[发明专利]一种基于通信行为画像的代理使用者检测方法

权利要求书

1.一种基于通信行为画像的代理使用者检测方法，其特征在于，包括以下步骤：

步骤1：基于通信行为构建画像模型，包括建立标签体系和构建画像特征；

步骤1.1：分析需要解决的问题，确定画像对象以及采用的数据源信息；根据对画像对象进行深入的剖析筛选，确定能够抽象该对象的标签；采用数据挖掘方法采集标签可能用到的外源数据集构造标签数据集，确定每一项标签详细的标记规则；整合所有的标签，建立需要分析对象的标签体系；

步骤1.2：根据确定的标签体系对数据进行相关属性的提取；采用数据聚合分析方法统计每一类标签的表现结果；根据所有的标签分析结果构建画像特征；

步骤2：对输入的真实流量数据进行预处理；以指定时间窗口按照组织用户IP属性和时间属性对网络流量进行聚合，得到每一个用户的流量数据；

步骤3：发现可疑用户；基于流量数据提取指定时间窗口内用户的通信对象稳定性特征以及通信对象数量特征，通信对象稳定性是引入熵值计算方法，计算通信对象的{IP,Port}的信息熵判断通信对象的稳定性；然后基于阈值对上述两个特征进行过滤筛选得到疑似代理使用者的IP信息，存储这些IP的流量进行下一步检测；

步骤4：针对每一个疑似代理用户的网络流量进行机器学习检测分类，首先对流量数据预处理转换为画像模型的特征向量，随后输入至已经训练好的机器学习分类器中对用户的流量进行分类判定；对于流量判定结果满足阈值设定的IP标记为代理使用者IP。

2.如权利要求1所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，还包括步骤5：对标记为代理使用者的IP进行用户的溯源定位；根据得到的代理用户IP，在认证流量中依据上网时间和IP信息进行关联得到IP对应的用户标识码信息，根据此标识码对用户进行定位。

3.如权利要求2所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，还包括步骤6：存储检测结果；引入数据库作为存储介质，将所有检测结果存储至MySQL数据库中以便于管理员进行查看。

4.如权利要求1所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，所述步骤1.1中建立的标签体系为：

在通信对象层面上，包括通信对象位置、通信对象数量和通信对象稳定性三类标签；在通信数据流层面上，包括传输包长的稳定性、传输包数的稳定性、会话间隔的稳定性以及数据包的倾斜率，其中，数据包的倾斜率定义为在一定时间窗口内，主机所有NetFlow流中的包数与平均包长的比值。

5.如权利要求4所述的一种基于通信行为画像的代理使用者检测方法，其特征在于，所述步骤1.2中构建的画像特征为：

在通信对象层面上，包括域内外IP分布特征、通信对象数特征以及通信对象稳定性三个画像特征，在通信数据流层面上，包括包长的最大/最小/平均/标准差、包数的最大/最小/平均/标准差、会话时间间隔的最大/最小/平均/标准差以及包倾斜率画像特征。