[发明专利]一种基于行为聚合特征的异常用户检测方法、终端及存储介质

权利要求书

1.一种基于行为聚合特征的异常用户检测方法，其特征在于，方法包括：

统计预设时间段内访问目标服务器的行为特征；

所述统计预设时间段内访问目标服务器的行为特征包括：

在预设时间段内，统计与内网用户连接过的目标服务器，并形成目标服务器IP列表；

统计内网用户在预设时间段内与所连接过的目标服务器的IP列表、与每一个目标服务器连接所产生的上下行流量总和、与目标服务器连接的总频次；

统计内网用户在预设时间段内每次连接的结束时间减去起始时间，即与每个目标服务器连接的总时长、与每个目标服务器最后一次连接的时间距离当前时间的时长；

统计内网用户在所述时间段内与每个目标服务器连接一共使用的应用层协议种类数；

在规定的时间窗口粒度按照用户访问过的目标IP聚合所述行为特征；

基于所述行为特征的每个源IP生成原始行为特征矩阵；

基于原始行为特征矩阵，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；

分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；

根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；

计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；

重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为；

所述相邻元素列变换包括：

将特征维度相邻元素交叉相乘，拼凑成一个新的行为特征方阵：

其中m和n均是属于[1,num_distip]区间；

m和n用来分别表示元素的下标，矩阵的列索引；

i表示行为矩阵的行索引；

P表示上述原始行为特征矩阵中的元素。

2.根据权利要求1所述的基于行为聚合特征的异常用户检测方法，其特征在于，

所述计算任意两个用户之间的相关系数包括；

两个用户行为向量之间的相似度，将用户行为特征矩阵配置成一行向量，执行相似度的计算，用如下公式计算：

X,Y为两个用户的行为向量；

n表示向量的长度；

EX,EY表示两个向量的均值。

3.一种实现基于行为聚合特征的异常用户检测方法的终端设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序，以实现权利要求1至2任意一项所述基于行为聚合特征的异常用户检测方法的步骤。

4.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行以实现权利要求1至2任意一项所述基于行为聚合特征的异常用户检测方法的步骤。