CN109145595A - 一种用户异常行为检测***、方法、设备及存储介质 - Google Patents
一种用户异常行为检测***、方法、设备及存储介质 Download PDFInfo
- Publication number
- CN109145595A CN109145595A CN201810856594.4A CN201810856594A CN109145595A CN 109145595 A CN109145595 A CN 109145595A CN 201810856594 A CN201810856594 A CN 201810856594A CN 109145595 A CN109145595 A CN 109145595A
- Authority
- CN
- China
- Prior art keywords
- user
- data set
- operation behavior
- encoding encoder
- depth self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种用户异常行为检测***、方法、设备及存储介质。采集用户当前操作行为进行聚合形成用户当前的测试数据集;将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。本发明通过用户多操作行为聚合解决单一操作行为误报;基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型,进行用户异常行为的识别,提高了用户操作行为异常检测的效率和准确率。
Description
技术领域
本发明涉及数据挖掘领域,尤其涉及一种用户异常行为检测***、方法、设备及存储介质。
背景技术
目前用户异常行为检测通常基于单一行为进行分析,不能很好地反映用户真实的行为,在实际的应用中产生大量的假报警,导致调查人员花费过多的调查时间,也不能较好地覆盖真正异常事件;目前常见用户异常行为检测大部分都需要人工提取特征,特征提取难度较大;而且检测的细粒度不够,未能较好地考虑用户自身行为以及用户所在群体的行为。
发明内容
为了解决上述技术问题,本发明的目的在于提供一种用户异常行为检测方法、***及设备。
根据本发明的一个方面,提供了一种用户异常行为检测方法,包括以下步骤:
采集用户当前操作行为进行聚合形成用户当前的测试数据集;
将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。
进一步的,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
进一步的,数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
进一步的,用户当前测试数据集或历史数据集的获取包括:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
进一步的,深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
进一步的,预设阈值的获取,包括:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
所述均值、标准差、预设阈值的预设关系为:
d=S+3×σ,
其中,
d为预设阈值;
S为历史数据集的均值;
σ为历史数据集的标准差。
根据本发明的另一个方面,提供了一种用户异常行为检测***,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;
检测单元,配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,
其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值。
进一步的,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
采集单元还配置用于:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
深度自编码器还配置用于:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
所述均值、标准差、预设阈值的预设关系为:
d=S+3×σ,
其中,
d为预设阈值;
S为历史数据集的均值;
σ为历史数据集的标准差。
根据本发明的另一个方面,提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
根据本发明的另一个方面,提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上任一项所述的方法。
与现有技术相比,本发明具有以下有益效果:
1、本发明示例的用户异常行为检测方法,采集用户当前操作行为进行聚合形成用户当前的测试数据集;将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。本发明通过用户多操作行为聚合解决单一操作行为误报;使用深度学习进行特征提取解决人工提取特征的痛点;基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型,进行用户异常行为的识别,提高了用户操作行为异常检测的效率和准确率。
2、本发明示例的用户异常行为检测***,采集单元配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;检测单元配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值。各单元相互配合协作,共同基于用户所在群体的正常行为为基础使用深度自编码器模型建立白模型,进行用户异常行为的识别,大大提高了用户操作行为异常检测的效率和准确率,且结构简单,便于后期维护。
3、本发明示例的登录异常检测设备、通过存储有计算机程序的计算机可读介质,便于用户异常行为检测技术的推广。
附图说明
图1为本发明流程图;
图2为实施例一深度自编码器模型的结构示意图。
具体实施方式
为了更好的了解本发明的技术方案,下面结合具体实施例、说明书附图对本发明作进一步说明。
实施例一:
本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前的测试数据集。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
S2、将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。
深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
用户当前测试数据集或历史数据集的获取包括:
(1)统计预设周期内用户当前或历史的操作行为各自出现的次数;
(2)根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
预设阈值的获取,包括:
(1)将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
(2)根据所述预设重建误差获取历史数据集的均值、标准差;
(3)根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
进一步,预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
上述用户异常行为检测方法具体步骤为:
S1、数据处理
S11、数据获取:
获取半年至一年用户所在群体(可定义的范围为同岗位、同部门或同小组)每个用户每天多种操作行为的正常数据,操作行为数据例如:登录行为、操作行为、邮件外发行为、移动存储设备数据拷出行为(如 u盘数据拷出行为)等N种,行为数据选定与具体需要检测的场景相关,一般应包括登录、操作以及数据外发行为。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户数据,形成数据集D,其中D中的每个样例都是有N中行为组成的数据;
S12、数据清洗:针对每种行为,进行如下处理:如一天内以a小时为单位,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时区间内外发的数据大小),否则记为0。例如a=1, 则以1个小时为单位进行数据聚合,用户在某天12点内有使用过***一次,其余时间没有,则记为000000000010000000000000),例如:
表1:用户操作行为记录
用户1 | 0 | … | 9 | … | 12 | … | 23 |
登录次数 | 0 | 0 | 0 | 1 | 0 | 0 | |
操作数据量 | 0 | 0 | 100 | 0 | 1 | 0 | |
… | 0 | 0 | 0 | 0 | 5 | 0 | |
外发的数据量 | 0 | 0 | 80 | 0 | 0 | 0 |
将N*24/a维的数据,展开为1*(N*24/a)的向量形式。因此,数据集D
中的每个样例的维数为n(n=N*24/a),具体表示如下:
S2、模型建立
S21、深度自编码器模型结构设定:构建一个输入层和输出层的节点个数为n、L个隐含层的深度自编码器模型,其中,L为整数,隐含层的节点个数一般不超过输入层的节点个数(注:图2为含3个隐含层的深度自编码器)。
S22、模型训练:使用数据集D作为输入训练深度自编码器模型,得到优化好的深度自编码器模型。
S3、模型应用
S31、数据向量化。将每个测试数据按同样的方式进行向量化:
一天内以a小时为单位,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时内外发的数据大小),否则记为0,与训练数据构成维度保持一致;
展开为1*(N*24/a)的向量形式。
S32、数据应用:计算测试数据在训练好的深度自编码器模型的重建误差,选择合适的阈值d进行异常识别。若测试数据的重建误差超出阈值d,则可判断该用户行为异常,反之正常。阈值d的选取方式如下:计算数据集D在训练好的深度自编码器模型的重建误差,根据数据集D的重建误差,计算它们的均值S和标准差σ,故阈值d的取值为 d=S+3×σ。
本实施例提供了一种用户异常行为检测***,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;还配置用于:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集;
检测单元,配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,
其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值,深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,输入层和输出层的节点个数相同。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
上述深度自编码器还配置用于:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
所述预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上任一项所述的方法。
实施例二
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前的测试数据集。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
S2、将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。
深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
用户当前测试数据集或历史数据集的获取包括:
(1)统计预设周期内用户当前或历史的操作行为各自出现的次数;
(2)根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
预设阈值的获取,包括:
(1)将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
(2)根据所述预设重建误差获取历史数据集的均值、标准差;
(3)根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
进一步,预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
本实施例提供了一种用户异常行为检测***,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;还配置用于:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集;
检测单元,配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,
其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值,深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,输入层和输出层的节点个数相同。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
上述深度自编码器还配置用于:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
所述预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介
质,该程序被处理器执行时实现如上任一项所述的方法。
实施例三:
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前的测试数据集。
所述操作行为包括登录行为、查询行为、数据外发行为。
数据外发行为包括邮件外发行为、移动存储设备数据拷出行为。
S2、将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。
深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;
输入层和输出层的节点个数相同。
用户当前测试数据集或历史数据集的获取包括:
(1)统计预设周期内用户当前或历史的操作行为各自出现的次数;
(2)根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
预设阈值的获取,包括:
(1)将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
(2)根据所述预设重建误差获取历史数据集的均值、标准差;
(3)根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
进一步,预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
上述用户异常行为检测方法具体步骤为:
S1、数据处理
S11、数据获取:
获取半年用户所在群体(可定义的范围为同岗位、同部门或同小组) 每个用户每天多种操作行为的正常数据,操作行为数据例如:登录行为、操作行为、邮件外发行为、移动存储设备数据拷出行为(如u盘数据拷出行为)等N种,行为数据选定与具体需要检测的场景相关,一般应包括登录、操作以及数据外发行为。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户数据,形成数据集D,其中D中的每个样例都是有N中行为组成的数据;
S12、数据清洗:针对每种行为,进行如下处理:如一天内以a小时为单位,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时区间内外发的数据大小),否则记为0。例如a=0.5, 则以0.5小时为单位进行数据聚合,用户在某天12:00-12:30点内有使用过***一次,其余时间没有。
将N*24/a维的数据,展开为1*(N*24/a)的向量形式。因此,数据集D中的每个样例的维数为n(n=N*24/a)。
S2、模型建立
S21、深度自编码器模型结构设定:构建一个输入层和输出层的节点个数为n、L个隐含层的深度自编码器模型,其中,L为整数,如L为3,隐含层的节点个数一般不超过输入层的节点个数。
S22、模型训练:使用数据集D作为输入训练深度自编码器模型,得到优化好的深度自编码器模型。
S3、模型应用
S31、数据向量化。将每个测试数据按同样的方式进行向量化:
一天内以a小时为单位,若在0.5小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该0.5小时内,外发的数据大小),否则记为0,与训练数据构成维度保持一致;
展开为1*(N*24/a)的向量形式。
S32、数据应用:计算测试数据在训练好的深度自编码器模型的重建误差,选择合适的阈值d进行异常识别。若测试数据的重建误差超出阈值d,则可判断该用户行为异常,反之正常。阈值d的选取方式如下:计算数据集D在训练好的深度自编码器模型的重建误差,根据数据集D的重建误差,计算它们的均值S和标准差σ,故阈值d的取值为 d=S+3×σ。
本实施例提供了一种用户异常行为检测***,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;还配置用于:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集;
检测单元,配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,
其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值,深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;输入层和输出层的节点个数相同。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和移动存储设备数据拷出行为。
上述深度自编码器还配置用于:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
所述预设阈值d满足:
d=S+3×σ,
其中,
S为历史数据集的均值;
σ为历史数据集的标准差。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介
质,该程序被处理器执行时实现如上任一项所述的方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于) 具有类似功能。
Claims (16)
1.一种用户异常行为检测方法,其特征是,包括以下步骤:
采集用户当前操作行为进行聚合形成用户当前的测试数据集;
将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,其中,优化的深度自编码器模型为将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练所得,预设阈值为所述历史数据集输入所述优化的深度自编码器模型所得。
2.根据权利要求1所述的用户异常行为检测方法,其特征是,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
3.根据权利要求2所述的用户异常行为检测方法,其特征是,数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
4.根据权利要求1所述的用户异常行为检测方法,其特征是,用户当前测试数据集或历史数据集的获取包括:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
5.根据权利要求1所述的用户异常行为检测方法,其特征是,
深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
6.根据权利要求1-5任一所述的用户异常行为检测方法,其特征是,预设阈值的获取,包括:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
7.根据权利要求6所述的用户异常行为检测方法,其特征是,所述均值、标准差、预设阈值的预设关系为:
d=S+3×σ,
其中,
d为预设阈值;
S为历史数据集的均值;
σ为历史数据集的标准差。
8.一种用户异常行为检测***,其特征是,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试数据集;
检测单元,配置用于将用户当前的测试数据集输入优化的深度自编码器模型中得重建误差,将所述重建误差与预设阈值进行比较,检测用户的当前操作行为是否存在异常,
其中,检测单元信号连接深度自编码器,所述深度自编码器配置用于将采集用户的历史操作行为聚合形成的历史数据集输入深度自编码器模型训练得优化的深度自编码器模型,并将所述历史数据集输入所述优化的深度自编码器模型得预设阈值。
9.根据权利要求8所述的用户异常行为检测***,其特征是,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
10.根据权利要求9所述的用户异常行为检测***,其特征是,数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
11.根据权利要求8所述的用户异常行为检测***,其特征是,采集单元还配置用于:
统计预设周期内用户当前或历史的操作行为各自出现的次数;
根据所述操作行为的次数得各操作行为各自在所述预设周期内的出现概率;
根据操作行为个数及各操作行为各自在所述预设周期内的出现概率确定每个数据在数据集中的维数,并形成用户当前测试数据集或历史数据集。
12.根据权利要求8所述的用户异常行为检测***,其特征是,深度自编码器模型的隐含层的节点个数不超过输入层的节点个数;和/或,
输入层和输出层的节点个数相同。
13.根据权利要求8-12任一所述的用户异常行为检测***,其特征是,深度自编码器还配置用于:
将所述历史数据集输入所述优化的深度自编码器模型得预设重建误差;
根据所述预设重建误差获取历史数据集的均值、标准差;
根据所述均值、标准差及所述均值、标准差、预设阈值的预设关系得预设阈值。
14.根据权利要求13所述的用户异常行为检测***,其特征是,所述均值、标准差、预设阈值的预设关系为:
d=S+3×σ,
其中,
d为预设阈值;
S为历史数据集的均值;
σ为历史数据集的标准差。
15.一种设备,其特征是,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1-7中任一项所述的方法。
16.一种存储有计算机程序的计算机可读存储介质,其特征是,该程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810856594.4A CN109145595A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测***、方法、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810856594.4A CN109145595A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测***、方法、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109145595A true CN109145595A (zh) | 2019-01-04 |
Family
ID=64798541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810856594.4A Pending CN109145595A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测***、方法、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109145595A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110414989A (zh) * | 2019-07-29 | 2019-11-05 | 中国工商银行股份有限公司 | 异常检测方法及装置、电子设备和计算机可读存储介质 |
CN110765461A (zh) * | 2019-11-08 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种设备检修过程的安全防护方法及装置 |
CN111241688A (zh) * | 2020-01-15 | 2020-06-05 | 北京百度网讯科技有限公司 | 复合生产工艺过程监控方法及装置 |
CN111476177A (zh) * | 2020-04-10 | 2020-07-31 | 科航(苏州)信息科技有限公司 | 嫌疑人检测方法及装置 |
CN111737688A (zh) * | 2020-06-08 | 2020-10-02 | 上海交通大学 | 基于用户画像的攻击防御*** |
CN112202625A (zh) * | 2019-07-08 | 2021-01-08 | ***通信集团浙江有限公司 | 网元异常诊断方法、装置、计算设备及计算机存储介质 |
CN112347457A (zh) * | 2019-08-06 | 2021-02-09 | 上海晶赞融宣科技有限公司 | 异常账户检测方法、装置、计算机设备和存储介质 |
CN113051552A (zh) * | 2019-12-27 | 2021-06-29 | 北京国双科技有限公司 | 一种异常行为检测方法和装置 |
CN113807527A (zh) * | 2020-06-11 | 2021-12-17 | 华硕电脑股份有限公司 | 信号检测方法及使用其的电子装置 |
CN113807396B (zh) * | 2021-08-12 | 2023-07-18 | 华南理工大学 | 一种物联网高维数据异常检测方法、***、装置及介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170139794A1 (en) * | 2014-05-16 | 2017-05-18 | Nec Corporation | Information processing device, analysis method, and recording medium |
CN107196953A (zh) * | 2017-06-14 | 2017-09-22 | 上海丁牛信息科技有限公司 | 一种基于用户行为分析的异常行为检测方法 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向***日志的基线构建与未知异常行为检测方法 |
CN107612938A (zh) * | 2017-10-27 | 2018-01-19 | 朱秋华 | 一种网络用户异常行为检测方法、装置、设备及存储介质 |
CN108287782A (zh) * | 2017-06-05 | 2018-07-17 | 中兴通讯股份有限公司 | 一种多维数据异常检测方法及装置 |
-
2018
- 2018-07-31 CN CN201810856594.4A patent/CN109145595A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170139794A1 (en) * | 2014-05-16 | 2017-05-18 | Nec Corporation | Information processing device, analysis method, and recording medium |
CN108287782A (zh) * | 2017-06-05 | 2018-07-17 | 中兴通讯股份有限公司 | 一种多维数据异常检测方法及装置 |
CN107196953A (zh) * | 2017-06-14 | 2017-09-22 | 上海丁牛信息科技有限公司 | 一种基于用户行为分析的异常行为检测方法 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向***日志的基线构建与未知异常行为检测方法 |
CN107612938A (zh) * | 2017-10-27 | 2018-01-19 | 朱秋华 | 一种网络用户异常行为检测方法、装置、设备及存储介质 |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112202625B (zh) * | 2019-07-08 | 2023-08-15 | ***通信集团浙江有限公司 | 网元异常诊断方法、装置、计算设备及计算机存储介质 |
CN112202625A (zh) * | 2019-07-08 | 2021-01-08 | ***通信集团浙江有限公司 | 网元异常诊断方法、装置、计算设备及计算机存储介质 |
CN110414989A (zh) * | 2019-07-29 | 2019-11-05 | 中国工商银行股份有限公司 | 异常检测方法及装置、电子设备和计算机可读存储介质 |
CN112347457A (zh) * | 2019-08-06 | 2021-02-09 | 上海晶赞融宣科技有限公司 | 异常账户检测方法、装置、计算机设备和存储介质 |
CN110765461A (zh) * | 2019-11-08 | 2020-02-07 | 杭州安恒信息技术股份有限公司 | 一种设备检修过程的安全防护方法及装置 |
CN113051552A (zh) * | 2019-12-27 | 2021-06-29 | 北京国双科技有限公司 | 一种异常行为检测方法和装置 |
CN111241688A (zh) * | 2020-01-15 | 2020-06-05 | 北京百度网讯科技有限公司 | 复合生产工艺过程监控方法及装置 |
CN111241688B (zh) * | 2020-01-15 | 2023-08-25 | 北京百度网讯科技有限公司 | 复合生产工艺过程监控方法及装置 |
CN111476177A (zh) * | 2020-04-10 | 2020-07-31 | 科航(苏州)信息科技有限公司 | 嫌疑人检测方法及装置 |
CN111476177B (zh) * | 2020-04-10 | 2023-08-18 | 科航(苏州)信息科技有限公司 | 嫌疑人检测方法及装置 |
CN111737688A (zh) * | 2020-06-08 | 2020-10-02 | 上海交通大学 | 基于用户画像的攻击防御*** |
CN111737688B (zh) * | 2020-06-08 | 2023-10-20 | 上海交通大学 | 基于用户画像的攻击防御*** |
CN113807527A (zh) * | 2020-06-11 | 2021-12-17 | 华硕电脑股份有限公司 | 信号检测方法及使用其的电子装置 |
CN113807396B (zh) * | 2021-08-12 | 2023-07-18 | 华南理工大学 | 一种物联网高维数据异常检测方法、***、装置及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109145595A (zh) | 一种用户异常行为检测***、方法、设备及存储介质 | |
CN108737406B (zh) | 一种异常流量数据的检测方法及*** | |
CN112987675B (zh) | 一种异常检测的方法、装置、计算机设备和介质 | |
CN109302410B (zh) | 一种内部用户异常行为检测方法、***及计算机存储介质 | |
CN106384092B (zh) | 面向监控场景的在线低秩异常视频事件检测方法 | |
CN107784276B (zh) | 微震事件识别方法和装置 | |
WO2016029570A1 (zh) | 一种面向电网调度的智能告警分析方法 | |
CN109902564B (zh) | 一种基于结构相似性稀疏自编码网络的异常事件检测方法 | |
CN106104496A (zh) | 用于任意时序的不受监督的异常检测 | |
CN112766429B (zh) | 一种异常检测的方法、装置、计算机设备和介质 | |
CN109635010B (zh) | 一种用户特征及特征因子抽取、查询方法和*** | |
CN110336838B (zh) | 账号异常检测方法、装置、终端及存储介质 | |
CN112306982A (zh) | 异常用户检测方法、装置、计算设备及存储介质 | |
CN105262715A (zh) | 一种基于模糊时序关联模式的异常用户检测方法 | |
CN111949480A (zh) | 一种基于组件感知的日志异常检测方法 | |
CN113553577B (zh) | 基于超球面变分自动编码器的未知用户恶意行为检测方法及*** | |
Li et al. | A self‐exciting marked point process model for drought analysis | |
CN114003900A (zh) | 变电站二次***网络入侵检测方法、装置及*** | |
CN117195044A (zh) | 故障分析方法、装置、计算机设备、存储介质和程序产品 | |
CN108376125A (zh) | 地震烈度评估方法及装置 | |
CN109507697B (zh) | 一种新的gnss时间序列中异常值精确识别方法 | |
CN111209567B (zh) | 提高检测模型鲁棒性的可知性判断方法及装置 | |
CN112866257B (zh) | 一种域名检测方法、***及装置 | |
CN114861163A (zh) | 异常帐号的识别方法、装置、设备、存储介质及程序产品 | |
CN107862036B (zh) | 一种基于遗传算法的岸桥载荷状态检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |
|
RJ01 | Rejection of invention patent application after publication |