[发明专利]异常操作行为检测方法、装置、设备及存储介质

权利要求书

1.一种异常操作行为检测方法，其特征在于，包括：

采集第一时间范围内目标用户对数据库进行操作的第一原始日志；

根据所述第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数；

根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数；

采用有序加权平均算子对所述时间段异常分数进行有序加权算术平均，确定所述目标用户在第一时间范围内的数据异常分数；

根据所述数据异常分数确定所述目标用户是否存在异常操作行为。

2.根据权利要求1所述的方法，其特征在于，所述根据所述第一原始日志中的结构化查询语句确定第一时间范围内各单位时间段的各类用户操作行为次数，包括：

获取预先构建的各预设关键字段与各类用户操作行为的对应关系；

将各单位时间段的包含预设关键字段的结构化查询语句的数量确定为对应的各单位时间段的各类用户操作行为次数。

3.根据权利要求1所述的方法，其特征在于，所述根据各单位时间段的各类用户操作行为次数确定各单位时间段的时间段异常分数，包括：

将所述各单位时间段的各类用户操作行为次数分别代入对应的概率密度函数中，获得所述各单位时间段的各类用户操作行为的概率；

根据所述各单位时间段的各类用户操作行为的概率，采用加权平均法确定各单位时间段的时间段异常分数。

4.根据权利要求3所述的方法，其特征在于，所述将所述各单位时间段的各类用户操作行为次数分别代入对应的概率密度函数中，获得所述各单位时间段的各类用户操作行为的概率之前，还包括：

采集第二时间范围内目标用户对数据库进行操作的第二原始日志；所述第二时间范围对应的时长大于所述第一时间范围对应的时长；

根据所述第二原始日志中的结构化查询语句构造各类用户操作行为的面板数据；所述面板数据包括时间粒度聚合统计后的用户操作行为次数；

将各类用户操作行为的面板数据代入核密度估计算法中，确定各单位时间段的各类用户操作行为对应的概率密度函数。

5.根据权利要求3所述的方法，其特征在于，所述根据所述各单位时间段的各类用户操作行为的概率，采用加权平均法确定各单位时间段的时间段异常分数，包括：

根据换算算法将所述各单位时间段的各类用户操作行为的概率转换为各单位时间段的各类用户操作行为的异常分数；

对所述各单位时间段的各类用户操作行为的异常分数进行加权，确定各单位时间段的时间段异常分数；

所述换算算法为：

S_op，t＝(1-p_op，t)*100

其中，S_ip，t为各单位时间段的各类用户操作行为的异常分数，p_op，t为各单位时间段的各类用户操作行为的概率，op表示用户操作行为的类型，t表示单位时间段。

6.根据权利要求1所述的方法，其特征在于，所述采用有序加权平均算子对所述时间段异常分数进行有序加权算术平均，确定所述目标用户在第一时间范围内的数据异常分数，包括：

按从大到小的顺序对所述时间段异常分数进行排序；

按等差数列生成时间段加权向量；所述时间段加权向量按从大到小的顺序排序；

根据排序后的时间段异常分数与所述时间段加权向量进行有序加权算术平均，将有序加权算术平均结果确定为所述目标用户在第一时间范围内的数据异常分数。

7.根据权利要求1-6任一所述的方法，其特征在于，所述根据所述数据异常分数确定所述目标用户是否存在异常操作行为，包括：

判断所述数据异常分数是否大于预设分数阈值；

若确定所述数据异常分数大于预设分数阈值，则确定所述目标用户存在异常操作行为；

若确定所述数据异常分数小于或等于预设分数阈值，则确定所述目标用户不存在异常操作行为。