CN114661568B 异常操作行为检测方法、装置、设备及存储介质 （中国联合网络通信集团有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN114661568B(45)授权公告日2025.07.01

(21)申请号202210276220.1

(22)申请日2022.03.21

(65)同一申请的已公布的文献号申请公布号CN114661568A

(43)申请公布日2022.06.24

(73)专利权人中国联合网络通信集团有限公司地址100033北京市西城区金融大街21号

(72)发明人金叶徐锐沈松王柯朱威张嗥丁颖睿冯江璇赵莉军王美玉李东佩刘菲

(74)专利代理机构北京同立钧成知识产权代理

有限公司11205专利代理师吴会英臧建明

(51)Int.CI.

GO6F11/34(2006.01)

GO6F16/2458(2019.01)

(56)对比文件

CN113542236A,2021.10.22CN113992340A,2022.01.28

审查员郑晓云

权利要求书2页说明书13页附图4页

(54)发明名称

异常操作行为检测方法、装置、设备及存储介质

(57)摘要

CN114661568B本申请提供一种异常操作行为检测方法、装置、设备及存储介质。具体方案包括：采集第一时间范围内目标用户对数据库进行操作的第一原始日志；根据第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数；根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数；采用有序加权平均算子对时间段异常分数进行有序加权算术平均，确定目标用户在第一时间范围内的数据异常分数；根据数据异常分数确定目标用户是否存在异常操作行为。通过将各类用户操作行为次数转换为数据异常分数，判断目标用户的数据异常分数是否异常，可以将不符合目

CN114661568B

采集第一时间范围内目标用户对数据库进行操作的第一原始日志

采集第一时间范围内目标用户对数据库进行操作的第一原始日志

根据第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数

根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数

采用有序加权平均算子对时间段异常分数进行有序加权算术平均，确定目标用户在第一时间范围内的数据异常分数

根据数据异常分数确定目标用户是否存在异常操作行为

S101

S103

S105

CN114661568B权利要求书1/2页

2

1.一种异常操作行为检测方法，其特征在于，包括：

采集第一时间范围内目标用户对数据库进行操作的第一原始日志；

根据所述第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数；

根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数；

采用有序加权平均算子对所述时间段异常分数进行有序加权算术平均，确定所述目标用户在第一时间范围内的数据异常分数；

根据所述数据异常分数确定所述目标用户是否存在异常操作行为；

所述根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数，包括：

将所述各单位时间段的各类用户操作行为次数分别代入对应的概率密度函数中，获得所述各单位时间段的各类用户操作行为的概率；

根据换算算法将所述各单位时间段的各类用户操作行为的概率转换为各单位时间段的各类用户操作行为的异常分数；

对所述各单位时间段的各类用户操作行为的异常分数进行加权，确定各单位时间段的时间段异常分数；

所述换算算法为：

Sop,t=(1-Pop,t)*100

其中，Sop,t为各单位时间段的各类用户操作行为的异常分数，Pop,t为各单位时间段的各类用户操作行为的概率，op表示用户操作行为的类型，t表示单位时间段。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数，包括：

获取预先构建的各预设关键字段与各类用户操作行为的对应关系；

将各单位时间段的包含预设关键字段的结构化查询语句的数量确定为对应的各单位时间段的各类用户操作行为次数。

3.根据权利要求1所述的方法，其特征在于，所述将所述各单位时间段的各类用户操作行为次数分别代入对应的概率密度函数中，获得所述各单位时间段的各类用户操作行为的概率之前，还包括：

采集第二时间范围内目标用户对数据库进行操作的第二原始日志；所述第二时间范围