專利名稱:一種用戶行為的確定方法和裝置的制作方法
技術領域:
本發明涉及網絡信息安全技術,特別涉及一種用戶行為的確定方法和裝置。
背景技術:
計算機網絡對人類經濟和生活的沖擊是其它信息載體所無法比擬的, 計算機網絡高速發展和全方位滲透,推動了整個社會的信息化進程,特別
是Internet (國際互聯網)已經從早期的小規模局域性互聯網,發展成為 一個全球性信息服務平臺,網絡技術被廣泛應用于社會生活的各個領域, 極大地促進了經濟的繁榮和社會的進步,顯示出越來越強大的生命力。然 而,網絡的這些特點也不可避免地造成了系統的脆弱性,使用戶及網絡信 息本身面臨著嚴重的安全問題。攻擊事件層出不窮,病毒發作此起彼伏, 甚至利用互聯網實施的違法犯罪活動也逐漸增多。為了更好地去監管人們 的上網行為,抵御黑客攻擊,進行用戶行為分析勢在必行。
現有的網絡信息安全技術,如防火墻、入侵檢測、安全路由、身份認 證等,大多將主要精力集中在設備的某一方面的異常,而未從用戶行為的 設計挖掘和表示方法角度分析網絡所遭受的攻擊,且通常不預測下 一 時間 異常。
現有技術提供了 一種用戶行為異常檢測系統和方法,該系統由控制模 塊、數據獲取和預處理模塊、學習模塊、序列存儲模塊、檢測模塊、檢測 結杲輸出模塊組成;該系統配置在需要監控的服務器上,采用Unix平臺上 的shell命令作為訓練數據和審計數據,在對數據進行預處理后,利用機器 學習模型建立計算機網絡系統中關鍵合法用戶的正常行為輪廓,在檢測中 通過比較關鍵合法用戶的當前行為與其正常行為輪廓來識別異常行為,即 是否發生入侵,以便引起網絡管理員的注意,采取措施保證安全;如果該
用戶的當前行為較大程度偏離了其歷史上的正常行為輪廓,即認為發生了 異常,具體原因可能是關鍵合法用戶進行了非授權操作,或是外部入侵者 冒用關鍵合法用戶的帳戶進行了非法操作。
在實現本發明的過程中,發明人發現現有技術至少存在以下問題
現有的網絡信息安全技術,只從單一用戶行為出發,未從宏觀角度把 握用戶行為。
發明內容
本發明實施例提供了 一種用戶行為的確定方法和裝置,以確定用戶的 網結4亍為才莫式。
本發明實施例提供了 一種用戶行為的確定方法,包括以下步驟 根據網絡流量數據和安全事件日志數據建立用戶行為數據庫; 將所述用戶行為數據庫中各用戶進行聚類,根據聚類結果確定所述各用 戶的網絡行為模式。
本發明還提供了一種用戶行為確定裝置,包括
數據庫建立單元,用于根據所述網絡流量數據和所述安全事件日志數 據建立用戶行為數據庫;
行為模式確定單元,用于將所述數據庫建立單元建立的用戶行為數據庫 中各用戶進行聚類,根據聚類結果確定所述各用戶的網絡行為模式。
本發明的實施例中,通過建立用戶行為數據庫并將用戶行為凄t據庫中各 用戶進行聚類,確定了各用戶的網絡行為模式,從宏觀角度有效的反應了 用戶網絡行為。
為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對 實施例或現有技術描述中所需要使用的附圖作 一 簡單地介紹,顯而易見地, 下面描述中的附圖僅僅是本發明的 一些實施例,對于本領域普通技術人員 來講,在不付出創造性勞動性的前提下,還可以根據這些附圖獲得其他的 附圖。
圖1為本發明實施例中一種用戶行為確定的方法流程圖; 圖2為本發明實施例中一種用戶行為確定的方法流程圖; 圖3為本發明實施例中采集網絡流量數據和安全事件日志數據數據表 表間關系圖4為本發明實施例的預測用戶的網絡行為模式方法流程圖; 圖5為本發明實施例中生成用戶行為預測模型的方法流程圖; 圖6為本發明實施例中一種用戶行為確定裝置結構圖。
具體實施例方式
為了使本發明的目的、技術方案和優點更加清楚,下面結合附圖和具 體實施例對本發明進行詳細描述。顯然,所描述的實施例僅僅是本發明一 部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通 技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例,都屬于 本發明保護的范圍。
本發明實施例提供了 一種用戶行為的確定方法,通過建立用戶行為數據 庫并將用戶行為數據庫中各用戶進行聚類,確定了各用戶的網絡行為模式, 從宏觀角度有效的反應了用戶網絡行為。所述方法如圖l所示,包括以下步 驟
步驟101,根據網絡流量數據和安全事件日志數據建立用戶行為數據
庫;
步驟102,將所述用戶行為數據庫中各用戶進行聚類,根據聚類結果確 定所述各用戶的網絡行為模式。
下面結合具體的實施例對用戶行為確定的具體方法進行詳細說明。
本發明實施例提供了 一種用戶行為的確定方法,所述方法如圖2所示, 包括以下步驟
步驟201,采集網絡流量數據和安全時間日志數據。
NetFlow (網絡流量)以流作為數據統計的采集單位,網絡的流(Flow)
是一個特定來源和目的端的單向數據報文序列,是來源IP、目地IP、來源
Port、目地Port和傳lt協議5個屬性相同的才艮文整合成一個流。NetFlow 協議的核心是對流緩存進行組織、管理,最終可提供遵循某種匯聚方法而 得到流的統計數據。其工作原理就是由路由器、交換機或其它任何支持 NetFlow的軟硬件維持一個保存流的統計數據的緩存,每一個活動的流在 緩存中都占有 一項記錄。當 一個不同于現有記錄特征的數據包進入緩存時, 自動為這一數據包在緩存中開辟新的流記錄。后續進入緩存的數據包,如 果和已有的記錄具有相同特征,其統計信息就會加到相應的記錄中去。 NetFlow會不停地刷新緩存,將遵循某種匯聚方法的記錄移出纟爰存,然后 將所有被移出的記錄聚合到UDP包中,發送給網絡上指定的接收者。
NetFlow協議目前包括多個版本,版本之間差異主要表現在對流采用 的匯聚方法不同。以網絡安全監控為目的而部署NetFlow要求獲得流的較 多細節,常采用NetFlow V5。此版本所采集到的流量數據可以支持不同對 象的統計分析,即支持對源IP、目的IP、源端口、目的端口等的統計分析。 從NetFlow原始記錄中提取以下8個關鍵域定義源IP地址(Source IP address );目的IP i也址(Destination IP address );源端口號(Source Port Number); 目的端口號(Destination Port Number); 切、i義類型 (Layer 3 protocoltype );流內數據包數量(Packets );數據流的大小(Octets );數據 流結束時間(Time);
針對安全事件日志,提取以下幾個關鍵域定義l)安全事件時間事 件記錄的時間;2)IP地址系統的本地IP; 3)安全事件類型通過正則 表達式從日志記錄中提取關鍵字后判斷得出的事件類型;4)安全事件等級 曰志里面就存在的字段;5)關聯IP地址日志記錄中可能存在的發起攻 擊的IP或相關牽涉到的事件IP地址。
步驟202,對采集的數據進行匯總得到用戶行為數據庫。
將采集的關鍵域定義數據存入數據庫,對存入數據庫的數據進行數據 的匯總,建立用戶在一定時間粒度下的行為數據庫,描述時間數據的最小 時間單位稱為時間粒度。
基本的時間粒度是通過數據的采集時間間隔所確定的,根據匯總分析 的要求,不同的時間粒度都是基本時間粒度的倍數作為統計對象。統計對 象包括源IP、數據包字節數、數據流目的子網、數據包數量、源端口、目 的端口、安全事件等。本發明實施例中,以采集的用戶IP數據為基本統計
對象,統計一定時間粒度下用戶的行為特征值,匯總對象主要有l)數據 包字節數;2)數據包數量;3)數據流目的子網個數;4)數據流來源子網 個數;5)源端口個數;6)目的端口個數;7)目的IP個數;8)各協議所 占總流量比例;9)各源端口所占總流量比例;10)各目的端口所占總流量 比例;11)各安全事件類型所占總流量比例。在匯總對象8) -11)中, 由于原始數據中個數很多,采取TOPN分析的方法,即只提取前N個對象 匯總后的數值,以減少系統處理的開銷。1 ) -7)稱為單值匯總數據;8) -11)稱為多值匯總數據。
匯總 一定時間粒度下用戶的行為特征值,建立了用戶在一定時間粒度 下的行為數據庫,每條記錄由P個屬性構成(^,;^,XI:數據包字 節數;X2:數據包數量;X3 :數據流目的子網個數;X4:數據流來源子 網個數;X5:源端口個數;X6:目的端口個數;X7:目的IP個數;{Z8,Z9..: 前N個協i義所占總流量比例;{Z,,,+1,Zffl+2..j:,,}:前N個源端口所占總流量比 例;{A+pXwJg:前n個目的端口所占總流量比例;《Z^,J^+ .jy:前n
個安全事件類型所占總流量比例。
采集網絡流量數據和安全事件日志數據數據表表間關系如圖3所示 1 ) NetFlow server接收NetFlow信息,Log server接收日志信息,將數據 存入數據庫,形成基礎數據表,分別為NetFlow數據源表301、安全事件 日志表302; 2 )在基礎數據表NetFlow數據源表的基礎上,對流量進行初 步匯總,形成NetFlow的子網和端口統計數目表303、 NetFlow的基礎匯總 表304; 3 )在共同匯總NetFlow數據源表301、安全事件日志表302的基 礎上得出NetFlow的TOPN統計表305; TOPN分析的對象,具體包含 協議、源端口 、目的端口 、安全事件。其中,NetFlow的子網和端口統計 數目表303、 NetFlow的基礎匯總表304和TOPN統計表305共同構成用
戶4亍為數據庫。
步驟203,將用戶行為數據庫中各用戶根據各種網絡行為類型所占比 例進行聚類,從而確定各用戶的網絡行為模式。
為了研究和比較觀測得到的網絡用戶行為,確定用戶行為,在聚類算 法中引入用戶行為距離概念。為觀測數據相似性指標提供了基本的識別同 組數據(網絡用戶行為)的信息。
用戶行為距離公式如下
<formula>formula see original document page 10</formula>)為用戶行為距離,Ul和U2分別為某用戶行為模式樣本點和已 確定行為模式樣本點間,其中<formula>formula see original document page 10</formula>為用
戶屬性數據。
計算新輸入數據點與已存在樣本的距離,生成距離信息{(1142,...411},從 中選擇最小值作為dmin: d,-minA,d,..,dj;
在距離信息(d'd"…'"中選擇所有d《D,并從樣本點分布空間中,選 擇半徑為D的超球體內的所有樣本點的行為模式;
其中D-nd,: d^為輸入數據點與最近樣本點的距離;n為系數,n的 選取為系統效率與結果正確性的折中。
將最多樣本點的行為模式類型作為輸入數據的行為模式類型。
針對單值匯總數據(數據包字節數、數據包數量、數據流目的子網個 數、數據流來源子網個數、源端口個數、目的端口個數、目的IP個數), 其匯總結果就為統計結果。單值匯總數據的用戶行為計算值為
<formula>formula see original document page 10</formula>
針對多值匯總數據(前N個協議所占總流量比例、前N個源端口所占 總流量比例、前N個目的端口所占總流量比例、前N個安全事件類型所占 總流量比例),以前N個協議所占總流量比例^8,AV,《J為例,Z,是某網絡 協議《的匯總流量XlFlow占總流量TotalFlow的比例,即
<formula>formula see original document page 10</formula>
為各自對應的協議,化,尸9…,iO為
{《,《,..;0;"2各自對應的協議。設V《e(尸8,尸9…,i^UW,針對《計 算用戶行為距離A時,規定如下
若《 9..力且^{尸"',..,/> ;},則計算^(x,-x;)"
若i^(尸8,尸9…,/U且《e(4g…,/0,則計算S,(X「0)2; 若/^{戶8,尸"《,}且^化',(.力,則計算^,(V0)2;
設(尸8,《…,"U化,尸9…,i^個數為k,則根據以上規定,針對協議的用戶
行為計算值4=!::::>,。
針對其他多值匯總數據的與協議的用戶行為計算方法類同,設源端 口、目的端口、安全事件的用戶行為計算值分別為4、 4、 4,則用戶行
為距離公式如下<formula>formula see original document page 11</formula>
其中,d(Ul,U2)為用戶行為距離。Ul、 U2的相似度與d(Ul,U2)成反 比,d(Ul,U2)越小,Ul、 U2的相似度越大;d (U1,U2)越大,Ul、 U2的 相似度越小。從而可根據計算某用戶行為模式樣本點與已確定行為模式樣 本點間的用戶行為距離,推斷某用戶樣本點所屬網絡行為模式,
步驟204,預測各用戶未來一定時間內的網絡行為模式。
本發明實施例中應用RBF神經網路對用戶行為進行預測,結合當前一 定時間粒度下用戶的網絡行為類型數據,尋找出時間序列中前N個用戶行 為與隨后M個用戶行為的映射關系,計算未來一定時間粒度下用戶的網絡 行為類型,從而預測用戶的網絡行為模式。
RBF網是一種前饋神經網絡, 一般分為三層結構(如圖7): —個n-h-m 結構的RBF網,即網絡具有n個輸入,h個隱節點,m個輸出。其中 x = (x,,x2...,x )7 e i "為網絡輸入矢量,c,(/ = 1,2…/2)為隱節點數據中心,i '"'" 為輸出權矩陣,6。,...6 ,為輸出單元偏移,》'=[^,..,乂,,]7'為網絡輸出,O,("為 第i個隱節點的激活函數。RBF網絡構成的基本思想是用RBF作為隱 單元的"基"構成隱含層空間,這樣就可以將輸入矢量直接映射到隱含層
空間。當RBF的中心確定后,這種映射關系也就確定了。隱含層到輸出層
的映射是線性的,即網絡的輸出就是隱含層節點數據的線性加權和。從總 體上看,網絡由輸入到輸出的映射是非線性的,而網絡輸出對可調節參數 而言又是線性的。這樣網絡的權值就可以由線性方程組直接解出或用最小
二乘遞推法(RLS)遞推計算。
應用預測算法預測用戶未來一定時間內的網絡行為模式。對用戶行為 數據進行統計分析,確定用戶在不同時間粒度下各種網絡行為類型數據的 基礎上,結合當前一定時間粒度下用戶的網絡行為類型數據,計算未來一 定時間粒度下用戶的網絡行為類型數據,從而預測用戶的網絡行為模式, 預測的具體步驟如圖4所示
步驟401,進行初始化工作。從數據庫中調出相應的訓練樣本,將訓 練樣本轉換為一系列N維向量的形式,為生成預測模型做好準備,
步驟402,生成預測模型。開始訓練樣本數據,以從中分析其發展變 化規律,進而尋找出時間序列中前N個用戶行為與隨后M個用戶行為的 映射關系,由此擬合出用戶網絡行為關于時間的函數,即生成用戶行為預 測模型。其具體流程如圖5所示
步驟501,初始化聚類中心。令k為迭代次數,并初始化k二l,根據 初始化訓練樣本1 = {《,12...,1,,}計算數據中心,記為C]1,其中"為第l第k 類的中心向量;
步驟502,在數據樣本中尋找具有最遠距離的點。設某點i與各類中 心距離和為, 且與其所在類的中心距離為S(o ,則令 = Z,, / e 1 max(爿(z') x / = 1, ',,"};
步驟503,將最遠距離點從它所在的類中排出,并使之成為一個新的
聚類中心。將a從其所在類中排出,重新計算該類的中心,并設其新中心
為(c,)';
令k=k+l ,即將聚類數目力口 1 ,置該層的初始中心為 (a—,《-v,.,(。)',…ct;);
步驟504,根據各點到各中心的距離進行分類。計算X中所有數據與
中心的距離,并將其分別劃分在離它們最近的中心所在類中;
步驟505,重新計算類的中心C^(cf,…,《);
步驟506,判斷(^是否有變化。有,則轉步驟504;否則繼續執行下 一步;
步驟507,計算所有類的方差D^(",…,");
步驟508,判斷最遠距離是否小于方差。設&與其所在類的距離為,
而每個類的方差為A,,,若1)_<111^(1)_,),則聚類完成,轉步驟509,否 則轉步驟502;
步驟509,計算權值并生成預測模型。聚類結束后,各類的數據中心 也相繼確定,此時可通過最小二乘法求出各個權值并最終生成預測模型。
步驟403,對用戶未來一定時間內的網絡行為模式進行預測。采用RBF 神經網絡進行態勢的預測,以將每個樣本的前N個值作為RBF神經網絡 的輸入,后M個值為目標輸出。通過神經網絡學習、訓練,實現從輸入空 間RN到輸出空間RM的映射,從而達到時間序列預測網絡用戶行為。RBF 網是一種前^t神經網絡, 一般分為三層結構,如圖5所示 一個n-h-m結 構的RBF網,即網絡具有n個輸入,h個隱節點,m個輸出。其中 jc = (x,, x2…,x,,)'7" e i "為網絡輸入矢量,c, (/ = 1,2…/0為隱節點數據中心,We 為輸出^l矩陣,、,...&, 為輸出單元偏移,3^[3V.,,凡,:T為網絡輸出,。,(*)為 第i個隱節點的激活函數。
預測具體步驟如下
荻得一段歷史網絡用戶行為數據;c = (^,12…,xN);
網絡輸入n代表過去n個時間點的網絡用戶行為數據,網絡輸出m代 表隨后m個時間點的態勢值; 將數據劃分如下形式
輸入輸出
XlX/7
x2 ..'X"+l
<formula>formula see original document page 14</formula>
將它們代入預測模型進行訓練直到誤差小于極小值f 。
模型訓練結束,利用該模型進行未來時間點網絡用戶行為預測。
本發明實施例提供了一種用戶行為確定裝置,如圖6所示,包括數據 庫建立單元601,用于根據網絡流量數據和安全事件日志數據建立用戶行 為數據庫;行為模式確定單元602,用于將所述數據庫建立單元601建立的 用戶行為數據庫中各用戶進行聚類,根據聚類結果確定所述各用戶的網絡行 為模式。
其中,還包括采集單元603,用于采集所述網絡流量數據和所述安全 事件日志數據,所述數據庫建立單元601根據所述采集單元603采集的所 述網絡流量數據和所述安全事件日志數據建立所述用戶行為數據庫。
其中,還包括預測單元604,用于根據所述行為才莫式確定單元602確 定的各用戶的網絡行為模式預測所述各用戶未來一定時間內的網絡行為模 式。
其中,所述數據庫建立單元601包括初步匯總子單元605,用于初 步匯總所述網絡流量數據,根據匯總結果構造網絡流量數據子網和端口統 計數目表以及網絡流量數據基礎匯總表;共同匯總子單元606,用于共同 匯總所述網絡流量數據和所述安全事件日志數據,根據匯總結果構造 TOPN統計表;構造子單元607,用于根據所述初步匯總子單元605構造的 網絡流量數據子網和所述端口統計數目表、所述網絡流量數據基礎匯總表 以及所述共同匯總子單元606構造的TOPN統計表構造所述用戶行為凄t據庫。
其中,所述預測單元604包括樣本準備子單元608,從所述用戶行為 數據庫中調出各用戶的樣本數據;模型生成子單元609,對所述樣本準備 單元608得到的樣本數據進行訓練,生成用戶行為預測模型;處理子單元 610,根據所述模型生成子單元609得到的用戶行為預測模型對所述各用戶 未來時間內的網絡行為才莫式進行預測 本發明實施例主要通過對網絡流量(主要是NetFlow)、安全事件曰志 的采集分析,設計出表示用戶行為的數據結構及匯總模式,建立用戶在一 定時間粒度下的行為數據庫;在用戶行為數據庫建立的基礎上,通過關聯 規則、分類、聚類等數據挖掘算法,從宏觀角度確定各個用戶的網絡行為 模式;在確定當前用戶行為模式的基礎上,應用預測算法,預測用戶未來 一定時間粒度下的網絡行為模式。在分析網絡用戶行為的問題提上,不只 限于分析當前網絡用戶行為,而且在不同時間粒度下,對用戶網絡行為未 來一定時間粒度下的網絡行為模式進行預測。為及時掌控網絡用戶行為數 據,實現對網絡流量、安全事件日志的有效查詢和統計方式,達到高效審 計報告生成與可視化數據的目的。
本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流 程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲 于一計算機可讀取存儲介質中,該程序在執行時,可包括如上述各方法的 實施例的流程。其中,所述的存儲介質可為磁碟、光盤、只讀存儲記憶體 (Read-Only Memory, ROM )或隨才幾存4諸記憶體(Random Access Memory, RAM)等。以上所述僅是本發明的優選實施方式,應當指出,對于本4支術 領域的普通技術人員來說,在不脫離本發明原理的前才是下,還可以估文出若 千改進和潤飾,這些改進和潤飾也應視為本發明的保護范圍。
權利要求
1、一種用戶行為確定的方法,其特征在于,包括以下步驟根據網絡流量數據和安全事件日志數據建立用戶行為數據庫;將所述用戶行為數據庫中各用戶進行聚類,根據聚類結果確定所述各用戶的網絡行為模式。
2、 如權利要求1所述的方法,其特征在于,所述根據網絡流量數據和 所述安全事件日志數據建立用戶行為數據庫之前,還包括采集所述網絡流量數據和所述安全事件日志數據。
3、 如權利要求2所述的方法,其特征在于,所述采集網絡流量數據包括通過從網絡流量數據源表中提取IP地址、目的IP地址、源端口號、 目的端口號、協議類型、流內數據包數量、數據流的大小和數據流結束時 間進行所述采集網絡流量數據。
4、 如權利要求2所述的方法,其特征在于,所述采集安全事件日志數 據包括通過從安全事件日志表中提取安全事件時間、IP地址、安全事件類型、 安全事件等級和關聯IP地址進行所述采集安全事件日志數據。
5、 如權利要求1所述的方法,其特征在于,所述根據網絡流量數據和 安全事件日志數據建立用戶行為數據庫包括初步匯總所述網絡流量數據,根據匯總結果構造網絡流量數據子網和 端口統計數目表以及網絡流量數據基礎匯總表;共同匯總所述網絡流量數據和所述安全事件日志數據,根據匯總結果 構造TOPN統計表;根據所述網絡流量數據子網和所述端口統計數目表、所述網絡流量數 據基礎匯總表、所述TOPN統計表構造所述用戶行為數據庫。
6、 如權利要求l所述的方法,其特征在于,所述將用戶行為數據庫中各 用戶進行聚類,根據聚類結果確定所述各用戶的網絡行為模式包括計算某用戶行為模式樣本點與已確定行為模式樣本點間的用戶行為距離;根據計算得到的某用戶行為模式樣本點與已確定行為模式樣本點間的用戶行為距離確定所述各用戶的網絡行為模式。
7、 如權利要求6所述的方法,其特征在于,所述用戶行為距離的計算公式為其中,d(Ul,U2)為用戶行為距離,Ul和U2分別為某用戶行為模式樣本 點和已確定行為模式樣本點間,111={;^,義2,...,;^}, U2K,JT2,...,《} , X為 用戶屬性數據。
8、 如權利要求6所述的方法,其特征在于,所述根據聚類結果確定所述 各用戶的網絡行為模式之后,還包括應用徑向基函數RBF神經網絡,結合所述各用戶的網絡行為模式預測所 述各用戶未來時間內的網絡行為模式。
9、 如權利要求8所述的方法,其特征在于,所述應用徑向基函數RBF 神經網絡,結合所述各用戶的網絡行為模式預測所述各用戶未來時間內的網 絡行為模式包括從所述用戶行為數據庫中調出所述各用戶的樣本數據; 對所述樣本數據進行訓練,生成用戶行為預測模型; 根據所述用戶行為預測模型對所述各用戶未來時間內的網絡行為模式 進行預測。
10、 一種用戶行為確定裝置,其特征在于,包括 數據庫建立單元,用于根據網絡流量數據和安全事件日志數據建立用戶^f亍為數據庫;行為模式確定單元,用于將所述數據庫建立單元建立的用戶行為泰:據庫 中各用戶進行聚類,根據聚類結果確定所述各用戶的網絡行為模式。
11、 如權利要求IO所述用戶行為確定裝置,其特征在于,所述數據庫建 立單元包括初步匯總子單元,用于初步匯總所述網絡流量數據,根據匯總結果構 造網絡流量數據子網和端口統計數目表以及網絡流量數據基礎匯總表;共同匯總子單元,用于共同匯總所述網絡流量數據和所述安全事件日志數據,根據匯總結果構造TOPN統計表;構造子單元,用于根據所述初步匯總子單元構造的網絡流量數據子網 和所述端口統計數目表、所述網絡流量數據基礎匯總表以及所述共同匯總 子單元構造的TOPN統計表構造所述用戶行為數據庫。
12、 如權利要求IO所述用戶行為確定裝置,其特征在于,還包括 采集單元,用于采集所述網絡流量數據和所述安全事件日志數據。
13、 如權利要求IO所述用戶行為確定裝置,其特征在于,還包括 預測單元,用于根據所述行為模式確定單元確定的各用戶的網絡行為模式預測各用戶未來一定時間內的網絡行為模式。
14、 如權利要求13所述用戶行為確定裝置,其特征在于,所述預測單元 包括樣本準備子單元,從所述用戶行為數據庫中調出所述各用戶的樣本數據;模型生成子單元,對所述樣本準備單元得到的樣本數據進行訓練,生 成用戶行為預測模型;處理子單元,根據所述模型生成子單元得到的用戶行為預測模型對所 述各用戶未來時間內的網絡行為模式進行預測。
全文摘要
本發明實施例公開了一種用戶行為確定的方法,包括以下步驟根據網絡流量數據和安全事件日志數據建立用戶行為數據庫;將所述用戶行為數據庫中各用戶進行聚類,根據聚類結果確定各用戶的網絡行為模式。本發明的實施例中,通過建立用戶行為數據庫并將所述用戶行為數據庫中各用戶進行聚類,確定了各用戶的網絡行為模式,從宏觀角度有效的反應了用戶網絡行為。
文檔編號H04L12/56GK101355504SQ20081014706
公開日2009年1月28日 申請日期2008年8月14日 優先權日2008年8月14日
發明者何興高, 翀 傅, 璇 劉, 張鳳荔, 汪敦全, 娟 王, 秦志光 申請人:成都市華為賽門鐵克科技有限公司