[发明专利]操作日志审计方法、装置、电子设备及存储介质

说明书

本发明提供一种操作日志审计方法、装置、电子设备及存储介质，其中方法包括：获取待审计账号的操作日志；将所述待审计账号的操作日志输入至日志审计模型，得到所述日志审计模型输出的所述待审计账号的审计结果；其中，所述日志审计模型是基于各个样本账号类别中样本账号的基本操作特征和异常操作特征，以及各样本账号的审计标签训练得到的；所述样本账号类别是基于多个样本账号的基本操作特征确定的，所述样本账号的审计标签是基于所述样本账号内样本账号的预设标签确定的。本发明提供的方法、装置、电子设备及存储介质，提高了操作日志审计的准确性和效率。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种操作日志审计方法、装置、电子设备及存储介质。

背景技术

操作日志是记录用户在系统中的操作行为的日志文件，其内容包括了记录用户对数据进行查询、新增、编辑或删除以及系统登录等行为信息。通过对操作日志进行审计，可以对用户使用系统情况进行跟踪，防止数据被删除或者篡改，提高数据的安全性。

现有技术是通过规则匹配等对操作日志进行审计，当日志数据量大、数据结构复杂时，容易出现漏报和误报，无法准确识别系统中的异常操作，日志审计效率低。

发明内容

本发明提供一种操作日志审计方法、装置、电子设备及存储介质，用以解决现有技术中操作日志审计准确率低，效率低的技术问题。

本发明提供一种操作日志审计方法，包括：

获取待审计账号的操作日志；

将所述待审计账号的操作日志输入至日志审计模型，得到所述日志审计模型输出的所述待审计账号的审计结果；

其中，所述日志审计模型是基于各个样本账号类别中样本账号的基本操作特征和异常操作特征，以及各样本账号的审计标签训练得到的；所述样本账号类别是基于多个样本账号的基本操作特征确定的，所述样本账号的审计标签是基于所述样本账号内样本账号的预设标签确定的。

根据本发明提供的操作日志审计方法，所述日志审计模型是基于如下步骤训练得到的：

基于每一样本账号的基本操作特征，对所述多个样本账号进行聚类，得到多个样本账号类别，以及所述样本账号类别下各样本账号的审计标签；

基于每一样本账号类别中样本账号的异常操作特征和基本操作特征，以及各样本账号的审计标签，对初始模型进行训练，得到所述日志审计模型。

根据本发明提供的操作日志审计方法，所述基本操作特征是基于如下步骤确定的：

获取样本账号的操作日志；

基于所述样本账号的操作日志中的账号基本信息、账号操作信息、账号登录信息、操作时间信息和组织行为信息中的至少一种，确定所述样本账号的基本操作特征。

根据本发明提供的操作日志审计方法，所述异常操作特征是基于如下步骤确定的：

基于样本账号在单日操作日志中的操作次数，以及设定时间内的操作次数预估上限，确定所述样本账号的操作次数异常特征；

基于样本账号在设定时间内的操作次数变化，确定所述样本账号的操作次数变化异常特征；

基于样本账号在单日操作日志中的操作次数，以及所述样本账号所在组织内其他账号在同日操作日志中的操作次数，确定所述样本账号的操作次数对比异常特征；

基于所述操作次数异常特征、所述操作次数变化异常特征和操作次数对比异常特征中的至少一种，确定所述样本账号的异常操作特征。

根据本发明提供的操作日志审计方法，所述基于每一样本账号的基本操作特征，对所述多个样本账号进行聚类，得到多个样本账号类别，包括：