申请/专利权人：山东大学

申请日：2024-02-02

公开（公告）日：2024-05-03

公开（公告）号：CN117687890B

主分类号：G06F11/34

分类号：G06F11/34;G06N3/0455;G06N3/08;G06N20/00

优先权：

专利状态码：有效-授权

法律状态：2024.05.03#授权;2024.03.29#实质审查的生效;2024.03.12#公开

摘要：本发明属于计算机技术领域，提供了基于操作日志的异常操作识别方法、系统、介质及设备，本发明基于日志的操作行为数据和自注意力机制，构建了操作行为数据库，并通过两阶段的识别模块实现了操作行为的异常识别。与之前的方法相比，本发明首先将原始日志数据转换为特征向量的形式，解决了操作行为数据的复杂性问题；之后采用三种不同的窗口策略将操作行为的特征划分为具有时间属性的操作行为数据集，解决了操作行为数据的连续性问题；最后通过构建用户和操作行为两个阶段的异常识别模块，解决了操作行为多样性的问题。

主权项：1.基于操作日志的异常操作识别方法，其特征在于，包括如下步骤：获取用户操作行为日志数据；采用窗口策略将日志数据分组，构造得到用户操作行为数据集；结合用户操作行为数据集和训练后的异常操作行为识别模型识别得到用户的操作行为识别结果；其中，所述异常操作行为识别模型的构建过程包括两阶段：第一阶段建立用户层级的自注意力模型，整体建模用户自身的操作行为及与其他用户的关系，初步评估用户做出异常行为的概率；第二阶段以第一阶段用户做出异常行为的概率作为引导，建立操作行为层级的自注意力模型，通过建模单个用户一段时间内的操作行为及操作行为间的关系，识别某个用户做出某个操作是否异常；获取用户操作行为日志数据后，进行日志分析以及信息表示，包括：从日志数据中提取登录时间、登录地点、登录设备、访问资源、访问数据和访问权限信息；对于登录时间和登录地点，采用数值编码的方式进行编码；对于登录设备、访问资源、访问数据和访问权限信息，采用独热编码的方式进行编码；对于操作行为是否异常的判断用向量化的形式表示，采用1表示异常，0表示正常行为；所述采用窗口策略将日志数据分组，包括：采用固定窗口策略，划分基于每个日志发生的时间，同一个固定时间窗口发生的日志被作为第一日志序列；采用滑动窗口策略，滑动窗口由窗口大小和步长两个属性组成，发生在同一个滑动窗口的日志被分组作为第二日志序列；采用会话窗口策略，根据用户IP或ID来识别不同的用户，同一用户在登录至注销内发出的请求序列作为用户本次会话的操作行为序列；所述第一阶段建立用户层级的自注意力模型，整体建模用户自身的操作行为及与其他用户的关系，包括：通过用户编码器对用户操作行为数据重新组织，对于固定窗口和滑动窗口，在一个窗口的行为序列中，按照用户IP或ID进行组合，将来自同一用户的操作拼接在一起；对于会话窗口，直接执行拼接操作，此时数据由操作行为序列变为用户行为序列，拼接后的数据经过一个由MLP组成的用户编码器得到用户特征编码；结合用户特征编码和面向用户的Transformer编码器，学习用户和用户间的关联关系，得到某一窗口中用户间的依赖关系，根据类型或行为模式是否相同判断用户出现异常操作相似的可能性，得到用户编码映射；结合用户编码映射和异常评估器得到用户执行操作内容的异常概率；所述第二阶段以第一阶段用户做出异常行为的概率作为引导，建立操作行为层级的自注意力模型，通过建模单个用户一段时间内的操作行为及操作行为间的关系，识别某个用户做出某个操作是否异常，包括：通过操作行为编码器获取每个操作编码；对于每个操作编码，根据用户IP或ID和操作类型，在第一阶段的输出找到对应的异常概率，作为操作编码的权值，加权后得到操作编码；结合操作编码和面向操作行为Transformer编码器，提取某一窗口中所有操作间的关联关系，得到操作行为的特征编码；结合操作行为的特征编码和异常识别器，将操作行为的特征编码映射为的指示向量，表示该操作被识别为异常操作，0表示该操作被识别为正常操作。

全文数据：

权利要求：

百度查询： 山东大学 基于操作日志的异常操作识别方法、系统、介质及设备

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD