用户行为检测方法、装置和计算机设备与流程

1.本技术涉及信息安全技术领域，特别是涉及一种用户行为检测方法、装置和计算机设备。


背景技术：

2.在信息系统的复杂度与组织规模日益上升的前提下，组织内部的信息安全受到威胁，用户实体行为分析技术应运而生。该技术旨在通过提供画像及基于各种分析方法的异常检测，发现与用户或实体标准画像或行为相异常的活动。异常行为分析主要基于两个维度，一是考察用户或实体行为是否偏离自身历史基线，二是考察用户或实体行为是否偏离其所在群组的群组基线。综合基线分析、群组分析，可以构成全时空的上下文环境，发现威胁、降低误报。
3.用户实体行为分析技术通常利用群组标签反应群组用户的行为特征，并根据群组标签对个体用户行为进行分析。然而在应用场景中存在用户群组标签缺失或者群组标签不足以反映用户行为特征等问题，例如隶属于同一部门的员工由于分配的工作任务不同而导致行为模式不同，因此难以建立群组内的行为基线，增加了异常检测的难度。针对用户群组标签缺失或者群组标签不足以反映用户行为特征的问题，目前还没有提出有效的解决方案。


技术实现要素：

4.在本实施例中提供了一种用户行为检测方法、装置和计算机设备，以解决相关技术中用户群组标签缺失或者群组标签不足以反映用户行为特征的问题。
5.第一个方面，在本实施例中提供了一种用户行为检测方法，所述方法包括：
6.基于用户历史行为日志提取第一用户信息、第一实体信息；
7.以所述第一用户信息和第一实体信息为节点构建第一关系网络，其中，第一关系网络的边表示两个节点之间存在访问关系；
8.基于第一关系网络以所述第一用户信息为节点构建第二关系网络，其中，第二关系网络的边表示两个节点存在同一访问实体；
9.提取用户行为日志中的第二用户信息、第二实体信息，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应的用户异常访问行为。
10.在其中的一些实施例中，所述基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为包括：
11.基于所述第一关系网络或第二关系网络，确定是否存在与所述第二用户信息对应的节点，如果不存在则确定所述第二用户信息对应的用户访问行为异常。
12.在其中的一些实施例中，所述基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
13.基于所述第一关系网络确定是否存在与所述第二实体信息对应的节点，如果不存在则获取与所述第二实体信息对应的第二用户信息，并确定所述第二用户信息对应的用户访问行为异常。
14.在其中的一些实施例中，所述基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
15.当所述第一关系网络或第二关系网络中存在与所述第二用户信息对应的节点，以及与所述第二实体信息对应的节点，且所述第一关系网络中不存在与所述第二用户信息对应的边，则确定所述第二用户信息对应的用户访问行为异常。
16.在其中的一些实施例中，所述基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
17.当所述第一关系网络或第二关系网络中存在与所述第二用户信息对应的节点，以及与所述第二实体信息对应的节点，且所述第一关系网络中不存在与所述第二用户信息对应的边，将所述用户信息节点和所述实体信息节点标记为风险用户信息节点和风险实体信息节点；在所述第一关系网络中获取与所述风险实体信息节点连接的用户信息节点集合；在所述第二关系网络中获取所述风险用户信息节点的风险评分，所述风险评分为所述风险用户信息节点到所述用户信息节点集合的最短路径长度；当所述风险评分达到第一特定阈值，则确定所述风险用户信息节点对应的用户访问行为具有风险。
18.在其中的一些实施例中，所述风险评分计算所述风险用户信息节点到所述用户信息节点集合中每一个用户信息节点的距离并取最小值，即
[0019][0020]
其中，riskscore为所述风险用户信息节点的风险评分；d(
·
,
·
)表示第二关系网络中两个节点的路径长度，u
risk
为所述风险用户信息节点，{ui}为所述用户信息节点集合。
[0021]
在其中的一些实施例中，所述基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
[0022]
每间隔预设时间周期获取所述第二关系网络中用户信息节点的群组隶属度相对于上一个时间周期的变化率，在所述变化率达到第二特定阈值时确定所述用户信息节点的访问行为异常，所述群组隶属度为所述第二关系网络中所述用户信息节点与邻居节点之间的边的权重均值。
[0023]
在其中的一些实施例中，所述用户信息节点与邻居节点之间的边的权重为：
[0024][0025]
其中，γ
ab
表示用户a和用户b之间共同访问的实体集合；表示用户a访问实体i的行为模式，即第一关系网络的边属性向量；s(
·
,
·
)表示向量的相似性度量函数。
[0026]
第二个方面，在本实施例中提供了一种用户行为检测装置，所述装置包括：
[0027]
信息获取模块，用于基于用户历史行为日志提取第一用户信息、第一实体信息；提取用户行为日志中的第二用户信息、第二实体信息；
[0028]
第一网络建立模块，用于以所述第一用户信息和第一实体信息为节点构建第一关系网络，其中，第一关系网络的边表示两个节点之间存在访问关系；
[0029]
第二网络建立模块，用于基于第一关系网络以所述第一用户信息为节点构建第二关系网络，其中，第二关系网络的边表示两个节点存在同一访问实体；
[0030]
判定模块，用于基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应的用户异常访问行为。
[0031]
第三个方面，在本实施例中提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一所述的用户行为检测方法。
[0032]
与相关技术相比，在本实施例中提供的用户行为检测方法，基于用户历史行为日志建立用户与实体的访问关系网络和访问共同实体的用户关系网络，并基于以上网络确定用户行为日志中用户对实体的访问行为是否符合以上网络所包含的信息，如果不符合则确认用户访问行为异常。该用户行为检测方法建立了基于用户历史行为的判别机制，根据用户访问共同实体的历史行为划分用户群组，解决了相关技术中由于用户群组标签缺失或者群组标签不足以反映用户行为特征而无法判别用户访问行为异常的问题。
[0033]
本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他特征、目的和优点更加简明易懂。
附图说明
[0034]
此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
[0035]
图1是本技术实施例的用户行为检测方法的应用系统示意图。
[0036]
图2是本技术实施例的用户行为检测方法的流程图。
[0037]
图3是本技术实施例的用户风险访问行为确定方法的流程图。
[0038]
图4是本技术优选实施例的用户行为检测方法的流程图。
[0039]
图5是本技术实施例的用户行为检测装置的结构框图。
具体实施方式
[0040]
为更清楚地理解本技术的目的、技术方案和优点，下面结合附图和实施例，对本技术进行了描述和说明。
[0041]
除另作定义外，本技术所涉及的技术术语或者科学术语应具有本技术所属技术领域具备一般技能的人所理解的一般含义。在本技术中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第
二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。
[0042]
本技术实施例提供的用户行为检测方法，可以应用于如图1所示的应用环境中。其中，用户端102通过网络访问实体端104，用户端与实体端的数量都没有限制。其中，用户端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，实体端104可以是数据库、网站、应用、主机、服务器等。本技术实施例提供的用户行为检测方法可以在用户端或实体端执行，用户端或实体端可以包括一个或多个处理器和用于存储数据的存储器，其中，处理器可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。存储器可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的用户行为检测方法对应的计算机程序，处理器通过运行存储在存储器内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实施例中，存储器可进一步包括相对于处理器远程设置的存储器。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，用户端和实体端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。
[0043]
在本实施例中提供了一种用户行为检测方法，图2是本实施例的用户行为检测方法的流程图。本实施例为基于用户历史行为日志提取信息并建立关系网络，通过关系网络确定访问行为是否异常的过程。如图2所示，该流程包括如下步骤：
[0044]
步骤s201，基于用户历史行为日志提取第一用户信息、第一实体信息；
[0045]
用户对实体的访问行为记录在用户行为日志中，内容包括用户标识、实体标识、用户访问实体的操作类型、操作时间等信息。用户标识和实体标识是区分用户与实体唯一性的标识，如用户id、实体id等。在一段时间内，记录了多条用户与实体的访问记录的用户历史行为日志可以反映整个用户集合对实体集合的访问情况，因此将其作为后续用户行为分析的基准。从用户历史行为日志中提取第一用户信息和第一实体信息，其中，每一条第一用户信息包括一个有访问行为的用户标识，以及该用户访问的一个实体标识和对该实体的操作类型，每一条第一实体信息包括一个被访问的实体标识。
[0046]
步骤s202，以第一用户信息和第一实体信息为节点构建第一关系网络，其中，第一关系网络的边表示两个节点之间存在访问关系；
[0047]
第一关系网络包括两种节点，即用户信息节点和实体信息节点。从第一用户信息中提取用户标识建立用户信息节点，同样，从第一实体信息中提取实体标识建立实体信息节点。从第一用户信息中提取用户访问的实体标识，确定用户与实体的访问关系，在对应的节点之间建立一条连接的边。
[0048]
步骤s203，基于第一关系网络以第一用户信息为节点构建第二关系网络，其中，第二关系网络的边表示两个节点存在同一访问实体；
[0049]
第二关系网络只包括用户信息节点。以第一关系网络中的用户信息节点为节点建立第二关系网络，对于在第一关系网络中存在共同实体访问关系的用户信息节点，在第二关系网络中对相应的节点之间建立连接边。
[0050]
步骤s204，提取用户行为日志中的第二用户信息、第二实体信息，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应的用户异
常访问行为。
[0051]
基于用户历史行为日志建立的第一和第二关系网络，表征了用户对实体访问行为的正常基线。将新的用户行为日志中提取的信息与第一和/或第二关系网络中包含的信息进行比较，如果用户行为日志中提取的信息在第一和/或第二关系网络中不存在，则可以确定该信息所对应的用户存在异常访问行为。其中，每一条第二用户信息包括一个有访问行为的用户标识，以及该用户访问的一个实体标识和对该实体的操作类型，每一条第二实体信息包括一个被访问的实体标识。
[0052]
通过上述步骤s201至s204，基于用户历史行为日志建立表征用户与实体访问关系的第一关系网络和表征访问共同实体关系的第二关系网络，并基于以上网络确定用户行为日志中提取的信息与第一和/或第二网络中包含的信息相符，否则确认提取的信息对应的用户访问行为异常。该用户行为检测方法建立了基于用户历史行为的判别机制，根据用户访问共同实体的历史行为划分用户群组，解决了相关技术中由于用户群组标签缺失或者群组标签不足以反映用户行为特征而无法判别用户访问行为异常的问题。
[0053]
在其中的一些实施例中，涉及用户异常访问行为的具体确定方法。可选的，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为包括：
[0054]
基于第一关系网络或第二关系网络，确定是否存在与第二用户信息对应的节点，如果不存在则确定第二用户信息对应的用户访问行为异常。
[0055]
从用户行为日志中提取第二用户信息，每一条第二用户信息都对应一个用户标识。在第一关系网络和第二关系网络中查询该用户标识对应的节点，如果不存在对应节点，表示访问关系中出现了新的用户，该用户在用户历史行为日志中未出现过，因此该用户的访问行为超出了第一和第二关系网络的范围，判定该用户访问行为异常。这一异常可能代表风险访问行为，也可能为新用户的无风险访问关系，需要结合其他数据分析确定。
[0056]
通过本实施例确定用户异常访问的方法，实现将第二用户信息与第一关系网络或第二关系网络进行比对，确定第二用户信息包含的用户标识是否为已知用户，将非已知用户的行为判定为异常访问行为，为异常访问行为的判定提供了方法。
[0057]
在其中的一些实施例中，涉及用户异常访问行为的具体确定方法。可选的，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
[0058]
基于第一关系网络确定是否存在与第二实体信息对应的节点，如果不存在则获取与第二实体信息对应的第二用户信息，并确定该第二用户信息对应的用户访问行为异常。
[0059]
从用户行为日志中提取第二实体信息，每一条第二实体信息都对应一个实体标识。在第一关系网络中查询该实体标识对应的节点，如果不存在对应节点，表示访问关系中出现了新的实体，该实体在用户历史行为日志中未出现过。因此，用户对该实体的访问行为超出了第一关系网络的范围，判定与该实体对应的用户访问行为异常。这一异常可能代表风险访问行为，也可能为新实体的无风险访问关系，需要结合其他数据分析确定。
[0060]
通过本实施例确定用户异常访问的方法，实现将第二实体信息与第一关系网络进行比对，确定第二用户信息包含的实体标识是否为已知实体，将与非已知实体对应的访问行为判定为异常访问行为，为异常访问行为的判定提供了方法。
[0061]
在其中的一些实施例中，涉及用户异常访问行为的具体确定方法。可选的，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
[0062]
当第一关系网络或第二关系网络中存在与第二用户信息对应的节点，以及与第二实体信息对应的节点，且第一关系网络中不存在与第二用户信息对应的边，则确定第二用户信息对应的用户访问行为异常。
[0063]
从用户行为日志中提取第二用户信息和第二实体信息，获得用户标识、实体标识、用户与实体的访问关系以及操作类型。在第一关系网络和第二关系网络中查询用户标识，在第一关系网络中查询实体标识以及用户与实体的访问关系对应的边。如果用户标识和实体标识均存在，但该访问关系对应的边不存在，表示用户行为日志中出现了新的访问关系，因此，新的访问关系超出了第一关系网络的范围，判定该访问关系对应的用户访问行为异常。这一异常可能代表风险访问行为，也可能为已知用户与已知实体之间的无风险访问关系，需要结合其他数据分析确定。
[0064]
通过本实施例确定用户异常访问的方法，实现将第二用户信息中的用户实体访问关系与第一关系网络进行比对，确定第二用户信息包含的访问关系是否已知，将与非已知访问关系对应的访问行为判定为异常访问行为，为异常访问行为的判定提供了方法。
[0065]
在其中的一些实施例中，涉及用户风险访问行为的具体确定方法。可选的，图3是本实施例的用户风险访问行为确定方法的流程图，如图3所示，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为的方法包括如下步骤：
[0066]
步骤s301，当第一关系网络或第二关系网络中存在与第二用户信息对应的节点，以及与第二实体信息对应的节点，且第一关系网络中不存在与第二用户信息对应的边，将用户信息节点和实体信息节点标记为风险用户信息节点和风险实体信息节点；
[0067]
对于第二用户信息和第二实体信息对应的节点已知，且对应的访问关系未知的情况，可以通过风险评分的方式评估该访问关系对应的访问行为风险程度。将该访问关系对应的节点在第一和第二关系网络中进行标记，包括风险用户信息节点和风险实体信息节点。
[0068]
步骤s302，在第一关系网络中获取与风险实体信息节点连接的用户信息节点集合；
[0069]
首先在第一关系网络中找到与该风险实体信息节点有连接边的所有用户信息节点的集合，这些节点对应的用户与该风险实体有访问关系。
[0070]
步骤s303，在第二关系网络中获取风险用户信息节点的风险评分，该风险评分为该风险用户信息节点到该用户信息节点集合的最短路径长度；当该风险评分达到第一特定阈值，则确定该风险用户信息节点对应的用户访问行为具有风险。
[0071]
然后在第二关系网络中获得该风险用户信息节点到用户信息节点集合的最短路径长度，路径是指两个节点之间有至少一个连接边可以直接或间接与对方关联，路径中可以通过其他节点进行关联。如果该风险用户信息节点与用户信息节点集合的任意一个节点之间有连接边直接关联，则说明该风险用户信息节点与该节点存在共同访问的实体；如果该风险用户信息节点与用户信息节点集合的任意一个节点之间间接关联，说明该风险用户
信息节点与该节点不存在共同访问的实体，但存在一个或多个中间节点使路径两端的节点与中间节点有共同访问关系，间接关联的中间节点越多，两个节点之间的关联性越低。如果该风险用户信息节点与用户信息节点集合的任意一个节点之间都没有连接边可以连通，则该路径长度为无穷大，说明该风险用户信息节点与该用户信息节点集合没有关联性，该风险用户信息节点与风险实体信息节点之间的访问行为可能是一个跨越组织关系的访问行为，具有越权或违规风险。第一特定阈值可以设置为无穷大，表示风险用户信息节点与用户信息节点集合没有关联性。
[0072]
通过上述步骤s301至s303，在本实施例中提供的确定用户异常访问的方法，基于第一关系网络获取与风险实体信息节点连接的用户信息节点集合，在第二关系网络中使用风险评分评估风险用户信息节点与用户信息节点集合的关联性是否超出用户信息节点之间的关联性允许值，以此评估风险用户信息节点与风险实体信息节点之间的访问行为是否越权。本实施例提供的方法可用于评估单个用户与用户群组之间的行为关联性，并基于关联性评估确定用户行为风险。
[0073]
在其中的一些实施例中，涉及风险评分的具体计算公式。可选的，风险评分计算该风险用户信息节点到用户信息节点集合中每一个用户信息节点的距离并取最小值，即
[0074][0075]
其中，riskscore为该风险用户信息节点的风险评分；d(
·
,
·
)表示第二关系网络中两个节点的路径长度，u
risk
为该风险用户信息节点，{ui}为用户信息节点集合。
[0076]
风险评分为风险用户信息节点到用户信息节点集合中每一个用户信息节点的距离，并取这些距离的最小值。距离即两个节点之间的路径长度，即两个节点之间直接或间接关联的连接边权重之和。第二关系网络的边表示两个节点存在共同访问实体，边的权重表示该边的两个节点对应的用户访问共同实体的行为相似性。权重的值可以与行为相似性呈正相关，也可以呈负相关。但在计算风险评分时，使用最小距离来评估节点之间的相似性，即最小距离体现节点之间相似性的最大值，因此选择权重与行为相似性呈负相关的方式进行计算，如下面公式所示：
[0077][0078]
其中，γ
ab
表示用户a和用户b之间共同访问的实体集合；s(
·
,
·
)表示向量的相似性度量函数，∈为常数，此处设为0.5；表示用户a访问实体i的行为模式向量，也可以作为第一关系网络中有访问关系的用户信息节点与实体信息节点之间的边的属性。该行为模式向量通过第一用户信息中用户a对实体i的操作类型获取，本实施例中该行为模式向量的维度等于用户a对实体i的操作类型数量，向量的值为用户a对实体i的每类操作的频次比例。同一类型的实体，其对应的用户行为模式向量的维度是相同的。在其他实施例中，还可以利用深度学习模型，将用户操作序列转化成行为模式向量。
[0079]
s(
·
,
·
)表示向量的相似性度量函数，例如余弦相似度、jaccard相似度等。其中余弦相似度的计算公式为：
[0080][0081]
其中，表示用户a访问实体i的行为模式向量，表示的范数。
[0082]
通过本实施例的第二关系网络边权重的计算方法，该方法中利用用户访问实体的行为相似性计算边权重，基于节点路径上边权重之和计算风险用户信息节点与用户信息节点集合之间的最短路径，基于该方法可进行风险用户信息节点的风险评分定量评估，为判定用户行为风险提供了依据。
[0083]
在其中的一些实施例中，涉及用户异常访问行为的一种确定方法。可选的，基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应用户的异常访问行为还包括：
[0084]
每间隔预设时间周期获取第二关系网络中用户信息节点的群组隶属度相对于上一个时间周期的变化率，在变化率达到第二特定阈值时确定用户信息节点的访问行为异常，群组隶属度为第二关系网络中用户信息节点与邻居节点之间的边的权重均值。
[0085]
用户信息节点的群组隶属度(group membership，gm)定义如下：
[0086][0087]
其中，γa表示第二关系网络中用户信息节点a的所有邻居节点的集合，邻居节点是指与节点a直接相连的节点，|γa|表示用户a的邻居个数，w
ab
表示用户节点a和邻居节点b之间的边权重，此处的边权重可以与用户ab之间的行为相似性呈正相关，也可以呈负相关。群组隶属度即为用户信息节点与其在第二关系网络中所有邻居节点的边权重的均值。
[0088]
设定第二特定阈值θ∈[0,1]，每间隔预设时间周期或实时监测第二关系网络中所有用户信息节点的群组隶属度。当用户信息节点a的群组隶属度相对于上一个观测时刻的相对变化率超过所设定的第二特定阈值时，判定该节点对应的用户行为模式偏离群组基线，即
[0089][0090]
其中，gma(t)表示用户a在t时刻的群组隶属度，gma(t-δt)表示用户a在上一时刻的群组隶属度，δt为观测周期。
[0091]
通过本实施例的异常访问行为判定方法，每间隔一定时间周期对第二关系网络中的所有用户信息节点计算群组隶属度变化率，该变化率表征了用户信息节点与其邻居节点的行为相似度的变化率，反映了一段时间内群组中的特定用户与其他用户之间行为相似度的变化情况，并根据该变化率判定用户信息节点的异常访问行为。
[0092]
在其中的一些实施例中，涉及第二关系网络中边权重的另一种计算方法。可选的，用户信息节点与邻居节点之间的边的权重为：
[0093]
[0094]
其中，γ
ab
表示用户a和用户b之间共同访问的实体集合；s(
·
,
·
)表示向量的相似性度量函数；表示用户a访问实体i的行为模式向量，即第一关系网络的边属性向量。
[0095]
第二关系网络中边的权重表示该边的两个节点对应的用户访问共同实体的行为相似性，上述公式中权重的值与两个节点的行为相似性呈正相关。
[0096]
通过本实施例的第二关系网络边权重计算方法，将边权重与节点行为相似度以正相关的方式关联，节点之间的行为相似度越高，边权重的值越大。该方法在计算用户信息节点的群组隶属度时，可以更直观地反映变化率受节点行为相似度影响的程度。
[0097]
下面通过优选实施例对本实施例进行描述和说明。
[0098]
图4是本优选实施例的用户行为检测方法的流程图。如图4所示，该方法包括如下步骤：
[0099]
步骤s401，基于用户历史行为日志提取第一用户信息、第一实体信息。
[0100]
收集一段时间内的用户访问实体日志，提取日志中出现的所有用户标识和实体标识，并获取用户与实体的访问关系和操作类型，根据以上信息生成第一用户信息和第一实体信息；
[0101]
步骤s402，以第一用户信息和第一实体信息为节点构建第一关系网络。
[0102]
第一关系网络中包含用户信息和实体信息两种不同的节点，第一关系网络的边表示两个节点之间存在访问关系；网络的边具有行为向量属性，该行为向量表示边对应的用户与实体之间的行为模式。以用户访问数据库实体为例，该用户与该实体之间边的属性可以是用户对数据库执行的sql操作类型的分布，用一个四维向量表示用户的增、删、改、查的行为模式，每个维度的值为每一种操作类型的操作频次百分比。如果实体类型不同，向量维度可能不同，但同一类型的实体，其对应的用户行为模式向量的维度是相同的。
[0103]
步骤s403，利用步骤s402建立的第一关系网络进一步构建第二关系网络。
[0104]
第二关系网络仅包含用户信息节点，两个节点之间的边表示这对节点对应的用户之间存在访问共同实体的行为。该网络的边可以具有权重，利用权重的大小表示两用户之间的行为相似程度。
[0105]
权重的计算方式如下：
[0106][0107]
其中，γ
ab
表示用户a和用户b之间共同访问的实体集合；表示用户a访问实体i的行为模式，即用户实体关系网络的边属性向量；s(
·
,
·
)表示向量的相似性度量函数，例如余弦相似度、jaccard相似度等。其中余弦相似度的计算公式为：
[0108][0109]
上述计算方式得到的权重越大，表示两个用户的行为越相似。
[0110]
如果希望权重和节点相似度呈负相关，可以采用如下计算方式：
[0111][0112]
其中∈为常数，如0.5。负相关的优势在于两个节点之间权重越小则越相似。
[0113]
步骤s404，提取用户行为日志中的第二用户信息、第二实体信息，基于第一关系网络和/或第二关系网络对第二用户信息进行异常评估，确定是否出现新的用户。
[0114]
在第一关系网络和第二关系网络中查询第二用户信息中出现的用户标识，如果网络中不存在对应的节点，表示访问关系中出现了新的用户，该用户在用户历史行为日志中未出现过。此时确定该用户访问行为异常并发出告警提示。
[0115]
步骤s405，基于第一关系网络对第二实体信息进行异常评估，确定是否出现新的实体。
[0116]
在第一关系网络中查询第二实体信息中出现的实体标识，如果网络中不存在对应的节点，表示访问关系中出现了新的实体，该实体在用户历史行为日志中未出现过。在第二用户信息中找到与该实体对应的用户，确定该用户对该实体的访问行为异常并发出告警提示。
[0117]
步骤s406，基于第一关系网络和/或第二关系网络，对第二用户信息和第二实体信息进行异常评估，判断是否出现新的连接关系。
[0118]
在第一关系网络和第二关系网络中查询用户标识，在第一关系网络中查询实体标识以及用户与实体的访问关系对应的边。如果用户标识和实体标识均存在，但该访问关系对应的边不存在，表示用户行为日志中出现了新的访问关系，该访问关系在用户历史行为日志中未出现过。此时确定该用户对该实体的访问行为异常并发出告警提示。
[0119]
步骤s407，对新的连接关系进行风险评估，计算风险评分。
[0120]
对于步骤s406中出现的新的访问关系，将该访问关系对应的用户记为风险用户u
risk
，在第一关系网络中找出和该访问关系对应的实体连接的用户信息节点集合{ui}，并在第二关系网络中标记；第二关系网络的边权重和节点相似性呈负相关，计算该风险用户信息节点与筛选出的用户信息节点集合的最短路径长度，用该值表示事件风险评分。风险评分的具体计算方法为：使用dijkstra算法计算风险用户到集合中每一个用户的距离，取这些距离的最小值，即
[0121][0122]
其中riskscore为风险用户信息节点的风险评分；d(
·
,
·
)表示第二关系网络中两个节点的路径长度，u
risk
为风险用户信息节点，{ui}为用户信息节点集合。
[0123]
两个节点的路径长度等于路径上所有边的权重之和。边权重计算公式为：
[0124][0125]
其中，γ
ab
表示用户a和用户b之间共同访问的实体集合；s(
·
,
·
)表示向量的相似性度量函数，∈为常数，此处设为0.5；表示用户a访问实体i的行为模式向量，即第一关系网络中有访问关系的用户信息节点与实体信息节点之间的边的行为向量属性。
[0126]
如果评分很小，表示与风险用户相似的用户访问过该实体，则该实体很可能在用
户所在群组的授权范围内；如果上述评分为无穷大，即风险用户和上述用户集合在用户关系网络上不连通，则该事件可能是一个跨越组织关系的越权访问行为。本实施例中判断风险评分是否为无穷大。如果上述评分为无穷大，则确认该访问关系对应的行为具有风险，并发出告警提示。
[0127]
通过上述步骤s401至s407，能够基于用户历史行为日志建立第一关系网络和第二关系网络，且通过第一关系网络的边表示用户对实体的行为向量，通过第二关系网络的边表示用户行为的相似度，并基于以上信息确定用户行为日志中的用户访问行为是否异常和具有风险。该用户行为检测方法建立了基于用户历史行为的判别机制，根据用户访问共同实体的历史行为划分用户群组，并基于第二关系网络最短路径评估用户与群组的行为相似度，解决了相关技术中由于用户群组标签缺失或者群组标签不足以反映用户行为特征而无法判别用户访问行为异常或具有风险的问题。
[0128]
需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
[0129]
在一些实施例中，本技术还提供了一种用户行为检测装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
[0130]
图5是本实施例的用户行为检测装置的结构框图，如图5所示，该装置包括：信息获取模块51、第一网络建立模块53、第二网络建立模块55和判定模块57。
[0131]
信息获取模块51，用于基于用户历史行为日志提取第一用户信息、第一实体信息；提取用户行为日志中的第二用户信息、第二实体信息；
[0132]
第一网络建立模块53，用于以第一用户信息和第一实体信息为节点构建第一关系网络，其中，第一关系网络的边表示两个节点之间存在访问关系；
[0133]
第二网络建立模块55，用于基于第一关系网络以第一用户信息为节点构建第二关系网络，其中，第二关系网络的边表示两个节点存在同一访问实体；
[0134]
判定模块57，用于基于第二用户信息、第二实体信息以及第一关系网络和/或第二关系网络，确定用户行为日志对应的用户异常访问行为。
[0135]
本实施例中的用户行为检测装置，信息获取模块51从日志中提取用户信息和实体信息，包括用户对实体的访问关系和操作类型；第一网络建立模块53和第二网络建立模块55基于用户和实体信息建立用户与实体的关系网络和用户关系网络，判定模块57基于以上网络确定用户对实体的访问行为是否符合以上网络所包含的信息，如果不符合则确认用户访问行为异常。本实施例的用户行为检测装置建立了基于用户历史行为的判别机制，根据用户访问共同实体的历史行为划分用户群组，解决了相关技术中由于用户群组标签缺失或者群组标签不足以反映用户行为特征而无法判别用户访问行为异常的问题。
[0136]
需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
[0137]
在本实施例中还提供了一种计算机设备，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
[0138]
可选地，上述计算机设备还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。
[0139]
需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。
[0140]
应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。
[0141]
显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。
[0142]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。
[0143]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。