一種基于行為相似度的用戶異常行為檢測方法技術

本發明專利技術公開了一種基于行為相似度的用戶異常行為檢測方法，屬于計算機信息安全領域。該方法根據從Web日志中獲取的表征用戶行為的特征參數，計算與用戶行為相關的時間相似度、地點相似度、URL相似度，并綜合計算形成用戶行為相似度；通過比較用戶行為相似度，若存在較大幅度的變化，則反映出用戶行為實質性的變化，實現用戶異常行為的檢測。與現有技術相比，本發明專利技術方法采用多種因素綜合檢測用戶異常行為，具有較高的檢測效率和準確性。

【技術實現步驟摘要】

本專利技術涉及計算機信息安全領域，具體地說是。
技術介紹
在移動互聯網和BYOD辦公逐步成熟的時代，信息和網絡安全也面臨著新的挑戰。網絡用戶異常行為成為網絡面臨的一大威脅。所謂異常行為，是指與正常行為相對應，由網絡用戶或惡意攻擊者實施的對網絡正常運行造成影響的行為，例如傳播惡意代碼、DDoS攻擊等。這些行為會造成網絡服務質量急劇下降，網絡負載加重甚至癱瘓等后果。而且隨著云計算和大數據的快速發展，網絡用戶異常行為的新變種以及新行為層出不窮，其威脅也日益嚴重。因此無論是加強對用戶行為的管控，還是保障網絡的正常運行，都要求能夠對網絡用戶的異常行為實施快速、準確的檢測。如何有效檢測并阻斷用戶異常行為，成為業界領域中的研宄熱點?，F有技術中通常采用端口掃描、報文特征字段匹配等方法對異常行為進行深入分析以獲取特征，從而實現網絡用戶異常行為的檢測。然而，隨著用戶異常行為不斷變化，依靠人工對異常行為進行分析以獲取特征的代價越來越高昂甚至不可行。隨著人工智能技術的發展，機器學習更多地被用于從網絡數據中自動計算異常行為模式、提取其特征，從而自動產生檢測規則，極大地降低了開發成本。在機器學習中，常用的相似度衡量函數主要有三種:余弦相似度、相關相似度以及修正的余弦相似度。余弦相似度函數在衡量向量相似性方面得到了廣泛的應用，它可以直接用來衡量節點評分行為之間的相似程度。
技術實現思路
本專利技術的技術任務是針對上述現有技術的不足，提供。網絡環境中用戶行為一般具有相似性的性質，以相似度來刻畫。與正常行為相似度相比，異常行為相似度存在較大的差異?；诖耍緦＠夹g方法實現了用戶異常行為的檢測。本專利技術的技術任務是按以下方式實現的:，其特點是該方法根據從Web日志中獲取的表征用戶行為的特征參數，計算與用戶行為相關的時間相似度、地點相似度、URL相似度，并綜合計算形成用戶行為相似度；通過比較用戶行為相似度，若存在較大幅度的變化，則反映出用戶行為實質性的變化，實現用戶異常行為的檢測。作為優選，上述方法包括以下步驟:(一 )特征參數提取通過對Web日志分析獲取表征用戶行為的特征參數，并用元組描述；(二)行為相似度計算:根據用戶行為特征參數元組，對參與相似度計算的參數進行量化，然后利用機器學習中相似度衡量函數，分別計算與用戶行為相關的時間相似度St，地點相似度Sjp URL相似度S u然后根據時間相似度St，地點相似度SjP URL相似度S u對于用戶行為相似度的影響程度，計算出用戶訪問路徑中的用戶行為相似度，作為用戶異常行為檢測的指標；(三)異常行為檢測比較步驟(二)所得的用戶訪問路徑中的用戶行為相似度，若變化幅度超過一定的行為相似度閥值，則所對應的用戶行為表現為異常行為。進一步的，步驟一中所述特征參數用元組(ID，IP，R，tK，tD，M，P，Ref，UA)來描述，其中ID唯一標識用戶的ID ；IP表示發送請求的客戶端IP地址；R唯一標識某個URL請求；tK為當前URL的請求時間；t D為瀏覽時長；M表示請求方法；P表示頁面訪問路徑；Ref表示請求訪問來源；UA是一個由變量、變量值構成的二元組集合，用來描述外部環境狀態以及當前行為對環境的影響(P中所傳遞的參數變量以及變量值)。步驟二中:時間相似度St:采用余弦相似度函數，對由主要相關參數包括但不限于t tD構成的時間向量計算時間相似度；地點相似度S1:采用余弦相似度函數，對由主要相關參數包括但不限于ID，IP以及UA中與客戶端地址相關的參數構成的地點向量計算地點相似度；URL相似度Su:采用編輯距離，對由主要相關參數包括但不限于R，M，P，Ref以及UA中訪問路徑所傳遞的參數變量以及變量值構成的URL向量計算URL相似度。 為了體現時間相似度、地點相似度和URL相似度影響程度的不同，步驟二中進行用戶行為相似度計算時，可根據時間相似度、地點相似度和URL相似度對于用戶行為相似度的影響程度賦予不同的權重系數。與現有技術相比，本專利技術的基于行為相似度的用戶異常行為檢測方法采用多種因素綜合檢測用戶異常行為，具有較高的檢測效率和準確性?！靖綀D說明】附圖1是本專利技術基于行為相似度的用戶異常行為檢測方法的原理圖。【具體實施方式】參照說明書附圖以具體實施例對本專利技術的基于行為相似度的用戶異常行為檢測方法作以下詳細地說明。實施例:本專利技術的檢測方法根據從Web日志中獲取的表征用戶行為的特征參數，計算與用戶行為相關的時間相似度、地點相似度、URL相似度，并綜合計算形成用戶行為相似度；通過比較用戶行為相似度，若存在較大幅度的變化，則反映出用戶行為實質性的變化，實現用戶異常行為的檢測。這種基于行為相似度的用戶異常行為檢測方法采用多種因素綜合檢測用戶異常行為，具有較高的檢測效率和準確性。本方法的用戶異常行為檢測方法原理如附圖1所示:(I)特征參數提取:通過對Web日志分析獲取表征用戶行為的特征參數，用元組(ID, IP，R，tK，tD，M，P，Ref，UA)來描述，其中ID唯一標識用戶的ID ;IP表示發送請求的客戶端IP地址；R唯一標識某個URL請求；tK為當前URL的請求時間；t D為瀏覽時長；M表示請求方法；P表示頁面訪問路徑；Ref表示請求訪問來源；UA是一個由變量、變量值構當前第1頁1 2 本文檔來自技高網...

【技術保護點】
一種基于行為相似度的用戶異常行為檢測方法，其特征在于：該方法根據從Web日志中獲取的表征用戶行為的特征參數，計算與用戶行為相關的時間相似度、地點相似度、URL相似度，并綜合計算形成用戶行為相似度；通過比較用戶行為相似度，若存在較大幅度的變化，則反映出用戶行為實質性的變化，實現用戶異常行為的檢測。

【技術特征摘要】

【專利技術屬性】
技術研發人員：李清玉，顏斌，
申請(專利權)人：浪潮集團有限公司，
類型：發明
國別省市：山東;37