基于相似异常行为的用户行为模型微调方法、系统及介质

本发明涉及计算机和人工智能，尤其涉及一种基于相似异常行为微调模型的用户行为分析方法、系统及介质。

背景技术：

1、随着网络技术发展，新兴攻击方式层出不穷，传统的防御手段根据特征、统计指标进行防御，存在滞后性、误报率高、漏报率高、自适应能力差等多种问题。传统的防御手段不足以有效应对新兴威胁，会导致企业数据泄漏、经济损失巨大等多种后果。因此需要采取用户实习行为分析技术通过分析用户行为以识别异常用户及异常行为，预防企业内部威胁的产生并减少将用户正常行为识别为异常所造成的虚警。对异常用户及行为的分析，可预防源自企业内部的人员造成的数据泄露，防止未经授权的访问和权限滥用情况，还可以帮助员工提高安全意识，提高企业整体安全性。目前，大多数企业都使用内部网络系统，系统中记录了用户行为日志，这些日志中的数据可用于挖掘用户的行为模式，识别用户行为模式，可用于辅助企业识别与正常用户及行为不一致的异常，帮助企业提高系统和网络的安全性。

2、在进行异常用户及异常行为的检测分析时，用户的行为数据会存在异常行为数据缺乏的问题，异常行为数据的缺乏导致用户行为数据中存在严重的数据不平衡问题，同时，正常用户缺乏异常行为数据，导致进行用户级行为分析时，正常用户缺乏异常数据进行训练，模型无法预测正常用户未来可能出现的异常行为。

3、在异常用户及行为的检测分析中，现有技术集中于构建整体模型检测用户的异常行为，但整体模型只能识别所有用户的通用行为模式，一些用户的正常行为可能不符合另一些用户的行为模式易被识别为异常行为。

4、现实的情况是相较于已知的异常用户及其行为，企业更关注正常用户是否有产生异常行为的风险，以及在正常用户出现异常行为时如何尽快检出。因此，本发明所提出的一种基于相似异常行为微调模型的用户行为分析方法是非常有必要有现实需求的。

5、在现有的用户实体行为分析技术中，公开号为cn111190876a的专利提供了一种日志管理系统及其运行方法，包括数据采集、过滤、清洗、规则解析部分，处理后的数据供场景应用层实时调用，结合行内需求对可疑指标进行实时检测以检测异常。

6、公开号为cn116070206b的专利提供了一种异常行为检测方法，提取行为会话特征数据用于训练行为序列算法模型，结合统计算法以检测异常，通过追踪异常行为轨迹、以抓取异常行为统计特征。

7、公开号为cn117057929a的专利提供了一种异常用户行为检测方法、装置、设备及存储介质，该方法实现了端侧识别异常用户行为，将前后端数据分别输入预设的二部图推理模型。

8、公开号为cn112989332a的专利提供了一种异常用户行为检测方法和装置，该方法根据用户历史数据中各软件使用次数判断用户角色类型是否变化，根据用户行为数据判断待检测用户的行为类型是否发生变化，进而检测异常用户。

9、现有技术有单独考虑行为级异常检测的，也有单独考虑用户级异常检测的，但没将行为与用户结合起来共同检测分析。现有的技术进行用户级异常检测的没能解决企业希望检测正常用户未来可能出现的异常行为的问题，而进行行为级异常检测的能够检测未来新异常行为，但不具有对用户的针对性，不能保证异常用户的检出率。

技术实现思路

1、本发明的主要目的在于提供一种基于相似异常行为的用户行为模型微调方法、系统及介质，旨在让企业以少数异常行为数据辅助对正常用户未来可能出现的异常行为的检测，有利于企业对内部威胁进行预警。

2、为了达到上述目的，本发明提出一种基于相似异常行为的用户行为模型微调方法，所述方法包括以下步骤：

3、步骤s10，对每个用户的行为数据预处理及统计特征提取；

4、步骤s20，按正常行为统计特征，对所有用户进行聚类；

5、步骤s30，对每个正常用户使用其自身的部分行为数据训练单独的用户级行为模型，所述正常用户为未出现过异常行为的用户；

6、步骤s40，以同聚类的异常用户数据对每个正常用户训练单独的用户级行为模型进行微调，所述异常用户为存在异常行为的用户；

7、步骤s50，对微调后的用户级行为模型进行测试。

8、本发明进一步的技术方案是，所述步骤s10包括：

9、步骤s101，合并用户的所有行为数据，将所有用户的所有行为数据合并为一个统一的文件，以统一的属性进行记录；

10、步骤s102，根据用户身份信息及用户行为的不同构造不同的特征；

11、步骤s103，对所有行为信息数据进行编码，将所有行为信息数据编码为int类型；

12、步骤s104，对编码后的数据进行用户级统计特征提取，针对每个用户提取其正常行为数据的聚类重心；

13、步骤s105，对用户行为数据中的每个属性提取其正常行为数据的平均值、方差、最大值、最小值、中位数、最大众数的特征值，这些特征值数据与行为数据的聚类重心数据连接起来为一行统计特征数据，可描述一个用户的行为模式。

14、本发明进一步的技术方案是，所述步骤s20中的数据采用所述步骤s10所得到的正常行为数据的统计特征，所述步骤s20包括：

15、步骤s201，将所有用户的正常行为数据统计特征输入聚类模型中可将用户按照其正常行为相似程度进行划分，聚类为不同的类，其中，每个用户的正常行为数据统计特征为一行数据；

16、步骤s202，处于同一聚类的用户的正常行为相似度较高，为了后续可用同类异常用户的异常数据微调模型，将聚类数量调整为能保证每个类都有异常用户的值。

17、本发明进一步的技术方案是，所述步骤s30包括：

18、步骤s301，对正常用户的行为数据进行训练集和测试集划分，划分后基于随机森林模型进行训练，搭建以该正常用户自身数据训练的用户级行为模型。

19、本发明进一步的技术方案是，所述步骤s40包括：

20、步骤s401，对以正常用户自身数据训练的用户级行为模型进行微调，找到与该正常用户同聚类的异常用户，获取这些异常用户的所有异常行为数据，将这些异常行为数据划分为训练集与测试集。

21、步骤s402，以异常行为数据训练集再次训练以该正常用户自身数据训练的用户级行为模型进行微调，使得以该正常用户自身数据训练的用户级行为模型可以识别正常用户未来可能出现的异常行为。

22、本发明进一步的技术方案是，所述步骤s50包括：

23、步骤s501，将正常用户数据的测试集与异常行为数据测试集一同输入微调后的用户级行为模型进行测试，以准确率、精度、召回率、假阳性率、f1-score多个参数对微调后的用户级行为模型检测情况进行评估。

24、本发明进一步的技术方案是，所述步骤s50之后还包括：

25、对所有正常用户训练的用户级行为模型进行微调和测试。

26、为实现上述目的，本发明还提出一种基于相似异常行为模型的用户行为分析系统，所述系统包括存储器、处理器以及存储在所述处理器上的基于相似异常行为的用户行为模型微调程序，所述基于相似异常行为的用户行为模型微调程序被所述处理器调用时执行如上所述的方法的步骤。

27、为实现上述目的，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质存储有基于相似异常行为的用户行为模型微调程序，所述基于相似异常行为的用户行为模型微调程序被处理器调用时执行如上所述的方法的步骤。

28、本发明基于相似异常行为的用户行为模型微调方法、系统及介质的有益效果是：

29、通过本发明能够利用少数异常用户的异常行为数据检测几乎所有正常用户的未来可能出现的异常行为，即检测老用户的新异常行为。本发明是用户级的异常行为检测，可将检测情况、检测的异常行为与用户对应，减轻了安全分析的工作量。本发明的研究为每个用户搭建单独的行为模型，具有针对性，减少了正常行为被误判的情况，也提高了异常行为的检出率。同时，本发明能够挖掘出所有用户的正常行为间的相似性，能够根据聚类的类别一类一类地对用户行为进行分析，有助于帮助企业提高安全防护效率。