【技术实现步骤摘要】
本专利技术属于计算机,尤其涉及基于操作日志的异常操作识别方法、系统、介质及设备。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、用户异常操作行为识别是保障业务连续性和系统安全性的重要屏障。一方面异常操作可能在系统或业务流程中引发错误,导致业务中断或停滞。进而影响生产力、增加运营成本并影响客户服务和交付。另一方面,异常操作可能涉及到未经授权的访问、篡改,导致恶意代码的注入、敏感信息的泄漏和系统资源的恶意消耗,会损害系统的完整性并导致安全漏洞。因此,识别用户的异常操作是避免上述风险的关键和前提。然而由于操作的连续性、复杂性和多样性,用户异常操作的识别问题始终悬而未决。现有的异常操作识别方法可以分为基于规则、基于统计和基于学习的方法。基于规则的方法通常针对系统中操作的特点人工设计规则识别正常和异常模式,易于理解和实施,但对于复杂或未知的操作识别中效果不佳;基于统计的方法依赖现有操作数据的分布和统计指标识别异常,能够捕捉数据的统计偏差,但在包含噪声、分布不均和存在非线性关系的复杂异常行为中不够敏感。基于学习的方法,特别是其中基于深度学习的策略,适用于复杂、非线性的异常识别。但受模型架构和识别策略的影响,现有方法依然不能较好地处理操作数据中的连续性、复杂性和多样性。
技术实现思路
1、为了解决上述
技术介绍
中存在的至少一项技术问题,本专利技术提供基于操作日志的异常操作识别方法、系统、介质及设备,其基于日志的操作行为数据和自注意力机制
2、为了实现上述目的,本专利技术采用如下技术方案:
3、本专利技术的第一方面提供基于操作日志的异常操作识别方法,包括如下步骤:
4、获取用户操作行为日志数据;
5、采用窗口策略将日志数据分组,构造得到用户操作行为数据集;
6、结合用户操作行为数据集和训练后的异常操作行为识别模型识别得到用户的操作行为识别结果;其中,所述异常操作行为识别模型的构建过程包括两阶段:
7、第一阶段建立用户层级的自注意力模型,整体建模用户自身的操作行为及与其他用户的关系,初步评估用户做出异常行为的概率;
8、第二阶段以第一阶段用户做出异常行为的概率作为引导,建立操作行为层级的自注意力模型,通过建模单个用户一段时间内的操作行为及操作行为间的关系,识别某个用户做出某个操作是否异常。
9、进一步地,获取用户操作行为日志数据后,进行日志分析以及信息表示,包括:
10、从日志数据中提取登录时间、登录地点、登录设备、访问资源、访问数据和访问权限信息;
11、对于登录时间和登录地点,采用数值编码的方式进行编码;
12、对于登录设备、访问资源、访问数据和访问权限信息,采用独热编码的方式进行编码;
13、对于操作行为是否异常的判断用向量化的形式表示,采用1表示异常,0表示正常行为。
14、进一步地,所述采用窗口策略将日志数据分组,包括:
15、采用固定窗口策略,划分基于每个日志发生的时间,同一个固定时间窗口发生的日志被作为第一日志序列;
16、采用滑动窗口策略,滑动窗口由窗口大小和步长两个属性组成,发生在同一个滑动窗口的日志被分组作为第二日志序列;
17、采用会话窗口策略,根据用户ip或id来识别不同的用户,同一用户在登录至注销内发出的请求序列作为用户本次会话的操作行为序列。
18、进一步地,所述第一阶段建立用户层级的自注意力模型,整体建模用户自身的操作行为及与其他用户的关系,包括:
19、通过用户编码器对用户操作行为数据重新组织,对于固定窗口和滑动窗口,在一个窗口的行为序列中,按照用户ip或id进行组合,将来自同一用户的操作拼接在一起;对于会话窗口,直接执行拼接操作,此时数据由操作行为序列变为用户行为序列,拼接后的数据经过一个由mlp组成的用户编码器得到用户特征编码;结合用户特征编码和面向用户的transformer编码器,学习用户和用户间的关联关系,得到某一窗口中用户间的依赖关系,根据类型或行为模式是否相同判断用户出现异常操作相似的可能性,得到用户编码映射;结合用户编码映射和异常评估器得到用户执行操作内容的异常概率。
20、进一步地,所述第二阶段以第一阶段用户做出异常行为的概率作为引导,建立操作行为层级的自注意力模型,通过建模单个用户一段时间内的操作行为及操作行为间的关系,识别某个用户做出某个操作是否异常,包括:
21、通过操作行为编码器获取每个操作编码;
22、对于每个操作编码,根据用户ip或id和操作类型,在第一阶段的输出找到对应的异常概率,作为操作编码的权值,加权后得到操作编码;
23、结合操作编码和面向操作行为transformer编码器,提取某一窗口中所有操作间的关联关系,得到操作行为的特征编码;
24、结合操作行为的特征编码和异常识别器,将操作行为的特征编码映射为0或1的指示向量,1表示该操作被识别为异常操作,0表示该操作被识别为正常操作。
25、进一步地,异常操作行为识别模型识别训练时,计算用户的操作行为识别结果与真实标注数据的差异,使用bce损失函数计算二分类问题的损失值,将最小化二者间的差异作为最终的学习目标。
26、进一步地,将训练后的异常操作行为识别模型部署至实际环境中,模型的部署分为两种场景,通过第一场景对批量操作行为评估,将所有需要评估的操作作为模型的输入,识别对应批次操作行为中哪些为异常操作;
27、通过第二场景对单个操作行为评估,从该操作开始获取前一个固定窗口的历史数据作为模型的输入,识别当前单个操作行为是否异常。
28、本专利技术的第二方面提供基于操作日志的异常操作识别系统,包括:
29、数据获取模块,被配置为获取用户操作行为日志数据;
30、操作行为数据集构造模块,被配置为采用窗口策略将日志数据分组,构造得到用户操作行为数据集;
31、异常操作行为识别模块,被配置为结合用户操作行为数据集和训练后的异常操作行为识别模型识别得到用户的操作行为识别结果;其中,所述异常操作行为识别模型的构建过程包括两阶段:
32、第一阶段建立用户层级的自注意力模型,整体建模用户自身的操作行为及与其他用户的关系,初步评估用户做出异常行为的概率;
33、第二阶段以第一阶段用户做出异常行为的概率作为引导,建立操作行为层级的自注意力模型,通过建模单个用户一段时间内的操作行为及操作行为间的关系,识别某个用户做出某个操作是否异常。
34、本专利技术的第三方面提供一种计算机可读存储介质。
35、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述所述的基于操本文档来自技高网...
【技术保护点】
1.基于操作日志的异常操作识别方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,获取用户操作行为日志数据后,进行日志分析以及信息表示,包括:
3.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述采用窗口策略将日志数据分组,包括:
4.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述第一阶段建立用户层级的自注意力模型,整体建模用户自身的操作行为及与其他用户的关系,包括:
5.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述第二阶段以第一阶段用户做出异常行为的概率作为引导,建立操作行为层级的自注意力模型,通过建模单个用户一段时间内的操作行为及操作行为间的关系,识别某个用户做出某个操作是否异常,包括:
6.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,异常操作行为识别模型识别训练时,计算用户的操作行为识别结果与真实标注数据的差异,使用BCE损失函数计算二分类问题的损失值,将最小化二者间的差异作为最终的学习目标
7.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,将训练后的异常操作行为识别模型部署至实际环境中,模型的部署分为两种场景,通过第一场景对批量操作行为评估,将所有需要评估的操作作为模型的输入,识别对应批次操作行为中哪些为异常操作;
8.基于操作日志的异常操作识别系统,其特征在于,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的基于操作日志的异常操作识别方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的基于操作日志的异常操作识别方法中的步骤。
...【技术特征摘要】
1.基于操作日志的异常操作识别方法,其特征在于,包括如下步骤:
2.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,获取用户操作行为日志数据后,进行日志分析以及信息表示,包括:
3.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述采用窗口策略将日志数据分组,包括:
4.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述第一阶段建立用户层级的自注意力模型,整体建模用户自身的操作行为及与其他用户的关系,包括:
5.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,所述第二阶段以第一阶段用户做出异常行为的概率作为引导,建立操作行为层级的自注意力模型,通过建模单个用户一段时间内的操作行为及操作行为间的关系,识别某个用户做出某个操作是否异常,包括:
6.如权利要求1所述的基于操作日志的异常操作识别方法,其特征在于,异常操作行为识别模...
【专利技术属性】
技术研发人员:尹义龙,孙皓亮,董作岭,宋广乐,王任,杨璐,田翠环,孟庆钢,
申请(专利权)人:山东大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。