[0019] 以下,术语“第一”、“第二”和“第三”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”或“第三”等的特征可以明示或者隐含地包括一个或者更多个该特征。
[0020] 图1示出了本发明实施例提供的云计算服务的异常用户行为处理方法的流程示意图,云计算服务的异常用户行为处理方法可以通过云计算安防服务器实现,云计算安防服务器可以包括存储器和处理器;所述存储器和所述处理器耦合;所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令;其中,当所述处理器执行所述计算机指令时,使得所述云计算安防服务器执行如下步骤所描述的技术方案。
[0021] 步骤101、通过目标云服务互动流式记录和目标云服务互动流式记录存在时序先后关系的在先云服务互动流式记录,确定若干个异常用户标签捕捉窗口和若干个异常用户标签捕捉窗口对应的若干个窗口权重评分,若干个异常用户标签捕捉窗口中的各个异常用户标签捕捉窗口对应一个窗口权重评分。
[0022] 对于本发明实施例而言,异常用户标签捕捉窗口中的异常用户标签可以为用户ID、互动事件主题。
[0023] 对于本发明实施例而言,云计算安防服务器在目标云服务互动流式记录中确定包括异常用户标签的异常用户标签捕捉窗口,该异常用户标签捕捉窗口可以为包括异常用户标签的设定可视化形状。
[0024] 对于本发明实施例而言,云计算安防服务器通过目标云服务互动流式记录,确定若干个异常用户标签捕捉窗口和若干个异常用户标签捕捉窗口对应的若干个标签捕捉可信系数,若干个异常用户标签捕捉窗口中的各个异常用户标签捕捉窗口对应一个标签捕捉可信系数。
[0025] 举例而言,信息捕捉模块对目标云服务互动流式记录中的异常用户标签捕捉窗口进行可信系数运算,得到异常用户标签捕捉窗口对应的标签捕捉可信系数,其中,信息捕捉模块可以为支持向量机等可以提供异常用户标签捕捉窗口的标签捕捉可信系数的功能模块。
[0026] 对于本发明实施例而言,云计算安防服务器通过目标云服务互动流式记录和在先云服务互动流式记录,确定若干个异常用户标签捕捉窗口对应的若干个时序关联变量,各个异常用户标签捕捉窗口对应一个时序关联变量(连续化的可信系数)。
[0027] 举例而言,云计算安防服务器通过目标云服务互动流式记录和在先云服务互动流式记录,确定若干个异常用户标签捕捉窗口对应的若干个时序关联变量的过程包括:云计算安防服务器在在先云服务互动流式记录中,确定若干个在先异常用户标签捕捉窗口;然后,云计算安防服务器确定第一异常用户标签捕捉窗口与若干个在先异常用户标签捕捉窗口之间的若干个相对分布特征值,第一异常用户标签捕捉窗口为若干个异常用户标签捕捉窗口中的其中一个异常用户标签捕捉窗口;云计算安防服务器将若干个相对分布特征值中的最大特征值确定为第一异常用户标签捕捉窗口对应的第一时序关联变量;并确定若干个第一异常用户标签捕捉窗口对应的若干个第一时序关联变量,进而云计算安防服务器得到若干个异常用户标签捕捉窗口对应的若干个时序关联变量。
[0028] 举例而言,云计算安防服务器逐一确定目标云服务互动流式记录中的第一异常用户标签捕捉窗口与在先云服务互动流式记录中的若干个在先异常用户标签捕捉窗口之间的若干个窗口叠加变量(若干个相对分布特征值),然后,云计算安防服务器从若干个窗口叠加变量中确定出最大窗口叠加变量,则该最大窗口叠加变量的取值可以为第一异常用户标签捕捉窗口的第一时序关联变量。云计算安防服务器对若干个异常用户标签捕捉窗口都采用以上思路实现,从而获得若干个异常用户标签捕捉窗口对应的若干个时序关联变量。
[0029] 在一些示例下,异常用户标签捕捉窗口对应的时序关联变量通过不同时序的异常用户标签捕捉窗口的叠加计算数据得到,该叠加计算数据通过不同异常用户标签捕捉窗口的可视化覆盖面积计算得到。
[0030] 对于本发明实施例而言,云计算安防服务器在得到若干个异常用户标签捕捉窗口对应的若干个标签捕捉可信系数和若干个时序关联变量之后,云计算安防服务器通过若干个标签捕捉可信系数和若干个时序关联变量,确定若干个异常用户标签捕捉窗口对应的若干个窗口权重评分。
[0031] 对于本发明实施例而言,窗口权重评分可以为标签捕捉可信系数和时序关联变量进行全局处理(比如:加权处理)所获得的,示例性的算法如下:P1=F*P2+(1‑F)*P3。
[0032] 其中,P1为异常用户标签捕捉窗口的窗口权重评分,P2是时序关联变量,P3为标签捕捉可信系数,F是兼容指数。
[0033] 步骤102、通过目标云服务互动流式记录,确定若干个异常用户标签捕捉窗口中每两个异常用户标签捕捉窗口之间的扰动权重评分。
[0034] 对于本发明实施例而言,当云计算安防服务器通过目标云服务互动流式记录和目标云服务互动流式记录存在时序先后关系的在先云服务互动流式记录确定出若干个异常用户标签捕捉窗口之后,云计算安防服务器将若干个异常用户标签捕捉窗口中的异常用户标签捕捉窗口进行两两组合,得到若干种拼接策略,云计算安防服务器通过目标云服务互动流式记录,对各种拼接策略(组合方式)中的两个异常用户标签捕捉窗口之间的扰动权重评分(干扰权重、冲突权重)进行运算。
[0035] 对于本发明实施例而言,云计算安防服务器在目标云服务互动流式记录中,确定每两个异常用户标签捕捉窗口之间的相对分布共性变量(可以当作位置相似度理解)和记录内容共性变量(可以理解为内容相似度)。
[0036] 对于本发明实施例而言,云计算安防服务器结合显性内容挖掘模块确定异常用户标签捕捉窗口中携带的云服务互动内容描述信息,然后,云计算安防服务器确定两个云服务互动内容描述信息之间的向量差异值,并将该向量差异值(比如余弦距离)确定为该两个云服务互动内容描述信息对应的两个异常用户标签捕捉窗口之间的记录内容共性变量。
[0037] 对于本发明实施例而言,云计算安防服务器分别获取第一异常用户标签捕捉窗口的信息捕捉单元和第二异常用户标签捕捉窗口的信息捕捉单元,其中,第一异常用户标签捕捉窗口和第二异常用户标签捕捉窗口为每两个异常用户标签捕捉窗口;然后,云计算安防服务器通过第一异常用户标签捕捉窗口的信息捕捉单元和第二异常用户标签捕捉窗口的信息捕捉单元,确定第一异常用户标签捕捉窗口和第二异常用户标签捕捉窗口之间的相对分布共性变量,以确定出每两个异常用户标签捕捉窗口之间的相对分布共性变量。
[0038] 在一种可示性的示例中,信息捕捉单元可以为占异常用户标签捕捉窗口的第一窗口尺寸约束值和第二窗口尺寸约束值的0.5倍的窗口范围,云计算安防服务器确定第一异常用户标签捕捉窗口的信息捕捉单元和第二异常用户标签捕捉窗口的信息捕捉单元之间的窗口叠加变量,云计算安防服务器通过第一异常用户标签捕捉窗口的信息捕捉单元、第二异常用户标签捕捉窗口的信息捕捉单元和窗口叠加变量,确定出第一异常用户标签捕捉窗口和第二异常用户标签捕捉窗口之间的相对分布共性变量(位置相似度)。进一步地,窗口叠加变量可以理解为第一异常用户标签捕捉窗口的信息捕捉单元和第二异常用户标签捕捉窗口的信息捕捉单元之间的交叉变量。
[0039] 对于本发明实施例而言,云计算安防服务器通过相对分布共性变量和记录内容共性变量,确定出每两个异常用户标签捕捉窗口之间的扰动权重评分。
[0040] 步骤103、通过若干个窗口权重评分和扰动权重评分,从若干个异常用户标签捕捉窗口中确定出目标异常用户标签捕捉窗口,并确定目标异常用户标签捕捉窗口中携带的第一目标异常用户标签,以对第一目标异常用户标签进行操作行为持续化分析。
[0041] 对于本发明实施例而言,当云计算安防服务器分别确定出若干个异常用户标签捕捉窗口对应的若干个窗口权重评分和每两个异常用户标签捕捉窗口之间的扰动权重评分之后,云计算安防服务器通过若干个窗口权重评分和扰动权重评分,从若干个异常用户标签捕捉窗口中确定出目标异常用户标签捕捉窗口,并确定目标异常用户标签捕捉窗口中携带的第一目标异常用户标签,以对第一目标异常用户标签进行操作行为持续化分析。其中,操作行为持续化分析可以理解为操作行为检测分析或者跟踪分析,用于进行操作行为层面的实时分析处理。
[0042] 对于本发明实施例而言,云计算安防服务器以若干个窗口权重评分作为捕捉扰动关系网(捕捉扰动特征图)的扰动特征成员(关系网节点或者关系网元素)的影响因子(权重值);并将每两个异常用户标签捕捉窗口之间的扰动权重评分,作为每两个异常用户标签捕捉窗口对应的两个扰动特征成员之间的连接向量的影响因子,这样一来,云计算安防服务器生成了若干个异常用户标签捕捉窗口对应的完整丰富的捕捉扰动关系网。
[0043] 对于本发明实施例而言,云计算安防服务器在捕捉扰动关系网中确定不少于一个局部关系网,并通过不少于一个局部关系网携带的窗口权重评分和扰动权重评分,从不少于一个局部关系网中确定出第一局部关系网;将第一局部关系网携带的异常用户标签捕捉窗口确定为目标异常用户标签捕捉窗口。
[0044] 对于本发明实施例而言,云计算安防服务器逐一访问捕捉扰动关系网,依次确定出捕捉扰动关系网中关系描述的全部可能的局部关系网,并将从所有可能的局部关系网确定为不少于一个局部关系网,其中,关系描述包括扰动特征成员和连接向量。
[0045] 对于本发明实施例而言,云计算安防服务器从不少于一个局部关系网中的各个局部关系网中确定出解析指数最大的局部流式记录,并将各个局部关系网中解析指数最大的局部流式记录的集合确定为捕捉扰动关系网的第一局部关系网,在实际实施时,云计算安防服务器分别确定不少于一个局部关系网对应的不少于一组局部流式记录,其中,不少于一个局部关系网中的各个局部关系网对应一组局部流式记录,一组局部流式记录中包括不少于一个局部流式记录;然后,云计算安防服务器通过不少于一个局部流式记录携带的窗口权重评分和扰动权重评分,确定不少于一个局部关系网中各个局部关系网对应的不少于一个解析指数,其中,不少于一个局部流式记录中的各个局部流式记录对应一个解析指数;并从各个局部关系网对应的不少于一个解析指数确定出解析指数最大的目标解析指数,直到确定出不少于一个局部关系网对应的不少于一个目标解析指数;最后,云计算安防服务器从不少于一个局部关系网中,确定不少于一个目标解析指数对应的不少于一个关系网特征分布;并将不少于一个关系网特征分布拼接为第一局部关系网。
[0046] 在实际实施时,鉴于捕捉扰动关系网中扰动特征成员及连接向量的数目较大,云计算安防服务器将捕捉扰动关系网拆解为不少于一个局部关系网,并分别从不少于一个局部关系网中确定不少于一个关系网特征分布,以将不少于一个关系网特征分布组成第一局部关系网,能够提升确定第一局部关系网的效率。
[0047] 对于本发明实施例而言,解析指数可以为局部流式记录携带的窗口权重评分自乘积和与扰动权重评分统计值之间的对比结果,这样一来,云计算安防服务器通过解析指数确定出的目标异常用户标签捕捉窗口之间的扰动最小,得到的目标异常用户标签捕捉窗口也更加可信。
[0048] 对于本发明实施例而言,云计算安防服务器获取第一局部关系网携带的扰动特征成员,并将该扰动特征成员对应的异常用户标签捕捉窗口确定为目标异常用户标签捕捉窗口,并确定目标异常用户标签捕捉窗口中携带的第一目标异常用户标签,以实现对第一目标异常用户标签的操作行为分析指示处理;云计算安防服务器将若干个异常用户标签捕捉窗口中、没有包含在第一局部关系网中的异常用户标签捕捉窗口过滤。
[0049] 应用以上实施例,云计算安防服务器分别获取若干个异常用户标签捕捉窗口的若干个窗口权重评分和每两个异常用户标签捕捉窗口之间的若干个扰动权重评分,并基于若干个窗口权重评分和若干个扰动权重评分生成异常用户标签的捕捉扰动关系网,云计算安防服务器通过捕捉扰动关系网从若干个异常用户标签捕捉窗口中过滤掉存在误差和扰动的捕捉信息,然后确定出需进行操作行为持续化分析的目标捕捉窗口,这样一来,在确定操作行为分析指示时,能够保障持续化分析的精度和可信度,提高针对异常用户的行为分析和检测可靠性。
[0050] 对于一种可独立实施例的技术方案而言,本发明实施例还示出了一种云计算服务的异常用户行为处理方法,该方法可以包括如下步骤201‑步骤206。
[0051] 步骤201、通过目标云服务互动流式记录,确定第一目标异常用户标签对应的活动事件识别结果和噪声标签对应的噪声事件识别结果,噪声标签可以为与第一目标异常用户标签的相关度最高的用户标签。
[0052] 对于本发明实施例而言,云计算安防服务器在确定出目标异常用户标签捕捉窗口然后,云计算安防服务器获取目标异常用户标签捕捉窗口中的第一目标异常用户标签,云计算安防服务器在目标云服务互动流式记录中确定出第一目标异常用户标签和与第一目标异常用户标签最类似的噪声标签,然后利用可实现单标签分析的算法,确定第一目标异常用户标签的活动事件识别结果和噪声标签的噪声事件识别结果。进一步地,可实现单标签分析的算法可以是借助单标签分析模型组成的算法。
[0053] 对于本发明实施例而言,云计算安防服务器在目标云服务互动流式记录中确定包括第一目标异常用户标签的目标可视化文本单元,然后,云计算安防服务器根据目标可视化文本单元的窗口叠加变量对应的满足设定条件(比如窗口覆盖面的判定条件)的目标异常用户标签,确定为与第一目标异常用户标签最类似的噪声标签。
[0054] 对于本发明实施例而言,云计算安防服务器并基于单标签分析的算法,确定第一目标异常用户标签在后一云服务互动流式记录中的活动事件识别结果和噪声标签在后一云服务互动流式记录中的噪声事件识别结果。进一步地,单标签分析的算法包括双生模型等,本发明实施例对此不作限制。
[0055] 步骤202、通过目标云服务互动流式记录之前的在先云服务互动流式记录集,确定第一目标异常用户标签对应的在先互动行为描述字段集和噪声标签对应的在先噪声行为描述字段集。
[0056] 对于本发明实施例而言,云计算安防服务器通过目标云服务互动流式记录之前的在先云服务互动流式记录集,确定出第一目标异常用户标签和与第一目标异常用户标签最类似的噪声标签,然后结合用户ID二次分析策略,确定第一目标异常用户标签的在先互动行为描述字段集和噪声标签的在先噪声行为描述字段集。
[0057] 对于本发明实施例而言,云计算安防服务器获取目标云服务互动流式记录之前的连续多组互动记录,作为在先云服务互动流式记录集,并基于可实现用户ID二次分析策略,确定第一目标异常用户标签的在先互动行为描述字段集和噪声标签的在先噪声行为描述字段集。
[0058] 对于本发明实施例而言,在先互动行为描述字段集中的字段数量和在先噪声行为描述字段集中的字段数量,与在先云服务互动流式记录集的组数逐一对应。
[0059] 在一些示例中,可实现用户ID二次分析策略可以利用用户ID二次分析策略组成的模型。进一步地,用户ID二次分析策略包括长短期记忆模型。
[0060] 在一些示例中,第一目标异常用户标签的个数为若干个。
[0061] 在本发明实施例中,步骤201和步骤202为步骤203之前的两个同时处理的步骤,步骤201和步骤202之间并没有固定的先后关系,具体实施步骤可以通过实际情况进行操作,本发明实施例不步骤201和步骤202的实施顺序不进行限定。
[0062] 步骤203、通过和目标云服务互动流式记录存在时序先后关系的后一云服务互动流式记录,确定第二目标异常用户标签对应的当前活动事件分布特征和当前互动行为描述字段,第二目标异常用户标签为后一云服务互动流式记录的目标异常用户标签捕捉窗口中包括的目标异常用户标签。
[0063] 对于本发明实施例而言,云计算安防服务器通过后一云服务互动流式记录,确定出第二目标异常用户标签以及第二目标异常用户标签对应的当前活动事件分布特征和当前互动行为描述字段。第一目标异常用户标签和第二目标异常用户标签至少部分配对,可以理解为第一目标异常用户标签中的至少部分风险用户标签与第二目标异常用户标签中的至少部分风险用户标签配对。第二目标异常用户标签的异常用户标签为若干个。
[0064] 步骤204、通过活动事件识别结果、在先互动行为描述字段集、当前活动事件分布特征和当前互动行为描述字段,确定第一目标异常用户标签和第二目标异常用户标签之间的标签词向量距离。
[0065] 对于本发明实施例而言,云计算安防服务器通过活动事件识别结果和当前活动事件分布特征,确定目标相对分布共性变量;云计算安防服务器通过在先互动行为描述字段集和当前互动行为描述字段,确定行为描述共性变量集;然后,云计算安防服务器将目标相对分布共性变量和行为描述共性变量集确定为第一目标异常用户标签和第二目标异常用户标签之间的标签词向量距离(用户类型/用户行为类型/用户交互事件类型的差异)。
[0066] 对于本发明实施例而言,云计算安防服务器将活动事件识别结果和当前活动事件分布特征进行共性变量运算,得到目标相对分布共性变量;云计算安防服务器对在先互动行为描述字段集和当前互动行为描述字段进行共性变量运算,得到行为描述共性变量集。
[0067] 步骤205、通过噪声事件识别结果、在先噪声行为描述字段集、当前活动事件分布特征和当前互动行为描述字段,确定噪声词向量距离。
[0068] 对于本发明实施例而言,云计算安防服务器通过噪声事件识别结果和当前活动事件分布特征,确定噪声标签相对分布共性变量;云计算安防服务器通过在先噪声行为描述字段集和当前互动行为描述字段,确定噪声标签的行为描述共性变量;然后,云计算安防服务器将噪声标签相对分布共性变量和噪声标签的行为描述共性变量确定为噪声词向量距离。
[0069] 对于本发明实施例而言,云计算安防服务器对噪声事件识别结果和当前活动事件分布特征进行共性变量运算,得到噪声标签相对分布共性变量;云计算安防服务器对在先噪声行为描述字段集和当前互动行为描述字段进行共性变量运算,得到噪声标签的行为描述共性变量。
[0070] 进一步地,目标相对分布共性变量为目标可视化文本单元的窗口叠加变量与窗口共享变量的商,行为描述共性变量集为行为描述向量距离。
[0071] 可以理解的是,噪声标签相对分布共性变量的运算流程与目标相对分布共性变量的运算流程一致,噪声标签的行为描述共性变量和行为描述共性变量集的运算流程一致,本发明实施例在此不做过多描述。
[0072] 在本发明实施例中,步骤204和步骤205为步骤203之后、步骤206之前的两个同时处理的步骤,步骤204和步骤205之间并没有固定的先后关系,具体实施步骤可以通过实际情况进行操作,本发明实施例不步骤204和步骤205的实施顺序不进行限定。
[0073] 步骤206、通过标签词向量距离和噪声词向量距离,确定第一目标异常用户标签的操作行为分析指示。
[0074] 对于本发明实施例而言,云计算安防服务器通过标签词向量距离和噪声词向量距离,确定第一目标异常用户标签和第二目标异常用户标签之间的操作行为上下游特征(关联行为描述向量);云计算安防服务器利用操作行为上下游特征,在第二目标异常用户标签中抽取与第一目标异常用户标签存在联系的风险用户标签,以确定第一目标异常用户标签的操作行为分析指示(用于指导对目标异常用户标签的行为分析挖掘引导)。
[0075] 对于本发明实施例而言,云计算安防服务器将标签词向量距离和噪声词向量距离传入设定逻辑回归模型;然后通过设定逻辑回归模型,确定出多种操作行为上下游特征的若干个投票值,其中多种操作行为上下游特征可以为对第一目标异常用户标签和第二目标异常用户标签之间进行操作行为联合分析,得到的操作行为上下游特征;云计算安防服务器从多种操作行为上下游特征中确定出投票值(判定分)最高的操作行为上下游特征,作为操作行为上下游特征。
[0076] 对于本发明实施例而言,设定逻辑回归模型生成多种操作行为上下游特征中每个关联行为事件之间的投票值,然后,将每一种操作行为上下游特征中的投票值进行累积处理,得到该种操作行为上下游特征对应的投票值,鉴于此,就得到了多种操作行为上下游特征的若干个投票值。
[0077] 对于本发明实施例而言,云计算安防服务器结合设定操作行为分析模型,对目标云服务互动流式记录中的第一目标异常用户标签和后一云服务互动流式记录中的第二目标异常用户标签进行操作行为联合分析,得到第一目标异常用户标签和第二目标异常用户标签之间的多种操作行为上下游特征。
[0078] 对于本发明实施例而言,逻辑回归模型可以为决策树。设定操作行为分析模型可以为二分类算法。
[0079] 进一步地,当云计算安防服务器确定出操作行为上下游特征然后,云计算安防服务器在操作行为上下游特征中的第一目标异常用户标签中确定与第二目标异常用户标签存在联系的风险用户标签,当云计算安防服务器在操作行为上下游特征中的第一目标异常用户标签中确定出与第二目标异常用户标签不相关的第三目标异常用户标签时,云计算安防服务器通过第三目标异常用户标签的可信系数值,获取活动事件识别结果,然后,云计算安防服务器利用操作行为上下游特征和活动事件识别结果,确定出第一目标异常用户标签的操作行为分析指示。
[0080] 举例而言,当云计算安防服务器在第一目标异常用户标签中确定出与第二目标异常用户标签不相关的第三目标异常用户标签时,云计算安防服务器判断出目标云服务互动流式记录中的第三目标异常用户标签并没有在后一云服务互动流式记录中出现,此时,云计算安防服务器判断第三目标异常用户标签并没有在后一云服务互动流式记录中出现的原因,当第三目标异常用户标签的可信系数值不符合设定可信系数阈值时,表征第三目标异常用户标签切换出后一云服务互动流式记录;当第三目标异常用户标签的可信系数值符合设定可信系数阈值时,表征第三目标异常用户标签在后一云服务互动流式记录中被噪声标签干扰,此时,云计算安防服务器通过第三目标异常用户标签对应的活动事件识别结果,估计第三目标异常用户标签在后一云服务互动流式记录中的相对分布情况。
[0081] 进一步地,云计算安防服务器在操作行为上下游特征中的第二目标异常用户标签中确定与第一目标异常用户标签存在联系的风险用户标签,当云计算安防服务器在操作行为上下游特征中的第二目标异常用户标签中确定出与第一目标异常用户标签不相关的第四目标异常用户标签时,云计算安防服务器将第四目标异常用户标签添加至下一轮上下游特征中,其中,下一轮上下游特征为以后一云服务互动流式记录为目标云服务互动流式记录生成的上下游特征。
[0082] 举例而言,当云计算安防服务器在第二目标异常用户标签中确定出与第一目标异常用户标签不相关的第四目标异常用户标签时,表征第四目标异常用户标签为新增的目标异常用户标签,此时,云计算安防服务器对第四目标异常用户标签进行异常用户的行为分析。
[0083] 对于本发明实施例而言,在操作行为上下游特征中,第一目标异常用户标签和第二目标异常用户标签中匹配的目标异常用户标签组成了标签对,第一目标异常用户标签和第二目标异常用户标签中未匹配的目标异常用户标签组成了孤立成员,云计算安防服务器从孤立成员中查找第二目标异常用户标签中的目标异常用户标签,作为与第一目标异常用户标签不相关的第四目标异常用户标签;云计算安防服务器从孤立成员中查找第一目标异常用户标签中的目标异常用户标签,作为与第二目标异常用户标签不相关的第三目标异常用户标签。
[0084] 对于本发明实施例而言,云计算安防服务器利用单标签分析的算法,分别确定第一目标异常用户标签对应的可信系数值和活动事件识别结果。
[0085] 对于本发明实施例而言,云计算安防服务器将第三目标异常用户标签对应的可信系数值和设定可信系数值进行对比,当第三目标异常用户标签对应的可信系数值达到设定可信系数值时,云计算安防服务器获取活动事件识别结果。
[0086] 可以理解的是,本发明实施例中的单标签分析的算法、用户ID二次分析策略、设定逻辑回归模型和设定操作行为分析模型均为动态算法模型。
[0087] 对于本发明实施例而言,云计算安防服务器从操作行为上下游特征,确定出在流式会话中的不同目标异常用户标签的实时操作行为记录,进而能够对目标异常用户标签进行分析。
[0088] 应用以上实施例,云计算安防服务器通过目标云服务互动流式记录,确定噪声标签的噪声事件识别结果、通过目标云服务互动流式记录之前的在先云服务互动流式记录集,确定噪声标签的在先噪声行为描述字段集,并融合噪声标签的噪声事件识别结果和在先噪声行为描述字段集,确定出目标云服务互动流式记录中的第一目标异常用户标签的操作行为分析指示,使得在进行异常用户的行为分析时,由于利用了噪声标签的噪声事件识别结果和在先噪声行为描述字段集,进而削弱了噪声标签对异常用户的行为分析造成干扰,提高针对异常用户的行为分析和检测可靠性。
[0089] 在本发明实施例中,云服务互动流式记录可以是针对区块链金融、虚拟现实活动、政企云业务、云游戏对战等云计算服务的记录,流式记录可以按照时间先后顺序将相关的会话互动信息进行记载。
[0090] 在上述内容的基础上,对于一些独立性实施例而言,在确定出所述目标异常用户标签捕捉窗口中携带的第一目标异常用户标签之后,该方法还可以包括如下内容:对所述第一目标异常用户标签进行操作行为持续化分析,得到所述第一目标异常用户标签对应操作行为日志;基于所述操作行为日志确定所述第一目标异常用户标签的风险倾向字段;依据所述风险倾向字段确定针对所述第一目标异常用户标签的风险防控方案。
[0091] 比如,可以对第一目标异常用户标签的一系列操作行为进行跟踪记录,从而得到包括一系列操作行为事件的操作行为日志,然而通过风险倾向字段挖掘得到风险倾向字段,这样可以通过风险倾向字段匹配对应的风险防控方案。
[0092] 对于一些独立性实施例而言,基于所述操作行为日志确定所述第一目标异常用户标签的风险倾向字段,可以包括如下内容:获取所述操作行为日志对应的待识别操作行为文本;利用操作行为文本挖掘网络,在指定互动场景上对所述待识别操作行为文本提取风险倾向;根据所述风险倾向得到所述待识别操作行为文本的风险倾向字段。
[0093] 对于一些独立性实施例而言,所述获取待识别操作行为文本之前,所述方法还包括:根据参考互动场景的参考行为文本与所述指定互动场景的操作行为文本关联调试得到所述操作行为文本挖掘网络。
[0094] 对于一些独立性实施例而言,所述根据参考互动场景的参考行为文本与所述指定互动场景的操作行为文本关联调试得到所述操作行为文本挖掘网络,包括:将所述参考行为文本通过文本场景调整模型转换至指定互动场景,得到场景化行为文本;利用所述操作行为文本挖掘网络对所述场景化行为文本与所述操作行为文本进行联合特征挖掘,得到全局字段代价;根据所述全局字段代价对所述操作行为文本挖掘网络进行关联调试。
[0095] 对于一些独立性实施例而言,所述全局字段代价包括联合代价和识别代价;所述利用所述操作行为文本挖掘网络对所述场景化行为文本与所述操作行为文本进行联合细节描述挖掘,得到全局字段代价包括:利用所述操作行为文本挖掘网络分别对所述场景化行为文本、所述操作行为文本进行细节描述提取,得到场景化行为文本细节描述、操作行为文本细节描述;根据所述场景化行为文本细节描述得到所述场景化行为文本的第一风险倾向字段,并根据所述操作行为文本细节描述得到所述操作行为文本的第二风险倾向字段;根据所述场景化行为文本细节描述和所述操作行为文本细节描述,得到所述联合代价,并根据所述第一风险倾向字段和所述场景化行为文本的积极注释,以及所述第二风险倾向字段和所述操作行为文本的消极注释,得到所述识别代价;将所述联合代价和所述识别代价进行加权处理,得到所述全局字段代价。
[0096] 基于同样的发明构思,图2示出了本发明实施例提供的异常用户行为处理装置的模块框图,异常用户行为处理装置可以包括实施图1所示的相关方法步骤的窗口确定模块21、权重确定模块22以及行为分析模块23。
[0097] 窗口确定模块21,用于通过目标云服务互动流式记录和所述目标云服务互动流式记录存在时序先后关系的在先云服务互动流式记录,确定若干个异常用户标签捕捉窗口和所述若干个异常用户标签捕捉窗口对应的若干个窗口权重评分;其中,所述若干个异常用户标签捕捉窗口中的各个异常用户标签捕捉窗口对应一个窗口权重评分。
[0098] 权重确定模块22,用于基于所述目标云服务互动流式记录,确定所述若干个异常用户标签捕捉窗口中每两个异常用户标签捕捉窗口之间的扰动权重评分。
[0099] 行为分析模块23,用于基于所述若干个窗口权重评分和所述扰动权重评分,从所述若干个异常用户标签捕捉窗口中确定出目标异常用户标签捕捉窗口,并确定所述目标异常用户标签捕捉窗口中携带的第一目标异常用户标签,以对所述第一目标异常用户标签进行操作行为持续化分析。
[0100] 应用于本发明的相关实施例可以达到如下技术效果:通过目标云服务互动流式记录和目标云服务互动流式记录存在时序先后关系的在先云服务互动流式记录,确定若干个异常用户标签捕捉窗口和若干个异常用户标签捕捉窗口对应的若干个窗口权重评分,若干个异常用户标签捕捉窗口中的各个异常用户标签捕捉窗口对应一个窗口权重评分;通过目标云服务互动流式记录,确定若干个异常用户标签捕捉窗口中每两个异常用户标签捕捉窗口之间的扰动权重评分;通过若干个窗口权重评分和扰动权重评分,从若干个异常用户标签捕捉窗口中确定出目标异常用户标签捕捉窗口,并确定目标异常用户标签捕捉窗口中携带的第一目标异常用户标签,以对第一目标异常用户标签进行操作行为持续化分析。应用于本发明实施例,云计算安防服务器分别获取若干个异常用户标签捕捉窗口的若干个窗口权重评分和每两个异常用户标签捕捉窗口之间的若干个扰动权重评分,并基于若干个窗口权重评分和若干个扰动权重评分从若干个异常用户标签捕捉窗口中过滤掉存在误差和扰动的捕捉信息,然后确定出需进行操作行为持续化分析的目标捕捉窗口,这样一来,在确定操作行为分析指示时,能够保障持续化分析的精度和可信度,提高针对异常用户的行为分析和检测可靠性。
[0101] 以上所述,仅为本发明的具体实施方式。熟悉本技术领域的技术人员根据本发明提供的具体实施方式,可想到变化或替换,都应涵盖在本发明的保护范围之内。
