[发明专利]一种异常行为检测方法及装置

权利要求书

1.一种异常行为检测方法，其特征在于，包括：

获取实时的审计数据以及预设时间段的历史的审计数据；其中，所述审计数据包括用户通过客户端访问网络的至少一条操作记录，所述操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；

对所述历史的审计数据进行数据类型变换生成第一数据；

对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列；

将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数，并将所述相似度分数与预设阈值比较，确定用户操作是否存在异常行为。

2.根据权利要求1所述的异常行为检测方法，其特征在于，所述对所述历史的审计数据进行数据类型变换生成第一数据，具体包括：将所述历史的审计数据转换为数字矩阵类型的所述第一数据。

3.根据权利要求1所述的异常行为检测方法，其特征在于，所述对所述历史的审计数据进行数据类型变换生成第一数据之前，还包括：

对所述历史的审计数据进行数据清洗；其中，所述数据清洗具体包括以下的一项或多项：将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。

4.根据权利要求1所述的异常行为检测方法，其特征在于，所述将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数，具体包括：

对所述历史关联序列与所述实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。

5.一种异常行为检测装置，其特征在于，包括：

获取单元，用于获取实时的审计数据以及预设时间段的历史的审计数据；其中，所述审计数据包括用户通过客户端访问网络的至少一条操作记录，所述操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；

处理单元，用于对所述获取单元获取的所述历史的审计数据进行数据类型变换生成第一数据；

所述处理单元，还用于对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列；

所述处理单元，还用于将所述历史用户关联序列与所述获取单元获取的所述实时的审计数据进行相似度挖掘生成相似度分数，并将所述相似度分数与预设阈值比较，确定用户操作是否存在异常行为。

6.根据权利要求5所述的异常行为检测装置，其特征在于，包括：

所述处理单元，具体用于将所述获取单元获取的所述历史的审计数据转换为数字矩阵类型的所述第一数据。

7.根据权利要求5所述的异常行为检测装置，其特征在于，包括：

所述处理单元，还用于对所述获取单元获取的所述历史的审计数据进行数据清洗；其中，所述数据清洗具体包括以下的一项或多项：将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。

8.根据权利要求5所述的异常行为检测装置，其特征在于，包括：

所述处理单元，具体用于对所述历史关联序列与所述获取单元获取的所述实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。

9.一种异常行为检测装置，其特征在于，所述异常行为检测装置的结构中包括处理器和存储器，存储器用于与处理器耦合，保存所述异常行为检测装置必要的程序指令和数据，处理器用于执行存储器中存储的程序指令，使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法。

10.一种计算机存储介质，其特征在于，计算机存储介质中存储有计算机程序代码，当计算机程序代码在如权利要求9所述的异常行为检测装置上运行时，使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法。

11.一种计算机程序产品，其特征在于，计算机程序产品储存有计算机软件指令，当计算机软件指令在如权利要求9的异常行为检测装置上运行时，使得所述异常行为检测装置执行如权利要求1-4任一项的异常行为检测方法的程序。