【技术实现步骤摘要】
本专利技术一般涉及计算机,具体涉及一种用户异常行为检测方法、装置、设备及存储介质。
技术介绍
1、随着互联网技术和计算机技术的不断发展,为了维护计算机自身系统资源的运行状况,计算机系统一般都会有相应的系统日志,用来记录各个关键点的系统状态和重要事件的相关活动信息。在系统和应用程序变得越来越复杂的过程中,计算机系统可能会受到攻击者的影响,由于系统日志记录了活跃运行的进程中发生的值得注意的事件,因此,为了避免计算机系统受到异常攻击,如何基于系统日志数据对互联网应用平台上的用户行为进行异常检测显得非常重要。
2、目前,相关技术中通过基于系统日志数据,采用逻辑回归、支持向量机(supportvector machine,svm)和随机森林(rf)等监督学习方法进行异常行为检测。然而,该方案中监督学习的异常检测需要人工标注标签,而对于金融产品的异常用户行为数据较少,存在数据样本不平衡,导致依赖人工标注数据建立的预测模型无法对未知类型的异常行为进行判断,使得检测准确度较低。
技术实现思路
1、鉴于现有技术中的上述缺陷或不足,期望提供一种用户异常行为检测方法、装置、设备及存储介质。
2、第一方面,本专利技术提供了一种用户异常行为检测方法,该方法包括:
3、获取待检测日志数据;
4、对所述待检测日志数据进行预处理,得到用户调用接口序列;所述用户调用接口序列包括用户调用接口的路径和调用每个接口对应的时间;
5、将所述用户调用接口序列输入训练
6、在其中一个实施例中,对所述待检测日志数据进行预处理,得到用户调用接口序列,包括:
7、将所述待检测日志数据加载至spark的分布式数据集rdd中;
8、从所述待检测日志数据中确定日志字段,所述日志字段包括设备标识、每条日志响应的时间戳和请求接口标识;
9、基于所述设备标识和所述每条日志响应的时间戳,得到用户调用接口的路径;
10、按照所述请求接口标识出现的频率进行排序,得到调用每个接口对应的时间。
11、在其中一个实施例中,将所述用户调用接口序列输入训练好的异常预测模型进行分类处理,得到所述待检测日志数据中下一个节点的预测结果,包括:
12、将所述用户调用接口序列输入训练好的异常预测模型,通过向量化处理模块对接口特征进行向量化处理,得到向量特征;
13、基于所述用户调用接口序列,得到每个接口的位置编码,将所述每个接口的位置编码和所述向量特征,通过异常预测模型中的特征提取模块进行特征提取处理,得到注意力特征;
14、将所述注意力特征通过异常预测模型中的分类模块进行分类处理,得到所述待检测日志数据中下一个节点的预测结果。
15、在其中一个实施例中,采用预设的异常检测规则对所述预测结果进行处理,确定异常行为,包括:
16、对所述预测结果中每个接口作为下一个节点对应的概率值进行排序;
17、确定概率值不大于预设阈值的的接口作为异常接口,将所述异常接口执行的动作作为异常行为检测结果。
18、在其中一个实施例中,所述异常预测模型的训练过程包括:
19、获取历史日志数据;所述历史日志数据包括下一个节点的真实接口结果;
20、对所述历史日志数据进行预处理,得到历史用户调用接口序列;
21、基于所述下一个节点的真实接口结果和所述历史用户调用接口序列进行训练,得到异常预测模型。
22、在其中一个实施例中,基于所述下一个节点的真实接口结果和所述历史用户调用接口序列进行训练,得到异常预测模型,包括:
23、将所述历史用户调用接口序列输入初始模型进行向量化处理,得到样本向量特征;
24、对所述历史用户调用接口序列中每个接口的位置编码和所述样本向量特征进行特征提取处理,得到样本注意力特征;
25、将所述样本注意力特征进行分类处理,得到输出结果;
26、根据所述输出结果与所述下一个节点的真实接口结果,计算损失函数,按照所述损失函数最小化,采用迭代算法迭代调整初始模型的参数,得到所述异常预测模型。
27、在其中一个实施例中,在将所述用户调用接口序列输入训练好的异常预测模型进行分类处理之前,所述方法还包括:
28、获取执行路径白名单,所述执行路径白名单包括未在训练数据中得到的正常执行路径;
29、基于所述执行路径白名单,对所述用户调用接口序列进行检测。
30、第二方面,本申请实施例提供了用户异常行为检测装置,该装置包括:
31、获取模块,用于获取待检测日志数据;
32、预处理模块,用于对所述待检测日志数据进行预处理,得到用户调用接口序列;所述用户调用接口序列包括用户调用接口的路径和调用每个接口对应的时间;
33、异常检测模块,用于将所述用户调用接口序列输入训练好的异常预测模型进行分类处理,得到所述待检测日志数据中下一个节点的预测结果,采用预设的异常检测规则对所述预测结果进行处理,确定异常行为检测结果。
34、第三方面,本申请实施例提供一种设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行该程序时实现如上述第一方面的用户异常行为检测方法。
35、第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序用于实现如上第一方面的用户异常行为检测方法。
36、本申请实施例提供的用户异常行为检测方法、装置、设备及存储介质,通过获取待检测日志数据,并对待检测日志数据进行预处理,得到用户调用接口序列;该用户调用接口序列包括用户调用接口的路径和调用每个接口对应的时间,然后将用户调用接口序列输入训练好的异常预测模型进行分类处理,得到预测结果,采用预设的异常检测规则对检测结果进行处理,确定异常行为检测结果。本申请中的技术方案相比于现有技术而言,一方面,能够对待检测日志数据进行预处理,得到用户调用接口序列,从而为模型预测时提供更精确的输入指导信息,更细粒度地提取到待检测日志数据对应的用户调用接口序列中每个接口的特征,能够有效提高异常行为检测的识别准确度。另一方面,通过训练好的异常预测模型对用户调用接口序列进行分类处理,能够结合了更为精确且全面的特征来确定预测结果,进而精准地确定出异常行为检测结果,也能够在一定程度上使得本申请所提供方法的检测准确度相比于现有技术有明显提升。
37、本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.一种用户异常行为检测方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,对所述待检测日志数据进行预处理,得到用户调用接口序列,包括:
3.根据权利要求1所述的方法,其特征在于,将所述用户调用接口序列输入训练好的异常预测模型进行分类处理,得到所述待检测日志数据中下一个节点的预测结果,包括:
4.根据权利要求1所述的方法,其特征在于,采用预设的异常检测规则对所述预测结果进行处理,确定异常行为检测结果,包括:
5.根据权利要求3所述的方法,其特征在于,所述异常预测模型的训练过程,包括:
6.根据权利要求5所述的方法,其特征在于,基于所述下一个节点的真实接口结果和所述历史用户调用接口序列进行训练,得到异常预测模型,包括:
7.根据权利要求1所述的方法,其特征在于,在将所述用户调用接口序列输入训练好的异常预测模型进行分类处理之前,所述方法还包括:
8.一种用户异常行为检测装置,其特征在于,所述装置包括:
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在
10.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序用于实现如权利要求1-7任一项所述的用户异常行为检测方法。
...【技术特征摘要】
1.一种用户异常行为检测方法,其特征在于,该方法包括:
2.根据权利要求1所述的方法,其特征在于,对所述待检测日志数据进行预处理,得到用户调用接口序列,包括:
3.根据权利要求1所述的方法,其特征在于,将所述用户调用接口序列输入训练好的异常预测模型进行分类处理,得到所述待检测日志数据中下一个节点的预测结果,包括:
4.根据权利要求1所述的方法,其特征在于,采用预设的异常检测规则对所述预测结果进行处理,确定异常行为检测结果,包括:
5.根据权利要求3所述的方法,其特征在于,所述异常预测模型的训练过程,包括:
6.根据权利要求5所述的方法,其特征在于,基于所述下一个节...
【专利技术属性】
技术研发人员:王安全,但雅波,
申请(专利权)人:湖南微步信息科技有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。