数字家庭网络中用户异常行为检测方法
【专利摘要】数字家庭网络中用户异常行为检测方法,操作步骤如下:(1)进行网络数据采集,对当前用户的网络行为进行相应的特征提取;(2)在所提取的特征的基础上进行粗粒度的异常行为检测;(3)先采用离线训练方式,用基于迁移学习的方法建立用户正常行为模型,在根据训练好的正常行为模型,用在线测试的方式判断当前的用户行为是否为异常事件。
【专利说明】数字家庭网络中用户异常行为检测方法
【技术领域】
[0001]本发明涉及一种数字家庭网络中用户的异常行为检测方法,确切地说,涉及一种基于迁移学习的网络用户异常行为检测方法,属于网络信息的用户行为分析及其应用的信息安全【技术领域】。
【背景技术】
[0002]随着网络技术和应用的飞速发展,互联网日益呈现出复杂、异构等特点,当前的网络体系结构暴露出严重的不足,网络正面临着严峻的信息安全和服务质量保障等重大挑战。通过对用户行为进行分析和审计来评估以及保证互联网安全问题已经成为国内外研究界的共识,其中,如何对用户异常行为进行判断是该领域的一个研究热点。
[0003]用户异常行为分析方法大体分为两大类。其中一类是基于静态参数归纳的方法,首先提取用户每一时刻行为的特征参数,然后把这些特征中的设定字段与相应的阈值进行比较,从而判定该行为是否异常。另一类是基于动态行为分析的方法,首先需要选取大量的样本对各种用户行为分别进行训练,确定模型参数,然后利用已经建立好的模型对用户行为进行分类最终确定是否为异常行为。
[0004]基于静态参数归纳的方法具有简单、直观的优点。在这类方法中,特征参数以及其比对参数的选取尤为重要。近几年来,针对用户异常行为检测这一问题,研究者们提出了多种行为比对参数及其组合结果。如正常链接库、正常业务库、正常流量阈值等都被逐渐应用到异常行为检测技术中。此外,还有部分工作通过将几种特征结合起来进行判定,对用户行为的判断也由原来的单一匹配发展到多元匹配。
[0005]但是基于静态参数归纳的方法对于不同的对象,需要选定不同的阈值范围,因而不具备普遍性。此外,基于静态参数归纳的判断方法只能实现用户行为的粗层次识别,不便于根据用户的行为习惯进行动态调整。
[0006]基于动态行为分析的方法类似于模式识别领域的基于统计模型的判定。基于动态行为分析的方法要求事先给出一批具有类标记的训练样本,通过有指导的学习训练来生成行为分析器,进而对测试样本集合中的待分类样本进行分类。
[0007]但是,基于动态行为分析的方法极大程度的依赖于训练样本的完备性。随着网络技术的不断发展,以及网络业务的不断更新,用户数量不断增加,用户行为也随着新业务的推出而不断的发生变化。已有的样本库已经不能满足用户数量的增长以及用户行为的变化。如何充分的利用已有的样本,即利用现有行为样本对新加入的用户行为进行准确建模,或者利用已知用户的历史行为样本建立其变更后的行为模型,是用户异常检测过程中急需解决的问题。
[0008]目前较典型的动态行为分析算法主要包括最小参数检测法、决策树方法、隐马尔科夫模型法和支持向量机方法等。
[0009]最小参数间距法的优点是概念直观、方法简单,有利于建立多维空间分类方法的几何概念。在行为分类中应用的最小参数间距分类法主要有k近邻方法(k-NearestNeighbor, k_NN)和最近特征线方法(Nearest Feature Line)等。
[0010]k近邻方法的思想是根据未知样本X最近邻的k个样本中多数点的类别来判定X的类别。为此需要计算X与所有样本Xi的距离,并从中选出距离最小的k个样本作为近邻样本集合k-NN,计算其中所有属于类别Wj的距离之和,并且根据如下规则进行分类:
【权利要求】
1.数字家庭网络中用户异常行为检测方法,其特征在于,所述方法包括下述操作步骤: (1)进行网络数据采集,对当前用户的网络行为进行相应的特征提取; (2)在所提取的特征的基础上进行粗粒度的异常行为检测; (3)先采用离线训练方式,用基于迁移学习的方法建立用户正常行为模型,在根据训练好的正常行为模型,用在线测试的方式判断当前的用户行为是否为异常事件。
2.根据权利要求1所述的方法,其特征在于: 所述步骤(1)进一步包括下列操作内容: (11)流量捕获:从系统硬件平台网卡上获取数据流量,对流量进行整形处理,进而进行下一步操作; (12)利用深度包检测技术(DeepPacket Inspection, DPI)提取所捕获的流量的五元组信息,其中,五元组信息包括:源地址、目的地址、源端口号、目的端口号、协议类型; (13)在五元组序列的基础上提取用户行为特征。其中,用户行为特征的提取是业界经常涉及的方法,本发明在这特征提取上没有进行独立创新。
3.根据权利要求1 所述的方法,其特征在于: 所述步骤(2),粗粒度的用户异常行为检测,其主要特征为: 目前,本领域有多种粗粒度的用户异常行为检测方法,例如:根据访问链接将用户访问特定网站的行为判定为异常行为;根据数据流量,将流量超出一定阈值的行为判定为异常行为等。在粗粒度用户行为检测这一方面,本发明没有进行独立创新。
4.根据权利要求1所述的方法,其特征在于 所述步骤(3),具体包括如下操作内容 (31)采用离线训练的方式,采集训练样本,构成训练样本集合,将训练样本分为两类,即与测试样本分布不同的一类和与测试样本分布相同的一类; (32)采用离线训练的方式,基于训练样本集合,利用弱分类器(对弱分类器类型不加限定)作为基分类器,使得每一个用户特征对应于一个基分类器。 (33)采用离线训练的方式,利用TrAdaBoost方法,计算弱分类器的加权系数,形成TrAdaBoost 分类器。 (34)采用在线测试的方式,将用户行为特征参数输入到训练好的TrAdaboost分类器,判断当前用户行为是否为异常行为。
5.根据权利要求4所述方法,其特征在于 所述步骤(31),具体包括如下操作: 设收集的样本集表示为混T= {(xi; c (Xi))}。 本发明中,训练样本集合由两个被标记的样本集构成,这两个样本集分别记为Td和Ts。 Td 二 I(Yw(Xf))I表示历史样本集合,即与测试数据不同分布的样本集。 7; =表示即时样本集,即与测试数据同分布的样本集。 由此可知,
6.根据权利要求4所述方法,其特征在于: 所述步骤(33),利用TrAdaBoost方法,计算弱分类器的加权系数,形成TrAdaBoost分类器,其具体操作包括如下步骤: (331)训练权值初始化
7.根据权利要求4所述方法,其特征在于: 所述步骤(34),采用在线测试的方式,将用户行为特征参数输入到训练好的TrAdaboost分类器,判断当前用户行为是否为异常行为,其具体操作为:
【文档编号】H04L29/06GK103780588SQ201210407885
【公开日】2014年5月7日 申请日期:2012年10月24日 优先权日:2012年10月24日
【发明者】李祺, 李钊, 徐国爱, 杨义先 申请人:北京邮电大学