[发明专利]一种基于行为相似度的用户异常行为检测方法

说明书

技术领域

本发明涉及计算机信息安全领域，具体地说是一种基于行为相似度的用户异常行为检测方法。

背景技术

在移动互联网和BYOD办公逐步成熟的时代，信息和网络安全也面临着新的挑战。网络用户异常行为成为网络面临的一大威胁。所谓异常行为，是指与正常行为相对应，由网络用户或恶意攻击者实施的对网络正常运行造成影响的行为，例如传播恶意代码、DDoS攻击等。这些行为会造成网络服务质量急剧下降，网络负载加重甚至瘫痪等后果。而且随着云计算和大数据的快速发展，网络用户异常行为的新变种以及新行为层出不穷，其威胁也日益严重。

因此无论是加强对用户行为的管控，还是保障网络的正常运行，都要求能够对网络用户的异常行为实施快速、准确的检测。如何有效检测并阻断用户异常行为，成为业界领域中的研究热点。

现有技术中通常采用端口扫描、报文特征字段匹配等方法对异常行为进行深入分析以获取特征，从而实现网络用户异常行为的检测。然而，随着用户异常行为不断变化，依靠人工对异常行为进行分析以获取特征的代价越来越高昂甚至不可行。随着人工智能技术的发展，机器学习更多地被用于从网络数据中自动计算异常行为模式、提取其特征，从而自动产生检测规则，极大地降低了开发成本。

在机器学习中，常用的相似度衡量函数主要有三种：余弦相似度、相关相似度以及修正的余弦相似度。余弦相似度函数在衡量向量相似性方面得到了广泛的应用，它可以直接用来衡量节点评分行为之间的相似程度。

发明内容

本发明的技术任务是针对上述现有技术的不足，提供一种基于行为相似度的用户异常行为检测方法。

网络环境中用户行为一般具有相似性的性质，以相似度来刻画。与正常行为相似度相比，异常行为相似度存在较大的差异。基于此，本发明方法实现了用户异常行为的检测。

本发明的技术任务是按以下方式实现的：一种基于行为相似度的用户异常行为检测方法，其特点是该方法根据从Web日志中获取的表征用户行为的特征参数，计算与用户行为相关的时间相似度、地点相似度、URL相似度，并综合计算形成用户行为相似度；通过比较用户行为相似度，若存在较大幅度的变化，则反映出用户行为实质性的变化，实现用户异常行为的检测。

作为优选，上述方法包括以下步骤：

(一)特征参数提取

通过对Web日志分析获取表征用户行为的特征参数，并用元组描述；

(二)行为相似度计算：根据用户行为特征参数元组，对参与相似度计算的参数进行量化，然后利用机器学习中相似度衡量函数，分别计算与用户行为相关的时间相似度S_t，地点相似度S_i和URL相似度S_u

然后根据时间相似度S_t，地点相似度S_i和URL相似度S_u对于用户行为相似度的影响程度，计算出用户访问路径中的用户行为相似度，作为用户异常行为检测的指标；

(三)异常行为检测

比较步骤(二)所得的用户访问路径中的用户行为相似度，若变化幅度超过一定的行为相似度阀值，则所对应的用户行为表现为异常行为。

进一步的，步骤一中所述特征参数用元组(ID，IP，R，t_R，t_D，M，P，Ref，UA)来描述，其中ID唯一标识用户的ID；IP表示发送请求的客户端IP地址；R唯一标识某个URL请求；t_R为当前URL的请求时间；t_D为浏览时长；M表示请求方法；P表示页面访问路径；Ref表示请求访问来源；UA是一个由变量、变量值构成的二元组集合，用来描述外部环境状态以及当前行为对环境的影响(P中所传递的参数变量以及变量值)。

步骤二中：

时间相似度S_t：采用余弦相似度函数，对由主要相关参数包括但不限于t_R和t_D构成的时间向量计算时间相似度；

地点相似度S_i：采用余弦相似度函数，对由主要相关参数包括但不限于ID，IP以及UA中与客户端地址相关的参数构成的地点向量计算地点相似度；

URL相似度S_u：采用编辑距离，对由主要相关参数包括但不限于R，M，P，Ref以及UA中访问路径所传递的参数变量以及变量值构成的URL向量计算URL相似度。