[发明专利]一种基于大数据和人工智能的异常识别装置

说明书

本发明公开了一种基于大数据和人工智能的异常识别装置，包括，行为萃取阶段、用户分群阶段、基线生成阶段、异常实时检测阶段、异常行为预测阶段和异常结果处理阶段。本发明通过应用大数据和人工智能技术，通过对IT管理操作行为进行自动萃取、并根据不同人员的操作行为特征进行智能群体区分并建立动态的行为基线模型，从而识别异常行为。该发明能够自动萃取操作行为，完全无需配置关键字，且能够做到全面的无盲区管理覆盖，达到在对比原有技术手段对管理人员的技术要求大幅降低、管理时间成本大幅降低的同时，管理覆盖面和管理效果得到极大的提升。同时，基于人工智能技术能够进行行为预测，预测未来可能发生的行为异常风险。

技术领域

本发明涉及大数据和人工智能识别领域，具体是指一种基于大数据和人工智能的异常识别装置。

背景技术

现有技术中的解决方案如下：在企业和银行中，存在着大量的各类不同的业务系统。从内部审计和外部审计以及风险控制的角度，都需要对内外部人员在各类不同业务系统中的操作行为进行定期或不定期的审计，从而识别和发现异常行为和潜在风险以及已经出现风险。传统的识别方式有：

1、当风险已经出现，如信息外泄、业务系统故障等情况时，进行人工性质的回溯，此方式通过人工查看操作记录进行。

2、通过配置对关键系统、关键操作的操作记录(或系统日志)配置关键字，并通过日志管理平台类产品进行实时识别，或通过各个系统内置的操作记录自动触发关键操作的预警通知。

对于原有的识别异常行为的技术手段，首先，上述第一点的人工手段不必说，其方式非常落后，漏查严重，盲点极多，且滞后性极差。

对于第二种，基于关键字(或者说行为标签)的方式，其技术缺陷在于：

1、仅能覆盖已知问题，即只能配置管理员的知识范围内知道有可能发生的异常事件，且必须要准确找到相关的关键字，有大量的监管盲区

2、配置和管理关键字耗时耗力，从配置的角度，需要大量的观察和分析时间；从管理的角度，非常难以管理关键字的时效性，在关键字应用过期或出现变化时，完全无法自动适应变化。

3、完全无法适应在设备、系统、人员等方面的数量激增带来的行为数量指数级增长带来的管理压力

4、完全无法对未来一段时间是否有可能出现异常行为进行判定和预测。

基于上述原因，一种基于大数据和人工智能的异常识别装置成为整个社会亟待解决的问题。

发明内容

为解决上述技术问题，本发明提供的技术方案为：一种基于大数据和人工智能的异常识别装置，包括以下几个阶段，

(1)行为萃取阶段，在此阶段完成对IT管理操作行为从原始信息中的提取，提供给后续的基线生成和异常检测；

(2)用户分群阶段，在此阶段完成对于行为数据的去重聚类，以及根据行为特征分布情况进行用户群体分群；

(3)基线生成阶段：此阶段在各个群体内部计算行为基线，包括行为时间分布基线和行为序列基线；

(4)异常实时检测阶段，此阶段将根据行为时间分布基线和行为序列基线对实时进入系统的行为数据进行异常检测；

(5)异常行为预测阶段，该阶段有两种预测方法，一种是基于以及被确认的异常行为进行反向学习的预测方法，另一种是基于历史行为模式的风险预测方法；

(6)异常结果处理阶段：该阶段主要负责剔除非异常结果、生成行为轨迹以及触发告警和联动控制动作。

进一步地，所述步骤(1)包括以下步骤方法：