本申请涉及异常监测,尤其涉及一种用户异常监测方法、装置、电子设备及存储介质。
背景技术:
1、用户与实体行为分析技术能够以用户和实体为对象,对用户行为进行分析和异常监测,尽可能快速地感知内部用户的可疑非法行为,为安全分析人员提供可靠的依据。目前,可以通过分析日志数据进行异常监测,在待检数据存在异常时向安全分析人员告警。
2、在以日志数据进行用户行为分析的过程中,通常采用有监督的算法进行异常监测,然而在带标签的异常数据样本缺失的情况下则无法进行机器学习,进而无法进行异常监测。同时,相关技术中通常也不关注日志中的白噪声数据,导致对异常数据的检测结果不够准确,因此,需要一种不受限于样本数据的准确监测用户异常的方法。
技术实现思路
1、有鉴于此,本申请提供一种神经刺激器及其控制方法,以解决相关技术中存在的缺陷,本申请技术方案如下:
2、根据本申请第一方面的实施例,提供一种用户异常监测方法,包括:
3、获取目标用户的待检日志数据,对所述待检日志数据进行序列划分,得到待检时序数据集合和待检白噪声数据集合,所述时序数据集合中的数据之间存在时序关系,所述白噪声数据集合中的数据之间不存在时序关系;
4、基于所述时序数据集合中的数据与动态基线的偏离度,对待检时序数据进行异常操作监测,所述动态基线根据历史时序数据预测得到;
5、基于离群检测方法,对待检白噪声数据进行异常操作监测,所述离群检测方法所使用的标准差值根据历史白噪声数据计算得到。
6、可选的,所述历史时序数据和所述历史白噪声数据为所述目标用户的历史时序数据和历史白噪声数据。
7、可选的,还包括:对所述待检日志数据和所述历史时序数据、所述历史白噪声数据进行标准化处理,得到标准化的新数据,并基于所述标准化的新数据预测所述动态基线。
8、可选的,所述对所述待检日志数据进行序列划分,包括:
9、对所述待检日志数据进行平稳序列检测,得到所述待检日志数据中的平稳序列;
10、对所述平稳序列进行自相关性检测,得到统计量的分布概率;
11、若所述统计量的分布概率大于预设阈值,确定所述待检日志数据为白噪声数据,归入所述待检白噪声数据集合;
12、若所述统计量的分布概率小于或等于预设阈值,确定所述待检日志数据为时序数据,归入所述待检时序数据集合。
13、可选的,所述动态基线通过下述方式生成:利用seq2seq方法学习所述目标用户的所述历史时序数据的历史分布,并基于学习结果预测所述动态基线。
14、可选的,所述基于离群检测方法,对待检白噪声数据进行异常操作监测,包括:
15、在所述待检白噪声数据服从正态分布的情况下,通过3-sigma算法进行异常操作监测;
16、在所述待检白噪声数据不服从正态分布的情况下,通过预设阈值进行异常操作监测。
17、可选的,还包括:
18、在所述异常操作监测的监测结果表明异常操作次数达到预设次数阈值的情况下告警;和/或,
19、在所述异常操作监测的监测结果表明预设重点用户名单内的用户出现异常操作的情况下告警。
20、根据本申请第二方面的实施例,提供一种用户异常监测装置,包括:
21、序列划分单元,用于获取目标用户的待检日志数据,对所述待检日志数据进行序列划分,得到待检时序数据集合和待检白噪声数据集合,所述时序数据集合中的数据之间存在时序关系,所述白噪声数据集合中的数据之间不存在时序关系;
22、异常监测单元,用于基于所述时序数据集合中的数据与动态基线的偏离度,对待检时序数据进行异常操作监测,所述动态基线根据历史时序数据预测得到;
23、所述异常监测单元,还用于基于离群检测方法,对待检白噪声数据进行异常操作监测,所述离群检测方法所使用的标准差值根据历史白噪声数据计算得到。
24、根据本申请第三方面的实施例,提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面所述的异常用户监测方法。
25、根据本申请第四方面的实施例,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的异常用户监测方法的步骤。
26、在本申请提供的技术方案中,获取到目标用户的待检测的日志数据之后,首先根据数据之间是否存在时序关系,将待检日志数据划分至不同的数据集合。在预先根据历史时序数据预测出动态基线的基础上,通过比较待检时序数据与动态基线的偏离度可以准确地监测出待检时序数据中包含的异常操作;同时,采用离群监测方法可以准确地监测出待检白噪声数据中包含的异常操作。应用本申请的技术方案,可以通过序列划分区分出待检日志数据中的时序数据和白噪声数据,并对不同数据集合中的数据采用针对性的异常监测方法,提高了异常监测的准确性;同时,根据历史日志数据预测动态基线、计算离群检测方法所使用的标准差值,并将其用于对待检日志数据的异常监测,规避了因带标签的异常样本数据缺失而无法使用有监督算法进行监测的问题。
27、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请实施例。
1.一种用户异常监测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述历史时序数据和所述历史白噪声数据为所述目标用户的历史时序数据和历史白噪声数据。
3.根据权利要求1所述的方法,其特征在于,还包括:对所述待检日志数据和所述历史时序数据、所述历史白噪声数据进行标准化处理,得到标准化的新数据,并基于所述标准化的新数据预测所述动态基线。
4.根据权利要求1所述的方法,其特征在于,所述对所述待检日志数据进行序列划分,包括:
5.根据权利要求1所述的方法,其特征在于,所述动态基线通过下述方式生成:利用seq2seq方法学习所述目标用户的所述历史时序数据的历史分布,并基于学习结果预测所述动态基线。
6.根据权利要求1所述的方法,其特征在于,所述基于离群检测方法,对待检白噪声数据进行异常操作监测,包括:
7.根据权利要求1所述的方法,其特征在于,还包括:
8.一种用户异常监测装置,其特征在于,包括:
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的异常用户监测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的异常用户监测方法的步骤。