[发明专利]一种基于深度学习改进IFOREST对行为异常检测的日志监控方法

说明书

本发明公开了一种基于深度学习改进IFOREST对行为异常检测的日志监控方法。通过对用户的行为信息进行采集并向量化信息。利用Auto‑Encoder对算法训练模型对输入的日志用户行为向量进行降维。利用genetic算法以及Gan网络改进IFOREST，依据更新的信息反复训练模型提高其识别的准确率，最后通过日志监控的方法对用户的日常行为进行高效率高精准度的异常行为检测，将深度学习的方法应用到异常行为检测的网络安全领域，借以检测用户或管理员进行的非正常操作，同时采用了深度学习中自编码器对提取的用户行为信息进行降维，实现对高维数据的预处理，提出了一种相比于IFOREST训练准确率更高更加稳定的模型。

技术领域

本发明属于网络安全领域，具体涉及一种基于深度学习改进IFOREST对行为异常检测的日志监控方法。

背景技术

如今的网络平台系统规模越来越庞大，用户以及管理员的数量同样激增，难免会有用户或管理员进行非正常的操作。基于日志监控系统运行过程中使用监控系统对日志状态进行实时监控，及时检测到已经发生或即将发生的异常行为，为采取对应措施留出宝贵时间。日志监控是对系统运行中产生的各类用户日志的行为进行采集、过滤、存储、分析、检测异常的一系列过程，是日志监控系统中的重要组成部分。通过对日志进行不同角度的分析，可以达检测异常行为和日志审计等目的。目前对日志的监控有两种主流的算法思想，一种是基于传统的聚类算法的改进如LOF，另一种是基于深度学习如CNN，RNN以及Auto-Encoder自编码器等等。这些算法都存在运行时间长问题，本发明基于IFOREST的改进在运行时间和准确率方面都有所提升。

发明内容

本发明的目的是提供一种基于深度学习改进IFOREST对行为异常检测的日志监控方法。解决了现有技术中存在的监控方法运行时间过长的问题。通过对用户的行为信息进行采集并向量化信息。利用Auto-Encoder对算法训练模型对输入的日志用户行为向量进行降维。利用genetic算法以及Gan网络改进IFOREST，依据更新的信息反复训练模型提高其识别的准确率，最后通过日志监控的方法对用户的日常行为进行高效率高精准度的异常行为检测。

本发明所采用的技术方案是，一种基于深度学习改进IFOREST对行为异常检测的日志监控方法，具体操作步骤如下：

步骤1，利用平台系统中产生的日志用户信息进行提取，以用户对数据库的操作为例将用户每日对数据库的增表、删表、改表、查表等不同行为的操作次数进行长期统计，生成用户日志行为向量并用MySQL进行存储；

步骤2，获取日志用户行为向量同时用Auto-Encoder进行降维，按照8:2的比例将数据随机划分将用户行为训练集及用户行为测试集，其中用户行为训练集是用来训练生成用户行为信息识别模型，用户行为测试集用来检测监控模型的准确率；

步骤3，对步骤2中用户行为训练集中的用户行为信息依据改进的IFOREST进行模型训练；

步骤4，使用genetic算法对步骤3中组成IFOREST的Itree进行筛选,选出m颗适应值较好的Itree组成优适应度的IFOREST；

步骤5，对步骤4中，生成的识别模型IFOREST对用户行为测试集计算平均路径长度；

步骤6，对步骤5中识别模型计算出异常分数s(x,Ψ)。

步骤7，对步骤6中得到的异常分数进行upsample处理并保存到文件1.txt中；

步骤8，获取步骤7中的文件1.txt，利用Gan网络对异常分数的数据进行学习，获得鉴别器；

步骤9，对步骤8中的鉴别器，采用用户行为的测试集进行异常行为检测并给出每个向量化数据相应的标签；

步骤10，对步骤9中检测的结果进行统计，如果该结果的标签为1则为正常行为，标签为0则为异常行为；