CN109902486A - 电子装置、异常用户处理策略智能决策方法及存储介质 - Google Patents
电子装置、异常用户处理策略智能决策方法及存储介质 Download PDFInfo
- Publication number
- CN109902486A CN109902486A CN201910065668.7A CN201910065668A CN109902486A CN 109902486 A CN109902486 A CN 109902486A CN 201910065668 A CN201910065668 A CN 201910065668A CN 109902486 A CN109902486 A CN 109902486A
- Authority
- CN
- China
- Prior art keywords
- user
- operating characteristics
- abnormal user
- abnormal
- characteristics data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 189
- 238000012545 processing Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000005856 abnormality Effects 0.000 claims abstract description 24
- 238000013507 mapping Methods 0.000 claims abstract description 12
- 238000003066 decision tree Methods 0.000 claims description 42
- 108090000623 proteins and genes Proteins 0.000 claims description 8
- 229910017435 S2 In Inorganic materials 0.000 claims 1
- 238000005259 measurement Methods 0.000 description 14
- 230000006399 behavior Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 238000012549 training Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 108010074506 Transfer Factor Proteins 0.000 description 2
- 230000005236 sound signal Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种电子装置、异常用户处理策略智能决策方法以及存储介质,所述方法包括:预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。不仅能节约大量的人力资源,且能够提高结果的准确性。
Description
技术领域
本发明涉及异常处理领域,尤其涉及一种电子装置、异常用户处理策略智能决策方法及存储介质。
背景技术
目前,针对异常数据(异常操作行为)对应的用户(异常用户)进行核查以及选取对应的处理策略的过程,一般都是由人工根据经验进行异常特征分析,然后进一步获取与异常数据相关联的异常用户的其他信息,并进行人工核查并选取对应的处理策略,整个过程存在较多的人工处理环节,且各阶段通常会由不同的人员进行处理,导致各个阶段之间相对分离,无法实现智能决策,不仅浪费大量的人力资源,且无法保证结果的准确性。
发明内容
有鉴于此,为解决上述问题,本发明提出一种电子装置、所述电子装置包括存储器、及与所述存储器连接的处理器,所述处理器用于执行所述存储器上存储的异常用户处理策略智能决策程序,所述异常用户处理策略智能决策程序被所述处理器执行时实现如下步骤:
A1、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
A2、根据有监督学习方法对确定的各个异常用户的异常特征参数进行关键性分析,以得到所述各个异常用户的关键异常特征参数;
A3、将各个异常用户的关键异常特征参数代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
A4、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
优选地,在所述步骤A1中,所述无监督学习方式为聚类算法,所述以无监督学习方式确定出所述多个用户中的异常用户的步骤,包括:
对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇;
分别判断每一个簇中各个操作特征数据的分布,若一个簇中包含的操作特征数据小于第一预设数量,则认为该簇中的用户为异常用户;
若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该簇中的用户为异常用户;
或者,若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
优选地,在所述步骤A2中,所述有监督学习方式为决策树方法,所述步骤A2包括:
利用确定出的异常用户的操作特征数据,构建决策树,所述决策树包含多个节点,每一个节点对应一个操作特征数据且距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要;
选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。
优选地,在所述步骤A3中,所述用户评分公式为:
其中,X为待评分的异常用户的用户评分,w0为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
优选地,所述操作特征数据包括操作用户的用户名、登录IP、时间、操作事件、参数等数据信息。
此外,为实现上述目的,本申请还提出一种异常用户处理策略智能决策方法,其特征在于,所述方法包括如下步骤:
S1、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
S2、根据有监督学习方法对确定的各个异常用户的异常特征参数进行关键性分析,以得到所述各个异常用户的关键异常特征参数;
S3、将各个异常用户的关键异常特征参数代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
S4、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
优选地,在所述步骤S1中,所述无监督学习方式为聚类算法,所述以无监督学习方式确定出所述多个用户中的异常用户的步骤,包括:
对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇;
分别判断每一个簇中各个操作特征数据的分布,若一个簇中包含的操作特征数据小于第一预设数量,则认为该簇中的用户为异常用户;
若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该簇中的用户为异常用户;
或者,若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
优选地,在所述步骤S2中,所述有监督学习方式为决策树方法,所述步骤A2包括:
利用确定出的异常用户的操作特征数据,构建决策树,所述决策树包含多个节点,每一个节点对应一个操作特征数据且距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要;
选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。
优选地,在所述步骤S3中,所述用户评分公式为:
其中,X为待评分的异常用户的用户评分,w0为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
此外,为实现上述目的,本申请还提出一种计算机可读存储介质,所述计算机可读存储介质存储有基于虚拟号码监测查勘程序,所述异常用户处理策略智能决策程序可被至少一个处理器执行,以使所述至少一个处理器执行如上任一实施例所述的异常用户处理策略智能决策方法的步骤。
本发明所提出的电子装置、异常用户处理策略智能决策方法以及存储介质,首先获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;然后根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;再次将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;最后根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。不仅能节约大量的人力资源,且能够提高结果的准确性。
附图说明
图1是本发明提出的电子装置一可选的硬件架构的示意图;
图2是本发明电子装置一实施例中异常用户处理策略智能决策程序的程序模块示意图;
图3是本发明异常用户处理策略智能决策方法较佳实施例的实施流程图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
参阅图1所示,是本发明提出的电子装置一可选的硬件架构示意图。本实施例中,电子装置10可包括,但不仅限于,可通过通信总线14相互通信连接存储器11、处理器12、网络接口13。需要指出的是,图1仅示出了具有组件11-14的电子装置10,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
其中,存储器11至少包括一种类型的计算机可读存储介质,计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器11可以是电子装置10的内部存储单元,例如电子装置10的硬盘或内存。在另一些实施例中,存储器11也可以是电子装置10的外包存储设备,例如电子装置10上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器11还可以既包括电子装置10的内部存储单元也包括其外包存储设备。本实施例中,存储器11通常用于存储安装于电子装置10的操作系统和各类应用软件,例如异常用户处理策略智能决策程序等。此外,存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器12在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。处理器12通常用于控制电子装置10的总体操作。本实施例中,处理器12用于运行存储器11中存储的程序代码或者处理数据,例如运行的异常用户处理策略智能决策程序等。
网络接口13可包括无线网络接口或有线网络接口,网络接口13通常用于在电子装置10与其他电子设备之间建立通信连接。
通信总线14用于实现组件11-13之间的通信连接。
图1仅示出了具有组件11-14以及异常用户处理策略智能决策程序的电子装置10,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
可选地,电子装置10还可以包括用户接口(图1中未示出),用户接口可以包括显示器、输入单元比如键盘,其中,用户接口还可以包括标准的有线接口、无线接口等。
可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED触摸器等。进一步地,显示器也可称为显示屏或显示单元,用于显示在电子装置10中处理信息以及用于显示可视化的用户界面。
可选地,在一些实施例中,电子装置10还可以包括音频单元(音频单元图1中未示出),音频单元可以在电子装置10处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将接收的或者存储的音频数据转换为音频信号;进一步地,电子装置10还可以包括音频输出单元,音频输出单元将音频单元转换的音频信号输出,而且音频输出单元还可以提供与电子装置10执行的特定功能相关的音频输出(例如呼叫信号接收声音、消息接收声音等等),音频输出单元可以包括扬声器、蜂鸣器等等。
可选地,在一些实施例中,电子装置10还可以包括警报单元(图中未示出),警报单元可以提供输出已将事件的发生通知给电子装置10。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或者视频输出之外,警报单元可以以不同的方式提供输出以通知事件的发生。例如,警报单元可以以震动的形式提供输出,当接收到呼叫、消息或一些其他可以使电子装置10进入通信模式时,警报单元可以提供触觉输出(即,振动)以将其通知给用户。
在一实施例中,存储器11中存储的异常用户处理策略智能决策程序被处理器12执行时,实现如下操作:
A100、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
具体地,从用户的操作日志中获取用户的操作特征数据,所述操作特征数据包括,但不仅限于,操作用户的用户名、登录IP、时间、操作事件、参数等数据信息;由于分析用户的异常操作是基于用户的日志数据中用户的操作特征进行的,因此需要采集一定统计周期内用户的日志数据,并从采集的日志数据中获取包含有用户的操作特征数据,具体地,用户的操作特征数据为用于标识或记录用户操作行为的多个特征参数,其中所述操作特征参数可以为,在统计周期内,从用户的操作特征数据中统计出的,确定的用户执行操作的次数,也可以为,在统计周期内,从用户的操作特征数据中统计出的,确定的操作被执行的次数,或者,在统计周期内,确定的用户使用确定的IP的次数等;所述统计周期为至少一天。
在本实施例中,无监督学习方式可以为聚类算法,例如基于距离的聚类算法。可以采用聚类算法对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇。每一个簇中可以包含多个关联度高的用户的操作特征数据。在本实施例中,可以分别判断每一个簇中各个操作特征数据的分布,如果一个簇中仅分布有小于第一预设数量的操作特征数据,例如2的散点,则认为该簇中的操作特征数据为散点,所述散点对应的用户为异常用户;如果一个簇中分布有大于所述第一预设数量的操作特征数据,且该簇中大部分数据离中心数据较远,如离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该整个簇为异常用户的簇;或者,如果一个簇中分布有大于或者等于所述第一预设数量的操作特征数据,且该簇中离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
A200、根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;
具体地,在本实施例中,有监督学习方式可以采用决策树。可以利用决策树选取出各个异常用户的关键异常特征对应的特征数据,具体地,首先利用确定出的异常用户的操作特征数据,构建决策树。通过将多个异常用户的操作特征数据作为训练样本对决策树进行训练,决策树可以学习出异常用户的操作特征数据中的各个特征数据在识别异常用户中的重要程度,在确定出的异常用户的操作特征数据构建出的决策树中,包含多个节点,每一个节点对应一个操作特征数据,距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要。可以选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。例如,在本实施例中,以用户的操作特征数据包括的用户在不同预设时间段内执行操作的次数为例,利用异常用户的操作异常数据构建出的决策树中,包含用户在各个预设时间段执行操作的次数对应的节点,在决策树中,根据用户在各个预设时间段执行操作的次数对识别异常用户的重要程度的不同,不同的时间段对应的执行操作的次数对应的节点在决策树中的深度也不同。
进一步地,在本实施例中,有监督学习方式还可以采用朴素贝叶斯算法。所述朴素贝叶斯算法根据通过确定出的异常用户的特征数据,分别计算每一个特征参数对应的异常概率,特征参数对应的异常概率为当特征参数的数值异常时用户为异常用户的概率。异常概率可以表示特征参数在识别异常用户中的重要程度。对应的异常概率越大的特征参数对于识别异常越重要。在通过朴素贝叶斯算法分别计算出各个特征参数对应的异常概率之后,可以将对应的异常概率大于概率阈值的特征参数作为关键异常特征参数。
A300、将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
具体地,所述预先确定的异常用户评分公式为:
其中,X为待评分的异常用户的用户评分,w0为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
具体地,所述预设常量调整因子用于误差调整,因此w0的取值可以为正数、负数或0。所述异常特征参数的特征权重值可以为预设值,同一个异常特征参数对不同用户来说预设有不同的特征权重值。所述异常特征参数的特征值为在一定统计周期内,异常特征参数所对应的取值,所述统计周期通常可以为至少一天。
A400、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
具体地,在本实施例中,例如对某异常用户的用户评分为A时,对应的处理策略为触发电子取证流程,通过操作数据追溯IP地址定位操作机器,对操作机器进行屏幕取证、硬盘取证、上网行为取证,对于操作人有外发邮件和拷贝权限的,同步提取相关数据信息,保留证据,同时根据不同风险事件判断推送稽核地区。
由上述事实施例可知,本发明提出的电子装置,首先获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;然后根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;再次将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;最后根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。不仅能节约大量的人力资源,且能够提高结果的准确性。
此外,本发明的异常用户处理策略智能决策程序依据其各部分所实现的功能不同,可用具有相同功能的程序模块进行描述。请参阅图2所示,是本发明电子装置一实施例中异常用户处理策略智能决策程序的程序模块示意图。本实施例中,异常用户处理策略智能决策程序依据其各部分所实现的功能的不同,可以被分割成获取模块201、分析模块202、计算模块203以及确定模块204。由上面的描述可知,本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述异常用户处理策略智能决策程序在电子装置10中的执行过程。所述模块201-204所实现的功能或操作步骤均与上文类似,此处不再详述,示例性地,例如其中:
获取模块201用于获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
分析模块202用于根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;
计算模块203用于将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
确定模块204用于根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
此外,本发明还提出一种异常用户处理策略智能决策方法,请参阅图3所示,所述异常用户处理策略智能决策方法包括如下步骤:
S301、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
具体地,从用户的操作日志中获取用户的操作特征数据,所述操作特征数据包括,但不仅限于,操作用户的用户名、登录IP、时间、操作事件、参数等数据信息;由于分析用户的异常操作是基于用户的日志数据中用户的操作特征进行的,因此需要采集一定统计周期内用户的日志数据,并从采集的日志数据中获取包含有用户的操作特征数据,具体地,用户的操作特征数据为用于标识或记录用户操作行为的多个特征参数,其中所述操作特征参数可以为,在统计周期内,从用户的操作特征数据中统计出的,确定的用户执行操作的次数,也可以为,在统计周期内,从用户的操作特征数据中统计出的,确定的操作被执行的次数,或者,在统计周期内,确定的用户使用确定的IP的次数等;所述统计周期为至少一天。
在本实施例中,无监督学习方式可以为聚类算法,例如基于距离的聚类算法。可以采用聚类算法对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇。每一个簇中可以包含多个关联度高的用户的操作特征数据。在本实施例中,可以分别判断每一个簇中各个操作特征数据的分布,如果一个簇中仅分布有小于第一预设数量的操作特征数据,例如2的散点,则认为该簇中的操作特征数据为散点,所述散点对应的用户为异常用户;如果一个簇中分布有大于所述第一预设数量的操作特征数据,且该簇中大部分数据离中心数据较远,如离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该整个簇为异常用户的簇;或者,如果一个簇中分布有大于或者等于所述第一预设数量的操作特征数据,且该簇中离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
S302、根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;
具体地,在本实施例中,有监督学习方式可以采用决策树。可以利用决策树选取出各个异常用户的关键异常特征对应的特征数据,具体地,首先利用确定出的异常用户的操作特征数据,构建决策树。通过将多个异常用户的操作特征数据作为训练样本对决策树进行训练,决策树可以学习出异常用户的操作特征数据中的各个特征数据在识别异常用户中的重要程度,在确定出的异常用户的操作特征数据构建出的决策树中,包含多个节点,每一个节点对应一个操作特征数据,距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要。可以选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。例如,在本实施例中,以用户的操作特征数据包括的用户在不同预设时间段内执行操作的次数为例,利用异常用户的操作异常数据构建出的决策树中,包含用户在各个预设时间段执行操作的次数对应的节点,在决策树中,根据用户在各个预设时间段执行操作的次数对识别异常用户的重要程度的不同,不同的时间段对应的执行操作的次数对应的节点在决策树中的深度也不同。
进一步地,在本实施例中,有监督学习方式还可以采用朴素贝叶斯算法。所述朴素贝叶斯算法根据通过确定出的异常用户的特征数据,分别计算每一个特征参数对应的异常概率,特征参数对应的异常概率为当特征参数的数值异常时用户为异常用户的概率。异常概率可以表示特征参数在识别异常用户中的重要程度。对应的异常概率越大的特征参数对于识别异常越重要。在通过朴素贝叶斯算法分别计算出各个特征参数对应的异常概率之后,可以将对应的异常概率大于概率阈值的特征参数作为关键异常特征参数。
S303、将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
具体地,所述预先确定的异常用户评分公式为:
其中,X为待评分的异常用户的用户评分,w0为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
具体地,所述预设常量调整因子用于误差调整,因此w0的取值可以为正数、负数或0。所述异常特征参数的特征权重值可以为预设值,同一个异常特征参数对不同用户来说预设有不同的特征权重值。所述异常特征参数的特征值为在一定统计周期内,异常特征参数所对应的取值,所述统计周期通常可以为至少一天。
S304、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
具体地,在本实施例中,例如对某异常用户的用户评分为A时,对应的处理策略为触发电子取证流程,通过操作数据追溯IP地址定位操作机器,对操作机器进行屏幕取证、硬盘取证、上网行为取证,对于操作人有外发邮件和拷贝权限的,同步提取相关数据信息,保留证据,同时根据不同风险事件判断推送稽核地区。
由上述事实施例可知,本发明提出的异常用户处理策略智能决策方法,首先
获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;然后根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;再次将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;最后根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。不仅能节约大量的人力资源,且能够提高结果的准确性。
此外,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有异常用户处理策略智能决策程序,所述异常用户处理策略智能决策程序被处理器执行时实现如下操作:
获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
根据有监督学习方法对确定的各个异常用户的异常特征进行关键性分析,以得到所述各个异常用户的关键异常特征;
将各个异常用户的关键异常特征代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
本发明计算机可读存储介质具体实施方式与上述电子装置以及异常用户处理策略智能决策方法各实施例基本相同,在此不作累述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种电子装置,其特征在于,所述电子装置包括存储器、及与所述存储器连接的处理器,所述处理器用于执行所述存储器上存储的异常用户处理策略智能决策程序,所述异常用户处理策略智能决策程序被所述处理器执行时实现如下步骤:
A1、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
A2、根据有监督学习方法对确定的各个异常用户的异常特征参数进行关键性分析,以得到所述各个异常用户的关键异常特征参数;
A3、将各个异常用户的关键异常特征参数代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
A4、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
2.如权利要求1所述的电子装置,其特征在于,在所述步骤A1中,所述无监督学习方式为聚类算法,所述以无监督学习方式确定出所述多个用户中的异常用户的步骤,包括:
对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇;
分别判断每一个簇中各个操作特征数据的分布,若一个簇中包含的操作特征数据小于第一预设数量,则认为该簇中的用户为异常用户;
若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该簇中的用户为异常用户;
或者,若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
3.如权利要求1所述的电子装置,其特征在于,在所述步骤A2中,所述有监督学习方式为决策树方法,所述步骤A2包括:
利用确定出的异常用户的操作特征数据,构建决策树,所述决策树包含多个节点,每一个节点对应一个操作特征数据且距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要;
选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。
4.如权利要求1所述的电子装置,其特征在于,在所述步骤A3中,所述用户评分公式为:
其中,X为待评分的异常用户的用户评分,w0为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
5.如权利要求1-4任一项所述的电子装置,其特征在于,所述操作特征数据包括操作用户的用户名、登录IP、时间、操作事件、参数等数据信息。
6.一种异常用户处理策略智能决策方法,其特征在于,所述方法包括如下步骤:
S1、获取预先确定的多个用户的操作特征数据以及基于所述操作特征数据,以无监督学习方式确定出所述多个用户中的异常用户;
S2、根据有监督学习方法对确定的各个异常用户的异常特征参数进行关键性分析,以得到所述各个异常用户的关键异常特征参数;
S3、将各个异常用户的关键异常特征参数代入预先确定的异常用户评分公式进行用户评分计算,以计算出各个异常用户的用户评分;
S4、根据预先存储的用户评分与异常处理策略之间的映射关系,确定针对各个异常用户所需的异常处理策略。
7.如权利要求6所述的异常用户处理策略智能决策方法,其特征在于,在所述步骤S1中,所述无监督学习方式为聚类算法,所述以无监督学习方式确定出所述多个用户中的异常用户的步骤,包括:
对多个用户的操作特征数据进行聚类,将关联度高的用户的操作特征数据聚合,得到多个簇;
分别判断每一个簇中各个操作特征数据的分布,若一个簇中包含的操作特征数据小于第一预设数量,则认为该簇中的用户为异常用户;
若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,大于或者等于第二预设数量,则认为该簇中的用户为异常用户;
或者,若一个簇中包含的操作特征数据大于或者等于所述第一预设数量,且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数,小于所述第二预设数量,则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。
8.如权利要求6所述的异常用户处理策略智能决策方法,其特征在于,在所述步骤S2中,
所述有监督学习方式为决策树方法,所述步骤A2包括:
利用确定出的异常用户的操作特征数据,构建决策树,所述决策树包含多个节点,每一个节点对应一个操作特征数据且距离决策树的根节点的位置越近的节点对应的操作特征数据在识别异常用户中越重要;
选取决策树中距离所述根节点的深度小于预定义的深度阈值的节点对应的操作特征数据作为关键异常特征。
9.如权利要求6所述的异常用户处理策略智能决策方法,其特征在于,在所述步骤S3中,
所述用户评分公式为:
其中,X为待评分的异常用户的用户评分,wo为预设常量调整因子,wi表示第i个异常特征参数的特征权重值,xi表示第i个异常特征参数的特征值,m为异常特征参数的数量。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有基于虚拟号码监测查勘程序,所述异常用户处理策略智能决策程序可被至少一个处理器执行,以使所述至少一个处理器执行如权利要求6-9中任一项所述的异常用户处理策略智能决策方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910065668.7A CN109902486A (zh) | 2019-01-24 | 2019-01-24 | 电子装置、异常用户处理策略智能决策方法及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910065668.7A CN109902486A (zh) | 2019-01-24 | 2019-01-24 | 电子装置、异常用户处理策略智能决策方法及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109902486A true CN109902486A (zh) | 2019-06-18 |
Family
ID=66944195
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910065668.7A Pending CN109902486A (zh) | 2019-01-24 | 2019-01-24 | 电子装置、异常用户处理策略智能决策方法及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109902486A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111814064A (zh) * | 2020-06-24 | 2020-10-23 | 平安科技(深圳)有限公司 | 基于Neo4j的异常用户处理方法、装置、计算机设备和介质 |
CN114553675A (zh) * | 2022-03-24 | 2022-05-27 | 中国联合网络通信集团有限公司 | 故障网元处理方法、装置及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592008A (zh) * | 2014-10-23 | 2016-05-18 | 腾讯科技(深圳)有限公司 | 用户网络行为处理方法及装置 |
CN107093085A (zh) * | 2016-08-19 | 2017-08-25 | 北京小度信息科技有限公司 | 异常用户识别方法及装置 |
CN108108743A (zh) * | 2016-11-24 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 异常用户识别方法和用于识别异常用户的装置 |
-
2019
- 2019-01-24 CN CN201910065668.7A patent/CN109902486A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592008A (zh) * | 2014-10-23 | 2016-05-18 | 腾讯科技(深圳)有限公司 | 用户网络行为处理方法及装置 |
CN107093085A (zh) * | 2016-08-19 | 2017-08-25 | 北京小度信息科技有限公司 | 异常用户识别方法及装置 |
CN108108743A (zh) * | 2016-11-24 | 2018-06-01 | 百度在线网络技术(北京)有限公司 | 异常用户识别方法和用于识别异常用户的装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111814064A (zh) * | 2020-06-24 | 2020-10-23 | 平安科技(深圳)有限公司 | 基于Neo4j的异常用户处理方法、装置、计算机设备和介质 |
CN114553675A (zh) * | 2022-03-24 | 2022-05-27 | 中国联合网络通信集团有限公司 | 故障网元处理方法、装置及存储介质 |
CN114553675B (zh) * | 2022-03-24 | 2023-05-09 | 中国联合网络通信集团有限公司 | 故障网元处理方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109918279B (zh) | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 | |
CN110347547A (zh) | 基于深度学习的日志异常检测方法、装置、终端及介质 | |
CN110517097A (zh) | 识别异常用户的方法、装置、设备及存储介质 | |
CN111931047B (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
CN109614608A (zh) | 电子装置、文本信息检测方法及存储介质 | |
CN106355115B (zh) | 一种跌落信息处理方法及装置 | |
CN108108743A (zh) | 异常用户识别方法和用于识别异常用户的装置 | |
CN112989332B (zh) | 一种异常用户行为检测方法和装置 | |
CN109862003A (zh) | 本地威胁情报库的生成方法、装置、系统及存储介质 | |
CN111209564B (zh) | 一种云平台安全状态预测方法、装置、设备及存储介质 | |
CN111931048A (zh) | 基于人工智能的黑产账号检测方法及相关装置 | |
CN113904811B (zh) | 异常检测方法、装置、计算机设备和存储介质 | |
CN106407075A (zh) | 一种用于大数据平台的管理方法及系统 | |
CN109902486A (zh) | 电子装置、异常用户处理策略智能决策方法及存储介质 | |
CN112036579A (zh) | 多分类模型自学习在线更新方法、系统及装置 | |
CN117009483A (zh) | 问答服务的生成方法、装置、设备及可读存储介质 | |
US8700637B2 (en) | Complex event processing engine | |
US11290486B1 (en) | Allocating defective computing resources for honeypot services | |
CN110196805B (zh) | 数据处理方法、装置、存储介质和电子装置 | |
CN112052399B (zh) | 一种数据处理方法、装置和计算机可读存储介质 | |
CN107122464A (zh) | 一种辅助决策系统及方法 | |
EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
CN113409096B (zh) | 目标对象识别方法、装置、计算机设备及存储介质 | |
CN114443738A (zh) | 异常数据挖掘方法、装置、设备及介质 | |
CN112764957A (zh) | 应用故障定界方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |