行为数据识别方法、装置及存储介质制造方法及图纸

本申请实施例公开了一种行为数据识别方法、装置及存储介质，该方法包括：获取M个用户的目标行为日志信息中的关键字段；根据关键字段构建第一用户的第一身份标识信息；根据第一身份标识信息从M个用户的目标行为日志信息中获取第一行为日志信息；根据该第一行为日志信息、该关键字段确定该第一用户的第一行为特征；从该M个用户的目标行为日志信息中获取与该第一用户具有相同属性信息的第二用户的第二行为日志信息；根据该第一行为日志信息、该第二行为日志信息以及该关键字段确定与该第一用户相关联的第二行为特征；根据该第一行为特征和该第二行为特征，对该第一用户的登录状态进行预测。采用本申请实施例，可以提高用户登录异常检测的准确率。

Behavior data identification method, device and storage medium

【技术实现步骤摘要】
行为数据识别方法、装置及存储介质
本申请涉及人工智能领域，尤其涉及一种行为数据识别方法、装置及存储介质。
技术介绍
目前，暴力破解是可疑登录的一种典型方式，检测可疑登录的主要方法为规则检测。比如，如果一个企业员工在Y分钟内登录失败次数超过Q次，就被认为是暴力破解，若是用户在Y分钟内登录失败次数未超过Q次，则认为用户为正常登录，则存在将暴力破解登录的用户识别为正常用户，从而引入误报，降低了检测可疑登录的准确率；并且，规则检测是单点检测，容易引入误报，例如：在用户的真实环境下的错误配置可能会导致用户登录失败，并且不停尝试登录就会造成大量的误报告警。申请内容本申请实施例提供了一种行为数据识别方法、装置及存储介质，可以降低误报，提高了用户登录异常检测的准确率。本申请实施例一方面提供了一种行为数据识别方法，该方法包括：获取M个用户的目标行为日志信息中的关键字段，该目标行为日志信息包括用于进行特征提取的该关键字段，该M为大于1的正整数，该M个用户中包含第一用户；根据该关键字段构建该第一用户的第一身份标识信息；根据该第一身份标识信息从该M个用户的目标行为日志信息中获取第一行为日志信息；根据该第一行为日志信息、该关键字段确定该第一用户的第一行为特征；从该M个用户的目标行为日志信息中获取与该第一用户具有相同属性信息的第二用户的第二行为日志信息；根据该第一行为日志信息、该第二行为日志信息以及该关键字段确定与该第一用户相关联的第二行为特征；根据该第一行为特征和该第二行为特征，对该第一用户的登录状态进行预测。本申请实施例一方面提供了一种行为数据识别装置，该装置包括：第一获取模块，用于获取M个用户的目标行为日志信息中的关键字段，该目标行为日志信息包括用于进行特征提取的该关键字段，该M为大于1的正整数，该M个用户中包含第一用户；第一构建模块，用于根据该关键字段构建该第一用户的第一身份标识信息；第二获取模块，用于根据该第一身份标识信息从该M个用户的目标行为日志信息中获取第一行为日志信息；第一确定模块，用于根据该第一行为日志信息、该关键字段确定该第一用户的第一行为特征；第三获取模块，用于从该M个用户的目标行为日志信息中获取与该第一用户具有相同属性信息的第二用户的第二行为日志信息；第二确定模块，用于根据该第一行为日志信息、该第二行为日志信息以及该关键字段确定与该第一用户相关联的第二行为特征；预测模块，用于根据该第一行为特征和该第二行为特征，对该第一用户的登录状态进行预测。其中，上述第一获取模块包括：第一获取单元，用于获取目标对象内的所有用户在目标周期内的原始行为日志信息；一个用户对应一个原始行为日志信息；该所有用户中包含使用目标登录协议进行用户登录的M个用户；第一确定单元，用于在与该原始行为日志信息相关联的至少一个日志数据库中，将该目标登录协议对应的日志数据库确定为目标日志数据库；该目标日志数据库中包含该M个用户的原始行为日志信息；过滤单元，用于根据用户登录过程中的关键字段，对该M个用户的原始行为日志信息进行字段过滤，将字段过滤后的原始行为日志信息作为目标行为日志信息；第二获取单元，用于获取该目标行为日志信息中的该关键字段。其中，上述第一构建模块包括：构建单元，用于根据该关键字段中的登录用户名、目标地址、目标端口构建该第一用户的第一身份标识信息。其中，上述第二获取模块包括：聚类处理单元，用于在该M个用户的目标行为日志信息中对具有该第一身份标识信息的目标行为日志信息进行聚类处理，得到该第一用户的第一行为日志信息。其中，第一确定模块包括：排序单元，用于根据该关键字段中的登录时间戳对该第一行为日志信息进行排序处理，得到该第一用户的第一行为时间序列；第二确定单元，用于根据该登录时间戳相关联的单位粒度周期，在该第一行为时间序列中获取该单位粒度周期对应的登录失败次数，根据该单位粒度周期和该登录失败次数，确定该第一用户的第一行为特征。其中，上述预测模块包括：第一预测单元，用于根据该第一行为特征，得到与该第一用户相关联的第一预测结果；第二预测单元，用于根据该第二行为特征，得到与该第一用户相关联的第二预测结果；第三确定单元，用于若该第一预测结果指示该第一用户为第一类异常用户，且该第二预测结果指示该第一用户为第二类异常用户，则确定该第一用户的登录状态为异常状态；第四确定单元，用于若该第一预测结果指示该第一用户为该第一类异常用户，且该第二预测结果指示该第一用户为正常用户，则确定该第一用户的登录状态为正常状态。其中，上述第一预测单元包括：第一确定子单元，用于将该第一行为特征分解为携带周期行为特征、趋势行为特征以及残差行为特征的待处理行为特征，将去除该周期行为特征和该趋势行为特征的待处理行为特征，确定为该残差行为特征；配置子单元，用于从该残差行为特征对应的残差时间序列中获取测试分量Ri，将该测试分量Ri的登录状态配置为待确定状态；i为大于0且小于或者等于n的正整数；n为该残差时间序列中的所有测试分量的数量；第一获取子单元，用于获取与该测试分量Ri相关联的第一度量参数，并获取与该测试分量Ri相关联的第二度量参数；该第一度量参数是由该测试分量Ri和该测试分量Ri相关联的均值和方差所确定的；该第二度量参数是由该测试数量n、迭代次数和该测试分量Ri的辅助查表参数所确定的；调整子单元，用于在第一度量参数大于该第二度量参数时，则将该测试分量Ri的登录状态由该待确定状态调整为异常状态，从该残差时间序列中去除具有异常状态的测试分量Ri，将去除测试分量Ri后的残差时间序列确定为过渡时间序列，根据该过渡时间序列中的测试分量Rj进行迭代计算，直到该迭代次数达到迭代阈值时，得到与该第一用户相关联的第一预测结果；该j为大于i且小于或者等于n的正整数。其中，上述第一获取子单元包括：根据该测试分量Ri和该测试分量Ri对应的测试数量n，确定与该测试分量Ri相关联的均值和方差；获取该均值和该测试分量Ri之间的差值的绝对值，从该差值的绝对值中获取最大差值，将该最大差值与该方差之间的比值作为第一度量参数；将该i的取值作为用于进行迭代计算的迭代次数，根据该测试数量n、迭代次数和该测试分量Ri的辅助查表参数，确定该测试分量Ri的第二度量参数。其中，上述第二行为特征中包含该第二用户和该第一用户在单位累计周期内的累计登录失败次数；该单位累计周期大于该单位粒度周期；上述第二预测单元包括：第二获取子单元，用于将该测试分量Ri对应的登录时间戳作为异常登录时间戳，将与该异常登录时间戳对应的单位粒度周期作为异常检测周期，从该第二行为特征中获取与该异常检测周期相匹配的累计登录失败次数；第三获取子单元，用于将该累计登录失败次数划分为至少一个累计簇，在该至少一个累计簇中将该第一用户所在的本文档来自技高网...

【技术保护点】
1.一种行为数据识别方法，其特征在于，包括：/n获取M个用户的目标行为日志信息中的关键字段，所述目标行为日志信息包括用于进行特征提取的所述关键字段，所述M为大于1的正整数，所述M个用户中包含第一用户；/n根据所述关键字段构建所述第一用户的第一身份标识信息；/n根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息；/n根据所述第一行为日志信息、所述关键字段确定所述第一用户的第一行为特征；/n从所述M个用户的目标行为日志信息中获取与所述第一用户具有相同属性信息的第二用户的第二行为日志信息；/n根据所述第一行为日志信息、所述第二行为日志信息以及所述关键字段确定与所述第一用户相关联的第二行为特征；/n根据所述第一行为特征和所述第二行为特征，对所述第一用户的登录状态进行预测。/n

【技术特征摘要】
1.一种行为数据识别方法，其特征在于，包括：
获取M个用户的目标行为日志信息中的关键字段，所述目标行为日志信息包括用于进行特征提取的所述关键字段，所述M为大于1的正整数，所述M个用户中包含第一用户；
根据所述关键字段构建所述第一用户的第一身份标识信息；
根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息；
根据所述第一行为日志信息、所述关键字段确定所述第一用户的第一行为特征；
从所述M个用户的目标行为日志信息中获取与所述第一用户具有相同属性信息的第二用户的第二行为日志信息；
根据所述第一行为日志信息、所述第二行为日志信息以及所述关键字段确定与所述第一用户相关联的第二行为特征；
根据所述第一行为特征和所述第二行为特征，对所述第一用户的登录状态进行预测。


2.根据权利要求1所述的方法，其特征在于，所述获取M个用户的目标行为日志信息中的关键字段，包括：
获取目标对象内的所有用户在目标周期内的原始行为日志信息；一个用户对应一个原始行为日志信息；所述所有用户中包含使用目标登录协议进行用户登录的M个用户；
在与所述原始行为日志信息相关联的至少一个日志数据库中，将所述目标登录协议对应的日志数据库确定为目标日志数据库；所述目标日志数据库中包含所述M个用户的原始行为日志信息；
根据用户登录过程中的关键字段，对所述M个用户的原始行为日志信息进行字段过滤，将字段过滤后的原始行为日志信息作为目标行为日志信息；
获取所述目标行为日志信息中的所述关键字段。


3.根据权利要求1所述的方法，其特征在于，所述根据所述关键字段构建所述第一用户的第一身份标识信息，包括：
根据所述关键字段中的登录用户名、目标地址、目标端口构建所述第一用户的第一身份标识信息。


4.根据权利要求1所述的方法，其特征在于，所述根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息，包括：
在所述M个用户的目标行为日志信息中对具有所述第一身份标识信息的目标行为日志信息进行聚类处理，得到所述第一用户的第一行为日志信息。


5.根据权利要求1所述的方法，其特征在于，所述根据所述第一行为日志信息和所述关键字段确定所述第一用户的第一行为特征，包括：
根据所述关键字段中的登录时间戳对所述第一行为日志信息进行排序处理，得到所述第一用户的第一行为时间序列；
根据所述登录时间戳相关联的单位粒度周期，在所述第一行为时间序列中获取所述单位粒度周期对应的登录失败次数，根据所述单位粒度周期和所述登录失败次数，确定所述第一用户的第一行为特征。


6.根据权利要求5所述的方法，其特征在于，所述根据所述第一行为特征和所述第二行为特征，对所述第一用户的登录状态进行预测，包括：
根据所述第一行为特征，得到与所述第一用户相关联的第一预测结果；
根据所述第二行为特征，得到与所述第一用户相关联的第二预测结果；
若所述第一预测结果指示所述第一用户为第一类异常用户，且所述第二预测结果指示所述第一用户为第二类异常用户，则确定所述第一用户的登录状态为异常状态；
若所述第一预测结果指示所述第一用户为所述第一类异常用户，且所述第二预测结果指示所述第一用户为正常用户，则确定所述第一用户的登录状态为正常状态。


7.根据权利要求6所述的方法，其特征在于，所述根据所述第一行为特征，得到与所述第一用户相关联的第一预测结果，包括：
将所述第一行为特征分解为携带周期行为特征、趋势行为特征以及残差行为特征的待处理行为特征，将去除所述周期行为特征和所述趋势行为特征的待处理行为特征，确定为所述残差行为特征；
从所述残差行为特征对应的残差时间序列中获取测试分量Ri，将所述测试分量Ri的登录状态配置为待确定状态；i为大于0且小于或者等于n的正整数；n为所述残差时间序列中的所有测试分量的数量；
获取与所述测试分量Ri相关联的第一度量参数，并获取与所述测试分量Ri相关联的第二度量参数；所述第一度量参数是由所述测试分量Ri和所述测试分量Ri相关联的均值和方差所确定的；所述第二度量参数是由所述测试数量n、迭代次数和所述测试分量Ri的辅助查表参数所确定的；
在第一度量参数大于所述第二度量参数时，则将所述测试分量Ri的登录状态由所述待确定状态调整为异常状态，从所述残差时间序列中去除具有异常状态的测试分量Ri，将去除测试分量Ri后的残差时间序列确定为过渡时间序列，根据所述过渡时间序列中的测试分量Rj进行迭代计算，直到所述迭代次数达到迭代阈值时，得到与所述第一用...

【专利技术属性】
技术研发人员：郭豪，陈嘉豪，梁玉，洪春华，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44