一种基于免疫遗传算法优化日志审计的用户行为预测方法

1.本发明涉及网络安全技术领域，具体为一种基于免疫遗传算法优化日志审计的用户行为预测方法。


背景技术：

2.随着互联网的发展，人们的工作和生活越来越依赖于网络，搜索引擎已成为人们获取信息的主要途径，网络搜索日志包含了用户的行为和需求，用户行为是指用户与特定产品进行交互的方式，要分析用户行为，需要设置各种用户指标来衡量可用性和直观设计，从网络日志可以判断出一个人的性格，甚至可以预测用户的行为。
3.现有技术中，如中国专利号为：cn108509793a的“一种基于用户行为日志数据的用户异常行为检测方法及装置”，包括以下步骤：采集用户日志数据，并进行归一化处理；通过lda分析模型对新采集到的用户行为日志进行分值评估；当评估分值低于预定分值时，确定新采集的用户行为日志为可疑用户行为日志；确定该可疑用户行为日志对应的用户终端和应用软件，并生成告警信息。
4.如上述专利中，对采集的用户进行分支评估，评估分数低的用户确定为可疑用户，但在一些偶发因素对用户行为造成影响而导致的用户行为异常时，不便于对其进行验证和更正，导致用户异常行为仍被告警，增加了用户异常行为告警的误报率。
5.所以我们提出了一种基于免疫遗传算法优化日志审计的用户行为预测方法，以便于解决上述中提出的问题。


技术实现要素：

6.本发明的目的在于提供一种基于免疫遗传算法优化日志审计的用户行为预测方法，以解决上述背景技术提出的在一些偶发因素对用户行为造成影响，而导致的用户行为异常，不便于对其进行验证和更正，导致用户异常行为仍被告警，增加了用户异常行为告警的误报率的问题。
7.为实现上述目的，本发明提供如下技术方案：一种基于免疫遗传算法优化日志审计的用户行为预测方法，包括以下步骤：
8.s1、信息采集：从系统的日志文件中对用户的行为特征进行采集，行为特征包括用户的基本信息数据、操作行为数据和支出水平数据；
9.s2、构建预测模型：通过免疫遗传算法构建用户行为预测模型；
10.s3、数据识别：对目标用户的日志文件进行分析，对目标用户行为数据进行识别；
11.s4、行为告警：在预测用户行为异常时，对该用户行为进行标记，将标记的用户行为所对应的用户确定为异常用户，向用户发送告警通知。
12.优选的，在步骤s1中，所述基本信息数据是指用户的性别、工作情况和职务细则。
13.优选的，在步骤s1中，所述操作行为数据是指用户的关键词搜索记录、日常浏览信息和日常爱好。
14.优选的，在步骤s1中，所述支出水平数据是根据用户日常费用支出在用户收入中的占比计算得出。
15.优选的，在步骤s1中，所述系统的日志文件支持网络安全设备、网络设备、数据库、web服务器日志、虚拟化平台日志以及自定义等日志。
16.优选的，在步骤s1中，所述信息采集提供分布式外置采集器、agent等多种日志采集方式，支持ipv4、ipv6日志采集、分析以及检索查询。
17.优选的，在步骤s2中，免疫遗传算法构建用户行为预测模型包括以下内容：
18.s20、将步骤s1中采集的用户行为特征加入记忆储存数据库中，将用户行为特征备份，丰富记忆储存数据库的数据，提高记忆储存数据库的覆盖范围；
19.s21、对用户行为特征进行遗传操作，交叉变异生成用户的第一可能行为特征，将用户的第一可能行为特征生成新的日志文件储存在记忆储存数据库内；
20.s22、将记忆储存数据库中与用户行为特征相像的其他用户行为生成用户的第二可能行为，将用户的第二可能行为特征生成新的日志文件储存在记忆储存数据库中；
21.s23、将记忆储存数据库内的用户的初始行为特征、用户的第一可能行为和用户的第二可能行为特征进行结合，生成用户行为预测模型。
22.优选的，在步骤s3中，所述数据识别包括以下内容：
23.s30、对目标用户的日志文件进行分析，遍历用户数据，筛选无关数据，降低日志文件的空间冗余度，将有效数据与预测数据对比，对目标用户行为数据进行识别，筛选适用于该数据的用户行为预测模型；
24.s31、调取筛选的用户行为预测模型，针对用户的操作行为与用户行为预测模型内的用户行为对比，预测用户行为是否正常。
25.优选的，在步骤s30中，所述用户行为数据包括用户的登录地点、登录时间、登录设备、操作关联性和操作行为。
26.优选的，在步骤s31中，若预测用户行为正常，将用户行为更新至记忆储存数据库内，生成新的日志，提高记忆储存数据库的覆盖范围，若预测用户行为异常，则进入步骤s4中，对用户进行告警，比对用户的登录时间、登陆地点、操作设备、操作行为、操作功能是否与用户匹配，在对比数据均符合时，预测用户行为正常，在有一项到两项不符合时，向用户索取验证码对用户进行验证，验证成功则预测用户行为正常，验证失败则预测用户行为异常，在有三项到五项不符合时，预测用户行为异常。
27.与现有技术相比，本发明的有益效果是：
28.本方法中对基于免疫遗传算法的用户行为进行预测时，首先从系统的日志文件中对用户的行为特征进行采集，获取到用户的行为特征后，通过免疫遗传算法构建用户行为预测模型，在用户行为预测模型的建立过程中，通过将采集的用户行为特征、用户的第一可能行为特征和用户的第二可能行为特征结合生成用户行为预测模型，对目标用户的日志文件中的目标用户行为数据进行识别，调取用户行为预测模型，预测用户行为是否正常，可对用户行为进行预测，通过免疫遗传算法的使用，提高用户行为预测的准确性。
29.同时，基于免疫遗传算法，根据生成的用户行为预测模型预测用户行为是否正常，比对用户的登录时间、登陆地点、操作设备、操作行为、操作功能是否与用户匹配，在用户数据比对中，有一项到两项不符合时，向用户索取验证码对用户进行验证，验证成功则预测用
户行为正常，验证失败则预测用户行为异常，在用户数据比对中，有三项到五项不符合时，预测用户行为异常，通过设置三项到五项不合格则预测用户行为异常，向行为异常的用户发送告警信息，可减少一些偶发因素对用户行为造成影响时，导致用户行为异常告警，从而降低了用户异常行为告警的误报率。
附图说明
30.图1为本发明一种基于免疫遗传算法优化日志审计的用户行为预测方法的流程图。
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施条例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.请参阅图1，本发明提供一种技术方案：一种基于免疫遗传算法优化日志审计的用户行为预测方法，包括以下步骤：
33.步骤一、信息采集：从系统的日志文件中对用户的行为特征进行采集，行为特征包括用户的基本信息数据、操作行为数据和支出水平数据。
34.其中，基本信息数据是指用户的性别、工作情况和职务细则。
35.操作行为数据是指用户的关键词搜索记录、日常浏览信息和日常爱好。
36.支出水平数据是根据用户日常费用支出在用户收入中的占比计算得出。
37.系统的日志文件支持网络安全设备、网络设备、数据库、web服务器日志、虚拟化平台日志以及自定义等日志。
38.信息采集提供分布式外置采集器、agent等多种日志采集方式，支持ipv4、ipv6日志采集、分析以及检索查询。
39.步骤二、构建预测模型：通过免疫遗传算法构建用户行为预测模型。
40.20、将步骤s1中采集的用户行为特征加入记忆储存数据库中，将用户行为特征备份，丰富记忆储存数据库的数据，提高记忆储存数据库的覆盖范围；
41.21、对用户行为特征进行遗传操作，交叉变异生成用户的第一可能行为特征，将用户的第一可能行为特征生成新的日志文件储存在记忆储存数据库内；
42.22、将记忆储存数据库中与用户行为特征相像的其他用户行为生成用户的第二可能行为，将用户的第二可能行为特征生成新的日志文件储存在记忆储存数据库中；
43.23、将记忆储存数据库内的用户的初始行为特征、用户的第一可能行为和用户的第二可能行为特征进行结合，生成用户行为预测模型。
44.步骤三、数据识别：对目标用户的日志文件进行分析，对目标用户行为数据进行识别。
45.30、对目标用户的日志文件进行分析，遍历用户数据，筛选无关数据，降低日志文件的空间冗余度，将有效数据与预测数据对比，对目标用户行为数据进行识别，筛选适用于该数据的用户行为预测模型；
46.31、调取筛选的用户行为预测模型，针对用户的操作行为与用户行为预测模型内的用户行为对比，预测用户行为是否正常。
47.其中，用户行为数据包括用户的登录地点、登录时间、登录设备、操作关联性和操作行为。
48.若预测用户行为正常，将用户行为更新至记忆储存数据库内，生成新的日志，提高记忆储存数据库的覆盖范围，若预测用户行为异常，则进入步骤四中，对用户进行告警。
49.在用户行为预测时，通过比对用户的登录时间、登陆地点、操作设备、操作行为、操作功能是否与用户匹配，在对比数据均符合时，预测用户行为正常，在有一项到两项不符合时，需要向用户索取验证码对用户进行验证，验证成功则预测用户行为正常，验证失败则预测用户行为异常，在有三项到五项不符合时，预测用户行为异常。
50.步骤四、行为告警：在预测用户行为异常时，对该用户行为进行标记，将标记的用户行为所对应的用户确定为异常用户，向用户发送告警通知。
51.本方法中对基于免疫遗传算法的用户行为进行预测时，首先从系统的日志文件中对用户的行为特征进行采集，获取到用户的行为特征后，通过免疫遗传算法构建用户行为预测模型，在用户行为预测模型的建立过程中，通过将采集的用户行为特征、用户的第一可能行为特征和用户的第二可能行为特征结合生成用户行为预测模型，对目标用户的日志文件中的目标用户行为数据进行识别，调取用户行为预测模型，预测用户行为是否正常，在预测用户行为正常时，将用户行为生成新的日志，更新至记忆储存数据库内，在预测用户行为异常时，对该用户行为进行标记，将标记的用户行为所对应的用户确定为异常用户，向用户发送告警通知。
52.同时，基于免疫遗传算法，根据生成的用户行为预测模型预测用户行为是否正常，比对用户的登录时间、登陆地点、操作设备、操作行为、操作功能是否与用户匹配，在用户数据比对中，有一项到两项不符合时，向用户索取验证码对用户进行验证，验证成功则预测用户行为正常，验证失败则预测用户行为异常，在用户数据比对中，有三项到五项不符合时，预测用户行为异常，通过设置三项到五项不合格则预测用户行为异常，向行为异常的用户发送告警信息，可减少一些偶发因素单独作用对用户行为造成影响时，导致用户行为异常告警，在偶发因素造成用户行为异常时，可通过用户验证对用户异常行为进行更正，从而降低了用户异常行为告警的误报率。
53.尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：
1.一种基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，包括以下步骤：s1、信息采集：从系统的日志文件中对用户的行为特征进行采集，行为特征包括用户的基本信息数据、操作行为数据和支出水平数据；s2、构建预测模型：通过免疫遗传算法构建用户行为预测模型；s3、数据识别：对目标用户的日志文件进行分析，对目标用户行为数据进行识别；s4、行为告警：在预测用户行为异常时，对该用户行为进行标记，将标记的用户行为所对应的用户确定为异常用户，向用户发送告警通知。2.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s1中，所述基本信息数据是指用户的性别、工作情况和职务细则。3.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s1中，所述操作行为数据是指用户的关键词搜索记录、日常浏览信息和日常爱好。4.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s1中，所述支出水平数据是根据用户日常费用支出在用户收入中的占比计算得出。5.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s1中，所述系统的日志文件支持网络安全设备、网络设备、数据库、web服务器日志、虚拟化平台日志以及自定义等日志。6.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s1中，所述信息采集提供分布式外置采集器、agent等多种日志采集方式，支持ipv4、ipv6日志采集、分析以及检索查询。7.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s2中，免疫遗传算法构建用户行为预测模型包括以下内容：s20、将步骤s1中采集的用户行为特征加入记忆储存数据库中，将用户行为特征备份，丰富记忆储存数据库的数据，提高记忆储存数据库的覆盖范围；s21、对用户行为特征进行遗传操作，交叉变异生成用户的第一可能行为特征，将用户的第一可能行为特征生成新的日志文件储存在记忆储存数据库内；s22、将记忆储存数据库中与用户行为特征相像的其他用户行为生成用户的第二可能行为，将用户的第二可能行为特征生成新的日志文件储存在记忆储存数据库中；s23、将记忆储存数据库内的用户的初始行为特征、用户的第一可能行为和用户的第二可能行为特征进行结合，生成用户行为预测模型。8.根据权利要求1所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s3中，所述数据识别包括以下内容：s30、对目标用户的日志文件进行分析，遍历用户数据，筛选无关数据，降低日志文件的空间冗余度，将有效数据与预测数据对比，对目标用户行为数据进行识别，筛选适用于该数据的用户行为预测模型；s31、调取筛选的用户行为预测模型，针对用户的操作行为与用户行为预测模型内的用户行为对比，预测用户行为是否正常。
9.根据权利要求8所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s30中，所述用户行为数据包括用户的登录地点、登录时间、登录设备、操作关联性和操作行为。10.根据权利要求8所述的基于免疫遗传算法优化日志审计的用户行为预测方法，其特征在于，在步骤s31中，若预测用户行为正常，将用户行为更新至记忆储存数据库内，生成新的日志，提高记忆储存数据库的覆盖范围，若预测用户行为异常，则进入步骤s4中，对用户进行告警。

技术总结
本发明公开了一种基于免疫遗传算法优化日志审计的用户行为预测方法，包括S1、信息采集：从系统的日志文件中对用户的行为特征进行采集，行为特征包括用户的基本信息数据、操作行为数据和支出水平数据；S2、构建预测模型：通过免疫遗传算法构建用户行为预测模型；S3、数据识别：对目标用户的日志文件进行分析，对目标用户行为数据进行识别。本发明通过从系统的日志文件中采集用户的行为特征，通过免疫遗传算法构建用户行为预测模型，对目标用户的行为数据进行识别，预测用户行为是否正常，通过设置三项到五项不合格则预测用户行为异常，可减少一些偶发因素对用户行为造成影响时，导致用户行为异常告警，从而降低了用户异常行为告警的误报率。的误报率。的误报率。


技术研发人员：陈沿廷
受保护的技术使用者：北京工业大学
技术研发日：2023.07.17
技术公布日：2023/10/15