[发明专利]企业内部用户异常行为检测方法和装置

权利要求书

1.企业内部用户异常行为检测方法，其特征在于，包括以下步骤：

步骤1：将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流，针对不同行为对应的历史行为日志数据，在解析过程中，进行不同的处理，将每条历史行为日志数据解析为一个五元组；

步骤2：为解析后的历史行为日志数据建立索引，存储到全文搜索引擎数据库中，作为初始搜索的基础数据，当接收到新的行为日志数据时，通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息，检索每个行为细节信息在历史行为中出现的频率及时间节点信息，完成新行为与历史行为的比对，将文字型日志数据转化为数值型向量，利用转化为数值型向量的历史行为日志数据构建用户行为模型；

步骤3：根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列，将划分好的行为短序列根据相似性聚类，将同一类中的短序列定义为同一业务状态，用类名称代替该类中的所有短序列作为观测变量，利用观测变量训练隐马尔可夫模型，通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态，进行业务状态间的转移预测，进而预测业务状态间的转移概率；

步骤4：通过用户行为模型得到行为的异常得分，通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分，判定新行为序列是否异常。

2.根据权利要求1所述的企业内部用户异常行为检测方法，其特征在于，所述行为包括：登录活动、外部设备访问活动、电子邮件收发活动、网页浏览活动及文件读写活动。

3.根据权利要求2所述的企业内部用户异常行为检测方法，其特征在于，所述用户历史行为日志数据包括：登录活动数据、外部设备访问活动数据、电子邮件收发活动数据、网页浏览活动数据及文件读写活动数据。

4.根据权利要求1所述的企业内部用户异常行为检测方法，其特征在于，所述五元组为timestamp,userid,deviceid,activity,attribute，其中，timestamp、userid、deviceid、activity、attribute为五元组对应的行为细节信息；timestamp为时间戳，userid为用户ID，deviceid为设备ID，activity为活动名称，attribute为活动属性。

5.根据权利要求4所述的企业内部用户异常行为检测方法，其特征在于，所述进行不同的处理包括：

在电子邮件发送活动中，将收件人信息加入活动属性；在电子邮件接收活动中，将发件人信息加入活动属性；

在文件读写活动中，将路径和文件名加入活动属性；

在网页浏览活动中，将URL信息加入活动属性；

登录活动和外部设备访问活动不包含属性数据，将活动属性设为空。

6.根据权利要求1所述的企业内部用户异常行为检测方法，其特征在于，所述利用转化为数值型向量的历史行为日志数据构建用户行为模型包括：

将转化为数值型向量的同一用户的历史行为日志数据按发生的时间顺序进行排序，以固定的时间窗口划分为不同的行为块，利用每一个行为块中的转化为数值型向量的历史行为日志数据训练非监督学习模型，得到多个分类器，所述非监督学习模型为一分类支持向量机；保存时间最近的v个数据块形成的分类器集合M＝{M₁,M₂,…,M_v}，构成非监督模型集群，所述非监督模型集群即为用户行为模型。