[发明专利]企业内部用户异常行为检测方法和装置有效
| 申请号: | 201810578123.1 | 申请日: | 2018-06-07 |
| 公开(公告)号: | CN108881194B | 公开(公告)日: | 2020-12-11 |
| 发明(设计)人: | 郭渊博;刘春辉;孔菁;朱智强;常朝稳;李亚东;段刚 | 申请(专利权)人: | 中国人民解放军战略支援部队信息工程大学;郑州信大先进技术研究院;河南云政数据管理有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F16/18;G06F16/955;G06K9/62 |
| 代理公司: | 郑州大通专利商标代理有限公司 41111 | 代理人: | 陈勇 |
| 地址: | 450000 河*** | 国省代码: | 河南;41 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及网络安全技术领域,尤其涉及企业内部用户异常行为检测方法和装置。本发明公开了企业内部用户异常行为检测方法,还公开了企业内部用户异常行为检测装置,包括:行为日志获取和预处理模块;行为细节建模模块;业务状态转移预测模块;恶意行为评分判别模块。本发明使用非监督的机器学习方法,充分利用了企业中无标注的历史行为日志数据构建用户行为模型,提高了异常行为检测的准确率,降低了误报率和漏报率,为检测企业内部威胁提供了有效手段。 | ||
| 搜索关键词: | 企业内部 用户 异常 行为 检测 方法 装置 | ||
【主权项】:
1.企业内部用户异常行为检测方法,其特征在于,包括以下步骤:步骤1:将企业内部用户的历史行为日志数据按照用户ID划分为不同的数据流,针对不同行为对应的历史行为日志数据,在解析过程中,进行不同的处理,将每条历史行为日志数据解析为一个五元组;步骤2:为解析后的历史行为日志数据建立索引,存储到全文搜索引擎数据库中,作为初始搜索的基础数据,当接收到新的行为日志数据时,通过搜索新的行为日志数据对应的五元组提取对应的行为细节信息,检索每个行为细节信息在历史行为中出现的频率及时间节点信息,完成新行为与历史行为的比对,将文字型日志数据转化为数值型向量,利用转化为数值型向量的历史行为日志数据构建用户行为模型;步骤3:根据行为间的时间间隔将解析后的历史行为日志数据划分为不同的行为短序列,将划分好的行为短序列根据相似性聚类,将同一类中的短序列定义为同一业务状态,用类名称代替该类中的所有短序列作为观测变量,利用观测变量训练隐马尔可夫模型,通过隐马尔可夫模型预测观测变量对应的隐藏的业务状态,进行业务状态间的转移预测,进而预测业务状态间的转移概率;步骤4:通过用户行为模型得到行为的异常得分,通过行为的异常得分及企业内部用户历史行为日志数据中各个业务逻辑的状态转移概率计算新行为序列的异常得分,判定新行为序列是否异常。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国人民解放军战略支援部队信息工程大学;郑州信大先进技术研究院;河南云政数据管理有限公司,未经中国人民解放军战略支援部队信息工程大学;郑州信大先进技术研究院;河南云政数据管理有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810578123.1/,转载请声明来源钻瓜专利网。
- 上一篇:一种报文生成方法及装置
- 下一篇:基于云环境的数据安全共享方法和装置
