一种企业内部异常访问行为检测方法

本发明涉及异常访问数据处理技术领域，具体涉及一种企业内部异常访问行为检测方法。该方法构建访问记录的孤立森林模型；通过孤立森林模型中的树高的分布特征访问记录在每棵所属孤立树中的置信度，依据置信度对平均树高进行修正获得访问记录的最终平均树高，进而获得访问记录的初始异常得分；依据固定ip地址与动态ip地址异常访问行为的不同特征分别计算访问记录的固定高频系数与动态高频系数，进而获得访问记录的高频程度；根据初始异常得分和高频程度，获得最终异常得分，并进行异常行为检测。本发明计算访问记录的置信度和高频程度，对每个访问记录的异常得分进行修正，从而获得更加准确的企业内部异常访问检测结果。