[发明专利]一种特权账号异常行为分析方法

权利要求书

1.一种特权账号异常行为分析方法，其特征在于，包括如下步骤：

S100：在特权账号管理系统上以录屏的方式采集特权账号的使用，生成第一特权账号会话视频数据；

S200：从第一特权账号会话视频数据中，获取特权账号使用者的申请工单数据、身份数据及接入的IP地址数据；

S300：根据会话视频数据的第一行为特征，生成相应的第一行为特征库；

所述第一行为特征包括使用原因、使用者身份、使用者的IP地址、特权账号的操作日期和时间、特权账号类型、操作的数据对象、数据修改前后的值；

所述第一行为特征库，包括：使用原因数据库A、身份数据库B和使用者的IP地址数据库C、特权账号的操作日期和时间数据库D、特权账号类型数据库E、操作的数据对象数据库F和修改前后数据值数据库G；

S400：对特权账号会话视频数据进行人工审计，对特权账号行为的第二行为特征进行划分，所述第二行为特征包括安全行为、威胁行为和疑似威胁行为；

S500：根据特权账号会话视频数据的第一行为特征和第二行为特征，对特权账号会话视频数据进行行为特征标签的标注；

S600：建立核方法机器学习模型，通过随机森林分析模型对不同数据特征进行各行为特征标签的评估，训练核方法机器学习模型学习特权账号会话视频数据的不同行为特征；

S700：对训练好的核方法机器学习模型进行准确度评估，根据随机森林模型各评估器的评分结果的误差，优化随机森林模型各评估器的参数；

S800：以录屏方式实时采集特权账号的使用，生成第二特权账号会话视频数据库；

S900：使用训练好的核方法机器学习模型，输入第二特权账号会话视频数据库中的数据，检测特权账号的行为是否为威胁行为，并根据检测结果采取相应措施。

2.根据权利要求1所述的特权账号异常行为分析方法，其特征在于，步骤S600中对核方法机器学习模型的训练包括如下步骤：

S601：导入第一行为特征库和随机森林分类模型模块；

S602：对第一行为特征库进行数据预处理，进行格式转换及缺失值处理；

S603：对第一行为特征库的各特征数据库中的数据进行划分，将一部分数据作为训练样本集，用于对核方法机器学习模型的训练；将另一部分数据作为测试样本集，用于对特权账号的行为进行测试；

S604：使用Scikit-Learn工具包将各特征数据库中的训练样本集数据导入随机森林分类模型中对应于各行为特征的评估器类，分别对随机森林分类模型各评估器的核方法机器学习模型进行训练，直到各评估器对各自特征的检测结果与第一行为特征库中该特征的真实特征一致；

S605：分别获取各特征数据库的行为特征相关性特征矩阵和目标数组，确定各评估器的权重；

S606：根据确定的各评估器的权重及各评估器的评估结果，得到第一行为特征库的检测结果，并重复步骤S604到步骤S606，直到特征检测结果与第一行为特征库的真实特征一致，得到训练好的核方法机器学习模型。

3.根据权利要求2所述的特权账号异常行为分析方法，其特征在于，随机森林模型的特征评估结果通过如下方法获得：

使用sort voting算法获取各评估器对特征行为预测的准确率；

通过各第一行为特征对特权行为的重要性分配各评估器的权重weights；

根据各评估器的权重参数weights及各评估器的预测概率得到整个随机森林的预测结果。

4.根据权利要求2所述的特权账号异常行为分析方法，其特征在于，随机森林模型初始化参数为默认超参数，使用第一行为特征所包含的特征数个决策树，最多允许5层判别进行训练。

5.根据权利要求2所述的特权账号异常行为分析方法，其特征在于，步骤S602中的预处理包括如下步骤：

S6021：剔除特殊的异常数据，统一数据格式，对于缺失值统一使用0补充；

S6022：使用One-Hot Encoding的方式对第一行为特征库中的各特征数据库中的数据进行处理，将其全部转化为数字形式。