[发明专利]基于机器学习算法的用户网络异常行为发现方法及系统

权利要求书

1.基于机器学习算法的用户网络异常行为发现方法，其特征在于：其包括以下步骤：

1）采集网络流量数据，对所得到的网络流量数据进行深度包解析，获得用户网络访问行为数据；将用户网络访问行为数据匹配关联至每个用户，形成每个用户的行为轨迹 ；

2）对用户网络访问行为数据进行清洗、集成、变换和规约，得到历史预处理数据和实时预处理数据；

3）对历史预处理数据采用机器学习算法进行计算，得到与用户历史网络访问行为特征相对应的多个历史特征向量，并根据多个历史特征向量构建用户行为模式矩阵；

4）采用熵权法对用户行为模式矩阵进行计算，得到用户各历史特征向量的权重；

5）对实时预处理数据采用朴素贝叶斯算法进行计算，得到与用户当前网络访问行为特征相对应的多个实时特征向量；

6）将多个实时特征向量与用户各历史特征向量的权重进行加权计算，得到用户网络访问行为信任度评分，并采用熵权法对多个实时特征向量进行计算，以更新用户各历史特征向量的权重；

7）重复步骤5）和步骤6），以跟踪用户网络访问行为信任度评分变化，判断用户网络访问行为信任度评分是否降低至缺乏可信度，若是，则判定用户存在异常行为。

2.根据权利要求1所述的基于机器学习算法的用户网络异常行为发现方法，其特征在于：所述历史特征向量和实时特征向量均由单维度特征和多维度特征构成，所述单维度特征由用户网络访问行为的URL参数、源IP、时间和操作系统中的一种以上构成，所述多维度特征由用户网络访问行为的登录地与HOST的组合特征、HOST与延迟的组合特征、HOST与操作系统的组合特征、以及时间与登录地的组合特征中的一种以上构成。

3.根据权利要求1所述的基于机器学习算法的用户网络异常行为发现方法，其特征在于：步骤4）中采用熵权法对用户行为模式矩阵进行计算的方法是：通过熵权法将用户行为模式矩阵中的用户各历史特征向量纳入计算，获取不同特征值的混乱度，混乱度低的特征信息量更大，在综合评价中所起作用越大，则赋予该历史特征向量更高的权重。

4.基于机器学习算法的用户网络异常行为发现系统，其特征在于：其包括采集解析层、数据加工层、模型分析层和结果展示层；

所述采集解析层具有数据采集模块、解析模块和匹配模块，所述数据采集模块采集网络流量数据，解析模块对采集到的网络流量数据进行深度包解析，以获得用户网络访问行为数据，匹配模块将用户网络访问行为数据匹配关联至每个用户，形成每个用户的行为轨迹；

所述数据加工层具有数据类型转换模块、去噪模块、数据清洗模块和数据标准化模块，所述数据类型转换模块、去噪模块、数据清洗模块和数据标准化模块分别对数据进行清洗、集成、变换及规约，以得到历史预处理数据和实时预处理数据；

所述模型分析层具有大数据分析引擎，所述大数据分析引擎对历史预处理数据采用机器学习算法进行计算，得到与用户历史网络访问行为特征相对应的多个历史特征向量，并根据多个历史特征向量构建用户行为模式矩阵，采用熵权法对用户行为模式矩阵进行计算，得到用户各历史特征向量的权重，采用朴素贝叶斯算法对实时预处理数据进行计算，得到与用户当前网络访问行为特征相对应的多个实时特征向量，将多个实时特征向量与用户各历史特征向量的权重进行加权计算，得到用户网络访问行为信任度评分，并采用熵权法对多个实时特征向量进行计算，以更新用户各历史特征向量的权重；

所述结果展示层具有判断模块和显示模块，所述判断模块储存并跟踪用户网络访问行为信任度评分变化，并判断用户网络访问行为信任度评分是否降低缺乏可信度，若是，则判定用户存在异常行为，并将用户存在异常行为的信号发送给显示模块显示。

5.根据权利要求4所述的基于机器学习算法的用户网络异常行为发现系统，其特征在于：所述历史特征向量和实时特征向量均由单维度特征和多维度特征构成，所述单维度特征由用户网络访问行为的URL参数、源IP、时间和操作系统中的一种以上构成，所述多维度特征由用户网络访问行为的登录地与HOST的组合特征、HOST与延迟的组合特征、HOST与操作系统的组合特征、以及时间与登录地的组合特征中的一种以上构成。