[发明专利]一种基于用户行为分析的异常行为检测方法

权利要求书

1.一种基于用户行为分析的异常行为检测方法，其特征在于，该方法包括如下步骤；

第一步，设定初始的用于用户行为数据采集的时间滑动窗口参数，并基于该设定的时间滑动窗口参数对用户行为数据进行实时采集，通过多维数组来表示该用户行为数据；

第二步，构建标准用户行为样本库，包括标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库；其中标准恶意用户行为样本库中保存有多条且标准的用于表征用户行为属于恶意行为的用户行为数据，标准正常用户行为样本库保存有多条且标准的用于表征用户行为属于正常行为的用户行为数据，可疑用户行为样本库保存有多条用于表征用户行为属于可疑行为的用户行为数据；

第三步，以标准用户行为样本库构建多角度行为分析模型；

第四步，将所采集的用户行为数据输入到所构建的多角度行为分析模型中，得出分析结论值数组；

第五步，基于分析结论值数组计算得到分析可信度值，将分析可信度值与使用者预先设定的可接受置信度值进行比较得到比较结果，当该比较结果表明本次分析不可信时选择执行反馈调整以及重测的步骤，包括反馈调整时间滑动窗口参数以重新采集用户行为数据，再次执行步骤一至步骤四，当该比较结果表明本次分析可信时根据该比较结果给出当前实时采集的用户行为数据的分析结果；

多角度行为分析模型包括基于马氏距离的多角度行为分析模型以及基于孤立森林的多角度行为分析模型；在所述基于马氏距离的多角度行为分析模型中通过分别计算当前实时采集的用户行为数据与标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库中的样本之间的马氏距离，来获得该包括了异常概率值、正常概率值以及可疑概率值的分析结论值数组；

在所述基于马氏距离的多角度行为分析模型中选取异常概率值、正常概率值以及可疑概率值中的最小者，分别计算该最小者与其他两个数值的比值，并将这两个比值作为分析可信度值，仅当这两个比值均小于使用者预先设定的可接受置信度值时，认定本分析结果可信；否则，认定本分析结果不可信；

在所述基于孤立森林的多角度行为分析模型中通过标准恶意用户行为样本库、标准正常用户行为样本库以及可疑用户行为样本库分别构建出恶意行为森林、正常行为森林以及可疑行为森林，并分别计算当前实时采集的用户行为数据在恶意行为森林、正常行为森林以及可疑行为森林中的从根节点到该用户行为数据所处在的叶节点的平均路径距离，基于该平均路径距离来获得该包括了异常概率值、正常概率值以及可疑概率值的分析结论值数组；在所述基于孤立森林的多角度行为分析模型中选取异常概率值、正常概率值以及可疑概率值中的最大者，分别计算该最大者与其他两个数值的比值，并将这两个比值作为分析可信度值，仅当这两个比值均大于使用者预先设定的可接受置信度值时，认定本分析结果可信；否则，认定本分析结果不可信。

2.根据权利要求1所述的基于用户行为分析的异常行为检测方法，其特征在于：所述的时间滑动窗口参数包括时间滑动窗口的长度以及数据采集基本时间元的间隔，且对时间滑动窗口参数进行反馈调整时可以调整该时间滑动窗口长度及数据采集基本时间元间隔二者中至少之一。

3.根据权利要求1所述的基于用户行为分析的异常行为检测方法，其特征在于：所述分析结论值数组包括有异常概率值、正常概率值以及可疑概率值，其中的异常概率值表征当前实时采集的用户行为数据与标准恶意用户行为样本库中的样本间的相似程度，正常概率值表征当前实时采集的用户行为数据与标准正常用户行为样本库中的样本间的相似程度，可疑概率值表征当前实时采集的用户行为数据与可疑用户行为样本库中的样本间的相似程度。