[发明专利]一种异常行为检测方法及装置

说明书

本发明的实施例公开一种异常行为检测方法及装置，涉及网络安全技术领域，能够对用户的审计数据进行关联规则分析以及相似度挖掘，从而及时发现用户的异常行为。该方法包括：对获取的历史的审计数据进行数据类型变换生成第一数据；其中，审计数据包括用户通过客户端访问网络的至少一条操作记录，操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；对第一数据根据关联规则挖掘算法计算生成历史用户关联序列；将历史用户关联序列与获取的实时的审计数据进行相似度挖掘生成相似度分数，并将相似度分数与预设阈值比较，进而确定用户操作是否存在异常行为。本发明实施例应用于网络系统。

本申请要求于2018年12月13日提交中国专利局、申请号为201811528545.4、发明名称为“一种用户异常行为检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明的实施例涉及通信技术领域，尤其涉及一种异常行为检测方法及装置。

背景技术

随着网络信息技术的发展，企业面临的网络攻击也在显著增加，快速发展的业务，不断变化的分布式IT环境(内部部署，云，移动)和日益分散的员工队伍。现如今，网络威胁的隐蔽性，使得合规检查变得复杂，尤其是多变的未知外部攻击和无法预判的内部威胁，如：破坏者逃避企业的控制并绕过身份访问控制和各种类型的威胁防护等。而现有技术中通过设置阈值来触发警报的方式来解决，但这种方式会导致企业安全团队可能淹没在每天数百万的警报中，使得真正有违规行为的警报没有优先处理。

发明内容

本发明的实施例提供一种异常行为检测方法及装置，能够对用户的审计数据进行关联规则分析以及相似度挖掘，从而及时发现用户的异常行为。

为达到上述目的，本发明采用如下技术方案：

第一方面，提供一种异常行为检测方法，该方法包括：获取实时的审计数据以及预设时间段的历史的审计数据；其中，审计数据包括用户通过客户端访问网络的至少一条操作记录，操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；对历史的审计数据进行数据类型变换生成第一数据；对第一数据根据关联规则挖掘算法计算生成历史用户关联序列；将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数，并将相似度分数与预设阈值比较，确定用户操作是否存在异常行为。

在上述方法中，首先，对获取的历史的审计数据进行数据类型变换生成第一数据；其中，审计数据包括用户通过客户端访问网络的至少一条操作记录，操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；然后，对第一数据根据关联规则挖掘算法计算生成历史用户关联序列；最后，将历史用户关联序列与实时的审计数据进行相似度挖掘生成相似度分数，并将相似度分数与预设阈值比较，进而确定用户操作是否存在异常行为。本发明实施例能够对用户的审计数据进行关联规则分析以及相似度挖掘，从而及时发现用户的异常行为。

第二方面，提供一种异常行为检测装置，该异常行为检测装置包括：获取单元，用于获取实时的审计数据以及预设时间段的历史的审计数据；其中，审计数据包括用户通过客户端访问网络的至少一条操作记录，操作记录包括但不限于以下的一项或多项：时间戳、客户端IP地址、目标网络IP地址以及操作类型；处理单元，用于对获取单元获取的历史的审计数据进行数据类型变换生成第一数据；处理单元，还用于对第一数据根据关联规则挖掘算法计算生成历史用户关联序列；处理单元，还用于将历史用户关联序列与获取单元获取的实时的审计数据进行相似度挖掘生成相似度分数，并将相似度分数与预设阈值比较，确定用户操作是否存在异常行为。

可以理解地，上述提供的异常行为检测装置用于执行上文所提供的第一方面对应的方法，因此，其所能达到的有益效果可参考上文第一方面对应的方法以及下文具体实施方式中对应的方案的有益效果，此处不再赘述。