【技术实现步骤摘要】
行为数据识别方法、装置及存储介质
本申请涉及人工智能领域,尤其涉及一种行为数据识别方法、装置及存储介质。
技术介绍
目前,暴力破解是可疑登录的一种典型方式,检测可疑登录的主要方法为规则检测。比如,如果一个企业员工在Y分钟内登录失败次数超过Q次,就被认为是暴力破解,若是用户在Y分钟内登录失败次数未超过Q次,则认为用户为正常登录,则存在将暴力破解登录的用户识别为正常用户,从而引入误报,降低了检测可疑登录的准确率;并且,规则检测是单点检测,容易引入误报,例如:在用户的真实环境下的错误配置可能会导致用户登录失败,并且不停尝试登录就会造成大量的误报告警。申请内容本申请实施例提供了一种行为数据识别方法、装置及存储介质,可以降低误报,提高了用户登录异常检测的准确率。本申请实施例一方面提供了一种行为数据识别方法,该方法包括:获取M个用户的目标行为日志信息中的关键字段,该目标行为日志信息包括用于进行特征提取的该关键字段,该M为大于1的正整数,该M个用户中包含第一用户;根据该关键字段构建该第一用户的第一身份标识信息;根据该第一身份标识信息从该M个用户的目标行为日志信息中获取第一行为日志信息;根据该第一行为日志信息、该关键字段确定该第一用户的第一行为特征;从该M个用户的目标行为日志信息中获取与该第一用户具有相同属性信息的第二用户的第二行为日志信息;根据该第一行为日志信息、该第二行为日志信息以及该关键字段确定与该第一用户相关联的第二行为特征;根据该第一行为特征和 ...
【技术保护点】
1.一种行为数据识别方法,其特征在于,包括:/n获取M个用户的目标行为日志信息中的关键字段,所述目标行为日志信息包括用于进行特征提取的所述关键字段,所述M为大于1的正整数,所述M个用户中包含第一用户;/n根据所述关键字段构建所述第一用户的第一身份标识信息;/n根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息;/n根据所述第一行为日志信息、所述关键字段确定所述第一用户的第一行为特征;/n从所述M个用户的目标行为日志信息中获取与所述第一用户具有相同属性信息的第二用户的第二行为日志信息;/n根据所述第一行为日志信息、所述第二行为日志信息以及所述关键字段确定与所述第一用户相关联的第二行为特征;/n根据所述第一行为特征和所述第二行为特征,对所述第一用户的登录状态进行预测。/n
【技术特征摘要】
1.一种行为数据识别方法,其特征在于,包括:
获取M个用户的目标行为日志信息中的关键字段,所述目标行为日志信息包括用于进行特征提取的所述关键字段,所述M为大于1的正整数,所述M个用户中包含第一用户;
根据所述关键字段构建所述第一用户的第一身份标识信息;
根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息;
根据所述第一行为日志信息、所述关键字段确定所述第一用户的第一行为特征;
从所述M个用户的目标行为日志信息中获取与所述第一用户具有相同属性信息的第二用户的第二行为日志信息;
根据所述第一行为日志信息、所述第二行为日志信息以及所述关键字段确定与所述第一用户相关联的第二行为特征;
根据所述第一行为特征和所述第二行为特征,对所述第一用户的登录状态进行预测。
2.根据权利要求1所述的方法,其特征在于,所述获取M个用户的目标行为日志信息中的关键字段,包括:
获取目标对象内的所有用户在目标周期内的原始行为日志信息;一个用户对应一个原始行为日志信息;所述所有用户中包含使用目标登录协议进行用户登录的M个用户;
在与所述原始行为日志信息相关联的至少一个日志数据库中,将所述目标登录协议对应的日志数据库确定为目标日志数据库;所述目标日志数据库中包含所述M个用户的原始行为日志信息;
根据用户登录过程中的关键字段,对所述M个用户的原始行为日志信息进行字段过滤,将字段过滤后的原始行为日志信息作为目标行为日志信息;
获取所述目标行为日志信息中的所述关键字段。
3.根据权利要求1所述的方法,其特征在于,所述根据所述关键字段构建所述第一用户的第一身份标识信息,包括:
根据所述关键字段中的登录用户名、目标地址、目标端口构建所述第一用户的第一身份标识信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息,包括:
在所述M个用户的目标行为日志信息中对具有所述第一身份标识信息的目标行为日志信息进行聚类处理,得到所述第一用户的第一行为日志信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一行为日志信息和所述关键字段确定所述第一用户的第一行为特征,包括:
根据所述关键字段中的登录时间戳对所述第一行为日志信息进行排序处理,得到所述第一用户的第一行为时间序列;
根据所述登录时间戳相关联的单位粒度周期,在所述第一行为时间序列中获取所述单位粒度周期对应的登录失败次数,根据所述单位粒度周期和所述登录失败次数,确定所述第一用户的第一行为特征。
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一行为特征和所述第二行为特征,对所述第一用户的登录状态进行预测,包括:
根据所述第一行为特征,得到与所述第一用户相关联的第一预测结果;
根据所述第二行为特征,得到与所述第一用户相关联的第二预测结果;
若所述第一预测结果指示所述第一用户为第一类异常用户,且所述第二预测结果指示所述第一用户为第二类异常用户,则确定所述第一用户的登录状态为异常状态;
若所述第一预测结果指示所述第一用户为所述第一类异常用户,且所述第二预测结果指示所述第一用户为正常用户,则确定所述第一用户的登录状态为正常状态。
7.根据权利要求6所述的方法,其特征在于,所述根据所述第一行为特征,得到与所述第一用户相关联的第一预测结果,包括:
将所述第一行为特征分解为携带周期行为特征、趋势行为特征以及残差行为特征的待处理行为特征,将去除所述周期行为特征和所述趋势行为特征的待处理行为特征,确定为所述残差行为特征;
从所述残差行为特征对应的残差时间序列中获取测试分量Ri,将所述测试分量Ri的登录状态配置为待确定状态;i为大于0且小于或者等于n的正整数;n为所述残差时间序列中的所有测试分量的数量;
获取与所述测试分量Ri相关联的第一度量参数,并获取与所述测试分量Ri相关联的第二度量参数;所述第一度量参数是由所述测试分量Ri和所述测试分量Ri相关联的均值和方差所确定的;所述第二度量参数是由所述测试数量n、迭代次数和所述测试分量Ri的辅助查表参数所确定的;
在第一度量参数大于所述第二度量参数时,则将所述测试分量Ri的登录状态由所述待确定状态调整为异常状态,从所述残差时间序列中去除具有异常状态的测试分量Ri,将去除测试分量Ri后的残差时间序列确定为过渡时间序列,根据所述过渡时间序列中的测试分量Rj进行迭代计算,直到所述迭代次数达到迭代阈值时,得到与所述第一用...
【专利技术属性】
技术研发人员:郭豪,陈嘉豪,梁玉,洪春华,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。