[发明专利]异常行为检测方法和装置

权利要求书

1.一种异常行为检测方法，其特征在于，该方法包括：

威胁感知平台获取前端代码采集的web页面上发生的用户操作事件信息；

基于预先训练得到的异常检测模型，对各web页面上发生的用户操作事件信息进行异常检测，以确定web页面上是否存在异常操作行为；

其中所述异常检测模型通过如下方式预先训练得到：

获取web页面上发生的正常的用户操作事件信息作为训练数据；

获取所述训练数据的向量表示；

将所述训练数据的向量表示输入编码器进行编码，得到隐向量；

深度对抗神经网络中的生成网络基于随机向量生成重构的向量表示；

将所述训练数据的向量表示和所述隐向量输入所述深度对抗神经网络中的判别网络，以及将所述重构的向量表示和所述随机向量输入所述深度对抗神经网络中的判别网络，分别得到所述训练数据的向量表示属于正常操作行为的第一概率和所述重构的向量表示属于正常操作行为的第二概率；

训练目标为：最小化所述训练数据的向量表示与所述重构的向量表示之间的距离，以及最大化所述第一概率和第二概率的差值；

训练结束后，由所述编码器和所述判别网络构成所述异常检测模型；其中，

所述基于预先训练得到的异常检测模型，对各web页面上发生的用户操作事件信息进行异常检测包括：

获取所述web页面上发生的用户操作事件信息的向量表示；

利用所述异常检测模型中的编码器对所述向量表示进行编码，得到隐向量；

将所述向量表示和所述隐向量输入所述异常检测模型中的判别网络，利用所述判别网络对所述向量表示进行是否为正常操作行为的判别，确定所述web页面上是否存在异常操作行为。

2.根据权利要求1所述的方法，其特征在于，所述前端代码包括：web页面中嵌入的脚本JS代码、移动应用中嵌入的代码或者桌面客户端中嵌入的代码；

所述操作事件信息包括：鼠标键盘事件信息、触屏事件信息或运动传感器事件信息。

3.根据权利要求1所述的方法，其特征在于，在所述训练过程中，依据所述训练数据的向量表示与所述重构的向量表示之间的距离，优化所述编码器和所述生成网络的模型参数；

依据所述第一概率和第二概率的差值，优化所述判别网络的模型参数。

4.根据权利要求1至3中任一项所述的方法，其特征在于，该方法还包括：

统计同一用户标识、应用标识或设备标识对应的存在异常操作行为的web页面的状况；

依据统计出的状况，确定存在异常的用户标识、应用标识或设备标识。