[发明专利]用户行为分类审计方法、装置、设备及计算机存储介质

说明书

本申请提供了一种用户行为分类审计方法、装置、设备及计算机存储介质。该用户行为分类审计方法，包括：采集用户行为信息；在确定用户行为信息中存在预设的关键字的情况下，利用预设的决策树分类模型对用户行为信息进行分类，确定用户行为信息的类别；其中，决策树分类模型是利用K折交叉验证及改进的梯度提升决策树算法进行模型训练得到的；获取用户行为信息的类别对应的审计日志。根据本申请实施例，能够提高用户行为分类审计的准确率。

技术领域

本申请属于用户行为分类审计技术领域，尤其涉及一种用户行为分类审计方法、装置、设备及计算机存储介质。

背景技术

通过对从各大数据平台组件采集到的原始日志进行解析、字段标准化映射、以及日志的操作类型和操作细项划分处理，可以实现来源、格式不一的大数据平台中各组件的初始日志进行标准化；然后，根据大数据安全管控的审计要求，采用相应的审计规则和分析策略，对大数据平台中各组件的标准化后的日志进行自动化审计分析，来确定大数据平台及组件的管理和数据访问操作是否符合安全技术规范和管理要求。

现有技术先对日志先做标准化处，然后根据审计规则构建算法模型，指定算法参数，训练模型，进行分析匹配。算法复杂且缺少灵活性，而单纯的使用多分类节点的决策树进行分类无法满足对于用户行为中出现用户灵活性操作的分类需求，审计准确率低。

因此，如何提高用户行为分类审计的准确率是本领域技术人员亟需解决的技术问题。

发明内容

本申请实施例提供一种用户行为分类审计方法、装置、设备及计算机存储介质，能够提高用户行为分类审计的准确率。

第一方面，本申请实施例提供一种用户行为分类审计方法，包括：

采集用户行为信息；

在确定用户行为信息中存在预设的关键字的情况下，利用预设的决策树分类模型对用户行为信息进行分类，确定用户行为信息的类别；其中，决策树分类模型是利用K折交叉验证及改进的梯度提升决策树算法进行模型训练得到的；

获取用户行为信息的类别对应的审计日志。

可选的，关键字包括操作时间、操作IP、操作用户、操作指令及指令参数。

可选的，在确定用户行为信息中存在预设的关键字的情况下，利用预设的决策树分类模型对用户行为信息进行分类，确定用户行为信息的类别之前，方法还包括：

获取审计集；

基于审计集中的训练集，利用K折交叉验证及改进的梯度提升决策树算法进行模型训练，得到决策树分类模型。

可选的，在基于审计集中的训练集，利用K折交叉验证及改进的梯度提升决策树算法进行模型训练，得到决策树分类模型之后，方法还包括：

利用审计集中的测试集，对决策树分类模型进行测试。

第二方面，本申请实施例提供了一种用户行为分类审计装置，包括：

采集模块，用于采集用户行为信息；

分类模块，用于在确定用户行为信息中存在预设的关键字的情况下，利用预设的决策树分类模型对用户行为信息进行分类，确定用户行为信息的类别；其中，决策树分类模型是利用K折交叉验证及改进的梯度提升决策树算法进行模型训练得到的；

第一获取模块，用于获取用户行为信息的类别对应的审计日志。

可选的，关键字包括操作时间、操作IP、操作用户、操作指令及指令参数。

可选的，装置还包括：

第二获取模块，用于获取审计集；