本申请涉及人工智能技术领域,特别是涉及一种异常监测方法、装置、计算机设备和存储介质。该方法包括:获取目标用户的全局行为信息;根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常监测结果。本申请能够提高对用户行为监测的准确度。度。度。
【技术实现步骤摘要】
异常监测方法、装置、计算机设备和存储介质
[0001]本申请涉及人工智能
,特别是涉及一种异常监测方法、装置、计算机设备和存储介质。
技术介绍
[0002]用户行为分析(User Behavior Analytics,UBA)作为一种异常行为分析方法,用于对用户在访问系统时做出的行为进行合规性分析。UBA聚焦于用户正在发生的行为,例如,应用启动、网络连接活动、关键的文件访问等等。
[0003]目前,传统技术中在用户行为分析时,主要通过下发特定的基线策略来控制用户访问(操作)行为,其中,基线策略中包含多个用户行为基线,用户行为基线是指根据用户在登录和访问等过程中的各种行为,统计出来的各种常用属性的集合,例如,常用IP集合、常用登录地址集合,常用设备集合等;通过用户行为基线,校验每一个用户操作行为。
[0004]但异常行为复杂多变,目前的基线策略对复杂异常行为的识别准确度较差,导致系统安全性较低。
技术实现思路
[0005]基于此,有必要针对上述技术问题,提供一种能够提高对用户行为监测准确度的异常监测方法、装置、计算机设备和存储介质。
[0006]第一方面,本申请提供了一种异常监测方法,该方法包括:
[0007]获取目标用户的全局行为信息;
[0008]根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;
[0009]根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;
[0010]根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;
[0011]基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常监测结果。
[0012]在其中一个实施例中,根据至少一个与全局行为信息关联的监控节点,以及各个监控节点之间的行为轨迹,生成行为拓扑图,包括:
[0013]将各监控节点分别作为行为拓扑图中的一个图节点;
[0014]根据各监控节点内对应的局部行为信息,确定各监控节点对应的图节点的点属性信息;
[0015]根据不同监控节点之间的行为轨迹,构建行为拓扑图中不同图节点之间的连接边,以及确定各连接边的边属性信息。
[0016]在其中一个实施例中,根据各监控节点内对应的局部行为信息,确定各监控节点对应的图节点的点属性信息,包括:
[0017]针对每一监控节点,确定该监控节点内对应的局部行为信息的可信度;
[0018]根据可信度,确定该监控节点对应的图节点的点属性信息。
[0019]在其中一个实施例中,根据可信度,确定该监控节点对应的图节点的点属性信息,包括:
[0020]将可信度转化为灰度值,并将灰度值,作为该监控节点对应的图节点的点属性信息。
[0021]在其中一个实施例中,根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型,包括:
[0022]根据全局行为信息对应的监控节点的数量,以及各监控节点内对应的局部行为信息的复杂度,从候选行为监测模型中选择目标行为监测模型。
[0023]第二方面,本申请还提供了异常监测装置,该装置包括:
[0024]获取模块,用于获取目标用户的全局行为信息;
[0025]解析模块,用于根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;
[0026]拓扑构建模块,用于根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;
[0027]选择模块,用于根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;
[0028]监测模块,用于基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常监测结果。
[0029]第三方面,本申请还提供了一种计算机设备,该计算机设备包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现以下步骤:
[0030]获取目标用户的全局行为信息;
[0031]根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;
[0032]根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;
[0033]根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;
[0034]基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常监测结果。
[0035]第四方面,本申请还提供了一种计算机可读存储介质,该计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
[0036]获取目标用户的全局行为信息;
[0037]根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;
[0038]根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;
[0039]根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;
[0040]基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常
监测结果。
[0041]第五方面,本申请还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
[0042]获取目标用户的全局行为信息;
[0043]根据全局行为信息,确定至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;
[0044]根据至少一个与全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;
[0045]根据行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;
[0046]基于目标行为监测模型,对行为拓扑图进行异常监测,得到全局行为信息的异常监测结果。
[0047]上述异常监测方法、装置、计算机设备和存储介质,通过根据全局行为信息生成行为拓扑图,且该行为拓扑图包含了目标用户在本次全局行为信息中所涉及到的所有监控节点、监控节点内对应的局部行为信息,以及各个监控节点之间的行为轨迹;根据行为拓扑图的复杂度选择相应的目标行为监测模型,实现对不同复杂度的全局行为信息进行分级准确分析;进一步的,将全局信息统一输入至目标行为监测模型进行分析,相比于基于基线检测策略逐一分析,降低了基线检测的重复调用次数,提高了分析效率和异常监测的准确度;同时,由于利用目标行为监测模型来进行异常本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种异常监测方法,其特征在于,所述方法包括:获取目标用户的全局行为信息;根据所述全局行为信息,确定至少一个与所述全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹;根据至少一个与所述全局行为信息关联的监控节点、各监控节点内的局部行为信息,以及不同监控节点之间的行为轨迹,生成行为拓扑图;根据所述行为拓扑图的复杂度,从候选行为监测模型中确定目标行为监测模型;基于所述目标行为监测模型,对所述行为拓扑图进行异常监测,得到所述全局行为信息的异常监测结果。2.根据权利要求1所述的方法,其特征在于,所述根据至少一个与所述全局行为信息关联的监控节点,以及各个监控节点之间的行为轨迹,生成行为拓扑图,包括:将各监控节点分别作为行为拓扑图中的一个图节点;根据各监控节点内对应的局部行为信息,确定各监控节点对应的图节点的点属性信息;根据不同监控节点之间的行为轨迹,构建所述行为拓扑图中不同图节点之间的连接边,以及确定各连接边的边属性信息。3.根据权利要求2所述的方法,其特征在于,所述根据各监控节点内对应的局部行为信息,确定各监控节点对应的图节点的点属性信息,包括:针对每一监控节点,确定该监控节点内对应的局部行为信息的可信度;根据所述可信度,确定该监控节点对应的图节点的点属性信息。4.根据权利要求3所述的方法,其特征在于,所述根据所述可信度,确定该监控节点对应的图节点的点属性信息,包括:将所述可信度转化为灰度值,并将所述灰度值,作为该监控节点对应的图节点的点属性信息。5.根据权利要求1
‑
4中任一项所述的方法,其特征在于,所述根据所述行为拓扑图的复杂度,...
【专利技术属性】
技术研发人员:高亦然,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。