[发明专利]基于社群检测异常账户的方法、系统、设备及存储介质

说明书

本发明提供了基于社群检测异常账户的方法、系统、设备及存储介质，其中，方法包括：获取日志样本数据集，其中至少包括用户账户与实体的交互信息和关联参数；将用户账户和实体标识分别作为第一节点和第二节点，根据交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图，通过对二分图投影获得关于第一节点的一带边权重的投影图；通过社区发现算法对投影图中的第一节点进行社群簇划分，获得社群图；根据社群图的任一社群簇中的任一第一节点与位于其他社群簇中的邻节点的集合获得第一节点的异常值，从而判断异常账户。本发明能够从日志数据中提取用户与实体的交互行为，检测异常用户的主要依据特征，能有效检测未知异常模式。

技术领域

本发明涉及网络安全领域，具体地说，涉及基于社群检测异常账户的方法、系统、设备及存储介质。

背景技术

在信息安全领域，内网的安全能保障企业正常的业务运行和数据流转，一个很重要的问题是如何发现用户的异常行为，例如，用户账号被盗或成为内鬼，去访问一般情况下不会访问的资产；用户搜集多种资产数据，造成数据泄露等。

在传统的用户异常行为检测过程中，一般依靠专家经验设置固定阈值，该方法随着数据体量增长后告警泛化能力变差，经常会导致告警漏告或误告；基于监督式的异常检测，需要对训练数据进行标注，存在标注数据量大、标注成本高的问题；基于无监督学习的检测点异常的智能告警方式，缺乏对用户之间关联的考虑，不易发现潜在的内部风险。

需要说明的是，上述背景技术部分公开的信息仅用于加强对本发明的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

针对现有技术中的问题，本发明的目的在于提供基于社群检测异常账户的方法、系统、设备及存储介质，克服了现有技术的困难，能够从日志数据中提取用户与实体的交互行为，检测异常用户的主要依据特征，有效检测未知异常模式。

本发明的实施例提供一种基于社群检测异常账户的方法，包括以下步骤：

获取待分析的日志样本数据集，所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数；

将用户账户和实体标识分别作为第一节点和第二节点，根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图，通过对所述二分图投影获得关于第一节点的一带边权重的投影图；

通过社区发现算法对所述投影图中的所述第一节点进行社群簇划分，获得社群图；

根据所述社群图的任一所述社群簇中的任一第一节点与位于其他所述社群簇中的邻节点的集合获得所述第一节点的异常值，根据所述第一节点的异常值判断异常账户。

优选地所述获取待分析的日志样本数据集，所述日志样本数据集至少包括用户账户与实体的交互信息和关联参数中，包括以下步骤：

所述交互信息至少包括用户账户的用户名、所述用户账户访问的所述实体的实体标识和ip地址；

所述关联参数至少包括统计所述用户账户与所述实体之间的交互频次。

优选地所述将用户账户和实体标识分别作为第一节点和第二节点，根据所述交互信息通过第一边连接第一节点和第二节点形成一无向有权的二分图，根据所述二分图获得一带边权重的投影图，包括以下步骤：

根据所述交互信息，建立一无向有权的二分图，所述二分图一侧设有若干第一节点，每个所述第一节点分别对应一用户账户，另一侧设有若干第二节点，每个所述第二节点分别对应一所述实体标识，所述二分图的第一边基于所述交互信息连接所述第一节点和第二节点；

基于所述用户账户与每个所述实体的关联参数获得所述第一边的权重；

将所述二分图中连接到同一所述第二节点的所述第一节点两两配对，在每对所述第一节点之间连接一第二边，获得一带边权重的投影图；