[发明专利]一种计算机用户行为异常检测方法

权利要求书

1.一种计算机用户行为异常检测方法，其特征在于，包括：

步骤1：对原始数据进行预处理，消除重复信息和错误信息，生成格式化的用户身份信息、对象信息、时间信息以及行为信息；

步骤2：基于用户身份信息、对象信息、时间信息、行为信息，进行用户正常行为建模，建立用户行为基线；

步骤3：依据用户行为基线，对实时产生的用户行为进行匹配，检测用户行为异常；

步骤4：对于实时产生的正常用户行为，进一步进行用户行为基线调整；

步骤2具体包括：

周期T内，在每天的第k个小时内，用户USER通过n 种方式访问了m 个对象，访问行为包括OPT₁，OPT₂，…，OPT_n ，对象包括OBJ₁，OBJ₂，…，OBJ_m ，时间信息中k-1≤STARTk；

得出访问模式矩阵如下：

其中，NUM_mn表示用户通过OPT_n 这种方式访问对象OBJ_m 的次数；

针对周期T，进行用户正常行为建模，建立访问模式矩阵，如下：

其中，NUM_mn表示用户通过OPT_n 这种方式访问对象OBJ_m 的次数，表示周期T内用户通过OPT_n这种方式访问对象OBJ_m的平均次数；

调整用户行为基线，如下：

其中，周期T内包含t天，用户通过OPT_p这种方式访问对象OBJ_q，r次。

2.如权利要求1所述的计算机用户行为异常检测方法，其特征在于，用于计算机用户行为异常检测的原始数据来源包括身份认证网关、应用系统以及主机监控系统，经过去冗余、消除错误信息，再进行格式化，形成用户身份信息、对象信息、时间信息以及行为信息。

3.如权利要求1所述的计算机用户行为异常检测方法，其特征在于，用户身份信息包括身份认证信息、IP地址信息、MAC地址信息以及角色信息；对象信息包括IP地址信息、对象类型信息以及端口信息；时间信息包括发起访问时间、持续时间以及终止访问时间；行为信息包括访问协议、访问端口以及操作方式。

4.如权利要求3所述的计算机用户行为异常检测方法，其特征在于，步骤3进一步包括：

依据用户行为基线，对实时产生的用户行为进行匹配，检测用户行为异常；

设定用户行为异常阈值为W，0W≤100％；

在某天的第k个小时内，用户通过OPT_q这种方式访问对象OBJ_p r次；

其中，p、q均为不同访问对应的数值，当0q≤m时，表示这种访问方式是步骤2中m种访问方式中的一种；当qm时，表示这种访问方式不属于步骤2中m种访问方式；当0p≤n时，表示这个访问对象是步骤2中n个访问对象中的一个；当pn时，表示这个访问对象不属于步骤2中n个访问对象；

若pn，0q≤m，则用户以前从未以OPT_q这种方式访问过对象OBJ_p，因此判定为异常行为，触发用户行为异常告警；

若0p≤n，qm，则用户以前以OPT_q这种方式从未访问过对象OBJ_p，因此判定为异常行为，触发用户行为异常告警；

若0p≤n，且0q≤m，但则用户以OPT_q这种访问方式访问对象OBJ_p的频次超过了正常范围，触发用户行为异常告警；其中，表示周期T内用户通过OPT_q这种方式访问对象OBJ_p的平均次数；

其他情况为正常访问，不触发用户行为异常告警。

5.如权利要求4所述的计算机用户行为异常检测方法，其特征在于，T至少为3个月。