电子装置、基于日志数据识别用户异常操作的方法及存储介质与流程

本发明涉及异常操作识别领域，尤其涉及一种电子装置、基于日志数据识别用户异常操作的方法及存储介质。

背景技术：

目前，对于用户行为模式的识别有很多种，在应用系统操作层面大多采用设置规则的方式识别用户对某一特定对象或操作总数方面的监控，维度较为单一片面；另一方面应用系统操作日志通常被应用于监测系统健康状态，在用户操作层面缺少完整、体系化的应用方法。

技术实现要素：

有鉴于此，为了解决上述技术问题，本发明首先提出一种电子装置，所述电子装置包括存储器、及与所述存储器连接的处理器，所述处理器用于执行所述存储器上存储的基于日志数据识别用户异常操作的程序，所述基于日志数据识别用户异常操作的程序被所述处理器执行时实现如下步骤：

a1、采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；

a2、根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

a3、将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

优选地，在所述步骤a2中，所述预先建立的异常用户识别的分类模型的建立过程包括如下步骤：

根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

基于确定出的异常用户的操作特征数据，以有监督学习方式从所述异常用户的多个特征参数中选取出用于构建分类模型的关键特征参数，以及生成包含所述关键特征参数的关键特征数据；

利用所述关键特征数据构建决策树模型，所述决策树模型即为异常用户识别的分类模型。

优选地，所述根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户的步骤包括：

对多个用户的操作特征数据进行聚类，将关联度高的用户的操作特征数据聚合，得到多个簇；

分别判断每一个簇中各个操作特征数据的分布，若一个簇中包含的操作特征数据小于第一预设数量，则认为该簇中的用户为异常用户；

若一个簇中包含的操作特征数据大于或者等于所述第一预设数量，且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，大于或者等于第二预设数量，则认为该簇中的用户为异常用户；

或者，若一个簇中包含的操作特征数据大于或者等于所述第一预设数量，且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，小于所述第二预设数量，则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。

优选地，所述有监督学习方式为决策树算法或者朴素贝叶斯算法。

优选地，所述操作特征数据包括操作用户的用户名、登录ip、时间、操作事件、参数等数据信息。

此外，为了解决上述技术问题，本发明还提出一种基于日志数据识别用户异常操作的方法，其特征在于，所述方法包括如下步骤：

s1、采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；

s2、根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

s3、将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

优选地，在所述步骤s2中，所述预先建立的异常用户识别的分类模型的建立过程包括如下步骤：

根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

基于确定出的异常用户的操作特征数据，以有监督学习方式从所述异常用户的多个特征参数中选取出用于构建分类模型的关键特征参数，以及生成包含所述关键特征参数的关键特征数据；

利用所述关键特征数据构建决策树模型，所述决策树模型即为异常用户识别的分类模型。

优选地，所述根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户的步骤包括：

对多个用户的操作特征数据进行聚类，将关联度高的用户的操作特征数据聚合，得到多个簇；

分别判断每一个簇中各个操作特征数据的分布，若一个簇中包含的操作特征数据小于第一预设数量，则认为该簇中的用户为异常用户；

若一个簇中包含的操作特征数据大于或者等于所述第一预设数量，且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，大于或者等于第二预设数量，则认为该簇中的用户为异常用户；

或者，若一个簇中包含的操作特征数据大于或者等于所述第一预设数量，且离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，小于所述第二预设数量，则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。

优选地，所述有监督学习方式为决策树算法或者朴素贝叶斯算法。

此外，为解决上述技术问题，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质存储有基于虚拟号码监测查勘程序，所述基于日志数据识别用户异常操作的程序可被至少一个处理器执行，以使所述至少一个处理器执行如上任一项所述的基于日志数据识别用户异常操作的方法的步骤。

本发明所提出的电子装置、基于日志数据识别用户异常操作的方法及存储介质，首先通过采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；然后根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；最后将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。能够快速准确地识别出用户的异常操作，提高异常用户识别的准确性。

附图说明

图1是本发明提出的电子装置一可选的硬件架构的示意图；

图2是本发明电子装置一实施例中基于日志数据识别用户异常操作的程序的程序模块示意图；

图3是本发明基于日志数据识别用户异常操作的方法较佳实施例的实施流程图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

参阅图1所示，是本发明提出的电子装置一可选的硬件架构示意图。本实施例中，电子装置10可包括，但不仅限于，可通过通信总线14相互通信连接存储器11、处理器12、网络接口13。需要指出的是，图1仅示出了具有组件11-14的电子装置10，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

其中，存储器11至少包括一种类型的计算机可读存储介质，计算机可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等。在一些实施例中，存储器11可以是电子装置10的内部存储单元，例如电子装置10的硬盘或内存。在另一些实施例中，存储器11也可以是电子装置10的外包存储设备，例如电子装置10上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。当然，存储器11还可以既包括电子装置10的内部存储单元也包括其外包存储设备。本实施例中，存储器11通常用于存储安装于电子装置10的操作系统和各类应用软件，例如基于日志数据识别用户异常操作的程序等。此外，存储器11还可以用于暂时地存储已经输出或者将要输出的各类数据。

处理器12在一些实施例中可以是中央处理器(centralprocessingunit，cpu)、控制器、微控制器、微处理器、或其他数据处理芯片。处理器12通常用于控制电子装置10的总体操作。本实施例中，处理器12用于运行存储器11中存储的程序代码或者处理数据，例如运行的基于日志数据识别用户异常操作的程序等。

网络接口13可包括无线网络接口或有线网络接口，网络接口13通常用于在电子装置10与其他电子设备之间建立通信连接。

通信总线14用于实现组件11-13之间的通信连接。

图1仅示出了具有组件11-14以及基于日志数据识别用户异常操作的程序的电子装置10，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组件。

可选地，电子装置10还可以包括用户接口(图1中未示出)，用户接口可以包括显示器、输入单元比如键盘，其中，用户接口还可以包括标准的有线接口、无线接口等。

可选地，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled触摸器等。进一步地，显示器也可称为显示屏或显示单元，用于显示在电子装置10中处理信息以及用于显示可视化的用户界面。

可选地，在一些实施例中，电子装置10还可以包括音频单元(音频单元图1中未示出)，音频单元可以在电子装置10处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将接收的或者存储的音频数据转换为音频信号；进一步地，电子装置10还可以包括音频输出单元，音频输出单元将音频单元转换的音频信号输出，而且音频输出单元还可以提供与电子装置10执行的特定功能相关的音频输出(例如呼叫信号接收声音、消息接收声音等等)，音频输出单元可以包括扬声器、蜂鸣器等等。

可选地，在一些实施例中，电子装置10还可以包括警报单元(图中未示出)，警报单元可以提供输出已将事件的发生通知给电子装置10。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或者视频输出之外，警报单元可以以不同的方式提供输出以通知事件的发生。例如，警报单元可以以震动的形式提供输出，当接收到呼叫、消息或一些其他可以使电子装置10进入通信模式时，警报单元可以提供触觉输出(即，振动)以将其通知给用户。

在一实施例中，存储器11中存储的基于日志数据识别用户异常操作的程序被处理器12执行时，实现如下操作：

a、采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以获取用户的操作特征数据；

具体地，采集的用户的日志数据包括操作用户的用户名、登录ip、时间、操作事件、参数等数据信息；由于分析用户的异常操作是基于用户的日志数据中用户的操作特征进行的，因此需要采集用户的日志数据，并从采集的日志数据中获取包含有用户的操作特征数据，具体地，用户的操作特征数据为用于标识或记录用户操作行为的多个特征参数，其中操作特征参数可以为，从用户的操作特征数据中统计出的以确定的用户在预定义的时间段内(例如确定的工作日的每小时或者非工作日的每小时)执行操作的次数为维度得到的特征参数，也可以为，从用户的操作特征数据中统计出的以确定的操作在预定义的时间段内(例如确定的工作日的每小时或者非工作日的每小时)被执行次数为维度得到的特征参数，在预定义的时间段内使用的ip数等。

b、根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

c、将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

具体地，在本实施例的一些可选的实现方式中，所述预先建立的异常用户识别的分类模型的建立过程包括如下步骤：

e1、根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

具体地，采用聚类算法对多个用户的特征数据进行聚类，得到多个簇；当簇中包含有特征数据远离整个数据中心或者构成离散的散点时，将该远离数据中心或者构成离散的散点的数据特征对应的用户确定为异常用户。

在本实施例中，无监督学习方式可以为聚类算法，例如基于距离的聚类算法。

可以采用聚类算法对多个用户的操作特征数据进行聚类，将关联度高的用户的操作特征数据聚合，得到多个簇。每一个簇中可以包含多个关联度高的用户的操作特征数据。在本实施例中，可以分别判断每一个簇中各个操作特征数据的分布，如果一个簇中仅分布有小于第一预设数量的操作特征数据，例如2的散点，则认为该簇中的操作特征数据为散点，所述散点对应的用户为异常用户；如果一个簇中分布有大于所述第一预设数量的操作特征数据，且该簇中大部分数据离中心数据较远，如离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，大于或者等于第二预设数量，则认为该整个簇为异常用户的簇；或者，如果一个簇中分布有大于或者等于所述第一预设数量的操作特征数据，且该簇中离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，小于所述第二预设数量，则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。

f1、基于确定出的异常用户的操作特征数据，以有监督学习方式从所述异常用户的多个特征参数中选取出用于构建分类模型的关键特征参数，以及生成包含所述关键特征参数的关键特征数据；

具体地，在本实施例中，为了构建异常用户识别的分类模型，可以首先采用有监督学习方式对所述确定出的多个用户中的异常用户的特征数据进行分析，从特征参数中选取出用于构建分类模型的关键特征参数，即在识别异常用户中较为重要的参数。

在本实施例中，有监督学习方式可以采用决策树。可以在利用决策树选取出用于构建分类模型的关键特征参数之前，首先利用确定出的异常用户的特征数据，构建决策树。通过将多个异常用户的特征数据作为训练样本对决策树进行训练，决策树可以学习出异常用户的特征数据中的各个特征参数在识别异常用户中的重要程度。在确定出的异常用户的特征数据构建出的决策树中，包含多个节点，每一个节点对一个特征参数，距离决策树的根节点的位置越近的节点对应的特征参数在识别异常用户中越重要。可以选取决策树中深度大于深度阈值的节点对应的特征参数即较为重要的特征参数作为构建分类模型的关键特征参数。例如，在本实施例中，以用户的特征数据包括的用户在不同预设时间段内执行操作的次数为例，利用异常用户的特征数据构建出的决策树中，包含用户在各个预设时间点执行操作的次数对应的节点，在决策树中，根据用户在各个预设时间点执行操作的次数对识别异常用户的重要程度的不同，不同的时间段对应的执行操作的次数对应的节点在决策树中的深度也不同。在本实施例中，在通过决策树选取出用于构建分类模型的关键特征参数，即关键时间段的操作次数之后，可以从确定出的异常用户的特征数据中选取出满足以下条件的异常用户的特征数据：决策树对异常用户的特征数据进行分类得到的分类结果为异常用户。即采用决策树对识别出的异常用户的特征数据再次进行分类，得到分类结果。当决策树对异常用户的特征数据的分类结果为异常用户时，可以将该异常用户的特征数据中的关键特征参数(即关键时间点的执行次数)进行组合，得到关键特征数据，以利用该关键特征数据构建分类模型。

在本实施例中，有监督学习方式还可以采用朴素贝叶斯算法。可以采用朴素贝叶斯算法根据通过确定出的异常用户的特征数据，分别计算每一个特征参数对应的异常概率，特征参数对应异常概率为当特征参数的数值异常时用户为异常用户的概率。异常概率可以表示特征参数在识别异常用户中的重要程度。对应的异常概率越大的特征参数对于识别异常越重要。在通过朴素贝叶斯算法分别计算出各个特征参数对应的异常概率之后，可以将对应的异常概率大于概率阈值的特征参数作为用于构建分类模型的关键特征参数。在本实施例中，在通过朴素贝叶斯算法选取出用于构建分类模型的关键特征参数后，可以从确定出的异常用户的特征数据中选取出满足以下条件的异常用户的特征数据：采用朴素贝叶斯算法对异常用户的特征数据进行分类得到的分类结果为异常用户。即采用朴素贝叶斯算法对识别出的异常用户的特征数据再次进行分类，得到分类结果。当朴素贝叶斯算法对异常用户的特征数据的分类结果为异常用户时，可以将该异常用户的特征数据中的关键特征参数进行组合，得到关键特征数据，以利用该关键特征数据构建分类模型。

需要说明的是，在本实施例中，所述关键特征数据为关键时间段的执行次数，在其它一些实施例中，其也可以是关键时间段内使用的ip数、登录操作系统的次数；还可以是用户的基本信息，例如年龄、学历、职业等，在本实施例中，并不做限制。

g1、利用所述关键特征数据构建决策树模型，所述决策树模型即为异常用户识别的分类模型。

具体地，在本实施例中，分类模型可以为决策树模型。可以创建决策树模型，将所述生成的包含关键特征参数的关键特征数据作为训练样本对决策树模型进行训练以得到训练完成的异常用户识别的分类模型。

由上述事实施例可知，本发明提出的电子装置，首先接收车险案件信息，根据预定义的调度规则分析所述车险案件信息，以确定该案件的查勘任务对应的查勘员；然后基于虚拟号码用户端向预先确定的运营商的虚拟号码业务平台发送获取虚拟号码的请求，所述获取虚拟号码的请求中包括出险用户的真实电话号码信息；再次将获取的虚拟号码发送至所述查勘员的第一终端设备，监测该第一终端设备，以监听该第一终端设备基于所述虚拟号码与对应的出险用户的第二终端设备之间的语音通信信息；最后基于监听到的该第一终端设备与所述第二终端设备之间的语音通信信息，确定所述查勘员的服务质量。能够及时准确地全面掌握查勘员的服务质量，且能够降低用户信息泄露的风险。首先通过采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；然后根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；最后将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。能够快速准确地识别出用户的异常操作，提高异常用户识别的准确性。

此外，本发明的基于日志数据识别用户异常操作的程序依据其各部分所实现的功能不同，可用具有相同功能的程序模块进行描述。请参阅图2所示，是本发明电子装置一实施例中基于日志数据识别用户异常操作的程序的程序模块示意图。本实施例中，基于日志数据识别用户异常操作的程序依据其各部分所实现的功能的不同，可以被分割成采集模块201、分析模块202以及发送模块203。由上面的描述可知，本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段，比程序更适合于描述基于日志数据识别用户异常操作的程序在电子装置10中的执行过程。所述模块201-203所实现的功能或操作步骤均与上文类似，此处不再详述，示例性地，例如其中：

采集模块201用于采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；

分析模块202用于根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

发送模块203用于将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

此外，本发明还提出一种基于日志数据识别用户异常操作的方法，请参阅图3所示，所述基于日志数据识别用户异常操作的方法包括如下步骤：

s100、采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以获取用户的操作特征数据；

具体地，采集的用户的日志数据包括操作用户的用户名、登录ip、时间、操作事件、参数等数据信息；由于分析用户的异常操作是基于用户的日志数据中用户的操作特征进行的，因此需要采集用户的日志数据，并从采集的日志数据中获取包含有用户的操作特征数据，具体地，用户的操作特征数据为用于标识或记录用户操作行为的多个特征参数，其中操作特征参数可以为，从用户的操作特征数据中统计出的以确定的用户在预定义的时间段内(例如确定的工作日的每小时或者非工作日的每小时)执行操作的次数为维度得到的特征参数，也可以为，从用户的操作特征数据中统计出的以确定的操作在预定义的时间段内(例如确定的工作日的每小时或者非工作日的每小时)被执行次数为维度得到的特征参数，在预定义的时间段内使用的ip数等。

s200、根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

s300、将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

具体地，在本实施例的一些可选的实现方式中，所述预先建立的异常用户识别的分类模型的建立过程包括如下步骤：

e2、根据无监督机器学习算法分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

具体地，采用聚类算法对多个用户的特征数据进行聚类，得到多个簇；当簇中包含有特征数据远离整个数据中心或者构成离散的散点时，将该远离数据中心或者构成离散的散点的数据特征对应的用户确定为异常用户。

在本实施例中，无监督学习方式可以为聚类算法，例如基于距离的聚类算法。

可以采用聚类算法对多个用户的操作特征数据进行聚类，将关联度高的用户的操作特征数据聚合，得到多个簇。每一个簇中可以包含多个关联度高的用户的操作特征数据。在本实施例中，可以分别判断每一个簇中各个操作特征数据的分布，如果一个簇中仅分布有小于第一预设数量的操作特征数据，例如2的散点，则认为该簇中的操作特征数据为散点，所述散点对应的用户为异常用户；如果一个簇中分布有大于所述第一预设数量的操作特征数据，且该簇中大部分数据离中心数据较远，如离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，大于或者等于第二预设数量，则认为该整个簇为异常用户的簇；或者，如果一个簇中分布有大于或者等于所述第一预设数量的操作特征数据，且该簇中离预定义的中心数据的距离大于预定义距离阈值的操作特征数据的个数，小于所述第二预设数量，则认为该簇中离中心数据的距离大于预定义距离阈值的操作特征数据对应的用户的为异常用户。

f2、基于确定出的异常用户的操作特征数据，以有监督学习方式从所述异常用户的多个特征参数中选取出用于构建分类模型的关键特征参数，以及生成包含所述关键特征参数的关键特征数据；

具体地，在本实施例中，为了构建异常用户识别的分类模型，可以首先采用有监督学习方式对所述确定出的多个用户中的异常用户的特征数据进行分析，从特征参数中选取出用于构建分类模型的关键特征参数，即在识别异常用户中较为重要的参数。

在本实施例中，有监督学习方式可以采用决策树。可以在利用决策树选取出用于构建分类模型的关键特征参数之前，首先利用确定出的异常用户的特征数据，构建决策树。通过将多个异常用户的特征数据作为训练样本对决策树进行训练，决策树可以学习出异常用户的特征数据中的各个特征参数在识别异常用户中的重要程度。在确定出的异常用户的特征数据构建出的决策树中，包含多个节点，每一个节点对一个特征参数，距离决策树的根节点的位置越近的节点对应的特征参数在识别异常用户中越重要。可以选取决策树中深度大于深度阈值的节点对应的特征参数即较为重要的特征参数作为构建分类模型的关键特征参数。例如，在本实施例中，以用户的特征数据包括的用户在不同预设时间段内执行操作的次数为例，利用异常用户的特征数据构建出的决策树中，包含用户在各个预设时间点执行操作的次数对应的节点，在决策树中，根据用户在各个预设时间点执行操作的次数对识别异常用户的重要程度的不同，不同的时间段对应的执行操作的次数对应的节点在决策树中的深度也不同。在本实施例中，在通过决策树选取出用于构建分类模型的关键特征参数，即关键时间段的操作次数之后，可以从确定出的异常用户的特征数据中选取出满足以下条件的异常用户的特征数据：决策树对异常用户的特征数据进行分类得到的分类结果为异常用户。即采用决策树对识别出的异常用户的特征数据再次进行分类，得到分类结果。当决策树对异常用户的特征数据的分类结果为异常用户时，可以将该异常用户的特征数据中的关键特征参数(即关键时间点的执行次数)进行组合，得到关键特征数据，以利用该关键特征数据构建分类模型。

在本实施例中，有监督学习方式还可以采用朴素贝叶斯算法。可以采用朴素贝叶斯算法根据通过确定出的异常用户的特征数据，分别计算每一个特征参数对应的异常概率，特征参数对应异常概率为当特征参数的数值异常时用户为异常用户的概率。异常概率可以表示特征参数在识别异常用户中的重要程度。对应的异常概率越大的特征参数对于识别异常越重要。在通过朴素贝叶斯算法分别计算出各个特征参数对应的异常概率之后，可以将对应的异常概率大于概率阈值的特征参数作为用于构建分类模型的关键特征参数。在本实施例中，在通过朴素贝叶斯算法选取出用于构建分类模型的关键特征参数后，可以从确定出的异常用户的特征数据中选取出满足以下条件的异常用户的特征数据：采用朴素贝叶斯算法对异常用户的特征数据进行分类得到的分类结果为异常用户。即采用朴素贝叶斯算法对识别出的异常用户的特征数据再次进行分类，得到分类结果。当朴素贝叶斯算法对异常用户的特征数据的分类结果为异常用户时，可以将该异常用户的特征数据中的关键特征参数进行组合，得到关键特征数据，以利用该关键特征数据构建分类模型。

需要说明的是，在本实施例中，所述关键特征数据为关键时间段的执行次数，在其它一些实施例中，其也可以是关键时间段内使用的ip数、登录操作系统的次数；还可以是用户的基本信息，例如年龄、学历、职业等，在本实施例中，并不做限制。

g2、利用所述关键特征数据构建决策树模型，所述决策树模型即为异常用户识别的分类模型。

具体地，在本实施例中，分类模型可以为决策树模型。可以创建决策树模型，将所述生成的包含关键特征参数的关键特征数据作为训练样本对决策树模型进行训练以得到训练完成的异常用户识别的分类模型。

由上述事实施例可知，本发明提出的基于日志数据识别用户异常操作的方法，

首先通过采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；然后根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；最后将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。能够快速准确地识别出用户的异常操作，提高异常用户识别的准确性。

此外，本发明还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有基于日志数据识别用户异常操作的程序，所述基于日志数据识别用户异常操作的程序被处理器执行时实现如下操作：

采集预先确定的多个用户的日志数据，对采集的所述日志数据进行统计分析，以分别获取所述预先确定的多个用户的操作特征数据；

根据预先建立的异常用户识别的分类模型分析获取的操作特征数据，以从所述预先确定的多个用户中确定出异常用户；

将确定出的异常用户的身份标识信息发送至预先确定的异常用户监控中心，以进行异常用户的监控或进行核查处理。

本发明计算机可读存储介质具体实施方式与上述电子装置以及基于日志数据识别用户异常操作的方法各实施例基本相同，在此不作累述。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。