[发明专利]一种安全用户画像的构建方法与装置

权利要求书

1.一种安全用户画像的构建方法与装置，其特征在于：包括初始化模块、数据采集模块、用户画像模型、用户特征分类训练模块、决策模块和数据中心构成，其中初始化模块用于构建初始用户画像，用系统预先定义的规则，对注册信息进行特征化，标签化，获取用户的初始画像；数据采集模块，在用户成功登录后，采集用户访问网络资源的行为数据，采集的用户数据以用户的唯一识别号为索引，存储于数据中心；用户画像模型构造模块，根据用户的行为数据进行特征抽象，降低数据处理维度，对于具有不同的数据结构和类型进行预处理，获得XGBoost能处理的数据类型，同时对抽象特征采用交叉特征方法进行组合，获得更全面的训练效果以及用户模型；用户特征分类训练模块，根据用户画像模型的抽象特征数据，对用户行为特征进行训练分类，获得用户该行为的安全性分；决策模块，根据XGBoost模型计算获得的安全分，更新所述用户的用户画像，存储至数据中心；数据中心，分别与上述五大模块相连，用于存储用户采集数据，用户画像模型，提供XGBoost模型训练样本数据。

2.根据权利要求1所述的一种安全用户画像的构建方法与装置，其特征在于：通过采集用户的日常网络资源访问行为，根据用户画像模型进行特征提取，并进行预处理，将预处理输出的特征数据进行组合，然后输入XGBoost进行深度学习分类计算，获得用户特征以及组合安全特征分，构成用户的安全特征画像，用户特征画像可以输出给SDN网络用于安全访问控制，如果其安全特征分高于系统预定义的阈值，则系统可以拒绝该访问行为，其具体处理流程如下：

步骤一，构建初始用户画像，用户注册本发明所述零信任网络系统后，提交用户注册信息，包括用户角色等，系统存储用户注册信息，并根据系统预定义规则定义用户唯一识别号，所述用户唯一识别号可用于存储用户信息的唯一索引；同时，采集用户的首次访问IP地址，注册时所采用的设备，以及通过设备授权获取的用户注册的实际地理位置等信息并进行存储；

用户提交注册信息后，系统根据用户的角色为其分配初始的资源访问范围，系统在人工确认后，在数据中心存储该用户确定初始用户资源访问范围与权限，为了保证系统的可用性，对未注册的用户实施最低资源访问权限，在用户注册成功后，系统根据用户提价的注册信息，用系统预先定义的规则，对注册信息进行特征化，标签化，获取用户的初始画像。

3.根据权利要求1所述的一种安全用户画像的构建方法与装置，其特征在于：步骤二，采集用户资源访问数据，成功注册的用户在进行网络资源访问时，如果未登陆，则统一按未注册用户的权限进行资源访问，同时，系统分配临时用户识别码，不进行用户画像网络行为的采集，若用户登录成功，则从登录成功时刻开始，采集用户访问网络资源的行为数据，包括登录方式，账号，终端设备，时间，地点，IP地址等；用户在访问资源时，采集用户访问资源的时间，时长，资源的类型，对应资源的安全级别等信息。采集的用户数据以用户的唯一识别号为索引，存储于数据中心。

4.根据权利要求2所述的一种安全用户画像的构建方法与装置，其特征在于：步骤三，利用系统用户画像模型对用户采集数据进行特征化，由于用户画像是对基于大量标签的用户行为数据进行特征提取所获得，用户模型的特征表征用户行为，可通过用户行为特征区别用户的哪些行为是异常的，从而达到实时调整资源访问授权的目的，保证系统的安全。