(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210999391.7 (22)申请日 2022.08.19 (71)申请人 中电信数智科技有限公司 地址 100036 北京市海淀区复兴 路33号13 层东塔13层13 08室 (72)发明人 刘钰　 (74)专利代理 机构 北京知汇林知识产权代理事 务所(普通 合伙) 11794 专利代理师 杨华 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) G06N 20/20(2019.01) G06K 9/62(2022.01) (54)发明名称 一种基于机器学习的用户行为异常检测方 法及装置 (57)摘要 本发明涉及一种基于机器学习的用户行为 异常检测方法及装置,属于智能自动化技术领 域。 方法包括： 采集用户行为日志信息， 对所述用 户行为日志信息进行预处理， 得到预设格式的用 户行为日志信息； 从所述预设格式的用户行为日 志信息中获取用于用户行为异常检测的参数， 将 所述参数输入到用户行为异常检测模 型中， 对用 户行为是否异常进行检测； 如果用户行为被检测 为异常， 自动根据预先设置的模板结合用户信息 和用户行为信息生成告警信息。 本方法能够提高 用户行为异常检测的准确率， 有效的降低了误报 率和漏报率， 使得企业运维人员在面对内部人员 攻击时可以提早发现， 提早采取措施减少企业损 失。 权利要求书2页 说明书6页 附图2页 CN 115378698 A 2022.11.22 CN 115378698 A 1.一种基于 机器学习的用户行为异常检测方法,其特 征在于， 所述方法包括以下步骤： S1： 采集用户行为日志信息， 对所述用户行为日志信息进行预处理， 得到预设格 式的用 户行为日志信息； S2： 从所述预设格式的用户行为日志信息中获取用于用户行为异常检测的参数， 将所 述参数输入到用户行为异常检测模型中， 对用户行为是否异常进行检测； S3： 如果用户行为被检测为异常， 自动根据预先设置的模板结合用户信息和用户行为 信息生成告警信息 。 2.根据权利要求1所述的方法， 其特征在于， 所述用于用户行为异常检测的参数包括用 户行为特征， 所述用户行为特征包括用户行为日志信息中的用户行为以及所述用户行为对 应的数值。 3.根据权利要求2所述的方法， 其特征在于， 所述用于用户行为异常检测的参数包括用 户角色行为特征， 所述从所述预设格式的用户行为日志信息中获取用于用户行为异常检测 的参数包括： 根据所述用户行为日志信 息中的用户名获取当前用户角色信 息， 通过计算属于同一角 色的用户行为特 征的平均值， 得到用户角色行为特 征平均值； 将当前用户行为特征对应的数值减去用户角色行为特征平均值， 得到用户角色行为特 征。 4.根据权利要求3所述的方法， 其特征在于， 所述用于用户行为异常检测的参数包括用 户行为时间序列， 所述用户行为时间序列是按用户行为的发生时间顺序对用户行为进 行排 序得到的。 5.根据权利要求 4所述的方法， 其特 征在于， 所述方法包括： 将所述用户行为时间序列输入到时序异常检测模型， 检测用户行为时间序列是否异 常； 所述将所述参数输入到用户行为异常检测模型中， 对用户行为是否异常进行检测包 括： 将所述用户行为特征、 所述用户角色行为特征、 所述用户行为时间序列输入到 CatBoost模型中， 对用户行为是否异常进行分类。 6.一种基于 机器学习的用户行为异常检测装置,其特 征在于， 所述装置包括： 处理模块， 用于采集用户行为日志信 息， 对所述用户行为日志信 息进行预处理， 得到预 设格式的用户行为日志信息； 检测模块， 用于从所述预设格式的用户行为日志信 息中获取用于用户行为异常检测的 参数， 将所述 参数输入到用户行为异常检测模型中， 对用户行为是否异常进行检测； 告警模块， 用于如果用户行为被检测为异常， 自动根据预先设置的模板结合用户信息 和用户行为信息生成告警信息 。 7.根据权利要求6所述的装置， 其特征在于， 所述用于用户行为异常检测的参数包括用 户行为特征， 所述用户行为特征包括用户行为日志信息中的用户行为以及所述用户行为对 应的数值。 8.根据权利要求7所述的装置， 其特征在于， 所述用于用户行为异常检测的参数包括用 户角色行为特征， 所述检测模块从所述预设格式的用户行为日志信息中获取用于用户行为权　利　要　求　书 1/2 页 2 CN 115378698 A 2异常检测的参数包括： 根据所述用户行为日志信 息中的用户名获取当前用户角色信 息， 通过计算属于同一角 色的用户行为特 征的平均值， 得到用户角色行为特 征平均值； 将当前用户行为特征对应的数值减去用户角色行为特征平均值， 得到用户角色行为特 征。 9.根据权利要求8所述的装置， 其特征在于， 所述用于用户行为异常检测的参数包括用 户行为时间序列， 所述用户行为时间序列是按用户行为的发生时间顺序对用户行为进 行排 序得到的。 10.根据权利要求9所述的装置， 其特 征在于， 所述检测模块还用于： 将所述用户行为时间序列输入到时序异常检测模型， 检测用户行为时间序列是否异 常； 所述检测模块将所述参数输入到用户行为异常检测模型中， 对用户行为是否异常进行 检测包括： 将所述用户行为特征、 所述用户角色行为特征、 所述用户行为时间序列输入到 CatBoost模型中， 对用户行为是否异常进行分类。权　利　要　求　书 2/2 页 3 CN 115378698 A 3