[发明专利]一种实体行为基线分析方法、系统及终端设备

权利要求书

1.一种实体行为基线分析方法，其特征在于，方法包括：

步骤一：定义实体行为的各个特征集合；

各个维度集合包括：集合G(T)＝{t₁,t₂,t₃...t_n}表示实体在时间维度上的特征集合；集合G(S)＝{s₁,s₂,s₃...s_m}表示实体在空间维度上的特征集合；集合G(R)＝{r₁,r₂,r₃...r_k}表示实体在关系维度上的特征集合；

步骤二：对周期内的特征集合建立多维度特征矩阵；

对周期时间D内特征集合的数据样本，以计数为特征值，在时间、空间、关系，数量四个特征维度建立多维度特征矩阵其中U_i为实体i,为在周期时间D内匹配维度特征t、s、r时的行为计数特征值，v为生成特征矩阵数据的列数；

步骤三：将所述多维度特征矩阵映射成多个二维特征矩阵；

基于多维度特征矩阵分别对各个维度特征矩阵进行映射，生成多个二维的特征矩阵；

其中涉及的是用户或实体行为在时间维度和空间维度的二维特征矩阵，为在匹配维度特征t、s时的行为计数；

还涉及的是用户或实体行为在时间维度和关系维度的二维特征矩阵，为在匹配维度特征t、r时的行为计数；

还涉及的是用户或实体行为在关系维度和空间维度的二维特征矩阵，为在匹配维度特征r、s时的行为计数；

步骤四：对多个周期内的数据集构建行为基线数据；

对多个周期D的二维矩阵数据U_i(T,S)，U_i(T,R)，U_i(R,S)分别计算矩阵中C的平均值；

其中包括是用户或实体行为在时间维度和空间维度的平均特征矩阵，为在匹配维度特征t、s时的行为平均计数；

还包括用户或实体行为在时间维度和关系维度的平均特征矩阵，为在匹配维度特征t、r时的行为平均计数；

还包括是用户或实体行为在关系维度和空间维度的平均特征矩阵，为在匹配维度特征r、s时的行为平均计数；

步骤五：构建待检测的行为二维特征矩阵；

对待检测Dx周期内的行为在时间、空间、关系三个维度建立特征矩阵

将分别在各个维度进行映射，形成多个二维的特征矩阵，包括

步骤六：对待检测的行为二维特征矩阵中的行为特征数据进行异常评估；

对步骤五中特征矩阵对应的值、对应的值、对应的值以及步骤四中的特征基线矩阵对应的值、对应的值、对应的值，分别使用方差公式计算特征偏离量p的矩阵，得到

使用公式P＝∑∑p(i,j)对每个矩阵中的p值求和，得到一维偏离量矩阵

针对SP_i(T,S,R)预设来表示不同维度偏移量和值的权重集合，使用公式获得最终的实体行为异常评分；对于S_i≥ω的实体，可判定为行为异常，对中p值较大的点，定位对应的异常点的时间、空间和关系特征。

2.一种实体行为基线分析系统，其特征在于，系统采用如权利要求1所述的实体行为基线分析方法；

系统包括：定义模块、矩阵配置模块、映射模块、构建行为模块以及评估模块；

定义模块用于定义实体行为的各个特征集合；

矩阵配置模块用于对周期内的特征集合建立多维度特征矩阵；

映射模块用于将所述多维度特征矩阵映射成多个二维特征矩阵；

构建行为模块用于对多个周期内的数据集构建行为基线数据，并构建待检测的行为二维特征矩阵；

评估模块用于对待检测的行为二维特征矩阵中的行为特征数据进行异常评估。

3.一种实现实体行为基线分析方法的终端设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序，以实现如权利要求1所述实体行为基线分析方法的步骤。