[发明专利]一种基于行为聚合特征的异常用户检测方法、终端及存储介质

说明书

本发明提供一种基于行为聚合特征的异常用户检测方法、终端及存储介质，获取预设时间段内的用户行为信息；基于访问地址信息将用户预设时间段内的特征属性进行聚合；将每个用户的矩阵配置成一行向量；分别计算任意两个用户之间的相关系数，作为行为相似度；查找相似度最大的两个用户，聚成一类；计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。这样，本发明降低了异常检测的误报率。可以识别掩藏在群组内部的异常用，保障数据信息的安全性。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种基于行为聚合特征的异常用户检测方法、终端设备及存储介质。

背景技术

随着计算机网络技术的高速发展，数据信息已成为当前重要的载体。数据信息承载着企业的信息，用户的信息，交易的信息以及通信的信息。数据信息对每个人每个企业均具有十分重要的作用。

基于TCP/IP协议的网络架构覆盖了世界的每个角落，给大家的生活带来了很多便利，但是随之而来的是日益严峻的信息安全问题。各个重要机关、大型企业等通过在内网架设防火墙、网络入侵检测系统和杀毒软件等手段来抵御数据的泄露风险，但是单点检测往往只能局限于小部分的规则，无法应对有预谋的窃密行为，导致数据信息的安全性无法保障。

发明内容

为了克服上述现有技术中的不足，提高检测内网中群组内部异常行为的准确率，本发明提供一种基于行为聚合特征的异常用户检测方法，方法包括：

获取预设时间段内的用户行为信息；

基于访问地址信息将用户预设时间段内的特征属性进行聚合；

基于原始行为特征，做相邻元素列变换，得到尺寸为目标服务器个数的行为方阵，再将每个用户的矩阵配置成一行向量；

分别计算任意两个用户之间的相关系数，作为内网群组中两用户在一段时间内的行为相似度；

根据用户之间的相似度矩阵，查找相似度最大的两个用户，聚成一类；

计算所述类与其他用户之间的相似度，并更新聚成一类用户的相似度矩阵，然后重复迭代计算；

重复迭代计算达到预先设定的阈值之后，停止聚类过程，此时脱离内网群组的用户被认定为具有异常行为。

进一步需要说明的是，从通信网络的检测器提取用户使用的流量五元组，并截取用户访问的流量数据；

在规定的时间窗口粒度按照用户访问过得目标IP聚合行为特征；

基于所述行为特征的每个源IP生成行为特征矩阵。

进一步需要说明的是，步骤相邻元素列变换包括：

将用户IP1与用户IP2的特征维度相邻元素交叉相乘，拼凑成一个新的行为特征方阵：

其中m和n均是属于[1,num_distip]区间；

m和n用来分别表示元素的下标，矩阵的列索引；

i表示行为矩阵的行索引，不超过6的正整数；

P表示上述原始行为特征矩阵中的元素。

进一步需要说明的是，步骤计算任意两个用户之间的相关系数包括；

两个用户行为向量之间的相似度，将用户行为特征矩阵配置成一行向量，执行相似度的计算，用如下公式计算：

X,Y为两个用户的行为向量；

n表示向量的长度；