[发明专利]一种基于知识图谱的网络异常用户检测方法、装置和设备

说明书

本申请公开了一种基于知识图谱的网络异常用户检测方法、装置和设备，其中方法包括：基于获取的访问用户的网络日志构建用户访问行为的知识图谱，得到网络行为图谱；基于网络行为图谱和网络日志提取各访问用户的访问行为特征；将各访问用户的访问行为特征输入预置随机森林模型进行用户类型检测，输出用户类型为异常的访问用户，预置随机森林模型为访问用户的访问行为特征与用户类型的关系映射模型，解决了现有技术均是针对单条日志进行分析，即单个访问行为的相关属性，存在异常用户检测结果精度不高的技术问题。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种基于知识图谱的网络异常用户检测方法、装置和设备。

背景技术

网络日志是网站的用户点击信息和其他访问行为的汇总，详细地记录了网站行为的相关属性。在网站遭受攻击后，网络管理者通常会查看相关的网络访问日志的信息。因此，网络日志成为网络管理者发现并防御网络入侵者的攻击行为的重要凭据。然而，为了逃避追查，入侵者通常会让攻击行为产生的日志信息和正常访问行为产生的日志信息尽可能相似，使得网络管理者发现入侵者的难度加大。

目前，现有的基于网络日志的异常行为分析方法，主要通过网络日志构建模型，试图找到正常日志内容和攻击日志内容的特点与差异，但现有方法均是针对单条日志进行分析，即单个访问行为的相关属性，存在异常用户检测结果精度不高的问题。

发明内容

本申请提供了一种基于知识图谱的网络异常用户检测方法、装置和设备，用于解决现有技术均是针对单条日志进行分析，即单个访问行为的相关属性，存在异常用户检测结果精度不高的技术问题。

有鉴于此，本申请第一方面提供了一种基于知识图谱的网络异常用户检测方法，包括：

基于获取的访问用户的网络日志构建用户访问行为的知识图谱，得到网络行为图谱；

基于所述网络行为图谱和所述网络日志提取各所述访问用户的访问行为特征；

将各所述访问用户的访问行为特征输入预置随机森林模型进行用户类型检测，输出用户类型为异常的访问用户，所述预置随机森林模型为所述访问用户的访问行为特征与用户类型的关系映射模型。

可选的，所述基于获取的访问用户的网络日志构建用户访问行为的知识图谱，得到网络行为图谱，包括：

在获取访问用户的网络日志后，将所述网络日志内的访问地址作为节点，根据所述网络日志获取所述节点之间的访问关系，并基于所述节点和所述访问关系构建用户访问行为的知识图谱，得到网络行为图谱；

其中，所述网络行为图谱中具有所述访问关系的两个节点之间连接有一条边，所述边的权重为所述两个节点之间的访问次数。

可选的，所述基于所述网络行为图谱和所述网络日志提取各所述访问用户的访问行为特征，包括：

基于所述网络行为图谱提取各所述访问用户的第一网络访问特征，并基于所述网络日志提取各所述访问用户的第二网络访问特征，得到各所述访问用户的访问行为特征；

其中，所述第一网络访问特征包括：用户路径规模特征、用户日志数量特征或用户访问频率特征，第二网络访问特征包括：URL长度特征、请求参数数量特征、特殊字符频率特征或字符熵特征。

可选的，基于所述网络行为图谱提取各所述访问用户的用户路径规模特征，包括：

在提取所述网络行为图谱中各所述访问用户所有的访问路径的权重后，计算各所述访问用户所有的访问路径的权重之和与所述网络行为图谱中所有所述访问用户所有的访问路径的权重之和的比值，得到各所述访问用户的用户路径规模特征。

可选的，所述预置随机森林模型的配置过程包括：

获取正常访问用户和异常访问用户的历史网络日志；