专利摘要

本发明提出一种内部用户异常行为检测方法，包括采集用户在Linux系统中的操作命令；对采集到的所述操作命令做预处理，得到有固定行数的矩阵；根据所述预处理后的数据生成词汇表；根据所述词汇表将操作命令由英文格式转换为有序的数值形式；按一定比例将采集到的样本数据划分为训练集和测试集；使用LSTM算法对所述训练集进行训练，得到训练模型；使用所述训练模型对测试集进行验证得到输出数据；使用双峰法对所述输出数据进行分析并确定判决阈值；通过所述判决阈值判断用户是否存在异常操作行为。本发明利用长短期记忆网络与双峰法结合，能够更加准确区分不同类型数据，全面的提升模型检测用户异常行为能力，提升用户异常行为检测的查全率，查准率。

权利要求

1.一种内部用户异常行为检测方法，其特征在于，该方法包括：

采集用户在Linux系统中的操作命令；

对采集到的所述操作命令做预处理，得到有固定行数的命令矩阵；

根据所述预处理后的数据生成词汇表；

根据所述词汇表将操作命令由英文格式转换为有序的数值形式；

按一定比例将采集到的样本数据划分为训练集和测试集；

使用LSTM算法对所述训练集进行训练，得到训练模型；

使用所述训练模型对测试集进行验证得到输出数据；

使用双峰法对所述输出数据进行分析并确定判决阈值；

通过所述判决阈值判断用户是否存在异常操作行为。

2.根据权利要求1所述的一种内部用户异常行为检测方法，其特征在于，所述使用双峰法对所述输出数据进行分析并确定判决阈值，具体包括：

读入训练模型输出数据，统计输出数据个数n以及每个输出数据对应的值Yi，1≤i≤n；

统计0～1范围内的数值的个数，画出对应输出数据直方图；

根据所述直方图选取最高双峰之间的谷底对应的数值作为阈值ω。

3.根据权利要求2所述的一种内部用户异常行为检测方法，其特征在于，所述通过所述判决阈值判断用户是否存在异常操作行为，具体为：

遍历原始输出数据，根据选取的阈值对所述输出数据进行分类，若所述输出数据大于或等于阈值ω的输出值划为正常操作，输出设定Yend设置为0，若所述输出数据小于阈值ω划为异常操作，输出设定Yend设置为1。

4.根据权利要求1所述的一种内部用户异常行为检测方法，其特征在于，所述训练模型包括输入层、嵌入层、LSTM层、全连接层和回归层。

5.根据权利要求1所述的一种内部用户异常行为检测方法，其特征在于，所述训练模型包括：

遗忘门ft，遗忘门ft表示为：

ft＝σ(Wf·[ht-1,xt]+bf)

其中，Wf是遗忘门的权重矩阵，[ht-1,xt]表示以当前时刻的输入xt和上一时刻的输出ht-1作为输入，bf是遗忘门的偏置项，σ是门限，选取sigmoid函数；

输入门it，输入门it表示为：

it＝σ(Wi·[ht-1,xt]+bi)

其中，Wi是输入门的权重矩阵，bi是输入门的偏置项，σ是门限，选取sigmoid函数；

当前时刻的候选Cell单元状态表示为：

其中，Wc为权重矩阵，bc为偏置项，tanh是门限，选取tanh函数；

当前时刻的Cell单元状态Ct表示为：

输出门ot，输出门ot表示为：

ot＝σ(Wo·[ht-1,xt]+bo)

其中，Wo表示输出权重矩阵，bo表示偏置项，σ是门限，选取sigmoid函数；

LSTM的最终输出ht表示为：

ht＝ot*tanh(Ct)。

6.一种内部用户异常行为检测系统，其特征在于，该检测系统包括：

采集单元，用于采集用户在Linux系统中的操作命令；

预处理单元，用于对采集到的所述操作命令做预处理，得到有固定行数的命令矩阵；

生成单元，用于根据所述预处理后的数据生成词汇表；

转换单元，用于根据所述词汇表将操作命令由英文格式转换为有序的数值形式；

划分单元，用于按一定比例将采集到的样本数据划分为训练集和测试集；

训练单元，用于使用LSTM算法对所述训练集进行训练，得到训练模型；

验证单元，用于使用所述训练模型对测试集进行验证得到输出数据；

分析单元，用于使用双峰法对所述输出数据进行分析并确定判决阈值；

判决单元，用于通过所述判决阈值判断用户是否存在异常操作行为。

7.根据权利要求6所述的一种内部用户异常行为检测系统，其特征在于，所述分析单元包括：

统计单元，用于读入训练模型输出数据，统计输出数据个数n以及每个输出数据对应的值Yi，1≤i≤n；

输出单元，用于统计0～1范围内的数值的个数，画出对应输出数据直方图；

选取单元，用于根据所述直方图选取最高双峰之间的谷底对应的数值作为阈值ω。

8.根据权利要求7所述的一种内部用户异常行为检测系统，其特征在于，所述判决单元的判决过程为：遍历原始输出数据，根据选取的阈值对所述输出数据进行分类，若所述输出数据大于或等于阈值ω的输出值划为正常操作，输出设定Yend设置为0，若所述输出数据小于阈值ω划为异常操作，输出设定Yend设置为1。

9.根据权利要求6所述的一种内部用户异常行为检测系统，其特征在于，训练模型包括：

遗忘门ft，遗忘门ft表示为：

ft＝σ(Wf·[ht-1,xt]+bf)

其中，Wf是遗忘门的权重矩阵，[ht-1,xt]表示以当前时刻的输入xt和上一时刻的输出ht-1作为输入，bf是遗忘门的偏置项，σ是门限，选取sigmoid函数；

输入门it，输入门it表示为：

it＝σ(Wi·[ht-1,xt]+bi)

其中，Wi是输入门的权重矩阵，bi是输入门的偏置项，σ是门限，选取sigmoid函数；

当前时刻的候选Cell单元状态表示为：

其中，Wc为权重矩阵，bc为偏置项，tanh是门限，选取tanh函数；

当前时刻的Cell单元状态Ct表示为：

输出门ot，输出门ot表示为：

ot＝σ(Wo·[ht-1,xt]+bo)

其中，Wo表示输出权重矩阵，bo表示偏置项，σ是门限，选取sigmoid函数；

LSTM的最终输出ht表示为：

ht＝ot*tanh(Ct)。

10.一种计算机存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1～5任意一项所述的内部用户异常行为检测方法。

一种内部用户异常行为检测方法、系统及计算机存储介质专利购买费用说明

Q：办理专利转让的流程及所需资料

A：专利权人变更需要办理著录项目变更手续，有代理机构的，变更手续应当由代理机构办理。

1：专利变更应当使用专利局统一制作的“著录项目变更申报书”提出。

2：按规定缴纳著录项目变更手续费。

3：同时提交相关证明文件原件。

4：专利权转移的，变更后的专利权人委托新专利代理机构的，应当提交变更后的全体专利申请人签字或者盖章的委托书。

Q:专利著录项目变更费用如何缴交

A：（1）直接到国家知识产权局受理大厅收费窗口缴纳,（2）通过代办处缴纳，（3）通过邮局或者银行汇款,更多缴纳方式

Q：专利转让变更，多久能出结果

A：著录项目变更请求书递交后，一般1-2个月左右就会收到通知，国家知识产权局会下达《转让手续合格通知书》。