CN109145595A

CN109145595A - 一种用户异常行为检测***、方法、设备及存储介质

Info

Publication number: CN109145595A
Application number: CN201810856594.4A
Authority: CN
Inventors: 罗剑江; 黄丽诗; 胡泽柱
Original assignee: SF Technology Co Ltd
Current assignee: SF Technology Co Ltd; SF Tech Co Ltd
Priority date: 2018-07-31
Filing date: 2018-07-31
Publication date: 2019-01-04

Abstract

本发明涉及一种用户异常行为检测***、方法、设备及存储介质。采集用户当前操作行为进行聚合形成用户当前的测试数据集；将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，其中，优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得，预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。本发明通过用户多操作行为聚合解决单一操作行为误报；基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型，进行用户异常行为的识别，提高了用户操作行为异常检测的效率和准确率。

Description

一种用户异常行为检测***、方法、设备及存储介质

技术领域

本发明涉及数据挖掘领域，尤其涉及一种用户异常行为检测***、方法、设备及存储介质。

背景技术

目前用户异常行为检测通常基于单一行为进行分析，不能很好地反映用户真实的行为，在实际的应用中产生大量的假报警，导致调查人员花费过多的调查时间，也不能较好地覆盖真正异常事件；目前常见用户异常行为检测大部分都需要人工提取特征，特征提取难度较大；而且检测的细粒度不够，未能较好地考虑用户自身行为以及用户所在群体的行为。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种用户异常行为检测方法、***及设备。

根据本发明的一个方面，提供了一种用户异常行为检测方法，包括以下步骤：

采集用户当前操作行为进行聚合形成用户当前的测试数据集；

将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，其中，优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得，预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。

进一步的，所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。

进一步的，数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。

进一步的，用户当前测试数据集或历史数据集的获取包括：

统计预设周期内用户当前或历史的操作行为各自出现的次数；

根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率；

根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数，并形成用户当前测试数据集或历史数据集。

进一步的，深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；和/或，

输入层和输出层的节点个数相同。

进一步的，预设阈值的获取，包括：

将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差；

根据所述预设重建误差获取历史数据集的均值、标准差；

根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。

所述均值、标准差、预设阈值的预设关系为：

d＝S+3×σ，

其中，

d为预设阈值；

S为历史数据集的均值；

σ为历史数据集的标准差。

根据本发明的另一个方面，提供了一种用户异常行为检测***，包括：

采集单元，配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集；

检测单元，配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，

其中，检测单元信号连接深度自编码器，所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型，并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值。

数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。

采集单元还配置用于：

深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；和/或，

输入层和输出层的节点个数相同。

深度自编码器还配置用于：

根据所述预设重建误差获取历史数据集的均值、标准差；

所述均值、标准差、预设阈值的预设关系为：

d＝S+3×σ，

其中，

d为预设阈值；

S为历史数据集的均值；

σ为历史数据集的标准差。

根据本发明的另一个方面，提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如上任一项所述的方法。

根据本发明的另一个方面，提供了一种存储有计算机程序的计算机可读存储介质，该程序被处理器执行时实现如上任一项所述的方法。

与现有技术相比，本发明具有以下有益效果：

1、本发明示例的用户异常行为检测方法，采集用户当前操作行为进行聚合形成用户当前的测试数据集；将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，其中，优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得，预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。本发明通过用户多操作行为聚合解决单一操作行为误报；使用深度学习进行特征提取解决人工提取特征的痛点；基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型，进行用户异常行为的识别，提高了用户操作行为异常检测的效率和准确率。

2、本发明示例的用户异常行为检测***，采集单元配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集；检测单元配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，其中，检测单元信号连接深度自编码器，所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型，并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值。各单元相互配合协作，共同基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型，进行用户异常行为的识别，大大提高了用户操作行为异常检测的效率和准确率，且结构简单，便于后期维护。

3、本发明示例的登录异常检测设备、通过存储有计算机程序的计算机可读介质,便于用户异常行为检测技术的推广。

附图说明

图1为本发明流程图；

图2为实施例一深度自编码器模型的结构示意图。

具体实施方式

为了更好的了解本发明的技术方案，下面结合具体实施例、说明书附图对本发明作进一步说明。

实施例一：

本实施例提供了一种用户异常行为检测方法，包括以下步骤：

S1、采集用户当前操作行为进行聚合形成用户当前的测试数据集。

所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。

S2、将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差，将所述重建误差与预设阈值进行比较，检测用户的当前操作行为是否存在异常，其中，优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得，预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。

输入层和输出层的节点个数相同。

用户当前测试数据集或历史数据集的获取包括：

(1)统计预设周期内用户当前或历史的操作行为各自出现的次数；

(2)根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率；

(3)根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数，并形成用户当前测试数据集或历史数据集。

预设阈值的获取，包括：

(1)将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差；

(2)根据所述预设重建误差获取历史数据集的均值、标准差；

(3)根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。

进一步，预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

上述用户异常行为检测方法具体步骤为：

S1、数据处理

S11、数据获取：

获取半年至一年用户所在群体(可定义的范围为同岗位、同部门或同小组)每个用户每天多种操作行为的正常数据，操作行为数据例如：登录行为、操作行为、邮件外发行为、移动存储设备数据拷出行为(如 u盘数据拷出行为)等N种，行为数据选定与具体需要检测的场景相关，一般应包括登录、操作以及数据外发行为。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户数据，形成数据集D，其中D中的每个样例都是有N中行为组成的数据；

S12、数据清洗：针对每种行为，进行如下处理：如一天内以a小时为单位，若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小，例如在该小时区间内外发的数据大小)，否则记为0。例如a＝1, 则以1个小时为单位进行数据聚合，用户在某天12点内有使用过***一次，其余时间没有，则记为000000000010000000000000)，例如：

表1：用户操作行为记录

用户1	0	…	9	…	12	…	23
								登录次数	0	0	0	1	0	0
操作数据量	0	0	100		0	1	0
								…	0	0	0	0	5	0
外发的数据量	0	0	80		0	0	0

将N*24/a维的数据，展开为1*(N*24/a)的向量形式。因此，数据集D

中的每个样例的维数为n(n＝N*24/a)，具体表示如下：

S2、模型建立

S21、深度自编码器模型结构设定：构建一个输入层和输出层的节点个数为n、L个隐含层的深度自编码器模型，其中，L为整数，隐含层的节点个数一般不超过输入层的节点个数(注：图2为含3个隐含层的深度自编码器)。

S22、模型训练：使用数据集D作为输入训练深度自编码器模型，得到优化好的深度自编码器模型。

S3、模型应用

S31、数据向量化。将每个测试数据按同样的方式进行向量化：

一天内以a小时为单位，若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小，例如在该小时内外发的数据大小)，否则记为0，与训练数据构成维度保持一致；

展开为1*(N*24/a)的向量形式。

S32、数据应用：计算测试数据在训练好的深度自编码器模型的重建误差，选择合适的阈值d进行异常识别。若测试数据的重建误差超出阈值d，则可判断该用户行为异常，反之正常。阈值d的选取方式如下：计算数据集D在训练好的深度自编码器模型的重建误差，根据数据集D的重建误差，计算它们的均值S和标准差σ，故阈值d的取值为 d＝S+3×σ。

本实施例提供了一种用户异常行为检测***，包括：

采集单元，配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集；还配置用于：

根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数，并形成用户当前测试数据集或历史数据集；

其中，检测单元信号连接深度自编码器，所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型，并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值，深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；和/或，输入层和输出层的节点个数相同。

上述深度自编码器还配置用于：

根据所述预设重建误差获取历史数据集的均值、标准差；

所述预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

本实施例还提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

本实施例还提供了一种存储有计算机程序的计算机可读存储介质，该程序被处理器执行时实现如上任一项所述的方法。

实施例二

本实施例与实施例一相同的特征不再赘述，本实施例与实施例一不同的特征在于：

输入层和输出层的节点个数相同。

用户当前测试数据集或历史数据集的获取包括：

预设阈值的获取，包括：

(2)根据所述预设重建误差获取历史数据集的均值、标准差；

进一步，预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

本实施例提供了一种用户异常行为检测***，包括：

上述深度自编码器还配置用于：

根据所述预设重建误差获取历史数据集的均值、标准差；

所述预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

本实施例还提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

本实施例还提供了一种存储有计算机程序的计算机可读存储介

质，该程序被处理器执行时实现如上任一项所述的方法。

实施例三：

所述操作行为包括登录行为、查询行为、数据外发行为。

数据外发行为包括邮件外发行为、移动存储设备数据拷出行为。

深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；

输入层和输出层的节点个数相同。

用户当前测试数据集或历史数据集的获取包括：

预设阈值的获取，包括：

(2)根据所述预设重建误差获取历史数据集的均值、标准差；

进一步，预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

上述用户异常行为检测方法具体步骤为：

S1、数据处理

S11、数据获取：

获取半年用户所在群体(可定义的范围为同岗位、同部门或同小组) 每个用户每天多种操作行为的正常数据，操作行为数据例如：登录行为、操作行为、邮件外发行为、移动存储设备数据拷出行为(如u盘数据拷出行为)等N种，行为数据选定与具体需要检测的场景相关，一般应包括登录、操作以及数据外发行为。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户数据，形成数据集D，其中D中的每个样例都是有N中行为组成的数据；

S12、数据清洗：针对每种行为，进行如下处理：如一天内以a小时为单位，若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小，例如在该小时区间内外发的数据大小)，否则记为0。例如a＝0.5, 则以0.5小时为单位进行数据聚合，用户在某天12:00-12:30点内有使用过***一次，其余时间没有。

将N*24/a维的数据，展开为1*(N*24/a)的向量形式。因此，数据集D中的每个样例的维数为n(n＝N*24/a)。

S2、模型建立

S21、深度自编码器模型结构设定：构建一个输入层和输出层的节点个数为n、L个隐含层的深度自编码器模型，其中，L为整数，如L为3，隐含层的节点个数一般不超过输入层的节点个数。

S3、模型应用

一天内以a小时为单位，若在0.5小时区间内有该行为则记录该行为发生的次数(或操作的流量大小，例如在该0.5小时内,外发的数据大小)，否则记为0，与训练数据构成维度保持一致；

展开为1*(N*24/a)的向量形式。

本实施例提供了一种用户异常行为检测***，包括：

其中，检测单元信号连接深度自编码器，所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型，并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值，深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；输入层和输出层的节点个数相同。

数据外发行为包括邮件外发行为和移动存储设备数据拷出行为。

上述深度自编码器还配置用于：

根据所述预设重建误差获取历史数据集的均值、标准差；

所述预设阈值d满足：

d＝S+3×σ，

其中，

S为历史数据集的均值；

σ为历史数据集的标准差。

本实施例还提供了一种设备，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

质，该程序被处理器执行时实现如上任一项所述的方法。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于) 具有类似功能。

Claims

1.一种用户异常行为检测方法，其特征是，包括以下步骤：

2.根据权利要求1所述的用户异常行为检测方法，其特征是，所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。

3.根据权利要求2所述的用户异常行为检测方法，其特征是，数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。

4.根据权利要求1所述的用户异常行为检测方法，其特征是，用户当前测试数据集或历史数据集的获取包括：

5.根据权利要求1所述的用户异常行为检测方法，其特征是，

输入层和输出层的节点个数相同。

6.根据权利要求1-5任一所述的用户异常行为检测方法，其特征是，预设阈值的获取，包括：

根据所述预设重建误差获取历史数据集的均值、标准差；

7.根据权利要求6所述的用户异常行为检测方法，其特征是，所述均值、标准差、预设阈值的预设关系为：

d＝S+3×σ，

其中，

d为预设阈值；

S为历史数据集的均值；

σ为历史数据集的标准差。

8.一种用户异常行为检测***，其特征是，包括：

9.根据权利要求8所述的用户异常行为检测***，其特征是，所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。

10.根据权利要求9所述的用户异常行为检测***，其特征是，数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。

11.根据权利要求8所述的用户异常行为检测***，其特征是，采集单元还配置用于：

12.根据权利要求8所述的用户异常行为检测***，其特征是，深度自编码器模型的隐含层的节点个数不超过输入层的节点个数；和/或，

输入层和输出层的节点个数相同。

13.根据权利要求8-12任一所述的用户异常行为检测***，其特征是，深度自编码器还配置用于：

根据所述预设重建误差获取历史数据集的均值、标准差；

14.根据权利要求13所述的用户异常行为检测***，其特征是，所述均值、标准差、预设阈值的预设关系为：

d＝S+3×σ，

其中，

d为预设阈值；

S为历史数据集的均值；

σ为历史数据集的标准差。

15.一种设备，其特征是，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行如权利要求1-7中任一项所述的方法。

16.一种存储有计算机程序的计算机可读存储介质，其特征是，该程序被处理器执行时实现如权利要求1-7中任一项所述的方法。