随着银行IT业务的不断扩展,数据中心的各种设备数量越来越庞大,庞大且异构的各种软硬件设备集群日夜不停的工作运转,对网络的安全管理工作提出了更高的要求。用户行为分析是网络安全管理工作中非常重要的一环,是挖掘内网中风险信息的主要手段。目前银行在进行用户异常行为分析时普遍采用的方法是构建规则库,规则库设置严谨,内容可解释性强,具有更好的针对性。但是庞大的规则库规则构建复杂、过于依靠专业人员的经验、且无法深度挖掘用户行为等缺点,导致难以应付日益复杂的内网环境。因此需要一个更好的方法代替现有的规则库方法。本文依托于某安全领域公司为某银行开发的网络安全管理平台项目,研究了告警模块中的用户行为分析的相关方法,设计并实现了词向量+梯度提升决策树的分类模型和自回归预测模型以互补的方式,分别在实时逐条过滤的角度和分析统计信息的角度对银行数据中心的各种设备产生的日志数据进行分析,挖掘行为异常的用户,找出可能的风险行为,为网络安全管理人员提供决策信息。作者主要完成的工作如下:1.分析Syslog协议格式的日志MSG内容部分,创建个性化的词库训练Word2Vecter词向量;2.实现梯度提升决策树实时的对每一条日志进行过滤分类,挖掘隐藏的用户异常行为;3.实现自回归模型去分析统计时间段内的访问信息,挖掘隐藏的用户异常行为。本文在实现新的用户异常行为检测方法以后,与线上现有的方法进行了 A/B实验,证明了本文实现的新方法效果优于项目现有方法。本项目最终达到的结果如下:1.测试结果表明新的方法在准确率和挖掘深度方面优于现有方法;2.将新方法上线部署。新的方法上线以后运行良好,可以适应复杂的内网环境,更好的为网络安全管理人员服务。