员无法高效的发现真正的用户行为异常。
[0003]现阶段用户行为异常检测方法多是使用规则或者聚类算法,漏报率和误报率偏高,在使用过程中效果不理想。也有一些方法结合了深度学习技术,例如LSTM、Transformer通过预测用户未来动作来判断用户是否存在异常行为,但只通过用户行为时间序列维度去判断用户行为是否异常,仍然不能满足企业对低漏报率和低误报率的要求。
技术实现思路
[0004]本专利技术的主要目的在于克服现有技术的缺点与不足,提供一种基于机器学习的用户行为异常检测方法及装置,能够提高用户行为异常检测的准确率,有效的降低了误报率和漏报率,使得企业运维人员在面对内部人员攻击时可以提早发现,提早采取措施减少企业损失。
[0005]根据本专利技术的一个方面,本专利技术提供了一种基于机器学习的用户行为异常检测方法,所述方法包括以下步骤:
[0006]S1:采集用户行为日志信息,对所述用户行为日志信息进行预处理,得到预设格式的用户行为日志信息;
[0007]S2:从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数,将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测;
[0008]S3:如果用户行为被检测为异常,自动根据预先设置的模板结合用户信息和用户行为信息生成告警信息。
[0009]优选地,所述用于用户行为异常检测的参数包括用户行为特征,所述用户行为特征包括用户行为日志信息中的用户行为以及所述用户行为对应的数值。
[0010]优选地,所述用于用户行为异常检测的参数包括用户角色行为特征,所述从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数包括:
[0011]根据所述用户行为日志信息中的用户名获取当前用户角色信息,通过计算属于同一角色的用户行为特征的平均值,得到用户角色行为特征平均值;
[0012]将当前用户行为特征对应的数值减去用户角色行为特征平均值,得到用户角色行为特征。
[0013]优选地,所述用于用户行为异常检测的参数包括用户行为时间序列,所述用户行
为时间序列是按用户行为的发生时间顺序对用户行为进行排序得到的。
[0014]优选地,所述方法包括:
[0015]将所述用户行为时间序列输入到时序异常检测模型,检测用户行为时间序列是否异常;
[0016]所述将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测包括:
[0017]将所述用户行为特征、所述用户角色行为特征、所述用户行为时间序列输入到CatBoost模型中,对用户行为是否异常进行分类。
[0018]根据本专利技术的另一个方面,本专利技术还提供了一种基于机器学习的用户行为异常检测装置,所述装置包括:
[0019]处理模块,用于采集用户行为日志信息,对所述用户行为日志信息进行预处理,得到预设格式的用户行为日志信息;
[0020]检测模块,用于从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数,将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测;
[0021]告警模块,用于如果用户行为被检测为异常,自动根据预先设置的模板结合用户信息和用户行为信息生成告警信息。
[0022]优选地,所述用于用户行为异常检测的参数包括用户行为特征,所述用户行为特征包括用户行为日志信息中的用户行为以及所述用户行为对应的数值。
[0023]优选地,所述用于用户行为异常检测的参数包括用户角色行为特征,所述检测模块从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数包括:
[0024]根据所述用户行为日志信息中的用户名获取当前用户角色信息,通过计算属于同一角色的用户行为特征的平均值,得到用户角色行为特征平均值;
[0025]将当前用户行为特征对应的数值减去用户角色行为特征平均值,得到用户角色行为特征。
[0026]优选地,所述用于用户行为异常检测的参数包括用户行为时间序列,所述用户行为时间序列是按用户行为的发生时间顺序对用户行为进行排序得到的。
[0027]优选地,所述检测模块还用于:
[0028]将所述用户行为时间序列输入到时序异常检测模型,检测用户行为时间序列是否异常;
[0029]所述检测模块将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测包括:
[0030]将所述用户行为特征、所述用户角色行为特征、所述用户行为时间序列输入到CatBoost模型中,对用户行为是否异常进行分类。
[0031]有益效果:本专利技术通过将用户行为特征、用户角色行为特征、以及用户行为时间序列作为特征送入CatBoost树模型判断用户行为是否异常,大幅度提高了用户行为异常检测的准确率,有效的降低了误报率和漏报率,使企业运维人员可以第一时间发现来自企业内部的攻击,并采取有效措施。
[0032]通过参照以下附图及对本专利技术的具体实施方式的详细描述,本专利技术的特征及优点将会变得清楚。
附图说明
[0033]图1是基于机器学习的用户行为异常检测方法流程图;
[0034]图2是用户行为时间序列异常检测方法流程图;
[0035]图3是基于机器学习的用户行为异常检测装置示意图。
具体实施方式
[0036]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0037]实施例1
[0038]图1是基于机器学习的用户行为异常检测方法流程图。如图1所示,本实施例提供了一种基于机器学习的用户行为异常检测方法,所述方法包括以下步骤:
[0039]S1:采集用户行为日志信息,对所述用户行为日志信息进行预处理,得到预设格式的用户行为日志信息。
[0040]具体地,采集用户行为日志信息,根据预设日志模板对用户行为日志进行匹配,匹配成功后,系统会通过模板对用户行为日志进行预处理,将日志处理为预设的格式,预设的格式内容包括:用户名、发生时间、行为、数值。
[0041]S2:从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数,将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测。
[0042]优选地,所述用于用本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于机器学习的用户行为异常检测方法,其特征在于,所述方法包括以下步骤:S1:采集用户行为日志信息,对所述用户行为日志信息进行预处理,得到预设格式的用户行为日志信息;S2:从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数,将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测;S3:如果用户行为被检测为异常,自动根据预先设置的模板结合用户信息和用户行为信息生成告警信息。2.根据权利要求1所述的方法,其特征在于,所述用于用户行为异常检测的参数包括用户行为特征,所述用户行为特征包括用户行为日志信息中的用户行为以及所述用户行为对应的数值。3.根据权利要求2所述的方法,其特征在于,所述用于用户行为异常检测的参数包括用户角色行为特征,所述从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数包括:根据所述用户行为日志信息中的用户名获取当前用户角色信息,通过计算属于同一角色的用户行为特征的平均值,得到用户角色行为特征平均值;将当前用户行为特征对应的数值减去用户角色行为特征平均值,得到用户角色行为特征。4.根据权利要求3所述的方法,其特征在于,所述用于用户行为异常检测的参数包括用户行为时间序列,所述用户行为时间序列是按用户行为的发生时间顺序对用户行为进行排序得到的。5.根据权利要求4所述的方法,其特征在于,所述方法包括:将所述用户行为时间序列输入到时序异常检测模型,检测用户行为时间序列是否异常;所述将所述参数输入到用户行为异常检测模型中,对用户行为是否异常进行检测包括:将所述用户行为特征、所述用户角色行为特征、所述用户行为时间序列输入到CatBoost模型中,对用户行为是否异常进行分类。6.一种基于机器学习的用户行为异常...
【专利技术属性】
技术研发人员:刘钰,
申请(专利权)人:中电信数智科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。