一种行为识别方法、装置、设备及介质与流程

1.本技术涉及计算机安全技术领域，特别涉及一种行为识别方法、装置、设备及介质。


背景技术：

2.在实际业务系统的应用中，会存在有的用户访问业务系统，并从业务系统中下载大量的数据，将业务系统内部的数据泄露出去，这是非常危险的行为。还有可能是业务系统内部的主机遭到了攻击，沦为肉鸡，不停的去访问业务系统盗取内部数据。
3.因此，需要识别业务系统中存在的异常用户访问行为，传统的识别技术主要有两种：其一是对于所有的行为都设置一条固定基线，比如，单个用户每小时的访问某个业务系统的次数不能超过20次，如果超过了就代表该用户这个小时的访问行为是异常行为。其二是，采用简单的统计方法来进行识别，比如，统计一个用户访问某个业务系统次数的均值、方差等，如果下一次访问量的值超过了均值的几倍，则认为该行为存在异常。
4.但在第一种方式下固定基线不能随着用户的访问行为的变化产生变化，会造成大量的误判以及漏判，降低了识别的准确率。


技术实现要素：

5.有鉴于此，本技术的目的在于提供一种行为识别方法、装置、设备、介质，能够提高识别率和识别的正确率。其具体方案如下：
6.第一方面，本技术公开了一种行为识别方法，包括：
7.获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据；
8.如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据；
9.根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
10.可选地，所述基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据，包括：
11.利用所述历史被访问行为数据构建回归树；
12.利用所述回归树预设所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。
13.可选地，所述利用所述历史被访问行为数据构建回归树，包括：
14.对所述历史被访问行为数据中的异常值进行平滑处理；
15.将处理后历史被访问行为数据划分成特征数据和标签数据，并利用所述特征数据和所述标签数据生成回归树。
16.可选地，所述对所述历史被访问行为数据中的异常值进行平滑处理，包括：
17.利用箱线图确定出所述历史被访问行为数据中的异常值；
18.利用指数加权移动平均法对所述异常值进行处理，得到处理后历史被访问行为数据。
19.可选地，所述将处理后历史被访问行为数据划分成特征数据和标签数据，包括：
20.将所述处理后历史被访问行为数据中从第一个数据开始的每连续预设数量个数据作为一组特征数据，并将与当前组特征数据中的最后一个数据相连的下一个数据作为当前组特征数据对应的标签数据，直到将所述处理后历史被访问行为数据划分完毕。
21.可选地，所述根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为，包括：
22.确定所述预测被访问行为数据与所述实际被访问行为数据之间的比值；
23.判断所述比值是否大于或等于预设比值阈值；
24.如果是，则判定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
25.可选地，所述获取待检测系统的历史用户访问行为数据之后，还包括：
26.如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数小于所述第一预设值，则基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线；
27.根据所述历史被访问基线和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
28.可选地，所述基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线，包括：
29.确定出所述历史被访问行为数据对应的平均值和标准差；
30.将所述历史被访问行为数据对应的标准差与所述第一预设z分数阈值的乘积，加上所述历史被访问行为数据对应的平均值作为所述待检测时间的历史被访问基线。
31.可选地，所述根据所述历史被访问基线和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为，包括：
32.判断所述实际被访问行为数据是否大于所述历史被访问基线；
33.如果是，则判定所述待检测时间下所述待检测系统中存在异常用户访问行为。
34.可选地，所述获取待检测系统的历史用户访问行为数据之后，还包括：
35.如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数不小于第二预设值，则基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据；
36.根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
37.可选地，所述获取待检测系统的历史用户访问行为数据之后，还包括：
38.如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数小于所述第二预设值，则基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线；
39.根据所述个人历史基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
40.可选地，所述根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为之后，还包括：
41.根据所述组历史访问行为数据和第三预设z分数阈值确定出对应的组基线，其中，所述组历史访问行为数据为所述目标用户所属用户组中的各个用户在所述待检测时间的访问行为数据；
42.根据所述组基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第二判定结果；
43.根据所述第一判定结果和所述第二判定结果确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为。
44.可选地，所述根据所述第一判定结果和所述第二判定结果确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，包括：
45.当所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，且所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为；
46.或，当所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，或所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为。
47.第二方面，本技术公开了一种行为识别装置，包括：
48.数据获取模块，用于获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据；
49.预测模块，用于在所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据；
50.异常用户访问行为确定模块，用于根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
51.第三方面，本技术公开了一种电子设备，包括：
52.存储器和处理器；
53.其中，所述存储器，用于存储计算机程序；
54.所述处理器，用于执行所述计算机程序，以实现前述公开的行为识别方法。
55.第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述公开的行为识别方法。
56.可见，本技术先获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。这样，需要确定在待检测时间下待检测系统中是否存在异常用户访问行为时，便可以先基于历史被访问行为数据预测所述待检测时间的预测被访问行为数据，然后以预测被访问行为数据作为判断基线与实际被访问行为数据进行比较，从而判断述待检测时间下所述待检测系统中是否存在异常用户访问行为。由于待检测时间不同，历史被访问行为数据也会不相同，所以依据历史被访问行为数据预测得到的预测被访问行为数据也就会不相同，得到变化的判断基线，使得计算出来的判断基线更准确，从而提高识别率和识别的准确率。
附图说明
57.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
58.图1为本技术公开的一种行为识别方法流程图；
59.图2为本技术公开的一种具体的行为识别方法流程图；
60.图3为本技术公开的一种具体的行为识别方法流程图；
61.图4为本技术公开的一种具体的行为识别方法流程图；
62.图5为本技术公开的一种行为识别装置结构示意图；
63.图6为本技术公开的一种电子设备结构示意图。
具体实施方式
64.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
65.参见图1所示，本技术实施例公开了一种行为识别方法，该方法包括：
66.步骤s11：获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。
67.在实际应用中，需要先获取到待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据，所述待检测时间可以为当前这一天的前一天，例如，每日上午8点检测前一天所述待检测系统中是否存在异常用户访问行为，则今天上午8点进行检测时的待检测时间为前一天，所述待检测时间也可以为当前这一天，例如，每日晚上11点50检测当天所述待检测系统中是否存在异常用户访问行为，则今天晚上11点50进行检测时的待检测时间为当天，所述预设时长可以为所述待检测时间之前过去30之内每天的用户访问行为数据，所述待检测系统也即需要检测是否存在异常用户访问行为的系统，所述历史用户访问行为数据可以为所述待检测系统的历史被访问行为数据，也即，所述待检测系统接收到的整体的历史被访问行为数据。例如，所述历史被访问行为数据为待检测时间开始过去30天内，每天采集一次，采集到的待检测系统的被访问行为数据。
68.所述历史用户访问行为数据也可以为所述待检测系统中的目标用户的个人历史访问行为数据，所述目标用户可以为所述待检测系统中的任一用户，所述历史用户访问行为数据也可以为目标用户所属用户组的组历史访问行为数据，所述组历史访问行为数据为所述目标用户所属用户组中的各个用户在所述待检测时间的访问行为数据。所述历史用户访问行为数据为数量型的用户访问行为对应的数据，如下载的数量、下载的流量、突发访问量等。
69.具体的，可以通过获取所述待检测系统中的用户行为日志，对所述用户行为日志中的相应数据进行统计，得到所述待检测系统的历史用户访问行为数据。所述历史用户访问行为数据可以为时间序列，包括时间值列和所述时间值列中各个时间值对应的历史用户访问行为数据。
70.步骤s12：如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。
71.在具体的实施过程中，如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。当所述历史被访问行为数据中的数据个数不小于第一预设值，表示所述历史被访问行为数据中的数据较多，可以采用时间序列分析确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为，这样得到的结果会更准确。
72.具体的，所述基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据，包括：利用所述历史被访问行为数据构建回归树；利用所述回归树预设所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。
73.也即，需要先利用所述历史被访问行为数据构建回归树，然后再利用所述回归树预设所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。此外，所述回归树还可以替换为lstm(long short-term memory，长短期记忆网络)、arima(autoregressive integrated moving average model，差分整合移动平均自回归模型)
等。
74.其中，所述利用所述历史被访问行为数据构建回归树，包括：对所述历史被访问行为数据中的异常值进行平滑处理；将处理后历史被访问行为数据划分成特征数据和标签数据，并利用所述特征数据和所述标签数据生成回归树。
75.具体的，由于所述历史被访问行为数据中可能存在异常值，所以需要将先对所述历史被访问行为数据进行平滑处理，以便对所述历史被访问行为数据中的异常值进行平滑，然后再将处理后历史被访问行为数据划分成特征数据和标签数据，并利用所述特征数据和所述标签数据生成回归树。
76.其中，所述对所述历史被访问行为数据中的异常值进行平滑处理，又具体包括：利用箱线图确定出所述历史被访问行为数据中的异常值；利用指数加权移动平均法对所述异常值进行处理，得到处理后历史被访问过数据。
77.其中，所述将处理后历史被访问行为数据划分成特征数据和标签数据，包括：将所述处理后历史被访问行为数据中从第一个数据开始的每连续预设数量个数据作为一组特征数据，并将与当前组特征数据中的最后一个数据相连的下一个数据作为当前组特征数据对应的标签数据，直到将所述处理后历史被访问行为数据划分完毕。所述预设数量可以根据实际情况确定，在此不做具体限定。例如，将包括30个数据的所述处理后历史被访问行为数据中从第一个数据开始的每相邻的4个值作为特征数据，第5个作为标签数据，以此类推，划分结果可以参考下表一中的具体内容，其中，f1到f30分别表示待检测时间之前的过去30天的用户访问行为数据，f30表示待检测时间之前1天的用户访问行为数据。这样会有26个特征数据和26个标签数据，用这26个特征数据和这26个标签数据去生成回归树，再由生成的回归树根据f27，f28，f29，f30预测待检测时间的被访问行为数据，得到待检测时间的预测被访问行为数据f31。
78.表一
79.特征数据标签数据f1，f2，f3，f4f5f2，f3，f4，f5f6......f26，f27，f28，f29f30
80.步骤s13：根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
81.在得到所述预测被访问行为数据之后，还需要根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
82.具体的，可以确定所述预测被访问行为数据与所述实际被访问行为数据之间的比值，然后判断所述比值是否大于或等于预设比值阈值，如果是，则判定所述待检测时间下所述待检测系统中存在异常用户访问行为。如果否，则判定所述待检测时间下所述待检测系统中不存在异常用户访问行为。
83.此外，还可以通过判断所述实际被访问行为数据是否大于所述预测被访问行为数据来确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。如果是，则判
定所述待检测时间下所述待检测系统中存在异常用户访问行为。如果否，则判定所述待检测时间下所述待检测系统中不存在异常用户访问行为。
84.在实际实施过程中，所述历史用户访问行为数据都是可以变化的，比如待检测时间之前30天的数据，每天统计一个值，相邻的4天的数据作为一个特征数据，第5个数据为标签数据。也可以采用待检测时间之前45天的数据，每半天统计一个值，相邻的6个特征数据作为一个特征，第7个值作为标签数据进行预测。
85.可见，本技术先获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。这样，需要确定在待检测时间下待检测系统中是否存在异常用户访问行为时，便可以先基于历史被访问行为数据预测所述待检测时间的预测被访问行为数据，然后以预测被访问行为数据作为判断基线与实际被访问行为数据进行比较，从而判断述待检测时间下所述待检测系统中是否存在异常用户访问行为。由于待检测时间不同，历史被访问行为数据也会不相同，所以依据历史被访问行为数据预测得到的预设被访问行为数据也就会不相同，得到变化的判断基线，使得计算出来的判断基线更准确，从而提高识别率和识别的准确率。
86.参见图2所示，本技术实施例公开了一种具体的行为识别方法，该方法包括：
87.步骤s21：获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。
88.步骤s22：如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数小于所述第一预设值，则基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线。
89.在获取到所述历史用户访问行为数据之后，如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数小于所述第一预设值，则表示所述历史被访问行为数据中的数据个数较少，如果采用前述实施例中的预测方法，则会存在预测结果不准确的问题，所以需要基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线。其中，z分数(z-score)，也叫标准分数(standard score)是一个数与平均数的差再除以标准差的过程。z分数代表一个给定值距离平均数多少个标准差，在平均数之上的分数会得到一个正的标准分数，在平均数之下的分数会得到一个负的标准分数。z分数是一种可以看出某分数在分布中相对位置的方法。所述第一预设z分数阈值可以基于实际情况确定，在此不做具体限定。
90.在具体的实施过程中，基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线，包括：确定出所述历史被访问行为数据对应的平均值和标准差；将所述历史被访问行为数据对应的标准差与所述第一预设z分数阈值的乘积，加上所述历史被访问行为数据对应的平均值作为所述待检测时间的历史被访问基线。为了消除所述历史被访问数据中的异常值的影响，可以利用所述历史被访问行为数据中的中位
数代替所述平均数。
91.将上述过程用公式表示可以为其中，z表示所述第一预设z分数阈值，s表示所述历史被访问行为数据对应的标准差，表示所述历史被访问行为数据对应的平均值，b表示所述待检测时间的历史被访问基线。
92.步骤s23：根据所述历史被访问基线和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
93.确定出所述历史被访问基线之后，还需要根据所述历史被访问基线和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
94.具体的，可以先判断所述实际被访问行为数据是否大于所述历史被访问基线。如果是，则判定所述待检测时间下所述待检测系统中存在异常用户访问行为。如果否，则判定所述待检测时间下所述待检测系统中不存在异常用户访问行为。
95.参见图3所示，本技术实施例公开了一种具体的行为识别方法，该方法包括：
96.步骤s31：获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。
97.步骤s32：如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数不小于第二预设值，则基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据。
98.前述实施例中当所述历史用户访问行为数据为待检测系统的历史被访问行为数据时，可以确定在所述待检测时间所述待检测系统中是否存在异常用户访问行为，但是不能确定出具体是哪个用户的访问行为存在异常，所以所述历史用户访问行为数据可以为所述待检测系统中目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，这样可以确定出具体是哪个用户的访问行为存在异常。
99.相应地，在所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数不小于第二预设值，则基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据。
100.其中，基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据的具体过程与前述实施例中公开的基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据的具体过程相同，可以参考前述实施例中公开的内容，在此不再进行赘述。
101.步骤s33：根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
102.在得到所述预测个人访问行为数据之后，还需要根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
103.具体的，可以判断所述实际个人访问行为数据是否大于所述预测个人访问行为数据，如果是，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为，得到第一判定结果，如果否，则判定所述目标用户在所述待检测时间的访问行为不是异常用户访问行为，得到第一判定结果。
104.或者，可以先确定所述实际个人访问行为数据和所述预测个人访问行为数据之间的差值，判断所述差值是否大于或等于预设差值阈值，如果是，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为，得到第一判定结果，如果否，则判定所述目标用户在所述待检测时间的访问行为不是异常用户访问行为，得到第一判定结果。此外，还可以利用其他方法进行确定，在此不做具体限定。
105.步骤s34：如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数小于所述第二预设值，则基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线。
106.如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数小于所述第二预设值，则表示所述个人历史访问行为数据的数据个数较少。所以需要基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线。在所述个人历史访问行为数据中的数据个数较少时，基于所述个人历史访问行为数据和第二预设z分数阈值确定出的所述目标用户在所述待检测时间的个人历史基线会更准确，可以使得之后的判定结果更准确，提高识别率和识别的准确率。
107.其中，所述基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线，具体可以包括：确定出所述个人历史行为数据对应的平均值和标准差；将所述个人历史访问行为数据对应的标准差与所述第二预设z分数阈值的乘积，加上所述个人历史访问行为数据对应的平均值作为所述目标用户在所述待检测时间的个人历史基线。其中，所述第二预设z分数阈值也是基于实际情况设定的值。
108.步骤s35：根据所述个人历史基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
109.确定出所述个人历史基线之后，还需要根据所述个人历史基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
110.具体的，可以判断所述实际个人访问行为数据是否大于所述个人历史基线，如果是，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为，得到第一判定结果，如果否，则判定所述目标用户在所述待检测时间的访问行为不是异常用户访问行为，得到第一判定结果。
111.所述第一预设值和所述第二预设值根据实际实施过程确定，在此不做具体限定。
112.参见图4所示，本技术实施例公开了一种具体的行为识别方法，该方法包括：
113.步骤s41：获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。
114.步骤s42：如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数不小于第二预设值，则基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据。
115.步骤s43：根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
116.步骤s44：如果所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数小于所述第二预设值，则基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线。
117.步骤s45：根据所述个人历史基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
118.步骤s41至步骤s45的具体实施例过程可以参考前述实施例中公开的内容，在此不再进行具体赘述。
119.步骤s46：根据所述组历史访问行为数据和第三预设z分数阈值确定出对应的组基线，其中，所述组历史访问行为数据为所述目标用户所属用户组中的各个用户在所述待检测时间的访问行为数据。
120.在实际应用中，还需要根据所述组历史访问行为数据和第三预设z分数阈值确定出对应的组基线，其中，所述组历史访问行为数据为所述目标用户所属用户组中的各个用户在所述待检测时间的访问行为数据。
121.所述组历史访问行为数据便为前一天所述目标用户所属用户组中各个用户的用户访问行为数据。所述组历史访问行为数据为x
1c
,x
2c
,x
3c
......x
nc
，c表示所述待检测时间，例如，当前时间的前一天，n表示所述目标用户所属用户组中的用户数量，x
1c
表示所述目标用户所属用户组中第一个用户在所述待检测时间的访问行为数据。
122.其中，所述根据所述组历史访问行为数据和第三预设z分数阈值确定出对应的组基线，具体可以包括：确定出所述组历史访问行为数据对应的平均值和标准差；将所述组历史访问行为数据对应的标准差与所述第三预设z分数阈值的乘积，加上所述组历史访问行为数据对应的平均值作为所述目标用户在所述待检测时间对应的组基线。其中，所述第三预设z分数阈值也是基于实际情况设定的值。
123.步骤s47：根据所述组基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第二判定结果。
124.在得到所述组基线之后，还需要根据所述组基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第二判定结果。
125.具体的，可以判断所述实际个人访问行为数据是否大于所述组基线，如果是，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为，得到第二判定结果。如果否，则判定所述目标用户在所述待检测时间的访问行为不是异常用户访问行为，得到第二判定结果。
126.步骤s48：根据所述第一判定结果和所述第二判定结果确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为。
127.在得到所述第一判定结果和所述第二判定结果之后，还需要根据所述第一判定结果和所述第二判定结果确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为。
128.具体的，可以在所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，且所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为。这样在所述第一判定结果和所述第二判定结果均表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，才判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为，可以提供异常用户访问行为识别的正确率。
129.或，在所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，或所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为。也即，只要所述第一判定结果或所述第二判定结果中任意一个表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为。
130.在实际实施过程中，在确定所述历史被访问基线、所述个人历史基线以及组基线时，利用数理统计手段先得到对应的平均值和标准差，然后再结合预设z分数阈值，得到最终的基线，这样可以将数理统计和阈值结合得到动态基线，使得得到的基线更符合实际情况、更准确，从而提高识别率和识别的准确率。
131.不论所述历史用户访问行为数据为待检测系统的历史被访问行为数据，还是个人历史访问行为数据，当数据个数很少时，可以采用现有技术中设置固定阈值的形式进行辅助判断。
132.由于所述历史用户访问行为数据会因为待检测时间、用户的不同而不相同，所以确定出的基线也会随之不同，所以可以进行动态基线计算，使得确定出的基线更准确，从而提高异常用户访问行为的识别率和识别的准确率。
133.参见图5所示，本技术实施例公开了一种行为识别装置，包括：
134.数据获取模块11，用于获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据；
135.预测模块12，用于在所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史
被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据；
136.异常用户访问行为确定模块13，用于根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
137.可见，本技术先获取待检测系统的历史用户访问行为数据，其中，所述历史用户访问行为数据为待检测时间之前预设时长内的用户访问行为数据。如果所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数不小于第一预设值，则基于所述历史被访问行为数据预测所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。根据所述预测被访问行为数据和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。这样，需要确定在待检测时间下待检测系统中是否存在异常用户访问行为时，便可以先基于历史被访问行为数据预测所述待检测时间的预测被访问行为数据，然后以预测被访问行为数据作为判断基线与实际被访问行为数据进行比较，从而判断述待检测时间下所述待检测系统中是否存在异常用户访问行为。由于待检测时间不同，历史被访问行为数据也会不相同，所以依据历史被访问行为数据预测得到的预设被访问行为数据也就会不相同，得到变化的判断基线，使得计算出来的判断基线更准确，从而提高识别率和识别的准确率。
138.在一些具体的实施过程中，所述预测模块12，用于：
139.利用所述历史被访问行为数据构建回归树；
140.利用所述回归树预设所述待检测时间的被访问行为数据，得到所述待检测时间的预测被访问行为数据。
141.在一些具体的实施过程中，所述预测模块12，用于：
142.对所述历史被访问行为数据中的异常值进行平滑处理；
143.将处理后历史被访问行为数据划分成特征数据和标签数据，并利用所述特征数据和所述标签数据生成回归树。
144.在一些具体的实施过程中，所述预测模块12，用于：
145.利用箱线图确定出所述历史被访问行为数据中的异常值；
146.利用指数加权移动平均法对所述异常值进行处理，得到处理后历史被访问行为数据。
147.在一些具体的实施过程中，所述预测模块12，用于：
148.将所述处理后历史被访问行为数据中从第一个数据开始的每连续预设数量个数据作为一组特征数据，并将与当前组特征数据中的最后一个数据相连的下一个数据作为当前组特征数据对应的标签数据，直到将所述处理后历史被访问行为数据划分完毕。
149.在一些具体的实施过程中，所述异常用户访问行为确定模块13，用于：
150.确定所述预测被访问行为数据与所述实际被访问行为数据之间的比值；
151.判断所述比值是否大于或等于预设比值阈值；
152.如果是，则判定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
153.在一些具体的实施过程中，所述行为识别装置，还包括：
154.第一基线确定模块，用于在所述历史用户访问行为数据为所述待检测系统的历史被访问行为数据，且所述历史被访问行为数据中的数据个数小于所述第一预设值，则基于所述历史被访问行为数据和第一预设z分数阈值确定出所述待检测时间的历史被访问基线；
155.相应地，所述异常用户访问行为确定模块13，用于：根据所述历史被访问基线和所述待检测时间的实际被访问行为数据确定所述待检测时间下所述待检测系统中是否存在异常用户访问行为。
156.在一些具体的实施过程中，所述第一基线确定模块，用于：
157.确定出所述历史被访问行为数据对应的平均值和标准差；
158.将所述历史被访问行为数据对应的标准差与所述第一预设z分数阈值的乘积，加上所述历史被访问行为数据对应的平均值作为所述待检测时间的历史被访问基线。
159.在一些具体的实施过程中，所述异常用户访问行为确定模块13，用于：
160.判断所述实际被访问行为数据是否大于所述历史被访问基线；
161.如果是，则判定所述待检测时间下所述待检测系统中存在异常用户访问行为。
162.在一些具体的实施过程中，所述预测模块12，用于：
163.在所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数不小于第二预设值，则基于所述个人历史访问行为数据预测所述目标用户在所述待检测时间的个人访问行为数据，得到所述目标用户在所述待检测时间的预测个人访问行为数据；
164.相应地，所述异常用户访问行为确定模块13，用于：根据所述预测个人访问行为数据和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
165.在一些具体的实施过程中，所述行为识别装置，还包括：
166.第二基线确定模块，用于在所述历史用户访问行为数据为所述待检测系统中的目标用户的个人历史访问行为数据和所述目标用户所属用户组的组历史访问行为数据，且所述个人历史访问行为数据中的数据个数小于所述第二预设值，则基于所述个人历史访问行为数据和第二预设z分数阈值确定出所述目标用户在所述待检测时间的个人历史基线；
167.相应地，所述异常用户访问行为确定模块13，用于：根据所述个人历史基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第一判定结果。
168.在一些具体的实施过程中，所述行为识别装置，还包括：
169.第三基线确定模块，用于根据所述组历史访问行为数据和第三预设z分数阈值确定出对应的组基线，其中，所述组历史访问行为数据为所述目标用户所属用户组中的各个用户在所述待检测时间的访问行为数据；
170.相应地，所述异常用户访问行为确定模块13，用于：根据所述组基线和所述目标用户在所述待检测时间的实际个人访问行为数据确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为，得到第二判定结果；根据所述第一判定结果和所述第二
判定结果确定所述目标用户在所述待检测时间的访问行为是否为异常用户访问行为。
171.在一些具体的实施过程中，所述异常用户访问行为确定模块13，用于：
172.当所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，且所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为；
173.或，当所述第一判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为，或所述第二判定结果表明所述目标用户在所述待检测时间的访问行为是异常用户访问行为时，则判定所述目标用户在所述待检测时间的访问行为是异常用户访问行为。
174.参见图6所示，为本技术实施例提供的一种电子设备20的结构示意图，该电子设备20具体可以实现前述实施例中公开的行为识别方法步骤。
175.通常，本实施例中的电子设备20包括：处理器21和存储器22。
176.其中，处理器21可以包括一个或多个处理核心，比如四核心处理器、八核心处理器等。处理器21可以采用dsp(digital signal processing,数字信号处理)、fpga(field-programmable gate array,现场可编程们阵列)、pla(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称cpu(central processing unit,中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以集成有gpu(graphics processing unit,图像处理器)，gpu用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中，处理器21可以包括ai(artificial intelligence，人工智能)处理器，该ai处理器用于处理有关机器学习的计算操作。
177.存储器22可以包括一个或多个计算机可读存储介质，计算机可读存储介质可以是非暂态的。存储器22还可以包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器22至少用于存储以下计算机程序221，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例中公开的行为识别方法步骤。
178.在一些实施例中，电子设备20还可包括有显示屏23、输入输出接口24、通信接口25、传感器26、电源27以及通信总线28。
179.本技术领域人员可以理解，图6中示出的结构并不构成对电子设备20的限定，可以包括比图示更多或更少的组件。
180.进一步的，本技术实施例还公开了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现前述任一实施例中公开的行为识别方法。
181.其中，关于上述行为识别方法的具体过程可以参考前述实施例中公开的相应内容，在此不再进行赘述。
182.本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
183.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
184.最后，还需要说明的是，在本文中，诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
185.以上对本技术所提供的一种行为识别方法、装置、设备、介质进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。