【技术实现步骤摘要】
本专利技术涉及通信领域,具体而言,涉及一种异常行为数据识别方法、装置、存储介质及电子装置。
技术介绍
1、相关技术中,因企业经营活动复杂、业务系统多、数据规模大,企业无法穷举人员、终端、应用、数据之间多对多的使用与访问规则,为恶意人员从企业内部进行数据窃取提供了可乘之机。
2、在企业的业务系统中用户操作行为往往呈现出复杂与简单共存的、连续与离散共存、多样与同质共生的特征,如何识别出混杂在大量正常行为中的异常行为,是当前业务系统或者安全系统亟待解决的问题。但已有的异常行为分析方法,仍存在以下问题:异常行为数据整合处理难、异常行为识别准确率低以及异常行为识别效率低。
技术实现思路
1、本专利技术实施例提供了一种异常行为数据识别方法及装置,以至少解决相关技术中异常行为数据识别方法存在准确率低、效率低的问题。
2、根据本专利技术的一个实施例,提供了一种异常行为数据识别方法,包括:将不同用户的多种操作行为数据装载至二维矩阵中,并基于时间序列将所述二维矩阵扩展为张量;基于所述张量中的各所述二维矩阵构建多个行为基线;通过k-means预测模型,将超出基线行为阈值的所述行为基线进行剥离并识别为异常行为数据。
3、在一个是示例性实施中,所述多种数据源分别对应不同用户操作行为;所述多种数据源包括:网站浏览数据记录、文件操作记录、系统登录退出记录、邮件收发记录、外设操作记录以及文件类型记录。
4、在一个是示例性实施中,所述行为基线包括个体行为基线、群体行为
5、在一个是示例性实施中,基于所述张量中的各所述二维矩阵构建多个个体行为基线,包括:基于各所述二维矩阵,按照时间序列展开任一用户的各操作行为,得到多个第一数列;将所述第一数列确定为所述个体行为基线。
6、在一个是示例性实施中,基于所述张量中的各所述二维矩阵构建多个群体行为基线,包括:以用户行为为划分依据从各所述二维矩阵中划分出多个第二数列;将所述第二数列确定为所述群体行为基线。
7、在一个是示例性实施中,通过k-means预算法将超出基线行为阈值的所述个体行为基线进行剥离并识别为异常行为数据,包括:确定个体行为基线数据集;通过所述k-means算法进行数据聚类,确定所述个体行为基线数据集的中心点;基于所述个体行为基线数据集的中心点以及所述基线行为阈值,将超出基线行为阈值的所述个体行为基线进行剥离并确定为异常行为数据
8、在一个是示例性实施中,通过k-means预算法将超出基线行为阈值的所述群体行为基线进行剥离并识别为异常行为数据,包括:确定群体行为基线数据集;通过所述k-means预测模型,进行数据聚类,确定所述群体行为基线数据集的中心点;基于所述群体行为基线数据集的中心点以及所述基线行为阈值,将超出基线行为阈值的所述群体行为基线进行剥离并确定为异常行为数据。
9、根据本专利技术的另一个实施例,提供了一种异常行为数据识别装置,包括:装载模块,用于将不同用户的多种操作行为数据装载至二维矩阵中,并基于时间序列将所述二维矩阵扩展为张量;构建模块,用于基于所述张量中的各所述二维矩阵构建多个行为基线;识别模块,通过k-means算法将超出基线行为阈值的所述行为基线进行剥离并识别为异常行为数据。
10、根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
11、根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
12、通过本专利技术上述实施例,由于在进行异常行为数据识别时是基于多种操作数据,即基于多种维度进行识别,如此,可提高识别的准确率;同时,将数据装载到二维矩阵,再将二维矩阵扩展为张量,可使多维数据变得有序,能有效提高识别效率。因此,可以解决相关技术中异常行为数据识别方法存在准确率低、效率低的问题,达到提高异常数据识别的准确率和效率的效果。
本文档来自技高网...【技术保护点】
1.一种异常行为数据识别方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,其中,所述多种数据源分别对应不同用户操作行为;所述多种数据源包括:网站浏览数据记录、文件操作记录、系统登录退出记录、邮件收发记录、外设操作记录以及文件类型记录。
3.根据权利要求1所述的方法,其特征在于,其中,所述行为基线包括个体行为基线、群体行为基线。
4.根据权利要求3所述的方法,其特征在于,基于所述张量中的各所述二维矩阵构建多个个体行为基线,包括:
5.根据权利要求3所述的方法,其特征在于,基于所述张量中的各所述二维矩阵构建多个群体行为基线,包括:
6.根据权利要求3所述的方法,其特征在于,通过K-means预测模型,将超出基线行为阈值的所述个体行为基线进行剥离并识别为异常行为数据,包括:
7.根据权利要求3所述的方法,其特征在于,通过K-means预算法将超出基线行为阈值的所述群体行为基线进行剥离并识别为异常行为数据,包括:
8.一种异常行为数据识别装置,其特征在于,包括:
9.一种计算
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7任一项中所述的方法。
...【技术特征摘要】
1.一种异常行为数据识别方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,其中,所述多种数据源分别对应不同用户操作行为;所述多种数据源包括:网站浏览数据记录、文件操作记录、系统登录退出记录、邮件收发记录、外设操作记录以及文件类型记录。
3.根据权利要求1所述的方法,其特征在于,其中,所述行为基线包括个体行为基线、群体行为基线。
4.根据权利要求3所述的方法,其特征在于,基于所述张量中的各所述二维矩阵构建多个个体行为基线,包括:
5.根据权利要求3所述的方法,其特征在于,基于所述张量中的各所述二维矩阵构建多个群体行为基线,包括:
6.根据权利要求3所述的方法,其特征在于,...
【专利技术属性】
技术研发人员:孙亚东,谭咏茂,蔚晨,吴海洋,张荣臻,向小佳,丁永建,李璠,
申请(专利权)人:光大科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。