CN110489311A - 自动检测电脑用户行为及自动更新检测模型的方法和系统 - Google Patents
自动检测电脑用户行为及自动更新检测模型的方法和系统 Download PDFInfo
- Publication number
- CN110489311A CN110489311A CN201910155120.1A CN201910155120A CN110489311A CN 110489311 A CN110489311 A CN 110489311A CN 201910155120 A CN201910155120 A CN 201910155120A CN 110489311 A CN110489311 A CN 110489311A
- Authority
- CN
- China
- Prior art keywords
- uid
- model
- user
- state
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种自动检测电脑用户行为及自动更新检测模型的系统及系统,所述方法包括:所述方法包括:(1)用户数据客户端获取用户数据并上传至所述用户数据服务端;(2)用户数据服务端接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态;(3)模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态;(4)模型管理客户端向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。本发明提供的方法及系统,能分析员工操作电脑的行为,能实现模型的自动训练和自动更新。
Description
技术领域
本发明属于数据分析技术领域,具体涉及一种自动检测电脑用户行为及自动更新检测模型的方法及系统。
背景技术
目前,在可重复性劳动的生产线上,员工的不规范行为(如操作动作,操作时间,操作时长)使得个人工作效率较低,更严重的由于其异常操作还会造成公司的巨大损失。故需要对员工的行为进行数据分析。
所以有必要提供一种自动检测电脑用户行为及自动更新检测模型的方法及方法去解决上述问题。
发明内容
针对现有技术中存在的缺陷,本发明的目的是提供一种自动检测电脑用户行为及自动更新检测模型的方法及系统,不仅能自动检测用户行为,还能让检测模型的训练和增量学习完全自动完成,在多人多模型的任务中,极大减少人工训练模型带来的经济和时间成本。
为达到以上目的,本发明采用的技术方案是:一种自动检测电脑用户行为及自动更新检测模型的方法,所述方法包括:
(1)用户数据客户端获取用户数据并上传至所述用户数据服务端;
(2)用户数据服务端接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态;
(3)模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态;
(4)模型管理客户端向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
进一步的,所述用户数据包括用户信息和用户操作数据;
用户信息包括:电脑用户名user-name、电脑名及用户号uid;
用户操作数据包括:用户操作应用、操作时间及操作时长。
进一步的,步骤(2)具体包括:
用户数据服务端创建uid-state并以此标注uid的状态,并将uid-state和uid保存在mysql表A中;
其中,uid-state包括:1=已分配uid,即所述uid已被模型管理服务端分配至模型管理客户端;2=未分配uid,即所述uid为新增uid。
进一步的,步骤(2)具体还包括:
用户数据服务端创建data-state并以此标记用户操作数据状态,并将data-state按uid保存在hbase表中;
其中,data-state包括:1=数据未被使用、2=数据已被使用和3=数据将被用来增量学习。
进一步的,步骤(3)具体包括:
模型管理服务端定期扫描表A读取uid-state=2的uid,根据模型管理客户端上报主机名host-name,按照预设算法向各模型管理客户端分配读取的用户uid,uid被模型管理服务端读取后会将uid-state的值变更为1。
进一步的,步骤(3)具体还包括:
所述模型管理服务端新建mysql表B,表B用于记录被模型管理服务端分配的uid及其所属host-name,在表B中设训练状态为t-state、增量学习状态为incr-learn;
所述训练状态为t-state包括:1=未训练:uid为新增用户uid,将在后期进行训练;2=正在训练:uid代表的模型正在进行训练;3=已训练:uid代表的模型已训练完毕,可进行用户行为检测;
所述增量学习状态incr-learn包括:1=可以进行增量学习:当增量学习数据满足条件时,模型管理客户端将开启模型增量学习;2=不可进行增量学习:当前增量学习数据未满足条件,模型管理客户端不开启增量学习;
训练状态t-state初始为1,incr-learn初始为2。
进一步的,步骤(4)中模型管理客户端向所述模型管理服务端获取用户uid具体包括:
模型管理客户端定期扫描表B,并以本主机名host-name为筛选条件读取相应uid及其t-state和incr-learn;
根据获取的uid从hbase拉取数据状态data-state=1进行模型训练或行为检测,同时,模型管理客户端将被读取过的数据的data-state更改为2。
进一步的,所述模型训练或行为检测具体包括:
当incr-learn=2时,若t-state=1,则模型管理客户端将此uid输入模型训练模块,启动模型训练,当算法的损失函数收敛到设定范围,模型管理客户端将停止模型训练并将其标记为uid保存;
若t-state=2,模型管理客户端等待模型训练结束,并将t-state变更为3;
若t-state=3,模型管理客户端将启动检测程序,导入此uid模型,输入此uid对应的数据进行计算,并将模型计算的结果保存。
进一步的,所述方法在步骤(4)之后还包括模型管理客户端进行增量学习,增量学习具体包括:
系统管理员设定该模型的incr-learn为1时,t-state同时置为1,模型管理客户端将启动增量学习程序,增量学习完成后,系统会将此uid代表的模型的增量学习状态置为2,并将t-state置为3,表示当前阶段的该uid代表的模型已完成学习,可以进入检测模式。
进一步的,训练模型由深度学习算法LSTM训练生成。
本发明采用的另一种技术方案是:一种自动检测电脑用户行为及自动更新检测模型的系统,所述系统包括:
位于服务器的用户数据服务端、模型管理服务端和模型管理客户端,以及位于用户电脑上的用户数据客户端;
所述用户数据客户端用于获取用户数据并上传至所述用户数据服务端;
所述用户数据服务端用于接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态;
所述模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态;
所述模型管理客户端用于为向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
进一步的,所述系统还包括训练模型、检测模型和增量学习模型;
所述训练模型由深度学习算法LSTM训练生成,用于对输入的uid进行训练;
所述检测模型用于对导入的uid进行检测;
所述增量学习模型用于实现训练模型的自动增量学习。
本发明的效果在于,本发明提供的方法和系统,能快速自动检测单位用户操作电脑的行为,及时发现异常操作;实现多人多模型的自动训练,模型的自动保存;实现模型的自动增量学习,能及时学习用户行为中新的特征。
附图说明
图1是本发明所述方法一实施例的流程示意图;
图2是本发明中所述系统一实施例的结构示意图;
图3是本发明中用户数据服务端与用户数据客户端连接示意图;
图4是本发明中模型管理服务端与模型管理客户端连接示意图;
图5是本发明中模型管理客户端连接示意图。
具体实施方式
为使本发明解决的技术问题、采用的技术方案和达到的技术效果更加清楚,下面将结合附图对本发明实施例的技术方案作进一步的详细描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,均属于本发明保护的范围。
参阅图1所示,图1是本发明所述方法一实施例的流程示意图。所述方法包括以下步骤:
步骤101:用户数据客户端获取用户数据并上传至所述用户数据服务端。
需要说明的是,所述用户数据包括用户信息和用户操作数据。用户信息包括:电脑用户名user-name、电脑名及用户号(User Identification,简称uid);用户操作数据包括:用户操作应用、操作时间及操作时长。用户数据客户端将客户端采集的用户数据通过HTTP协议上传至用户数据服务端。
步骤102:用户数据服务端接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态。
用户数据服务端创建uid-state并以此标注uid的状态,并将uid-state和uid保存在mysql表A中。
其中,uid-state标注的uid的状态分为两类,并通过给每类状态赋值的方法方便处理。但仍需要强调的是,赋值只是处理方法的一种,本发明在此不做限定。
具体的,uid-state包括:1=已分配uid,即所述uid已被模型管理服务端分配至模型管理客户端;2=未分配uid,即所述uid为新增uid。
用户数据服务端创建data-state并以此标记用户操作数据状态,并将data-state按uid保存在hbase表中。Hbase为一种分布式非关系型列式数据库。
其中,和uid-state类似,data-state包括三种状态,并分别被赋值。具体的,data-state包括:1=数据未被使用、2=数据已被使用和3=数据将被用来增量学习。
步骤103:模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态。
模型管理服务端定期扫描表A读取uid-state=2的uid,根据模型管理客户端上报的服务器主机名host-name,按照预设算法向各模型管理客户端分配读取的用户uid,uid被模型管理服务端读取后会将uid-state的值变更为1。在一个具体的实施例中,表A中新增两个uid,分别为A,B。模型管理服务端将根据特定算法,将这表A中的host-name一列中填上对应的主机名,即为完成了uid的分配,并将uid-state的值变为1。所述模型管理服务端还新建mysql表B,表B用于记录被模型管理服务端分配的uid及其所属host-name,在表B中设训练状态为t-state、增量学习状态为incr-learn。
其中,所述训练状态为t-state包括:1=未训练:uid为新增用户uid,将在后期进行训练;2=正在训练:uid代表的模型正在进行训练;3=已训练:uid代表的模型已训练完毕,可进行用户行为检测。
其中,所述增量学习状态incr-learn包括:1=可以进行增量学习:当增量学习数据满足条件时,模型管理客户端将开启模型增量学习;2=不可进行增量学习:当前增量学习数据未满足条件,模型管理客户端不开启增量学习。
需要强调的是,训练状态t-state初始值为1,incr-learn初始值为2。且当incr-learn=1时,t-state将更改为1。当incr-learn=2时,t-state可为三种状态之一。具体的,当incr-learn=2,表示该uid代表的模型不需要增量学习,它代表两种情况,一是,该uid代表的模型从未进行过增量学习,也就是说系统管理员没有对它进行操作,所以t-state可以为1,2,3;二是,系统管理员曾经对该uid代表的模型进行了操作,只是当前的模型状态不需要进行增量学习,但是t-state不能为1了,因为该uid代表的模型已经进行了学习,不再是初始状态,只能为2,3。无论哪种情况,incr-learn为2表示系统管理员没有将该uid代表的模型置为增量学习状态,所以模型的t-state可以为三种状态之一。
步骤104:模型管理客户端向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
模型管理客户端向所述模型管理服务端获取用户uid具体包括:,模型管理客户端定期扫描表B,先以本主机名host-name为筛选条件读取相应uid及其t-state和incr-learn。
再根据获取的uid从hbase拉取数据状态data-state=1进行模型训练或行为检测,同时,模型管理客户端将被读取过的数据的data-state更改为2。
所述模型训练或行为检测具体包括:
当incr-learn=2时,若t-state=1,则模型管理客户端将此uid输入模型训练模块,启动模型训练,当算法的损失函数收敛到设定范围,模型管理客户端将停止模型训练并将其标记为uid保存。还要强调的是,模型管理客户端读取分配给本机的待训练的代表模型的uid,将此uid传入模型代码中,完成对此uid的模型训练,并保存模型。此方法能完成对uid模型的自动训练和检测。当t-state=2,模型管理客户端等待模型训练结束,并将t-state变更为3。具体的,t-state为2时,表示该uid代表的模型正在进行模型学习,当模型学习完成,模型学习程序会发出信号,模型管理客户端接收该信号后,会将模型的t-state置为3,表示模型学习完成。若有新的学习,则重复该过程。
当t-state=3,模型管理客户端将启动检测程序,导入此uid模型,输入此uid对应的数据进行计算,并将模型计算的结果保存。还要强调的是,模型管理客户端要记录hbase中该uid对应的待检测的数据量,当数据数量达到要求时,模型管理客户端才会启动模型进行检测分析。即每个uid用户操作数据的数据量达到要求时,模型管理客户端才会启动模型进行检测分析。所述方法在步骤104之后还包括模型管理客户端进行增量学习,增量学习具体包括:
根据步骤104中的检测结果,由系统管理员决定是否将incr-learn改为1。当系统管理员设定该模型的incr-learn为1时,即进行增量学习,表示该uid代表的模型需要进行增量学习,所以也会将t-state同时置为1。该uid代表的模型将从其他状态转为增量学习状态,直至增量学习完成。增量学习完成后,系统会将此uid代表的模型的增量学习状态置为2,并将t-state置为3,表示当前阶段的该uid代表的模型已完成学习,可以进入检测模式。此方法能完成对uid模型的训练模型自动增量学习。
所述训练模型由深度学习算法长短期记忆网络(long-short termmemorynetwork,简称LSTM)训练生成。长短期记忆网络,是一种时间递归神经网络,适合于处理和预测时间序列中间隔和延迟相对较长的重要事件。本方法中将采集到的所有员工操作的应用进行编码,再将编码进行one-hot生成向量,将生成的向量输入模型进行模型训练或行为检测。
区别于现有技术,本发明提供的一种自动检测电脑用户行为及自动更新检测模型的方法有益效果如下:1.员工深度学习模型检测用户行为是否合规,并将相应结果保存在数据库中,该结果中包含员工操作动作,操作时间,操作时长。该模型能及时发现并提示员工异常操作,实现快速高效的检测,减少员工异常行为带来的损失;2.模型的训练和增量学习完全自动完成,在多人多模型的任务中,此方案能极大减少人工训练模型带来的经济和时间成本。模型的增量学习能使模型学习最新的员工行为特征,使模型准确率、精确度、召回率保持在一个合理可靠的范围内,实现模型带来的经济效益最大化3.模型自动检测用户行为,能达到准实时检测用户行为的目的,员工异常行为能被早发现,早预警。在多人多模型的检测任务中,节省了人工参与检测的大量工作,检测结果能自动保存并上报,保证了检测的时效性。
本发明还提供一种自动检测电脑用户行为及自动更新检测模型的系统。参阅图2,图2是本发明中所述系统一实施例的结构示意图。所述系统包括:位于服务器的用户数据服务端2、模型管理服务端3和模型管理客户端4,以及位于用户电脑上的用户数据客户端1。
参阅图3,图3是本发明中用户数据服务端与用户数据客户端连接示意图。所述用户数据客户端1用于获取用户数据并上传至所述用户数据服务端2。
需要说明的是,所述用户数据包括用户信息和用户操作数据。用户信息包括:电脑用户名user-name、电脑名及用户号(User Identification,简称uid);用户操作数据包括:用户操作应用、操作时间及操作时长。用户数据客户端1将客户端采集的用户数据通过HTTP协议上传至用户数据服务端2。
所述用户数据服务端2用于接收保存用户数据客户端1上传的数据,管理并记录用户数据客户端1状态。
用户数据服务端2创建uid-state并以此标注uid的状态,并将uid-state和uid保存在mysql表A中。
其中,uid-state包括:1=已分配uid,即所述uid已被模型管理服务端3分配至模型管理客户端4;2=未分配uid,即所述uid为新增uid。
用户数据服务端2创建data-state并以此标记用户操作数据状态,并将data-state按uid保存在hbase表中。Hbase为一种分布式非关系型列式数据库。其中,data-state包括:1=数据未被使用、2=数据已被使用和3=数据将被用来增量学习。
参阅图4,图4是本发明中模型管理服务端与模型管理客户端连接示意图。所述模型管理服务端3向所述用户数据服务端2获取用户uid,向所述模型管理客户端4分配获取的uid,更新并维护用户uid状态。
模型管理服务端3定期扫描表A读取uid-state=2的uid,根据模型管理客户端4上报的服务器主机名host-name,按照预设算法向各模型管理客户端4分配读取的用户uid,uid被模型管理服务端3读取后会将uid-state的值变更为1。在一个具体的实施例中,表A中新增两个uid,分别为A,B。模型管理服务端3将根据特定算法,将这表A中的host-name一列中填上对应的主机名,即为完成了uid的分配,并将uid-state的值变为1。
所述模型管理服务端3还新建mysql表B,表B用于记录被模型管理服务端3分配的uid及其所属host-name,在表B中设训练状态为t-state、增量学习状态为incr-learn。
其中,所述训练状态为t-state包括:1=未训练:uid为新增用户uid,将在后期进行训练;2=正在训练:uid代表的模型正在进行训练;3=已训练:uid代表的模型已训练完毕,可进行用户行为检测。
其中,所述增量学习状态incr-learn包括:1=可以进行增量学习:当增量学习数据满足条件时,模型管理客户端4将开启模型增量学习;2=不可进行增量学习:当前增量学习数据未满足条件,模型管理客户端4不开启增量学习。
需要强调的是,训练状态t-state初始值为1,incr-learn初始值为2。且当incr-learn=1时,t-state将更改为1。当incr-learn=2时,t-state可为三种状态之一。具体的,当incr-learn=2,表示该uid代表的模型不需要增量学习,它代表两种情况,一是,该uid代表的模型从未进行过增量学习,也就是说系统管理员没有对它进行操作,所以t-state可以为1,2,3;二是,系统管理员曾经对该uid代表的模型进行了操作,只是当前的模型状态不需要进行增量学习,但是t-state不能为1了,因为该uid代表的模型已经进行了学习,不再是初始状态,只能为2,3。无论哪种情况,incr-learn为2表示系统管理员没有将该uid代表的模型置为增量学习状态,所以模型的t-state可以为三种状态之一。
参阅图5,图5是本发明中模型管理客户端连接示意图。所述模型管理客户端4用于为向所述模型管理服务端3获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
所述系统还包括训练模型、检测模型和增量学习模型;所述训练模型由深度学习算法LSTM训练生成,用于对输入的uid进行训练。长短期记忆网络,是一种时间递归神经网络,适合于处理和预测时间序列中间隔和延迟相对较长的重要事件。本方法中将采集到的所有员工操作的应用进行编码,再将编码进行one-hot生成向量,将生成的向量输入模型进行模型训练或行为检测。所述检测模型用于对导入的uid进行检测。
模型管理客户端4向所述模型管理服务端2获取用户uid具体包括:模型管理客户端4定期扫描表B,先以本主机名host-name为筛选条件读取相应uid及其t-state和incr-learn。
再根据获取的uid从hbase拉取数据状态data-state=1进行模型训练或行为检测,同时,模型管理客户端将被读取过的数据的data-state更改为2。
所述模型训练或行为检测具体包括:
当incr-learn=2时,若t-state=1,则模型管理客户端4将此uid输入模型训练模块,启动模型训练,当算法的损失函数收敛到设定范围,模型管理客户端4将停止模型训练并将其标记为uid保存。还要强调的是,模型管理客户端4读取分配给本机的待训练的代表模型的uid,将此uid传入模型代码中,完成对此uid的模型训练,并保存模型。此方法能完成对uid模型的自动训练和检测。
当t-state=2,模型管理客户端4等待模型训练结束,并将t-state变更为3。具体的,t-state为2时,表示该uid代表的模型正在进行模型学习,当模型学习完成,模型学习程序会发出信号,模型管理客户端4接收该信号后,会将模型的t-state置为3,表示模型学习完成。若有新的学习,则重复该过程。
当t-state=3,模型管理客户端4将启动检测程序,导入此uid模型,输入此uid对应的数据进行计算,并将模型计算的结果保存。还要强调的是,模型管理客户端4要记录hbase中该uid对应的待检测的数据量,当数据数量达到要求时,模型管理客户端4才会启动模型进行检测分析。即每个uid用户操作数据的数据量达到要求时,模型管理客户端才会启动模型进行检测分析。
模型管理客户端4还用于进行增量学习,增量学习具体包括:
根据步骤104中的检测结果,由系统管理员决定是否将incr-learn改为1。当系统管理员设定该模型的incr-learn为1时,即进行增量学习,表示该uid代表的模型需要进行增量学习,所以也会将t-state同时置为1。该uid代表的模型将从其他状态转为增量学习状态,直至增量学习完成。增量学习完成后,系统会将此uid代表的模型的增量学习状态置为2,并将t-state置为3,表示当前阶段的该uid代表的模型已完成学习,可以进入检测模式。此方法能完成对uid模型的训练模型自动增量学习。
区别于现有技术,本发明提供的一种自动检测电脑用户行为及自动更新检测模型的方法有益效果如下:1.员工深度学习模型检测用户行为是否合规,并将相应结果保存在数据库中,该结果中包含员工操作动作,操作时间,操作时长。该模型能及时发现并提示员工异常操作,实现快速高效的检测,减少员工异常行为带来的损失;2.模型的训练和增量学习完全自动完成,在多人多模型的任务中,此方案能极大减少人工训练模型带来的经济和时间成本。模型的增量学习能使模型学习最新的员工行为特征,使模型准确率、精确度、召回率保持在一个合理可靠的范围内,实现模型带来的经济效益最大化3.模型自动检测用户行为,能达到准实时检测用户行为的目的,员工异常行为能被早发现,早预警。在多人多模型的检测任务中,节省了人工参与检测的大量工作,检测结果能自动保存并上报,保证了检测的时效性。
本领域技术人员应该明白,本发明所述的方法及系统并不限于具体实施方式中所述的实施例,上面的具体描述只是为了解释本发明的目的,并非用于限制本发明。本领域技术人员根据本发明的技术方案得出其他的实施方式,同样属于本发明的技术创新范围,本发明的保护范围由权利要求及其等同物限定。
Claims (12)
1.一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,所述方法包括:
(1)用户数据客户端获取用户数据并上传至所述用户数据服务端;
(2)用户数据服务端接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态;
(3)模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态;
(4)模型管理客户端向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
2.根据权利要求1所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,所述用户数据包括用户信息和用户操作数据;
用户信息包括:电脑用户名user-name、电脑名及用户号uid;
用户操作数据包括:用户操作应用、操作时间及操作时长。
3.根据权利要求2所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,步骤(2)具体包括:
用户数据服务端创建uid-state并以此标注uid的状态,并将uid-state和uid保存在mysql表A中;
其中,uid-state包括:1=已分配uid,即所述uid已被模型管理服务端分配至模型管理客户端;2=未分配uid,即所述uid为新增uid。
4.根据权利要求2所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,步骤(2)具体还包括:
用户数据服务端创建data-state并以此标记用户操作数据状态,并将data-state按uid保存在hbase表中;
其中,data-state包括:1=数据未被使用、2=数据已被使用和3=数据将被用来增量学习。
5.根据权利要求3所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,步骤(3)具体包括:
模型管理服务端定期扫描表A读取uid-state=2的uid,根据模型管理客户端上报主机名host-name,按照预设算法向各模型管理客户端分配读取的用户uid,uid被模型管理服务端读取后会将uid-state的值变更为1。
6.根据权利要求1所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,步骤(3)具体还包括:
所述模型管理服务端新建mysql表B,表B用于记录被模型管理服务端分配的uid及其所属host-name,在表B中设训练状态为t-state、增量学习状态为incr-learn;
所述训练状态为t-state包括:1=未训练:uid为新增用户uid,将在后期进行训练;2=正在训练:uid代表的模型正在进行训练;3=已训练:uid代表的模型已训练完毕,可进行用户行为检测;
所述增量学习状态incr-learn包括:1=可以进行增量学习:当增量学习数据满足条件时,模型管理客户端将开启模型增量学习;2=不可进行增量学习:当前增量学习数据未满足条件,模型管理客户端不开启增量学习;
训练状态t-state初始为1,incr-learn初始为2。
7.根据权利要求5或6任意所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,步骤(4)中模型管理客户端向所述模型管理服务端获取用户uid具体包括:
模型管理客户端定期扫描表B,并以本主机名host-name为筛选条件读取相应uid及其t-state和incr-learn;
根据获取的uid从hbase拉取数据状态data-state=1进行模型训练或行为检测,同时,模型管理客户端将被读取过的数据的data-state更改为2。
8.根据权利要求7所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,所述模型训练或行为检测具体包括:
当incr-learn=2时,若t-state=1,则模型管理客户端将此uid输入模型训练模块,启动模型训练,当算法的损失函数收敛到设定范围,模型管理客户端将停止模型训练并将其标记为uid保存;
若t-state=2,模型管理客户端等待模型训练结束,并将t-state变更为3;
若t-state=3,模型管理客户端将启动检测程序,导入此uid模型,输入此uid对应的数据进行计算,并将模型计算的结果保存。
9.根据权利要求8所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,所述方法在步骤(4)之后还包括模型管理客户端进行增量学习,增量学习具体包括:
系统管理员设定该模型的incr-learn为1时,t-state同时置为1,模型管理客户端将启动增量学习程序,增量学习完成后,系统会将此uid代表的模型的增量学习状态置为2,并将t-state置为3,表示当前阶段的该uid代表的模型已完成学习,可以进入检测模式。
10.根据权利要求1所述一种自动检测电脑用户行为及自动更新检测模型的方法,其特征在于,所述训练模型由深度学习算法LSTM训练生成。
11.一种自动检测电脑用户行为及自动更新检测模型的系统,其特征在于,所述系统包括:位于服务器的用户数据服务端、模型管理服务端和模型管理客户端,以及位于用户电脑上的用户数据客户端;
所述用户数据客户端用于获取用户数据并上传至所述用户数据服务端;
所述用户数据服务端用于接收保存用户数据客户端上传的数据,管理并记录用户数据客户端状态;
所述模型管理服务端向所述用户数据服务端获取用户uid,向所述模型管理客户端分配获取的uid,更新并维护用户uid状态;
所述模型管理客户端用于为向所述模型管理服务端获取用户uid,并根据获取到的uid从hbase拉取对应uid的数据进行模型训练,并检测用户电脑操作数据并记录异常行为。
12.根据权利要求11所述的一种自动检测电脑用户行为及自动更新检测模型的系统,其特征在于,所述系统还包括训练模型、检测模型和增量学习模型;
所述训练模型由深度学习算法LSTM训练生成,用于对输入的uid进行训练;
所述检测模型用于对导入的uid进行检测;
所述增量学习模型用于实现训练模型的自动增量学习。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910155120.1A CN110489311B (zh) | 2019-03-01 | 2019-03-01 | 自动检测电脑用户行为及自动更新检测模型的方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910155120.1A CN110489311B (zh) | 2019-03-01 | 2019-03-01 | 自动检测电脑用户行为及自动更新检测模型的方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110489311A true CN110489311A (zh) | 2019-11-22 |
CN110489311B CN110489311B (zh) | 2023-04-18 |
Family
ID=68545002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910155120.1A Active CN110489311B (zh) | 2019-03-01 | 2019-03-01 | 自动检测电脑用户行为及自动更新检测模型的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110489311B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116185672A (zh) * | 2023-04-28 | 2023-05-30 | 北京亿赛通科技发展有限责任公司 | 一种数据监控方法、装置及存储介质 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
CN107092544A (zh) * | 2016-05-24 | 2017-08-25 | 口碑控股有限公司 | 监控方法及装置 |
US20180069896A1 (en) * | 2016-09-07 | 2018-03-08 | Oracle International Corporation | System and method providing data-driven user authentication misuse detection |
CN108075906A (zh) * | 2016-11-08 | 2018-05-25 | 上海有云信息技术有限公司 | 一种用于云计算数据中心的管理方法及系统 |
CN108596434A (zh) * | 2018-03-23 | 2018-09-28 | 卫盈联信息技术(深圳)有限公司 | 欺诈检测和风险评估方法、系统、设备及存储介质 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
-
2019
- 2019-03-01 CN CN201910155120.1A patent/CN110489311B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105007282A (zh) * | 2015-08-10 | 2015-10-28 | 济南大学 | 面向网络服务提供商的恶意软件网络行为检测方法及系统 |
CN107092544A (zh) * | 2016-05-24 | 2017-08-25 | 口碑控股有限公司 | 监控方法及装置 |
US20180069896A1 (en) * | 2016-09-07 | 2018-03-08 | Oracle International Corporation | System and method providing data-driven user authentication misuse detection |
CN108075906A (zh) * | 2016-11-08 | 2018-05-25 | 上海有云信息技术有限公司 | 一种用于云计算数据中心的管理方法及系统 |
CN108596434A (zh) * | 2018-03-23 | 2018-09-28 | 卫盈联信息技术(深圳)有限公司 | 欺诈检测和风险评估方法、系统、设备及存储介质 |
CN108881194A (zh) * | 2018-06-07 | 2018-11-23 | 郑州信大先进技术研究院 | 企业内部用户异常行为检测方法和装置 |
Non-Patent Citations (1)
Title |
---|
段新东等: "云计算环境下非法用户入侵行为的检测与分析", 《吉林大学学报(理学版)》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116185672A (zh) * | 2023-04-28 | 2023-05-30 | 北京亿赛通科技发展有限责任公司 | 一种数据监控方法、装置及存储介质 |
CN116185672B (zh) * | 2023-04-28 | 2023-08-22 | 北京亿赛通科技发展有限责任公司 | 一种数据监控方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN110489311B (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Jiang et al. | Expert feature-engineering vs. deep neural networks: which is better for sensor-free affect detection? | |
Koricheva et al. | Handbook of meta-analysis in ecology and evolution | |
CN110069707A (zh) | 一种人工智能自适应互动教学系统 | |
CN108062880A (zh) | 一种智能翻转教育应用及数据基础平台 | |
CN104993962B (zh) | 获取终端使用状态的方法和系统 | |
CN113242468B (zh) | 一种基于大数据云平台教育数据流的控制方法及系统 | |
JP2015165364A (ja) | 組織改善活動支援装置、組織改善活動支援方法および組織改善活動支援プログラム | |
CN106875770A (zh) | 一种少年学生创新能力测验评定装置 | |
Gao et al. | Modeling the effort and learning ability of students in MOOCs | |
CN110489311A (zh) | 自动检测电脑用户行为及自动更新检测模型的方法和系统 | |
Charitopoulos et al. | Educational data mining and data analysis for optimal learning content management: Applied in moodle for undergraduate engineering studies | |
CN111143724B (zh) | 一种数据处理方法、装置、设备及介质 | |
Moon et al. | Rich representations for analyzing learning trajectories: Systematic review on sequential data analytics in game-based learning research | |
US20160140857A1 (en) | Personalized and targeted training | |
Rotelli et al. | Processing and Understanding Moodle Log Data and Their Temporal Dimension | |
CN110363501A (zh) | 一种基于大数据的教学学习成长管理系统 | |
CN106970994B (zh) | 一种自动化的在线实践证据提取方法 | |
CN109492908A (zh) | 一种高校学生智能大数据数据信息管理系统 | |
CN109491799A (zh) | 一种知识结构的学习提示系统和方法 | |
Heumann et al. | Benchmarking national AI strategies: Why and how indicators and monitoring can support agile implementation | |
Alaa et al. | A multi-faceted roadmap of requirements traceability types adoption in Scrum: an empirical study | |
CN117271678B (zh) | 一种钢铁企业安全数据回溯展示方法和装置 | |
CN117540935B (zh) | 一种基于区块链技术的dao运营管理方法 | |
Djouad et al. | A multi-agents system to compute human learning indicators activities based on model-driven engineering approach | |
Dehnbostel | Bringing work-related learning back to authentic work contexts |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |