本发明专利技术公开了基于图卷积神经网络的移动办公用户异常行为检测方法,涉及用户实体行为分析技术领域,本发明专利技术通过采用知识图谱技术表示用户操作序列,为用户基线聚类保留了用户操作偏好信息;使用关系图卷积神经网络算法对用户操作图谱聚类出强关联实体集,解决了用户操作基线长度难以确定的问题,降低后期用户操作流数据与基线匹配的难度,提升了操作序列与基线匹配的准确率。本发明专利技术提出的通过寻找操作权值最大通路确定操作基线的方法,可完善操作基线语义、持续适应用户操作行为变化。同时,本发明专利技术通过构建服务器与客户端协同检测模型,可解决安卓设备受限于算力与带宽不足难以实时检测用户异常行为的问题。测用户异常行为的问题。测用户异常行为的问题。
【技术实现步骤摘要】
基于图卷积神经网络的移动办公用户异常行为检测方法
[0001]本专利技术涉及用户实体行为分析
,特别是涉及基于图卷积神经网络的移动办公用户异常行为检测方法。
技术介绍
[0002]随着互联网技术的日益发展与国家大数据战略的推动,数据已经成为企业最重要的资产之一。当前针对企业数据库的攻击层出不穷,为了保护企业数据的安全,企业系统要对数据进行实时防护。已有的防护方案多是分析系统的日志信息发现入侵者,但是这种方法仅能防范已知的入侵方法,无法防范新式攻击手段,也无法防范账号失陷、员工内部攻击等恶意行为,因此内外的双向需求催生了用户实体行为分析(User and Entity Behavior Analysis,UEBA)。
[0003]用户实体行为分析是一种新兴的入侵检测系统,它的出现使得网络安全保卫从“事后检验”转变为“事先预防”。用户实体行为分析更关注用户对资源的访问行为,其核心思想是将用户当前行为序列与此用户过往行为基线相对比,识别出异常行为并及时告警,解决账号失陷等问题,在数据被盗取前及时阻断风险。
[0004]当前,不少移动端应用允许员工使用安卓设备进行相应的业务操作并访问数据库,因此需要提出一种方案在满足安卓设备算力与带宽限制的条件下,实时地识别用户操作中的异常行为,并及时针对异常用户告警、限权。
[0005]现有的用户实体行为分析方案中,如,从用户行为中提取特征,并将其与特征基线进行对比发现疑似异常用户,通过集成算法对疑似异常用户进行综合评分,评分超过设定阈值的用户被确定为异常用户。然而,这种方案中特征基线为预设,无法区分各个用户自身的特点及行为模式的改变,并且忽略了各实体在访问中的关联。该方案仅可对用户异常行为进行非实时检测,难以很好满足检测需求。又如,从用户网页访问信息中提取会话信息,采用SimHash算法计算用户间的相似性,通过模糊聚类得出嫌疑用户。然而,该方案使用模糊聚类的方式分析用户间差距得到异常用户,难以适配安卓设备,并且无法很好对单个用户的行为进行分析,并且在聚类过程中丢失了大量关联关系信息。
[0006]可见,现有的实时用户异常行为识别技术主要针对PC端进行检测,而安卓设备由于算力与带宽的限制,难以迁移使用针对PC端的检测方案实时高效进行数据基线聚类生成等操作。而且,现有的用户异常行为检测技术对于用户行为基线的提取主要采用将用户操作抽象为时序序列,进而使用K
‑
means聚类等传统算法提取用户基线的方法。这样的算法难以界定用户操作序列的长度,并且忽略了用户访问各实体间的关联关系。
技术实现思路
[0007]为解决异常检测过程中,实体操作关联关系丢失与操作基线语义不完善的问题,本专利技术的目的是提供基于图卷积神经网络的移动办公用户异常行为检测方法,采用知识图谱处理用户操作序列,获取用户操作图谱;在考虑实体访问关联性条件下,使用关系图卷积
神经网络算法聚类得到关联节点组,并将关联节点组匹配用户操作图谱得到用户操作基线。为满足在安卓设备端实时检测用户异常行为的需求,本专利技术针对安卓设备算力受限与带宽受限问题提出了一种服务器与用户设备协同检测的方案。
[0008]为此,本专利技术提供了以下技术方案:
[0009]一方面,本专利技术公开了一种基于图卷积神经网络的移动办公用户异常行为检测方法,应用于用户设备离线识别移动办公用户异常行为,当前用户设备带宽支持实时传输用户操作流数据时,所述方法包括:
[0010]用户设备向服务器实时上传用户操作流数据;
[0011]服务器通过基线聚类算法获取用户操作基线;
[0012]服务器实时比较提取出的用户操作序列信息与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
[0013]比较用户操作偏离程度与偏离阈值的大小;当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
[0014]其中,所述基线聚类算法包括:
[0015]获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
[0016]基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
[0017]将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
[0018]使用符号集合近似算法将操作基线转换为字符串。
[0019]进一步地,还包括:服务器将用户操作基线发送至客户端,客户端接受并更新用户操作基线。
[0020]进一步地,基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集,包括:
[0021]将所述用户操作图谱输入至关系图卷积神经网络中;
[0022]使用所述关系图卷积神经网络进行训练;
[0023]使用最小化交叉熵损失函数进行分类,输出强关联节点集。
[0024]进一步地,基于固定时间窗口内的操作流数据构建用户操作图谱,包括:
[0025]根据各用户设备采集的数据以及已知的应用先验知识,将应用界面各可操作组件抽象为实体,实体间关系为用户操作各组件的时序关系,关系权重为操作频次。
[0026]进一步地,用户限权包括:限制用户访问数据库权限和读取应用缓存信息权限。
[0027]进一步地,所述方法在确定用户设备带宽支持实时传输用户操作流数据之前,还包括:
[0028]用户设备连接服务器并初始化信息;
[0029]实时抓取并处理用户操作数据。
[0030]又一方面,本专利技术还提供了一种基于图卷积神经网络的移动办公用户异常行为检测方法,应用于服务器在线识别移动办公用户异常行为,当前用户设备带宽不支持实时传输用户操作流数据时,所述方法包括:
[0031]获取用户设备存储器中已记录的用户操作基线;所述用户操作基线由服务器按照
基线聚类算法确定之后传输至用户设备;
[0032]提取操作特征字符串;
[0033]通过比较操作特征字符串与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;
[0034]比较用户操作偏离程度与偏离阈值的大小,当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;
[0035]其中,所述基线聚类算法包括:
[0036]获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;
[0037]基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;
[0038]将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;
[0039]使用符号集合近似算法将操作基线转换为字符串。
[0040]进一步地,提取本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,当前用户设备带宽支持实时传输用户操作流数据时,所述方法包括:用户设备向服务器实时上传用户操作流数据;服务器通过基线聚类算法获取用户操作基线;服务器实时比较提取出的用户操作序列信息与用户操作基线的编辑距离,求得用户操作偏离程度;所述编辑距离为用户操作偏离程度的量化衡量指标;比较用户操作偏离程度与偏离阈值的大小;当用户操作偏离程度大于等于阈值时,应用告警并对用户限权;当用户操作偏离程度小于阈值时,日志记录此次比较信息;其中,所述基线聚类算法包括:获取用户设备发送的用户操作流数据;并基于固定时间窗口内的操作流数据构建用户操作图谱;基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集;将每个关系图卷积神经网络聚类得到的强关联实体集与用户操作图谱匹配,并标出相应实体节点,选择权重和最大的路径作为操作基线;使用符号集合近似算法将操作基线转换为字符串。2.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,还包括:服务器将用户操作基线发送至客户端,客户端接受并更新用户操作基线。3.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,基于所述用户操作图谱,运用关系图卷积神经网络聚类得到强关联实体集,包括:将所述用户操作图谱输入至关系图卷积神经网络中;使用所述关系图卷积神经网络进行训练;使用最小化交叉熵损失函数进行分类,输出强关联节点集。4.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,基于固定时间窗口内的操作流数据构建用户操作图谱,包括:根据各用户设备采集的数据以及已知的应用先验知识,将应用界面各可操作组件抽象为实体,实体间关系为用户操作各组件的时序关系,关系权重为操作频次。5.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,用户限权包括:限制用户访问数据库权限和读取应用缓存信息权限。6.根据权利要求1所述的一种基于图卷积神经网络的移动办公用户异常行为检测方法,其特征在于,所述方法在确定用户设备带宽支持实时传输用户操作流数据之前,还包括:用户设备连接服务器并初始化信息;实时抓取并处理用户操作数据。7.一种基于图卷积...
【专利技术属性】
技术研发人员:任吉媛,王哲,刘阜阳,宋阳,尹路,彭玉怀,
申请(专利权)人:东北大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。