本申請提供了一種用戶異常行為識別方法及裝置，涉及計算機安全技術領域，所述方法包括：獲取具有相同行為的用戶的多個不同的歷史命令記錄；任一歷史命令記錄包括多個命令；根據用戶對應的行為特征，提取多個歷史命令記錄中的關鍵詞命令；根據關鍵詞命令在所屬歷史命令記錄中的詞頻以及該關鍵詞命令在所有歷史命令記錄中的逆文檔詞頻，確定關鍵詞命令的詞頻特征；根據關鍵詞命令的詞頻特征，確定異常歷史命令記錄。通過用戶的歷史命令記錄中表征用戶行為特征的關鍵詞命令進行用戶異常行為的識別，能夠實現對具有多變性和復雜性的用戶異常行為進行識別。并且，采用對關鍵詞命令的詞頻特征進行降維和聚類處理的方式，識別速度快且識別準確度較高。

技術領域

本申請涉及計算機安全技術領域，具體而言，涉及一種用戶異常行為識別方法及裝置。

背景技術

在一個實際的計算機網絡系統中，一般存在有多個合法用戶，合法用戶能夠基于自己的操作權限在計算機網絡系統中進行業務操作。通常情況下，需要監視計算機網絡系統中合法用戶的行為，檢測是否存在異常行為，以防止其他用戶冒用這些合法用戶的賬號進行非法操作。

目前，檢測計算機網絡系統中是否存在異常行為的方法如下：通常會先制定一個包含諸多不合法、敏感詞的規則表，通過用戶行為與規則表的規則匹配的方式，來識別用戶行為中的異常行為。但是，由于用戶行為具有多變性和復雜性，即用戶行為會隨著工作內容、用戶興趣、工作時間和其他不確定性因素的變化而變化。因此，傳統的基于硬規則表的方式無法準確監測用戶的異常行為，無法滿足實際需求。

發明內容

有鑒于此，本申請實施例的目的在于提供一種用戶異常行為識別方法及裝置，能夠實現對具有多變性和復雜性的用戶異常行為進行識別，且識別準確度較高。

第一方面，本申請實施例提供了一種用戶異常行為識別方法，應用于服務器，所述方法包括：

獲取具有相同行為的用戶的多個不同的歷史命令記錄；其中，任一所述歷史命令記錄包括多個命令；

根據所述用戶對應的行為特征，提取多個所述歷史命令記錄中的關鍵詞命令；

根據所述關鍵詞命令在所屬歷史命令記錄中的詞頻以及該關鍵詞命令在所有歷史命令記錄中的逆文檔詞頻，確定所述關鍵詞命令的詞頻特征；

根據所述關鍵詞命令的詞頻特征，確定異常歷史命令記錄。

結合第一方面，本申請實施例提供了第一方面的第一種可能的實施方式，其中，所述根據所述關鍵詞命令在所屬歷史命令記錄中的詞頻以及該關鍵詞命令在所有歷史命令記錄中的逆文檔詞頻，確定所述關鍵詞命令的詞頻特征，包括：

針對任一關鍵詞命令，根據該關鍵詞命令在所屬歷史命令記錄中的詞頻以及所述歷史命令記錄中的關鍵詞命令個數，確定該關鍵詞命令的標準化詞頻；

根據所述歷史命令記錄的總個數以及包括該關鍵詞命令的歷史命令記錄的個數，確定該關鍵詞命令的逆文檔詞頻；

根據所述關鍵詞命令的標準化詞頻和逆文檔詞頻，確定所述關鍵詞命令的詞頻特征。

結合第一方面的第一種可能的實施方式，本申請實施例提供了第一方面的第二種可能的實施方式，其中，所述根據所述歷史命令記錄的總個數以及包括該關鍵詞命令的歷史命令記錄的個數，確定該關鍵詞命令的逆文檔詞頻，包括：

根據公式計算該關鍵詞命令的逆文檔詞頻；其中，IDF(x)表示逆文檔詞頻，K表示歷史命令記錄的總個數，K(x)代表所有歷史命令記錄中，包含有該關鍵詞命令的歷史命令記錄的個數。

結合第一方面的第一種可能的實施方式，本申請實施例提供了第一方面的第三種可能的實施方式，其中，所述根據所述關鍵詞命令的詞頻特征，確定異常歷史命令記錄，包括：

對所述關鍵詞命令的詞頻特征進行降維處理，得到綜合詞頻特征矩陣；