[发明专利]一种基于子轨迹模式的网络行为异常检测方法有效
| 申请号: | 201910565001.3 | 申请日: | 2019-06-27 |
| 公开(公告)号: | CN110113368B | 公开(公告)日: | 2021-08-20 |
| 发明(设计)人: | 邵俊明;刘洋;杨勤丽 | 申请(专利权)人: | 电子科技大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 611731 四川省成*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于子轨迹模式的网络行为异常检测方法,首先收集网络流量数据并根据用户行为的定义将其转换为用户行为轨迹序列,然后考虑到网络异常行为一般是用户在某个短期时间段上出现的,因此本发明根据最小描述长度准则将每个行为轨迹序列划分为多个具有统一行为模式的子行为序列。接着,根据词向量的方法计算每个子行为序列与其他行为序列的相似性并得出其密度。最后根据基于密度的异常检测方法综合得出待检测序列的局部异常程度,并根据其大小确定异常行为。本发明根据子轨迹模式来检测网络异常行为,既提高了异常检测的准确性,同时也可以确认异常行为出现的具体时间段,为后续的异常行为模式分析和网络攻击行为预防提供了技术支持。 | ||
| 搜索关键词: | 一种 基于 轨迹 模式 网络 行为 异常 检测 方法 | ||
【主权项】:
1.一种基于子轨迹模式的网络行为异常检测方法,其特征在于,包括以下步骤:(1)、网络流量数据收集及清洗整理收集网络流量数据,根据分析需求对收集的流量数据进行清洗,接着再针对当前的网络数据,明确在网络中用户行为的定义,并对网络数据中的每个用户抓取转换为用户行为轨迹序列;(2)、用户行为轨迹序列分段对于每个用户的行为轨迹序列,根据最小描述长度准则将其分割为多个子行为轨迹序列,其中每个子行为轨迹序列都较为统一,代表某段时间内用户在网络环境中的一段行为模式较为固定的行为记录;(3)、对子行为轨迹序列进行相似性度量对需要进行异常检测的用户即待检测用户,将其每个子行为轨迹序列视作为一个时间序列,根据词向量的方法得出每种行为对应的特征向量,然后结合行为之间的转移概率计算每个子行为轨迹序列与其他行为序列之间的相似性;(4)、子轨迹模式异常检测将每个用户的子轨迹行为序列映射为一个网络即用户行为模式网络,每个子轨迹行为序列到其他行为序列的距离即为他们之间的相似性;若一个行为序列和与其最相似的k个行为序列的相似度较高,就认为该行为序列在行为模式网络中的对应映射点密度较大;密度刻画了待检测点和周边邻居点的分布的关系,密度大,说明该点位于某个簇中或者周边的邻居点的数目多,则该点就不太可能会是异常点,其对应的行为序列就属于正常序列,反之,密度小则说明该点很有可能是一个异常点,从而可确定该点所对应的行为序列很有可能是一个异常行为序列。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于电子科技大学,未经电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910565001.3/,转载请声明来源钻瓜专利网。
