[发明专利]一种基于融合机器学习算法的用户安全行为基线分析方法

说明书

一种基于融合机器学习算法的用户安全行为基线分析方法，针对要监控的用户或设备建立行为特征矩阵；建立基于时间维度的二维特征矩阵；定位行为基线异常的用户或设备；对行为异常的用户或设备抽取时间维度的特征向量；定位发生基线异常的时间。本发明基于融合机器学习算法，从行为特征和行为发生频度两个方面对用户行为的安全性进行异常匹配，从而判断用户的行为是否威胁到网络安全或存在渗透攻击的可能。

技术领域

本发明涉及网络安全技术领域，具体地说是一种基于融合机器学习算法的用户安全行为基线分析方法。

背景技术

随着网络空间安全和大数据技术的发展，针对用户行为分析的安全分析平台开始步入高速发展阶段。如何在大量的数据中找到异常行为成为各厂家和平台研究的重点。用户行为基线异常分析是用户行为分析众多情境中的重要一环。

用户安全行为分析与电商平台等普通用户行为分析有本质的区别。针对用户行为的基线异常分析大多采用人工智能分析方法，如采用贝叶斯、线性回归等，该类算法都需要大量的训练样本，这些算法在消费领域得到了很好验证。但是用户安全行为分析则不同，在网络中尤其在某些敏感的内网中攻击样本极少，往往一年中也不会出现一次，做不到大量训练样本的积累，也不可能开展大数据集的智能训练。

发明内容

本发明的目的在于提供一种基于融合机器学习算法的用户安全行为基线分析方法，用于解决传统用户行为的基线异常分析方法做不到大量训练样本的积累、开展大数据集的智能训练问题。

本发明解决其技术问题所采取的技术方案是：

一种基于融合机器学习算法的用户安全行为基线分析方法，该方法包括：

针对要监控的用户或设备建立行为特征矩阵；

建立基于时间维度的二维特征矩阵；

定位行为基线异常的用户或设备；

对行为异常的用户或设备抽取时间维度的特征向量；

定位发生基线异常的时间。

在第一种可能实现的方式中，特征矩阵包括：U_i＝[S₁ S₂ S₃…S_n]，式中，U_i表示要监控的用户或设备i，S_i＝{S}表示用户或设备i的一个监控指标的特征值。

在第二种可能实现的方式中，建立基于时间维度的二维特征矩阵包括在用户行为特征矩阵U_i＝[S₁ S₂ S₃…S_n]的基础上增加时间维度的标签形成基于时间维度的特征二维矩阵：

式中，表示监控的用户或者设备U_i在T_i时刻的特征表现；表示U_i在T_i时间范围内S_n特征的表现值。

在第三种可能实现的方式中，定位行为基线异常的用户或设备包括：

利用K-Means算法对所有的矩阵进行聚类无监督分析，形成“用户-分组”或者“设备-分组”的动态群组中；

如果“用户-分组”或者“设备-分组”的群组发生群组变化，认为发生变化的用户或者设备的风险提升，则定位到发生异常行为的用户或设备。

在第四种可能实现的方式中，对行为异常的用户或设备抽取时间维度的特征向量包括：

针对定位为异常的用户或设备进行从各个指标S_n进行时间维度的抽取，形成异常用户或设备的单一指标的时间维度矩阵