(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113971119A(43)申请公布日2022.01.25(21)申请号202111225942.6(22)申请日2021.10.21(71)申请人云纷（上海）信息科技有限公司地址200233上海市徐汇区虹漕路39号D5栋5F(72)发明人王诗涵(74)专利代理机构上海复暨知识产权代理事务所(普通合伙)31449代理人林鹏(51)Int.Cl.G06F11/34(2006.01)权利要求书2页说明书9页附图3页(54)发明名称基于无监督模型的用户行为异常分析评估方法及系统(57)摘要本发明适用于计算机网络安全及人工智能领域，提供了基于无监督模型的用户行为异常分析评估方法及系统，本发明的评估方法使用无监督学习方法对日志数据特征做特征工程，将类别特征转换为特征内特征值出现的频率，通过对比特征内特征值之间的异常度，及特征之间的异常度，移除噪音特征和无用特征，得到目标特征；使用时间序列预测模型对所述目标特征学习用户行为规律，得到用户的异常行为；基于所述用户的异常行为，并结合云纷SIEM平台异常告警模块，使用统计方法对所述用户行为风险进行评估，从而能够在具有大量用户行为的日志数据中，准确的识别异常的用户行为，避免过多噪音特征和无意义特征导致低效率的规律学习和异常检测。CN113971119ACN113971119A权利要求书1/2页1.基于无监督模型的用户行为异常分析评估方法，其特征在于，所述评估方法包括以下步骤：使用无监督学习方法对日志数据特征做特征工程，将类别特征转换为特征内特征值出现的频率，通过对比特征内特征值之间的异常度，及特征之间的异常度，移除噪音特征和无用特征，得到目标特征；使用时间序列预测模型对所述目标特征学习用户行为规律，得到用户的异常行为；基于所述用户的异常行为，并结合云纷SIEM平台异常告警模块，使用统计方法对所述用户行为风险进行评估，得到用户风险值；基于用户风险值进行预警。2.根据权利要求1所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述使用无监督学习方法对日志数据特征做特征工程的步骤包括：所述特征工程采用无监督特征选取CUFS框架，基于CUFS框架进行特征降噪和选取；使用所述CUFS框架创建两个层级的耦合，所述两个层级的耦合包括特征数值耦合和特征耦合；学习特征内部值和特征间的值耦合，得到特征值层级的异常值，并生成异常值拥有边缘权重的数值图；把得到的数值图输入特征耦合分析中，生成集合特征值层级异常值的特征图。3.根据权利要求1或2所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述时间序列预测模型的构建中采用Holtwinters指数平滑法模型学习用户行为规律。4.根据权利要求3所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述时间序列预测模型的构建中采用网格搜索方法针对不同用户行为寻找使用Holtwinters指数平滑法模型时的参数。5.根据权利要求4所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述时间序列预测模型的构建中采用真实值与预测值的根均方误差对所述参数进行评估。6.根据权利要求5所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述时间序列预测模型的构建中采用模型预测用户的下一次行为数值并生成置信区间；如果真实数据大于置信区间的上边界，则该时间段行为为异常。7.根据权利要求6所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述基于所述用户的异常行为，并结合云纷SIEM平台异常告警模块，使用统计方法对所述用户行为风险进行评估，得到用户风险值的步骤包括：调用云纷SIEM平台异常警告模块内的所有安全事件规则，规则集G＝{g1，g2，...，gn}，N个规则；从整体中随机取样得到样本集X；统计得到规则发生集C＝{c1，c2，...，cn}；使用规则发生集C得到规则发生的占比把占比转换为倒数调用云纷SIEM平台异常警告模块，得到用户风险值，用户风险值为所有事件倒数和乘2CN113971119A权利要求书2/2页100；score＝(sc1+sc2+...+sci)*100。8.根据权利要求1或2所述的基于无监督模型的用户行为异常分析评估方法，其特征在于，所述基于用户风险值进行预警的步骤包括：基于用户风险值确定用户行为异常与否；在所述用户行为异常时，结合云纷Ueba平台生成监控面板，及结合云纷IXAlert告警平台发送高危告警。9.基于无监督模型的用户行为异常分析评估系统，其特征在于，所述评估系统包括：数据处理模块，用于使用无监督学习方法对日志数据特征做特征工程，将类别特征转换为特征内特征值出现的频率，通过对比特征内特征值之间的异常度，及特征之间的异常度，移除