[发明专利]基于集成学习的异常用户检测方法及系统

说明书

本发明提供了一种基于集成学习的异常用户检测方法及系统，涉及网络安全的技术领域，包括采集用户的待检测行为信息，其中，待检测行为信息包括至少一个行为特征信息；将行为特征信息，以及与行为特征信息对应的预设特征基线进行比对，得到比对结果；根据比对结果从待检测行为信息中提取异常行为信息，并将存在异常行为信息的用户确定为疑似异常用户；最后利用预设集成学习模型对疑似异常用户进行评分，将评分结果达到预设分数的疑似异常用户确定为异常用户。本发明以用户为核心对象建立检测系统，基于预设集成学习模型可以准确定位异常用户，及时发现内部威胁，进而及时终止内部威胁，杜绝信息泄露。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种基于集成学习的异常用户检测方法及系统。

背景技术

随着互联网技术的日益发展，我国在大数据战略层面的深化推动，数据采集终端越来越多，收录种类越来越丰富，数据已经成为企业核心的资产之一。在数据价值受到高度重视的同时，企业面临的各种针对数据安全威胁的问题也愈发严重，信息安全保障逐渐聚焦为数据的安全保障。

通常情况下，外部攻击种类繁多、持续高频，企业习惯于将资源布置于构筑安全防护堡垒以抵御来自外部的进攻，然而除了外部的黑客攻击，内部人员参与信息贩卖、共享第三方的违规泄露事件也层出不穷。

对于已经意识到问题紧迫性的企业而言，使用传统的安全技术并未能帮助他们有效地解决来自内部的安全问题。原因在于传统方法多为分散的、事后的、缺少针对性。

发明内容

本发明的目的在于提供一种基于集成学习的异常用户检测方法及系统，可以及时发现内部人员参与信息贩卖、共享第三方的违规泄露事件，避免财产损失。

本发明提供的一种基于集成学习的异常用户检测方法，其中，包括：采集用户的待检测行为信息，其中，所述待检测行为信息包括至少一个行为特征信息；将所述行为特征信息，以及与所述行为特征信息对应的预设特征基线进行比对，得到比对结果；根据所述比对结果从所述待检测行为信息中提取异常行为信息，并将存在所述异常行为信息的用户确定为疑似异常用户；利用预设集成学习模型对所述疑似异常用户进行评分，将评分结果达到预设分数的疑似异常用户确定为异常用户。

进一步的，所述预设特征基线由所述用户所属的用户组确定；或，所述预设特征基线由所述用户的历史信息确定。

进一步的，所述预设集成学习模型为至少两种检测算法的融合；所述利用预设集成学习模型对所述疑似异常用户进行评分包括：确定所述至少两种检测算法和每种所述检测算法的权重；分别利用所述至少两种检测算法对所述疑似异常用户进行评分，得到至少两个异常分值；基于所述权重，将所述至少两个异常分值进行融合，得到评分结果。

进一步的，所述检测算法包括：孤立森林算法、One class SVM、局部异常因子算法。

进一步的，方法还包括：采集所述用户的身份信息、实体信息；基于所述待检测行为信息，将所述身份信息和所述实体信息进行关联，还原所述用户的网络会话。

本发明提供的一种基于集成学习的异常用户检测系统，其中，包括：第一采集模块，用于采集用户的待检测行为信息，其中，所述待检测行为信息包括至少一个行为特征信息；比对模块，用于将所述行为特征信息，以及与所述行为特征信息对应的预设特征基线进行比对，得到比对结果；提取模块，用于根据所述比对结果从所述待检测行为信息中提取异常行为信息，并将存在所述异常行为信息的用户确定为疑似异常用户；评分模块，用于利用预设集成学习模型对所述疑似异常用户进行评分，将评分结果达到预设分数的疑似异常用户确定为异常用户。

进一步的，所述预设集成学习模型为至少两种检测算法的融合；所述评分模块包括：确定单元，用于确定所述至少两种检测算法和每种所述检测算法的权重；评分单元，用于分别利用所述至少两种检测算法对所述疑似异常用户进行评分，得到至少两个异常分值；融合单元，用于基于所述权重，将所述至少两个异常分值进行融合，得到评分结果。