[发明专利]一种用户行为的确定方法和装置

权利要求书

1.一种用户行为确定的方法，其特征在于，包括以下步骤：

采集网络流量数据和安全事件日志数据，所述安全事件日志数据包括安全事件类型；

汇总采集的网络流量数据和安全事件日志数据，建立用户行为数据库；

将所述用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式；

所述汇总采集的网络流量数据和安全事件日志数据，建立用户行为数据库，具体包括：

初步汇总所述网络流量数据，根据汇总结果构造网络流量数据子网和端口统计数目表以及网络流量数据基础汇总表；

共同汇总所述网络流量数据和所述安全事件日志数据，根据汇总结果构造TOPN统计表；

根据所述网络流量数据子网和所述端口统计数目表、所述网络流量数据基础汇总表、所述TOPN统计表构造所述用户行为数据库。

2.如权利要求1所述的方法，其特征在于，所述采集网络流量数据包括：

通过从网络流量数据源表中提取源IP地址、目的IP地址、源端口号、目的端口号、协议类型、流内数据包数量、数据流的大小和数据流结束时间进行所述采集网络流量数据。

3.如权利要求1所述的方法，其特征在于，所述采集安全事件日志数据包括：

通过从安全事件日志表中提取安全事件时间、IP地址、安全事件类型、安全事件等级和关联IP地址进行所述采集安全事件日志数据。

4.如权利要求1所述的方法，其特征在于，所述将用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式包括：

计算某用户行为模式样本点与已确定行为模式样本点间的用户行为距离； 

根据计算得到的某用户行为模式样本点与已确定行为模式样本点间的用户行为距离确定所述各用户的网络行为模式。

5.如权利要求4所述的方法，其特征在于，所述用户行为距离的计算公式为：

其中，d(U1，U2)为用户行为距离，U1和U2分别为某用户行为模式样本点和已确定行为模式样本点，U1＝{X₁，X₂，...，X_p}， X为用户属性数据，P为用户属性数据的个数。

6.如权利要求4所述的方法，其特征在于，所述根据聚类结果确定所述各用户的网络行为模式之后，还包括：

应用径向基函数RBF神经网络，结合所述各用户的网络行为模式预测所述各用户未来时间内的网络行为模式。

7.如权利要求6所述的方法，其特征在于，所述应用径向基函数RBF神经网络，结合所述各用户的网络行为模式预测所述各用户未来时间内的网络行为模式包括：

从所述用户行为数据库中调出所述各用户的样本数据；

对所述样本数据进行训练，生成用户行为预测模型；

根据所述用户行为预测模型对所述各用户未来时间内的网络行为模式进行预测。

8.一种用户行为确定装置，其特征在于，包括：

采集单元，用于采集网络流量数据和安全事件日志数据；

数据库建立单元，用于汇总所述采集单元采集的网络流量数据和安全事件日志数据，建立用户行为数据库；

所述数据库建立单元包括：

初步汇总子单元，用于初步汇总所述网络流量数据，根据汇总结果构造网络流量数据子网和端口统计数目表以及网络流量数据基础汇总表；

共同汇总子单元，用于共同汇总所述网络流量数据和所述安全事件日志数据，根据汇总结果构造TOPN统计表；

构造子单元，用于根据所述初步汇总子单元构造的网络流量数据子网 和所述端口统计数目表、所述网络流量数据基础汇总表以及所述共同汇总子单元构造的TOPN统计表构造所述用户行为数据库；

行为模式确定单元，用于将所述数据库建立单元建立的用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

9.如权利要求8所述用户行为确定装置，其特征在于，还包括：

预测单元，用于根据所述行为模式确定单元确定的各用户的网络行为模式预测各用户未来一定时间内的网络行为模式。

10.如权利要求9所述用户行为确定装置，其特征在于，所述预测单元包括：

样本准备子单元，从所述用户行为数据库中调出所述各用户的样本数据；

模型生成子单元，对所述样本准备子单元得到的样本数据进行训练，生成用户行为预测模型；

处理子单元，根据所述模型生成子单元得到的用户行为预测模型对所述各用户未来时间内的网络行为模式进行预测。