异常访问行为检测方法、装置、设备及可读存储介质与流程

1.本申请涉及数据处理技术领域，更具体地，涉及异常访问行为检测方法、异常访问行为检测装置、异常访问行为检测设备及计算机可读存储介质。


背景技术：

2.网络行为分析是信息安全领域的一个重要分支，然而由于目前的研究无法有效地给予明确的异常规则定义，因此在异常访问行为的发掘过程中，在检测怎样的操作行为才是异常访问时往往出现过高的误报率。进一步地，上述误报率过高检测还可能加大泄露敏感或机密文件的可能性。
3.常规的异常访问行为检测方法主要基于操作次数、文件类型以及文件名称关键字等与用户的个人操作行为(诸如读取、复制和删除等)相关的特征点进行用户异常访问行为的分析。然而，服务器中的目录(访问路径)与用户众多，服务器管理者难以精准且正确地设置每一个目录的使用者权限，并且由于用户的个人需求和个人行为易变，其工作业务范围模糊且难以明确定义，因而根据历史用户的一些离散特征点检测当前用户的访问行为是否属于异常行为并不准确高效。
4.因此，如何在提高异常访问行为检测效率的同时兼顾异常访问行为检测判定的准确率，并且避免机密或敏感文件外泄是目前亟待解决的问题。


技术实现要素：

5.本申请提供了一种可至少部分解决相关技术中存在的上述问题的异常访问行为检测方法、异常访问行为检测装置、异常访问行为检测设备及计算机可读存储介质。
6.本申请一方面提供了一种异常访问行为检测方法，所述方法包括：获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群体；由所述群体中全部用户的历史访问路径确定隶属程度值；以及根据所述用户所在群体对应于所述访问路径的所述隶属程度值检测所述用户的访问行为是否异常。
7.在本申请一个实施方式中，由所述群体中全部用户的历史访问路径确定隶属程度值的步骤包括：根据所述群体中全部用户的所述历史访问路径构建多维化数据空间，其中任一所述历史访问路径在所述多维化数据空间中具有唯一坐标；以及确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值。
8.在本申请一个实施方式中，根据所述群体中全部用户的所述历史访问路径构建多维化数据空间的步骤包括：对所述群体中全部用户的所述历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个所述群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于所述访问路径独热向量和所述群体编号独热向量构建所述多维化数据空间。
9.在本申请一个实施方式中，确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值的步骤包括：构建机器学习模型，并使用所述访问路径独热向量训练所述机
器学习模型以构建所述多维化数据空间；以及将所述访问路径独热向量和所述群体编号独热向量输入完成训练的所述机器学习模型以确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。
10.在本申请一个实施方式中，使用所述访问路径独热向量训练所述机器学习模型的步骤包括：获取所属群体中任一用户的连续n次不同的历史访问路径，其中n为大于等于3的正整数；在所述机器学习模型的输入层输入第n
‑
1次历史访问路径对应的独热向量；在所述机器学习模型的、不同的输出层分别输入n
‑
2次历史访问路径对应的独热向量、第n次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个所述群体中全部用户的连续n次不同的历史访问路径的独热向量和多个所述群体编号独热向量训练该机器学习模型。
11.在本申请一个实施方式中，所述方法还包括：由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表。
12.在本申请一个实施方式中，由多个群体中全部用户的历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表的步骤包括：由任一群体中全部用户的所述历史访问路径确定所述任一群体相对于所述任一访问路径的所述隶属程度值；将所述多个群体的、相对于所述任一访问路径的所述隶属程度值排序；以及去除所述隶属程度值接近或等于零的群体以获得所述任一访问路径对应于所述多个群体的隶属程度值表。
13.本申请另一方面提供了一种异常访问行为检测装置，所述装置包括：获取模块，所述获取模块被配置为获取用户的访问数据，所述访问数据包括访问行为、访问路径和所述用户所在群体；处理模块，所述处理模块被配置为根据所述群体中全部用户的历史访问路径确定隶属程度值；以及检测模块，所述检测模块被配置为根据所述用户所在群体对应于所述访问路径的所述隶属程度值检测所述用户的访问行为是否异常。
14.在本申请一个实施方式中，所述装置还包括：处理模块，所述处理模块被配置为根据所述群体中全部用户的所述历史访问路径构建多维化数据空间，其中任一所述历史访问路径在所述多维化数据空间中具有唯一坐标；以及确定所述多维化数据空间中任一坐标对应于所述群体的所述隶属程度值。
15.在本申请一个实施方式中，所述处理模块被进一步配置为对所述群体中全部用户的所述历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个所述群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于所述访问路径独热向量和所述群体编号独热向量构建所述多维化数据空间。
16.在本申请一个实施方式中，所述处理模块被进一步配置为通过构建机器学习模型，并使用所述访问路径独热向量训练所述机器学习模型以构建所述多维化数据空间；以及将所述访问路径独热向量和所述群体编号独热向量输入完成训练的所述机器学习模型以确定所述多维化数据空间中任一坐标对应于所述群体的隶属程度值。
17.在本申请一个实施方式中，所述处理模块被进一步配置为通过获取所属群体中任一用户的连续n次不同的历史访问路径，其中n为大于等于3的正整数；在所述机器学习模型的输入层输入第n
‑
1次历史访问路径对应的独热向量；在所述机器学习模型的、不同的输出层分别输入n
‑
2次历史访问路径对应的独热向量、第n次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个所述群体中全部用户的连续n
次不同的历史访问路径的独热向量和多个所述群体编号独热向量训练该机器学习模型。
18.在本申请一个实施方式中，所述处理模块被进一步配置为由多个群体中全部用户的所述历史访问路径确定任一访问路径对应于所述多个群体的隶属程度值表。
19.在本申请一个实施方式中，所述处理模块被进一步配置为通过任一群体中全部用户的所述历史访问路径确定所述任一群体相对于所述任一访问路径的所述隶属程度值；将所述多个群体的、相对于所述任一访问路径的所述隶属程度值排序；以及去除所述隶属程度值接近或等于零的群体以获得所述任一访问路径对应于所述多个群体的隶属程度值表。
20.本申请又一方面提供了一种异常访问行为检测设备，所述异常访问行为检测设备包括：处理器；以及存储器，所述存储器中存储有计算机可读代码，所述计算机可读代码当由所述处理器运行时，执行如本申请一方面提供的任一项所述的异常访问行为检测方法。
21.本申请又一方面提供了一种计算机可读存储介质，其上存储有指令，所述指令在被处理器执行时，使得所述处理器执行如本申请一方面提供的任一项所述的异常访问行为检测方法。
22.根据本申请至少一个实施方式提供的异常访问行为检测方法、异常访问行为检测装置、异常访问行为检测设备及计算机可读存储介质，通过用户所在群体中全部用户基于工作业务需要而形成的历史访问路径确定该群体对不同的访问路径的隶属程度值，进而根据该隶属程度值检测用户的访问行为是否异常，可提高异常访问行为检测的效率，减少对访问行为审核的误判率，并提高异常访问行为检测判定的准确率，避免机密或敏感文件外泄。
23.此外，根据本申请的至少一个实施方式，可根据群体中全部用户的历史访问路径构建多维化数据空间，从而使用户访问行为与服务器中的目录(访问路径)之间的关联实现可视化，以更好地对异常访问行为进行检测。
附图说明
24.通过阅读参照以下附图所作的对非限制性实施例的详细描述，本申请的其它特征、目的和优点将会变得更明显。其中：
25.图1是根据本申请一个方式的异常访问行为检测方法的流程图；
26.图2是根据本申请一个实施方式的异常访问行为检测系统及工作方式示意图；
27.图3是根据本申请一个实施方式的由群体中全部用户的历史访问路径构建的多维化数据空间示意图以及对应指定坐标多个群体的隶属程度值表；
28.图4是根据本申请一个实施方式的机器学习模型及训练过程示意图；
29.图5是根据本申请一个实施方式的用于获取任一访问路径对不同群体的隶属程度值表的机器学习模型及工作过程示意图；
30.图6是根据本申请一个实施方式的用于确定任一访问路径在多维化数据空间中的坐标的机器学习模型及工作过程示意图；
31.图7是根据本申请一个实施方式的用于根据任一访问路径在多维化数据空间中的坐标确定其对应不同群体的隶属程度值表的机器学习模型及工作过程示意图；
32.图8是根据本申请一个实施方式的多维化数据空间中单一群体对不同的访问路径的隶属程度的示意图；
33.图9是根据本申请一个实施方式的多维化数据空间中多个群体对不同的访问路径的隶属程度的示意图；
34.图10是根据本申请一个实施方式的异常访问行为检测装置的示意图；
35.图11示出了根据本申请一个实施方式的异常访问行为检测设备的示意图；以及
36.图12是根据本申请一个实施方式的存储介质的示意图。
具体实施方式
37.为了更好地理解本申请，将参考附图对本申请的各个方面做出更详细的说明。应理解，这些详细说明只是对本申请的示例性实施方式的描述，而非以任何方式限制本申请的范围。在说明书全文中，相同的附图标号指代相同的元件。表述“和/或”包括相关联的所列项目中的一个或多个的任何和全部组合。
38.应注意，在本说明书中，第一、第二、第三等的表述仅用于将一个特征与另一个特征区域分开来，而不表示对特征的任何限制，尤其不表示任何的先后顺序。
39.在附图中，为了便于说明，已稍微调整了部件的厚度、尺寸和形状。附图仅为示例而并非严格按比例绘制。如在本文中使用的，用语“大致”、“大约”以及类似的用语用作表近似的用语，而不用作表程度的用语，并且旨在说明将由本领域普通技术人员认识到的、测量值或计算值中的固有偏差。
40.还应理解的是，诸如“包括”、“包括有”、“具有”、“包含”和/或“包含有”等表述在本说明书中是开放性而非封闭性的表述，其表示存在所陈述的特征、元件和/或部件，但不排除一个或多个其它特征、元件、部件和/或它们的组合的存在。此外，当诸如“...中的至少一个”的表述出现在所列特征的列表之后时，其修饰整列特征，而非仅仅修饰列表中的单独元件。此外，当描述本申请的实施方式时，使用“可”表示“本申请的一个或多个实施方式”。并且，用语“示例性的”旨在指代示例或举例说明。
41.除非另外限定，否则本文中使用的所有措辞(包括工程术语和科技术语)均具有与本申请所属领域普通技术人员的通常理解相同的含义。还应理解的是，除非本申请中有明确的说明，否则在常用词典中定义的词语应被解释为具有与它们在相关技术的上下文中的含义一致的含义，而不应以理想化或过于形式化的意义解释。
42.需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。另外，除非明确限定或与上下文相矛盾，否则本申请所记载的方法中包含的具体步骤不必限于所记载的顺序，而可以任意顺序执行或并行地执行。下面将参考附图并结合实施例来详细说明本申请。
43.此外，在本申请中当使用“连接”或“联接”时可表示相应部件之间为直接的接触或间接的接触，除非有明确的其它限定或者能够从上下文推导出的除外。
44.图1是根据本申请一个方式的异常访问行为检测方法1000的流程图。如图1所示，本申请提供一种异常访问行为检测方法1000包括：
45.s1，获取用户的访问数据，访问数据包括访问行为、访问路径和用户所在群体。
46.s2，由群体中全部用户的历史访问路径确定隶属程度值。
47.s3，根据用户所在群体对应于访问路径的隶属程度值检测用户的访问行为是否异常。
48.下面将结合图2至图9详细说明上述异常访问行为检测方法1000的各个具体步骤。
49.图2是根据本申请一个实施方式的异常访问行为检测系统及工作方式示意图。
50.如图2所示，在本申请的一个实施方式中，诸如网络文件系统、分布式文件系统等文件系统在运行的时候可在其文件服务器中建立一个文件服务器操作日志(file server action log)，用于记录发生在该文件服务器中的所有已发生的用户操作信息，记录的内容可包括用户的信息、访问路径、访问发生的时间以及访问行为等。具体地，用户信息可包括用户的独一数字编号，例如用户工号。访问行为可包括用户的例如访问、读取、复制、搬移等动作。此外，文件服务器操作日志通常可基于例如时间等参数被分割成多个文件。
51.数据平台可对所有用户所在群体进行命名和编号(组织数据)，并对每个群体中的所有用户进行编号，使每个用户拥有独一的数字编号(人员数据)，并可基于该用户的数字编号确定其所在群体的名称及群体编号。
52.流程处理与运算平台可将数据平台的组织数据和人员数据全部作为常用数据载入并存储至例如流程处理与运算平台的记忆体中，并循序读取文件服务器操作日志的多个文件内的用户操作信息，根据已存储的组织数据、人员数据以及用户的独一数字编号关联出用户所在群体的名称及群体编号。进一步地，流程处理与运算平台还可将用户的独一数字编号、用户所在群体的名称及群体编号、用户的访问路径、访问发生的时间以及访问行为整理为操作记录。此外，流程处理与运算平台可读取操作记录中的全部访问路径，并在去除全部访问路径中重复的部分后，对剩余路径进行统一编号，以使每条访问路径都拥有独一的路径编号(历史访问路径编号)。
53.进一步地，数据平台还可存储由流程处理与运算平台整理的操作记录以及路径编号。
54.通过上述在文件服务器、数据平台以及流程处理与运算平台上的一系列操作，可获取用户的访问数据，访问数据可包括访问行为、访问路径和用户所在群体。此外，通过数据平台存储的操作记录以及路径编号还可获取每个群体中全部用户的历史访问数据，历史访问数据可包括每个群体中全部用户的历史访问路径，因而，可从整体上反映用户所在群体中全部用户基于工作业务需求的业务行为。
55.常规的异常访问行为检测方法通常基于操作次数、文件类型以及文件名称关键字等与用户的个人操作行为(诸如读取、复制和删除等)相关的特征点进行用户异常访问行为的分析。然而，服务器中的目录(访问路径)与用户众多，服务器管理者难以精准且正确地设置每一个目录的使用者权限，并且由于用户的个人需求和个人行为易变，其工作业务范围模糊且难以明确定义，因而根据历史用户的一些离散特征点检测当前用户的访问行为是否属于异常行为并不准确高效。
56.本申请提供的用户异常访问行为检测方法可基于用户所在群体中全部用户的历史访问路径确定该群体对不同的访问路径的隶属程度值，隶属程度值可通过具体数值直观地反映用户所在群体对不同的访问路径的业务需求程度，以及直观地反映用户的访问行为与服务器中的目录(访问路径)之间的关联。因而，以用户所在群体作为基本单位，并获取其对不同的访问路径的业务需求程度(隶属程度值)可检测用户的访问行为是否异常。因此，通过本申请提供的异常访问行为检测方法可提高异常访问行为检测的效率，减少对访问行为审核的误判率，并提高异常访问行为检测判定的准确率，进一步地，还可避免因误判率过
高的检测结果导致的机密或敏感文件外泄。
57.图3是根据本申请一个实施方式的由群体中全部用户的历史访问路径构建的多维化数据空间示意图以及对应任一指定坐标的多个群体的隶属程度值表。
58.具体地，在本申请的一个实施方式中，可根据群体中全部用户的历史访问路径构建多维化数据空间，从而使用户访问行为与服务器中的目录(访问路径)之间的关联实现可视化，以观察多维化数据空间中多个群体对不同的访问路径的隶属程度值。由群体中全部用户的历史访问路径确定隶属程度值的步骤可包括：
59.根据群体中全部用户的历史访问路径构建多维化数据空间，其中任一历史访问路径在多维化数据空间中具有唯一坐标；以及确定多维化数据空间中任一坐标对应于群体的隶属程度值。
60.具体地，可首先对数据平台中存储的群体中全部用户的路径编号(历史访问路径编号)进行独热编码(one
‑
hot encoding)以形成访问路径独热向量(one
‑
hot vector)。然后，对数据平台中存储的组织数据中的多个群体编号进行独热编码以形成群体编号独热向量。之后，基于访问路径编号独热向量和群体编号独热向量构建多维化数据空间。换言之，首先可使用p位状态寄存器对p个路径编号进行编码，每个路径编号都有它独立的寄存器位，并且在任意时候，寄存器位中只有一位是1(有效位)，其余都是零值，其中p为路径编号的总数量。此外，还可使用m位状态寄存器对m个群体编号进行编码，每个群体编号都有它独立的寄存器位，并且在任意时候，寄存器位中只有一位是1(有效位)，其余都是零值，其中m为群体编号的总数量。通过采用独热编码对路径编号和群体编号进行处理构建多维化数据空间，可扩充诸如路径编号和群体编号等属性数据所构成的离散特征，从而可有效地处理上述离散特征之间的距离或相似度，使映射形成的多维化数据空间可充分体现多个群体对不同的访问路径的隶属程度值。
61.如图3所示，在多维化数据空间中，每一条历史访问路径都可投射为一固定坐标，其中历史访问路径的坐标可由访问动作推演而来，因而越常被连续执行访问动作的历史访问路径的坐标彼此之间的间隔距离越小，反之则越大。
62.图4是根据本申请一个实施方式的机器学习模型及训练过程示意图。
63.如图4所示，在本申请的至少一个实施方式中，可通过完成训练的诸如神经网络模型等机器学习模型确定多维化数据空间中任一坐标对应于群体的隶属程度值。本申请对机器学习模型的种类不作任何限定。
64.具体地，确定多维化数据空间中任一坐标(访问路径)对应于群体的隶属程度值的步骤可包括：
65.构建机器学习模型，并使用访问路径独热向量训练机器学习模型以构建多维化数据空间；以及将访问路径独热向量和群体编号独热向量输入训练后的机器学习模型以确定多维化数据空间中任一坐标对应于群体的隶属程度值。
66.在本申请的一个实施方式中，可将问路径独热向量和群体编号独热向量输入训练后的卷积神经网络(convolutional neural network，cnn)以生成多维化数据空间中任一坐标对应于群体的隶属程度值。cnn与传统的神经网络有所不同，在cnn中，层(dense)与层之间的神经元节点不再是全连接形式，cnn利用层与层之间局部空间相关性，相邻每一层的神经元节点只与和它相近的上层神经元节点连接，这样大大降低了神经网络架构的参数规
模。
67.如图4所示，卷积神经网络可设置为6层，分别是第一层dense_1、第二层dense_2、第三层dense_3、第四层dense_4、第五层dense_5、及第六层dense_6，其中dense_1、dense_2、dense_3、dense_4、dense_5和dense_6的神经元个数可分别设置为n1、n2、n3、n4、n5和n6。第一层dense_1、第三层dense_3和第四层dense_4的神经元个数n1、n3和n4可分别为路径编号(历史访问路径编号)中最大的数值。第二层dense_2的神经元个数n2小于第一层dense_1的神经元个数n1，作为一种选择，dense_2的神经元个数n2可为10个。第五层dense_5和第六层dense_6的神经元个数n5和n6可分别为群体编号中最大的数值。
68.可将训练数据输入到机器学习模型中，并根据输出数据与监督数据的差别，迭代调整机器学习模型的参数，最终模型的准确率达到一定的标准，表示训练完成，得到可以实际应用的机器模型。具体地，使用访问路径独热向量训练上述诸如卷积神经网络等机器学习模型的步骤可包括：
69.获取群体中任一用户的连续n次不同的历史访问路径，其中n为大于等于3的正整数。在机器学习模型的输入层输入第n
‑
1次历史访问路径对应的独热向量。在机器学习模型的、不同的输出层分别输入n
‑
2次历史访问路径对应的独热向量、第n次历史访问路径对应的独热向量以及所属群体的编号的独热向量。然后重复上述步骤，以通过多个群体中全部用户的连续n次不同的历史访问路径的独热向量和多个群体编号独热向量训练该机器学习模型。
70.通过上述完成训练的诸如神经网络模型等机器学习模型可确定多维化数据空间中任一坐标对应于群体的隶属程度值。
71.再次参考图3，图3中右图的隶属程度值表为左图的多维化数据空间中虚线方框所示的任一访问路径的坐标对应于多个群体的隶属程度值表，隶属程度值表可通过对多个群体的隶属程度值进行排序，并删除接近或等于零的隶属程度值实现，其中可观察到群体litho对于该访问路径的业务需求程度最高为83.4％；群体hr对于该访问路径的业务需求程度最低为0.1％。此外，还可观察到虽然隶属程度值高的群体对该访问路径的访问次数相对较多，然而对于没访问过该访问路径的群体，其隶属程度也不一定低，因为该访问路径可能符合群体业务上的潜在需求(例如，近期创立的目录、新专案的业务需求)，以及访问过该访问路径的群体，其隶属程度也不一定高(例如，群体hr)，因为访问过该访问路径的群体也许对该访问路径无业务需求(例如，错误的访问动作)。
72.图5是根据本申请一个实施方式的用于获取任一访问路径对不同群体的隶属程度值表的机器学习模型及工作过程示意图。图6是根据本申请一个实施方式的用于确定任一访问路径在多维化数据空间中的坐标的机器学习模型及工作过程示意图。图7是根据本申请一个实施方式的用于根据任一访问路径在多维化数据空间中的坐标确定其对应不同群体的隶属程度值表的机器学习模型及工作过程示意图。
73.如图5至图7所示，通过完成训练的机器学习模型，可获得根据任一访问路径在多维化数据空间中的坐标确定其对不同群体的隶属程度值。
74.具体地，如图5所示，在完成训练的机器学习模型的输入层输入路径数据，例如用户访问路径的独热向量，可在完成训练的机器学习模型的第六层dense_6输出该访问路径的对应不同群体的隶属程度值表。
75.具体地，由多个群体中全部用户的历史访问路径确定任一访问路径对应于单一群体或多个群体的隶属程度值表的步骤可包括：由任一群体中全部用户的历史访问路径确定任一群体相对于任一访问路径的隶属程度值；将多个群体的、相对于任一访问路径的隶属程度值排序；以及去除隶属程度值接近或等于零的群体以获得任一访问路径对应于所述多个群体的隶属程度值表。换言之，可基于访问路径独热向量和群体编号独热向量，通过机器学习模型确定多维化数据空间中任一坐标对应于群体的隶属程度值。
76.基于该访问路径的对应不同群体的隶属程度值表可实时检测任一用户的访问行为是否异常。因而，根据本申请至少一个实施方式提供的异常访问行为检测方法通过用户所在群体中全部用户基于工作业务需要而形成的历史访问路径确定该群体对不同的访问路径的隶属程度值，进而根据该隶属程度值检测用户的访问行为是否异常，可提高异常访问行为检测的效率，减少对访问行为审核的误判率，并提高异常访问行为检测判定的准确率，避免机密或敏感文件外泄。
77.此外，如图6所示，在完成训练的机器学习模型的输入层输入多个路径数据，例如多个用户路径的独热向量，可在完成训练的机器学习模型的第2层dense_2输出多个访问路径坐标在多维化数据空间中的分布。基于多个访问路径坐标在多维化数据空间中的分布可直观地观察例如同一群体的多个访问路径的分布范围；或者属于同一群体的访问路径分布范围的新路径。
78.进一步地，如图7所示，在完成训练的机器学习模型的输入层输入上述过程生成的多个访问路径坐标在多维化数据空间中的分布，可在完成训练的机器学习模型的第6层dense_6输出任一访问路径对应于单一群体或多个群体的隶属程度值表。
79.图8是根据本申请一个实施方式的多维化数据空间中单一群体对不同的访问路径的隶属程度的示意图。如图8所示，图中圆圈图案代表同一群体的访问路径在多维化数据空间中的分布，其中不同的圆圈图案其颜色浓度有差异，颜色浓度越高的圆圈坐标代表对应的历史访问路径对于该单一群体的隶属程度值越高，反之颜色浓度越低的圆圈坐标代表对应的历史访问路径对于该单一群体的隶属程度值越低。通过同一群体的访问路径在多维化数据空间中的分布可直观且有效地检测该群体的常规访问行为。
80.图9是根据本申请一个实施方式的多维化数据空间中多个群体对不同的访问路径的隶属程度的示意图。
81.如图9所示，分别用不同的图案代表a部门、b部门、c部门、d部门、e部门和f部门6个不同的群体。左侧图中的不同的图案分别代表多维化数据空间中不同群体对应的访问路径的坐标，越常被连续执行访问动作的历史访问路径彼此之间的间隔距离越小，反之则越大。相同图案的坐标的颜色浓度有差异，其中颜色浓度高的同图案坐标(历史访问路径)代表该坐标对应的群体的隶属程度值高，反之颜色浓度低的同图案坐标(历史访问路径)代表该坐标对应的群体的隶属程度值低。多个路径的、分别对应不同群体的隶属程度值可直观且有效地为服务器管理者精准且正确地设置每一个目录的使用者权限提供参考。
82.图10是根据本申请一个实施方式的异常访问行为检测装置2000的示意图。如图10所示，本申请的另一方面还提供了一种异常访问行为检测装置2000，其包括：获取模块100、检测模块200和处理模块300。获取模块200可被配置为获取用户的访问数据，访问数据包括访问行为、访问路径和用户所在群体。处理模块300可被配置为根据群体中全部用户的历史
访问路径确定隶属程度值。检测模块200可被配置为根据用户所在群体对应于访问路径的隶属程度值检测用户的访问行为是否异常。
83.此外，在本申请的一个实施方式中，处理模块300可被配置为根据群体中全部用户的历史访问路径构建多维化数据空间，其中任一历史访问路径在多维化数据空间中具有唯一坐标；以及确定多维化数据空间中任一坐标对应于群体的隶属程度值。
84.进一步地，在本申请的一个实施方式中，处理模块300还可被进一步配置为对群体中全部用户的历史访问路径进行编号，并对历史访问路径编号进行独热编码以形成访问路径独热向量；对多个群体进行编号，并对群体编号进行独热编码以形成群体编号独热向量；以及基于访问路径独热向量和群体编号独热向量构建所述多维化数据空间。
85.具体地，在本申请的一个实施方式中，处理模块300可被进一步配置为通过构建机器学习模型，并使用访问路径独热向量训练机器学习模型以构建多维化数据空间；以及将访问路径独热向量和群体编号独热向量输入完成训练的机器学习模型以确定多维化数据空间中任一坐标对应于群体的隶属程度值。作为一种选择，处理模块300可被进一步配置为通过获取所属群体中任一用户的连续n次不同的历史访问路径，其中n为大于等于3的正整数；在机器学习模型的输入层输入第n
‑
1次历史访问路径对应的独热向量；在机器学习模型的、不同的输出层分别输入n
‑
2次历史访问路径对应的独热向量、第n次历史访问路径对应的独热向量以及所属群体的编号的独热向量；以及重复上述步骤，以通过多个群体中全部用户的连续n次不同的历史访问路径的独热向量和多个群体编号独热向量训练该机器学习模型。
86.此外，在本申请的一个实施方式中，处理模块300还可被进一步配置为由多个群体中全部用户的历史访问路径确定任一访问路径对应于多个群体的隶属程度值表。具体地，可通过任一群体中全部用户的历史访问路径确定任一群体相对于任一访问路径的隶属程度值；将多个群体的、相对于任一访问路径的隶属程度值排序；以及去除隶属程度值接近或等于零的群体以获得任一访问路径对应于多个群体的隶属程度值表。
87.根据上述检测装置，可通过用户所在群体中全部用户基于工作业务需求而形成的历史访问路径确定该群体对不同的访问路径的隶属程度值，进而根据该隶属程度值检测用户的访问行为是否异常，可提高异常访问行为检测的效率，减少对访问行为审核的误判率，并提高异常访问行为检测判定的准确率，避免机密或敏感文件外泄。
88.根据本申请的又一方面，还提供了一种异常访问行为检测设备3000。图11示出了根据本申请一个实施方式的异常访问行为检测设备3000的示意图。
89.如图11所示，所述设备3000可包括一个或多个处理器，和一个或多个存储器。其中，存储器中存储有计算机可读代码，计算机可读代码当由所述一个或多个处理器运行时，可以执行如上所述的空间测量方法。
90.根据本申请实施方式的方法或装置也可以借助于图11所示的计算设备3000的架构来实现。计算设备3000可包括总线3010、一个或多个cpu3020、只读存储器(rom)3030、随机存取存储器(ram)3040、连接到网络的通信端口3050、输入/输出组件3060、硬盘3070等。计算设备3000中的存储设备，例如rom3030或硬盘3070可存储本申请提供的异常访问行为检测方法的处理和通信使用的各种数据或文件以及cpu所执行的程序指令。计算设备3000还可包括用户界面3080。当然，图11所示的架构只是示例性的，在实现不同的设备时，根据
实际需要，可以省略图11示出的计算设备中的一个或多个组件。
91.根据本申请的又一方面，还提供了一种计算机可读存储介质4020。图12是根据本申请的一个实施方式的计算机可读存储介质的示意图4020。
92.如图12所示，计算机可读存储介质4020上存储有计算机可读指令4010。当所述计算机可读指令4010由处理器运行时，可执行参照以上附图描述的根据本申请实施方式的异常访问行为检测方法。计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。易失性存储器例如可包括随机存取存储器(ram)和高速缓冲存储器(cache)等。非易失性存储器例如可包括只读存储器(rom)、硬盘、闪存等。
93.另外，根据本申请的实施方式，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请提供了一种非暂时性机器可读存储介质，所述非暂时性机器可读存储介质存储有机器可读指令，所述机器可读指令能够由处理器运行以执行与本申请提供的方法步骤对应的指令，例如：获取用户的访问数据，访问数据包括访问行为、访问路径和用户所在群体；以及根据用户所在群体对应于访问路径的隶属程度值检测用户的访问行为是否异常，其中，隶属程度值由群体中全部用户的历史访问路径确定。在这样的实施方式中，该计算机程序可以通过通信接口从网络上被下载和安装，和从可拆卸介质被安装。在该计算机程序被中央处理单元(cpu)执行时，执行本申请的方法中限定的上述功能。
94.可能以许多方式来实现本申请的方法和装置、设备。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本申请的方法和装置、设备。用于方法的步骤的上述顺序仅是为了进行说明，本申请的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本申请实施为记录在记录介质中的程序，这些程序包括用于实现根据本申请的方法的机器可读指令。因而，本申请还覆盖存储用于执行根据本申请的方法的程序的记录介质。
95.本申请的实施方式中提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。
96.以上描述仅为本申请的实施方式以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的保护范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离技术构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。