数据检测方法、装置、计算机设备和存储介质制造方法及图纸

本申请公开了一种数据检测方法、装置、计算机设备和存储介质，该方法包括：获取对记录N个对象针对L种操作的执行情况的日志数据进行分析得到的日志参数集；日志参数集包含N个对象针对每种操作的执行参数；按照M个数据空间对日志参数集进行划分得到M个日志参数子集；M个日志参数子集中任一个表示为位于第m个数据空间的第m个日志参数子集；根据第m个日志参数子集生成N个对象在第m个数据空间下针对每种操作的异常执行偏移参数；根据N个对象在第m个数据空间下针对每种操作的异常执行偏移参数，预测N个对象在第m个数据空间下针对每种操作的执行检测结果。采用本申请，可提高所检测到的对象针对操作的执行检测结果的准确性。的对象针对操作的执行检测结果的准确性。的对象针对操作的执行检测结果的准确性。

【技术实现步骤摘要】
数据检测方法、装置、计算机设备和存储介质


[0001]本申请涉及计算机
，尤其涉及一种数据检测方法、装置、计算机设备和存储介质。

技术介绍

[0002]日志审计对于一个拥有大量用户群体的系统而言非常重要，通过日志审计可以及时发现用户的异常操作行为，进而可以对有异常操作行为的用户进行管控，以保护系统安全或者系统信息安全。
[0003]现有应用中，通常是设定一个次数阈值，若某个用户在某段时间内执行某种操作(如用户操作)的次数大于该次数阈值，则可以认为该用户在该段时间内执行该种操作的行为有异常，进而判定该用户是异常用户。但是，现有技术中通过设定次数阈值来检测用户的异常操作行为的方法，若是被作恶用户提前得知该次数阈值，则该作恶用户很容易通过得知的次数阈值进行异常操作行为的规避，使得检测不出该作恶用户的异常操作行为，导致系统不安全。

技术实现思路

[0004]本申请提供了一种数据检测方法、装置、计算机设备和存储介质，可提高所检测的对象针对操作的执行检测结果的准确性，进而提升系统安全。
[0005]本申请一方面提供了一种数据检测方法，该方法包括：
[0006]获取日志参数集；日志参数集是对日志数据进行分析处理得到的，日志数据用于记录N个对象分别针对L种操作的执行情况；日志参数集包含N个对象分别针对每种操作的执行参数；
[0007]按照M个数据空间对日志参数集进行划分，得到M个日志参数子集；M个日志参数子集中的任一个表示为第m个日志参数子集，第m个日志参数子集位于第m个数据空间；第m个日志参数子集中包含N个对象在第m个数据空间下分别针对每种操作的执行参数；m、M均为正整数且m小于或等于M；
[0008]根据第m个日志参数子集生成N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数；
[0009]根据N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数，预测N个对象在第m个数据空间下分别针对每种操作的执行检测结果。
[0010]本申请一方面提供了一种数据检测装置，该装置包括：
[0011]获取模块，用于获取日志参数集；日志参数集是对日志数据进行分析处理得到的，日志数据用于记录N个对象分别针对L种操作的执行情况；日志参数集包含N个对象分别针对每种操作的执行参数；
[0012]划分模块，用于按照M个数据空间对日志参数集进行划分，得到M个日志参数子集；M个日志参数子集中的任一个表示为第m个日志参数子集，第m个日志参数子集位于第m个数
据空间；第m个日志参数子集中包含N个对象在第m个数据空间下分别针对每种操作的执行参数；m、M均为正整数且m小于或等于M；
[0013]生成模块，用于根据第m个日志参数子集生成N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数；
[0014]预测模块，用于根据N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数，预测N个对象在第m个数据空间下分别针对每种操作的执行检测结果。
[0015]可选的，划分模块按照M个数据空间对日志参数集进行划分，得到M个日志参数子集的方式，包括：
[0016]获取L种操作中的冗余操作；
[0017]将日志参数集中N种对象针对冗余操作的执行参数进行过滤，得到过滤参数集；
[0018]按照M个数据空间对过滤参数集进行划分，得到M个日志参数子集。
[0019]可选的，L种操作中的任两种操作表示为第c1种操作和第c2种操作，c1和c2均为小于或等于L的正整数，c1不等于c2；
[0020]划分模块获取L种操作中的冗余操作的方式，包括：
[0021]从日志参数集中提取N个对象针对第c1种操作的执行参数以及N个对象针对第c2种操作的执行参数；
[0022]根据N个对象针对第c1种操作的执行参数以及N个对象针对第c2种操作的执行参数，计算第c1种操作和第c2种操作之间的相关性系数；
[0023]若相关性系数大于系数阈值，则从第c1种操作和第c2种操作中确定冗余操作。
[0024]可选的，划分模块获取L种操作中的冗余操作的方式，包括：
[0025]根据日志参数集中N个对象分别针对L种操作的执行参数，计算每种操作分别对应的操作信息熵；
[0026]将L种操作中对应的操作信息熵小于信息熵阈值的操作确定为冗余操作。
[0027]可选的，N个对象中的任一个表示为目标对象；L种操作中的任一种表示为目标操作；第m个日志参数子集所包含的目标对象的一个执行参数，是目标对象在目标自然日的目标时段内执行目标操作的第一次数；
[0028]生成模块根据第m个日志参数子集生成N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数的方式，包括：
[0029]从第m个日志参数子集中提取目标对象在历史自然日的目标时段内执行目标操作的第二次数，并根据第二次数和第一次数，生成目标对象在目标自然日的目标时段内、针对目标操作的独立执行偏移参数；历史自然日处于目标自然日之前；
[0030]从第m个日志参数子集中提取对象群体在目标自然日的目标时段内执行目标操作的第三次数，并根据第三次数和第一次数，生成目标对象在目标自然日的目标时段内、针对目标操作的群体执行偏移参数；对象群体包括N个对象中与目标对象属于相同对象类型的对象；
[0031]将目标对象针对目标操作的独立执行偏移参数和群体执行偏移参数确定为目标对象针对目标操作的异常执行偏移参数。
[0032]可选的，生成模块根据第二次数和第一次数，生成目标对象在目标自然日的目标时段内、针对目标操作的独立执行偏移参数的方式，包括：
[0033]计算第二次数和第一次数之间的第一均值以及第一标准差；
[0034]根据第一均值和第一标准差确定目标对象针对目标操作的独立执行偏移参数。
[0035]可选的，生成模块根据第三次数和第一次数，生成目标对象在目标自然日的目标时段内、针对目标操作的群体执行偏移参数的方式，包括：
[0036]计算第三次数和第一次数之间的第二均值以及第二标准差；
[0037]根据第二均值和第二标准差确定目标对象针对目标操作的群体执行偏移参数。
[0038]可选的，预测模块根据N个对象在第m个数据空间下分别针对每种操作的异常执行偏移参数，预测N个对象在第m个数据空间下分别针对每种操作的执行检测结果的方式，包括：
[0039]调用第一随机森林模型对N个对象分别针对L种操作的群体执行偏移参数进行参数测算，得到目标对象在目标自然日的目标时段内针对目标操作的群体执行检测结果；
[0040]调用第二随机森林模型对N个对象分别针对L种操作的独立执行偏移参数进行参数测算，得到目标对象在目标自然自的目标时段内针对目标操作的独立执行检测结果；
[0041]根据独立执行检测结果和群体执行检测结果确定目标对象的第一次数对应的执行检测结果。
[0042]可选的，独立执行检测本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据检测方法，其特征在于，所述方法包括：获取日志参数集；所述日志参数集是对日志数据进行分析处理得到的，所述日志数据用于记录N个对象分别针对L种操作的执行情况；所述日志参数集包含所述N个对象分别针对每种操作的执行参数；按照M个数据空间对所述日志参数集进行划分，得到M个日志参数子集；所述M个日志参数子集中的任一个表示为第m个日志参数子集，所述第m个日志参数子集位于第m个数据空间；所述第m个日志参数子集中包含所述N个对象在所述第m个数据空间下分别针对所述每种操作的执行参数；m、M均为正整数且m小于或等于M；根据所述第m个日志参数子集生成所述N个对象在所述第m个数据空间下分别针对所述每种操作的异常执行偏移参数；根据所述N个对象在所述第m个数据空间下分别针对所述每种操作的异常执行偏移参数，预测所述N个对象在所述第m个数据空间下分别针对所述每种操作的执行检测结果。2.根据权利要求1所述的方法，其特征在于，所述按照M个数据空间对所述日志参数集进行划分，得到M个日志参数子集，包括：获取所述L种操作中的冗余操作；将所述日志参数集中所述N种对象针对所述冗余操作的执行参数进行过滤，得到过滤参数集；按照所述M个数据空间对所述过滤参数集进行划分，得到所述M个日志参数子集。3.根据权利要求2所述的方法，其特征在于，所述L种操作中的任两种操作表示为第c1种操作和第c2种操作，c1和c2均为小于或等于L的正整数，c1不等于c2；所述获取所述L种操作中的冗余操作，包括：从所述日志参数集中提取所述N个对象针对所述第c1种操作的执行参数以及所述N个对象针对所述第c2种操作的执行参数；根据所述N个对象针对所述第c1种操作的执行参数以及所述N个对象针对所述第c2种操作的执行参数，计算所述第c1种操作和所述第c2种操作之间的相关性系数；若所述相关性系数大于系数阈值，则从所述第c1种操作和所述第c2种操作中确定所述冗余操作。4.根据权利要求2所述的方法，其特征在于，所述获取所述L种操作中的冗余操作，包括：根据所述日志参数集中所述N个对象分别针对所述L种操作的执行参数，计算每种操作分别对应的操作信息熵；将所述L种操作中对应的操作信息熵小于信息熵阈值的操作确定为所述冗余操作。5.根据权利要求1所述的方法，其特征在于，所述N个对象中的任一个表示为目标对象；所述L种操作中的任一种表示为目标操作；所述第m个日志参数子集所包含的所述目标对象的一个执行参数，是所述目标对象在目标自然日的目标时段内执行所述目标操作的第一次数；所述根据所述第m个日志参数子集生成所述N个对象在所述第m个数据空间下分别针对所述每种操作的异常执行偏移参数，包括：从所述第m个日志参数子集中提取所述目标对象在历史自然日的所述目标时段内执行
所述目标操作的第二次数，并根据所述第二次数和所述第一次数，生成所述目标对象在所述目标自然日的所述目标时段内、针对所述目标操作的独立执行偏移参数；所述历史自然日处于所述目标自然日之前；从所述第m个日志参数子集中提取对象群体在所述目标自然日的所述目标时段内执行所述目标操作的第三次数，并根据所述第三次数和所述第一次数，生成所述目标对象在所述目标自然日的所述目标时段内、针对所述目标操作的群体执行偏移参数；所述对象群体包括所述N个对象中与所述目标对象属于相同对象类型的对象；将所述目标对象针对所述目标操作的独立执行偏移参数和群体执行偏移参数确定为所述目标对象针对所述目标操作的异常执行偏移参数。6.根据权利要求5所述的方法，其特征在于，所述根据所述第二次数和所述第一次数，生成所述目标对象在所述目标自然日的所述目标时段内、针对所述目标操作的独立执行偏移参数，包括：计算所述第二次数和所述第一次数之间的第一均值以及第一标准差；根据所述第一均值和所述第一标准差确定所述目标对象针对所述目标操作的独立执行偏移参数。7.根据权利要求5所述的方法，其特征在于，所述根据所述第三次数和所述第一次数，生成所述目标对象在所述目标自然日的所述目标...

【专利技术属性】
技术研发人员：何越，吕启明，刘志坤，吕晟，孙廉杰，藩永，胡佑璞，郝苏娅，刘啸，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：