(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211341825.0 (22)申请日 2022.10.31 (71)申请人 北京亿赛 通科技发展 有限责任公司 地址 100085 北京市海淀区西二 旗大街39 号4层401 (72)发明人 郭振涛　梁金千　崔培升　 (74)专利代理 机构 北京千壹知识产权代理事务 所(普通合伙) 11940 专利代理师 王玉玲 (51)Int.Cl. G06N 20/10(2019.01) G06N 3/08(2006.01) (54)发明名称 异常用户检测方法、 装置、 电子设备及存储 介质 (57)摘要 本发明涉及信息安全技术领域， 提供了一种 异常用户检测方法、 装置、 电子设备及存储介质， 该方法包括获取当前日志数据； 将当前日志数据 分别通过无监督机器学习集成模型输出第一异 常用户集， 以及通过基于规则的统计 分析输出第 二异常用户集， 无监督机器学习集成模型包括至 少一个子模 型； 根据第一异常用户集和第二异常 用户集， 确定异常用户。 采用本发明的异常用户 检测方法， 操作简单， 能够高效的检测异常用户， 可靠性强， 同时准确率高。 权利要求书2页 说明书7页 附图4页 CN 115392489 A 2022.11.25 CN 115392489 A 1.一种异常用户检测方法， 其特 征在于， 所述异常用户检测方法包括： 获取当前日志数据； 将所述当前 日志数据分别通过无监督机器学习集成模型输出第 一异常用户集， 以及通 过基于规则的统计分析输出第二异常用户集， 所述无监督机器学习集成模 型包括至少一个 子模型； 根据所述第一异常用户集和所述第二异常用户集， 确定异常用户。 2.根据权利要求1所述的异常用户检测方法， 其特征在于， 所述将所述当前 日志数据通 过无监督机器学习集成模型输出第一异常用户集， 包括： 分别向每 个所述子模型输入所述当前日志数据， 获得 所述子模型对应的子异常用户； 计算各所述子模型对应的子异常用户的并集， 作为所述第一异常用户集。 3.根据权利要求1所述的异常用户检测方法， 其特征在于， 所述无监督机器学习集成模 型通过如下 方式得到： 获取不同日期的历史日志数据； 根据所述历史日志数据对各所述子模型进行训练和测试， 并统计各所述子模型的异常 检出次数； 计算各所述子模型的异常检出次数在总异常检出次数中的占比， 获得所述子模型对应 的权重。 4.根据权利要求1至3中任意一项所述的异常用户检测方法， 其特征在于， 所述子模型 包括孤立森林模型、 局部异常因子模型和单类支持向量机模型中的至少一种。 5.根据权利要求4所述的异常用户检测方法， 其特征在于， 所述将所述当前 日志数据通 过基于规则的统计分析输出第二异常用户集， 包括： 分别统计所述当前日志数据在每 个特征维度上的均值和标准差； 筛选各所述特征维度上超过所述均值 ±2倍所述标准差对应的用户， 形成所述第二异 常用户集。 6.根据权利要求5所述的异常用户检测方法， 其特征在于， 所述将所述当前 日志数据分 别通过无监督机器学习集成模型输出第一异常用户集， 以及通过基于规则的统计分析输出 第二异常用户集之前， 还 包括： 对所述当前日志数据进行 预处理， 所述预处 理包括结构化处 理和特征工程化处理。 7.根据权利要求5所述的异常用户检测方法， 其特 征在于， 还 包括： 定位所述异常用户所处特 征维度； 计算所述特征维度上正常用户的密集度， 以及所述异常用户到所述正常用户群体 中心 的欧氏距离； 根据所述密集度和所述欧氏距离， 获得 所述异常用户的异常程度。 8.一种异常用户检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取当前日志数据； 输出模块， 用于将所述当前 日志数据分别通过无监督机器学习集成模型输出第 一异常 用户集， 以及通过基于规则的统计分析输出第二异常用户集， 所述无监督机器学习集成模 型包括至少一个子模型； 确定模块， 用于根据所述第一异常用户集和所述第二异常用户集， 确定异常用户。权　利　要　求　书 1/2 页 2 CN 115392489 A 29.一种电子设备， 其特征在于， 所述电子设备包括处理器和存储器， 所述存储器中存储 有至少一段程序、 代码集或指 令集， 所述程序、 所述代码集或所述指 令集由所述处理器加载 并执行以实现权利要求1至7中任意 一项所述的异常用户检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有一个或者 多个程序， 所述一个或者多个程序可被一个或者多个处理器执行， 以实现权利要求1至7中 任意一项所述的异常用户检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115392489 A 3