[发明专利]行为数据识别方法、装置及存储介质

权利要求书

1.一种行为数据识别方法，其特征在于，包括：

获取M个用户的目标行为日志信息中的关键字段，所述目标行为日志信息包括用于进行特征提取的所述关键字段，所述M为大于1的正整数，所述M个用户中包含第一用户；

根据所述关键字段构建所述第一用户的第一身份标识信息；

根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息；

根据所述第一行为日志信息、所述关键字段确定所述第一用户的第一行为特征，其中，所述第一行为特征是在目标周期内包含单位粒度周期和登录失败次数的历史行为时间序列，所述登录失败次数包括在所述单位粒度周期内所有登录时间戳对应的所有登录失败次数；

从所述M个用户的目标行为日志信息中获取与所述第一用户具有相同属性信息的第二用户的第二行为日志信息；

根据所述第一行为日志信息、所述第二行为日志信息以及所述关键字段确定与所述第一用户相关联的第二行为特征，其中，所述第二行为特征为包含单位累计周期和累计登录失败次数的同类行为时间序列，所述单位累计周期大于所述单位粒度周期，所述累计登录失败次数为所述第一用户和所述第二用户在所述单位累计周期内的累计登录失败次数；

根据所述第一行为特征对所述第一用户的登录状态进行预测，得到与所述第一用户相关联的第一预测结果；

根据所述第二行为特征对所述第一用户的登录状态进行预测，得到与所述第一用户相关联的第二预测结果；

若所述第一预测结果指示所述第一用户为第一类异常用户，且所述第二预测结果指示所述第一用户为第二类异常用户，则确定所述第一用户的登录状态为异常状态。

2.根据权利要求1所述的方法，其特征在于，所述获取M个用户的目标行为日志信息中的关键字段，包括：

获取目标对象内的所有用户在目标周期内的原始行为日志信息；一个用户对应一个原始行为日志信息；所述所有用户中包含使用目标登录协议进行用户登录的M个用户；

在与所述原始行为日志信息相关联的至少一个日志数据库中，将所述目标登录协议对应的日志数据库确定为目标日志数据库；所述目标日志数据库中包含所述M个用户的原始行为日志信息；

根据用户登录过程中的关键字段，对所述M个用户的原始行为日志信息进行字段过滤，将字段过滤后的原始行为日志信息作为目标行为日志信息；

获取所述目标行为日志信息中的所述关键字段。

3.根据权利要求1所述的方法，其特征在于，所述根据所述关键字段构建所述第一用户的第一身份标识信息，包括：

根据所述关键字段中的登录用户名、目标地址、目标端口构建所述第一用户的第一身份标识信息。

4.根据权利要求1所述的方法，其特征在于，所述根据所述第一身份标识信息从所述M个用户的目标行为日志信息中获取第一行为日志信息，包括：

在所述M个用户的目标行为日志信息中对具有所述第一身份标识信息的目标行为日志信息进行聚类处理，得到所述第一用户的第一行为日志信息。

5.根据权利要求1所述的方法，其特征在于，所述根据所述第一行为日志信息和所述关键字段确定所述第一用户的第一行为特征，包括：

根据所述关键字段中的登录时间戳对所述第一行为日志信息进行排序处理，得到所述第一用户的第一行为时间序列；

根据所述登录时间戳相关联的单位粒度周期，在所述第一行为时间序列中获取所述单位粒度周期对应的登录失败次数，根据所述单位粒度周期和所述登录失败次数，确定所述第一用户的第一行为特征。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

若所述第一预测结果指示所述第一用户为所述第一类异常用户，且所述第二预测结果指示所述第一用户为正常用户，则确定所述第一用户的登录状态为正常状态。