异常用户识别方法和装置、电子设备及存储介质与流程

本技术涉及人工智能，尤其涉及一种异常用户识别方法和装置、电子设备及存储介质。

背景技术：

1、在网络安全领域，对用户的访问行为是否符合要求的识别尤为重要，目标的异常用户识别方法大多是根据cpu和内存使用情况的变化来识别用户的访问行为是否存在异常，这一方式存在着较大的误判风险，影响异常用户的识别准确性，因此，如何提高异常用户的识别准确性，成为了亟待解决的技术问题。

技术实现思路

1、本技术实施例的主要目的在于提出一种异常用户识别方法和装置、电子设备及存储介质，旨在提高异常用户的识别准确性。

2、为实现上述目的，本技术实施例的第一方面提出了一种异常用户识别方法，所述方法包括：

3、获取目标用户的当前行为数据，所述当前行为数据包括所述目标用户的当前问题数据；

4、遍历预设的问题数据库，对所述当前问题数据与所述问题数据库中的参考问题数据进行匹配处理，得到目标问题数据；

5、对所述目标问题数据进行向量化处理，得到目标问题特征向量；

6、对所述目标问题特征向量与预先获取的第一聚合行为特征进行相似性计算，得到第一行为相似值，其中，所述第一聚合行为特征用于表征所有用户的历史行为的聚类特点；

7、对所述目标问题特征向量与预先获取的第二聚合行为特征进行相似性计算，得到第二行为相似值，其中，所述第二聚合行为特征用于表征所述目标用户的历史行为的聚类特点；

8、对所述第一聚合行为特征和所述第二聚合行为特征进行相似性计算，得到第三行为相似值；

9、根据所述第一行为相似值、所述第二行为相似值、所述第三行为相似值对所述目标用户进行异常识别，得到目标识别数据，所述目标识别数据用于表征所述目标用户是否为异常用户。

10、在一些实施例，所述遍历预设的问题数据库，对所述当前问题数据与所述问题数据库中的参考问题数据进行匹配处理，得到目标问题数据，包括：

11、对所述当前问题数据进行向量化处理，得到当前问题特征向量，并对所述参考问题数据进行向量化处理，得到参考问题特征向量；

12、对所述当前问题特征向量和每一所述参考问题特征向量进行相似性计算，得到问题相似值；

13、根据所述问题相似值对所述参考问题数据进行筛选处理，得到所述目标问题数据。

14、在一些实施例，所述对所述目标问题特征向量与预先获取的第一聚合行为特征进行相似性计算，得到第一行为相似值之前，所述方法还包括获取所述第一聚合行为特征，具体包括：

15、获取所述所有用户的第一历史行为数据；

16、通过基于核密度估计的聚类算法对所述第一历史行为数据进行聚类处理，得到所述第一聚合行为特征。

17、在一些实施例，所述对所述目标问题特征向量与预先获取的第二聚合行为特征进行相似性计算，得到第二行为相似值之前，所述方法还包括获取所述第二聚合行为特征，具体包括：

18、获取所述目标用户的第二历史行为数据；

19、通过基于核密度估计的聚类算法对所述第二历史行为数据进行聚类处理，得到所述第二聚合行为特征。

20、在一些实施例，所述目标识别数据包括所述目标用户为异常用户，所述根据所述第一行为相似值、所述第二行为相似值、所述第三行为相似值对所述目标用户进行异常识别，得到目标识别数据，所述方法包括：

21、比对所述第三行为相似值和预设的第一阈值；

22、若所述第三行为相似值大于或者所述等于第一阈值，则比对所述第二行为相似值和预设的第二阈值；

23、若所述第二行为相似值小于所述第二阈值，则比对所述第一行为相似值与预设的第三阈值；

24、若所述第一行为相似值小于所述第三阈值，则确定所述目标用户为异常用户。

25、在一些实施例，所述目标识别数据包括所述目标用户是异常用户，所述根据所述第一行为相似值、所述第二行为相似值、所述第三行为相似值对所述目标用户进行异常识别，得到目标识别数据，包括：

26、比对所述第三行为相似值和预设的第一阈值；

27、若所述第三行为相似值小于所述第一阈值，则确定所述目标用户为异常用户。

28、在一些实施例，所述目标识别数据包括所述目标用户是异常用户，所述根据所述第一行为相似值、所述第二行为相似值、所述第三行为相似值对所述目标用户进行异常识别，得到目标识别数据之后，所述方法还包括：

29、若目标识别数据为所述目标用户是异常用户，则在预设的时间段内，控制所述目标用户的访问频率处于预设范围，并检测所述目标用户在所述时间段内的访问行为状态；

30、若所述访问行为状态存在异常，则取消所述目标用户的访问权限。

31、为实现上述目的，本技术实施例的第二方面提出了一种异常用户识别装置，所述装置包括：

32、行为数据获取模块，用于获取目标用户的当前行为数据，所述当前行为数据包括所述目标用户的当前问题数据；

33、匹配模块，用于遍历预设的问题数据库，对所述当前问题数据与所述问题数据库中的参考问题数据进行匹配处理，得到目标问题数据；

34、向量化模块，用于对所述目标问题数据进行向量化处理，得到目标问题特征向量；

35、第一相似值计算模块，用于对所述目标问题特征向量与预先获取的第一聚合行为特征进行相似性计算，得到第一行为相似值，所述第一聚合行为特征用于表征所有用户的历史行为的聚类特点；

36、第二相似值计算模块，用于对所述目标问题特征向量与预先获取的第二聚合行为特征进行相似性计算，得到第二行为相似值，所述第二聚合行为特征用于表征所述目标用户的历史行为的聚类特点；

37、第三相似值计算模块，用于对所述第一聚合行为特征和所述第二聚合行为特征进行相似性计算，得到第三行为相似值；

38、异常识别模块，用于根据所述第一行为相似值、所述第二行为相似值、所述第三行为相似值对所述目标用户进行异常识别，得到目标识别数据，所述目标识别数据用于表征所述目标用户是否为异常用户。

39、为实现上述目的，本技术实施例的第三方面提出了一种电子设备，所述电子设备包括存储器、处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面所述的方法。

40、为实现上述目的，本技术实施例的第四方面提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的方法。

41、本技术提出的异常用户识别方法、异常用户识别装置、电子设备及存储介质，其通过获取目标用户的当前行为数据，当前行为数据包括目标用户的当前问题数据；并遍历预设的问题数据库，对当前问题数据与问题数据库中的参考问题数据进行匹配处理，得到目标问题数据，能够在不改变当前问题数据的基本问题内容的情况下，对当前问题数据进行文本调整，得到符合要求的目标问题数据。进一步地，对目标问题数据进行向量化处理，得到目标问题特征向量，对目标问题特征向量与预先获取的第一聚合行为特征进行相似性计算，得到第一行为相似值，使得能够通过第一行为相似值来体现当前问题数据与所有用户的历史行为之间的差异性。对目标问题特征向量与预先获取的第二聚合行为特征进行相似性计算，得到第二行为相似值，使得能够通过第二行为相似值来体现当前问题数据与目标用户的历史行为之间的差异性；同时，对第一聚合行为特征和第二聚合行为特征进行相似性计算，得到第三行为相似值，能够通过第三行为相似值来体现目标用户的历史行为与所有用户的历史行为之间的差异性。最后，根据第一行为相似值、第二行为相似值、第三行为相似值对目标用户进行异常识别，既能够判断目标用户的当前行为与所有用户的行为是否一致，即从整体上进行异常识别，又可以判断目标用户的当前行为与其自身的历史行为是否一致，即从单独的目标用户自身进行异常识别，能够使得得到的用于表征目标用户是否为异常用户的目标识别数据具备较好的准确性和合理性，从而提高异常用户识别的准确性。