一种用户异常操作行为的检测方法及系统技术方案

本发明专利技术提出的一种用户异常操作行为的检测方法及系统，属于信息安全技术领域。方法包括：获取用户操作行为数据，并生成时间序列；采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量；利用时间序列和季节性分量生成趋势残差序列，将趋势残差序列进行平滑处理，生成趋势分量；计算季节性分量和趋势分量之和，作为基线分量；利用时间序列和基线分量生成残差序列；对残差序列进行四分位距度量，计算生成度量值；根据度量值计算出判定区间；利用判定区间识别出残差序列的异常点，以确定异常的时间序列数据。本发明专利技术采用基于基线和残差序列分解的方式对用户异常操作数据进行识别，有效的提高了用户异常行为识别的准确性。有效的提高了用户异常行为识别的准确性。有效的提高了用户异常行为识别的准确性。

【技术实现步骤摘要】
一种用户异常操作行为的检测方法及系统


[0001]本专利技术涉及信息安全
，更具体的说是涉及一种用户异常操作行为的检测方法及系统。

技术介绍

[0002]随着网络技术的飞速发展，网络信息的安全越来越受到人们的关注。网络信息安全的防护的关键在于用户的异常操作行为和攻击行为的预测和识别。当前，普通采用防病毒软件来进行网络信息的安全防护，而针对传统防病毒软件可能无法检测到的可疑行为、潜在威胁和攻击，则采用基于基线的UEBA（User and Entity Behavior Analytics，基于用户和实体行为的安全分析方法）分析方法，来检测和识别潜在的安全威胁和异常活动。
[0003]在基于基线的UEBA分析中，首先建立一个基线模型，该模型代表了用户和实体的正常行为模式。基线模型可以基于历史数据或预定义的规则进行构建。然后，通过比较实时数据与基线模型的差异来检测异常行为。基于基线的UEBA分析步骤通常包括：数据收集：收集包括用户和实体行为数据的日志、事件和指标数据。这些数据可以包括登录活动、文件访问、网络通信、权限变更等信息。
[0004]特征提取：从收集的数据中提取有意义的特征，用于描述用户和实体的行为。特征可以包括时间戳、行为频率、行为持续时间、行为类型等。
[0005]基线建模：使用历史数据或预定义规则构建基线模型，以描述用户和实体的正常行为。基线模型可以基于统计分析方法或机器学习算法进行构建。
[0006]异常检测：将实时数据与基线模型进行比较，检测和识别与基线模型差异显著的行为。这些差异可能表示潜在的安全威胁或异常活动。常用的异常检测方法包括阈值检测、离群点检测、机器学习分类等。
[0007]基于基线的UEBA分析可以帮助组织发现潜在的内部和外部威胁，并提供及时的安全响应。它通过对用户和实体行为的监控和分析，识别异常活动和不寻常的模式，从而提高安全性和保护敏感数据。但是，此方法仍然具有以下一些客观缺点：1、由于构建基线模型需要考虑到多个因素，如不同用户和实体之间的差异、不同时间段的变化等。对于复杂的环境和多变的行为模式，构建合适的基线模型可能较为困难。
[0008]2、UEBA分析常常面临误报的问题，误报率高可能会降低分析结果的可信度，增加了分析结果的验证和确认工作的负担。
[0009]3、基线模型需要持续的维护和更新，以适应不断变化的环境和行为模式。但是现有的技术方案中缺乏基线数据的动态更新策略，且动态更新策略落后于业务需求，导致基线阈值不准确，出现误报的分析结果。

技术实现思路

[0010]针对现有技术中存在的问题，本专利技术的目的在于提供一种用户异常操作行为的检测方法及系统，采用基于基线和残差序列分解的方式对用户异常操作数据进行识别，有效
的提高了用户异常行为识别的准确性。
[0011]本专利技术为实现上述目的，通过以下技术方案实现：一种用户异常操作行为的检测方法，包括：获取用户操作行为数据，并根据数据的时间特征生成时间序列；采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量；利用时间序列和季节性分量生成趋势残差序列，并采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量；计算季节性分量和趋势分量之和，作为基线分量；利用时间序列和基线分量生成残差序列；对残差序列进行四分位距度量，计算生成度量值；根据度量值计算出用户异常行为判定区间；利用用户异常行为判定区间识别出残差序列的异常点，以确定异常的时间序列数据。
[0012]进一步，所述获取用户的操作行为数据，并根据数据的时间特征生成时间序列，包括：获取用户的操作行为数据，根据数据的时间特征采用时间聚合的方式生成时间序列。
[0013]进一步，所述采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量，包括：采用局部加权回归算法对一个时间窗口内的时间序列数据进行平滑处理，并保存其趋势特征；通过计算平滑处理后的时间序列的移动平均值，确定季节性分量；其中移动平均值计算时，采用的时间窗口为与季节周期匹配的时间窗口。进一步，所述利用时间序列和季节性分量生成趋势残差序列，并采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量，包括：用时间序列减去季节性分量，生成趋势残差序列；采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量。进一步，所述局部加权回归算法包括如下步骤：步骤1：设时间序列中的数据点为(,)，定义加权回归的目标函数如下：；其中，是第i个数据点的权重函数，x是待平滑的点的位置，是第i个数据点的位置，是平滑参数，即带宽函数，用于控制权重的分布；步骤2：进行最小二乘回归，拟合出一个局部的多项式模型；设局部多项式模型为：；通过化二乘目标函数确定局部多项式模型的系数β，其中，n是数据点的总数，是第i个数据点的响应值；
步骤3：选择，并根据数据点的距离计算权重；带宽函数定义为：k
ꢀ×ꢀ
median(|
‑
|)；其中，k是带宽调节因子，用于控制带宽的大小；步骤4：通过最小化目标函数S，计算每个待平滑点的平滑估计值。
[0014]进一步，所述利用时间序列和基线分量生成残差序列，包括：用时间序列减去基线分量，得到残差序列。
[0015]进一步，所述对残差序列进行四分位距度量，计算生成度量值，包括：对残差序列进行四分位距度量，得出下四分位数Q1和上四分位数Q3；利用公式IQR = Q3
ꢀ−ꢀ
Q1，生成四分位距IQR。
[0016]进一步，所述根据度量值计算出用户异常行为判定区间，包括：根据公式A=Q1
‑
kIQR和B=Q3+kIQR，计算出用户异常行为判定区间的下限值A和上限值B；将[A, B]作为用户异常行为判定区间。
[0017]进一步，所述利用用户异常行为判定区间识别出残差序列的异常点，以确定异常的时间序列数据，包括：判断残差序列的观测值是否属于区间[A, B]；若是，则将相应的时间序列数据标记为正常点；若否，则将相应的时间序列数据标记为异常点；根据时间序列中标记的异常点，生成异常标记序列，相应的用户操作行为数据均存在用户异常操作行为。
[0018]相应的，本专利技术还公开了一种用户异常操作行为的检测系统，包括：数据采集单元，配置用于获取用户操作行为数据，并根据数据的时间特征生成时间序列；季节性分解单元，配置用于采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量；趋势分解单元，配置用于利用时间序列和季节性分量生成趋势残差序列，并采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量；基线创建单元，配置用于计算季节性分量和趋势分量之和，作为基线分量；残差序列创建单元，配置用于利用时间序列和基线分量生成残差序列；第一计算单元，配置用于对残差序列进行四分位距度量，计算生成度量值；第二计算单元，配置用于根据度量值计算出用户异常行为判定区间；识别单元，配置用于利用用户异常行为判定区间识别出残差序列的异常点，以确定异常的时间序列数据。对比现有技术，本发本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用户异常操作行为的检测方法，其特征在于，包括：获取用户操作行为数据，并根据数据的时间特征生成时间序列；采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量；利用时间序列和季节性分量生成趋势残差序列，并采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量；计算季节性分量和趋势分量之和，作为基线分量；利用时间序列和基线分量生成残差序列；对残差序列进行四分位距度量，计算生成度量值；根据度量值计算出用户异常行为判定区间；利用用户异常行为判定区间识别出残差序列的异常点，以确定异常的时间序列数据。2.根据权利要求1所述的用户异常操作行为的检测方法，其特征在于，所述获取用户的操作行为数据，并根据数据的时间特征生成时间序列，包括：获取用户的操作行为数据，根据数据的时间特征采用时间聚合的方式生成时间序列。3.根据权利要求2所述的用户异常操作行为的检测方法，其特征在于， 所述采用局部加权回归算法将时间序列进行平滑处理，生成季节性分量，包括：采用局部加权回归算法对一个时间窗口内的时间序列数据进行平滑处理，并保存其趋势特征；通过计算平滑处理后的时间序列的移动平均值，确定季节性分量；其中移动平均值计算时，采用的时间窗口为与季节周期匹配的时间窗口。4.根据权利要求3所述的用户异常操作行为的检测方法，其特征在于，所述利用时间序列和季节性分量生成趋势残差序列，并采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量，包括：用时间序列减去季节性分量，生成趋势残差序列；采用局部加权回归算法将趋势残差序列进行平滑处理，生成趋势分量。5.根据权利要求4所述的用户异常操作行为的检测方法，其特征在于，所述局部加权回归算法包括如下步骤：步骤1：设时间序列中的数据点为(,)，定义加权回归的目标函数如下：；其中，是第i个数据点的权重函数，x是待平滑的点的位置，是第i个数据点的位置，是平滑参数，即带宽函数，用于控制权重的分布；步骤2：进行最小二乘回归，拟合出一个局部的多项式模型；设局部多项式模型为： ；通过化二乘目标函数 确定局部多项式模型的系数β，其中，n是数据点的总数，是第i个数据点的响应值；步骤3：选择，并根据数据点的距离计算权重；
带宽函数定义为： k
ꢀ×ꢀ
me...

【专利技术属性】
技术研发人员：段存明，郑传义，袁春峰，
申请(专利权)人：中孚安全技术有限公司，
类型：发明
国别省市：