公开(公告)号：CN119128877A

公开(公告)日：2024-12-13

申请号：CN202411231543.4

申请日：2024-09-04

Applicant: 广州大学

Inventor： 仇晶 ,  邢家旭 ,  高成亮 ,  陈彦豪 ,  蔡泳信 ,  田志宏 ,  殷丽华 ,  鲁辉 ,  纪守领 ,  程度 ,  汤菲 ,  陈玺名 ,  陈荣融 ,  倪晓雅 ,  宗熠

IPC: G06F21/55 ,  G06F16/35 ,  G06F18/2433 ,  G06F18/2321 ,  G06F16/33 ,  G06F40/295 ,  G06F18/10 ,  G06N3/0455 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明公开了一种结合审计日志和踩蜜日志的异常行为检测方法，首先通过采集审计日志、合并简化审计日志、提取结构化日志信息并以进程为主体、在进程控制流的指导下构建用户行为实例；然后通过提取冗余信息模板进行降噪；最后通过构建溯源图，采用transR算法提取实体和关系特征并连接得到审计日志的特征向量；再结合盾立方中的四蜜日志采用无监督和弱监督学习方式训练序列编码网络，获取降噪后用户行为实例的特征；最后采用DBSCAN算法进行聚类分析得到异常用户行为。本发明通过审计日志的行为语义信息和四蜜日志的恶意信息，使用无监督和弱监督学习方式对异常行为和正常行为进行学习，提高用户行为特征提取的精度，提升异常检测的效率和精度。