本发明涉及通信安全,具体地说,涉及一种用户操作日志数据异常识别方法、装置、介质及产品。
背景技术:
1、通信企业内业务数据量庞大,海量数据下蕴藏数据安全风险,为了能够发现潜在和积存数据安全问题,需要通过数据挖掘分析方法对异常操作数据进行识别,实现安全治理。贝叶斯网络是数据挖掘领域的一种重要方法,能够解决不确定性问题,可以利用贝叶斯网络结构学习算法分析用户不确定行为下产生的异常操作日志。
2、但是现有的通信业务异常操作日志检测方法,主要通过改进文本分类算法或者基于数据统计分析进行分类,基于既定规则选取用户日志部分关键字段进行分析,但是无法对用户不确定行为下产生的日志进行很好的挖掘分析,过度依赖现有数据,且在小数据集下的学习效果较差,算法的寻优精度和效率较低。
技术实现思路
1、与现有技术相比,本发明提出一种用户操作日志数据异常识别方法、装置、介质及产品,能够提高寻优的效率和寻优精度。
2、本发明实施例提供一种用户操作日志数据异常识别方法,所述方法包括:
3、将获取的用户操作日志数据中不同日志作为网络节点,计算不同节点间的互信息;
4、根据不同节点间的互信息大小确定无向边,构建无向最小支撑树,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构;
5、在所述最小支撑树结构中进行节点序搜索得到节点序群,将不同节点序作为初始种群中的不同个体,计算不同个体在所述初始种群中的适应度;
6、根据不同个体的适应度以及预设的种群寻优策略对所述初始种群进行更新;
7、将更新后的种群中适应度最大的个体的节点序作为用户操作异常日志。
8、优选地,根据不同个体的适应度以及预设的种群寻优策略对所述初始种群进行更新,包括:
9、从初始种群中按照适应度由大到小选择预设的第一数量的个体作为猎头群,并在猎头群之外选择预设的第二数量的个体作为游走群;
10、计算所述猎头群中的个体在所述猎头群中的适应度以及所述游走群中的个体在所述游走群中的适应度;
11、根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新;
12、当不满足预设的更新终止条件时,从更新的初始种群中选择猎头群和游走群,根据猎头群中个体的适应度和游走群中个体的适应度大小对初始种群中的个体进行更新,直到满足所述更新终止条件;
13、当满足更新终止条件,停止初始种群更新。
14、进一步地,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,包括:
15、当所述游走群中第一个体的适应度大于所述猎头群中第二个体的适应度时,将所述第一个体更新至猎头群中;
16、当所述猎头群中所有个体的适应度均不小于所述游走群中第三个体的适应度时,对所述第三个体进行个体更新。
17、优选地,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,还包括:
18、在所述初始种群中除猎头群和游走群之外的个体中选择预设的第三数量的个体作为进群群;
19、计算所述进取群中的个体在所述进取群中的适应度;
20、当所述进取群中的第四个体的适应度大于所述猎头群中第二个体的适应度时,重新计算个体在初始种群中的适应度,从初始种群中按照适应度由大到小重新选择所述第一数量的个体作为猎头群。
21、优选地,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,还包括:
22、计算所述进取群中的第四个体的适应度和所述猎头群中第二个体的适应度的差值的绝对值;
23、当计算的绝对值在根据所述第四个体的适应度和所述第二个体的适应度确定范围区间内时,选取所述第二个体的部分节点片段,对所述第四个体中相同位置的映射节点片段进行替换,更新所述第四个体。
24、优选地,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,还包括:
25、当所述第四个体中除映射节点片段外的节点与所述部分节点片段中的第一位置的节点重复时,保留所述第四个体上第一位置对应的节点。
26、优选地,对所述第三个体进行个体更新,包括:
27、根据预设的动态自变异策略计算动态变异概率;
28、根据所述动态变异概率对应确定变异节点片段长度;
29、根据所述变异节点片段长度确定所述第三个体中所有变异位置;
30、通过节点定位确定变异节点片段;
31、根据所述变异节点片段遍历替换所述第三个体中每一变异位置,得到多个变异新个体;
32、计算变异新个体在所述游走群中的适应度,确定适应度最大的变异新个体作为更新后的第三个体。
33、优选地,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构,包括:
34、将所述无向最小支撑树的每一节点的潜在父节点集合中每一元素分别作为该节点的父节点,构建不同子结构;计算不同子结构和预设的标准训练数据集的匹配评分;将该节点的子结构中匹配评分最高的节点作为该节点的父节点;
35、将所述无向最小支撑树的每一节点于其对应的父节点进行连接,得到所述最小支撑树结构。
36、本发明实施例还提供一种用户操作日志数据异常识别装置,所述装置包括:
37、互信息计算模块,用于将获取的用户操作日志数据中不同日志作为网络节点,计算不同节点间的互信息;
38、支撑树确定模块,用于根据不同节点间的互信息大小确定无向边,构建无向最小支撑树,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构;
39、种群确定模块,用于在所述最小支撑树结构中进行节点序搜索得到节点序群,将不同节点序作为初始种群中的不同个体,计算不同个体在所述初始种群中的适应度;
40、种群更新模块,用于根据不同个体的适应度以及预设的种群寻优策略对所述初始种群进行更新;
41、结果输出模块,用于将更新后的种群中适应度最大的个体的节点序作为用户操作异常日志。
42、优选地,所述种群更新模块具体用于:
43、从初始种群中按照适应度由大到小选择预设的第一数量的个体作为猎头群,并在猎头群之外选择预设的第二数量的个体作为游走群;
44、计算所述猎头群中的个体在所述猎头群中的适应度以及所述游走群中的个体在所述游走群中的适应度;
45、根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新;
46、当不满足预设的更新终止条件时,从更新的初始种群中选择猎头群和游走群,根据猎头群中个体的适应度和游走群中个体的适应度大小对初始种群中的个体进行更新,直到满足所述更新终止条件;
47、当满足更新终止条件,停止初始种群更新。
48、优选地,所述种群更新模块具体用于:
49、当所述游走群中第一个体的适应度大于所述猎头群中第二个体的适应度时,将所述第一个体更新至猎头群中;
50、当所述猎头群中所有个体的适应度均不小于所述游走群中第三个体的适应度时,对所述第三个体进行个体更新。
51、优选地,所述种群更新模块具体用于:
52、在所述初始种群中除猎头群和游走群之外的个体中选择预设的第三数量的个体作为进群群;
53、计算所述进取群中的个体在所述进取群中的适应度;
54、当所述进取群中的第四个体的适应度大于所述猎头群中第二个体的适应度时,重新计算个体在初始种群中的适应度,从初始种群中按照适应度由大到小重新选择所述第一数量的个体作为猎头群。
55、优选地,所述种群更新模块具体用于:
56、计算所述进取群中的第四个体的适应度和所述猎头群中第二个体的适应度的差值的绝对值;
57、当计算的绝对值在根据所述第四个体的适应度和所述第二个体的适应度确定范围区间内时,选取所述第二个体的部分节点片段,对所述第四个体中相同位置的映射节点片段进行替换,更新所述第四个体。
58、优选地,所述种群更新模块具体用于:
59、当所述第四个体中除映射节点片段外的节点与所述部分节点片段中的第一位置的节点重复时,保留所述第四个体上第一位置对应的节点。
60、优选地,所述种群更新模块具体用于:
61、根据预设的动态自变异策略计算动态变异概率;
62、根据所述动态变异概率对应确定变异节点片段长度;
63、根据所述变异节点片段长度确定所述第三个体中所有变异位置;
64、通过节点定位确定变异节点片段;
65、根据所述变异节点片段遍历替换所述第三个体中每一变异位置,得到多个变异新个体;
66、计算变异新个体在所述游走群中的适应度,确定适应度最大的变异新个体作为更新后的第三个体。
67、优选地,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构,包括:
68、将所述无向最小支撑树的每一节点的潜在父节点集合中每一元素分别作为该节点的父节点,构建不同子结构;计算不同子结构和预设的标准训练数据集的匹配评分;将该节点的子结构中匹配评分最高的节点作为该节点的父节点;
69、将所述无向最小支撑树的每一节点于其对应的父节点进行连接,得到所述最小支撑树结构。
70、本发明实施例还提供一种用户操作日志数据异常识别装置,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述任一项实施例所述的一种用户操作日志数据异常识别方法。
71、本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如上述任一项实施例所述的一种用户操作日志数据异常识别方法。
72、本发明实施例还提供一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现上述任一项实施例所述的方法的步骤。
73、与现有技术相比,本发明提供一种用户操作日志数据异常识别方法、装置、介质及产品,通过将获取的用户操作日志数据中不同日志作为网络节点,计算不同节点间的互信息;根据不同节点间的互信息大小确定无向边,构建无向最小支撑树,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构;在所述最小支撑树结构中进行节点序搜索得到节点序群,将不同节点序作为初始种群中的不同个体,计算不同个体在所述初始种群中的适应度;根据不同个体的适应度以及预设的种群寻优策略对所述初始种群进行更新;将更新后的种群中适应度最大的个体的节点序作为用户操作异常日志。本技术方案能够提高寻优的效率和寻优精度。
1.一种用户操作日志数据异常识别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的用户操作日志数据异常识别方法,其特征在于,根据不同个体的适应度以及预设的种群寻优策略对所述初始种群进行更新,包括:
3.根据权利要求2所述的用户操作日志数据异常识别方法,其特征在于,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,还包括:
4.根据权利要求3所述的用户操作日志数据异常识别方法,其特征在于,所述根据所述猎头群中个体的适应度和所述游走群中个体的适应度大小对初始种群中的个体进行更新,还包括:
5.根据权利要求2所述的用户操作日志数据异常识别方法,其特征在于,对所述第三个体进行个体更新,包括:
6.根据权利要求1所述的用户操作日志数据异常识别方法,其特征在于,对所述无向最小支撑树中的节点进行定向,确定初步的最小支撑树结构,包括:
7.一种用户操作日志数据异常识别装置,其特征在于,所述装置包括:
8.一种用户操作日志数据异常识别装置,其特征在于,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任意一项所述的用户操作日志数据异常识别方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的计算机程序,其中,在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行如权利要求1至6中任意一项所述的用户操作日志数据异常识别方法。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现权利要求1~6中任意一项所述方法的步骤。
