[发明专利]一种异常行为检测方法和装置

说明书

本发明实施例提供了一种异常行为检测方法和装置，涉及网络安全技术领域，用于解决现有技术中数据分析的效率较低，无法从海量数据中分析出异常行为的问题。该方法包括：获取待检测数据；通过数据检测模型对所述待检测数据进行检测确定异常行为，所述数据检测模型为以用户的历史数据为样本数据、孤立森林算法为模型算法构建的机器学习模型历史数据包括所述异常行为对应的异常数据；对所述异常行为进行事件上报。本发明实施例用于异常行为检测。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种异常行为检测方法和装置。

背景技术

随着网路技术的飞速发展，敏感信息和个人隐私信息无处不在，而保障敏感信息和个人隐私信息的安全是网络安全的重要任务之一。

传统网络安全技术中普遍通过制定针对性的访问控制策略来保障敏感信息和个人隐私信息的安全，然而快速增长的海量数据使得大数据平台中的敏感信息和个人隐私信息无处不在，准确发现和定位敏感信息并制定针对性的访问控制策略变得越来越困难，因此仅仅依靠访问控制策略已无法完全避免敏感信息和个人隐私信息被违规使用。为了能够发现敏感信息和个人隐私信息被违规使用，现有技术中进一步提出基于用户数据对大数据平台的每一个用户的行为进行分析，进而发现用户的异常行为，并警告恶意事件。然而，随着Hadoop、Hive、Spark等技术的发展，用户的数据量呈指数级增长，而现有技术中普遍基于人工进行数据分析的，数据分析的效率较低，因此了解每个用户的数据活动变得非常困难，更不用说在每天千万亿字节(Petabyte，PB)级的数据流中分析并警告异单个恶意事件。因此如何分析大数据平台每个用户的数据，发现并警告敏感数据违规被使用行为，降低数据泄露风险，进而保护大数据平台的数据安全是一个亟待解决的问题。

发明内容

有鉴于此，本发明实施例提供了一种异常行为检测方法和装置，用于解决现有技术中数据分析的效率较低，无法从海量数据中分析出异常行为的问题。

为了实现上述目的，本发明实施例提供技术方案如下：

第一方面，本发明的实施例提供一种异常行为检测方法，包括：

获取待检测数据；

通过数据检测模型对所述待检测数据进行检测确定异常行为，所述数据检测模型为以用户的历史数据为样本数据、孤立森林算法为模型算法构建的机器学习模型，所述历史数据包括所述异常行为对应的异常数据；

对所述异常行为进行事件上报。

作为本发明实施例一种可选的实施方式，在通过数据检测模型对所述待检测数据进行检测确定异常行为之前，所述方法还包括：

述待检测数据进行检测确定异常行为之前，所述方法还包括：

获取所述历史数据；

根据算法模型和/或检测目标标签选取数据特征，所述检测目标标签为用于进行异常行为检测的数据特征的标签；

将所述历史数据分为训练数据集和测试数据集；

利用所述训练数据集、所述数据特征以及孤立森林算法构建所述数据检测模型；

通过所述数据检测模型对所述测试数据集进行检测，获取所述数据检测模型的性能的评估结果；

根据所述评估结果和所述测试数据集中的真实异常数据的情况，调整所述数据检测模型的模型参数，以对所述数据检测模型进行修正。

作为本发明实施例一种可选的实施方式，在将所述历史数据分为训练数据集和测试数据集之前，所述方法还包括：

根据聚合规则对所述历史数据进行聚合处理，以将一次用户操作产生的数据聚合为一条操作事件对应的数据；

其中，所述聚合规则由检测大数据平台各类组件的操作特征确定。