公开(公告)号：CN107528832B

公开(公告)日：2020-07-07

申请号：CN201710660939.4

申请日：2017-08-04

Applicant: 北京中晟信达科技有限公司

Inventor： 李雄 ,  赫树龙 ,  孙润涛 ,  张健 ,  柏洪涛

IPC: H04L29/06

Abstract: 本发明公开了一种面向系统日志的基线构建与未知异常行为检测方法，该方法包括：步骤一：用户操作日志量化，即用户行为量化；步骤二：用户行为特征筛选：步骤三：异常行为检测：步骤四：异常行为描述。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化，生成行为特征向量；然后对样本进行异常标注构建出基准样本集，同时评估和筛选子特征，构成新的特征向量；最后对用户行为特征向量进行主动聚类分析，构建行为基线，检测异常行为。由于检测过程中排除了异常点，能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。

公开(公告)号：CN107528832A

公开(公告)日：2017-12-29

申请号：CN201710660939.4

申请日：2017-08-04

Applicant: 北京中晟信达科技有限公司

Inventor： 李雄 ,  赫树龙 ,  孙润涛 ,  张健 ,  柏洪涛

IPC: H04L29/06

Abstract: 本发明公开了一种面向系统日志的基线构建与未知异常行为检测方法，该方法包括：步骤一：用户操作日志量化，即用户行为量化；步骤二：用户行为特征筛选：步骤三：异常行为检测：步骤四：异常行为描述。本发明提出的面向系统日志的基线构建与未知异常行为检测方法首先针对用户操作日志进行量化，生成行为特征向量；然后对样本进行异常标注构建出基准样本集，同时评估和筛选子特征，构成新的特征向量；最后对用户行为特征向量进行主动聚类分析，构建行为基线，检测异常行为。由于检测过程中排除了异常点，能有效避免产生“异常点效应”并准确检测出典型的用户行为和异常行为。