[发明专利]基于自适应滑动窗口GAN的用户行为安全检测方法

说明书

本发明公开了一种基于自适应滑动窗口GAN的用户行为安全检测方法，利用Spark平台对获取的用户数据进行并行化处理，并使用GAN分别训练不同时间窗口下的正常用户行为模型；利用当前窗口长度处理获取的待检测数据，并将当前时刻的所述待检测数据与上一时刻数据做属性相似度计算；利用所述正常用户行为模型根据计算出的相似度值进行检测，并将得到的异常评分与设定的阈值进行比较，判断当前时间段是否正常，使用GAN作为无监督的异常行为检测器，结合使用自适应滑动窗口技术对时序数据进行处理，提高了检测准确率。

技术领域

本发明涉及用户行为异常检测技术领域，尤其涉及一种基于自适应滑动窗口GAN的用户行为安全检测方法。

背景技术

随着现在对于网络安全尤其是内部用户安全行为检测的重视程度不断加深，用户行为安全检测技术也在不断地进步。在现实网络环境中，用户行为数据存在数据量少、样本不均衡的问题，传统的异常检测方法无法有效运用于用户行为异常检测，并且在时间序列的检测中，传统的检测方法中使用固定长度时间窗口，由于数据流的不可预测的变化性质，这种先验知识不容易确定，降低检测准确率。

发明内容

本发明的目的在于提供一种基于自适应滑动窗口GAN的用户行为安全检测方法，提高检测准确率。

为实现上述目的，本发明提供了一种基于自适应滑动窗口GAN的用户行为安全检测方法，包括以下步骤：

利用Spark平台对获取的用户数据进行并行化处理，并使用GAN分别训练不同时间窗口下的正常用户行为模型；

利用当前窗口长度处理获取的待检测数据，并将当前时刻的所述待检测数据与上一时刻数据做属性相似度计算；

利用所述正常用户行为模型根据计算出的相似度值进行检测，并将得到的异常评分与设定的阈值进行比较，判断当前时间段是否正常。

其中，利用Spark平台对获取的用户数据进行并行化处理，并使用GAN分别训练不同时间窗口下的正常用户行为模型，包括：

利用Spark平台对获取的用户数据进行并行化处理，并独一每个所述用户数据进行属性提取和归一化处理；

基于设定的数据时间段，构建对应的训练集，并基于所述训练集，利用GAN 分别对时间窗口长度为1、2、3、4、5的正常用户行为模型。

其中，利用当前窗口长度处理获取的待检测数据，并将当前时刻的所述待检测数据与上一时刻数据做属性相似度计算，包括：

获取待检测数据，并对得到待检测数据进行归一化处理，并初始化当前时间窗口大小为1；

基于当前所述时间窗口的长度对所述待检测数据进行划分；

基于当前时刻的所述待检测数据对应的矩阵以及上一时刻对应的矩阵，将两个矩阵展平成向量，基于两个所述向量的乘积除以模长，得到对应的属性相似度。

其中，利用所述正常用户行为模型根据计算出的相似度值进行检测，并将得到的异常评分与设定的阈值进行比较，判断当前时间段是否正常，包括：

基于当前所述时间窗口的长度，将所述属性相似度与设定的阈值进行比较；

若所述属性相似度小于设定的所述阈值，则分别计算从当前所述时间窗口大小递减到1时的各个属性相似度，并选取设定的所述属性相似度对应的的窗口大小处理所述待检测数据，以及利用对应的所述正常用户行为模型进行异常检测；

若所述属性相似度大于设定的所述阈值，则以当前所述时间窗口大小处理所述待检测数据，并利用对应的所述正常用户行为模型进行异常检测，同时将当前所述时间窗口大小加1。

其中，利用对应的所述正常用户行为模型进行异常检测之后，所述方法还包括：