[發(fā)明專利]一種異常操作行為檢測處理方法及裝置有效
| 申請?zhí)枺?/td> | 201710230138.4 | 申請日: | 2017-04-10 |
| 公開(公告)號: | CN108696486B | 公開(公告)日: | 2021-03-05 |
| 發(fā)明(設(shè)計(jì))人: | 葉紫光 | 申請(專利權(quán))人: | 中國移動(dòng)通信集團(tuán)公司;中國移動(dòng)通信集團(tuán)河南有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 北京路浩知識產(chǎn)權(quán)代理有限公司 11002 | 代理人: | 王慶龍 |
| 地址: | 100032 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 異常 操作 行為 檢測 處理 方法 裝置 | ||
1.一種異常操作行為檢測處理方法,其特征在于,包括:
采集預(yù)設(shè)時(shí)間段內(nèi)的日志數(shù)據(jù)信息,并根據(jù)所述日志數(shù)據(jù)信息分別獲取各日志類型對應(yīng)的操作行為的執(zhí)行次數(shù)和執(zhí)行時(shí)間;所述各日志類型對應(yīng)的操作行為包括人為操作行為和機(jī)器人操作行為;
根據(jù)所述執(zhí)行次數(shù)和執(zhí)行時(shí)間,按照預(yù)設(shè)規(guī)則分別計(jì)算所述各日志類型對應(yīng)的第一歸一化熵值和第二歸一化熵值;其中,所述第一歸一化熵值為所述各日志類型在第一預(yù)設(shè)時(shí)間維度上的熵值,所述第二歸一化熵值為所述各日志類型在第二預(yù)設(shè)時(shí)間維度上的熵值;
根據(jù)所述第一歸一化熵值和所述第二歸一化熵值進(jìn)行異常操作行為分析,確定異常操作行為是人工行為還是機(jī)器或系統(tǒng)行為。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述執(zhí)行次數(shù)和執(zhí)行時(shí)間,按照預(yù)設(shè)規(guī)則分別計(jì)算所述各日志類型對應(yīng)的第一歸一化熵值和第二歸一化熵值,包括:
根據(jù)所述執(zhí)行次數(shù)和執(zhí)行時(shí)間計(jì)算各日志類型對應(yīng)的第一特征值和第二特征值;其中,所述第一特征值為所述預(yù)設(shè)時(shí)間段包括的各所述第一預(yù)設(shè)時(shí)間維度對應(yīng)的單位時(shí)間段內(nèi),所述各日志類型的操作次數(shù)占所有所述日志類型總操作次數(shù)的比例;所述第二特征值為所述預(yù)設(shè)時(shí)間段包括的各所述第二預(yù)設(shè)時(shí)間維度對應(yīng)的單位時(shí)間段內(nèi),所述各日志類型的操作次數(shù)占所有所述日志類型總操作次數(shù)的比例;
根據(jù)所述第一特征值和所述第二特征值計(jì)算所述第一歸一化熵值和所述第二歸一化熵值。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,根據(jù)所述第一特征值和所述第二特征值計(jì)算所述第一歸一化熵值和所述第二歸一化熵值,包括:
根據(jù)公式:計(jì)算所述第一歸一化熵值和所述第二歸一化熵值;其中,Entropy(t)為所述第一歸一化熵值或第二歸一化熵值,n為所述預(yù)設(shè)時(shí)間段包括的、所述第一預(yù)設(shè)時(shí)間維度對應(yīng)的單位時(shí)間段的個(gè)數(shù)或所述第二預(yù)設(shè)時(shí)間維度對應(yīng)的單位時(shí)間段的個(gè)數(shù),tk為第k個(gè)所述第一預(yù)設(shè)時(shí)間維度對應(yīng)的所述單位時(shí)間段或所述第二預(yù)設(shè)時(shí)間維度對應(yīng)的單位時(shí)間段,i為日志類型,p(i|tk)為日志類型i對應(yīng)的所述第一特征值或所述第二特征值。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述根據(jù)所述第一歸一化熵值和所述第二歸一化熵值進(jìn)行異常操作行為分析,包括:
若判斷獲知所述第一歸一化熵值和所述第二歸一化熵值均小于第一預(yù)設(shè)閾值,則確定所述日志類型對應(yīng)的操作行為為異常操作行為。
5.根據(jù)權(quán)利要求1-4任意一項(xiàng)所述的方法,其特征在于,所述根據(jù)所述第一歸一化熵值和所述第二歸一化熵值進(jìn)行異常操作行為分析,包括:
若判斷獲知所述第一歸一化熵值與1的差值的絕對值以及所述第二歸一化熵值與1的差值的絕對值均小于第二預(yù)設(shè)閾值,則確定所述日志類型對應(yīng)的操作行為為異常操作行為。
6.一種異常操作行為檢測處理裝置,其特征在于,包括:
獲取單元,用于采集預(yù)設(shè)時(shí)間段內(nèi)的日志數(shù)據(jù)信息,并根據(jù)所述日志數(shù)據(jù)信息分別獲取各日志類型對應(yīng)的操作行為的執(zhí)行次數(shù)和執(zhí)行時(shí)間;所述各日志類型對應(yīng)的操作行為包括人為操作行為和機(jī)器人操作行為;
計(jì)算單元,用于根據(jù)所述執(zhí)行次數(shù)和執(zhí)行時(shí)間,按照預(yù)設(shè)規(guī)則分別計(jì)算所述各日志類型對應(yīng)的第一歸一化熵值和第二歸一化熵值;其中,所述第一歸一化熵值為所述各日志類型在第一預(yù)設(shè)時(shí)間維度上的熵值,所述第二歸一化熵值為所述各日志類型在第二預(yù)設(shè)時(shí)間維度上的熵值;
分析單元,用于根據(jù)所述第一歸一化熵值和所述第二歸一化熵值進(jìn)行異常操作行為分析,確定異常操作行為是人工行為還是機(jī)器或系統(tǒng)行為。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國移動(dòng)通信集團(tuán)公司;中國移動(dòng)通信集團(tuán)河南有限公司,未經(jīng)中國移動(dòng)通信集團(tuán)公司;中國移動(dòng)通信集團(tuán)河南有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710230138.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
