本发明涉及网络安全技术领域,具体地说是一种基于融合机器学习算法的用户安全行为基线分析方法。
背景技术:
随着网络空间安全和大数据技术的发展,针对用户行为分析的安全分析平台开始步入高速发展阶段。如何在大量的数据中找到异常行为成为各厂家和平台研究的重点。用户行为基线异常分析是用户行为分析众多情境中的重要一环。
用户安全行为分析与电商平台等普通用户行为分析有本质的区别。针对用户行为的基线异常分析大多采用人工智能分析方法,如采用贝叶斯、线性回归等,该类算法都需要大量的训练样本,这些算法在消费领域得到了很好验证。但是用户安全行为分析则不同,在网络中尤其在某些敏感的内网中攻击样本极少,往往一年中也不会出现一次,做不到大量训练样本的积累,也不可能开展大数据集的智能训练。
技术实现要素:
本发明的目的在于提供一种基于融合机器学习算法的用户安全行为基线分析方法,用于解决传统用户行为的基线异常分析方法做不到大量训练样本的积累、开展大数据集的智能训练问题。
本发明解决其技术问题所采取的技术方案是:
一种基于融合机器学习算法的用户安全行为基线分析方法,该方法包括:
针对要监控的用户或设备建立行为特征矩阵;
建立基于时间维度的二维特征矩阵;
定位行为基线异常的用户或设备;
对行为异常的用户或设备抽取时间维度的特征向量;
定位发生基线异常的时间。
在第一种可能实现的方式中,特征矩阵包括:ui=[s1s2s3…sn],式中,ui表示要监控的用户或设备i,si={s}表示用户或设备i的一个监控指标的特征值。
在第二种可能实现的方式中,建立基于时间维度的二维特征矩阵包括在用户行为特征矩阵ui=[s1s2s3…sn]的基础上增加时间维度的标签形成基于时间维度的特征二维矩阵:
在第三种可能实现的方式中,定位行为基线异常的用户或设备包括:
利用k-means算法对所有的
如果“用户-分组”或者“设备-分组”的群组发生群组变化,认为发生变化的用户或者设备的风险提升,则定位到发生异常行为的用户或设备。
在第四种可能实现的方式中,对行为异常的用户或设备抽取时间维度的特征向量包括:
针对定位为异常的用户或设备
在第五种可能实现的方式中,定位发生基线异常的时间包括:
使用核密度函数对
获取同一指标在不同时间段的概率分布曲线;
该概率曲线的最低值所对应的数据,或该数据附近的数据出现的时间点为出现基线异常的时间点。
由以上方案可知,本发明基于融合机器学习算法,从行为特征和行为发生频度两个方面对用户行为的安全性进行异常匹配,从而判断用户的行为是否威胁到网络安全或存在渗透攻击的可能。
本发明在使用过程中不需要对大规模有差别数据进行提前归类和数据阈值预设,通过对数据中的用户行为特征数据聚类分析,从而动态的找出在同类数据源中的异常数据。
通过该方法进行无监督的机器学习能应对安全领域数据样本较少的数据分析场景,通过自动聚类计算出差别数据中的异常对象,针对每一个异常对象定位出现异常的时间。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种基于融合机器学习算法的用户安全行为基线分析方法流程示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,一种基于融合机器学习算法的用户安全行为基线分析方法,该方法包括:
a1、针对要监控的用户或设备建立行为特征矩阵;
a2、建立基于时间维度的二维特征矩阵;
a3、定位行为基线异常的用户或设备;
a4、对行为异常的用户或设备抽取时间维度的特征向量;
a5、定位发生基线异常的时间。
特征矩阵包括:ui=[s1s2s3…sn],式中,ui表示要监控的用户或设备i,si={s}表示用户或设备i的一个监控指标的特征值。
如:s1表示存在打印doc文档;s2表示存在打印pdf文档;s3表示存在打印ppt文档;s4表示存在登录oa系统;s5表示存在管理员登录行为;s6表示存在审计员登录行为;s7表示存在ssh远程访问行为;s8表示存在远程数据库访问行为;s9表示存在光盘刻录doc文档;s10表示存在光盘刻录pdf文档;s11表示存在光盘刻录ppt文档;s12表示存在光盘刻录可执行文件;s13表示存在移动介质使用情况;s14表示存在snmp访问行为;s15表示存在445端口访问行为等等,在此不一一列举。
步骤a2中建立基于时间维度的二维特征矩阵包括在用户行为特征矩阵ui=[s1s2s3…sn]的基础上增加时间维度的标签形成基于时间维度的特征二维矩阵:
步骤a3中定位行为基线异常的用户或设备包括:
利用k-means算法对所有的
如果“用户-分组”或者“设备-分组”的群组发生群组变化,认为发生变化的用户或者设备的风险提升,则定位到发生异常行为的用户或设备。
步骤a4中,对行为异常的用户或设备抽取时间维度的特征向量包括:
针对定位为异常的用户或设备
步骤a5中,定位发生基线异常的时间包括:
使用核密度函数对
获取同一指标在不同时间段的概率分布曲线;
该概率曲线的最低值所对应的数据,或该数据附近的数据出现的时间点为出现基线异常的时间点。
数据出现的概率在一定分布的情况下如果某一个最高值在观察中出现了,可以认为这个数的概率密度很大,和这个数比较近的数的概率密度也会比较大,而那些离这个数远的数的概率密度会比较小。对于出现概率比较小的数据出现的时间点就可以认定为出现异常的时间点。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
1.一种基于融合机器学习算法的用户安全行为基线分析方法,其特征是,该方法包括:
针对要监控的用户或设备建立行为特征矩阵;
建立基于时间维度的二维特征矩阵;
定位行为基线异常的用户或设备;
对行为异常的用户或设备抽取时间维度的特征向量;
定位发生基线异常的时间。
2.根据权利要求1所述的方法,其特征是,特征矩阵包括:ui=[s1s2s3…sn],式中,ui表示要监控的用户或设备i,si={s}表示用户或设备i的一个监控指标的特征值。
3.根据权利要求2所述的方法,其特征是,建立基于时间维度的二维特征矩阵包括在用户行为特征矩阵ui=[s1s2s3…sn]的基础上增加时间维度的标签形成基于时间维度的特征二维矩阵:
4.根据权利要求3所述的方法,其特征是,定位行为基线异常的用户或设备包括:
利用k-means算法对所有的
如果“用户-分组”或者“设备-分组”的群组发生群组变化,认为发生变化的用户或者设备的风险提升,则定位到发生异常行为的用户或设备。
5.根据权利要求4所述的方法,其特征是,对行为异常的用户或设备抽取时间维度的特征向量包括:
针对定位为异常的用户或设备
6.根据权利要求5所述的方法,其特征是,定位发生基线异常的时间包括:
使用核密度函数对
获取同一指标在不同时间段的概率分布曲线;
该概率曲线的最低值所对应的数据,或该数据附近的数据出现的时间点为出现基线异常的时间点。
技术总结