CN101355504A - 一种用户行为的确定方法和装置 - Google Patents

Abstract

本发明实施例公开了一种用户行为确定的方法，包括以下步骤：根据网络流量数据和安全事件日志数据建立用户行为数据库；将所述用户行为数据库中各用户进行聚类，根据聚类结果确定各用户的网络行为模式。本发明的实施例中，通过建立用户行为数据库并将所述用户行为数据库中各用户进行聚类，确定了各用户的网络行为模式，从宏观角度有效的反应了用户网络行为。

Description

一种用户行为的确定方法和装置

技术领域

本发明涉及网络信息安全技术，特别涉及一种用户行为的确定方法和装置。

背景技术

计算机网络对人类经济和生活的冲击是其它信息载体所无法比拟的，计算机网络高速发展和全方位渗透，推动了整个社会的信息化进程，特别是Internet(国际互联网)已经从早期的小规模局域性互联网，发展成为一个全球性信息服务平台，网络技术被广泛应用于社会生活的各个领域，极大地促进了经济的繁荣和社会的进步，显示出越来越强大的生命力。然而，网络的这些特点也不可避免地造成了***的脆弱性，使用户及网络信息本身面临着严重的安全问题。攻击事件层出不穷，病毒发作此起彼伏，甚至利用互联网实施的违法犯罪活动也逐渐增多。为了更好地去监管人们的上网行为，抵御黑客攻击，进行用户行为分析势在必行。

现有的网络信息安全技术，如防火墙、入侵检测、安全路由、身份认证等，大多将主要精力集中在设备的某一方面的异常，而未从用户行为的设计挖掘和表示方法角度分析网络所遭受的攻击，且通常不预测下一时间异常。

现有技术提供了一种用户行为异常检测***和方法，该***由控制模块、数据获取和预处理模块、学***台上的shell命令作为训练数据和审计数据，在对数据进行预处理后，利用机器学习模型建立计算机网络***中关键合法用户的正常行为轮廓，在检测中通过比较关键合法用户的当前行为与其正常行为轮廓来识别异常行为，即是否发生入侵，以便引起网络管理员的注意，采取措施保证安全；如果该用户的当前行为较大程度偏离了其历史上的正常行为轮廓，即认为发生了异常，具体原因可能是关键合法用户进行了非授权操作，或是外部入侵者冒用关键合法用户的帐户进行了非法操作。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

现有的网络信息安全技术，只从单一用户行为出发，未从宏观角度把握用户行为。

发明内容

本发明实施例提供了一种用户行为的确定方法和装置，以确定用户的网络行为模式。

本发明实施例提供了一种用户行为的确定方法，包括以下步骤：

根据网络流量数据和安全事件日志数据建立用户行为数据库；

将所述用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

本发明还提供了一种用户行为确定装置，包括：

数据库建立单元，用于根据所述网络流量数据和所述安全事件日志数据建立用户行为数据库；

行为模式确定单元，用于将所述数据库建立单元建立的用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

本发明的实施例中，通过建立用户行为数据库并将用户行为数据库中各用户进行聚类，确定了各用户的网络行为模式，从宏观角度有效的反应了用户网络行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种用户行为确定的方法流程图；

图2为本发明实施例中一种用户行为确定的方法流程图；

图3为本发明实施例中采集网络流量数据和安全事件日志数据数据表表间关系图；

图4为本发明实施例的预测用户的网络行为模式方法流程图；

图5为本发明实施例中生成用户行为预测模型的方法流程图；

图6为本发明实施例中一种用户行为确定装置结构图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种用户行为的确定方法，通过建立用户行为数据库并将用户行为数据库中各用户进行聚类，确定了各用户的网络行为模式，从宏观角度有效的反应了用户网络行为。所述方法如图1所示，包括以下步骤：

步骤101，根据网络流量数据和安全事件日志数据建立用户行为数据库；

步骤102，将所述用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

下面结合具体的实施例对用户行为确定的具体方法进行详细说明。

本发明实施例提供了一种用户行为的确定方法，所述方法如图2所示，包括以下步骤：

步骤201，采集网络流量数据和安全时间日志数据。

NetFlow(网络流量)以流作为数据统计的采集单位，网络的流(Flow)是一个特定来源和目的端的单向数据报文序列，是来源IP、目地IP、来源Port、目地Port和传输协议5个属性相同的报文整合成一个流。NetFlow协议的核心是对流缓存进行组织、管理，最终可提供遵循某种汇聚方法而得到流的统计数据。其工作原理就是由路由器、交换机或其它任何支持NetFlow的软硬件维持一个保存流的统计数据的缓存，每一个活动的流在缓存中都占有一项记录。当一个不同于现有记录特征的数据包进入缓存时，自动为这一数据包在缓存中开辟新的流记录。后续进入缓存的数据包，如果和已有的记录具有相同特征，其统计信息就会加到相应的记录中去。NetFlow会不停地刷新缓存，将遵循某种汇聚方法的记录移出缓存，然后将所有被移出的记录聚合到UDP包中，发送给网络上指定的接收者。

NetFlow协议目前包括多个版本，版本之间差异主要表现在对流采用的汇聚方法不同。以网络安全监控为目的而部署NetFlow要求获得流的较多细节，常采用NetFlow V5。此版本所采集到的流量数据可以支持不同对象的统计分析，即支持对源IP、目的IP、源端口、目的端口等的统计分析。从NetFlow原始记录中提取以下8个关键域定义：源IP地址(Source IPaddress)；目的IP地址(Destination IP address)；源端口号(Source PortNumber)；目的端口号(Destination Port Number)；协议类型(Layer 3protocol type)；流内数据包数量(Packets)；数据流的大小(Octets)；数据流结束时间(Time)；

针对安全事件日志，提取以下几个关键域定义：1)安全事件时间：事件记录的时间；2)IP地址：***的本地IP；3)安全事件类型：通过正则表达式从日志记录中提取关键字后判断得出的事件类型；4)安全事件等级：日志里面就存在的字段；5)关联IP地址：日志记录中可能存在的发起攻击的IP或相关牵涉到的事件IP地址。

步骤202，对采集的数据进行汇总得到用户行为数据库。

将采集的关键域定义数据存入数据库，对存入数据库的数据进行数据的汇总，建立用户在一定时间粒度下的行为数据库，描述时间数据的最小时间单位称为时间粒度。

基本的时间粒度是通过数据的采集时间间隔所确定的，根据汇总分析的要求，不同的时间粒度都是基本时间粒度的倍数作为统计对象。统计对象包括源IP、数据包字节数、数据流目的子网、数据包数量、源端口、目的端口、安全事件等。本发明实施例中，以采集的用户IP数据为基本统计对象，统计一定时间粒度下用户的行为特征值，汇总对象主要有：1)数据包字节数；2)数据包数量；3)数据流目的子网个数；4)数据流来源子网个数；5)源端口个数；6)目的端口个数；7)目的IP个数；8)各协议所占总流量比例；9)各源端口所占总流量比例；10)各目的端口所占总流量比例；11)各安全事件类型所占总流量比例。在汇总对象8)-11)中，由于原始数据中个数很多，采取TOPN分析的方法，即只提取前N个对象汇总后的数值，以减少***处理的开销。1)-7)称为单值汇总数据；8)-11)称为多值汇总数据。

汇总一定时间粒度下用户的行为特征值，建立了用户在一定时间粒度下的行为数据库，每条记录由P个属性构成{X₁，X₂，...，X_p}。X1：数据包字节数；X2：数据包数量；X3：数据流目的子网个数；X4：数据流来源子网个数；X5：源端口个数；X6：目的端口个数；X7：目的IP个数；{X₈，X₉...X_m}：前N个协议所占总流量比例；{X_m+1，X_m+2...X_n}：前N个源端口所占总流量比例；{X_n+1，X_n+2...X_q}：前N个目的端口所占总流量比例；{X_q+1，X_q+2...X_p}：前N个安全事件类型所占总流量比例。

采集网络流量数据和安全事件日志数据数据表表间关系如图3所示：1)NetFlow server接收NetFlow信息，Log server接收日志信息，将数据存入数据库，形成基础数据表，分别为：NetFlow数据源表301、安全事件日志表302；2)在基础数据表NetFlow数据源表的基础上，对流量进行初步汇总，形成NetFlow的子网和端口统计数目表303、NetFlow的基础汇总表304；3)在共同汇总NetFlow数据源表301、安全事件日志表302的基础上得出：NetFlow的TOPN统计表305；TOPN分析的对象，具体包含：协议、源端口、目的端口、安全事件。其中，NetFlow的子网和端口统计数目表303、NetFlow的基础汇总表304和TOPN统计表305共同构成用户行为数据库。

步骤203，将用户行为数据库中各用户根据各种网络行为类型所占比例进行聚类，从而确定各用户的网络行为模式。

为了研究和比较观测得到的网络用户行为，确定用户行为，在聚类算法中引入用户行为距离概念。为观测数据相似性指标提供了基本的识别同组数据(网络用户行为)的信息。

用户行为距离公式如下：

$d(U1,U2)=\sqrt{{(X_1-X_1^{\′})}^2+{(X_2-X_2^{\′})}^2+...+{(X_p-X_p^{\′})}^2}$

d(U1，U2)为用户行为距离，U1和U2分别为某用户行为模式样本点和已确定行为模式样本点间，其中U1＝{X₁，X₂，...，X_p}，U₂＝{X′₁，X′₂，...，X′_p}；X为用户属性数据。

计算新输入数据点与已存在样本的距离，生成距离信息{d₁，d₂，...，d_n}，从中选择最小值作为d_min：d_min＝min{d₁，d₂，...，d_n}；

在距离信息{d₁，d₂，...，d_n}中选择所有d≤D，并从样本点分布空间中，选择半径为D的超球体内的所有样本点的行为模式；

其中D＝nd_min：d_min为输入数据点与最近样本点的距离；n为系数，n的选取为***效率与结果正确性的折中。

将最多样本点的行为模式类型作为输入数据的行为模式类型。

针对单值汇总数据(数据包字节数、数据包数量、数据流目的子网个数、数据流来源子网个数、源端口个数、目的端口个数、目的IP个数)，其汇总结果就为统计结果。单值汇总数据的用户行为计算值为

$A_1={\mathrm{\Σ}}_{i=1}^{i=7}{(X_i-X_i^{,})}^2.$

针对多值汇总数据(前N个协议所占总流量比例、前N个源端口所占总流量比例、前N个目的端口所占总流量比例、前N个安全事件类型所占总流量比例)，以前N个协议所占总流量比例{X₈，X₉...X_m}为例，X_l是某网络协议P_l的汇总流量XlFlow占总流量TotalFlow的比例，即：

X_l＝(X_l/TotalFlow)*100％

{P₈，P₉，...，P_m}为 $\{X_8,X_9...X_m\}\⊆U1$ 各自对应的协议，{P′₈，P′₉...，P′_m}为 $\{X_8^{\′},X_9^{\′}...X_m^{\′}\}\⊆U2$ 各自对应的协议。设 $\∀P_l\∈\{P_8,P_9...,P_m\}\∪\{P_8^{\′},P_9^{\′}...,P_m^{\′}\},$ 针对P_l计算用户行为距离B_l时，规定如下：

若P_l∈{P₈，P₉...，P_m}且P_l∈{P′₈，P′₉...，P′_m}，则计算B_l＝(X_l-X′_l)²；

若 $P_l\∉\{P_8,P_9...,P_m\}$ 且P_l∈{P′₈，P′₉...，P′_m}，则计算B_l＝(X′_l-O)²；

若P_l∈{P₈，P₉...，P_m}且 $P_l\∉\{P_8^{\′},P_9^{\′}...,P_m^{\′}\},$ 则计算B_l＝(X_l-O)²；

设{P₈，P₉...，P_m}∪{P′₈，P′₉...，P′_m}个数为k，则根据以上规定，针对协议的用户行为计算值 $A_2={\mathrm{\Σ}}_{i=1}^{i=k}{B}_i.$

针对其他多值汇总数据的与协议的用户行为计算方法类同，设源端口、目的端口、安全事件的用户行为计算值分别为A₃、A₄、A₅，则用户行为距离公式如下：

$d(U1,U2)=\sqrt{{\mathrm{\Σ}}_{i=1}^{i=5}{A}_i}$

其中，d(U1，U2)为用户行为距离。U1、U2的相似度与d(U1，U2)成反比，d(U1，U2)越小，U1、U2的相似度越大；d(U1，U2)越大，U1、U2的相似度越小。从而可根据计算某用户行为模式样本点与已确定行为模式样本点间的用户行为距离，推断某用户样本点所属网络行为模式，

步骤204，预测各用户未来一定时间内的网络行为模式。

本发明实施例中应用RBF神经网路对用户行为进行预测，结合当前一定时间粒度下用户的网络行为类型数据，寻找出时间序列中前N个用户行为与随后M个用户行为的映射关系，计算未来一定时间粒度下用户的网络行为类型，从而预测用户的网络行为模式。

RBF网是一种前馈神经网络，一般分为三层结构(如图7)：一个n-h-m结构的RBF网，即网络具有n个输入，h个隐节点，m个输出。其中x＝(x₁，x₂...，x_n)^T∈Rⁿ为网络输入矢量，c_i(i＝1，2...h)为隐节点数据中心，W∈R^h×m为输出权矩阵，b₀，...b_m为输出单元偏移，y＝[y₁，...，y_m]^T为网络输出，Φ_i(^*)为第i个隐节点的激活函数。RBF网络构成的基本思想是：用RBF作为隐单元的“基”构成隐含层空间，这样就可以将输入矢量直接映射到隐含层空间。当RBF的中心确定后，这种映射关系也就确定了。隐含层到输出层的映射是线性的，即网络的输出就是隐含层节点数据的线性加权和。从总体上看，网络由输入到输出的映射是非线性的，而网络输出对可调节参数而言又是线性的。这样网络的权值就可以由线性方程组直接解出或用最小二乘递推法(RLS)递推计算。

应用预测算法预测用户未来一定时间内的网络行为模式。对用户行为数据进行统计分析，确定用户在不同时间粒度下各种网络行为类型数据的基础上，结合当前一定时间粒度下用户的网络行为类型数据，计算未来一定时间粒度下用户的网络行为类型数据，从而预测用户的网络行为模式，预测的具体步骤如图4所示：

步骤401，进行初始化工作。从数据库中调出相应的训练样本，将训练样本转换为一系列N维向量的形式，为生成预测模型做好准备，

步骤402，生成预测模型。开始训练样本数据，以从中分析其发展变化规律，进而寻找出时间序列中前N个用户行为与随后M个用户行为的映射关系，由此拟合出用户网络行为关于时间的函数，即生成用户行为预测模型。其具体流程如图5所示：

步骤501，初始化聚类中心。令k为迭代次数，并初始化k＝1，根据初始化训练样本X＝{X₁，X₂...，X_n}计算数据中心，记为C₁ ^l，其中C_k ^l为第l第k类的中心向量；

步骤502，在数据样本中寻找具有最远距离的点。设某点i与各类中心距离和为A(i)，且与其所在类的中心距离为B(i)，则令R_k＝X_i，i∈{i|max(A(i)×B(i))，i＝1，...，n}；

步骤503，将最远距离点从它所在的类中排出，并使之成为一个新的聚类中心。将R_k从其所在类中排出，重新计算该类的中心，并设其新中心为(C_j)′；

令k＝k+1，即将聚类数目加1，置该层的初始中心为(R_k-1，C_l ^k-1，...，(C_j)′，...C_k-l ^k-1)；

步骤504，根据各点到各中心的距离进行分类。计算X中所有数据与中心的距离，并将其分别划分在离它们最近的中心所在类中；

步骤505，重新计算类的中心 $C^k=(C_1^k,...,C_k^k);$

步骤506，判断C^k是否有变化。有，则转步骤504；否则继续执行下一步；

步骤507，计算所有类的方差 $D^k=(D_1^k,...,D_k^k);$

步骤508，判断最远距离是否小于方差。设R_k与其所在类的距离为D_max，而每个类的方差为D_mean，若D_max＜max(D_mean)，则聚类完成，转步骤509，否则转步骤502；

步骤509，计算权值并生成预测模型。聚类结束后，各类的数据中心也相继确定，此时可通过最小二乘法求出各个权值并最终生成预测模型。

步骤403，对用户未来一定时间内的网络行为模式进行预测。采用RBF神经网络进行态势的预测，以将每个样本的前N个值作为RBF神经网络的输入，后M个值为目标输出。通过神经网络学习、训练，实现从输入空间RN到输出空间RM的映射，从而达到时间序列预测网络用户行为。RBF网是一种前馈神经网络，一般分为三层结构，如图5所示：一个n-h-m结构的RBF网，即网络具有n个输入，h个隐节点，m个输出。其中x＝(x₁，x₂...，x_n)^T∈Rⁿ为网络输入矢量，c_i(i＝1，2...h)为隐节点数据中心，W∈R^h×m为输出权矩阵，b₀，...b_m为输出单元偏移，y＝[y₁，...，y_m]^T为网络输出，Φ_i(^*)为第i个隐节点的激活函数。

预测具体步骤如下：

获得一段历史网络用户行为数据x＝(x₁，x₂...，x_N)；

网络输入n代表过去n个时间点的网络用户行为数据，网络输出m代表随后m个时间点的态势值；

将数据划分如下形式：

输入	输出
		x1...xn	xn+1...xn+m
x2...xn+1	xn+2...xn+m+1

......	......
		xN-n+1...xN	xN+1...xN+m

将它们代入预测模型进行训练直到误差小于极小值ε。

模型训练结束，利用该模型进行未来时间点网络用户行为预测。

本发明实施例提供了一种用户行为确定装置，如图6所示，包括：数据库建立单元601，用于根据网络流量数据和安全事件日志数据建立用户行为数据库；行为模式确定单元602，用于将所述数据库建立单元601建立的用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

其中，还包括：采集单元603，用于采集所述网络流量数据和所述安全事件日志数据，所述数据库建立单元601根据所述采集单元603采集的所述网络流量数据和所述安全事件日志数据建立所述用户行为数据库。

其中，还包括：预测单元604，用于根据所述行为模式确定单元602确定的各用户的网络行为模式预测所述各用户未来一定时间内的网络行为模式。

其中，所述数据库建立单元601包括：初步汇总子单元605，用于初步汇总所述网络流量数据，根据汇总结果构造网络流量数据子网和端口统计数目表以及网络流量数据基础汇总表；共同汇总子单元606，用于共同汇总所述网络流量数据和所述安全事件日志数据，根据汇总结果构造TOPN统计表；构造子单元607，用于根据所述初步汇总子单元605构造的网络流量数据子网和所述端口统计数目表、所述网络流量数据基础汇总表以及所述共同汇总子单元606构造的TOPN统计表构造所述用户行为数据库。

其中，所述预测单元604包括：样本准备子单元608，从所述用户行为数据库中调出各用户的样本数据；模型生成子单元609，对所述样本准备单元608得到的样本数据进行训练，生成用户行为预测模型；处理子单元610，根据所述模型生成子单元609得到的用户行为预测模型对所述各用户未来时间内的网络行为模式进行预测

本发明实施例主要通过对网络流量(主要是NetFlow)、安全事件日志的采集分析，设计出表示用户行为的数据结构及汇总模式，建立用户在一定时间粒度下的行为数据库；在用户行为数据库建立的基础上，通过关联规则、分类、聚类等数据挖掘算法，从宏观角度确定各个用户的网络行为模式；在确定当前用户行为模式的基础上，应用预测算法，预测用户未来一定时间粒度下的网络行为模式。在分析网络用户行为的问题提上，不只限于分析当前网络用户行为，而且在不同时间粒度下，对用户网络行为未来一定时间粒度下的网络行为模式进行预测。为及时掌控网络用户行为数据，实现对网络流量、安全事件日志的有效查询和统计方式，达到高效审计报告生成与可视化数据的目的。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (14)

1、一种用户行为确定的方法，其特征在于，包括以下步骤：

根据网络流量数据和安全事件日志数据建立用户行为数据库；

将所述用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

2、如权利要求1所述的方法，其特征在于，所述根据网络流量数据和所述安全事件日志数据建立用户行为数据库之前，还包括：

采集所述网络流量数据和所述安全事件日志数据。

3、如权利要求2所述的方法，其特征在于，所述采集网络流量数据包括：

通过从网络流量数据源表中提取IP地址、目的IP地址、源端口号、目的端口号、协议类型、流内数据包数量、数据流的大小和数据流结束时间进行所述采集网络流量数据。

4、如权利要求2所述的方法，其特征在于，所述采集安全事件日志数据包括：

通过从安全事件日志表中提取安全事件时间、IP地址、安全事件类型、安全事件等级和关联IP地址进行所述采集安全事件日志数据。

5、如权利要求1所述的方法，其特征在于，所述根据网络流量数据和安全事件日志数据建立用户行为数据库包括：

初步汇总所述网络流量数据，根据汇总结果构造网络流量数据子网和端口统计数目表以及网络流量数据基础汇总表；

共同汇总所述网络流量数据和所述安全事件日志数据，根据汇总结果构造TOPN统计表；

根据所述网络流量数据子网和所述端口统计数目表、所述网络流量数据基础汇总表、所述TOPN统计表构造所述用户行为数据库。

6、如权利要求1所述的方法，其特征在于，所述将用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式包括：

计算某用户行为模式样本点与已确定行为模式样本点间的用户行为距离；

根据计算得到的某用户行为模式样本点与已确定行为模式样本点间的用户行为距离确定所述各用户的网络行为模式。

7、如权利要求6所述的方法，其特征在于，所述用户行为距离的计算公式为：

$d(U1,U2)=\sqrt{{(X_1-X_1^{\′})}^2+{(X_2-X_2^{\′})}^2+\·\·\·+{(X_p-X_p^{\′})}^2}$

其中，d(U1，U2)为用户行为距离，U1和U2分别为某用户行为模式样本点和已确定行为模式样本点间，U1＝(X₁，X₂，...，X_p}，U2＝(X′₁，X′₂，...，X′_p}，X为用户属性数据。

8、如权利要求6所述的方法，其特征在于，所述根据聚类结果确定所述各用户的网络行为模式之后，还包括：

应用径向基函数RBF神经网络，结合所述各用户的网络行为模式预测所述各用户未来时间内的网络行为模式。

9、如权利要求8所述的方法，其特征在于，所述应用径向基函数RBF神经网络，结合所述各用户的网络行为模式预测所述各用户未来时间内的网络行为模式包括：

从所述用户行为数据库中调出所述各用户的样本数据；

对所述样本数据进行训练，生成用户行为预测模型；

根据所述用户行为预测模型对所述各用户未来时间内的网络行为模式进行预测。

10、一种用户行为确定装置，其特征在于，包括：

数据库建立单元，用于根据网络流量数据和安全事件日志数据建立用户行为数据库；

行为模式确定单元，用于将所述数据库建立单元建立的用户行为数据库中各用户进行聚类，根据聚类结果确定所述各用户的网络行为模式。

11、如权利要求10所述用户行为确定装置，其特征在于，所述数据库建立单元包括：

初步汇总子单元，用于初步汇总所述网络流量数据，根据汇总结果构造网络流量数据子网和端口统计数目表以及网络流量数据基础汇总表；

共同汇总子单元，用于共同汇总所述网络流量数据和所述安全事件日志数据，根据汇总结果构造TOPN统计表；

构造子单元，用于根据所述初步汇总子单元构造的网络流量数据子网和所述端口统计数目表、所述网络流量数据基础汇总表以及所述共同汇总子单元构造的TOPN统计表构造所述用户行为数据库。

12、如权利要求10所述用户行为确定装置，其特征在于，还包括：

采集单元，用于采集所述网络流量数据和所述安全事件日志数据。

13、如权利要求10所述用户行为确定装置，其特征在于，还包括：

预测单元，用于根据所述行为模式确定单元确定的各用户的网络行为模式预测各用户未来一定时间内的网络行为模式。

14、如权利要求13所述用户行为确定装置，其特征在于，所述预测单元包括：

样本准备子单元，从所述用户行为数据库中调出所述各用户的样本数据；

模型生成子单元，对所述样本准备单元得到的样本数据进行训练，生成用户行为预测模型；

处理子单元，根据所述模型生成子单元得到的用户行为预测模型对所述各用户未来时间内的网络行为模式进行预测。

Images