[发明专利]一种基于网络安全设备日志数据的用户画像分组及行为分析方法和系统在审
| 申请号: | 201910971176.4 | 申请日: | 2019-10-14 |
| 公开(公告)号: | CN110781930A | 公开(公告)日: | 2020-02-11 |
| 发明(设计)人: | 周亚东;胡博文;朱星宇;管晓宏 | 申请(专利权)人: | 西安交通大学 |
| 主分类号: | G06K9/62 | 分类号: | G06K9/62;H04L29/06 |
| 代理公司: | 61215 西安智大知识产权代理事务所 | 代理人: | 段俊涛 |
| 地址: | 710049 陕*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于网络安全设备日志数据的用户画像分组及行为分析方法和系统,主要步骤为:1)从网络安全设备用户日志等数据中提取特征;2)对特征进行预处理和数据分析,获得特征之间以及特征与用户行为之间的关系;3)根据用户特征构建用户分组的聚类模型;4)根据聚类模型建立用户画像,并根据用户特征和用户画像的匹配结果决定用户是否存在行为异常;本发明实现简单、计算复杂度低,可以有效减少用户日志中行为分析的计算资源开销,不需要任何额外标记,仅需要网络安全设备自动记录的数据,具有实际应用的优势,提供了具有不同行为模式的用户分组方法和画像匹配方法,同时对用户行为是否存在异常进行了决策性判断。 | ||
| 搜索关键词: | 画像 网络安全设备 聚类模型 行为分析 用户分组 用户日志 用户特征 用户行为 网络安全设备日志 预处理 计算复杂度 计算资源 匹配结果 数据分析 提取特征 行为模式 行为异常 有效减少 自动记录 构建 匹配 分组 应用 决策 | ||
【主权项】:
1.一种基于网络安全设备日志数据的用户画像分组及行为分析方法,其特征在于,包括:/n步骤1,以网络安全设备用户权限数据为数据源,从用户权限数据中提取所有用户的权限信息,包括各用户允许登录的服务器IP以及各用户授权使用的系统账号ID;/n步骤2,以网络安全设备一段时间内的用户日志数据为数据源,从用户操作日志的有效字段中提取30个用户特征,包括操作频次特征、账号与设备使用特征、操作指令使用特征以及结合步骤1中的用户权限信息提取到的用户越权操作特征共四类特征;/n步骤3,根据步骤2中提取到的用户特征,使用特征标准化预处理方法对用户特征进行标准化处理,得到标准化后的用户特征,并记录所有的标准化时用到的信息,即所有特征的平均值与标准差;/n步骤4,使用聚类方法,对步骤3中得到的全部用户特征进行聚类,获得聚类模型,并得到具有不同行为特点的用户分组;/n步骤5,根据步骤4中的用户分组结果,绘制用户特征在每个特征维度上的累计分布图,并根据累计分布图对每个用户分组的典型特点进行分析,从而产生各个用户分组的用户画像,并将违规特征显著的用户组标记为高危用户组;/n步骤6,获取网络安全设备的近期用户日志数据,从其中的用户操作日志有效字段中提取用户实时行为特征,根据步骤4中得到的聚类模型以及各个用户的当前实时特征,对每个用户进行分组匹配,然后结合用户的历史匹配结果计算每位用户的跳跃度及违规度,对是否发出用户异常警告做出决策。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于西安交通大学,未经西安交通大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910971176.4/,转载请声明来源钻瓜专利网。
