[发明专利]一种用户访问异常行为识别方法及装置

说明书

本申请公开了一种用户访问异常行为识别方法及装置，本申请提供的用户访问异常行为识别方法，通过为目标系统中的每一个功能项目配置多个功能控件的做法，结合获取所述用户访问目标系统时产生的功能触发记录，利用功能触发记录得到功能控件标识集，凭借此功能控件标识集能够反映用户在本次访问系统的行为特性，再通过与代表过往行为特性的历史功能控件标识集进行匹配度比较，从用户的访问行为的角度判断异常的访问事件，有助于提高系统的安全性。

技术领域

本申请涉及信息安全技术领域，尤其涉及一种用户访问异常行为识别方法及装置。

背景技术

随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展，网络边界越来越模糊；随着网络安全形势日益严峻，系统依赖边界防护等措施越来越难以应对网络攻击，因此，系统依靠外围防御的传统方法已经逐步不满足安全要求，系统本体安全性亟待加强。

发明内容

本申请提供了一种用户访问异常行为识别方法及装置，用于解决现有的系统安全性低的技术问题。

本申请第一方面提供了一种用户访问异常行为识别方法，包括：

响应于用户的访问行为，获取所述用户访问目标系统时产生的功能触发记录，其中，所述功能触发记录包含被触发的功能项目以及功能控件标识，所述功能控件标识为触发所述功能项目的功能控件的唯一标识，且每一个功能项目均对应有多种功能控件；

基于所述功能触发记录中的所述功能控件标识，得到所述用户的功能控件标识集；

通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果；

根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果。

优选地，所述根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果具体包括：

根据获得的匹配度比较结果，当所述匹配度比较结果中的匹配度参数低于预置的匹配度阈值时，则确定所述用户的访问行为属于访问异常行为，当所述匹配度比较结果中的匹配度参数不低于所述匹配度阈值时，则确定所述用户的访问行为属于正常访问行为。

优选地，所述通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果具体包括：

通过预置的匹配度比较算法，按照不同的功能项目，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得各个功能项目对应的匹配度比较结果。

优选地，还包括：

当所述用户的访问行为属于正常访问行为时，则将所述功能控件标识集添加到所述历史功能控件标识集中。

优选地，所述匹配度比较算法具体包括：机器学习算法、聚类比较算法、欧氏距离比较算法或余弦相似度比较算法。

本申请第二方面提供了一种用户访问异常行为识别装置，包括：

功能触发记录获取单元，用于响应于用户的访问行为，获取所述用户访问目标系统时产生的功能触发记录，其中，所述功能触发记录包含被触发的功能项目以及功能控件标识，所述功能控件标识为触发所述功能项目的功能控件的唯一标识，且每一个功能项目均对应有多种功能控件；

功能控件标识集获取单元，用于基于所述功能触发记录中的所述功能控件标识，得到所述用户的功能控件标识集；

匹配度比较单元，用于通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果；

用户访问行为识别单元，用于根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果。