[发明专利]一种基于主成分分析的用户行为异常检测系统及方法

摘要

一种基于主成分分析的用户行为异常检测系统及方法，属于计算机技术领域，该系统包括用户行为预处理模块、用户行为训练模块、PCA模块、用户行为检测模块、用户行为异常处理模块。该方法包括用户行为训练阶段和用户行为检测阶段，用户行为训练阶段用于产生用户行为异常阈值；用户行为检测阶段利用用户行为异常阈值判断实时用户行为是否异常；本发明利用PCA方法检测用户的异常行为，PCA对异常值变化非常敏感，用户行为异常对主方向影响大，使用户行为检测结果更有效；检测过程没有重复运算，增加了检测效率，且易于实现；使用阈值来检测实时用户行为是否异常，使检测具有高效、便捷的特点。

主权项

1.一种基于主成分分析的用户行为异常检测系统，其特征在于：所述用户行为包括两种类型：用户数据库访问行为和用户Web服务器访问行为；每种类型的用户行为中用户行为元素包括：当用户行为为数据库访问行为时，用户行为元素包括用户访问的数据表名、用户访问时间、用户访问表中的主键、用户访问的原始数据和用户更改数据；当用户行为为Web服务器访问行为时，用户行为元素包括用户向Web服务器提出的访问请求的对象和相邻访问请求的时间间隔；所述系统包括：用户行为预处理模块，(1)在用户行为训练阶段，用于从数据库中获取一种用户行为类型历史用户行为数据；从历史用户行为数据中提取用户行为类型对应的用户行为元素，并将用户行为元素转换为向量元素，得到历史用户行为向量；将历史用户行为向量分组构建历史用户行为矩阵；求解每个历史用户行为矩阵的最大特征值对应的特征向量；将每个特征向量中每一个元素的值减去向量所有元素的平均值，得到历史用户行为特征向量集合，并发送到用户行为训练模块；(2)在用户行为检测阶段，用于实时获取实时用户行为数据，并判断用户行为类型；从每个实时用户行为数据中提取用户行为类型对应的用户行为元素，并将用户行为元素转换为向量元素，得到实时用户行为向量；将实时用户行为向量分组构建m个实时用户行为矩阵；求解每个实时用户行为矩阵的最大特征值对应的特征向量；将m个特征向量中每一个元素的值减去向量所有元素的平均值，得到实时用户行为特征向量，并发送到用户行为检测模块；用户行为训练模块，用于在用户行为训练阶段，接收用户行为预处理模块发送的历史用户行为特征向量集合，并将集合中不可信的历史用户行为特征向量删除，得到历史用户正常行为特征向量集合，并发送到PCA模块；接收PCA模块发送的历史用户正常行为特征向量的主方向，选取其中一个子集的主方向作为历史用户正常行为特征向量的主方向样本，计算其他所有子集合中历史用户正常行为特征向量的主方向与主方向样本之间的相似系数，即历史用户正常行为相似系数，并根据历史用户正常行为相似系数计算该种用户行为类型的用户行为异常阈值，并发送给用户行为检测模块；将历史用户正常行为特征向量的主方向样本发送给用户行为检测模块；所述将集合中不可信的历史用户行为特征向量删除的具体方法为：对集合中所有历史用户行为特征向量中位置相同的对应元素求取平均值和标准差，将平均值与标准差的倍数分别相加、相减后得到历史用户行为特征向量中该位置元素可信区间，如果一个历史用户行为特征向量中的任何一个元素不在该元素所在位置的可信区间内，就将这一用户行为特征向量删除；PCA模块，(1)在用户行为训练阶段，用于接收用户行为训练模块发送的用户正常行为特征向量集合，将历史用户正常行为特征向量集合中每m个向量构成一个历史用户正常行为特征向量子集合，使用PCA计算每个历史用户正常行为特征向量子集合中历史用户正常行为特征向量的主方向，并发送给用户行为训练模块；(2)在用户行为检测阶段，用于获取用户行为检测模块发送的m个实时用户行为特征向量，并将m个实时用户行为特征向量构成实时用户行为特征向量集合，使用PCA计算实时用户行为特征向量集合中实时用户行为特征向量的主方向，并发送给用户行为检测模块；用户行为检测模块，用于在用户行为检测阶段，接收用户行为训练模块发送的每种用户行为类型的用户行为异常阈值、每种用户行为类型的历史用户正常行为特征向量的主方向样本和用户行为预处理模块发送的m个实时用户行为特征向量，并将m个实时用户行为特征向量发送给PCA模块；接收PCA模块发送的实时用户行为特征向量的主方向，并计算实时用户行为特征向量的主方向与同种用户行为类型的历史用户正常行为特征向量的主方向样本之间的相似系数，即实时用户行为相似系数；根据实时用户行为相似系数与同种用户行为类型用户行为异常阈值，判断实时用户行为是否异常，如果实时用户行为异常，则将该用户实时用户行为特征向量发送给用户行为异常处理模块；如果实时用户行为正常，将该用户实时用户行为特征向量放入用户行为类型对应的数据库中；用户行为异常处理模块，如果接收到用户行为检测模块发送的该用户实时用户行为特征向量，则停止该用户相应用户行为类型的操作，并进行报警；所述相似系数采用如下公式生成：其中，qij为相似系数，xik为第i个主方向Xi＝(xi1，xi2，…xik，…，xim)′中的第k个元素，xjk为第j个主方向Xj＝(xj1，xj2，…，xjk，…，xjm)′中的第k个元素；所述用户行为异常阈值采用如下步骤生成：定义异常值为1减去相似系数的绝对值，计算每个历史用户正常行为相似系数的异常值，将异常值的平均值加上异常值的标准差，得到用户行为异常阈值。