[发明专利]一种异常用户识别方法及装置

说明书

本申请实施例提供了一种异常用户识别方法及装置，方法包括：获取多个用户的用户行为数据；提取每个用户的用户行为数据在预设的多个用户行为维度下的多个用户特征值；根据每个用户的多个用户特征值，确定每个用户的用户特征向量；通过预设的聚类算法，对多个用户的用户特征向量进行聚类处理，得到多个用户类；根据每个用户类包括的用户特征向量，确定每个用户类的中心向量；获取每个用户类的差异特征向量；其中，差异特征向量为用户类中与用户类的中心向量的距离值未在预设距离值范围内的用户特征向量；将差异特征向量所表征的用户确定为异常用户。应用本申请实施例，能够实现对管理人员未知且无法发现异常行为的用户进行识别。

技术领域

本申请涉及网络安全领域，特别是涉及一种异常用户识别方法及装置。

背景技术

为了保证网络系统中的硬件、软件及其系统中的数据得到更好的保护，使网络系统连续可靠地运行，通常会在内网与外网连接的边缘路由器处架设安全设备，由安全设备对内网发出的报文或者外网发入的报文进行筛选、过滤，以保证网络系统的安全。

目前，由于用户行为的不可预测性，例如，在不同时段、不同位置用户可执行不同的网络操作，如收发邮件、打开网页、下载视频、内网游走等等，这使得现在对于内网用户是否存在异常行为的检测是一个复杂的问题。

在一般情况下，通过设置黑名单方式可实现对内网异常用户的识别。具体的，管理人员将需要限制的用户名加入黑名单中。但，通过设置黑名单的方式对内网异常用户进行识别时，仅能对当前管理人员已知的异常用户进行识别，对当前管理人员未知且无法发现异常行为的用户仍然无法进行识别。

发明内容

本申请实施例的目的在于提供一种异常用户识别方法及装置，以实现对管理人员未知且无法发现异常行为的用户进行识别。具体技术方案如下：

第一方面，本申请实施例提供了一种异常用户识别方法，所述方法包括：

获取多个用户的用户行为数据；

提取所述多个用户中每个用户的用户行为数据在预设的多个用户行为维度下的多个用户特征值；

根据所述多个用户中每个用户的多个用户特征值，确定所述多个用户中每个用户的用户特征向量；

通过预设的聚类算法，对所述多个用户的用户特征向量进行聚类处理，得到多个用户类；

根据所述多个用户类中每个用户类包括的用户特征向量，确定所述多个用户类中每个用户类的中心向量；

获取所述多个用户类中每个用户类的差异特征向量；所述差异特征向量为用户类中与所述用户类的中心向量的距离值未在预设距离值范围内的用户特征向量；

将所述差异特征向量所表征的用户确定为异常用户。

结合第一方面，在第一种可能的实现方式中，所述通过预设的聚类算法，对所述多个用户的用户特征向量进行聚类处理，得到多个用户类，包括：

通过K-means聚类算法，对所述多个用户的用户特征向量进行聚类处理，得到K个初始用户类；其中，所述K为正整数；

获取所述K个初始用户类中第一初始用户类和第二初始用户类；

对所述第一初始用户类与所述第二初始用户类进行合并处理，得到合并初始用户类；

将所述合并初始用户类和所述K个初始用户类中未合并的其他初始用户类，分别作为进行聚类处理后的用户类，得到多个用户类；

所述第一初始用户类为所述K个初始用户类中包括的用户特征向量的个数小于预设数量阈值的初始用户类；

所述第二初始用户类为所述K个初始用户类中与所述第一初始用户类的中心向量的距离值最小的中心向量所表征的初始用户类。