基于人工智能的用户异常行为检测方法、装置及相关设备制造方法及图纸

本发明专利技术涉及人工智能技术领域，提供一种基于人工智能的用户异常行为检测方法、装置及相关设备，所述方法包括：调用目标数据源的接口获取每个用户的第一数据；对第一数据进行预处理，得到第二数据；从第二数据中提取第一特征集和第二特征集；采用预设的多个算法对每个用户进行异常检测，得到第一目标异常值和第二目标异常值；基于第一目标异常值和第二目标异常值确定出异常行为用户；对异常行为用户进行关联分析，得到异常行为用户的异常行为检测结果。本发明专利技术通过采用预设的多个算法，从多个维度对每个用户进行了异常检测，并对异常行为用户从多个维度进行了关联分析，提高了异常行为检测结果的准确性和完整性。检测结果的准确性和完整性。检测结果的准确性和完整性。

【技术实现步骤摘要】
基于人工智能的用户异常行为检测方法、装置及相关设备


[0001]本专利技术涉及人工智能
，具体涉及一种基于人工智能的用户异常行为检测方法、装置及相关设备。

技术介绍

[0002]用户实体行为分析系统作为一种新兴的异常用户检测手段，通过提供画像及基于各种分析方法(机器学习等)发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。
[0003]然而，现有的用户实体行为分析系统采用单一算法进行异常检测，受算法本身的限制，单一算法具有一定的局限性，且受到算法参数的影响，不能较好的找出实际的异常值，导致用户异常检测结果的准确率低。
[0004]因此，有必要提出一种快速准确的检测用户异常行为的方法。

技术实现思路

[0005]鉴于以上内容，有必要提出一种基于人工智能的用户异常行为检测方法、装置及相关设备，通过采用预设的多个算法，从多个维度对每个用户进行了异常检测，并对异常行为用户从多个维度进行了关联分析，提高了异常行为检测结果的准确性和完整性。
[0006]本专利技术的第一方面提供一种基于人工智能的用户异常行为检测方法，所述方法包括：
[0007]解析接收到的用户异常行为检测请求，获取目标数据源；
[0008]调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据；
[0009]对所述每个用户的第一数据进行预处理，得到每个用户的第二数据；
[0010]按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集；
>[0011]采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值；
[0012]基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户；
[0013]对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。
[0014]可选地，所述调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据包括：
[0015]识别所述目标数据源对应业务系统，并从所述业务系统中获取多个预设接口；
[0016]通过kafka实时消费过滤所述多个预设接口的数据，得到多个过滤数据；
[0017]采用正则匹配所述多个过滤数据，判断每个所述过滤数据中是否包含有敏感字段；
[0018]当每个所述过滤数据中包含有敏感字段时，对每个包含有敏感字段的过滤数据进行记录，其中，所述敏感字段包含有一个或者多个；
[0019]识别所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户ID；
[0020]当所述每个包含有敏感字段的过滤数据对应的请求中存在第一用户ID时，将相同第一用户ID与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据；或者
[0021]当所述每个包含有敏感字段的过滤数据对应的请求中不存在第一用户ID时，获取所述每个包含有敏感字段的过滤数据对应的请求的IP，并获取使用所述IP的第二用户ID，将相同第二用户ID与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据。
[0022]可选地，所述按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集包括：
[0023]从所述每个用户的第二数据中提取预设时间段内的第三数据；
[0024]根据所述预设时间段内的工作日和非工作日，对所述第三数据进行分离，得到工作日对应的第三数据和非工作日对应的第三数据；
[0025]按照预设的提取规则从所述工作日对应的第三数据中提取每个用户的第一特征集，及按照预设的提取规则从所述非工作日对应的第三数据汇总提取每个用户的第二特征集。
[0026]可选地，所述采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值包括：
[0027]采用预设的孤立森林算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一异常值；
[0028]采用预设的差分整合移动平均自回归算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第二异常值；
[0029]分别对所述第一异常值和所述第二异常值进行归一化处理，得到每个用户的第一概率和第二概率；
[0030]计算所述每个用户的第一概率与所述预设的孤立森林算法对应的第一权重值的乘积，得到第一乘积，及计算所述每个用户的第二概率与所述预设的差分整合移动平均自回归算法对应的第二权重值的乘积，得到第二乘积；
[0031]计算所述第一乘积与所述第二乘积总和，得到每个用户的第一目标异常值。
[0032]可选地，所述采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值包括：
[0033]采用所述孤立森林算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第三异常值；
[0034]采用所述差分整合移动平均自回归算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第四异常值；
[0035]分别对所述第三异常值和所述第四异常值进行归一化处理，得到每个用户的第三概率和第四概率；
[0036]计算所述每个用户的第三概率与所述孤立森林算法对应的第三权重值的乘积，得
到第三乘积，及计算所述每个用户的第四概率与所述差分整合移动平均自回归算法对应的第四权重值的乘积，得到第四乘积；
[0037]计算所述第三乘积与所述第四乘积总和，得到每个用户的第二目标异常值。
[0038]可选地，所述基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户包括：
[0039]将所述每个用户的第一目标异常值与预设的第一目标异常阈值进行比较，及将所述每个用户的第二目标异常值与预设的第二目标异常阈值进行比较；
[0040]当所述每个用户的第一目标异常值大于或者等于预设的第一目标异常阈值，和/或，所述每个用户的第二目标异常值大于或者等于预设的第二目标异常阈值时，确定所述每个用户为异常行为用户；或者
[0041]当所述每个用户的第一目标异常值小于所述预设的第一目标异常阈值，及所述每个用户的第二目标异常值小于所述预设的第二目标异常阈值时，确定所述每个用户为正常行为用户。
[0042]可选地，所述对所述异常行为用户进行关联分析包括以下一种或者多种方式的组合：
[0043]识别所述异常行为用户的账号是否为共享账号；或者
[0044]识别所述异常行为用户是否有VPN权限；或者
[0045]识别所述异常行为用户命中预设规则的数量；或者
[0046]识别所述异常行为用户是否提离职；或者
[0047]识别所述异常行为用户是否有访问敏感信息权限；或者
[0048]识别所述异本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于人工智能的用户异常行为检测方法，其特征在于，所述方法包括：解析接收到的用户异常行为检测请求，获取目标数据源；调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据；对所述每个用户的第一数据进行预处理，得到每个用户的第二数据；按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集；采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值；基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户；对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。2.如权利要求1所述的基于人工智能的用户异常行为检测方法，其特征在于，所述调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据包括：识别所述目标数据源对应业务系统，并从所述业务系统中获取多个预设接口；通过kafka实时消费过滤所述多个预设接口的数据，得到多个过滤数据；采用正则匹配所述多个过滤数据，判断每个所述过滤数据中是否包含有敏感字段；当每个所述过滤数据中包含有敏感字段时，对每个包含有敏感字段的过滤数据进行记录，其中，所述敏感字段包含有一个或者多个；识别所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户ID；当所述每个包含有敏感字段的过滤数据对应的请求中存在第一用户ID时，将相同第一用户ID与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据；或者当所述每个包含有敏感字段的过滤数据对应的请求中不存在第一用户ID时，获取所述每个包含有敏感字段的过滤数据对应的请求的IP，并获取使用所述IP的第二用户ID，将相同第二用户ID与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据。3.如权利要求1所述的基于人工智能的用户异常行为检测方法，其特征在于，所述按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集包括：从所述每个用户的第二数据中提取预设时间段内的第三数据；根据所述预设时间段内的工作日和非工作日，对所述第三数据进行分离，得到工作日对应的第三数据和非工作日对应的第三数据；按照预设的提取规则从所述工作日对应的第三数据中提取每个用户的第一特征集，及按照预设的提取规则从所述非工作日对应的第三数据汇总提取每个用户的第二特征集。4.如权利要求1所述的基于人工智能的用户异常行为检测方法，其特征在于，所述采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值包括：采用预设的孤立森林算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一异常值；
采用预设的差分整合移动平均自回归算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第二异常值；分别对所述第一异常值和所述第二异常值进行归一化处理，得到每个用户的第一概率和第二概率；计算所述每个用户的第一概率与所述预设的孤立森林算法对应的第一权重值的乘积，得到第一乘积，及计算所述每个用户的第二概率与所述预设的差分整合移动平均自回归算法对应的第二权重值的乘积，得到第二乘积；计算所述第一乘积与所述第二乘积总和，得到每个用户的第一目标异常值...

【专利技术属性】
技术研发人员：王忠玉，
申请(专利权)人：平安普惠企业管理有限公司，
类型：发明
国别省市：