用户异常行为分析方法及系统

本发明涉及数据处理，尤其涉及一种用户异常行为分析方法及系统。

背景技术：

1、随着信息与智能技术的发展，新兴技术与业务创新不断打破组织机构的安全边界，为组织机构信息安全带来了前所未有的挑战。一方面，用户和实体的多样性增加，比如用户从雇员、外包人员，发展到合作伙伴、顾客等；设备从台式机、个人电脑，发展到手机、平板等各种移动设备。此外，同一用户可能使用多台设备登录和访问，这些都增加了用户和设备管理的难度。同时，大规模组织、机构办公地点遍布全国，甚至全世界，地理位置的分散性进一步增加了身份管理的复杂性，其数据资产也面临着日益严峻的安全威胁。一般情况下，用户访问主机的操作行为会以日志形式进行记录，因此，基于用户行为的异常检测方法常从系统日志中挖掘用户的行为数据，并对行为数据加以分析进行异常检测。

2、用户在组织机构内的操作可以汇总为一系列行为序列，例如“登录”、“打开文件”、“连接u盘”、“登出”等。由于恶意或异常行为总是不同于正常行为，现有的异常行为检测研究主要依赖于利用异常检测或分类的方法来检测异常用户或异常时间窗口，只有一项研究将注意力转向了行为级别的用户异常行为检测，遗憾的是，它采用的是事后分析的方式。然而，实时的行为级别用户异常行为检测任务更加重要。事后检测一般来说是定期收集特定时间段内的用户行为，在获得该时间段的所有信息后进行数据分析，检测该时间段内是否存在用户异常行为。相比之下，实时的行为级别用户异常行为检测侧重于在运行时监视信息系统，并检测用户当前的行为是否构成威胁。它使企业和组织能够在用户异常行为发生后立即识别，并能够迅速做出响应，从而有效减少用户异常行为的负面影响。要实现这一点是相当不容易的，因为将数据粒度精细到行为级别，检测难度更大，需要能够识别出细小差异导致的异常，同时粒度更小意味着需要检测的样本越多，正负样本不平衡的问题也变的极其严重，假阳性问题不可忽略，最后，由于实时性的要求，只能观察到该行为发生之前的上下文，如何提高检测准确性是至关重要的。

技术实现思路

1、有鉴于此，本发明实施例提供了一种用户异常行为分析方法及系统，用于提高用户异常行为分析的准确率。

2、本发明提供了一种用户异常行为分析方法，包括：从预置的数据库中采集用户历史行为数据，并对所述用户历史行为数据进行编码映射，得到行为编码集合；对所述行为编码集合进行用户意图向量转换，得到用户行为意图向量集合；对所述用户行为意图向量集合进行数据增强处理，得到增强向量集合；将所述增强向量集合输入预置的用户行为检测模型进行用户行为预测，得到预测用户行为；对所述预测用户行为进行异常分值计算，得到目标异常分值，并通过所述目标异常分值进行行为分析，得到行为分析结果，其中，所述行为分析结果为异常或正常。

3、在本发明中，所述从预置的数据库中采集用户历史行为数据，并对所述用户历史行为数据进行编码映射，得到行为编码集合步骤，包括：对所述用户历史行为数据进行关键字段提取，得到关键字段数据；对所述关键字段数据进行用户id分析，得到至少一个用户id数据；基于至少一个所述用户id数据，对所述用户历史行为数据进行数据排序，得到至少一个用户行为列表；基于至少一个用户行为列表，对所述用户历史行为数据进行编码映射，得到行为编码集合。

4、在本发明中，所述基于至少一个用户行为列表，对所述用户历史行为数据进行编码映射，得到行为编码集合步骤，包括：基于至少一个用户行为列表，对所述用户历史行为数据进行用户行为提取，得到多个用户行为；对每个所述用户行为进行行为类型进行分析，得到每个所述用户行为的行为类型；基于每个所述用户行为的行为类型，对所述用户历史行为数据进行编码映射，得到行为编码集合。

5、在本发明中，所述对所述行为编码集合进行用户意图向量转换，得到用户行为意图向量集合步骤，包括：将所述行为编码集合投影预置的嵌入空间，得到多个嵌入向量特征；基于多个所述嵌入向量特征进行嵌入序列生成，得到行为嵌入序列；对所述行为嵌入序列进行时序关系分析，得到对应的时序关系；基于所述时序关系提取时间步集合，并对所述时间步集合进行隐藏状态向量生成，得到多个隐藏状态向量；基于多个所述隐藏状态向量，对所述行为嵌入序列进行多头注意力池化处理，得到所述用户行为意图向量集合。

6、在本发明中，所述基于多个所述隐藏状态向量，对所述行为嵌入序列进行多头注意力池化处理，得到所述用户行为意图向量集合步骤，包括：对多个所述隐藏状态向量进行注意力分数计算，得到注意力分数集合；对所述注意力分数集合进行归一化处理，得到归一化分数数据；通过所述归一化分数数据，对所述行为嵌入序列进行多头注意力池化处理，得到所述用户行为意图向量集合。

7、在本发明中，所述对所述用户行为意图向量集合进行数据增强处理，得到增强向量集合步骤，包括：通过所述用户行为意图向量进行意图向量池构建，得到目标意图向量池；对所述用户历史行为数据进行用户会话提取，得到多个用户会话数据；对每个所述用户会话数据进行数据分割，得到每个所述用户会话数据对应的多个子会话序列；基于每个所述用户会话数据对应的多个子会话序列，通过近似最近邻搜索算法对所述目标意图向量池进行向量检索，得到每个所述用户会话数据对应的相关意图向量；通过每个所述用户会话数据对应的相关意图向量对所述用户行为意图向量集合进行数据增强处理，得到增强向量集合。

8、在本发明中，所述对所述预测用户行为进行异常分值计算，得到目标异常分值，并通过所述目标异常分值进行行为分析，得到行为分析结果，其中，所述行为分析结果为异常或正常步骤，包括：获取预置的行为异常标签数据，并通过所述行为异常标签数据创建软标签分布；通过所述软标签分布对所述预测用户行为数据进行异常行为预测概率计算，得到初始预测概率数据；对所述初始预测概率数据进行预测损失计算，得到对应的预测损失数据；通过所述预测损失数据对所述初始预测概率数据进行数据修正，得到对应的目标预测概率数据；通过所述目标预测概率数据对所述预测用户行为进行异常分值计算，得到目标异常分值，并通过所述目标异常分值进行行为分析，得到行为分析结果，其中，所述行为分析结果为异常或正常。

9、本发明还提供了一种用户异常行为分析系统，包括：

10、映射模块，用于从预置的数据库中采集用户历史行为数据，并对所述用户历史行为数据进行编码映射，得到行为编码集合；

11、转换模块，用于对所述行为编码集合进行用户意图向量转换，得到用户行为意图向量集合；

12、处理模块，用于对所述用户行为意图向量集合进行数据增强处理，得到增强向量集合；

13、预测模块，用于将所述增强向量集合输入预置的用户行为检测模型进行用户行为预测，得到预测用户行为；

14、计算模块，用于对所述预测用户行为进行异常分值计算，得到目标异常分值，并通过所述目标异常分值进行行为分析，得到行为分析结果，其中，所述行为分析结果为异常或正常.

15、本发明提供的技术方案中，对用户行为历史记录进行数据预处理操作，并利用一个序列编码器生成反映该用户历史行为语义的意图隐藏向量；自动挖掘用户行为之间关系，学习出一个用户行为关系图，利用该行为关系图增强当前用户的意图向量；将历史的用户异常行为看作下一个行为预测任务的难负样本，利用作为正样本的绝大多数正常行为和占比极小的难负样本共同训练异常检测模型，预测用户行为的异常得分。本发明提出的行为级别用户异常行为检测方法能够自动完成适合于特定系统的用户行为关系图的构建以建模用户近期行为与系统中其他历史行为之间的关系，而无需特定于系统的手工建图规则，更加灵活，更具扩展性，同时可以应用于实时检测场景，并显著提升了检测效果。