【技术实现步骤摘要】
本专利技术涉及网络安全,具体涉及一种基于无监督评估的用户异常行为检测方法及装置。
技术介绍
1、内部威胁是各种机构、公司和政府机构面临的最危险和最普遍的安全威胁之一,其中恶意行为由组织内部的授权人员执行。由于内部人员有权访问组织的网络系统,并且了解其结构和安全程序,因此内部威胁成为代价最高且最难检测的攻击类型之一。
2、与传统的入侵检测任务不同,内部威胁检测的许多挑战来自于内部人员被授权访问组织的计算机系统并且熟悉组织的安全层。在大多数组织中,具有恶意意图的内部人员的活动很少发生,可用于描述该活动的数据通常很少且没有很好的记录。内部威胁检测的挑战源于需要处理和调查组织环境中的各种数据类型,从网络流量、web和文件访问日志到电子邮件历史记录或员工信息,不同用户行为习惯有着较大差异,行为数据复杂多样,不同组织的可用数据也存在显着差异。因此,内部威胁构成了严重的网络安全挑战,需要高度优先解决这一挑战,以确保此类系统以及组织功能的持续安全。
3、目前进行内部威胁检测有许多方法,包括基于统计分析、基于图聚类的识别方法和基于深度学习的方法。基于机器学习的方法可以有效地处理大规模的用户行为数据,从中挖掘出模式和异常,并可以实时监测用户行为并立即发出警报,从而在发生异常时可以迅速采取行动。但在实际场景中,根据用户各行为时间提取特征会遗漏与其他同类型用户行为之间联系(如同类型用户对某文件访问次数)和异常行为的特异性。
技术实现思路
1、本专利技术提供一种基于无监督评估的用户异
2、为此,本专利技术提供如下技术方案:
3、一种基于无监督评估的用户异常行为检测方法,所述方法包括:
4、采集各用户相关数据;
5、根据所述用户相关数据生成对应各用户不同行为特征的样本,并按照设定时间粒度计算各类型行为特征的统计特征;
6、对所述统计特征进行无监督评估,根据评估结果确定新特征;
7、将所述统计特征和所述新特征组合得到特征参数集;
8、利用所述特征参数集训练得到用户异常行为检测模型;
9、利用所述用户异常行为检测模型对用户行为进行检测。
10、可选地,所述用户相关数据包括:企业内部组织架构、以及用户信息;所述用户信息包括用户操作行为信息。
11、可选地,所述用户操作行为信息包括以下任意一种或多种:用户设备登录登出信息、邮件发送与接收信息、网址访问信息、文件访问信息。
12、可选地,所述企业内部组织架构包括以下任意一种或多种:员工信息、分配的机器、用户ip、组织中的角色、与其他用户的关系、工作时间、用户权限。
13、可选地,所述对所述统计特征进行无监督评估,根据评估结果确定新特征包括:
14、采用无监督算法对所述统计特征进行离群值评分,得到离群值评分;
15、对所述离群值评分进行主成分分析,得到第一主成分集合;
16、计算所述第一主成分集合中各第一主成分的重构误差;
17、对所述第一主成分及其重构误差分别进行z-score标准化处理,得到对应的z-score值;
18、将所述第一主成分集合、所述重构误差、以及所述z-score值作为新特征。
19、可选地,所述无监督算法包括以下任意一种或多种:k-means算法、lof算法、孤立森林算法。
20、可选地,所述利用所述用户异常行为检测模型对用户行为进行检测包括:
21、将待检测用户行为数据输入所述用户异常行为检测模型,得到待检测用户行为得分;
22、如果所述得分大于设定阈值,则将所述待检测用户的行为标记为异常行为。
23、可选地,所述方法还包括:发送预警通知,所述预警通知包括所述异常行为的详细信息。
24、一种基于无监督评估的用户异常行为检测装置,所述装置包括:
25、数据采集模块,用于采集各用户相关数据;
26、统计模块,用于根据所述用户相关数据生成对应用户各行为特征的样本,并按照设定粒度计算各类型行为特征的统计特征;
27、评估模块,用于对所述统计特征进行无监督评估,根据评估结果确定新特征;
28、特征集生成模块,用于将所述统计特征和所述新特征组合得到特征参数集;
29、训练模块,用于利用所述特征参数训练得到用户异常行为检测模型;
30、检测模块,用于利用所述用户异常行为检测模型对用户行为进行检测。
31、可选地,所述评估模块包括:
32、第一评估单元,用于利用k-means算法对所述统计特征进行无监督评估,得到第一离群值评分;
33、第二评估单元,用于利用lof算法对所述统计特征进行无监督评估,得到第二离群值评分;
34、第三评估单元,用于利用孤立森林算法对所述统计特征进行无监督评估,得到第三离群值评分;
35、新特征生成单元,用于对所述离群值评分进行主成分分析,得到第一主成分集合;计算所述第一主成分集合中各第一主成分的重构误差;对所述第一主成分及其重构误差分别进行z-score标准化处理,得到对应的z-score值;将所述第一主成分集合、所述重构误差、以及所述z-score值作为新特征。
36、本专利技术提供的基于无监督评估的用户异常行为检测方法及装置,采集各用户相关数据;生成对应用户各行行为特征的样本,并按照设定粒度计算各类型行为特征的统计特征;对统计特征进行无监督评估,根据评估结果确定新特征;将统计特征和新特征组合生成特征参数集;利用特征参数训练得到用户异常行为检测模型;利用用户异常行为检测模型对用户行为进行检测。
37、本专利技术方案通过无监督评估算法对用户行为进行表征,将评估结果作为原始特征空间的非线性变换,从而为原始数据提供更丰富的特征表示,有效地增强了有监督算法分类器的预测能力,可以在低计算量情况下对用户异常行为的检测,而且可以得到更准确的检测结果。
38、进一步地,考虑不同时间粒度对算法模型的影响,本专利技术方案在不同时间粒度上对每个用户日常行为进行多种不同算法的离群值评分,构建评分矩阵,为原始数据提供新的特征,可以更好地区分离群点和正常点。由于从多角度对数据异常性的评估,可以获得更全面和准确的异常值评分,进而提高了用户异常行为检测模型的鲁棒性和泛化性能。
本文档来自技高网...【技术保护点】
1.一种基于无监督评估的用户异常行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述用户相关数据包括:企业内部组织架构、以及用户信息;所述用户信息包括用户操作行为信息。
3.根据权利要求2所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述用户操作行为信息包括以下任意一种或多种:用户设备登录登出信息、邮件发送与接收信息、网址访问信息、文件访问信息。
4.根据权利要求2所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述企业内部组织架构包括以下任意一种或多种:员工信息、分配的机器、用户IP、组织中的角色、与其他用户的关系、工作时间、用户权限。
5.根据权利要求1所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述对所述统计特征进行无监督评估,根据评估结果确定新特征包括:
6.根据权利要求5所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述无监督算法包括以下任意一种或多种:K-Means算法、LOF算法、孤立森林算法。>
7.根据权利要求1至6任一项所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述利用所述用户异常行为检测模型对用户行为进行检测包括:
8.根据权利要求7所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述方法还包括:
9.一种基于无监督评估的用户异常行为检测装置,其特征在于,所述装置包括:
10.根据权利要求9所述的基于无监督评估的用户异常行为检测装置,其特征在于,所述评估模块包括:
...【技术特征摘要】
1.一种基于无监督评估的用户异常行为检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述用户相关数据包括:企业内部组织架构、以及用户信息;所述用户信息包括用户操作行为信息。
3.根据权利要求2所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述用户操作行为信息包括以下任意一种或多种:用户设备登录登出信息、邮件发送与接收信息、网址访问信息、文件访问信息。
4.根据权利要求2所述的基于无监督评估的用户异常行为检测方法,其特征在于,所述企业内部组织架构包括以下任意一种或多种:员工信息、分配的机器、用户ip、组织中的角色、与其他用户的关系、工作时间、用户权限。
5.根据权利要求1所述的基于无监督评估的...
【专利技术属性】
技术研发人员:杨锋,李镔剑,
申请(专利权)人:北京峰腾科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。