[发明专利]一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质

权利要求书

1.一种基于时间图算法的企业网数据异常检测方法，其特征在于，包括以下步骤：

S1:收集用户访问数据资源的网络信息，根据网络信息构建时间有向图，并将时间有向图可视化；

S2:使用滑动时间窗口分割用户访问数据的时间图，构建一系列(t＝1、2......T)的表示用户间关系的无向加权图G_t(V，E)；

S3:通过用户间关系的无向加权图G_t(V，E)，并递归邻居节点的层数K，通过图节点结构特征提取算法获得图节点特征矩阵NF_n*f；

S4:根据图节点特征矩阵NF_n*f内的节点结构特征，计算每个节点的在图中的角色，用非负矩阵分解算法从图节点特征矩阵NF_n*f中获得角色特征矩阵RF_r*f；

S5:根据图节点结构特征矩阵NF_n*f和角色特征矩阵RF_r*f，计算出节点角色矩阵NR_n*r；

S6:进行全局异常分析，计算在对应时间点的具体用户的角色变化引起的异常。

2.根据权利要求1所述的一种基于时间图算法的企业网数据异常检测方法，其特征在于：所述步骤S1的具体步骤为：

S101:将网络探针部署在网络汇聚层，监听并收集用户访问数据资源的网络信息；

S102:提取网络信息日志的时间、用户、资源和事件四元组，构建以用户和资源为节点，事件为边的时间有向图；

S103:将时间有向图可视化。

3.根据权利要求2所述的一种基于时间图算法的企业网数据异常检测方法，其特征在于：所述步骤S101中对于应用服务器和软件即服务平台，收集的网络信息包括时间、用户账号、用户IP、事件、资源URL和应用名；对于文件服务器，收集的网络信息包括时间、用户账号、用户IP、事件、文件名和服务器地址；对于电子邮件系统，收集的网络信息为带有附件的邮件信息，包括时间、发送者账号、发送者IP、接受者账号、接受者IP、事件和文件名。

4.根据权利要求1所述的一种基于时间图算法的企业网数据异常检测方法，其特征在于：所述步骤S2以天为分割用户访问数据时间图的时间窗口。

5.根据权利要求1所述的一种基于时间图算法的企业网数据异常检测方法，其特征在于：所述步骤S3中图节点特征矩阵NF_n*f内的节点结构特征包括当前节点特征、自我中心网特征和递归特征三类。

6.根据权利要求1所述的一种基于时间图算法的企业网数据异常检测方法，其特征在于：所述步骤S6的具体步骤为：

S601:进行全局异常分析，判断当前时刻是否有行为发生异常；

S602:利用步骤S4中角色特征矩阵RF_r*f，计算每一时间窗口的图内所有节点角色对的平均角色变化，获得一维时间序列，且最后一个时间窗口为当前窗口；

S603:根据时间序列异常检测算法(S-H-ESD)计算在当前时间窗口所有用户角色是否有异常变化；

S604:检测到当前窗口异常，利用孤独森林算法(Isolation Forest)计算确定哪些用户的角色变化异常，检测到当前时刻哪些用户的行为异常。