CN109919180B - 电子装置、用户操作记录数据的处理方法和存储介质 - Google Patents

电子装置、用户操作记录数据的处理方法和存储介质 Download PDF

Info

Publication number
CN109919180B
CN109919180B CN201910065008.9A CN201910065008A CN109919180B CN 109919180 B CN109919180 B CN 109919180B CN 201910065008 A CN201910065008 A CN 201910065008A CN 109919180 B CN109919180 B CN 109919180B
Authority
CN
China
Prior art keywords
operation record
record data
time threshold
sequence
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910065008.9A
Other languages
English (en)
Other versions
CN109919180A (zh
Inventor
何威
符尊群
杨秋语
刘晓梅
李虹琳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN201910065008.9A priority Critical patent/CN109919180B/zh
Publication of CN109919180A publication Critical patent/CN109919180A/zh
Application granted granted Critical
Publication of CN109919180B publication Critical patent/CN109919180B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开一种电子装置、用户操作记录数据的处理方法和存储介质。本发明获取各个用户对应的操作记录序列;将各个操作记录序列分割成若干个操作记录数据组;从各个操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列;将各个操作内容序列转换成对应的特征向量;将转换得到的所有特征向量进行聚类分析,得到若干个特征向量组;对若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。相较于现有技术,本发明不仅能识别高频操作的异常行为,对于其他异常行为例如非常规次序的异常操作行为也可识别到。

Description

电子装置、用户操作记录数据的处理方法和存储介质
技术领域
本发明涉及计算机技术领域,特别涉及一种电子装置、用户操作记录数据的处理方法和存储介质。
背景技术
随着信息化的推进和互联网的发展,计算机系统已经成为企业乃至国家的重要基础设施。与此同时,信息和网络安全也面临着新的挑战,用户异常行为成为系统安全面临的一大威胁,所谓异常行为是指与正常行为相对应的行为,例如利用自身权限过量访问或下载客户信息,或以非常规的次序进行操作等操作行为。
目前对用户异常行为的识别方法通常是:获取用户操作日志,在用户操作日志中提取用户在各预设时间区间内对各网页的点击次数,当识别到某用户在一预设时间区间内对某一网页的点击次数明显高于其他用户时,将该用户的行为认定为异常行为。该方法的缺陷在于,仅能识别高频操作的异样行为,对于其他异常行为无法识别。
发明内容
本发明的主要目的是提供一种电子装置、用户操作记录数据的处理方法和存储介质,旨在解决现有用户异常行为的识别方法仅能识别高频操作的异样行为,对于其他异常行为无法识别的问题。
为实现上述目的,本发明提出一种电子装置,所述电子装置包括存储器和处理器,所述存储器上存储有用户操作记录数据的处理程序,所述用户操作记录数据的处理程序被所述处理器执行时实现如下步骤:
获取步骤:获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据;
第一分割步骤:根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组;
提取步骤:分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列;
转换步骤:分别将各个所述操作内容序列转换成对应的特征向量;
聚类分析步骤:将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组;
结果分析步骤:按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。
优选地,所述操作记录数据中还包括操作时间数据;所述第一分割步骤包括:
第一计算步骤:根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔;
第二计算步骤:在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量;
第一判断步骤:判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,转入继续执行所述第二计算步骤,或者,当不存在时,转入执行确定步骤;
确定步骤:根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值;
第二分割步骤:判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
优选地,所述聚类分析步骤包括:
聚类步骤:在预先确定的所述聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对所述多个特征向量进行聚类分析,并输出所述当前类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
第二判断步骤:判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续执行所述聚类步骤,或者,当不存在时,转入执行所述结果分析步骤。
优选地,所述结果分析步骤包括:
计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值;
判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件;
将满足预设异常行为条件的特征向量组标记为所述异常向量组。
优选地,所述确定步骤包括:
将时间阈值作为横坐标、分割总数量作为纵坐标建立坐标系,并根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,于所述坐标系中绘制各个所述时间阈值对应的坐标点作为待处理坐标点;
计算相邻两个所述待处理坐标点之间的差异度值;
按照预先确定的选择规则,从所有所述待处理坐标点中选取出若干个待处理坐标点组,所述待处理坐标点组包括预设数量个连续的待处理坐标点;
计算各个所述待处理坐标点组中所有两两相邻的待处理坐标点的差异度值平均值,并选取出所述差异度平均值最小的待处理坐标点组作为最优坐标点组;
计算所述最优坐标点组中所有待处理坐标点的横坐标值的平均值,作为最优时间间隔阈值。
此外,为实现上述目的,本发明还提出一种用户操作记录数据的处理方法,该方法包括步骤:
获取步骤:获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据;
第一分割步骤:根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组;
提取步骤:分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列;
转换步骤:分别将各个所述操作内容序列转换成对应的特征向量;
聚类分析步骤:将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组;
结果分析步骤:按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。
优选地,所述操作记录数据中还包括操作时间数据;所述第一分割步骤包括:
第一计算步骤:根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔;
第二计算步骤:在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量;
第一判断步骤:判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,转入继续执行所述第二计算步骤,或者,当不存在时,转入执行确定步骤;
确定步骤:根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值;
第二分割步骤:判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
优选地,所述聚类分析步骤包括:
聚类步骤:在预先确定的所述聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对所述多个特征向量进行聚类分析,并输出所述当前类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
第二判断步骤:判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续执行所述聚类步骤,或者,当不存在时,转入执行所述结果分析步骤。
优选地,所述结果分析步骤包括:
计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值;
判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件;
将满足预设异常行为条件的特征向量组标记为所述异常向量组。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质存储有用户操作记录数据的处理程序,所述用户操作记录数据的处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述任一项所述的用户操作记录数据的处理方法的步骤。
本发明获取各个用户对应的操作记录序列;根据预先确定的分割规则,将各个操作记录序列分割成若干个操作记录数据组;从各个操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列;将各个操作内容序列转换成对应的特征向量;将转换得到的所有特征向量进行聚类分析,得到若干个特征向量组;按照预先确定的分析规则,对若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。相较于现有技术,本发明通过操作记录序列进行分割,分割得到的操作记录数据组即为一个操作事件对应的操作记录数据,各个操作事件对应的操作记录数据经特征提取后再转换成各个操作事件对应的特征向量,通过聚类分析可将各个操作事件对应的特征向量进行比较。由于同一操作事件中的多个操作之间具有一定的关联性,因此,当一特征向量与其他特征向量均存在较大差异时,通过聚类分析结果即可查找出来。可见,本发明不仅能识别高频操作的异常行为,对于其他异常行为例如非常规次序的异常操作行为也可识别到。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明用户操作记录数据的处理程序第一、第二实施例的运行环境示意图;
图2为本发明用户操作记录数据的处理程序第一实施例的程序模块图;
图3为本发明用户操作记录数据的处理方法第二实施例的程序模块图;
图4为滑动窗口示意图;
图5为操作记录序列的分割示意图;
图6为本发明用户操作记录数据的处理方法第一实施例的流程示意图;
图7为本发明用户操作记录数据的处理方法第二实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
本发明提出一种用户操作记录数据的处理程序。
请参阅图1,是本发明用户操作记录数据的处理程序10第一、第二实施例的运行环境示意图。
在本实施例中,用户操作记录数据的处理程序10安装并运行于电子装置1中。电子装置1可以是桌上型计算机、笔记本、掌上电脑及服务器等计算设备。该电子装置1可包括,但不仅限于,存储器11、处理器12及显示器13。图1仅示出了具有组件11-13的电子装置1,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
存储器11在一些实施例中可以是电子装置1的内部存储单元,例如该电子装置1的硬盘或内存。存储器11在另一些实施例中也可以是电子装置1的外部存储设备,例如电子装置1上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器11还可以既包括电子装置1的内部存储单元也包括外部存储设备。存储器11用于存储安装于电子装置1的应用软件及各类数据,例如用户操作记录数据的处理程序10的程序代码等。存储器11还可以用于暂时地存储已经输出或者将要输出的数据。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行存储器11中存储的程序代码或处理数据,例如执行用户操作记录数据的处理程序10等。
显示器13在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。显示器13用于显示在电子装置1中处理的信息以及用于显示可视化的用户界面。电子装置1的部件11-13通过程序总线相互通信。
请参阅图2,是本发明用户操作记录数据的处理程序10第一实施例的程序模块图。在本实施例中,用户操作记录数据的处理程序10可以被分割成一个或多个模块,一个或者多个模块被存储于存储器11中,并由一个或多个处理器(本实施例为处理器12)所执行,以完成本发明。例如,在图2中,用户操作记录数据的处理程序10可以被分割成获取模块101、分割模块102、提取模块103、转换模块104、聚类分析模块105及结果分析模块106。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述用户操作记录数据的处理程序10在电子装置1中的执行过程,其中:
获取模块101,用于获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据。
具体地,获取模块101获取系统日志,该系统日志存储于系统服务器的存储器中,该系统服务器存储器可以是系统服务器内部的存储器,也可以是系统服务器外部存储器。从获取的系统日志中提取预设时间区间内各个用户的操作记录数据,该操作记录数据中可包括操作内容数据,例如,点击网页的网页标识URL(Uniform Resource Locator,统一资源定位符)等,还可包括操作时间数据(例如,操作时间戳)及用户标识数据(例如,用户名、员工号、设备号等)。根据所述操作记录数据中的操作时间数据,将各个用户对应的若干条操作记录数据按照操作时间顺序排列,以生成各个用户对应的操作记录序列。
分割模块102,用于根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组。
具体地,用户在进行操作时,一个操作事件通常对应多个操作,例如,一个修改密码的操作事件可能对应多个操作,分别为:点击密码修改主页面、点击邮箱输入页面、点击新密码设置页面。操作记录数据可记录操作内容操作时间及用户标识数据,但通过操作记录数据无法区分哪些操作记录数据同属于一个操作事件,因此,分割模块102需按照预先确定的分割规则,将各个所述操作记录序列分割成若干个操作记录数据组,分割得到的各个操作记录数据组则认为是一个操作事件对应的操作记录数据组。
提取模块103,用于分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列。
转换模块104,用于分别将各个所述操作内容序列转换成对应的特征向量。
具体地,转换模块104可通过预先构建的词向量模型(word2vec模型)、TF-IDF(Term Frequency-Inverse Document Frequency,词频-逆文件频率)模型将操作内容序列转换成对应的特征向量。
聚类分析模块105,用于将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组。
优选地,本实施例中,所述聚类分析模块105具体用于:
首先,在预先确定的所述聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对所述多个特征向量进行聚类分析,并输出所述当前类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
然后,判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续选择聚类类别数量进行聚类分析,或者,当不存在时,调用结果分析模块106。
结果分析模块106,用于按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。
优选地,本实施例中,所述结果分析模块106具体用于:
首先,计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值。
然后,判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件。
最后,将满足预设异常行为条件的特征向量组标记为所述异常向量组。
进一步地,在查找出异常向量组之后,可对异常向量组对应的用户操作作进一步的审查,以提高对用户异常行为识别的精确性。
本实施例获取各个用户对应的操作记录序列;根据预先确定的分割规则,将各个操作记录序列分割成若干个操作记录数据组;从各个操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列;将各个操作内容序列转换成对应的特征向量;将转换得到的所有特征向量进行聚类分析,得到若干个特征向量组;按照预先确定的分析规则,对若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。相较于现有技术,本实施例通过操作记录序列进行分割,分割得到的操作记录数据组即为一个操作事件对应的操作记录数据,各个操作事件对应的操作记录数据经特征提取后再转换成各个操作事件对应的特征向量,通过聚类分析可将各个操作事件对应的特征向量进行比较。由于同一操作事件中的多个操作之间具有一定的关联性,因此,当一特征向量与其他特征向量均存在较大差异时,通过聚类分析结果即可查找出来。可见,本实施例不仅能识别高频操作的异常行为,对于其他异常行为例如非常规次序的异常操作行为也可识别到。
参照图3,图3为本发明用户操作记录数据的处理程序10第二实施例的程序模块图。
本实施例在第一实施例的基础上,所述分割模块102包括第一计算单元1021、第二计算单元1022、判断单元1023、确定单元1024及分割单元1025,其中:
第一计算单元1021,用于根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔。
第二计算单元1022,用于在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量。
优选地,本实施例中,上述计算规则包括如下两种方案:
方案一:
首先确定所述操作记录序列中数值大于或等于所述当前时间阈值的操作时间间隔的数量。然后,根据确定的所述操作时间间隔的数量及如下公式计算所述操作记录序列对应的分割数量:
C=n+1
其中,C代表所述操作记录序列对应的分割数量,n代表确定的所述时间间隔的数量。
方案二:
将获取的各个所述操作记录序列中数值大于或等于所述当前时间阈值的操作时间间隔对应的两个相邻的用户操作记录数据进行分割,以将各个所述操作记录序列分割成若干个操作记录数据组,获取各个所述操作记录序列分割得到的操作记录数据组的数量。
判断单元1023,用于判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,调用第二计算单元1022继续选择时间阈值,或者,当不存在时,调用确定单元1024。
确定单元1024,用于根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值。
优选地,确定单元1024具体用于:
首先,如图4所示,将时间阈值作为横坐标、分割总数量作为纵坐标建立坐标系,并根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,于所述坐标系中绘制各个所述时间阈值对应的坐标点作为待处理坐标点。
然后,计算相邻两个所述待处理坐标点之间的差异度值。
具体地,根据如下公式计算相邻两个待处理坐标点之间的差异度值:
其中,Di,i+1为待处理坐标点Pi(xi,yi)、待处理坐标点Pi+1(xi+1,yi+1)之间的差异度值,i∈[1,N],N为所述时间阈值集合中时间阈值的总数量,i、N为正整数。
需要注意的是,上述差异度值的公式可根据具体的应用场景作适当的变形,当然,根据需要还可使用其他适用的公式来计算差异度值,本发明对此不作限定。
接着,按照预先确定的选择规则,从所有所述待处理坐标点中选取出若干个待处理坐标点组,所述待处理坐标点组包括预设数量个连续的待处理坐标点。
具体地,上述预先确定的选择规则包括:
建立预设长度(例如,五个坐标点)的滑动窗口,所述滑动窗口以横坐标值最小的待处理坐标点作为起始点,按照预设的单次滑动长度(例如,一个坐标点)向横坐标值增大的方向滑动,每滑动一次后,将所述滑动窗口中包含的待处理坐标点作为一坐标点组。在所述滑动窗口首次包含横坐标值最大的待处理坐标点时,停止滑动。请继续参照图4,滑动窗口的首端14和末端15限定了滑动窗口的长度,滑动窗口从初始位置滑动至下一位置,其首端14从位置a移动到位置b,其末端15从位置c移动到位置d,由于滑动窗口的长度不变,因此,a与b之间的距离,以及c与d之间的距离相同,该距离即为滑动窗口的单次滑动长度。
接着,从滑动窗口选取出的所有坐标点组中逐一选择坐标点组,在选择出一坐标点组后,判断该坐标点组中两两相邻的待处理坐标点的差异度值是否均小于预设差异度阈值,若是,则选择该坐标点组作为待处理坐标点组,并继续选择下一坐标点组进行判断直至所有的坐标点组均被选择过,若否,则继续选择下一个坐标点组进行判断直至所有的坐标点组均被选择过。
接着,计算各个所述待处理坐标点组中所有两两相邻的待处理坐标点的差异度值平均值。例如,一待处理坐标点组中包括五个待处理坐标点,分别为:P9(x9,y9)、P10(x10,y10)、P11(x11,y11)、P12(x12,y12)、P13(x13,y13),其对应的两两相邻的待处理坐标点的差异度值分别为D9,10、D10,11、D11,12、D12,13,则差异度平均值
接着,选取出所述差异度平均值最小的待处理坐标点组作为最优坐标点组。
最后,计算所述最优坐标点组中所有待处理坐标点的横坐标值的平均值,作为最优时间间隔阈值。或者,在最优坐标点组中选择横坐标值最小的待处理坐标点作为最优待处理坐标点,将该最优待处理坐标点的横坐标值作为最优待处理坐标点。
分割单元1025,用于判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
具体地,请参照图5,图中各点代表操作记录数据,这些操作记录数据按照时间先后顺序组成一个操作记录序列,将操作记录序列中相邻的两个操作记录数据作为一个操作记录数据对,并计算各个操作记录数据对中两操作记录数据之间的操作时间间隔作为该操作记录数据对的操作时间间隔,若该操作记录序列中存在两个操作记录数据对的操作时间间隔大于或者等于时间间隔阈值,分别为004号操作记录数据及005号操作记录数据组成的操作记录数据对,以及007号操作记录数据及008号操作记录数据组成的操作记录数据对,则在004号操作记录数据与005号操作记录数据之间设置分割点A,且在007号操作记录数据与007号操作记录数据之间设置分割点B,根据分割点A及分割点B可将操作记录序列分割成三个操作记录数据组,分别为001号至004号操作记录数据组成的操作记录数据组、005号至007号操作记录数据组成的操作记录数据组、008号至012号操作记录数据组成的操作记录数据组。
本实施例通过根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值,按照该最优时间阈值进行操作记录序列的分割,可更为精确的将同一操作事件对应的操作记录数据划分至同一操作记录数据组。
此外,本发明提出一种用户操作记录数据的处理方法。
如图6所示,图6为本发明用户操作记录数据的处理方法第一实施例的流程示意图。
本实施例中,该方法包括:
步骤S10,获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据。
具体地,获取系统日志,该系统日志存储于系统服务器的存储器中,该系统服务器的存储器可以是系统服务器内部的存储器,也可以是系统服务器外部存储器。从获取的系统日志中提取预设时间区间内各个用户的操作记录数据,该操作记录数据中可包括操作内容数据,例如,点击网页的网页标识URL(Uniform Resource Locator,统一资源定位符)等,还可包括操作时间数据(例如,操作时间戳)及用户标识数据(例如,用户名、员工号、设备号等)。根据所述操作记录数据中的操作时间数据,将各个用户对应的若干条操作记录数据按照操作时间顺序排列,以生成各个用户对应的操作记录序列。
步骤S20,根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组。
具体地,用户在进行操作时,一个操作事件通常对应多个操作,例如,一个修改密码的操作事件可能对应多个操作,分别为:点击密码修改主页面、点击邮箱输入页面、点击新密码设置页面。操作记录数据可记录操作内容操作时间及用户标识数据,但通过操作记录数据无法区分哪些操作记录数据同属于一个操作事件,因此,需按照预先确定的分割规则,将各个所述操作记录序列分割成若干个操作记录数据组,分割得到的各个操作记录数据组则认为是一个操作事件对应的操作记录数据组。
步骤S30,分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列。
步骤S40,分别将各个所述操作内容序列转换成对应的特征向量。
具体地,可通过预先构建的词向量模型(word2vec模型)、TF-IDF(TermFrequency-Inverse Document Frequency,词频-逆文件频率)模型将操作内容序列转换成对应的特征向量。
步骤S50,将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组。
优选地,本实施例中,所述步骤S50包括:
首先,在预先确定的所述聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对所述多个特征向量进行聚类分析,并输出所述当前类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
然后,判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续选择聚类类别数量进行聚类分析,或者,当不存在时,转入执行步骤S60。
步骤S60,按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。
优选地,本实施例中,所述步骤S60包括:
首先,计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值。
然后,判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件。
最后,将满足预设异常行为条件的特征向量组标记为所述异常向量组。
进一步地,在查找出异常向量组之后,可对异常向量组对应的用户操作作进一步的审查,以提高对用户异常行为识别的精确性。
本实施例获取各个用户对应的操作记录序列;根据预先确定的分割规则,将各个操作记录序列分割成若干个操作记录数据组;从各个操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列;将各个操作内容序列转换成对应的特征向量;将转换得到的所有特征向量进行聚类分析,得到若干个特征向量组;按照预先确定的分析规则,对若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组。相较于现有技术,本实施例通过操作记录序列进行分割,分割得到的操作记录数据组即为一个操作事件对应的操作记录数据,各个操作事件对应的操作记录数据经特征提取后再转换成各个操作事件对应的特征向量,通过聚类分析可将各个操作事件对应的特征向量进行比较。由于同一操作事件中的多个操作之间具有一定的关联性,因此,当一特征向量与其他特征向量均存在较大差异时,通过聚类分析结果即可查找出来。可见,本实施例不仅能识别高频操作的异常行为,对于其他异常行为例如非常规次序的异常操作行为也可识别到。
参照图7,图7为本发明用户操作记录数据的处理方法第二实施例的流程示意图。
本实施例在第一实施例的基础上,所述步骤S20包括:
步骤S21,根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔。
步骤S22,在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量。
优选地,本实施例中,上述计算规则包括如下两种方案:
方案一:
首先确定所述操作记录序列中数值大于或等于所述当前时间阈值的操作时间间隔的数量。然后,根据确定的所述操作时间间隔的数量及如下公式计算所述操作记录序列对应的分割数量:
C=n+1
其中,C代表所述操作记录序列对应的分割数量,n代表确定的所述时间间隔的数量。
方案二:
将获取的各个所述操作记录序列中数值大于或等于所述当前时间阈值的操作时间间隔对应的两个相邻的用户操作记录数据进行分割,以将各个所述操作记录序列分割成若干个操作记录数据组,获取各个所述操作记录序列分割得到的操作记录数据组的数量。
步骤S23,判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,转入执行步骤S22,或者,当不存在时,转入执行步骤S24。
步骤S24,根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值。
优选地,步骤S24具体包括:
首先,如图4所示,将时间阈值作为横坐标、分割总数量作为纵坐标建立坐标系,并根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,于所述坐标系中绘制各个所述时间阈值对应的坐标点作为待处理坐标点。
然后,计算相邻两个所述待处理坐标点之间的差异度值。
具体地,根据如下公式计算相邻两个待处理坐标点之间的差异度值:
其中,Di,i+1为待处理坐标点Pi(xi,yi)、待处理坐标点Pi+1(xi+1,yi+1)之间的差异度值,i∈[1,N],N为所述时间阈值集合中时间阈值的总数量,i、N为正整数。
需要注意的是,上述差异度值的公式可根据具体的应用场景作适当的变形,当然,根据需要还可使用其他适用的公式来计算差异度值,本发明对此不作限定。
接着,按照预先确定的选择规则,从所有所述待处理坐标点中选取出若干个待处理坐标点组,所述待处理坐标点组包括预设数量个连续的待处理坐标点。
具体地,上述预先确定的选择规则包括:
请继续参照图4,建立预设长度(例如,五个坐标点)的滑动窗口,所述滑动窗口以横坐标值最小的待处理坐标点作为起始点,按照预设的单次滑动长度(例如,一个坐标点)向横坐标值增大的方向滑动,每滑动一次后,将所述滑动窗口中包含的待处理坐标点作为一坐标点组。在所述滑动窗口首次包含横坐标值最大的待处理坐标点时,停止滑动。从滑动窗口选取出的所有坐标点组中逐一选择坐标点组,在选择出一坐标点组后,判断该坐标点组中两两相邻的待处理坐标点的差异度值是否均小于预设差异度阈值,若是,则选择该坐标点组作为待处理坐标点组,并继续选择下一坐标点组进行判断直至所有的坐标点组均被选择过,若否,则继续选择下一个坐标点组进行判断直至所有的坐标点组均被选择过。
接着,计算各个所述待处理坐标点组中所有两两相邻的待处理坐标点的差异度值平均值。例如,一待处理坐标点组中包括五个待处理坐标点,分别为:P9(x9,y9)、P10(x10,y10)、P11(x11,y11)、P12(x12,y12)、P13(x13,y13),其对应的两两相邻的待处理坐标点的差异度值分别为D9,10、D10,11、D11,12、D12,13,则差异度平均值
接着,选取出所述差异度平均值最小的待处理坐标点组作为最优坐标点组。
最后,计算所述最优坐标点组中所有待处理坐标点的横坐标值的平均值,作为最优时间间隔阈值。或者,在最优坐标点组中选择横坐标值最小的待处理坐标点作为最优待处理坐标点,将该最优待处理坐标点的横坐标值作为最优待处理坐标点。
步骤S25,判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
具体地,请参照图5,图中各点代表操作记录数据,这些操作记录数据按照时间先后顺序组成一个操作记录序列,将操作记录序列中相邻的两个操作记录数据作为一个操作记录数据对,并计算各个操作记录数据对中两操作记录数据之间的操作时间间隔作为该操作记录数据对的操作时间间隔,若该操作记录序列中存在两个操作记录数据对的操作时间间隔大于或者等于时间间隔阈值,分别为004号操作记录数据及005号操作记录数据组成的操作记录数据对,以及007号操作记录数据及008号操作记录数据组成的操作记录数据对,则在004号操作记录数据与005号操作记录数据之间设置分割点A,且在007号操作记录数据与007号操作记录数据之间设置分割点B,根据分割点A及分割点B可将操作记录序列分割成三个操作记录数据组,分别为001号至004号操作记录数据组成的操作记录数据组、005号至007号操作记录数据组成的操作记录数据组、008号至012号操作记录数据组成的操作记录数据组。
本实施例通过根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值,按照该最优时间阈值进行操作记录序列的分割,可更为精确的将同一操作事件对应的操作记录数据划分至同一操作记录数据组。
进一步地,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质存储有用户操作记录数据的处理程序,所述用户操作记录数据的处理程序可被至少一个处理器执行,以使所述至少一个处理器执行上述任一实施例中的用户操作记录数据的处理方法。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims (8)

1.一种电子装置,所述电子装置包括存储器和处理器,其特征在于,所述存储器上存储有用户操作记录数据的处理程序,所述用户操作记录数据的处理程序被所述处理器执行时实现如下步骤:
获取步骤:获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据;
第一分割步骤:根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组;
提取步骤:分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列;
转换步骤:分别将各个所述操作内容序列转换成对应的特征向量;
聚类分析步骤:将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组;
结果分析步骤:按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组;
其中,所述操作记录数据中还包括操作时间数据;所述第一分割步骤包括:第一计算步骤:根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔;第二计算步骤:在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量;第一判断步骤:判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,转入继续执行所述第二计算步骤,或者,当不存在时,转入执行确定步骤;确定步骤:根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值;第二分割步骤:判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
2.如权利要求1所述的电子装置,其特征在于,所述聚类分析步骤包括:
聚类步骤:在预先确定的聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对多个所述特征向量进行聚类分析,并输出所述当前聚类类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
第二判断步骤:判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续执行所述聚类步骤,或者,当不存在时,转入执行所述结果分析步骤。
3.如权利要求2所述的电子装置,其特征在于,所述结果分析步骤包括:
计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值;
判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件;
将满足预设异常行为条件的特征向量组标记为所述异常向量组。
4.如权利要求1所述的电子装置,其特征在于,所述确定步骤包括:
将时间阈值作为横坐标、分割总数量作为纵坐标建立坐标系,并根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,于所述坐标系中绘制各个所述时间阈值对应的坐标点作为待处理坐标点;
计算相邻两个所述待处理坐标点之间的差异度值;
按照预先确定的选择规则,从所有所述待处理坐标点中选取出若干个待处理坐标点组,所述待处理坐标点组包括预设数量个连续的待处理坐标点;
计算各个所述待处理坐标点组中所有两两相邻的待处理坐标点的差异度值平均值,并选取出所述差异度值平均值最小的待处理坐标点组作为最优坐标点组;
计算所述最优坐标点组中所有待处理坐标点的横坐标值的平均值,作为最优时间间隔阈值。
5.一种用户操作记录数据的处理方法,其特征在于,该方法包括步骤:
获取步骤:获取各个预设时间区间内各个用户对应的操作记录序列,各个所述操作记录序列中包括若干条按照操作时间顺序排列的操作记录数据,所述操作记录数据包括操作内容数据;
第一分割步骤:根据预先确定的分割规则,分别将各个所述操作记录序列分割成若干个操作记录数据组;
提取步骤:分别从各个所述操作记录数据组中提取出对应的若干个操作内容数据形成操作内容序列,所述操作内容序列中的操作内容数据按照操作时间顺序排列;
转换步骤:分别将各个所述操作内容序列转换成对应的特征向量;
聚类分析步骤:将转换得到的所有所述特征向量进行聚类分析,得到若干个特征向量组;
结果分析步骤:按照预先确定的分析规则,对所述若干个特征向量组进行分析,并将满足预设异常行为条件的特征向量组标记为异常向量组;
其中,所述操作记录数据中还包括操作时间数据;所述第一分割步骤包括:第一计算步骤:根据各个所述用户操作记录数据中的操作时间信息,计算各所述操作记录序列中相邻两个所述操作记录数据之间的操作时间间隔;第二计算步骤:在预先设置的时间阈值集合中逐一选择时间阈值作为当前时间阈值,在选择一所述当前时间阈值后,判断各个所述操作记录序列中是否存在数值大于或等于所述当前时间阈值的操作时间间隔,当存在时,获取各个所述操作记录序列中所有数值大于或等于所述当前时间阈值的操作时间间隔,根据获取的所述操作时间间隔及预先确定的计算规则,确定各个所述操作记录序列对应的分割数量,并将所有所述操作记录序列对应的分割数量进行加和得到所述当前时间阈值对应的分割总数量;第一判断步骤:判断所述时间阈值集合中是否存在未被选择过的时间阈值,当存在时,转入继续执行所述第二计算步骤,或者,当不存在时,转入执行确定步骤;确定步骤:根据所述时间阈值集合中各个所述时间阈值对应的分割总数量,确定一最优时间阈值;第二分割步骤:判断各个所述操作记录序列中是否存在数值大于或等于所述最优时间阈值的操作时间间隔,当一操作记录序列中存在数值大于或等于所述最优时间阈值的一操作时间间隔时,将该操作时间间隔对应的两个相邻的所述操作记录数据进行分割,以将所述操作记录序列分割成若干个操作记录数据组,当一操作记录序列中不存在数值大于或等于所述最优时间阈值的操作时间间隔时,将所述操作记录序列作为一个操作记录数据组。
6.如权利要求5所述的用户操作记录数据的处理方法,其特征在于,所述聚类分析步骤包括:
聚类步骤:在预先确定的聚类类别数量集合中逐一选择聚类类别数量作为当前聚类类别数量,在选择一所述当前聚类类别数量后,将转换得到的所有所述特征向量输入至预先建立的聚类分析模型中,所述聚类分析模型对多个所述特征向量进行聚类分析,并输出所述当前聚类类别数量个特征向量组作为所述当前聚类类别数量对应的聚类分析结果;
第二判断步骤:判断所述聚类类别数量集合中是否存在未被选择过的聚类类别数量,当存在时,转入继续执行所述聚类步骤,或者,当不存在时,转入执行所述结果分析步骤。
7.如权利要求6所述的用户操作记录数据的处理方法,其特征在于,所述结果分析步骤包括:
计算每一个所述聚类分析结果中各个所述特征向量组的特征向量数量与该聚类分析结果中所有特征向量的总数量之间的比值;
判断所述比值是否小于或等于预设阈值,若是,则判定所述特征向量组满足所述预设异常行为条件,若否,则判定所述特征向量组不满足所述预设异常行为条件;
将满足预设异常行为条件的特征向量组标记为所述异常向量组。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有用户操作记录数据的处理程序,所述用户操作记录数据的处理程序可被至少一个处理器执行,以使所述至少一个处理器执行如权利要求5-7中的任一项所述的用户操作记录数据的处理方法的步骤。
CN201910065008.9A 2019-01-23 2019-01-23 电子装置、用户操作记录数据的处理方法和存储介质 Active CN109919180B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910065008.9A CN109919180B (zh) 2019-01-23 2019-01-23 电子装置、用户操作记录数据的处理方法和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910065008.9A CN109919180B (zh) 2019-01-23 2019-01-23 电子装置、用户操作记录数据的处理方法和存储介质

Publications (2)

Publication Number Publication Date
CN109919180A CN109919180A (zh) 2019-06-21
CN109919180B true CN109919180B (zh) 2023-12-22

Family

ID=66960680

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910065008.9A Active CN109919180B (zh) 2019-01-23 2019-01-23 电子装置、用户操作记录数据的处理方法和存储介质

Country Status (1)

Country Link
CN (1) CN109919180B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110781467A (zh) * 2019-10-22 2020-02-11 武汉极意网络科技有限公司 异常业务数据分析方法、装置、设备及存储介质
CN111030992B (zh) * 2019-11-08 2022-04-15 厦门网宿有限公司 检测方法、服务器及计算机可读存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500307A (zh) * 2013-09-26 2014-01-08 北京邮电大学 一种基于行为模型的移动互联网恶意应用软件检测方法
CN105160181A (zh) * 2015-09-02 2015-12-16 华中科技大学 一种数控系统指令域序列异常数据检测方法
CN107426177A (zh) * 2017-06-13 2017-12-01 努比亚技术有限公司 一种用户行为聚类分析方法及终端、计算机可读存储介质
KR101810860B1 (ko) * 2017-07-19 2017-12-20 주식회사 삼오씨엔에스 개인정보 보안제품 통합관제 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8732100B2 (en) * 2011-04-20 2014-05-20 The United States Of America As Represented By The Secretary Of The Air Force Method and apparatus for event detection permitting per event adjustment of false alarm rate
US20130027561A1 (en) * 2011-07-29 2013-01-31 Panasonic Corporation System and method for improving site operations by detecting abnormalities

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103500307A (zh) * 2013-09-26 2014-01-08 北京邮电大学 一种基于行为模型的移动互联网恶意应用软件检测方法
CN105160181A (zh) * 2015-09-02 2015-12-16 华中科技大学 一种数控系统指令域序列异常数据检测方法
CN107426177A (zh) * 2017-06-13 2017-12-01 努比亚技术有限公司 一种用户行为聚类分析方法及终端、计算机可读存储介质
KR101810860B1 (ko) * 2017-07-19 2017-12-20 주식회사 삼오씨엔에스 개인정보 보안제품 통합관제 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于移相加权球面单簇聚类的周期时间序列异常检测;王骏 等;自动化学报;第37卷(第08期);第984-992页 *

Also Published As

Publication number Publication date
CN109919180A (zh) 2019-06-21

Similar Documents

Publication Publication Date Title
US11222059B2 (en) Data clustering
CN109933502B (zh) 电子装置、用户操作记录的处理方法和存储介质
US10423624B2 (en) Event log analysis
WO2016180268A1 (zh) 一种文本聚合方法及装置
JP6365195B2 (ja) 命令履歴分析プログラム、命令履歴分析装置、および、命令履歴分析方法
US20180210897A1 (en) Model generation method, word weighting method, device, apparatus, and computer storage medium
CN113381963B (zh) 一种域名检测方法、装置和存储介质
CN109919180B (zh) 电子装置、用户操作记录数据的处理方法和存储介质
CN112148841B (zh) 一种对象分类以及分类模型构建方法和装置
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
CN111737966B (zh) 文档重复度检测方法、装置、设备和可读存储介质
US10346450B2 (en) Automatic datacenter state summarization
CN113728321A (zh) 利用训练表的集合来准确预测各种表内的错误
CN114493255A (zh) 基于知识图谱的企业异常监控方法及其相关设备
CN112231696B (zh) 恶意样本的识别方法、装置、计算设备以及介质
CN116192462A (zh) 一种基于pe文件格式的恶意软件分析方法及装置
US9317125B2 (en) Searching of line pattern representations using gestures
JP2021135541A (ja) モデル生成装置、モデル生成方法、及びモデル生成プログラム
CN115048543B (zh) 图像相似判断方法、图像搜索方法及设备
JP6070688B2 (ja) イベント相関規則検出システム、イベント相関規則検出方法およびイベント相関規則検出用プログラム
CN112398794B (zh) 网络异常行为的检测方法、装置、设备及存储介质
CN116483735B (zh) 一种代码变更的影响分析方法、装置、存储介质及设备
US20230132618A1 (en) Method for denoising click data, electronic device and storage medium
CN110008209B (zh) 数据库增强方法及装置
CN118312078A (zh) 作弊用户识别方法、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant