[发明专利]一种用户异常行为检测方法、装置及系统在审
| 申请号: | 201710306998.1 | 申请日: | 2017-05-02 |
| 公开(公告)号: | CN108809745A | 公开(公告)日: | 2018-11-13 |
| 发明(设计)人: | 赵立农;陆艳军;陈浪;杨翔;邓秘密;黄国强;廖天宇 | 申请(专利权)人: | 中国移动通信集团重庆有限公司;北京启明星辰信息安全技术有限公司;中国移动通信集团公司 |
| 主分类号: | H04L12/26 | 分类号: | H04L12/26;H04L12/24;G06F17/30 |
| 代理公司: | 北京东方亿思知识产权代理有限责任公司 11258 | 代理人: | 彭琼 |
| 地址: | 401121*** | 国省代码: | 重庆;50 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用户行为 用户行为信息 用户异常行为 标准基线 聚类质心 装置及系统 正常行为 检测 异常行为信息 聚类分析 聚类特性 判断过程 准确检测 采集 | ||
1.一种用户异常行为检测方法,包括:
获得用户行为信息;
从用户行为信息中提取与用户行为相关的用户行为特征值;
根据用户行为特征值的聚类特性,计算每一类用户行为相关的用户行为特征值的聚类质心;
以所述聚类质心为中心,确定用户正常行为的标准基线;
计算用户行为信息的用户行为特征值与聚类质心的距离;
将计算得到的距离与所述标准基线进行比较,判断用户行为信息是否属于异常行为信息。
2.如权利要求1所述的用户异常行为检测方法,其特征在于,
所述用户行为信息为预设周期内获得的全部用户行为信息。
3.如权利要求1所述的用户异常行为检测方法,其特征在于,
所述根据用户行为特征值的聚类特性,计算每一类用户行为相关的用户行为特征值的聚类质心,包括:
从每一类用户行为特征值中选定一个初始质心;
计算用户行为信息的用户行为特征值与各个初始质心的距离;
指派用户行为信息的用户行为特征值给最小距离对应的初始质心;
重新计算每一类用户行为特征值的修正质心;
判断修正质心与初始质心是否变化,如果变化超过预设阈值则以修正心作为初始质心重新计算;如果变化不超过预设阈值则确定修正质心为该类用户行为特征值的聚类质心。
4.如权利要求3所述的用户异常行为检测方法,其特征在于,
所述初始质心,采用随机选定或者指定的方式选定。
5.如权利要求3所述的用户异常行为检测方法,其特征在于,
所述预设阈值为0或任意指定的数值。
6.如权利要求1所述的用户异常行为检测方法,其特征在于,
所述以所述聚类质心为中心,确定用户正常行为的标准基线,采用欧几里得空间中的距离计算每个用户行为特征值到对应的质心的距离。
7.如权利要求1所述的用户异常行为检测方法,其特征在于,
所述用户行为信息,包括用户登录行为信息和用户业务操作行为信息。
8.如权利要求7所述的用户异常行为检测方法,其特征在于,
所述用户登录行为信息,包括ssh日志、telnet日志、ftp日志、sftp日志、数据库登录日志、业务应用登录日志、pop3登录日志、imap登录日志中的任意一种或多种。
9.如权利要求7所述的用户异常行为检测方法,其特征在于,
所述用户业务操作行为信息,包括用户操作记录日志。
10.一种用户异常行为检测装置,其特征在于,包括:
信息采集模块,用于获得用户行为信息;
特征值提取模块,用于从用户行为信息中提取与用户行为相关的用户行为特征值;
第一处理模块,用于根据用户行为特征值的聚类特性,计算每一类用户行为相关的用户行为特征值的聚类质心;
第二处理模块,用于以所述聚类质心为中心,确定用户正常行为的标准基线;
第三处理模块,用于计算用户行为信息的用户行为特征值与聚类质心的距离;
比较模块,用于将计算得到的距离与所述标准基线进行比较,判断用户行为信息是否属于异常行为信息。
11.如权利要求10所述的用户异常行为检测装置,其特征在于,
所述信息采集模块,用于采集预设周期内的全部用户行为信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国移动通信集团重庆有限公司;北京启明星辰信息安全技术有限公司;中国移动通信集团公司,未经中国移动通信集团重庆有限公司;北京启明星辰信息安全技术有限公司;中国移动通信集团公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710306998.1/1.html,转载请声明来源钻瓜专利网。
- 上一篇:流量监控管理方法及装置
- 下一篇:一种标定工具失效检校方法
