[发明专利]一种网络异常行为检测与分析的方法及系统

权利要求书

1.一种网络异常行为检测与分析的方法，其特征在于，包括步骤：

S1、统计安全用户的访问行为特征数据；

S2、根据所述特征数据构建一类支持向量机模型；

步骤S2具体包括：

引入松弛变量并最小化关于所述特征数据的目标函数；

构造关于所述特征数据的密度分布二值模型；

判断所述特征数据的密度是否大于预设阈值，若是，判定为安全样本；否则，判定为异常样本；

S3、利用所述一类支持向量机模型对全网用户的访问行为特征进行预测分析以识别异常访问行为；

步骤S3具体包括：

判断全网用户的访问行为特征是否大于预设阈值，若是，判定为异常访问用户；否则，判定为安全访问用户；

S4、判断所述异常访问行为的行为特征是否已知，若是，进行相应的处理；否则，研究所述异常访问行为并制定相应的措施。

2.根据权利要求1所述的一种网络异常行为检测与分析的方法，其特征在于，步骤S4具体包括：

对所述异常访问行为的URL进行分词；

通过TF-IDF构建词频向量；

加入对应的访问频率、访问时长、访问URL长度的特征并组成新的异常访问特征向量；

将所述新的异常访问特征向量进行余弦相似度计算以得到各异常访问行为之间的相似度；

判断所述相似度是否大于或等于预设相似度阈值，若是，将所述异常访问行为输出；否则，建立异常访问行为特征库，将未知的异常访问行为入库。

3.一种网络异常行为检测与分析的系统，其特征在于，包括：

统计模块，用于统计安全用户的访问行为特征数据；

构建模块，用于根据所述特征数据构建一类支持向量机模型；

所述构建模块具体包括：

最小化单元，用于引入松弛变量并最小化关于所述特征数据的目标函数；

构造单元，用于构造关于所述特征数据的密度分布二值模型；

识别单元，用于判断所述特征数据的密度是否大于预设阈值，若是，判定为安全样本；否则，判定为异常样本；

分析模块，用于利用所述一类支持向量机模型对全网用户的访问行为特征进行预测分析以识别异常访问行为；

所述分析模块具体包括：

判定单元，用于判断全网用户的访问行为特征是否大于预设阈值，若是，判定为异常访问用户；否则，判定为安全访问用户；

判断模块，用于判断所述异常访问行为的行为特征是否已知，若是，进行相应的处理；否则，研究所述异常访问行为并制定相应的措施。

4.根据权利要求3所述的一种网络异常行为检测与分析的系统，其特征在于，所述判断模块具体包括：

分词单元，用于对所述异常访问行为的URL进行分词；

向量单元，用于通过TF-IDF构建词频向量；

组合单元，用于加入对应的访问频率、访问时长、访问URL长度的特征并组成新的异常访问特征向量；

计算单元，用于将所述新的异常访问特征向量进行余弦相似度计算以得到各异常访问行为之间的相似度；

对比单元，用于判断所述相似度是否大于或等于预设相似度阈值，若是，将所述异常访问行为输出；否则，建立异常访问行为特征库，将未知的异常访问行为入库。