[发明专利]一种基于长时间行为分析的VPN账号失陷智能检测模型

权利要求书

1.一种基于长时间行为分析的VPN账号失陷智能检测模型，其特征在于：包括如下检测流程：

步骤一、数据读取阶段：从大数据分布式存储系统读取汇总后的VPN账号登录数据；

步骤二、数据预处理阶段：对读取的数据进行数据清洗操作，包括按照字段名选取、按照时间范围选取、去空去重；

步骤三、特征工程阶段：利用数据预处理后的数据生成建立推测VPN账号失陷模型所需的多维特征：按照不同的字段进行分组统计，并对数据记录按照不同字段进行聚合统计；针对带有时序维度的特征，设定时窗大小，在每个时窗内，根据具体需求选取不同的字段进行分组和聚合统计计算生成多维特征；其中，所述多维特征包括：登录时间、登录地点、登录次数、登录频率、登录失败率；

步骤四、模型训练阶段：训练评分模型和常用列表模型，其中：训练常用列表模型时，通过循环神经网络RNN算法或强化学习的方式，通过对数个月长时间范围内的数据进行学习，形成每一个VPN账号的常用列表，以实现对VPN账号失陷风险的更准确判断；所述常用列表包括：常用登陆时间列表、常用登陆地点列表、常用登陆设备列表；

步骤五、模型预测阶段：使用训练好的模型，以及读取的VPN账号数据，预测其中存在不同风险程度的失陷VPN账号：在企业当天汇总的VPN账号行为相关数据中，先读取常用列表模型输出到数据库中的各VPN账号行为习惯的数据，在特征工程之后每个VPN账号的多维特征中过滤掉其对应常用列表中的数值实现进一步筛选特征值，然后使用评分模型对每一个VPN账号进行评分，并采用白名单策略，实现模型与前端界面的实时交互，最终输出的VPN账号即为检测出的具有高风险的失陷VPN账号。

2.根据权利要求1所述的一种基于长时间行为分析的VPN账号失陷智能检测模型，其特征在于：训练评分模型时，使用特征工程阶段生成的多维特征，结合VPN账号失陷的具体场景过程及涉及到的不同特征的取值特性，选取多个特征，分配不同的权重基础分值，并在每个特征下，针对特征值划分多个范围区间，不同的范围区间分配不同的系数，当被检测特征的值落到具体的某一范围区间时，此特征的权重基础分与系数的乘积，即为此特征维度所得的评分，然后将多个特征维度的评分相加，即得到针对不同场景进行评价的最终评分。

3.根据权利要求2所述的一种基于长时间行为分析的VPN账号失陷智能检测模型，其特征在于：针对VPN账号失陷的场景，选取的多维特征包括：登录失败的时间、登录失败的地点、登录失败的次数、登录失败的频率、多次登录失败后是否有发生登录成功的数据记录。