[发明专利]用户异常行为识别方法、系统、电子设备及存储介质

说明书

本发明提出一种用户异常行为识别方法、系统、电子设备及存储介质，其方法技术方案包括流量异常检测步骤，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别步骤，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类步骤，识别所述异常用户的异常行为类型，并输出所述异常行为类型。本申请解决了现有用户异常行为识别方法无法准确标识出部分用户行为的问题。

技术领域

本发明属于数据安全技术领域，尤其涉及一种用户异常行为识别方法、系统、电子设备及存储介质。

背景技术

随着个人便携式智能移动设备和无线网络的普及，中国网络及其各种应用呈现出井喷式的发展状态。信息化、数字化、大数据时代成为现代社会的大势所趋，如果网络出现异常，可能会对个人、组织和国家的经济、安全、隐私等方面的利益会造成严重的损失。目前，许多网络攻击者想方设法的绕开网络安全监控系统的侦查，获取机要信息或者妨碍网络的正常运行，以获取非法收入，得到非法受益。

现有技术包括基于端口的识别方法，计算机网络中的端口包含两种概念：(1)物理意义上的端口，应用在设备与设备之间的连接接口上；(2)逻辑意义上的端口，指的是TCP/IP协议中使用的端口号。现有逻辑意义上的端口总共可以分配65536个端口号，包括公认端口、注册端口和动态端口。其中公认端口范围为0至1023，注册端口范围为1024至49151，动态端口为1024至65535。在互联网的发展初期，应用程序较少时，使用公认端口可以标识用户行为的类型，而且攻击者常常利用某些端口号对网络进行发起攻击，也可以通过端口号识别出发生异常的行为。基于端口的识别方法虽然可以通过分析用户流量中端口号的关联性，可以达到识别用户异常行为的目的，但是它的缺点是无法准确标识出部分用户行为。

发明内容

本申请实施例提供了一种用户异常行为识别方法、系统、电子设备及存储介质，以至少解决现有用户异常行为识别方法无法准确标识出部分用户行为的问题。

第一方面，本申请实施例提供了一种用户异常行为识别方法，包括：流量异常检测步骤，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别步骤，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类步骤，识别所述异常用户的异常行为类型，并输出所述异常行为类型。

优选的，所述用户行为识别步骤进一步包括：对所述异常流量中所述用户的用户行为数据之间的相似度进行计算，根据一预设相似度标准，判定不符合所述预设相似度标准的所述用户为所述异常用户。

优选的，所述异常行为分类步骤进一步包括：使用k-means算法进行所述异常行为类型分簇。

优选的，所述流量异常检测步骤进一步包括：在所述流量异常检测步骤的执行过程中，根据所述异常流量检测的灵敏度对所述预设阈值进行调整，若未检测到所述异常流量，则对下一所述时间点执行所述流量异常检测步骤。

第二方面，本申请实施例提供了一种用户异常行为识别系统，适用于上述一种用户异常行为识别方法，包括：流量异常检测模块，通过一时间点上信息熵的变化是否超过一预设阈值判断该所述时间点是否存在异常流量；用户行为识别模块，若存在异常流量，则根据所述异常流量中用户的用户相似度，识别出所述用户中的异常用户；异常行为分类模块，识别所述异常用户的异常行为类型，并输出所述异常行为类型。

在其中一些实施例中，所述用户行为识别模块进一步包括：对所述异常流量中所述用户的用户行为数据之间的相似度进行计算，根据一预设相似度标准，判定不符合所述预设相似度标准的所述用户为所述异常用户。

在其中一些实施例中，所述异常行为分类模块进一步包括：使用k-means算法进行所述异常行为类型分簇。