[发明专利]一种异常行为识别方法和装置有效
| 申请号: | 202010630842.0 | 申请日: | 2020-07-03 |
| 公开(公告)号: | CN111865941B | 公开(公告)日: | 2022-12-27 |
| 发明(设计)人: | 陈少涵;连鹏程;柳赛普 | 申请(专利权)人: | 北京天空卫士网络安全技术有限公司;成都天空卫士网络安全技术有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L41/0631;G06F17/18 |
| 代理公司: | 中原信达知识产权代理有限责任公司 11219 | 代理人: | 张一军;韩黎捷 |
| 地址: | 100176 北京市大兴区北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 异常 行为 识别 方法 装置 | ||
本发明公开了一种异常行为识别方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:针对识别维度:根据当前用户在当前时间段和历史时间段若干行为特征的数据,确定所述当前用户的行为偏离向量;根据所述当前用户的行为偏离向量,确定所述当前用户的行为偏离方向;根据所述当前用户的行为偏离方向和其他用户的行为偏离方向,确定所述当前用户在所述识别维度下的第一分数;其中,所述第一分数用于表征所述当前用户的行为偏离方向相对于其他用户的行为偏离方向的偏离程度;根据所述当前用户在所述识别维度下的第一分数,确定所述当前用户的当前行为是否存在异常。该实施方式能够提高识别准确度,降低误报率。
技术领域
本发明涉及网络安全技术领域,尤其涉及一种异常行为识别方法和装置。
背景技术
内部威胁是指企业内部员工或者冒充企业内部员工的外部人员对企业核心数据资产的恶意威胁。内部威胁可能导致企业内部的核心数据泄露,破坏企业的经营安全。由于内部威胁可以通过主机行为或用户行为等体现,因此,识别异常行为可以判断是否存在内部威胁。
现有技术一般基于规则匹配识别异常行为,即将采集到的当前行为数据与预设的规则进行匹配,如果匹配成功,则确定该行为异常。
但是,现有技术仅根据当前行为数据进行识别,导致识别准确度较低。
发明内容
有鉴于此,本发明实施例提供一种异常行为识别方法和装置,能够提高识别准确度。
第一方面,本发明实施例提供了一种异常行为识别方法,包括:
针对识别维度:根据当前用户在当前时间段和历史时间段若干行为特征的数据,确定所述当前用户的行为偏离向量;
根据所述当前用户的行为偏离向量,确定所述当前用户的行为偏离方向;
根据所述当前用户的行为偏离方向和其他用户的行为偏离方向,确定所述当前用户在所述识别维度下的第一分数;其中,所述第一分数用于表征所述当前用户的行为偏离方向相对于其他用户的行为偏离方向的偏离程度;
根据所述当前用户在所述识别维度下的第一分数,确定所述当前用户的当前行为是否存在异常。
可选地,
所述根据当前用户在当前时间段和历史时间段若干行为特征的数据,确定所述当前用户的行为偏离向量,包括:
针对所述当前用户的每种行为特征:根据所述行为特征在当前时间段和历史时间段的数据,计算与所述行为特征对应的当前用户的行为偏差;每种所述行为特征对应的所述当前用户的行为偏差为所述行为偏离向量的一个元素。
可选地,
所述历史时间段的数量大于1;
所述根据所述行为特征在当前时间段和历史时间段的数据,计算与所述行为特征对应的当前用户的行为偏差,包括:
对所述行为特征在各个历史时间段的数据进行归一化;
对所述行为特征在当前时间段的数据进行归一化;
根据归一化后的所述行为特征在各个历史时间段和当前时间段的数据,计算与所述行为特征对应的当前用户的行为偏差。
可选地,
进一步包括:
根据所述当前用户的行为偏离向量,确定所述当前用户在所述识别维度下的第二分数;其中,所述第二分数用于表征所述当前用户的当前行为相对于其历史行为的偏离程度;
所述根据所述当前用户在所述识别维度下的第一分数,确定所述当前用户的当前行为是否存在异常,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天空卫士网络安全技术有限公司;成都天空卫士网络安全技术有限公司,未经北京天空卫士网络安全技术有限公司;成都天空卫士网络安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010630842.0/2.html,转载请声明来源钻瓜专利网。
