小型微型计算机系统2018年11月第11期JournalofChineseComputerSystemsVol．39No．112018一种无监督的数据库用户行为异常检测方法李海斌1李琦1汤汝鸣1吴珺1吕志远1裴丹1史俊杰2董旭2房双德2杨一飞2吴烨2()1清华大学计算机科学与技术系北京100084()2百度公司北京100085:E-maillihb15@tsinghua．org．cn摘要:检测数据库内部合法用户的异常行为对防范内部攻击和数据泄露具有重要意义然而面临如下挑战:攻击模式不确定真实异常样例少数据集缺少准确标注．人工设定阈值和规则难以有效应对复杂多样的异常．本文提出了一种基于无监督学习的用户行为异常检测方法通过划定时间窗口统计提取特征运用核密度估计算法分别从单维度、多维度建模实现在海量的无标注历史日志中发现简单异常和复杂异常、在新的线上数据中检测异常．真实数据实验表明该方法能够有效检测出简单异常实验中检测三种简单异常的平均严格查准率和宽松查准率分别达90%和100%;能够从多维度找出存在攻击嫌疑的复杂异常实验中成功检测出了一种单维度无法检测出的新的复杂异常．关键词:无监督学习;数据库;用户行为;异常检测;内部数据泄露中图分类号:TP309文献标识码:A文章编号:1000-1220(2018)11-2464-09UserBehaviorAnomalyDetectionforDatabaseBasedonUnsupervisedLearningLIHai-bin1LIQi1TANGＲu-ming1WUJun1LVZhi-yuan1PEIDan1SHIJun-jie2DONGXu2FANGShuang-de2YANGYi-fei2WUYe21(DepartmentofComputerScienceandTechnologyTsinghuaUniversityBeijing100084China)2(BaiduBeijing100085China)Abstract:Detectinganomalousbehaviorsoflegalinternalusersisofgreatsignificanceforguardingagainstinsiderattackandpreven-tingdataleakage．Howeverchallengesexist:uncertaintyofattackstrategieslackofrealanomalycasesandaccuratelylabeleddataetc．Human-definedthresholdsandbasicrulesarenotenoughfordetectingcomplexandvariousanomalies．ThispaperproposesamethodforuserbehavioranomalydetectionbasedonunsupervisedlearningaimingtoeffectivelydiscoverbothsimpleandcomplexanomaliesinunlabeledmassivehistoryloganddetectanomalousbehaviorinnewonlinedatabyapplyingKernelDensityEstimationtosingle