一种检测应用系统操作人员行为异常的方法技术方案

本发明专利技术公开了一种检测应用系统操作人员行为异常的方法，包括检测系统，检测系统包括数据处理模块、前向传播模块、后向传播模块、存储模块、异常检测模块、告警模块，数据处理模块输入端接收时间段内操作人员的操作数据或操作人员的实时操作数据，数据处理模块输出端连接前向传播模块和异常检测模块，前向传播模块连接后向传播模块，后向传播模块连接存储模块，存储模块连接异常检测模块，异常检测模块连接告警模块。本发明专利技术以保护核心业务为核心关注点，解决了网络安全行业对于安全攻防的关注度一直集中于攻击者视角的问题。本发明专利技术较分析菜单点击顺序是否异常的方法而言，解决了其无法辨别特征相近的菜单的问题；可以有效训练出菜单正常点击顺序从而分析操作人员的操作顺序是否存在异常。序是否存在异常。序是否存在异常。

【技术实现步骤摘要】
一种检测应用系统操作人员行为异常的方法


[0001]本专利技术涉及信息安全
，具体为一种检测应用系统操作人员行为异常的方法。

技术介绍

[0002]神经网络是一种运算模型，由大量的节点（或称神经元）之间相互连接构成，每个节点代表一种特定的输出函数，称为激活函数。每两个节点间的连接都代表一个对于通过该连接信号的加权值，称之为权重，这相当于人工神经网络的记忆。网络的输出则依网络的连接方式、权重值和激活函数的不同而不同。而网络自身通常都是对自然界某种算法或者函数的逼近，也可能是对一种逻辑的表达。在神经网络中，信息从上一个神经元直接流转到下一个神经元，直到输出，依据每一个神经元的输入并根据相应规则可以计算出输出，最终得到在当前参数下的损失函数的过程，称为前向传播。反向传播算法是在前向传播算法的基础上，从神经网络的输出层向输入层依次计算损失函数对于各个参数的梯度，并在给定学习率下更新相关参数。
[0003]NLP (Natural Language Processing) 是人工智能(AI)的一个子领域，也是人工智能中最为困难的问题之一。自然语言处理是指利用人类交流所使用的自然语言与机器进行交互通讯的技术。通过人为的对自然语言的处理，使得计算机对其能够可读并理解。自然语言处理的相关研究始于人类对机器翻译的探索。虽然自然语言处理涉及语音、语法、语义、语用等多维度的操作，但简单而言，自然语言处理的基本任务是基于本体词典、词频统计、上下文语义分析等方式对待处理语料进行分词，形成以最小词性为单位，且富含语义的词项单元。本专利技术中涉及自然语言处理中的skip
‑
gram算法。
[0004]语言模型的用处很广泛，比如机器翻译中要经常面对的一个问题就是如何挑选一个概率尽可能大的句子也就是尽量靠谱的句子返回。神经网络语言模型直接从语言模型出发，将模型最优化过程转化为求词向量表示的过程。Word2Vec是依据神经网络语言模型发展而来的，它是从大量文本预料中以无监督方式学习语义知识的模型，被广泛地应用于自然语言处理中，通过上下文来学习语义信息，skip
‑
gram是它的经典模型之一，根据给定的中心词预测上下文。
[0005]网络安全行业对于安全攻防的关注度一直集中于攻击者视角，对于攻击者视角的过度关注致使防守方面临的巨大的压力。一方面，攻击者拥有极高的灵活性和技术优势，防御者一味跟随攻击者的角度进行防守成功率很低；另一方面，防守的关键因素是核心业务的平稳运行，而被攻击者牵制后，会出现核心防御能力分散的问题。对于应用系统环境来说，有必要发展以保护核心业务为核心关注点的检测方法，利用Word2Vec对自然语言的处理方法，学习核心业务的行为逻辑，并准确发现违反逻辑的行为。

技术实现思路

[0006]本专利技术的目的在于提供一种检测应用系统操作人员行为异常的方法，以解决上述

技术介绍
中提出的问题。
[0007]为实现上述目的，本专利技术提供如下技术方案：一种检测应用系统操作人员行为异常的方法，包括检测系统，所述的检测系统包括数据处理模块、前向传播模块、后向传播模块、存储模块、异常检测模块、告警模块，其中，所述的数据处理模块负责对原始业务数据进行遍历菜单ID、数据预处理以及构建训练样本操作；所述的前向传播模块负责构建模型；所述的后向传播模块负责学习优化模型；所述的存储模块负责数据组合与存储；所述的异常检测模块将推理数据与存储模块内数据进行比对查找；所述的告警模块用于向用户反馈操作异常行为；在训练阶段，所述的数据处理模块与前向传播模块连接；所述的前向传播模块与后向传播模块连接；所述的后向传播模块与存储模块连接；所述的存储模块与推理阶段的异常检测模块连接。在推理阶段，所述的数据处理模块与异常检测模块连接；所述的异常检测模块与训练阶段的存储模块连接；所述的异常检测模块与告警模块连接。
[0008]优选的，检测方法包括以下步骤。
[0009]A、数据预处理；包括对原始业务数据进行数据清洗、对菜单进行编号，以及在训练阶段，随机初始化输入菜单向量和输出菜单向量、创建Embedding矩阵和Context矩阵，在推理阶段，从第二条数据开始遍历菜单ID。本步骤的输出将作为后续训练样本构建步骤、异常数据检测步骤的依据。
[0010]B、训练样本构建；本步骤以数据预处理步骤的输出为依据，遍历菜单ID，在每一个训练步骤中，取一个正样本及其相关的负样本。本步骤的输出将作为后续模型构建步骤、学习优化步骤的依据。
[0011]C、模型构建；本步骤以训练样本构建步骤的输出为依据，查找菜单嵌入，对于输入菜单，查看Embedding矩阵，对于输出菜单，查看Context矩阵，输出输入嵌入和输出嵌入；计算输入嵌入与输出嵌入的点积即相似性；将相似度结果转换为概率；定义损失函数。本步骤的输出将作为下一步骤学习优化的依据。
[0012]D、学习优化；本步骤以训练样本构建步骤和模型构建步骤的输出为依据，最大化输出菜单正样本的概率，最小化损失函数，不断学习，优化模型。
[0013]E、数据组合与存储；组合并存储优化后模型输出的最终结果，形成一张“查询表”；根据业务情况及数据信息设定告警阈值并存储。本步骤的输出将作为后续异常数据检测步骤和推送告警步骤的依据。
[0014]F、异常数据检测；本步骤以数据组合与存储步骤的输出和推理阶段数据预处理步骤的输出为依据，遍历推理数据中菜单点击数据，到查询表进行查询比较，查看是否低于设定的阈值。本步骤的输出将作为后续推送告警阶段的依据。
[0015]G、推送告警；本步骤以异常数据检测步骤的结果为依据，可以推送哪位操作人员在点击某菜单之前点击了哪个菜单的行为存在异常以及相应的概率及阈值等信息。
[0016]优选的，所述步骤A具体步骤如下：在训练阶段，ａ、首先设置操作人员ID和菜单ID，原始业务数据中的操作人员列均为操作人员账号名称、菜单均为菜单名称，为方便在此场景中应用更多方法，在这里设置一个大字典，操作人员ID与操作人员账号名称一一对应、菜单ID与菜单名称一一对应；ｂ、选择子集，选择需要进行分析的数据集中的数据列，在这里选择操作人员ID、菜
单ID两列，清洗脏数据；c、随机初始化输入菜单向量和输出菜单向量，维度为M；ｄ、创建Embedding、Context矩阵，这两个矩阵在词汇表中嵌入了每个菜单，其中Embedding矩阵最终要得到的向量矩阵，即每个菜单所各自对应的向量矩阵。Context矩阵为神经网络训练时为输出菜单准备的矩阵，为工具矩阵；在推理阶段，ａ、首先设置操作人员ID和菜单ID，原始业务数据中的操作人员列均为操作人员账号名称、菜单均为菜单名称，为方便在此场景中应用更多方法，在这里设置一个大字典，操作人员ID与操作人员账号名称一一对应、菜单ID与菜单名称一一对应；ｂ、选择子集，选择需要进行分析的数据集中的数据列，在这里选择操作人员ID、菜单ID两列；ｃ、从第二条数据开始遍历菜单ID，根据该菜单ID以及上一条菜单ID到查询表内查询本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测应用系统操作人员行为异常的方法，其特征在于：包括检测系统，所述检测系统包括数据处理模块(1)、一种检测应用系统操作人员行为异常的方法，其特征在于：包括检测系统，所述检测系统包括数据处理模块(1)、前向传播模块(2)、后向传播模块(3)、存储模块(4)、异常检测模块(5)、告警模块(6)，其中，所述的数据处理模块(1)负责对原始业务数据进行遍历菜单ID、数据预处理以及构建训练样本操作；所述的前向传播模块(2)负责构建模型；所述的后向传播模块(3)负责学习优化模型；所述的存储模块(4)负责数据组合与存储；所述的异常检测模块(5)将推理数据与存储模块内数据进行比对查找；所述的告警模块(6)用于向用户反馈操作异常行为；在训练阶段，所述的数据处理模块与前向传播模块连接；所述的前向传播模块与后向传播模块连接；所述的后向传播模块与存储模块连接；所述的存储模块与推理阶段的异常检测模块连接。在推理阶段，所述的数据处理模块与异常检测模块连接；所述的异常检测模块与训练阶段的存储模块连接；所述的异常检测模块与告警模块连接。2.根据权利要求1所述的一种检测应用系统操作人员行为异常的方法，其特征在于：检测方法包括以下步骤：A、数据预处理；包括对原始业务数据进行数据清洗、对菜单进行编号，以及在训练阶段，随机初始化输入菜单向量和输出菜单向量、创建Embedding矩阵和Context矩阵，在推理阶段，从第二条数据开始遍历菜单ID。本步骤的输出将作为后续训练样本构建步骤、异常数据检测步骤的依据。B、训练样本构建；本步骤以数据预处理步骤的输出为依据，遍历菜单ID，在每一个训练步骤中，取一个正样本及其相关的负样本。本步骤的输出将作为后续模型构建步骤、学习优化步骤的依据。C、模型构建；本步骤以训练样本构建步骤的输出为依据，查找菜单嵌入，对于输入菜单，查看Embedding矩阵，对于输出菜单，查看Context矩阵，输出输入嵌入和输出嵌入；计算输入嵌入与输出嵌入的点积即相似性；将相似度结果转换为概率；定义损失函数。本步骤的输出将作为下一步骤学习优化的依据。D、学习优化；本步骤以训练样本构建步骤和模型构建步骤的输出为依据，最大化输出菜单正样本的概率，最小化损失函数，不断学习，优化模型。E、数据组合与存储；组合并存储优化后模型输出的最终结果，形成一张“查询表”；根据业务情况及数据信息设定告警阈值并存储。本步骤的输出将作为后续异常数据检测步骤和推送告警步骤的依据。F、异常数据检测；本步骤以数据组合与存储步骤的输出和推理阶段数据预处理步骤的输出为依据，遍历推理数据中菜单点击数据，到查询表进行查询比较，查看是否低于设定的阈值。本步骤的输出将作为后续推送告警阶段的依据。G、推送告警；本步骤以异常数据检测步骤的结果为依据，可以推送哪位操作人员在点击某菜单之前点击了哪个菜单的行为存在异常以及相应的概率及阈值等信息。3.根据权利要求2所述的一种检测应用系统操作人员行为异常的方法，其特征在于：所述步骤A具体步骤如下：在训练阶段，a、首先设置操作人员ID和菜单ID，原始业务数据中的操作人员列均为操作人员账号名
称、菜单均为菜单名称，为方便在此场景中应用更多方法，在这里设置一个大字典，操作人员ID与操作人员账号名称一一对应、菜单ID与菜单名称一一对应；b、选择子集，选择需要进行分析的数据集中的数据列，在这里选择操作人员ID、菜单ID两列，清洗脏数据；c、随机初始化输入菜单向量和输出菜单向量，维度为M；d、创建Embedding、Context矩阵，这两个矩阵在词汇表中嵌入了每个菜单，其中Embedding矩阵最终要得到的向量矩阵，即每个菜单所各自对应的向量矩阵。Context矩阵为神经网络训练时为输出菜单准备的矩阵，为工具矩阵。在推理阶段，a、首先设置操作人员ID和菜单ID，原始业务数据中的操作人员列均为操作人员账号名称、菜单均为菜单名称，为方便在此场景中应用更多方法，在这里设置一个大字典，操作人员ID与操作人...

【专利技术属性】
技术研发人员：黄乐，王聚鑫，
申请(专利权)人：北京掌数信息技术有限公司，
类型：发明
国别省市：