一种结合人工智能的异常行为分析方法及系统技术方案

本发明专利技术提供一种结合人工智能的异常行为分析方法及系统，在待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志的前提下，在得到已更新行为偏好知识库之后，基于已更新行为偏好知识库，确定待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征；通过各个第二目标行为事件的行为偏好知识特征，指示大数据安全防护终端进行信息安全防护处理。信息安全防护处理。信息安全防护处理。

【技术实现步骤摘要】
一种结合人工智能的异常行为分析方法及系统
[0001]本专利技术是申请号为“CN202210204194.1”、申请日为“2022年03月03日”、申请名称为“一种基于云计算的异常用户行为分析方法及系统”的分案申请。


[0002]本专利技术涉及人工智能
，尤其涉及一种结合人工智能的异常行为分析方法及系统。

技术介绍

[0003]在云计算背景下，通过对用户行为监测获得的数据进行分析研究的行为通常总结为用户行为分析。一方面，通过对正常用户行为进行分析能够让产品更加详细、清楚地了解用户的行为习惯，从而找出不同类型的产品存在的问题，有助于产品升级从而有效提高业务转化率。另一方面，通过对异常用户行为进行分析可以进行适应性的安全信息防护。然而，相关针对异常用户行为的分析技术难以保障信息防护的质量，针对该问题，专利技术人经长期的深入研究分析发现，用于反映异常用户行为的行为偏好的知识库对信息防护质量的影响至关重要，但是上述技术难以获得高质量的应对信息防护的知识库。

技术实现思路

[0004]本专利技术提供一种结合人工智能的异常行为分析方法及系统，为实现上述技术目的，本申请采用如下技术方案。
[0005]第一方面是一种结合人工智能的异常行为分析方法，应用于云计算服务系统，所述方法至少包括：接收待处理的异常用户行为日志和所述待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库；通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型，对所述存在更新需求的行为偏好知识库和所述待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息；其中，所述知识库更新指示信息用于反映所述存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种；通过所述设定人工智能模型和所述知识库更新指示信息，对所述存在更新需求的行为偏好知识库进行更新操作，得到已更新行为偏好知识库。
[0006]如此设计，通过设定人工智能模型，对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息，该知识库更新指示信息可以用于反映存在更新需求的行为偏好知识库中涵盖的待修正知识内容以及待补全知识内容中的至少一种，进而可以通过设定人工智能模型和知识库更新指示信息，对存在更新需求的行为偏好知识库进行更新操作，例如，可以过滤存在更新需求的行为偏好知识库中的待修正知识内容，或者完善存在更新需求的行为偏好知识库中不完整的行为偏好知识特征，得到具有高质量评价的已更新行为偏好知识库。这样一来，可以保障已更新行为偏好知识库从全局层面反映存在攻击威胁和危险意图的行为偏好知识特征，进而为后续的信息安防分析提供准确可信的数据信息基础。
[0007]在一种可示性实施例中，所述通过所述设定人工智能模型和所述知识库更新指示信息，对所述存在更新需求的行为偏好知识库进行更新操作，得到已更新行为偏好知识库，包括：通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集；其中，所述目标关键内容集旨在指示过滤所述存在更新需求的行为偏好知识库中的待修正知识内容，和/或，旨在指示完善所述存在更新需求的行为偏好知识库中的行为偏好知识特征；通过所述目标关键内容集对所述存在更新需求的行为偏好知识库进行更新操作以获得所述已更新行为偏好知识库。
[0008]如此设计，通过获得目标关键内容集，该目标关键内容集能够过滤掉存在更新需求的行为偏好知识库中的待修正知识内容和/或能够完善存在更新需求的行为偏好知识库中的行为偏好知识特征，在通过目标关键内容集对存在更新需求的行为偏好知识库进行更新操作以获得具有高质量评价的已更新行为偏好知识库。
[0009]在一种可示性实施例中，所述通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集，包括：通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集；将第一维度的第一关键内容集作为待处理关键内容集，对所述待处理关键内容集进行关键内容调整以获得第二关键内容集；其中，所述关键内容调整包括滑动平均操作和关键内容扩展中的至少一种；依据所述第二关键内容集和与所述第二关键内容集维度一致的第一关键内容集以获得第三关键内容集；将所述第三关键内容集作为完成调整的待处理关键内容集，跳转到对所述待处理关键内容集进行关键内容调整以获得第二关键内容集的步骤，直到获得的所述第三关键内容集的维度与第一关键内容集对应的第二维度相同，并将第二维度对应的第三关键内容集确定为所述目标关键内容集。
[0010]如此设计，在确定出若干不同维度的第一关键内容集之后，可以对待处理关键内容集进行关键内容调整以获得第二关键内容集，并基于第二关键内容集和与第二关键内容集维度一致的第一关键内容集以获得第三关键内容集，由于与第二关键内容集维度一致的第一关键内容集中关键信息相对完整，避免了特征精简过程中引起的信息不完整的情况，使得第三关键内容集中的关键信息在一定程度上相对完整，进而使得获得的目标关键内容集中的关键信息在一定程度上相对完整，以方便后续基于关键信息在一定程度上相对完整的目标关键内容集，可以获得具有高质量评价的已更新行为偏好知识库。
[0011]在一种可示性实施例中，设定人工智能模型的配置方式如下：接收用于进行模型配置的参考范例，其中，所述用于进行模型配置的参考范例中包括范例异常用户行为日志、范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库，第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评价；通过所述用于进行模型配置的参考范例，配置初始人工智能模型，得到所述设定人工智能模型。
[0012]在一种可示性实施例中，在所述用于进行模型配置的参考范例还包括范例异常用户行为日志对应的范例威胁事件标签分布和范例行为特征类别分布，所述设定人工智能模型中包括并行AI模型和知识库更新模型的前提下，所述通过所述用于进行模型配置的参考范例，配置初始人工智能模型，得到所述设定人工智能模型，包括：将所述第二行为偏好知识库和所述范例异常用户行为日志，加载到所述并行AI模型中，得到所述范例异常用户行
为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、和测试型威胁事件标签分布；将所述测试型知识库更新指示信息和所述第二行为偏好知识库加载到所述知识库更新模型中以获得所述测试型行为偏好知识库；依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集，配置所述初始人工智能模型，得到所述设定人工智能模型。
[0013]如此，用于进行模型配置的参考范例中包括范例行为特征类别分布和范例威胁事件标签分布，通过扩展范例行为特征类别分布和范例威胁事件标签分布，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种结合人工智能的异常行为分析方法，其特征在于，应用于云计算服务系统，所述方法至少包括：在待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志的前提下，在得到已更新行为偏好知识库之后，基于已更新行为偏好知识库，确定待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征；通过各个第二目标行为事件的行为偏好知识特征，指示大数据安全防护终端进行信息安全防护处理。2.根据权利要求1所述的方法，其特征在于，所述通过各个所述第二目标行为事件的行为偏好知识特征，指示所述大数据安全防护终端进行信息安全防护处理，包括：确定所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图；基于所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图之间的意图衍生情况，对所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图进行组合，得到意图组合结果；将组合存在异常的全局数据攻击意图确定为候选全局数据攻击意图，根据所述意图组合结果中的全局数据攻击意图与所述候选全局数据攻击意图之间的意图语义距离，确定与所述候选全局数据攻击意图相对应的数据破坏标签；对与所述候选全局数据攻击意图相对应的数据破坏标签和所述候选全局数据攻击意图进行组合，得到标签组合结果；根据所述标签组合结果和所述意图组合结果，确定所述行为偏好知识特征中的活跃性攻击意图和所述活跃性攻击意图对应的数据破坏标签；结合所述活跃性攻击意图和所述数据破坏标签确定针对所述大数据安全防护终端的控制策略，将所述控制策略下发至所述大数据安全防护终端。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：接收待处理的异常用户行为日志和所述待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库；通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型，对所述存在更新需求的行为偏好知识库和所述待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息；所述知识库更新指示信息用于反映所述存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种；通过所述设定人工智能模型和所述知识库更新指示信息，对所述存在更新需求的行为偏好知识库进行更新操作，得到已更新行为偏好知识库。4.根据权利要求3所述的方法，其特征在于，所述通过所述设定人工智能模型和所述知识库更新指示信息，对所述存在更新需求的行为偏好知识库进行更新操作，得到已更新行为偏好知识库，包括：通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集；其中，所述目标关键内容集具有以下至少一种功能：旨在指示过滤所述存在更新需求的行为偏好知识库中的待修正知识内容，旨在指示完善所述存在更新需求的行为偏好知识库中的行为偏好知识特征；通过所述目标关键内容集对所述存在更新需求的行为偏好知识库进行更新操作以获
得所述已更新行为偏好知识库。5.根据权利要求4所述的方法，其特征在于，所述通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集，包括：通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集；将第一维度的第一关键内容集作为待处理关键内容集，对所述待处理关键内容集进行关键内容调整以获得第二关键内容集；其中，所述关键内容调整包括滑动平均操作和关键内容扩展中的至少一种；依据所述第二关键内容集和与所述第二关键内容集维度一致的第一关键内容集以获得第三关键内容集；将所述第三关键内容集作为完成调整的待处理关键内容集，跳转到对所述待处理关键内容集进行关键内容调整以获得第二关键内容集的步骤，直到获得的所述第三关键内容集的维度与第一关键内容集对应的第二维度相同，并将第二维度对应的第三关键内容集确定为所述目标关键内容集；其中，设定人工智能模型的配置方式如下：接收用于进行模型配置的参考范例，其中，所述用于进行模型配置的参考范例中包括范例异常用户行为日志、范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库，第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评...

【专利技术属性】
技术研发人员：马俊锋，徐彦辉，
申请(专利权)人：陈林，
类型：发明
国别省市：