[发明专利]操作日志审计方法、装置、电子设备及存储介质

权利要求书

1.一种操作日志审计方法，其特征在于，包括：

获取待审计账号的操作日志；

将所述待审计账号的操作日志输入至日志审计模型，得到所述日志审计模型输出的所述待审计账号的审计结果；

其中，所述日志审计模型是基于各个样本账号类别中样本账号的基本操作特征和异常操作特征，以及各样本账号的审计标签训练得到的；所述样本账号类别是基于多个样本账号的基本操作特征确定的，所述样本账号的审计标签是基于所述样本账号内样本账号的预设标签确定的。

2.根据权利要求1所述的操作日志审计方法，其特征在于，所述日志审计模型是基于如下步骤训练得到的：

基于每一样本账号的基本操作特征，对所述多个样本账号进行聚类，得到多个样本账号类别，以及所述样本账号类别下各样本账号的审计标签；

基于每一样本账号类别中样本账号的异常操作特征和基本操作特征，以及各样本账号的审计标签，对初始模型进行训练，得到所述日志审计模型。

3.根据权利要求1所述的操作日志审计方法，其特征在于，所述基本操作特征是基于如下步骤确定的：

获取样本账号的操作日志；

基于所述样本账号的操作日志中的账号基本信息、账号操作信息、账号登录信息、操作时间信息和组织行为信息中的至少一种，确定所述样本账号的基本操作特征。

4.根据权利要求1所述的操作日志审计方法，其特征在于，所述异常操作特征是基于如下步骤确定的：

基于样本账号在单日操作日志中的操作次数，以及设定时间内的操作次数预估上限，确定所述样本账号的操作次数异常特征；

基于样本账号在设定时间内的操作次数变化，确定所述样本账号的操作次数变化异常特征；

基于样本账号在单日操作日志中的操作次数，以及所述样本账号所在组织内其他账号在同日操作日志中的操作次数，确定所述样本账号的操作次数对比异常特征；

基于所述操作次数异常特征、所述操作次数变化异常特征和操作次数对比异常特征中的至少一种，确定所述样本账号的异常操作特征。

5.根据权利要求2所述的操作日志审计方法，其特征在于，所述基于每一样本账号的基本操作特征，对所述多个样本账号进行聚类，得到多个样本账号类别，包括：

基于半监督深度学习算法，以及每一样本账号的基本操作特征，对所述多个样本账号进行聚类，得到多个样本账号类别。

6.根据权利要求5所述的操作日志审计方法，其特征在于，所述半监督深度学习算法为DS³L算法。

7.根据权利要求1至6任一项所述的操作日志审计方法，其特征在于，所述日志审计模型的初始模型为LightGBM模型。

8.一种操作日志审计装置，其特征在于，包括：

获取单元，用于获取待审计账号的操作日志；

审计单元，用于将所述待审计账号的操作日志输入至日志审计模型，得到所述日志审计模型输出的所述待审计账号的审计结果；

其中，所述日志审计模型是基于各个样本账号类别中样本账号的基本操作特征和异常操作特征，以及各样本账号的审计标签训练得到的；所述样本账号类别是基于多个样本账号的基本操作特征确定的，所述样本账号的审计标签是基于所述样本账号内样本账号的预设标签确定的。

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述操作日志审计方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述操作日志审计方法的步骤。