[发明专利]数字家庭网络中用户异常行为检测方法

说明书

技术领域

本发明涉及一种数字家庭网络中用户的异常行为检测方法，确切地说，涉及一种基于迁移学习的网络用户异常行为检测方法，属于网络信息的用户行为分析及其应用的信息安全技术领域。

背景技术

随着网络技术和应用的飞速发展，互联网日益呈现出复杂、异构等特点，当前的网络体系结构暴露出严重的不足，网络正面临着严峻的信息安全和服务质量保障等重大挑战。通过对用户行为进行分析和审计来评估以及保证互联网安全问题已经成为国内外研究界的共识，其中，如何对用户异常行为进行判断是该领域的一个研究热点。

用户异常行为分析方法大体分为两大类。其中一类是基于静态参数归纳的方法，首先提取用户每一时刻行为的特征参数，然后把这些特征中的设定字段与相应的阈值进行比较，从而判定该行为是否异常。另一类是基于动态行为分析的方法，首先需要选取大量的样本对各种用户行为分别进行训练，确定模型参数，然后利用已经建立好的模型对用户行为进行分类最终确定是否为异常行为。

基于静态参数归纳的方法具有简单、直观的优点。在这类方法中，特征参数以及其比对参数的选取尤为重要。近几年来，针对用户异常行为检测这一问题，研究者们提出了多种行为比对参数及其组合结果。如正常链接库、正常业务库、正常流量阈值等都被逐渐应用到异常行为检测技术中。此外，还有部分工作通过将几种特征结合起来进行判定，对用户行为的判断也由原来的单一匹配发展到多元匹配。

但是基于静态参数归纳的方法对于不同的对象，需要选定不同的阈值范围，因而不具备普遍性。此外，基于静态参数归纳的判断方法只能实现用户行为的粗层次识别，不便于根据用户的行为习惯进行动态调整。

基于动态行为分析的方法类似于模式识别领域的基于统计模型的判定。基于动态行为分析的方法要求事先给出一批具有类标记的训练样本，通过有指导的学习训练来生成行为分析器，进而对测试样本集合中的待分类样本进行分类。

但是，基于动态行为分析的方法极大程度的依赖于训练样本的完备性。随着网络技术的不断发展，以及网络业务的不断更新，用户数量不断增加，用户行为也随着新业务的推出而不断的发生变化。已有的样本库已经不能满足用户数量的增长以及用户行为的变化。如何充分的利用已有的样本，即利用现有行为样本对新加入的用户行为进行准确建模，或者利用已知用户的历史行为样本建立其变更后的行为模型，是用户异常检测过程中急需解决的问题。

目前较典型的动态行为分析算法主要包括最小参数检测法、决策树方法、隐马尔科夫模型法和支持向量机方法等。

最小参数间距法的优点是概念直观、方法简单，有利于建立多维空间分类方法的几何概念。在行为分类中应用的最小参数间距分类法主要有k近邻方法(k-Nearest Neighbor，k-NN)和最近特征线方法(Nearest Feature Line)等。

k近邻方法的思想是根据未知样本X最近邻的k个样本中多数点的类别来判定X的类别。为此需要计算X与所有样本Xi的距离，并从中选出距离最小的k个样本作为近邻样本集合k-NN，计算其中所有属于类别Wj的距离之和，并且根据如下规则进行分类：