[发明专利]一种用户行为的检测方法和装置

说明书

本申请实施例提供了一种用户行为的检测方法和装置，所述方法包括：获取当前用户与其他用户之间的行为相似度；依据所述行为相似度，确定一个或多个目标用户；采用所述当前用户与所述一个或多个目标用户之间的行为相似度，计算所述当前用户的当前行为的概率值；依据所述概率值，对所述当前行为进行检测。本实施例通过分析与当前用户具有较高相似性的目标用户的行为，对当前用户的当前行为进行检测，不依赖于人工分析与其他的行为特征库，能够自动对用户行为进行分析并发现内部威胁和异常行为，提高了异常行为的识别效率，降低了异常行为的误报率和漏报率。

技术领域

本申请涉及信息安全技术领域，特别是涉及一种用户行为的检测方法、一种用户行为的检测装置、一种用户相似度数据表的生成方法和一种用户相似度数据表的生成装置。

背景技术

随着互联网技术的高速发展，异常检测成为了网络安全领域的一个重要而迫切的问题。在过去几十年中，由于DDoS(Distributed Denial of Service，分布式拒绝服务攻击)、病毒、木马、爬虫等攻击行为的猖獗和泛滥，针对这些入侵行为的检测技术越来越丰富。但是，除了病毒、木马等来自外部的恶意攻击，企业局域网也面临着来自于内部的网络威胁，例如，内部员工窃取数据、身份冒用、内部用户非法操作等等。这些来自内部的异常行为的模式与传统的网络攻击行为的模式不同，不具有固定的特征，无法建立起类似病毒木马的特征库，因此更加难以察觉和发现，使得网络对于内部攻击的检测效率很低。

在传统的内部异常检测系统中，绝大多数企业局域网通过安全策略管理来实现对内部异常行为的监测。通常，安全策略管理方式可以分为“白名单策略”和“黑名单策略”。其中，“白名单策略”采用建立正常行为模型的方式，凡是不符合该模型的行为将被识别为异常；而“黑名单策略”则相反，它将所有不可接受的行为归纳起来建立一个模型，凡是符合该模型的行为将被识别为异常。使用安全管理策略的用户可以根据系统的特点和安全要求来制定策略或规则，并选择相应的检测模式。

在实际操作中，“白名单策略”和“黑名单策略”各有优劣，“白名单策略”的漏报率低，但误报率高；黑名单策略的误报率低，但恶意行为多种多样，很大部分没有被收集在行为模式库中，因此漏报率相应就高。但是，无论是采用“白名单策略”或“黑名单策略”，在策略制定和管理过程中都需要大量的人工参与，并且随着恶意行为类型的增加，网络管理员负担也会越来越重，“白名单策略”的误报率会逐渐增高，“黑名单策略”的漏报率也会逐渐增高，因此，基于安全策略的管理方式在实际操作中缺乏灵活性和主动性。

发明内容

鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的一种用户行为的检测方法、一种用户行为的检测装置、一种用户相似度数据表的生成方法和相应的一种用户相似度数据表的生成装置。

本申请实施例提供了一种用户行为的检测方法，包括：

获取当前用户与其他用户之间的行为相似度；

依据所述行为相似度，确定一个或多个目标用户；

采用所述当前用户与所述一个或多个目标用户之间的行为相似度，计算所述当前用户的当前行为的概率值；

依据所述概率值，对所述当前行为进行检测。

本申请实施例还提供了一种用户行为的检测方法，包括：

获取当前用户的当前行为和历史行为，以及其他用户的当前行为，所述当前行为包括在预设时间段内的一个或多个用户行为；

依据所述当前用户的当前行为和历史行为，计算所述当前用户的自身偏离值；

依据所述当前用户的当前行为和其他用户的当前行为，计算所述当前用户与其他用户的当前相似度；

获取当前用户与其他用户之间的行为相似度；