[发明专利]一种用户行为的确定方法和装置

说明书

技术领域

本发明涉及网络信息安全技术，特别涉及一种用户行为的确定方法和装置。 

背景技术

计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的，计算机网络高速发展和全方位渗透，推动了整个社会的信息化进程，特别是Internet(国际互联网)已经从早期的小规模局域性互联网，发展成为一个全球性信息服务平台，网络技术被广泛应用于社会生活的各个领域，极大地促进了经济的繁荣和社会的进步，显示出越来越强大的生命力。然而，网络的这些特点也不可避免地造成了系统的脆弱性，使用户及网络信息本身面临着严重的安全问题。攻击事件层出不穷，病毒发作此起彼伏，甚至利用互联网实施的违法犯罪活动也逐渐增多。为了更好地去监管人们的上网行为，抵御黑客攻击，进行用户行为分析势在必行。 

现有的网络信息安全技术，如防火墙、入侵检测、安全路由、身份认证等，大多将主要精力集中在设备的某一方面的异常，而未从用户行为的设计挖掘和表示方法角度分析网络所遭受的攻击，且通常不预测下一时间异常。 

现有技术提供了一种用户行为异常检测系统和方法，该系统由控制模块、数据获取和预处理模块、学习模块、序列存储模块、检测模块、检测结果输出模块组成；该系统配置在需要监控的服务器上，采用Unix平台上的shell命令作为训练数据和审计数据，在对数据进行预处理后，利用机器学习模型建立计算机网络系统中关键合法用户的正常行为轮廓，在检测中通过比较关键合法用户的当前行为与其正常行为轮廓来识别异常行为，即是否发生入侵，以便引起网络管理员的注意，采取措施保证安全；如果该用户的当前行为较大程度偏离了其历史上的正常行为轮廓，即认为发生了异常，具体原因可能是关键合法用户进行了非授权操作，或是外部入侵者冒用关键合法用户的帐户进行了非法操作。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题： 

现有的网络信息安全技术，只从单一用户行为出发，未从宏观角度把握用户行为。 

发明内容

本发明实施例提供了一种用户行为的确定方法和装置，以确定用户的网络行为模式。 

本发明实施例提供了一种用户行为的确定方法，包括以下步骤： 

采集网络流量数据和安全事件日志数据，所述安全事件日志数据包括安全事件类型； 

汇总采集的网络流量数据和安全事件日志数据建立用户行为数据库； 

将所述用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。 

本发明还提供了一种用户行为确定装置，包括： 

采集单元，用于采集网络流量数据和安全事件日志数据； 

数据库建立单元，用于汇总所述采集单元采集的所述网络流量数据和所述安全事件日志数据建立用户行为数据库； 

行为模式确定单元，用于将所述数据库建立单元建立的用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。 

本发明的实施例中，通过建立用户行为数据库并将用户行为数据库中各用户进行聚类，确定了各用户的网络行为模式，从宏观角度有效的反应了用户网络行为。 

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。 

图1为本发明实施例中一种用户行为确定的方法流程图； 

图2为本发明实施例中一种用户行为确定的方法流程图； 

图3为本发明实施例中采集网络流量数据和安全事件日志数据数据表表间关系图； 

图4为本发明实施例的预测用户的网络行为模式方法流程图； 

图5为本发明实施例中生成用户行为预测模型的方法流程图； 

图6为本发明实施例中一种用户行为确定装置结构图。 

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。