CN114491282B - 一种基于云计算的异常用户行为分析方法及系统 - Google Patents

一种基于云计算的异常用户行为分析方法及系统 Download PDF

Info

Publication number
CN114491282B
CN114491282B CN202210204194.1A CN202210204194A CN114491282B CN 114491282 B CN114491282 B CN 114491282B CN 202210204194 A CN202210204194 A CN 202210204194A CN 114491282 B CN114491282 B CN 114491282B
Authority
CN
China
Prior art keywords
knowledge base
behavior
key content
behavior preference
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210204194.1A
Other languages
English (en)
Other versions
CN114491282A (zh
Inventor
马俊锋
徐彦辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chinasoft Digital Intelligence Information Technology Wuhan Co ltd
Original Assignee
Chinasoft Digital Intelligence Information Technology Wuhan Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chinasoft Digital Intelligence Information Technology Wuhan Co ltd filed Critical Chinasoft Digital Intelligence Information Technology Wuhan Co ltd
Priority to CN202210204194.1A priority Critical patent/CN114491282B/zh
Priority to CN202210887832.4A priority patent/CN115269981A/zh
Publication of CN114491282A publication Critical patent/CN114491282A/zh
Application granted granted Critical
Publication of CN114491282B publication Critical patent/CN114491282B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Evolutionary Computation (AREA)
  • Computational Linguistics (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供一种基于云计算的异常用户行为分析方法及系统,通过设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息,该知识库更新指示信息可以用于反映存在更新需求的行为偏好知识库中涵盖的待修正知识内容以及待补全知识内容中的至少一种,进而可以通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,例如,可以过滤存在更新需求的行为偏好知识库中的待修正知识内容,和/或完善存在更新需求的行为偏好知识库中不完整的行为偏好知识特征,得到具有高质量评价的已更新行为偏好知识库。

Description

一种基于云计算的异常用户行为分析方法及系统
技术领域
本发明涉及户行为分析技术领域,尤其涉及一种基于云计算的异常用户行为分析方法及系统。
背景技术
在云计算背景下,通过对用户行为监测获得的数据进行分析研究的行为通常总结为用户行为分析。一方面,通过对正常用户行为进行分析能够让产品更加详细、清楚地了解用户的行为习惯,从而找出不同类型的产品存在的问题,有助于产品升级从而有效提高业务转化率。另一方面,通过对异常用户行为进行分析可以进行适应性的安全信息防护。然而,相关针对异常用户行为的分析技术难以保障信息防护的质量,针对该问题,发明人经长期的深入研究分析发现,用于反映异常用户行为的行为偏好的知识库对信息防护质量的影响至关重要,但是上述技术难以获得高质量的应对信息防护的知识库。
发明内容
本发明提供一种基于云计算的异常用户行为分析方法及系统,为实现上述技术目的,本申请采用如下技术方案。
第一方面是一种基于云计算的异常用户行为分析方法,应用于云计算服务系统,所述方法至少包括:接收待处理的异常用户行为日志和所述待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库;通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型,对所述存在更新需求的行为偏好知识库和所述待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息;其中,所述知识库更新指示信息用于反映所述存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种;通过所述设定人工智能模型和所述知识库更新指示信息,对所述存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库。
如此设计,通过设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息,该知识库更新指示信息可以用于反映存在更新需求的行为偏好知识库中涵盖的待修正知识内容以及待补全知识内容中的至少一种,进而可以通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,例如,可以过滤存在更新需求的行为偏好知识库中的待修正知识内容,或者完善存在更新需求的行为偏好知识库中不完整的行为偏好知识特征,得到具有高质量评价的已更新行为偏好知识库。这样一来,可以保障已更新行为偏好知识库从全局层面反映存在攻击威胁和危险意图的行为偏好知识特征,进而为后续的信息安防分析提供准确可信的数据信息基础。
在一种可示性实施例中,所述通过所述设定人工智能模型和所述知识库更新指示信息,对所述存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库,包括:通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集;其中,所述目标关键内容集旨在指示过滤所述存在更新需求的行为偏好知识库中的待修正知识内容,和/或,旨在指示完善所述存在更新需求的行为偏好知识库中的行为偏好知识特征;通过所述目标关键内容集对所述存在更新需求的行为偏好知识库进行更新操作以获得所述已更新行为偏好知识库。
如此设计,通过获得目标关键内容集,该目标关键内容集能够过滤掉存在更新需求的行为偏好知识库中的待修正知识内容和/或能够完善存在更新需求的行为偏好知识库中的行为偏好知识特征,在通过目标关键内容集对存在更新需求的行为偏好知识库进行更新操作以获得具有高质量评价的已更新行为偏好知识库。
在一种可示性实施例中,所述通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集,包括:通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集;将第一维度的第一关键内容集作为待处理关键内容集,对所述待处理关键内容集进行关键内容调整以获得第二关键内容集;其中,所述关键内容调整包括滑动平均操作和关键内容扩展中的至少一种;依据所述第二关键内容集和与所述第二关键内容集维度一致的第一关键内容集以获得第三关键内容集;将所述第三关键内容集作为完成调整的待处理关键内容集,跳转到对所述待处理关键内容集进行关键内容调整以获得第二关键内容集的步骤,直到获得的所述第三关键内容集的维度与第一关键内容集对应的第二维度相同,并将第二维度对应的第三关键内容集确定为所述目标关键内容集。
如此设计,在确定出若干不同维度的第一关键内容集之后,可以对待处理关键内容集进行关键内容调整以获得第二关键内容集,并基于第二关键内容集和与第二关键内容集维度一致的第一关键内容集以获得第三关键内容集,由于与第二关键内容集维度一致的第一关键内容集中关键信息相对完整,避免了特征精简过程中引起的信息不完整的情况,使得第三关键内容集中的关键信息在一定程度上相对完整,进而使得获得的目标关键内容集中的关键信息在一定程度上相对完整,以方便后续基于关键信息在一定程度上相对完整的目标关键内容集,可以获得具有高质量评价的已更新行为偏好知识库。
在一种可示性实施例中,设定人工智能模型的配置方式如下:接收用于进行模型配置的参考范例,其中,所述用于进行模型配置的参考范例中包括范例异常用户行为日志、范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库,第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评价;通过所述用于进行模型配置的参考范例,配置初始人工智能模型,得到所述设定人工智能模型。
在一种可示性实施例中,在所述用于进行模型配置的参考范例还包括范例异常用户行为日志对应的范例威胁事件标签分布和范例行为特征类别分布,所述设定人工智能模型中包括并行AI模型和知识库更新模型的前提下,所述通过所述用于进行模型配置的参考范例,配置初始人工智能模型,得到所述设定人工智能模型,包括:将所述第二行为偏好知识库和所述范例异常用户行为日志,加载到所述并行AI模型中,得到所述范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、和测试型威胁事件标签分布;将所述测试型知识库更新指示信息和所述第二行为偏好知识库加载到所述知识库更新模型中以获得所述测试型行为偏好知识库;依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置所述初始人工智能模型,得到所述设定人工智能模型。
如此,用于进行模型配置的参考范例中包括范例行为特征类别分布和范例威胁事件标签分布,通过扩展范例行为特征类别分布和范例威胁事件标签分布,使得完成配置的设定人工智能模型能够相对精准的挖掘出异常用户行为日志中的特征类别和标签分布,由于行为偏好知识特征与特征类别和标签分布之间具有一定的联系,因此使得完成配置的设定人工智能模型能够基于特征类别和标签分布以获得具有高质量评价的已更新行为偏好知识库。
在一种可示性实施例中,所述依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置所述初始人工智能模型,得到所述设定人工智能模型,包括:依据所述测试型行为偏好知识库和所述第一行为偏好知识库,确定用于反映行为偏好知识特征扰动的第一量化模型代价、和用于反映行为偏好显著性扰动的第二量化模型代价;依据所述测试型行为特征类别分布和所述范例行为特征类别分布,确定用于反映特征类别扰动的第三量化模型代价;依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价;借助第二行为偏好知识库和所述测试型行为偏好知识库,确定用于反映知识库模糊情况的第五量化模型代价;依据所述第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价、以及所述第五量化模型代价中的一种或多种量化模型代价,确定目标量化模型代价;依据所述目标量化模型代价,配置所述初始人工智能模型,得到所述设定人工智能模型。
如此设计,配置多种量化模型代价,可以通过一种或多种量化模型代价,确定目标量化模型代价,在通过目标量化模型代价配置人工智能模型时,能够使获得的设定人工智能模型的具有高质量评价。
在一种可示性实施例中,在所述目标量化模型代价包括第四量化模型代价的前提下,所述依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价,包括:依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定所述测试型威胁事件标签分布中每个第一威胁事件标签的第一标签主题、与所述范例威胁事件标签分布中和所述第一威胁事件标签绑定的第二威胁事件标签的第二标签主题之间的词向量距离;通过各个所述第一威胁事件标签分别对应的所述词向量距离、以及所述第一威胁事件标签的数目,确定所述第四量化模型代价。
在一种可示性实施例中,在所述目标量化模型代价包括第二量化模型代价的前提下,所述依据所述测试型行为偏好知识库和所述第一行为偏好知识库,确定用于反映行为偏好显著性扰动的第二量化模型代价,包括:确定所述测试型行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第一标签变化指标和在多侧用户行为状态下的第二标签变化指标;以及确定所述第一行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第三标签变化指标和在多侧用户行为状态下的第四标签变化指标;依据所述测试型行为偏好知识库中各个第三威胁事件标签分别对应的所述第一标签变化指标和所述第二标签变化指标,以及所述第一行为偏好知识库中与所述第三威胁事件标签绑定的第四威胁事件标签对应的所述第三标签变化指标和所述第四标签变化指标,确定所述第二量化模型代价。
在一种可示性实施例中,在所述目标量化模型代价包括第五量化模型代价的前提下,所述基于第二行为偏好知识库和所述测试型行为偏好知识库,确定用于反映知识库模糊情况的第五量化模型代价,包括:通过完成配置的关键内容挖掘模型,分别对所述测试型行为偏好知识库和所述第二行为偏好知识库进行关键内容挖掘以获得所述测试型行为偏好知识库对应的第一目标关键内容集、和所述第二行为偏好知识库对应的第二目标关键内容集;依据所述第一目标关键内容集和所述第二目标关键内容集,确定所述第五量化模型代价。
在一种可示性实施例中,所述依据所述第一目标关键内容集和所述第二目标关键内容集,确定所述第五量化模型代价,包括:确定所述第一目标关键内容集中每个第一关键内容的第一描述值、与所述第二目标关键内容集中和所述第一关键内容绑定的第二关键内容的第二描述值之间的量化差异;将各个所述第一关键内容分别对应的所述量化差异的全局处理结果,确定为所述第五量化模型代价。
在一种可示性实施例中,在所述将所述第二行为偏好知识库和所述范例异常用户行为日志,加载到所述并行AI模型中,得到所述范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、测试型威胁事件标签分布之前,所述方法还包括:对所述范例异常用户行为日志和所述第二行为偏好知识库进行匹配处理,得到完成匹配处理的范例异常用户行为日志和第二行为偏好知识库,其中,所述完成匹配处理的范例异常用户行为日志和第二行为偏好知识库中,标签定位结果一致的威胁事件标签对应在云业务互动环境中的相同业务类别。
在一种可示性实施例中,在所述待处理的异常用户行为日志包括动态用户行为处理线程爬取的云业务异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述已更新行为偏好知识库,确定所述待处理的异常用户行为日志中包括的至少一个第一目标行为事件的行为偏好知识特征;通过每个所述第一目标行为事件的行为偏好知识特征和事先确定的参考行为事件的安全状态描述,确定所述参考行为事件与所述第一目标行为事件之间的威胁传递情况;依据所述威胁传递情况和所述待处理的异常用户行为日志以获得携带有所述参考行为事件的目标异常用户行为日志,并指示所述动态用户行为处理线程输出所述目标异常用户行为日志。
如此设计,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,能够相对精准、全面的确定参考行为事件与第一目标行为事件之间的威胁传递情况,进而基于威胁传递情况和待处理的异常用户行为日志以获得携带有参考行为事件的目标异常用户行为日志时,能够提高确定出的目标异常用户行为日志的完整性及可信度。
在一种可示性实施例中,在所述待处理的异常用户行为日志中包括不少于一组阶段型异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述不少于一组阶段型异常用户行为日志,和每组阶段型异常用户行为日志对应的所述已更新行为偏好知识库,确定全局阶段型知识库。
如此设计,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,能够使得确定的全局阶段型知识库的具有高质量评价。
在一种可示性实施例中,在所述待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述已更新行为偏好知识库,确定所述待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征;通过各个所述第二目标行为事件的行为偏好知识特征,指示所述大数据安全防护终端进行信息安全防护处理。
如此设计,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,可以具有高质量评价的确定第二目标行为事件的行为偏好知识特征,进而通过各个第二目标行为事件的行为偏好知识特征,能够更加准确的指示大数据安全防护终端进行信息安全防护处理,进而能够提高信息安全防护处理的效果。
第二方面是一种云计算服务系统,包括存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务系统执行第一方面的方法。
附图说明
图1为本发明实施例提供的基于云计算的异常用户行为分析方法的流程示意图。
图2为本发明实施例提供的基于云计算的异常用户行为分析装置的模块框图。
具体实施方式
以下,术语“第一”、“第二”和“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
图1示出了本发明实施例提供的的基于云计算的异常用户行为分析方法的流程示意图,基于云计算的异常用户行为分析方法可以通过云计算服务系统实现,云计算服务系统可以包括存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务系统执行如下步骤所描述的技术方案。
步骤101,接收待处理的异常用户行为日志和待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库。
步骤102,通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息。
在本发明实施例中,知识库更新指示信息用于反映存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种。
步骤103,通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库。
如此设计,通过设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息,该知识库更新指示信息可以用于反映存在更新需求的行为偏好知识库中涵盖的待修正知识内容以及待补全知识内容中的至少一种,进而可以通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,例如,可以过滤存在更新需求的行为偏好知识库中的待修正知识内容,和/或完善存在更新需求的行为偏好知识库中不完整的行为偏好知识特征,得到具有高质量评价的已更新行为偏好知识库。
针对上述步骤101-步骤103而言,以下为示例性的说明。
对于步骤101而言,待处理的异常用户行为日志可以理解为云业务互动环境中的其中一组异常用户行为日志,例如:待处理的异常用户行为日志可以为支付用户行为日志,还可以为办公用户行为日志。存在更新需求的行为偏好知识库可以理解为得到的其中一组行为偏好特征集,例如:存在更新需求的行为偏好知识库可以理解为通过行为偏好获取线程获取到的待处理的异常用户行为日志对应的行为偏好特征集,还可以理解为通过相关算法(比如:特征配对算法)得到的待处理的异常用户行为日志对应的行为偏好特征集。
如此一来,存在更新需求的行为偏好知识库与待处理的异常用户行为日志为完成匹配的异常用户行为日志,例如:可以将存在更新需求的行为偏好知识库进行匹配处理,使得待处理的异常用户行为日志和完成匹配处理的存在更新需求的行为偏好知识库中标签定位结果一致的威胁事件标签对应在云业务互动环境中的相同业务类别。
对于步骤102和步骤103而言,设定人工智能模型可以包括并行AI模型(比如多线程模型)和知识库更新模型,可以将存在更新需求的行为偏好知识库和待处理的异常用户行为日志当作多状态下的第一异常用户行为日志,通过设定人工智能模型中的并行AI模型对第一异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息。其中,知识库更新指示信息用于反映存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种。还可以将知识库更新指示信息和存在更新需求的行为偏好知识库当作多状态下的第二异常用户行为日志,通过设定人工智能模型中的知识库更新模型对第二异常用户行为日志进行关键内容挖掘,得到更新操作后的已更新行为偏好知识库。例如,已更新行为偏好知识库可以是上述相关异常行为的攻击行为偏好/攻击行为意图/威胁操作倾向对应的具有传递性和潜在衍生性的知识图谱,已更新行为偏好知识库可以涵盖更加丰富全面的针对信息安全方面的行为特征知识,从而为后续的信息防护处理提供决策依据。
可以理解的是,并行AI模型中可以涵盖关键内容挖掘网络和并行特征翻译网络,关键内容挖掘网络可以理解为特征挖掘-特征翻译的机器学习模型,关键内容挖掘网络中可以包含特征挖掘单元和特征翻译单元。其中,特征挖掘单元可以用于挖掘导入的存在更新需求的行为偏好知识库和待处理的异常用户行为日志的关键内容。例如:特征挖掘单元可以由信息提取层和/或特征精简层组成,通过特征挖掘单元对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘,得到第一过渡型关键内容集。通过信息提取层和特征精简层可以扩展挖掘到的第一过渡型关键内容集的状态类别,进而能够减少关键内容的显著性。
可以理解的是,特征翻译单元中可以包括信息提取层和/或特征扩展层,进一步地,可以通过特征翻译单元对得到的第一过渡型关键内容集进行关键内容挖掘和/或特征扩展处理,得到与待处理的异常用户行为日志存在一致的特征识别度的第二过渡型关键内容集。
可以理解的是,并行特征翻译网络中可以包含有多个分析单元,多个分析单元分别用于分析得到知识库更新指示信息、分析得到行为特征类别分布和分析得到威胁事件标签分布。每个分析单元在结构上可以是由一个或若干信息提取层逐一绑定组成。举例而言,每个分析单元中的信息提取层的时间间隔可以为ti,可以得到状态类别为i、且与待处理的异常用户行为日志的特征识别度一致的测试型异常用户行为日志(例如:测试型异常用户行为日志可以为测试型知识库更新指示信息、测试型行为特征类别分布或测试型威胁事件标签分布)。其中,在设定人工智能模型配置时,可以将多个分析单元进行存储。在设定人工智能模型分析时,可以将行为特征类别分布对应的分析单元和威胁事件标签分布对应的分析单元丢弃,只存储知识库更新指示信息对应的分析单元。
对于一种可能性实施例而言,步骤103所记录的通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库,示例性的可以包括如下步骤1031和步骤1032所记录的内容。
步骤1031,通过设定人工智能模型对知识库更新指示信息和存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集。
在本发明实施例中,目标关键内容集旨在指示过滤存在更新需求的行为偏好知识库中的待修正知识内容和/或旨在指示完善存在更新需求的行为偏好知识库中的行为偏好知识特征。
步骤1032,通过目标关键内容集对存在更新需求的行为偏好知识库进行更新操作以获得已更新行为偏好知识库。
实施步骤1031和步骤1032,通过确定的目标关键内容集,该目标关键内容集能够过滤掉存在更新需求的行为偏好知识库中的待修正知识内容和/或能够完善存在更新需求的行为偏好知识库中的行为偏好知识特征,在通过目标关键内容集对存在更新需求的行为偏好知识库进行更新操作以获得具有高质量评价的已更新行为偏好知识库。
对于步骤1031而言,可以通过设定人工智能模型中的知识库更新模型对知识库更新指示信息和存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集。
对于一种可能性实施例而言,步骤1031所记录的通过设定人工智能模型对知识库更新指示信息和存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集,示例性的可以包括步骤10311-步骤10314所记录的内容。
步骤10311,通过设定人工智能模型对知识库更新指示信息和存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集。
步骤10312,将第一维度(比如最小维度)的第一关键内容集作为待处理关键内容集,对待处理关键内容集进行关键内容调整以获得第二关键内容集;其中,所述关键内容调整包括滑动平均操作(可以理解为卷积处理)和关键内容扩展(可以理解为特征上采样处理)中的至少一种。
步骤10313,基于第二关键内容集和与第二关键内容集维度一致的第一关键内容集以获得第三关键内容集。
步骤10314,将第三关键内容集作为完成调整的待处理关键内容集,跳转到对待处理关键内容集进行关键内容调整以获得第二关键内容集的步骤,直到获得的第三关键内容集的维度与第一关键内容集对应的第二维度(比如最大维度)相同,并将第二维度对应的第三关键内容集确定为目标关键内容集。
在实际实施时,可以将知识库更新指示信息和存在更新需求的行为偏好知识库当作多状态下的第二异常用户行为日志,通过设定人工智能模型中的知识库更新模型对第二异常用户行为日志进行关键内容挖掘,得到第一维度的第一关键内容集,然后可以对第一维度的第一关键内容集进行关键内容挖掘,得到第二维度的第一关键内容集,逐一推算,可以得到若干不同维度的第一关键内容集。例如,可以通过信息提取层实施关键内容挖掘过程。
可以理解的是,若干不同维度的第一关键内容集可以包括第一维度的第一关键内容集、第二维度的第一关键内容集、第三维度的第一关键内容集,其中,第一维度高于第二维度,第二维度高于第三维度。
基于上述内容,可以将第三维度的第一关键内容集(可以理解的是,第一维度的第一关键内容集)作为待处理关键内容集,对待处理关键内容集(可以理解的,第三维度的第一关键内容集)进行关键内容调整(例如,可以通过信息提取层进行滑动平均操作,或者,还可以通过特征扩展层进行关键内容扩展)以获得第一轮操作后的第二关键内容集,此时第一轮操作后的第二关键内容集的维度可以为第三维度。还可以将第一轮操作后的第二关键内容集和与第二关键内容集维度一致的第一关键内容集(可以理解为第三维度的第一关键内容集)进行整理以获得第一轮操作后的第三关键内容集。其中,第一轮操作后的第三关键内容集的维度可以为第三维度。
举例而言,可以将第一轮操作后的第二关键内容集(即第三维度的第二关键内容集)和第三维度的第一关键内容集进行逐一绑定以获得第一轮操作后的第三关键内容集;或者,可以将第三维度的第二关键内容集和第三维度的第一关键内容集进行逐一绑定,并对完成绑定的关键内容集进行滑动平均操作以获得第一轮操作后的第三关键内容集;再或者,还可以确定第三维度的第二关键内容集与第三维度的第一关键内容集中同一状态下的描述值的量化差异,得到卷积关键内容集,将该卷积关键内容集确定为第一轮操作后的第三关键内容集。
还可以将第一轮操作后的第三关键内容集作为完成调整的待处理关键内容集,对完成调整的待处理关键内容集进行关键内容调整(例如:关键内容调整可以包括滑动平均操作和关键内容扩展中的至少一种处理)以获得第二轮操作后的第二关键内容集,可以理解,第二轮操作后的第二关键内容集的维度可以为第二维度。进而可以基于第二轮操作后的第二关键内容集和第二维度的第一关键内容集进行整理以获得第二轮操作后的第三关键内容集。其中,第二轮操作后的第三关键内容集的维度可以为第二维度。
进而可以将第二轮操作后的第三关键内容集作为完成调整的待处理关键内容集,对完成调整的待处理关键内容集进行关键内容调整以获得第三轮操作后的第二关键内容集,可以理解,第三轮操作后的第二关键内容集的维度可以为第一维度。进而可以基于第三轮操作后的第二关键内容集和第一维度的第一关键内容集进行整理以获得第三轮操作后的第三关键内容集。其中,第三轮操作后的第三关键内容集的维度可以为第一维度。可见,第一维度为第一关键内容集对应的第二维度,则将第二维度对应的第三关键内容集确定为目标关键内容集,将第一维度的第三关键内容集确定为目标关键内容集。
举例而言,在确定出若干不同维度的第一关键内容集之后,还可以将第一维度(第三维度)的第一关键内容集进行关键内容调整以获得第二维度的第二关键内容集;在将第二维度的第二关键内容集与第二维度的第一关键内容集逐一绑定,将完成绑定的第二维度的关键内容集进行关键内容挖掘以获得第一维度的第二关键内容集,在将第一维度的第二关键内容集与第一维度的第一关键内容集逐一绑定,将完成绑定的第一维度的关键内容集进行关键内容挖掘以获得第一维度的第二关键内容集,该第一维度(第二维度)的第二关键内容集可以为目标关键内容集。
可以理解的是,在确定出若干不同维度的第一关键内容集之后,可以对待处理关键内容集进行关键内容调整以获得第二关键内容集,并基于第二关键内容集和与第二关键内容集维度一致的第一关键内容集以获得第三关键内容集,由于与第二关键内容集维度一致的第一关键内容集中关键信息相对完整,避免了特征精简过程中引起的信息不完整的情况,使得第三关键内容集中的关键信息在一定程度上相对完整,进而使得确定出的目标关键内容集中的关键信息在一定程度上相对完整,以方便后期基于关键信息在一定程度上相对完整的目标关键内容集,可以获得具有高质量评价的已更新行为偏好知识库。
在本发明实施例中,关键内容集的表现形式可以是特征图,基于此,关键内容的表现形式可以是特征,比如特征向量或者描述向量。
对于步骤1032而言,可以将目标关键内容集与存在更新需求的行为偏好知识库进行内容组合以获得已更新行为偏好知识库。或者,还可以对目标关键内容集进行不少于一轮关键内容挖掘,将不少于一轮关键内容挖掘后的关键内容集与存在更新需求的行为偏好知识库进行内容组合以获得已更新行为偏好知识库。例如,内容组合的过程可以为将目标关键内容集与存在更新需求的行为偏好知识库中同一状态下的的描述值统计;或者,还可以将目标关键内容集与存在更新需求的行为偏好知识库进行逐一绑定,通过信息提取层对完成绑定的关键内容集进行滑动平均操作等。
可以理解的是,设定人工智能模型可以包括并行AI模型和知识库更新模型。其中,设定人工智能模型中的知识库更新模型的模型架构可以为LSTM。知识库更新模型可以通过信息提取层和/或特征精简层来扩展关键内容集的状态类别,进而能够减少关键内容的显著性,得到不同特征识别度的关键内容集,记为关键内容集集合【feature_0,feature_1,…,feature_n】。在通过信息提取层和/或特征扩展层对挖掘到的关键内容集进行滑动平均操作和/或特征扩展处理,其中,在每轮特征扩展和滑动平均操作之前,可以将当前关键内容集与关键内容集集合【feature_0,feature_1,…,feature_n】中相同特征识别度的关键内容集进行组合,进而能够降低特征精简所引起的误差;该知识库更新模型可以得到与待处理的异常用户行为日志存在一致的特征识别度(维度)的单一状态特征,将该单一状态特征作为挖掘内容(即目标关键内容集)。最后将输入的基础行为偏好知识库(存在更新需求的行为偏好知识库)与挖掘内容进行加权,从而得到本发明实施例中的已更新行为偏好知识库。
可以理解的是,通过如下内容对基于云计算的异常用户行为分析方法进行示例性说明,将存在更新需求的行为偏好知识库和待处理的异常用户行为日志加载到设定人工智能模型的并行AI模型中,并行AI模型中的关键内容挖掘网络对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得第二过渡型关键内容集,将第二过渡型关键内容集加载到知识库更新指示信息对应的第一分析单元中,得到知识库更新指示信息。其中,在设定人工智能模型的配置过程中,还可以包括行为特征类别分布对应的第二分析单元和威胁事件标签分布对应的第三分析单元。
再将知识库更新指示信息和存在更新需求的行为偏好知识库加载到知识库更新模型中,知识库更新模型可以对知识库更新指示信息和存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集,比如第一维度的第一关键内容集feature_set_021、第二维度的第一关键内容集feature_set_022、和第三维度的第一关键内容集feature_set_023;在对第三维度的第一关键内容集feature_set_023进行关键内容挖掘以获得第三维度的第二关键内容集feature_set_024,将第三维度的第二关键内容集feature_set_024与第三维度的第一关键内容集feature_set_023进行逐一绑定,对完成绑定的第三维度的关键内容集进行滑动平均操作和特征扩展处理以获得第二维度的第二关键内容集feature_set_025;再将第二维度的第二关键内容集feature_set_025与第二维度的第一关键内容集feature_set_022进行逐一绑定,对完成绑定的第二维度的关键内容集进行滑动平均操作和特征扩展处理以获得第一维度的第二关键内容集feature_set_026,将第一维度的第二关键内容集feature_set_026与第一维度的第一关键内容集feature_set_021进行逐一绑定,对完成绑定的第一维度的关键内容集进行滑动平均操作和特征扩展处理以获得目标关键内容集;最后将目标关键内容集与存在更新需求的行为偏好知识库进行融合,得到已更新行为偏好知识库。
对于一种可能性实施例而言,可以通过如下步骤对设定人工智能模型进行配置,具体可以包括步骤201和步骤202。
步骤201,接收用于进行模型配置的参考范例,其中,用于进行模型配置的参考范例中包括范例异常用户行为日志、范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库,第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评价。
步骤202,通过用于进行模型配置的参考范例,配置初始人工智能模型,得到设定人工智能模型。
在本发明实施例中,范例异常用户行为日志可以为办公用户行为日志或者支付用户行为日志,范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库,其中,第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评价,可以理解,第二行为偏好知识库可以当作第一行为偏好知识库的实际值。
可以理解,范例异常用户行为日志中还可以包括范例异常用户行为日志对应的范例威胁事件标签分布和范例行为特征类别分布。其中,范例威胁事件标签分布中每个威胁事件标签的标签主题表征了范例异常用户行为日志中处于同一标签定位结果下的威胁事件标签的指示特征。
举例而言,可以将范例异常用户行为日志加载到完成配置的行为特征拆解模型中,得到范例异常用户行为日志对应的范例行为特征类别分布。
对于一种可能性实施例而言,在用于进行模型配置的参考范例还包括范例异常用户行为日志对应的范例威胁事件标签分布和范例行为特征类别分布,设定人工智能模型中包括并行AI模型和知识库更新模型的前提下,步骤202所记录的通过用于进行模型配置的参考范例,配置初始人工智能模型,得到设定人工智能模型,示例性可以包括如下内容。
步骤2021,将第二行为偏好知识库和范例异常用户行为日志,加载到并行AI模型中,得到范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、和测试型威胁事件标签分布。
步骤2022,将测试型知识库更新指示信息和第二行为偏好知识库加载到知识库更新模型中以获得测试型行为偏好知识库。
步骤2023,依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置初始人工智能模型,得到设定人工智能模型。
如此设计,用于进行模型配置的参考范例中包括范例行为特征类别分布和范例威胁事件标签分布,通过扩展范例行为特征类别分布和范例威胁事件标签分布,使得完成配置的设定人工智能模型能够相对精准的挖掘出异常用户行为日志中的特征类别和标签分布,由于行为偏好知识特征与特征类别和标签分布之间具有一定的联系,因此使得完成配置的设定人工智能模型能够基于特征类别和标签分布以获得具有高质量评价的已更新行为偏好知识库。其中,步骤2021和步骤2022的实现方式可以结合上述对设定人工智能模型的介绍,本发明在此不作进一步描述。
对于步骤2023而言,测试型行为特征类别分布与范例行为特征类别分布组合为一个知识库集,测试型威胁事件标签分布与范例威胁事件标签分布组合为一个知识库集,测试型行为偏好知识库与第一行为偏好知识库组合为一个知识库集,测试型行为偏好知识库与第二行为偏好知识库组合为一个知识库集,得到四个知识库集,可以基于四个知识库集中的至少一个知识库集,配置初始人工智能模型,得到设定人工智能模型。
对于一种可能性实施例而言,步骤2023所描述的依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置初始人工智能模型,得到设定人工智能模型,示例性的可以包括如下步骤20231-步骤20233所记录的内容。
步骤20231,基于测试型行为偏好知识库和第一行为偏好知识库,确定用于反映行为偏好知识特征扰动的第一量化模型代价、和用于反映行为偏好显著性扰动的第二量化模型代价;基于测试型行为特征类别分布和范例行为特征类别分布,确定用于反映特征类别扰动的第三量化模型代价;基于测试型威胁事件标签分布和范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价;借助第二行为偏好知识库和测试型行为偏好知识库,确定用于反映知识库模糊情况的第五量化模型代价。
步骤20232,基于第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价、以及第五量化模型代价中的一种或多种量化模型代价,确定目标量化模型代价。
步骤20233,基于目标量化模型代价,配置初始人工智能模型,得到设定人工智能模型。
在本发明实施例中,量化模型代价可以理解为损失值。设置多种量化模型代价,可以通过一种或多种量化模型代价,确定目标量化模型代价,在通过目标量化模型代价训练人工智能模型时,能够使获得的设定人工智能模型的具有高质量评价。
对于一种可能性实施例而言,在目标量化模型代价包括第二量化模型代价的前提下,基于测试型行为偏好知识库和第一行为偏好知识库,确定用于反映行为偏好显著性扰动的第二量化模型代价,示例性可以包括步骤301-步骤303所记录的内容。
步骤301,确定测试型行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第一标签变化指标和在多侧用户行为状态下的第二标签变化指标。
步骤302,确定第一行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第三标签变化指标和在多侧用户行为状态下的第四标签变化指标。
步骤303,基于测试型行为偏好知识库中各个第三威胁事件标签分别对应的第一标签变化指标和第二标签变化指标,以及第一行为偏好知识库中与第三威胁事件标签绑定的第四威胁事件标签对应的第三标签变化指标和第四标签变化指标,确定第二量化模型代价。
举例而言,可以借助支持向量机思路确定第三量化模型代价。其中,第三量化模型代价可以用于分析得到的测试型行为特征类别分布与范例行为特征类别分布之间的异同。
对于一种可能性实施例而言,在目标量化模型代价包括第四量化模型代价的前提下,基于测试型威胁事件标签分布和范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价,示例性的可以包括步骤401和步骤402。
步骤401,基于测试型威胁事件标签分布和范例威胁事件标签分布,确定测试型威胁事件标签分布中每个第一威胁事件标签的第一标签主题、与范例威胁事件标签分布中和第一威胁事件标签绑定的第二威胁事件标签的第二标签主题之间的词向量距离(可以理解为余弦相似度)。
步骤402,通过各个第一威胁事件标签分别对应的词向量距离、以及第一威胁事件标签的数目,确定第四量化模型代价。
在本发明实施例中,第四量化模型代价可以用于分析测试型威胁事件标签分布与范例威胁事件标签分布之间的异同。
如此,第一威胁事件标签可以将测试型威胁事件标签分布中的每个威胁事件标签,第二威胁事件标签可以为范例威胁事件标签分布中与第一威胁事件标签的标签定位结果一致的威胁事件标签。
对于一种可能性实施例而言,在目标量化模型代价包括第五量化模型代价的前提下,基于第二行为偏好知识库和测试型行为偏好知识库,确定用于反映知识库模糊情况(特征识别度缺失)的第五量化模型代价,示例性的可以包括步骤501和步骤502所记录的内容。
步骤501,通过完成配置的关键内容挖掘模型,分别对测试型行为偏好知识库和第二行为偏好知识库进行关键内容挖掘以获得测试型行为偏好知识库对应的第一目标关键内容集、和第二行为偏好知识库对应的第二目标关键内容集。
步骤502,基于第一目标关键内容集和第二目标关键内容集,确定第五量化模型代价。
对于一种可能性实施例而言,步骤502所记录的基于第一目标关键内容集和第二目标关键内容集,确定第五量化模型代价,示例性可以包括步骤5021和步骤5022。
步骤5021,确定第一目标关键内容集中每个第一关键内容的第一描述值、与第二目标关键内容集中和第一关键内容绑定的第二关键内容的第二描述值之间的量化差异。
步骤5022,将各个第一关键内容分别对应的量化差异的全局处理结果,确定为第五量化模型代价。
在本发明实施例中,完成配置的关键内容挖掘模型可以为CNN模型。通过完成配置的CNN模型分别对测试型行为偏好知识库和第二行为偏好知识库进行关键内容挖掘以获得测试型行为偏好知识库对应的第一目标关键内容集、和第二行为偏好知识库对应的第二目标关键内容集。
可以理解的是,在确定第一目标关键内容集中每个第一关键内容的第一描述值、与第二目标关键内容集中和第一关键内容绑定的第二关键内容的第二描述值之间的量化差异(可以理解为差值)。并计算各个第一关键内容(或者第二关键内容)分别对应的量化差异的全局处理结果,将该全局处理结果确定为第五量化模型代价。其中,第一关键内容可以为第一目标关键内容集中的每个关键内容,第二关键内容可以理解为第二目标关键内容集中与第一关键内容的内容状态信息一致的关键内容。
对于步骤20232和步骤20233而言,在实际实施时,可以将第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价、和第五量化模型代价中的其中一种量化模型代价作为目标量化模型代价;或者,还可以将第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价、以及第五量化模型代价中的多种量化模型代价统计,得到目标量化模型代价;例如,可以将第一量化模型代价与第二量化模型代价统计值作为目标量化模型代价,还可以将第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价和第五量化模型代价统计值作为目标量化模型代价。在通过目标量化模型代价,配置初始人工智能模型,得到设定人工智能模型。
对于一种可能性实施例而言,在将第二行为偏好知识库和范例异常用户行为日志,加载到并行AI模型中,得到范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、测试型威胁事件标签分布之前,该方法还包括:对范例异常用户行为日志和第二行为偏好知识库进行匹配处理,得到完成匹配处理的范例异常用户行为日志和第二行为偏好知识库,其中,完成匹配处理的范例异常用户行为日志和第二行为偏好知识库中,标签定位结果一致的威胁事件标签对应在云业务互动环境中的相同业务类别。
可以理解的是,可以通过抽样分析模型、日志文本匹配模型等对范例异常用户行为日志和第二行为偏好知识库进行匹配处理,得到完成匹配处理的范例异常用户行为日志和第二行为偏好知识库。其中,匹配处理的思路可以有很多,在此不作限制。
对于一种可能性实施例而言,在待处理的异常用户行为日志包括动态用户行为处理线程爬取的云业务异常用户行为日志的前提下,在得到已更新行为偏好知识库之后,该方法示例性的还可以包括以下步骤所描述的技术方案。
步骤601,基于已更新行为偏好知识库,确定待处理的异常用户行为日志中包括的至少一个第一目标行为事件的行为偏好知识特征。
步骤602,通过每个第一目标行为事件的行为偏好知识特征和事先确定的参考行为事件的安全状态描述,确定参考行为事件与第一目标行为事件之间的威胁传递情况。
步骤603,基于威胁传递情况和待处理的异常用户行为日志以获得携带有参考行为事件的目标异常用户行为日志,并控制动态用户行为处理线程展示目标异常用户行为日志。
在具体实施时,已更新行为偏好知识库可以应用于信息安防分析任务中,在得到的已更新行为偏好知识库之后,可以基于已更新行为偏好知识库,确定待处理的异常用户行为日志中每个第一目标行为事件的行为偏好知识特征,在根据第一目标行为事件的行为偏好知识特征和参考行为事件的安全状态描述,确定参考行为事件与第一目标行为事件之间的威胁传递情况,其中,第一目标行为事件的行为偏好知识特征和参考行为事件的安全状态描述对应于相同映射空间。
进而可以基于威胁传递情况和待处理的异常用户行为日志以获得携带有参考行为事件的目标异常用户行为日志,并可以指示动态用户行为处理线程输出对应的目标异常用户行为日志。
如此设计,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,能够相对精准、全面的确定参考行为事件与第一目标行为事件之间的威胁传递情况,进而基于威胁传递情况和待处理的异常用户行为日志以获得携带有参考行为事件的目标异常用户行为日志时,可以使得生成的目标异常用户行为日志的完整性及可信度。
对于一种可能性实施例而言,在待处理的异常用户行为日志中包括不少于一组阶段型异常用户行为日志的前提下,在得到已更新行为偏好知识库之后,该方法还包括:基于不少于一组阶段型异常用户行为日志,和每组阶段型异常用户行为日志对应的已更新行为偏好知识库,确定全局阶段型知识库。
在实际实施时,可以从每组阶段型异常用户行为日志中提取若干关键内容,并根据该组阶段型异常用户行为日志对应的已更新行为偏好知识库,确定每个关键内容的偏好量化结果,进而可以得到不少于一组阶段型异常用户行为日志对应的若干关键内容的描述表达和偏好量化结果;再通过若干关键内容的描述表达和偏好量化结果(比如热度值或者特征识别度值),确定全局阶段型知识库(比如动态可变的知识库)。
如此,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,能够使得确定的全局阶段型知识库的具有高质量评价。
对于一种可能性实施例而言,在待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志的前提下,在得到已更新行为偏好知识库之后,该方法还包括:基于已更新行为偏好知识库,确定待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征;通过各个第二目标行为事件的行为偏好知识特征,指示所述大数据安全防护终端进行信息安全防护处理。
在本发明实施例中,在待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志时,可以得到在线异常用户行为日志对应的已更新行为偏好知识库,基于在线异常用户行为日志对应的已更新行为偏好知识库,可以确定待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征;并可以通过各个第二目标行为事件的行为偏好知识特征,指示所述大数据安全防护终端进行信息安全防护处理。
如此设计,由于已更新行为偏好知识库的具有高质量评价,通过具有高质量评价的已更新行为偏好知识库,可以具有高质量评价的确定第二目标行为事件的行为偏好知识特征,进而通过各个第二目标行为事件的行为偏好知识特征,能够更加准确的指示大数据安全防护终端,提高信息安全防护处理的效果。
进一步地,在上述内容的基础上,通过各个所述第二目标行为事件的行为偏好知识特征,指示所述大数据安全防护终端进行信息安全防护处理,可以通过以下技术方案实现:确定所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图;基于所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图之间的意图衍生情况,对所述行为偏好知识特征中的局部数据攻击意图和全局数据攻击意图进行组合,得到意图组合结果;将组合存在异常的全局数据攻击意图确定为候选全局数据攻击意图,根据所述意图组合结果中的全局数据攻击意图与所述候选全局数据攻击意图之间的意图语义距离,确定与所述候选全局数据攻击意图相对应的数据破坏标签;对与所述候选全局数据攻击意图相对应的数据破坏标签和所述候选全局数据攻击意图进行组合,得到标签组合结果;根据所述标签组合结果和所述意图组合结果,确定所述行为偏好知识特征中的活跃性攻击意图和所述活跃性攻击意图对应的数据破坏标签;结合所述活跃性攻击意图和所述数据破坏标签确定针对所述大数据安全防护终端的控制策略,所述控制策略下发至所述大数据安全防护终端。
在本发明实施例中,意图衍生情况可理解为意图关联性,意图语义距离可以理解为意图相似度,活跃性攻击意图可以理解为热度较高的攻击意图,或者可以理解为具有较高触发概率的攻击意图,此外,数据破坏标签用于表征对应数据攻击所造成的不良后果所对应的类型。基于此,能够结合活跃性攻击意图和数据破坏标签针对性地生成控制策略,从而保障大数据安全防护终端的信息安全防护处理质量。
基于同样的发明构思,图2示出了本发明实施例提供的的基于云计算的异常用户行为分析装置的模块框图,基于云计算的异常用户行为分析装置可以包括实施图1所示的相关方法步骤的如下模块。
日志接收模块21,用于接收待处理的异常用户行为日志和待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库。
内容挖掘模块22,用于通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息。
知识库更新模块23,用于通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库。
应用于本发明的相关实施例可以达到如下技术效果:通过设定人工智能模型,对存在更新需求的行为偏好知识库和待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息,该知识库更新指示信息可以用于反映存在更新需求的行为偏好知识库中涵盖的待修正知识内容以及待补全知识内容中的至少一种,进而可以通过设定人工智能模型和知识库更新指示信息,对存在更新需求的行为偏好知识库进行更新操作,例如,可以过滤存在更新需求的行为偏好知识库中的待修正知识内容,和/或完善存在更新需求的行为偏好知识库中不完整的行为偏好知识特征,得到具有高质量评价的已更新行为偏好知识库。
以上所述,仅为本申请的具体实施方式。熟悉本技术领域的技术人员根据本申请提供的具体实施方式,可想到变化或替换,都应涵盖在本申请的保护范围之内。

Claims (8)

1.一种基于云计算的异常用户行为分析方法,其特征在于,应用于云计算服务系统,所述方法至少包括:
接收待处理的异常用户行为日志和所述待处理的异常用户行为日志对应的存在更新需求的行为偏好知识库;通过完成配置的具有行为偏好知识库更新功能的设定人工智能模型,对所述存在更新需求的行为偏好知识库和所述待处理的异常用户行为日志进行关键内容挖掘以获得知识库更新指示信息;所述知识库更新指示信息用于反映所述存在更新需求的行为偏好知识库对应的待修正知识内容以及待补全知识内容中的至少一种;
通过所述设定人工智能模型和所述知识库更新指示信息,对所述存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库;
其中,所述通过所述设定人工智能模型和所述知识库更新指示信息,对所述存在更新需求的行为偏好知识库进行更新操作,得到已更新行为偏好知识库,包括:
通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集;其中,所述目标关键内容集具有以下至少一种功能:旨在指示过滤所述存在更新需求的行为偏好知识库中的待修正知识内容,旨在指示完善所述存在更新需求的行为偏好知识库中的行为偏好知识特征;
通过所述目标关键内容集对所述存在更新需求的行为偏好知识库进行更新操作以获得所述已更新行为偏好知识库;
其中,所述通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得目标关键内容集,包括:
通过所述设定人工智能模型对所述知识库更新指示信息和所述存在更新需求的行为偏好知识库进行关键内容挖掘以获得若干不同维度的第一关键内容集;
将第一维度的第一关键内容集作为待处理关键内容集,对所述待处理关键内容集进行关键内容调整以获得第二关键内容集;其中,所述关键内容调整包括滑动平均操作和关键内容扩展中的至少一种;
依据所述第二关键内容集和与所述第二关键内容集维度一致的第一关键内容集以获得第三关键内容集;
将所述第三关键内容集作为完成调整的待处理关键内容集,跳转到对所述待处理关键内容集进行关键内容调整以获得第二关键内容集的步骤,直到获得的所述第三关键内容集的维度与第一关键内容集对应的第二维度相同,并将第二维度对应的第三关键内容集确定为所述目标关键内容集;其中,设定人工智能模型的配置方式如下:接收用于进行模型配置的参考范例,其中,所述用于进行模型配置的参考范例中包括范例异常用户行为日志、范例异常用户行为日志对应的第一行为偏好知识库和第二行为偏好知识库,第一行为偏好知识库的质量评价高于第二行为偏好知识库的质量评价;通过所述用于进行模型配置的参考范例,配置初始人工智能模型,得到所述设定人工智能模型。
2.根据权利要求1所述的方法,其特征在于,在所述用于进行模型配置的参考范例还包括范例异常用户行为日志对应的范例威胁事件标签分布和范例行为特征类别分布,所述设定人工智能模型中包括并行AI模型和知识库更新模型的前提下,所述通过所述用于进行模型配置的参考范例,配置初始人工智能模型,得到所述设定人工智能模型,包括:
将所述第二行为偏好知识库和所述范例异常用户行为日志,加载到所述并行AI模型中,得到所述范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、和测试型威胁事件标签分布;
将所述测试型知识库更新指示信息和所述第二行为偏好知识库加载到所述知识库更新模型中以获得所述测试型行为偏好知识库;
依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置所述初始人工智能模型,得到所述设定人工智能模型。
3.根据权利要求2所述的方法,其特征在于,所述依据所述测试型行为特征类别分布与所述范例行为特征类别分布、所述测试型威胁事件标签分布与所述范例威胁事件标签分布、所述测试型行为偏好知识库与所述第一行为偏好知识库、所述测试型行为偏好知识库与所述第二行为偏好知识库中的至少一种知识库集,配置所述初始人工智能模型,得到所述设定人工智能模型,包括:
依据所述测试型行为偏好知识库和所述第一行为偏好知识库,确定用于反映行为偏好知识特征扰动的第一量化模型代价、和用于反映行为偏好显著性扰动的第二量化模型代价;
依据所述测试型行为特征类别分布和所述范例行为特征类别分布,确定用于反映特征类别扰动的第三量化模型代价;
依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价;
借助第二行为偏好知识库和所述测试型行为偏好知识库,确定用于反映知识库模糊情况的第五量化模型代价;
依据所述第一量化模型代价、第二量化模型代价、第三量化模型代价、第四量化模型代价、以及所述第五量化模型代价中的一种或多种量化模型代价,确定目标量化模型代价;
依据所述目标量化模型代价,配置所述初始人工智能模型,得到所述设定人工智能模型。
4.根据权利要求3所述的方法,其特征在于,在所述目标量化模型代价包括第四量化模型代价的前提下,所述依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定用于反映标签分布扰动的第四量化模型代价,包括:
依据所述测试型威胁事件标签分布和所述范例威胁事件标签分布,确定所述测试型威胁事件标签分布中每个第一威胁事件标签的第一标签主题、与所述范例威胁事件标签分布中和所述第一威胁事件标签绑定的第二威胁事件标签的第二标签主题之间的词向量距离;
通过各个所述第一威胁事件标签分别对应的所述词向量距离、以及所述第一威胁事件标签的数目,确定所述第四量化模型代价。
5.根据权利要求3所述的方法,其特征在于,在所述目标量化模型代价包括第二量化模型代价的前提下,所述依据所述测试型行为偏好知识库和所述第一行为偏好知识库,确定用于反映行为偏好显著性扰动的第二量化模型代价,包括:
确定所述测试型行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第一标签变化指标和在多侧用户行为状态下的第二标签变化指标;
以及确定所述第一行为偏好知识库中每个威胁事件标签在单侧用户行为状态下的第三标签变化指标和在多侧用户行为状态下的第四标签变化指标;
依据所述测试型行为偏好知识库中各个第三威胁事件标签分别对应的所述第一标签变化指标和所述第二标签变化指标,以及所述第一行为偏好知识库中与所述第三威胁事件标签绑定的第四威胁事件标签对应的所述第三标签变化指标和所述第四标签变化指标,确定所述第二量化模型代价。
6.根据权利要求3所述的方法,其特征在于,在所述目标量化模型代价包括第五量化模型代价的前提下,所述基于第二行为偏好知识库和所述测试型行为偏好知识库,确定用于反映知识库模糊情况的第五量化模型代价,包括:
通过完成配置的关键内容挖掘模型,分别对所述测试型行为偏好知识库和所述第二行为偏好知识库进行关键内容挖掘以获得所述测试型行为偏好知识库对应的第一目标关键内容集、和所述第二行为偏好知识库对应的第二目标关键内容集;
依据所述第一目标关键内容集和所述第二目标关键内容集,确定所述第五量化模型代价;其中,所述依据所述第一目标关键内容集和所述第二目标关键内容集,确定所述第五量化模型代价,包括:确定所述第一目标关键内容集中每个第一关键内容的第一描述值、与所述第二目标关键内容集中和所述第一关键内容绑定的第二关键内容的第二描述值之间的量化差异;将各个所述第一关键内容分别对应的所述量化差异的全局处理结果,确定为所述第五量化模型代价。
7.根据权利要求3-6任一所述的方法,其特征在于,在所述将所述第二行为偏好知识库和所述范例异常用户行为日志,加载到所述并行AI模型中,得到所述范例异常用户行为日志对应的测试型知识库更新指示信息、测试型行为特征类别分布、测试型威胁事件标签分布之前,所述方法还包括:
对所述范例异常用户行为日志和所述第二行为偏好知识库进行匹配处理,得到完成匹配处理的范例异常用户行为日志和第二行为偏好知识库,其中,所述完成匹配处理的范例异常用户行为日志和第二行为偏好知识库中,标签定位结果一致的威胁事件标签对应在云业务互动环境中的相同业务类别;
其中,在所述待处理的异常用户行为日志包括动态用户行为处理线程爬取的云业务异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述已更新行为偏好知识库,确定所述待处理的异常用户行为日志中包括的至少一个第一目标行为事件的行为偏好知识特征;通过每个所述第一目标行为事件的行为偏好知识特征和事先确定的参考行为事件的安全状态描述,确定所述参考行为事件与所述第一目标行为事件之间的威胁传递情况;依据所述威胁传递情况和所述待处理的异常用户行为日志以获得携带有所述参考行为事件的目标异常用户行为日志,并指示所述动态用户行为处理线程输出所述目标异常用户行为日志;
其中,在所述待处理的异常用户行为日志中包括不少于一组阶段型异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述不少于一组阶段型异常用户行为日志,和每组阶段型异常用户行为日志对应的所述已更新行为偏好知识库,确定全局阶段型知识库;
其中,在所述待处理的异常用户行为日志包括大数据安全防护终端中部署的异常日志捕捉线程爬取的在线异常用户行为日志的前提下,在所述得到已更新行为偏好知识库之后,所述方法还包括:依据所述已更新行为偏好知识库,确定所述待处理的异常用户行为日志中包括的至少一个第二目标行为事件的行为偏好知识特征;通过各个所述第二目标行为事件的行为偏好知识特征,指示所述大数据安全防护终端进行信息安全防护处理。
8.一种云计算服务系统,其特征在于,包括:存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算服务系统执行如权利要求1-7中任意一项所述的方法。
CN202210204194.1A 2022-03-03 2022-03-03 一种基于云计算的异常用户行为分析方法及系统 Active CN114491282B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210204194.1A CN114491282B (zh) 2022-03-03 2022-03-03 一种基于云计算的异常用户行为分析方法及系统
CN202210887832.4A CN115269981A (zh) 2022-03-03 2022-03-03 一种结合人工智能的异常行为分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210204194.1A CN114491282B (zh) 2022-03-03 2022-03-03 一种基于云计算的异常用户行为分析方法及系统

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202210887832.4A Division CN115269981A (zh) 2022-03-03 2022-03-03 一种结合人工智能的异常行为分析方法及系统

Publications (2)

Publication Number Publication Date
CN114491282A CN114491282A (zh) 2022-05-13
CN114491282B true CN114491282B (zh) 2022-10-04

Family

ID=81484587

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210204194.1A Active CN114491282B (zh) 2022-03-03 2022-03-03 一种基于云计算的异常用户行为分析方法及系统
CN202210887832.4A Withdrawn CN115269981A (zh) 2022-03-03 2022-03-03 一种结合人工智能的异常行为分析方法及系统

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202210887832.4A Withdrawn CN115269981A (zh) 2022-03-03 2022-03-03 一种结合人工智能的异常行为分析方法及系统

Country Status (1)

Country Link
CN (2) CN114491282B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115344880B (zh) * 2022-09-14 2023-04-07 丁跃辉 应用于数字云的信息安全分析方法及服务器
CN116362226A (zh) * 2023-04-10 2023-06-30 河北方振科技有限公司 基于在线业务交互的大数据异常ai分析方法及服务器

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102468985A (zh) * 2010-11-01 2012-05-23 北京神州绿盟信息安全科技股份有限公司 针对网络安全设备进行渗透测试的方法和系统
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN108123939A (zh) * 2017-12-14 2018-06-05 华中师范大学 恶意行为实时检测方法及装置
CN113868010A (zh) * 2021-12-01 2021-12-31 杭银消费金融股份有限公司 应用于业务系统的异常数据处理方法及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110990695A (zh) * 2019-11-22 2020-04-10 厦门美柚股份有限公司 推荐系统内容召回方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102468985A (zh) * 2010-11-01 2012-05-23 北京神州绿盟信息安全科技股份有限公司 针对网络安全设备进行渗透测试的方法和系统
CN106778259A (zh) * 2016-12-28 2017-05-31 北京明朝万达科技股份有限公司 一种基于大数据机器学习的异常行为发现方法及系统
CN108123939A (zh) * 2017-12-14 2018-06-05 华中师范大学 恶意行为实时检测方法及装置
CN113868010A (zh) * 2021-12-01 2021-12-31 杭银消费金融股份有限公司 应用于业务系统的异常数据处理方法及系统

Also Published As

Publication number Publication date
CN114491282A (zh) 2022-05-13
CN115269981A (zh) 2022-11-01

Similar Documents

Publication Publication Date Title
CN111178456B (zh) 异常指标检测方法、装置、计算机设备和存储介质
US11487941B2 (en) Techniques for determining categorized text
CN114491282B (zh) 一种基于云计算的异常用户行为分析方法及系统
CN111177714B (zh) 异常行为检测方法、装置、计算机设备和存储介质
CN109547423B (zh) 一种基于机器学习的web恶意请求深度检测系统及方法
US11182481B1 (en) Evaluation of files for cyber threats using a machine learning model
CN113449012A (zh) 基于大数据预测的互联网服务挖掘方法及大数据预测系统
CN113722719A (zh) 针对安全拦截大数据分析的信息生成方法及人工智能系统
CN112015779A (zh) 学生偏好预测的方法、系统和装置
CN116015703A (zh) 模型训练方法、攻击检测方法及相关装置
CN113947076A (zh) 保单数据的检测方法、装置、计算机设备及存储介质
CN113723555A (zh) 异常数据的检测方法及装置、存储介质、终端
US11308130B1 (en) Constructing ground truth when classifying data
CN112579755A (zh) 基于人工智能和云计算的信息应答方法及信息互动平台
CN114385808A (zh) 文本分类模型构建方法与文本分类方法
CN116150376A (zh) 一种样本数据分布优化方法、装置和存储介质
CN116305103A (zh) 一种基于置信度差异的神经网络模型后门检测方法
CN110808947A (zh) 一种自动化的脆弱性量化评估方法及系统
Geissler et al. A low-cost strategic monitoring approach for scalable and interpretable error detection in deep neural networks
CN115563275A (zh) 一种多维度自适应日志分类分级方法和装置
CN114398887A (zh) 一种文本分类方法、装置及电子设备
US11210605B1 (en) Dataset suitability check for machine learning
CN114528550B (zh) 一种应用于电商大数据威胁识别的信息处理方法及系统
US11526606B1 (en) Configuring machine learning model thresholds in models using imbalanced data sets
CN116383390B (zh) 一种用于经营管理信息的非结构化数据存储方法及云平台

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220705

Address after: 150090 No. 54, Nangang concentration area, economic development zone, Harbin, Heilongjiang Province

Applicant after: Chen Lin

Address before: 150090 No. 1, floor 1, unit 5, building 54, Hongqi demonstration new area, Nangang concentration area, economic development zone, Harbin, Heilongjiang Province

Applicant before: Harbin lanbiao Intelligent Technology Co.,Ltd.

TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20220920

Address after: Room 501, No. 1, Floor 1-5, Building 3-13, Phase III, Optics Valley Core Center, No. 303, Optics Valley Avenue, Fozuling Street, Donghu New Technology Development Zone, Wuhan City, Hubei Province 430000

Applicant after: ChinaSoft digital intelligence information technology (Wuhan) Co.,Ltd.

Address before: 150090 No. 54, Nangang concentration area, economic development zone, Harbin, Heilongjiang Province

Applicant before: Chen Lin

GR01 Patent grant
GR01 Patent grant