异常行为对象的识别方法、终端设备及介质技术

本发明专利技术适用于信息处理技术领域，提供了一种异常行为对象的识别方法、终端设备及介质，包括：基于用户的网络历史行为数据，确定用户在预设的统计周期内每个时间段的历史行为模式；以组成统计周期的时间段为序，构建历史行为模式序列；基于用户的网络实时行为数据，确定用户的实时行为模式；在历史行为模式序列中，查找与网络实时行为模式在时间段上重合的历史行为模式；判断实时行为模式与查找到的历史行为模式是否匹配；若实时行为模式与查找到的历史行为模式不匹配，则确定用户为异常行为对象。本发明专利技术仅需依赖于后台所收集的网络行为数据即可完成对异常行为对象的识别，无须依靠人工来逐一检查，故提高了异常行为对象的识别效率以及识别准确率。

【技术实现步骤摘要】
异常行为对象的识别方法、终端设备及介质
本专利技术属于信息处理
，尤其涉及一种异常行为对象的识别方法、终端设备及计算机可读存储介质。
技术介绍
企业内部员工所发生的、可能导致违规违纪或产生职业犯罪的行为均为员工异常行为。通过识别出具有异常行为的员工，及时对其行为进行规范管理，能够消除异常行为员工对企业内部其他人员所造成的不良影响。并且，对于企业淘汰态度不正确的员工、选拔优秀管理人才的管理策略来说，同样具有较为重要的参考意义。实际场景中，企业通常都会安排专门的行政人员来定时巡查员工的日常行为，以确定出异常行为员工。然而，这种人工检查的方式存在检查效率较为低下的问题。并且，当员工了解到行政人员即将到来时，也通常会有所预防，因此，难以准确有效地识别出异常行为员工。
技术实现思路
有鉴于此，本专利技术实施例提供了一种异常行为对象的识别方法、终端设备及计算机可读存储介质，以解决现有技术中异常行为对象的识别效率以及识别准确率均较为低下的问题。本专利技术实施例的第一方面提供了一种异常行为对象的识别方法，包括：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；以组成所述统计周期的所述时间段为序，构建历史行为模式序列；基于所述用户的网络实时行为数据，确定所述用户的实时行为模式；在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式；判断所述实时行为模式与查找到的所述历史行为模式是否匹配；若所述实时行为模式与查找到的所述历史行为模式不匹配，则确定所述用户为异常行为对象。本专利技术实施例的第二方面提供了一种终端设备，包括存储器以及处理器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如下步骤：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；以组成所述统计周期的所述时间段为序，构建历史行为模式序列；基于所述用户的网络实时行为数据，确定所述用户的实时行为模式；在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式；判断所述实时行为模式与查找到的所述历史行为模式是否匹配；若所述实时行为模式与查找到的所述历史行为模式不匹配，则确定所述用户为异常行为对象。本专利技术实施例的第三方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如下步骤：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；以组成所述统计周期的所述时间段为序，构建历史行为模式序列；基于所述用户的网络实时行为数据，确定所述用户的实时行为模式；在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式；判断所述实时行为模式与查找到的所述历史行为模式是否匹配；若所述实时行为模式与查找到的所述历史行为模式不匹配，则确定所述用户为异常行为对象。本专利技术实施例中，通过在后台直接收集用户的网络行为历史数据，可根据企业员工的日常行为习惯，构建得到企业员工的历史行为模式序列。在历史行为模式序列中，通过查找在时间段上重合的历史行为模式，在网络实时行为数据所关联的实时行为模式与历史行为模式不匹配时，可以得知，企业员工出现了与其一贯规律或者行为差异较大的行为模式，故将当前时刻的企业员工确定为异常行为对象，可提高异常行为对象的识别准确率。由于本专利技术实施例仅需依赖于后台所收集的网络行为数据即可完成对异常行为对象的识别，无须依靠人工来逐一检查，因此，提高了对异常行为对象的识别效率。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的异常行为对象的识别方法的实现流程图；图2是本专利技术实施例提供的异常行为对象的识别方法S101的具体实现流程图；图3是本专利技术另一实施例提供的异常行为对象的识别方法S101的具体实现流程图；图4是本专利技术又一实施例提供的异常行为对象的识别方法的实现流程图；图5是本专利技术再一实施例提供的异常行为对象的识别方法的实现流程图；图6是本专利技术实施例提供的异常行为对象的识别装置的结构框图；图7是本专利技术实施例提供的终端设备的示意图。具体实施方式以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本专利技术实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本专利技术。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本专利技术的描述。为了说明本专利技术所述的技术方案，下面通过具体实施例来进行说明。图1示出了本专利技术实施例提供的异常行为对象的识别方法的实现流程，详述如下：S101：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式。本专利技术实施例中，网络历史行为数据为用户在使用企业内部系统时所产生的历史日志数据。例如，在过去的一段预设时长之内，用户通过内网进行视频会议时所产生的视频传输数据、通过邮件系统收发邮件时所产生的邮件协议传输数据以及通过门禁系统进行刷卡操作时所产生的考勤数据等，均属于网络历史行为数据。根据预先连接的多个企业内部系统，收集上述多个企业内部系统所上传的历史日志数据。本专利技术实施例中，历史行为模式用于表征与网络历史行为数据匹配的行为事件。每一行为事件与数据的传输协议、标志位信息以及源地址关联。因此，通过对接收到的各项网络历史行为数据进行分析，可确定出网络历史行为数据所对应的历史行为模式。上述历史行为模式包括但不限于收发邮件、网页浏览、视频会议、文档共享传输以及门禁刷卡等模式。为了便于统计各个时间段内用户所对应的历史行为模式，以预设的时长单位为一统计周期，例如，以统计周期为一天、一周或者一个月等。将统计周期分为多个时间段。根据网络历史行为数据的产生时间，确定该网络历史行为数据所属的一个时间段后，将其对应的历史行为模式确定为统计周期内该时间段的历史行为模式。S102：以组成所述统计周期的所述时间段为序，构建历史行为模式序列。本专利技术实施例中，根据历史行为模式所对应的各个时间段的先后顺序，对各个历史行为模式进行排序，以构建得到历史行为模式序列。其中，每一历史行为模式及其在统计周期内所对应的时间段分别以键值以及键名的方式存储于历史行为模式序列中。S103：基于所述用户的网络实时行为数据，确定所述用户的实时行为模式。上文所提及的网络历史行为数据为基于用户在各个历史时间段所触发的行为事件而产生的行为数据，本专利技术实施例中，在判断用户是否为异常行为对象时，获取当前时刻所实时产生的行为数据，即网络实时行为数据。通过对网络实时行为数据进行分析，识别出当前时刻用户的实时行为模式。S104：在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式。根据用户的实时行为模式以及当前时刻所属的一个时间段，在历史行为模式序列中，查找与该时间段对应的历史行为模式。其中，查找得到本文档来自技高网...

【技术保护点】
1.一种异常行为对象的识别方法，其特征在于，包括：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；以组成所述统计周期的所述时间段为序，构建历史行为模式序列；基于所述用户的网络实时行为数据，确定所述用户的实时行为模式；在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式；判断所述实时行为模式与查找到的所述历史行为模式是否匹配；若所述实时行为模式与查找到的所述历史行为模式不匹配，则确定所述用户为异常行为对象。

【技术特征摘要】
1.一种异常行为对象的识别方法，其特征在于，包括：基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；以组成所述统计周期的所述时间段为序，构建历史行为模式序列；基于所述用户的网络实时行为数据，确定所述用户的实时行为模式；在所述历史行为模式序列中，查找与所述网络实时行为模式在所述时间段上重合的历史行为模式；判断所述实时行为模式与查找到的所述历史行为模式是否匹配；若所述实时行为模式与查找到的所述历史行为模式不匹配，则确定所述用户为异常行为对象。2.如权利要求1所述的异常行为对象的识别方法，其特征在于，所述基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式，包括：根据所述用户的职能属性，确定出所述职能属性相同的N个行为对象；在所述统计周期内，根据当前时刻所属的时间段，分别获取每一所述行为对象在该时间段的参考行为模式；若所述用户的实时行为模式与M个所述行为对象在该时间段的所述参考行为模式均不相同，则将所述用户识别为异常行为潜在对象，并基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式；其中，所述N为大于2的整数，所述M为大于零的整数，且M小于或等于N。3.如权利要求2所述的异常行为对象的识别方法，其特征在于，在所述若所述用户的实时行为模式与M个所述行为对象在该时间段的所述参考行为模式均不相同，则将所述用户识别为异常行为潜在对象，并基于用户的网络历史行为数据，确定所述用户在预设的统计周期内每个时间段的历史行为模式之前，还包括：在点阵关系图中，分别生成对应所述实时行为模式的第一映射点以及对应各个所述参考行为模式的第二映射点；确定所述点阵关系图中的各个质心点；通过以下公式，分别计算各个映射点与每一所述质心点的距离值D，所述映射点包括所述第一映射点以及所述第二映射点：其中，所述Sk为当前时刻所述映射点所属的聚类集，所述xj为所述聚类集中所述映射点的坐标值，所述mk为所述聚类集中第k个所述质心点的坐标值；对每一所述映射点，将该映射点与其所述距离值最小的一个所述质心点进行聚类处理，得到更新后的所述聚类集；将聚类迭代次数的统计值加一，并返回执行所述确定所述点阵关系图中的各个质心点的操作，直至所述聚类迭代次数达到预设阈值；在所述第一映射点最终所属的聚类集中，若存在所述参考行为模式对应的第二映射点，且所述第二映射点的数目小于N-M个，则确定所述用户的实时行为模式与M个所述行为对象在该时间段的所述参考行为模式均不相同。4.如权利要求1所述的异常行为对象的识别方法，其特征在于，还包括：若所述实时行为模式与查找到的所述历史行为模式匹配，则确定所述用户为当前时刻的正常行为对象；预测所述用户在下一时刻的潜在行为模式：若与所述潜在行为模式在所述下一时刻所属时间段上重合的历史行为模式与所述潜在行为模式不匹配，则向所述用户发出关于行为约束处理的告警提示。5.如权利要求1所述的异常行为对象的识别方法，其特征在于，还包括：将所述实时行为模式进行标记；在最近预设时长内，根据所述实时行为模式的标记次数，通过预设的计算模型，获取所述实时行为模式的模式权重；上述预设的计算模型具体为：若所述模式权重大于预设阈值，则基于所述实时行为模式，对所述历史行为模式序列进行更新处理；其中，所述Wt_mode为所述实时行为模式的模式...

【专利技术属性】
技术研发人员：王义文，王健宗，肖京，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东,44