[发明专利]一种异常用户识别方法及装置

说明书

本申请实施例提供了一种异常用户识别方法及装置，包括：获取待识别用户的当前行为数据；提取当前行为数据在多个行为维度中各行为维度下的当前特征数据；获取待识别用户的运维信息和地理信息；根据待识别用户的运维信息和地理信息，确定与运维信息和地理信息匹配的待识别用户所属目标群组；针对每一行为维度，判断在该行为维度下的当前特征数据是否与目标群组对应的群组特征基线数据匹配，得到第一判断结果；若第一判断结果为不匹配，则确定待识别用户为异常用户。应用本申请实施例提供的技术方案，能够实现识别出异常的网络准入用户。

技术领域

本申请涉及网络安全领域，特别是涉及一种异常用户识别方法及装置。

背景技术

随着网络技术的大量应用与快速发展，网络信息安全威胁也在不断增加。在企业网中，新的安全威胁不断的涌现，病毒日益肆虐，为了解决现有安全防御体系中的不足，很多企业都部署了EAD(Endpoint Admission Defense，端点准入防御)解决方案和VPN(Virtual Private Network，虚拟专用网络)网关，整合单点防御系统，加强对用户的管理，实施统一的安全策略，提高网络终端的主动抵抗能力。

然而，在企业网络的管理中，仍然面临着网络准入用户异常登录的安全威胁，如何快速、简单、直接的识别出异常登录的网络准入用户，也就是，如何快速、简单、直接的识别出异常用户，是企业网络管理中迫切需要解决的问题。

发明内容

本申请实施例的目的在于提供一种异常用户识别方法及装置，以实现识别出异常用户。具体技术方案如下：

在第一方面，本申请实施例提供了一种异常用户识别方法，所述方法包括：

获取待识别用户的当前行为数据；

提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据；

获取所述待识别用户的运维信息和地理信息；

根据所述待识别用户的运维信息和地理信息，确定与所述运维信息和地理信息匹配的所述待识别用户所属目标群组；

针对每一所述行为维度，判断在该行为维度下的当前特征数据是否与所述目标群组对应的群组特征基线数据匹配，得到第一判断结果；

针对每一所述行为维度，判断在该行为维度下的当前特征数据是否与所述待识别用户对应的用户特征基线数据匹配，得到第二判断结果；

若所述第一判断结果与所述第二判断结果至少一个为不匹配，则确定所述待识别用户为异常用户。

在第二方面，本申请实施例提供了一种异常用户识别装置，所述装置包括：

第一获取模块，用于获取待识别用户的当前行为数据；

提取模块，用于提取所述当前行为数据在多个行为维度中各行为维度下的当前特征数据；

第二获取模块，用于获取所述待识别用户的运维信息和地理信息；

第一确定模块，用于根据所述待识别用户的运维信息和地理信息，确定与所述运维信息和地理信息匹配的所述待识别用户所属目标群组；

判断模块，用于针对每一所述行为维度，判断在该行为维度下的当前特征数据是否与所述目标群组对应的群组特征基线数据匹配，得到第一判断结果；

用于针对每一所述行为维度，判断在该行为维度下的所述当前特征数据是否与所述待识别用户对应的用户特征基线数据匹配，得到第二判断结果；

第二确定模块，用于若所述第一判断结果与所述第二判断结果至少一个为不匹配，则确定所述待识别用户为异常用户。