异常行为检测方法、装置、计算机设备和存储介质与流程

本申请涉及大数据处理领域，特别是涉及一种异常行为检测方法、装置、计算机设备和存储介质。

背景技术：

人员异常行为检测是信息安全的重要课题，在信息安全内控、数据安全领域中非常重要。

随着大数据技术的发展，企业可以通过对人员行为的数据规律进行分析，从而发现异常行为，预防风险事件的发生。

但是，在现在的数据分析方法中，设置的预警规则众多、零散且相互之间孤立，无法对行为进行关联分析，造成警告数量太多，且误报占比较高，异常行为检测的正确率很低。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种能够提升异常行为检测正确率的异常行为检测方法、装置、计算机设备和存储介质。

一种异常行为检测方法，所述方法包括：

接收终端发送的异常行为检测指令，并根据所述异常行为检测指令获取待检测人员列表，从所述待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与所述人员标识对应的第一人员行为监控表；

从所述第一人员行为监控表中提取出监控指标序列；

将所述监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到所述待检测人员在各时间点的行为异常概率；

获取所述行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从所述监控指标序列中查找出对应所述异常时间点的第一监控指标；

获取第二人员行为监控表，所述第二人员行为监控表与所述待检测人员对应的各群组成员相对应，并从所述第二人员行为监控表中提取出与所述异常时间点对应的第二监控指标；

对所述第一监控指标以及所述第二监控指标进行聚类分析，得到所述待检测人员在所述群组中的参考差异；

根据所述待检测人员在各时间点的行为异常概率以及所述参考差异，生成对应所述待检测人员的行为指标；

获取所述行为指标对应的行为标签，将所述行为标签输入至行为诊断模型，以通过所述行为诊断模型得到所述待检测人员的行为检测结果，当所述行为检测结果为异常时，生成预警操作指令，并将所述预警操作指令发送给所述终端。

在其中一个实施例中，所述接收终端发送的异常行为检测指令之前，还包括：

获取人员行为监控表中预设的监控元字段；

监听系统日志中的新增数据流；

从所述新增数据流中提取出与所述监控元字段对应的元数据以及目标人员标识；

从数据库中查找对应所述目标人员标识的目标人员行为监控表，并将提取出的所述元数据添加至所述目标人员行为监控表。

在其中一个实施例中，所述从所述第一人员行为监控表中提取出监控指标序列，包括：

从所述第一人员行为监控表中提取出预设时间范围内的检测数据；

获取人员行为监控表中各监控元字段对应的数据处理逻辑；

根据各所述数据处理逻辑对所述检测数据中各所述监控元字段对应的元数据进行处理，得到对应各时间点的监控指标，并基于多个时间点的监控指标得到监控指标序列。

在其中一个实施例中，所述将所述监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到所述待检测人员在各时间点的行为异常概率，包括：

获取各监控指标序列的监控类别，并将属于同一监控类别的多个监控指标序列分为同一组；

查找与各监控类别对应的个人异常检测模型，并将位于同一组的多个监控指标序列分别输入对应的个人异常检测模型，得到所述待检测人员在各时间点中对应各监控类别的行为异常概率。

一种异常行为检测装置，所述装置包括：

接收及获取模块，用于接收终端发送的异常行为检测指令，并根据所述异常行为检测指令获取待检测人员列表，从所述待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与所述人员标识对应的第一人员行为监控表；

提取模块，用于从所述第一人员行为监控表中提取出监控指标序列；

行为异常概率生成模块，用于将所述监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到所述待检测人员在各时间点的行为异常概率；

查找模块，用于获取所述行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从所述监控指标序列中查找出对应所述异常时间点的第一监控指标；

获取与提取模块，用于获取第二人员行为监控表，所述第二人员行为监控表与所述待检测人员对应的各群组成员相对应，并从所述第二人员行为监控表中提取出与所述异常时间点对应的第二监控指标；

聚类分析模块，用于对所述第一监控指标以及所述第二监控指标进行聚类分析，得到所述待检测人员在所述群组中的参考差异；

行为指标生成模块，用于根据所述待检测人员在各时间点的行为异常概率以及所述参考差异，生成对应所述待检测人员的行为指标；

预警操作指令生成模块，用于获取所述行为指标对应的行为标签，将所述行为标签输入至行为诊断模型，以通过所述行为诊断模型得到所述待检测人员的行为检测结果，当所述行为检测结果为异常时，生成预警操作指令，并将所述预警操作指令发送给所述终端。

一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述方法的步骤。

上述异常行为检测方法、装置、计算机设备和存储介质，通过获取待检测人员的第一人员行为监控表，将从第一人员行为监控表中提取得到的监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到行为异常概率值以及所述行为异常概率值中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应所述异常时间点的第一监控指标，获取与待检测人员的各群组成员对应的第二监控指标，并对第一监控指标以及第二监控指标进行聚类分析，得到所述待检测人员在所述群组人员中的参考差异，然后根据所述待检测人员在各时间点的行为异常概率以及所述参考差异，生成待检测人员的行为指标，进而根据行为指标对应的行为标签以及行为诊断模型，得到行为检测结果。从而，可以从多个方面，即根据待检测人员的超过预设阈值的行为异常概率以及基于群组成员得到的该待检测人员的参考差异，生成该待检测人员的行为指标，可以提升生成的行为指标的准确性，进而可以提升基于该行为指标得到该待检测人员的异常行为的准确性。

附图说明

图1为一个实施例中异常行为检测方法的应用场景图；

图2为一个实施例中异常行为检测方法的流程示意图；

图3为一个实施例中行为指标生成步骤的流程示意图；

图4为一个实施例中异常行为检测装置的结构框图；

图5为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的异常行为检测方法，可以应用于如图1所示的应用环境中。其中，终端102通过网络与服务器104通过网络进行通信。其中，终端102可以发送异常行为检测指令，可以是终端102预先设定以固定的时间间隔进行该异常行为检测指令的发送，或者是终端102接收用户的输入而发送该异常行为检测指令。服务器104接收到该异常行为检测指令后，可以从数据库中获取待检测人员列表，获取待检测人员列表中的待检测人员的人员标识，进而获取该待检测人员的第一人员行为监控表。进一步，服务器104基于该第一人员行为监控表得到该待检测人员的行为异常概率以及异常时间点，进而得到该待检测人员的第一监控指标。并且，服务器104在得到该待检测人员的异常时间点后，可以获取该待检测人员的群组成员的第二人员行为监控表以及群组成员在该异常时间点的第二监控指标。服务器104进而根据该第一监控指标、第二监控指标、以及该待检测人员的行为异常概率，生成该待检测人员的行为指标，并基于该行为指标，生成预警操作指令并发送终端102，从而准确的对待检测人员的异常行为进行检测。其中，终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。

在一个实施例中，如图2所示，提供了一种异常行为检测方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

步骤202，接收终端发送的异常行为检测指令，并根据异常行为检测指令获取待检测人员列表，从待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与人员标识对应的第一人员行为监控表。

其中，异常行为检测指令是指由终端发送，以提示服务器进行异常行为检测的指令。具体地，异常行为检测指令可以包括提示服务器开始进行异常行为间的时间信息，例如，即刻开始检测，或者一定时间段后开始检测等信息。

待检测人员列表中存储了需要进行异常行为检测的待检测人员的人员信息，例如待检测人员的姓名、人员标识、性别等信息。本领域技术人员可以理解的是，在实际应用中，人员标识可以是公司员工的人员编号，或者也可以是公司员工的姓名等，本申请不做限制。

人员行为监控表可以是与人员的人员标识一一对应的监控表，人员行为监控表中可以存储人员对系统进行操作的记录数据，该记录数据可以包括但不限于登录时间、登录id、登录方式、使用令牌id、登录结果等数据。其中，系统可以是企业内部人员可以进行操作的系统，在实际应用中，人员行为监控表可以通过对系统的系统日志分析处理得到记录数据，后文将做详细说明，此处不做赘述。

具体地，服务器可以根据从待检测人员列表中提取的人员标识，从存储人员行为监控表的数据库中查找对应该人员标识的第一人员行为监控表，并获取该第一人员行为监控表。

可选地，服务器获取待检人员列表，也可以是服务器定时触发获取待检人员列表，例如，服务器设置以一定的时间间隔获取一次待检测人员列表，进行一次异常行为检测等。

步骤204，从第一人员行为监控表中提取出监控指标序列。

监控指标序列是指一定时间周期内同一监控指标的集合，监控指标序列可以包括同一监控指标在不同时间点的监控值。

具体地，服务器对第一人员行为监控表的数据进行数据处理，从数据中提取出监控指标以及监控值，并根据各个时间点的监控指标以及监控值，形成对应一定时间周期的监控指标的监控指标序列。其中，服务器可以根据需要选择一定时间周期选取，如12小时、24小时、72小时等。

步骤206，将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率。

其中，个人异常检测模型是通过大量人员行为的历史样本数据进行训练后得到的模型，可以为加入时间记忆的序列模型，例如，神经网络模型、决策树模型等，该模型可以进行时间记忆，即样本数据以时间序列的方式输入模型，加入了时间特征，对模型进行训练。

行为异常概率是指待检测人员存在异常行为的概率。在实际应用中，该概率可以是概率值、百分比等，概率值越大，或者百分比越大，待检测人员存在异常行为的可能性较大。

具体地，服务器可以将监控指标序列输入个人异常检测模型，可以得到待检测人员在多个时间点的行为异常概率，行为异常概率按时间点进行细分，从而可以提升检测的准确性。

步骤208，获取行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应异常时间点的第一监控指标。

具体地，服务器在得到待检测人员在各时间点的行为异常概率后，可以基于设置预设阈值，对待检测人员在各时间点的行为异常概率进行判定，确定该行为异常概率是否超过该预设阈值，例如，可以是通过一一对比等方式进行确定。

进一步，服务器可以基于确定的结果，获取超过该预设阈值的行为异常概率以及该行为异常概率对应的异常时间点，并从第一人员行为监控表中提取的监控指标序列中，查找出对应该异常时间点的监控指标，以该监控指标作为对应该待检测人员的第一监控指标。

步骤210，获取第二人员行为监控表，第二人员行为监控表与待检测人员对应的各群组成员相对应，并从第二人员行为监控表中提取出与异常时间点对应的第二监控指标。

其中，群组成员为与待检测人员位于同一组别的人员，服务器可以获取该待检人员位于同一组别的群组人员的各人员标识，并基于各人员标识，从数据库中获取各人员标识对应的第二人员行为监控表。

进一步，服务器可以从各第二人员行为监控表中提取出监控指标序列，并根据前文的获取的待检测人员的异常时间点，从各第二人员行为监控表中提取监控指标序列中，获取对应该异常时间点的各监控指标以及指标值，并以该各监控指标作为对应各群组成员的第二监控指标。

步骤212，对第一监控指标以及第二监控指标进行聚类分析，得到待检测人员在群组中的参考差异。

其中，聚类分析的具体算法可以包括但不限于k均值聚类算法(k-meansclusteringalgorithm，k-means)、密度聚类(density-basedspatialclusteringofapplicationswithnoise，dbscan)、层次聚类(hierarchicalclustering)等，本申请对此不作限制。

具体地，服务器获取对应该待检测人员的第一监控指标以及其所在的群组中的其他群组人员在异常时间点对应的第二监控指标，将同一异常时间点该待检测人员的第一监控指标的指标值与群组人员的第二监控指标的指标值进行聚类分析，分析该待检测人员与其他群组人员的差异性，得到该待检测人员所属的聚类类别，从而获取聚类类别对应的参考差异。

可选的，参考差异可以是差异性分值，根据该差异性分值可以确定待检测人员与群组成员的差异大小，例如，差异性分值越大，待检测人员与群组成员的差异越大，反之越小。

步骤214，根据待检测人员在各时间点的行为异常概率以及参考差异，生成对应待检测人员的行为指标。

具体地，服务器可以对该行为异常概率以及参考差异进行综合分析，以生成对应待检测人员的行为指标，该行为指标可以用于评判待检测人员是否具有异常行为的风险。

其中，行为指标可以包括行为类别以及行为指标值等，行为类别可以包括但不限于登录行为、操作行为、差异行为等，行为指标值可以是表示行为类别的分值，例如0.8、0.2、0.6等，分值越大，可以表示行为越频繁。本领域技术人员可以理解的是，此处仅为举例说明，在实际应用中，行为指标值也可以是一个等级值，例如1级、2级、3级等，等级越高，行为越频繁，反之亦可，本申请对此不作限制。

步骤216，获取行为指标对应的行为标签，将行为标签输入至行为诊断模型，以通过行为诊断模型得到待检测人员的行为检测结果，当行为检测结果为异常时，生成预警操作指令，并将预警操作指令发送给终端。

其中，行为诊断模型可以是通过大量人员行为的行为指标数据进行训练后得到的模型，可以是神经网络模型等。

行为标签可以与行为指标值相对应，具体地，一个行为指标值可以对应一个行为标签，或者，也可以是一段行为指标区间对应一个行为标签。其中，行为标签可以包括但不限于频繁登录、登场登录、频繁操作、正常操作、显著差异、无差异等行为标签。

具体地，服务器可以根据生成的待检测人员的行为指标中的行为指标值获取对应的行为标签，将行为标签输入行为诊断模型，得到行为检测结果，并当行为检测结果异常时，生成预警操作指令，并发送至终端。

例如，服务器得到登录行为的行为指标值为0.8，获取到的行为标签为频繁登录，操作行为的行为指标值为0.2，获取到的行为标签为正常操作，差异性行为的行为指标值为0.7，获取到的行为标签为显著差异。从而，将频繁登录、正常操作和显著差异三个行为标签输入行为诊断模型中进行判断分类，得到的行为检测结果为行为异常，从而生成预警操作指令。

上述异常行为检测方法中，通过获取待检测人员的第一人员行为监控表，将从第一人员行为监控表中提取得到的监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到行为异常概率值以及行为异常概率值中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应异常时间点的第一监控指标，获取与待检测人员的各群组成员对应的第二监控指标，并对第一监控指标以及第二监控指标进行聚类分析，得到待检测人员在群组人员中的参考差异，然后根据待检测人员在各时间点的行为异常概率以及参考差异，生成待检测人员的行为指标，进而根据行为指标对应的行为标签以及行为诊断模型，得到行为检测结果。从而，可以从多个方面，即根据待检测人员的超过预设阈值的行为异常概率以及基于群组成员得到的该待检测人员的参考差异，生成该待检测人员的行为指标，可以提升生成的行为指标的准确性，进而可以提升基于该行为指标得到该待检测人员的异常行为的准确性。

在一个实施例中，在接收终端发送的异常行为检测指令之前，上述异常行为检测方法还可以包括：获取人员行为监控表中预设的监控元字段；监听系统日志中的新增数据流；从新增数据流中提取出与监控元字段对应的元数据以及目标人员标识；从数据库中查找对应目标人员标识的目标人员行为监控表，并将提取出的元数据添加至目标人员行为监控表。

其中，新增数据流是指当有人员进行操作时，系统日志中新增的数据，可以包括但不限于操作人员的人员标识、操作时间、操作类型、访问资源对象等数据。

元数据是指组成数据流的最小数据单元，可以指示数据流中的一个时间信息，也可以表示一个地址信息等。

监控元字段是指预先设定于人员行为监控表中的，需要进行数据监控的字段，可以包括但不限于登陆时间、访问资源对象、操作类型、登录角色、敏感度等组成人员行为监控表中的最小字段。

在人员行为监控表中，人员行为监控表中的列为监控元字段，行为各时间点对应的行为数据。本领域技术人员可以理解的是，此处仅为举例说明，本申请对此不作限制。

监控元字段可以与数据流中的元数据对应的字段，即一个监控元字段可以对应监控一个元数据。

具体地，当人员对系统有新的操作行为时，系统会将用户的操作行为写入系统日志，服务器对写入系统日志中的新增数据流进行监听，从监听到的新增数据流的数据中提取出与预设的监控元字段对应的元数据和人员标识。

进一步，服务器可以从数据库中查找到与人员标识对应的人员行为监控表，将提取出的元数据添加至人员行为监控表中当前时间点对应的行的相应字段列中。

通过监听系统日志，获取人员的行为数据，并添加至人员行为监控表中，可以实时的对人员的操作行为进行监控，从而可以及时获取人员的异常行为，及时检测到人员行为的异常。

优选的，组成人员行为监控表的监控元字段可以根据人员工种的不同进行划分，设定对应不同人员工种的监控元字段后，从而使得人员行为监控具有较强的针对性，可以提升数据获取的准确性，进而可以提升基于行为数据进行异常行为检测的准确性。

可选地，可以根据历史样本数据，对各人员行为监控表中的监控元字段的相关性进行析，剔除相关性较差的字段，以得到适于各人员的人员行为监控表，可以使获取的行为数据根据针对性，可以提升数据获取的准确性，进而可以提升基于行为数据进行异常行为检测的准确性。

在一个实施例中，从第一人员行为监控表中提取出监控指标序列，可以包括：从第一人员行为监控表中提取出预设时间范围内的检测数据；获取人员行为监控表中各监控元字段对应的数据处理逻辑；据各数据处理逻辑对检测数据中各监控元字段对应的元数据进行处理，得到对应各时间点的监控指标，并基于多个时间点的监控指标得到监控指标序列。

如前所述，监控指标是服务器对人员行为监控表的数据进行数据处理，从数据中提取得到的，不同的监控指标对应不同的数据处理逻辑。

具体地，监控指标可以包括但不限于聚合指标、边界指标和逻辑指标等几类。其中，聚合指标是指对元数据按照特定维度进行聚合运算产生的结果，例如，张三在当天登陆系统10次；边界指标为处于维度边界的元数据定义的指标，用以表示行为的边界和范围，例如，张三当天首次登陆系统的时间是07:00，最后登陆时间为20:00；逻辑指标为结合业务逻辑或常识，形成的业务逻辑冲突或者违背常识的行为指标，例如，张三同时具有实施权限和验证权限，或者张三未登陆pc即访问业务系统等。

具体地，服务器可以根据预先设定的时间范围，从第一人员行为监控表中提取出该时间范围内的各时间点对应的元数据，以及获取各监控元字段对应的数据处理逻辑，基于数据处理逻辑，确定各元数据对应的行为类别，从而确定监控指标。进一步，服务器对该时间范围内各时间点对应的各监控指标进行聚合分析，得到监控指标序列。

通过基于待检测人员的第一人员行为监控表中提取出的检测数据，得到各时间点的监控指标，并得到监控指标序列，监控指标序列的获取基于待检测人员的检测数据生成，从而可以提升得到的监控指标序列的准确性，进而可以提升后续基于监控指标序列生成的对待检测人员的异常行为检测的准确性。

在一个实施例中，将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率，可以包括：获取各监控指标序列的监控类别，并将属于同一监控类别的多个监控指标序列分为同一组；查找与各监控类别对应的个人异常检测模型，并将位于同一组的多个监控指标序列分别输入对应的个人异常检测模型，得到待检测人员在各时间点中对应各监控类别的行为异常概率。

其中，服务器可以根据待检测人员的行为的差别，对待检测人员的行为进行分组，例如，可以分为开发域行为组、运营系统行为组、数据分发行为组。每一分组中可以包括对应多个监控指标序列的监控指标，例如，数据分发行为组中对应的监控指标序列可以包括认证时间、主机名、认证结果类型等监控指标。

具体地，服务器可以对不同分组的监控指标序列进行分组检测，一个分组对应一个个人异常检测模型，从而可以得到各个行为组在各时间点的行为异常概率。

通过对各监控指标序列进行分组，并分别将各组的监控指标序列输入对应的个人异常检测模型，得到检测人员在各时间点中对应各监控类别的行为异常概率，从而，在后续进行数据聚类分析的时候，可以仅只对分组中超过预设阈值的组别中的监控指标进行聚类分析，可以减少聚类分析的数据量，进而可以节约系统资源。

在一个实施例中，参考图3所示行为指标生成步骤的流程示意图，根据待检测人员在各时间点的行为异常概率值以及参考差异，生成对应待检测人员的行为指标，可以包括如下步骤：

步骤s302，获取预先训练得到的各组监控指标序列的指标权重，并基于获取的指标权重以及行为异常概率，生成待检测人员的个人异常风险标准。

其中，指标权重可以是与各组监控指标序列存在一一对应关系的权重，权重的大小确定了各组监控指标序列对应的监控指标的重要性。

个人异常风险标准是个人异常风险值，可以用于评判待检测人员的行为是否存在潜在异常。

步骤s304，确定待检测人员的参考差异在群组成员中的排名，以及相同参考差异的人员数量的占比，并基于排名以及占比确定待检测人员的差异性得分。

具体地，服务器可以通过聚类分析，分别得到待检测人员的各群组人员的参考差异，并得到待检测人员以及群组人员的参考差异的排名情况，以及待检测人员以及群组人员中，参考差异一致的人员数量占总人员数量的比值。

进一步，服务器通过对排名以及占比进行综合计算，得到待检测人员的差异性得分。其中，该差异性得分可以用于判定待检测人员与群组成员的行为差异性，例如分数越高，可以体现待检测人员与群组成员的行为差异越大。

步骤s306，根据待检测人员的差异性得分、个人异常风险标准、以及在异常时间点对应的监控指标，生成待检测人员的行为指标。

通过综合考虑待检测人员的差异性得分、个人异常风险标准、以及在异常时间点对应的监控指标等多方因素，生成待检测人员的行为指标，从而可以提升生成的行为指标的准确性，提升对待检测人员的异常行为检测的准确性。

在一个实施例中，指标权重可以基于一定的训练方式生成，具体可以包括：采集人员列表中各人员的历史行为样本，历史行为样本包括各组监控指标序列以及各样本的样本情况；构建指标权重生成模型，并通过历史行为样本对指标权重生成模型进行训练，以对模型参数进行调整；根据调整后的模型参数确定各监控指标序列的指标权重；根据各监控指标序列的指标权重确定各组监控指标序列的指标权重。

其中，历史行为样本可以包括异常行为样本以及正常行为样本，样本情况可以用于指示行为样本正常或者行为样本异常。

指标权重生成模型可以是服务器新创建的lstm(longshorttimememory)神经网络模型，或者也可以是其他的模型，本申请对此不做限制。

具体地，服务器在进行训练前，预先选取指标权重生成模型的模型参数，通过获取的历史行为样本对指标权重生成模型进行训练，以进行模型参数的调整和优化，进而以优化的模型参数作为监控指标序列的权重。

可选地，可以是分别对各组中各监控指标序列对应的指标权重对应的模型进行训练，以得到对应各监控指标序列对应的指标权重。

具体地，模型参数可以包括单个或多个参数，服务器可以对训练后的多个模型参数进行综合分析，从而确定各监控指标序列的指标权重。

进一步，服务器可以根据同组的各监控指标序列对应的指标权重进行综合计算，得到各组监控指标序列的指标权重。

通过对历史行为样本进行指标权重生成模型训练，确定各监控指标序列在异常行为检测中的权重，从而可以使得指标权重生成模型的输出更加符合大数据的规律，进而可以提升异常行为检测的准确性。

在一个实施例中，将监控指标序列输入个人异常检测模型之前，上述异常行为检测方法还可以包括：判断监控指标中是否存在逻辑验证指标；当判定监控指标中存在逻辑验证指标时，获取逻辑验证指标的逻辑验证规则，通过逻辑验证规则对监控指标序列中各时间点对应的监控数据进行验证，判断是否存在逻辑异常数据；当监控数据中存在逻辑异常数据时，根据逻辑异常数据生成指标异常警告指令，并发送至终端。

如前所述，监控指标可以包括聚合指标、边界指标和逻辑验证指标，其中，逻辑验证指标是指为结合业务逻辑或常识，形成业务逻辑冲突，或者违背常识的行为指标，例如，张三同时具有实施和验证权限，张三未登陆pc即访问业务系统等。

具体地，服务器可以通过对监控指标进行判断，确定存在逻辑验证指标时，进而生成指标异常警告指令并发送至终端，以提示终端存在逻辑错误。

通过对监控指标进行验证，若验证存在逻辑错误则直接进行预警，而无需进行后续的处理，从而可以提高异常行为检测的效率。

应该理解的是，虽然图2-3的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2-3中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图4所示，提供了一种异常行为检测装置，可以包括：第一获取模块100、第一提取模块200、行为异常概率生成模块300、查找模块400、第二提取模块500、聚类分析模块600、行为指标生成模块700、预警操作指令生成模块800，其中：

第一获取模块100，用于接收终端发送的异常行为检测指令，并根据异常行为检测指令获取待检测人员列表，从待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与人员标识对应的第一人员行为监控表。

第一提取模块200，用于从第一人员行为监控表中提取出监控指标序列。

行为异常概率生成模块300，用于将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率。

查找模块400，用于获取行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应异常时间点的第一监控指标。

第二提取模块500，用于获取第二人员行为监控表，第二人员行为监控表与待检测人员对应的各群组成员相对应，并从第二人员行为监控表中提取出与异常时间点对应的第二监控指标。

聚类分析模块600，用于对第一监控指标以及第二监控指标进行聚类分析，得到待检测人员在群组中的参考差异。

行为指标生成模块700，用于根据待检测人员在各时间点的行为异常概率以及参考差异，生成对应待检测人员的行为指标。

预警操作指令生成模块800，用于获取行为指标对应的行为标签，将行为标签输入至行为诊断模型，以通过行为诊断模型得到待检测人员的行为检测结果，当行为检测结果为异常时，生成预警操作指令，并将预警操作指令发送给终端。

在一个实施例中，装置还可以包括：

第二获取模块，用于在第一获取模块100接收终端发送的异常行为检测指令之前，获取人员行为监控表中预设的监控元字段。

监听模块，用于监听系统日志中的新增数据流。

第三获取模块，用于从新增数据流中提取出与监控元字段对应的元数据以及目标人员标识。

添加模块，用于从数据库中查找对应目标人员标识的目标人员行为监控表，并将提取出的元数据添加至目标人员行为监控表。

在一个实施例中，第一提取模块200可以包括：

提取子模块，用于从第一人员行为监控表中提取出预设时间范围内的检测数据。

第一获取子模块，用于获取人员行为监控表中各监控元字段对应的数据处理逻辑。

监控指标序列生成子模块，用于根据各数据处理逻辑对检测数据中各监控元字段对应的元数据进行处理，得到对应各时间点的监控指标，并基于多个时间点的监控指标得到监控指标序列。

在一个实施例中，行为异常概率生成模块300可以包括：

第二获取子模块，用于获取各监控指标序列的监控类别，并将属于同一监控类别的多个监控指标序列分为同一组。

输入子模块，用于查找与各监控类别对应的个人异常检测模型，并将位于同一组的多个监控指标序列分别输入对应的个人异常检测模型，得到待检测人员在各时间点中对应各监控类别的行为异常概率。

在一个实施例中，行为指标生成模块700可以包括：

第三获取子模块，用于获取预先训练得到的各组监控指标序列的指标权重，并基于获取的指标权重以及行为异常概率，生成待检测人员的个人异常风险标准。

第一确定子模块，用于确定待检测人员的参考差异在群组成员中的排名，以及相同参考差异的人员数量的占比，并基于排名以及占比确定待检测人员的差异性得分。

行为指标生成子模块，用于根据待检测人员的差异性得分、个人异常风险标准、以及在异常时间点对应的监控指标，生成待检测人员的行为指标。

在一个实施例中，上述装置还可以包括：训练模块，用于通过一定的训练方式对指标权重进行训练。

训练模块可以包括：

采集子模块，用于采集人员列表中各人员的历史行为样本，历史行为样本包括各组监控指标序列以及各样本的样本情况。

调整子模块，用于构建指标权重生成模型，并通过历史行为样本对指标权重生成模型进行训练，以对模型参数进行调整。

第二确定子模块，用于根据调整后的模型参数确定各监控指标序列的指标权重。

第三确定子模块，用于根据各监控指标序列的指标权重确定各组监控指标序列的指标权重。

在一个实施例中，上述装置还可以包括：

第一判断模块，用于行为异常概率生成模块300将监控指标序列输入个人异常检测模型之前，判断监控指标中是否存在逻辑验证指标。

第二判断模块，用于当判定监控指标中存在逻辑验证指标时，获取逻辑验证指标的逻辑验证规则，通过逻辑验证规则对监控指标序列中各时间点对应的监控数据进行验证，判断是否存在逻辑异常数据。

发送模块，用于当监控数据中存在逻辑异常数据时，根据逻辑异常数据生成指标异常警告指令，并发送至终端。

关于异常行为检测装置的具体限定，可以参见上文中对于异常行为检测方法的限定，在此不再赘述。上述异常行为检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储待检测人员列表、人员行为监控表、以及在进行异常行为检测过程中产生的中间数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种异常行为检测方法。

本领域技术人员可以理解，图5中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体地计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时可以实现以下步骤：接收终端发送的异常行为检测指令，并根据异常行为检测指令获取待检测人员列表，从待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与人员标识对应的第一人员行为监控表；从第一人员行为监控表中提取出监控指标序列；将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率；获取行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应异常时间点的第一监控指标；获取第二人员行为监控表，第二人员行为监控表与待检测人员对应的各群组成员相对应，并从第二人员行为监控表中提取出与异常时间点对应的第二监控指标；对第一监控指标以及第二监控指标进行聚类分析，得到待检测人员在群组中的参考差异；根据待检测人员在各时间点的行为异常概率以及参考差异，生成对应待检测人员的行为指标；获取行为指标对应的行为标签，将行为标签输入至行为诊断模型，以通过行为诊断模型得到待检测人员的行为检测结果，当行为检测结果为异常时，生成预警操作指令，并将预警操作指令发送给终端。

在一个实施例中，处理器执行计算机程序时实现接收终端发送的异常行为检测指令之前，还可以包括：获取人员行为监控表中预设的监控元字段；监听系统日志中的新增数据流；从新增数据流中提取出与监控元字段对应的元数据以及目标人员标识；从数据库中查找对应目标人员标识的目标人员行为监控表，并将提取出的元数据添加至目标人员行为监控表。

在一个实施例中，处理器执行计算机程序时实现从第一人员行为监控表中提取出监控指标序列，可以包括：从第一人员行为监控表中提取出预设时间范围内的检测数据；获取人员行为监控表中各监控元字段对应的数据处理逻辑；根据各数据处理逻辑对检测数据中各监控元字段对应的元数据进行处理，得到对应各时间点的监控指标，并基于多个时间点的监控指标得到监控指标序列。

在一个实施例中，处理器执行计算机程序时实现将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率，可以包括：获取各监控指标序列的监控类别，并将属于同一监控类别的多个监控指标序列分为同一组；查找与各监控类别对应的个人异常检测模型，并将位于同一组的多个监控指标序列分别输入对应的个人异常检测模型，得到待检测人员在各时间点中对应各监控类别的行为异常概率。

在一个实施例中，处理器执行计算机程序时实现根据待检测人员在各时间点的行为异常概率值以及参考差异，生成对应待检测人员的行为指标，可以包括：获取预先训练得到的各组监控指标序列的指标权重，并基于获取的指标权重以及行为异常概率，生成待检测人员的个人异常风险标准；确定待检测人员的参考差异在群组成员中的排名，以及相同参考差异的人员数量的占比，并基于排名以及占比确定待检测人员的差异性得分；根据待检测人员的差异性得分、个人异常风险标准、以及在异常时间点对应的监控指标，生成待检测人员的行为指标。

在一个实施例中，处理器执行计算机程序时实现指标权重的训练方式，可以包括：采集人员列表中各人员的历史行为样本，历史行为样本包括各组监控指标序列以及各样本的样本情况；构建指标权重生成模型，并通过历史行为样本对指标权重生成模型进行训练，以对模型参数进行调整；根据调整后的模型参数确定各监控指标序列的指标权重；根据各监控指标序列的指标权重确定各组监控指标序列的指标权重。

在一个实施例中，处理器执行计算机程序时实现将监控指标序列输入个人异常检测模型之前，还可以包括：判断监控指标中是否存在逻辑验证指标；当判定监控指标中存在逻辑验证指标时，获取逻辑验证指标的逻辑验证规则，通过逻辑验证规则对监控指标序列中各时间点对应的监控数据进行验证，判断是否存在逻辑异常数据；当监控数据中存在逻辑异常数据时，根据逻辑异常数据生成指标异常警告指令，并发送至终端。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时可以实现以下步骤：接收终端发送的异常行为检测指令，并根据异常行为检测指令获取待检测人员列表，从待检测人员列表中提取出待检测人员的人员标识，并从数据库中获取与人员标识对应的第一人员行为监控表；从第一人员行为监控表中提取出监控指标序列；将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率；获取行为异常概率中超过预设阈值的行为异常概率对应的异常时间点，并从监控指标序列中查找出对应异常时间点的第一监控指标；获取第二人员行为监控表，第二人员行为监控表与待检测人员对应的各群组成员相对应，并从第二人员行为监控表中提取出与异常时间点对应的第二监控指标；对第一监控指标以及第二监控指标进行聚类分析，得到待检测人员在群组中的参考差异；根据待检测人员在各时间点的行为异常概率以及参考差异，生成对应待检测人员的行为指标；获取行为指标对应的行为标签，将行为标签输入至行为诊断模型，以通过行为诊断模型得到待检测人员的行为检测结果，当行为检测结果为异常时，生成预警操作指令，并将预警操作指令发送给终端。

在一个实施例中，计算机程序被处理器执行时实现接收终端发送的异常行为检测指令之前，还可以包括：获取人员行为监控表中预设的监控元字段；监听系统日志中的新增数据流；从新增数据流中提取出与监控元字段对应的元数据以及目标人员标识；从数据库中查找对应目标人员标识的目标人员行为监控表，并将提取出的元数据添加至目标人员行为监控表。

在一个实施例中，计算机程序被处理器执行时实现从第一人员行为监控表中提取出监控指标序列，可以包括：从第一人员行为监控表中提取出预设时间范围内的检测数据；获取人员行为监控表中各监控元字段对应的数据处理逻辑；根据各数据处理逻辑对检测数据中各监控元字段对应的元数据进行处理，得到对应各时间点的监控指标，并基于多个时间点的监控指标得到监控指标序列。

在一个实施例中，计算机程序被处理器执行时实现将监控指标序列输入基于时间特征训练得到的个人异常检测模型，得到待检测人员在各时间点的行为异常概率，可以包括：获取各监控指标序列的监控类别，并将属于同一监控类别的多个监控指标序列分为同一组；查找与各监控类别对应的个人异常检测模型，并将位于同一组的多个监控指标序列分别输入对应的个人异常检测模型，得到待检测人员在各时间点中对应各监控类别的行为异常概率。

在一个实施例中，计算机程序被处理器执行时实现根据待检测人员在各时间点的行为异常概率值以及参考差异，生成对应待检测人员的行为指标，可以包括：获取预先训练得到的各组监控指标序列的指标权重，并基于获取的指标权重以及行为异常概率，生成待检测人员的个人异常风险标准；确定待检测人员的参考差异在群组成员中的排名，以及相同参考差异的人员数量的占比，并基于排名以及占比确定待检测人员的差异性得分；根据待检测人员的差异性得分、个人异常风险标准、以及在异常时间点对应的监控指标，生成待检测人员的行为指标。

在一个实施例中，计算机程序被处理器执行时实现指标权重的训练方式，可以包括：采集人员列表中各人员的历史行为样本，历史行为样本包括各组监控指标序列以及各样本的样本情况；构建指标权重生成模型，并通过历史行为样本对指标权重生成模型进行训练，以对模型参数进行调整；根据调整后的模型参数确定各监控指标序列的指标权重；根据各监控指标序列的指标权重确定各组监控指标序列的指标权重。

在一个实施例中，计算机程序被处理器执行时实现将监控指标序列输入个人异常检测模型之前，还可以包括：判断监控指标中是否存在逻辑验证指标；当判定监控指标中存在逻辑验证指标时，获取逻辑验证指标的逻辑验证规则，通过逻辑验证规则对监控指标序列中各时间点对应的监控数据进行验证，判断是否存在逻辑异常数据；当监控数据中存在逻辑异常数据时，根据逻辑异常数据生成指标异常警告指令，并发送至终端。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。