【CN109842628A】一种异常行为检测方法及装置【专利】
- 格式:pdf
- 大小:706.88 KB
- 文档页数:15
(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号 (43)申请公布日 (21)申请号 201910150602.8(22)申请日 2019.02.28(66)本国优先权数据201811528545.4 2018.12.13 CN(71)申请人 成都亚信网络安全产业技术研究院有限公司地址 610213 四川省成都市天府新区华阳街道天府大道南段846号(72)发明人 魏文俊 蒋礼斌 梁波 (74)专利代理机构 北京中博世达专利商标代理有限公司 11274代理人 申健(51)Int.Cl.H04L 29/06(2006.01) (54)发明名称一种异常行为检测方法及装置(57)摘要本发明的实施例公开一种异常行为检测方法及装置,涉及网络安全技术领域,能够对用户的审计数据进行关联规则分析以及相似度挖掘,从而及时发现用户的异常行为。该方法包括:对获取的历史的审计数据进行数据类型变换生成第一数据;其中,审计数据包括用户通过客户端访问网络的至少一条操作记录,操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;对第一数据根据关联规则挖掘算法计算生成历史用户关联序列;将历史用户关联序列与获取的实时的审计数据进行相似度挖掘生成相似度分数,并将相似度分数与预设阈值比较,进而确定用户操作是否存在异常行为。
本发明实施例应用于网络系统。
权利要求书2页 说明书9页 附图3页CN 109842628 A2019.06.04
CN 109842628
A1.一种异常行为检测方法,其特征在于,包括:获取实时的审计数据以及预设时间段的历史的审计数据;其中,所述审计数据包括用户通过客户端访问网络的至少一条操作记录,所述操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;对所述历史的审计数据进行数据类型变换生成第一数据;对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列;将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数,并将所述相似度分数与预设阈值比较,确定用户操作是否存在异常行为。2.根据权利要求1所述的异常行为检测方法,其特征在于,所述对所述历史的审计数据进行数据类型变换生成第一数据,具体包括:将所述历史的审计数据转换为数字矩阵类型的所述第一数据。3.根据权利要求1所述的异常行为检测方法,其特征在于,所述对所述历史的审计数据进行数据类型变换生成第一数据之前,还包括:对所述历史的审计数据进行数据清洗;其中,所述数据清洗具体包括以下的一项或多项:将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。4.根据权利要求1所述的异常行为检测方法,其特征在于,所述将所述历史用户关联序列与所述实时的审计数据进行相似度挖掘生成相似度分数,具体包括:对所述历史关联序列与所述实时的审计数据根据莱文斯坦距离算法进行相似度挖掘生成相似度分数。5.一种异常行为检测装置,其特征在于,包括:获取单元,用于获取实时的审计数据以及预设时间段的历史的审计数据;其中,所述审计数据包括用户通过客户端访问网络的至少一条操作记录,所述操作记录包括但不限于以下的一项或多项:时间戳、客户端IP地址、目标网络IP地址以及操作类型;处理单元,用于对所述获取单元获取的所述历史的审计数据进行数据类型变换生成第一数据;所述处理单元,还用于对所述第一数据根据关联规则挖掘算法计算生成历史用户关联序列;所述处理单元,还用于将所述历史用户关联序列与所述获取单元获取的所述实时的审计数据进行相似度挖掘生成相似度分数,并将所述相似度分数与预设阈值比较,确定用户操作是否存在异常行为。6.根据权利要求5所述的异常行为检测装置,其特征在于,包括:所述处理单元,具体用于将所述获取单元获取的所述历史的审计数据转换为数字矩阵类型的所述第一数据。7.根据权利要求5所述的异常行为检测装置,其特征在于,包括:所述处理单元,还用于对所述获取单元获取的所述历史的审计数据进行数据清洗;其中,所述数据清洗具体包括以下的一项或多项:将所述时间戳转换为时间片段、删除异常IP地址、IP地址上报时异常前置英文字符删除以及shell命令截取首字符。8.根据权利要求5所述的异常行为检测装置,其特征在于,
包括:权 利 要 求 书1/2页
2CN 109842628 A