使用用戶操作生成模型檢測(cè)異常用戶行為的方法和系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明涉及一種使用用戶操作生成模型檢測(cè)異常用戶行為的方法和系統(tǒng)�。公開(kāi)了一種用于檢測(cè)用戶的異常行為的方法。處理器從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作���。處理器還從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作�。處理器計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量���,所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異��。處理器然后判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值�。
【專(zhuān)利說(shuō)明】使用用戶操作生成模型檢測(cè)異常用戶行為的方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本公開(kāi)一般地涉及改進(jìn)的數(shù)據(jù)處理系統(tǒng)���,具體地說(shuō)�����,涉及處理與用戶行為相關(guān)的信息����。更具體地說(shuō),本公開(kāi)涉及用于檢測(cè)用戶的異常行為的方法和裝置��。
【背景技術(shù)】
[0002]當(dāng)今��,針對(duì)計(jì)算資源具有許多類(lèi)型的攻擊�����。執(zhí)行這些攻擊的計(jì)算機(jī)用戶可以包括訪問(wèn)者���、客戶�、工作者和其它類(lèi)型的計(jì)算機(jī)用戶����。此外,惡意軟件和其它類(lèi)型的計(jì)算機(jī)程序可以針對(duì)計(jì)算資源執(zhí)行這些攻擊�。例如�,惡意軟件可以控制用戶憑證以便針對(duì)用戶有權(quán)訪問(wèn)的計(jì)算資源執(zhí)行攻擊���。在檢測(cè)這些攻擊的上下文中,標(biāo)識(shí)用戶行為何時(shí)指示攻擊是所感興趣的��。
[0003]用于標(biāo)識(shí)攻擊的當(dāng)前方法將被監(jiān)視行為與可疑行為模式相匹配��。這些當(dāng)前方法將被監(jiān)視行為與已知用于標(biāo)識(shí)攻擊的固定規(guī)則和統(tǒng)計(jì)信息相匹配���。例如��,標(biāo)識(shí)成功之前的多次失敗登錄嘗試指示密碼猜測(cè)攻擊�����。因?yàn)楫?dāng)前方法被限制為標(biāo)識(shí)已知攻擊模式��,它們無(wú)法檢測(cè)與已知模式不符的攻擊�。
[0004]還存在當(dāng)前統(tǒng)計(jì)方法�,其用于基于檢測(cè)與用戶操作頻率標(biāo)準(zhǔn)的偏差來(lái)檢測(cè)可疑行為。例如��,用于檢測(cè)可疑行為的統(tǒng)計(jì)方法可能包括基于將下載頻率比從在線庫(kù)下載文檔的標(biāo)準(zhǔn)頻率多5倍的計(jì)算機(jī)用戶標(biāo)識(shí)為可能攻擊�,生成警報(bào)��。這些統(tǒng)計(jì)方法產(chǎn)生的警報(bào)數(shù)量可能很大��。此外��,其中某些數(shù)量的警報(bào)可能針對(duì)合法使用���。在警報(bào)中標(biāo)識(shí)的合法使用是假肯定。當(dāng)接收過(guò)多的假肯定時(shí)�,可能忽略或遺漏合法的警報(bào)。
[0005]因此��,希望具有一種考慮上面討論的至少某些問(wèn)題的方法���、裝置和計(jì)算機(jī)程序產(chǎn)品O
【發(fā)明內(nèi)容】
[0006]在一個(gè)示例性實(shí)施例中�,公開(kāi)一種用于檢測(cè)用戶的異常行為的方法���、裝置和計(jì)算機(jī)程序產(chǎn)品����。一種裝置從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作���?;谒鲇脩粼卺槍?duì)確定所述用戶的所述角色而選擇的時(shí)段內(nèi)的操作,所述裝置從所述用戶活動(dòng)日志中生成所述用戶的所述一個(gè)或多個(gè)角色�����。所述裝置還從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作����。所述裝置計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量����。所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異。所述裝置然后判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值����。所述異常行為閾值是以下項(xiàng)之一:一個(gè)所述用戶的異常行為閾值、一個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���、多個(gè)所述用戶的異常行為閾值�����,以及多個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0007]圖1是根據(jù)一個(gè)示例性實(shí)施例的用于在異常行為檢測(cè)環(huán)境中檢測(cè)用戶異常行為的過(guò)程的數(shù)據(jù)流的框圖���;
[0008]圖2是根據(jù)一個(gè)示例性實(shí)施例的在檢測(cè)用戶異常行為中涉及的數(shù)據(jù)處理系統(tǒng)中的組件的框圖;
[0009]圖3是根據(jù)一個(gè)示例性實(shí)施例的用于檢測(cè)用戶異常行為的過(guò)程的流程圖��;
[0010]圖4是根據(jù)一個(gè)示例性實(shí)施例的用于檢測(cè)和報(bào)告用戶異常行為的過(guò)程的流程圖����;
[0011]圖5是根據(jù)一個(gè)示例性實(shí)施例的用于基于標(biāo)識(shí)的行為偏差更改來(lái)檢測(cè)用戶異常行為的過(guò)程的流程圖;
[0012]圖6是根據(jù)一個(gè)示例性實(shí)施例的用于在執(zhí)行多個(gè)任務(wù)的同時(shí)基于標(biāo)識(shí)的行為偏差來(lái)檢測(cè)用戶異常行為的過(guò)程的流程圖�;以及
[0013]圖7是根據(jù)一個(gè)示例性實(shí)施例的數(shù)據(jù)處理系統(tǒng)的圖示。
【具體實(shí)施方式】
[0014]所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道�����,本發(fā)明的各個(gè)方面可以實(shí)現(xiàn)為系統(tǒng)���、方法或計(jì)算機(jī)程序產(chǎn)品����。因此��,本發(fā)明的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式���,即:完全的硬件實(shí)施方式����、完全的軟件實(shí)施方式(包括固件、駐留軟件�、微代碼等),或硬件和軟件方面結(jié)合的實(shí)施方式�����,這里可以統(tǒng)稱為“電路”���、“模塊”或“系統(tǒng)”。此外�,本發(fā)明的各個(gè)方面還可以實(shí)現(xiàn)為在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)中的計(jì)算機(jī)程序產(chǎn)品的形式,該計(jì)算機(jī)可讀介質(zhì)中包含計(jì)算機(jī)可讀的程序代碼���。
[0015]可以采用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合�。計(jì)算機(jī)可讀介質(zhì)可以是計(jì)算機(jī)可讀信號(hào)介質(zhì)或者計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)��。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)例如可以是一但不限于一電���、磁�����、光�����、電磁��、紅外線���、或半導(dǎo)體的系統(tǒng)����、裝置或器件�,或者上述的任意合適的組合。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個(gè)或多個(gè)導(dǎo)線的電連接��、便攜式計(jì)算機(jī)盤(pán)��、硬盤(pán)��、隨機(jī)存取存儲(chǔ)器(RAM)����、只讀存儲(chǔ)器(ROM)�、可擦式可編程只讀存儲(chǔ)器(EPR0M或閃存)��、光纖����、便攜式緊湊盤(pán)只讀存儲(chǔ)器(CD-ROM)、光存儲(chǔ)器件��、磁存儲(chǔ)器件�、或者上述的任意合適的組合。在本文件中�����,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是任何包含或存儲(chǔ)程序的有形介質(zhì)����,該程序可以被指令執(zhí)行系統(tǒng)�、裝置或者器件使用或者與其結(jié)合使用。
[0016]計(jì)算機(jī)可讀的信號(hào)介質(zhì)可以包括例如在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號(hào)���,其中承載了計(jì)算機(jī)可讀的程序代碼�。這種傳播的數(shù)據(jù)信號(hào)可以采用多種形式���,包括一但不限于一電磁信號(hào)���、光信號(hào)或上述的任意合適的組合�����。計(jì)算機(jī)可讀的信號(hào)介質(zhì)可以是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)以外的任何計(jì)算機(jī)可讀介質(zhì)���,該計(jì)算機(jī)可讀介質(zhì)可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)��、裝置或者器件使用或者與其結(jié)合使用的程序��。
[0017]計(jì)算機(jī)可讀介質(zhì)上包含的程序代碼可以用任何適當(dāng)?shù)慕橘|(zhì)傳輸�,包括一但不限于一無(wú)線、有線���、光纜�����、RF等等���,或者上述的任意合適的組合�。
[0018]可以以一種或多種程序設(shè)計(jì)語(yǔ)言的任意組合來(lái)編寫(xiě)用于執(zhí)行本發(fā)明的各個(gè)方面的操作的計(jì)算機(jī)程序代碼�,所述程序設(shè)計(jì)語(yǔ)言包括面向?qū)ο蟮某绦蛟O(shè)計(jì)語(yǔ)言一諸如Java、Smalltalk�����、C++等����,還包括常規(guī)的過(guò)程式程序設(shè)計(jì)語(yǔ)言一諸如“C”語(yǔ)言或類(lèi)似的程序設(shè)計(jì)語(yǔ)言。程序代碼可以完全地在用戶計(jì)算機(jī)上執(zhí)行��、部分地在用戶計(jì)算機(jī)上執(zhí)行��、作為一個(gè)獨(dú)立的軟件包執(zhí)行���、部分在用戶計(jì)算機(jī)上部分在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行��、或者完全在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行���。在涉及遠(yuǎn)程計(jì)算機(jī)的情形中��,遠(yuǎn)程計(jì)算機(jī)可以通過(guò)任意種類(lèi)的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)—連接到用戶計(jì)算機(jī)��,或者,可以連接到外部計(jì)算機(jī)����。此外,在涉及遠(yuǎn)程計(jì)算機(jī)的情形中���,在異常行為檢測(cè)環(huán)境中���,遠(yuǎn)程計(jì)算機(jī)可以包括硬件和軟件組件。例如�,所述組件可以是網(wǎng)絡(luò)設(shè)備和其它類(lèi)型的數(shù)據(jù)處理系統(tǒng),它們?cè)诋惓P袨闄z測(cè)環(huán)境中分析數(shù)據(jù)����。
[0019]下面將參照根據(jù)本發(fā)明實(shí)施例的方法、裝置(系統(tǒng))和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明的各個(gè)方面���。應(yīng)當(dāng)理解����,流程圖和/或框圖的每個(gè)方框以及流程圖和/或框圖中各方框的組合����,都可以由計(jì)算機(jī)程序指令實(shí)現(xiàn)�����。這些計(jì)算機(jī)程序指令可以提供給通用計(jì)算機(jī)�、專(zhuān)用計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器����,從而生產(chǎn)出一種機(jī)器,使得這些指令在通過(guò)計(jì)算機(jī)或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時(shí)�,產(chǎn)生了實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的裝置。
[0020]也可以把這些計(jì)算機(jī)程序指令存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中���,這些指令使得計(jì)算機(jī)�����、其它可編程數(shù)據(jù)處理裝置��、或其它設(shè)備以特定方式工作��,從而�����,存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中的指令就產(chǎn)生出包括實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的指令的制造品(article of manufacture)���。
[0021]也可以把計(jì)算機(jī)程序指令加載到計(jì)算機(jī)、其它可編程數(shù)據(jù)處理裝置�����、或其它設(shè)備上�,使得在計(jì)算機(jī)、其它可編程裝置或其它設(shè)備上執(zhí)行一系列操作步驟����,以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的過(guò)程,從而使得在計(jì)算機(jī)或其它可編程裝置上執(zhí)行的指令提供實(shí)現(xiàn)流程圖和/或框圖中的一個(gè)或多個(gè)方框中規(guī)定的功能/動(dòng)作的過(guò)程��。
[0022]不同示例性實(shí)施例提供一種用于檢測(cè)用戶的異常行為的方法���、裝置和計(jì)算機(jī)程序產(chǎn)品����。例如���,異常行為檢測(cè)環(huán)境中的多個(gè)組件可以使用一種用于檢測(cè)用戶的異常行為的過(guò)程��。例如��,分析平臺(tái)組件可以從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作�。基于所述用戶在針對(duì)確定所述用戶的所述角色而選擇的時(shí)段內(nèi)的操作�,分析平臺(tái)可以從所述用戶活動(dòng)日志中生成所述用戶的所述一個(gè)或多個(gè)角色。分析平臺(tái)組件還可以從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作����。行為標(biāo)識(shí)組件可以計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量。所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異����。行為標(biāo)識(shí)組件然后可以判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值。所述異常行為閾值可以是以下項(xiàng)之一:一個(gè)所述用戶的異常行為閾值�����、一個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���、多個(gè)所述用戶的異常行為閾值���,以及多個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值。
[0023]現(xiàn)在參考附圖���,具體地說(shuō)����,參考圖1��,示出根據(jù)一個(gè)示例性實(shí)施例的用于在異常行為檢測(cè)環(huán)境中標(biāo)識(shí)對(duì)用戶感興趣產(chǎn)品的影響的過(guò)程的數(shù)據(jù)流的框圖���。異常行為檢測(cè)環(huán)境100是用于檢測(cè)用戶異常行為的環(huán)境的一個(gè)實(shí)例����。
[0024]如圖所示�,異常行為檢測(cè)環(huán)境100包括多個(gè)數(shù)據(jù)處理系統(tǒng)102,例如數(shù)據(jù)處理系統(tǒng)104和數(shù)據(jù)處理系統(tǒng)106�����。在這些示例性實(shí)例中����,數(shù)據(jù)處理系統(tǒng)104執(zhí)行應(yīng)用108,并且數(shù)據(jù)處理系統(tǒng)106執(zhí)行應(yīng)用112以便提供服務(wù)��。應(yīng)用108提供服務(wù)110��,并且應(yīng)用112提供服務(wù)114?�!岸鄠€(gè)”如在此參考項(xiàng)目使用的��,指一個(gè)或多個(gè)項(xiàng)目�����。
[0025]在這些示出的實(shí)例中�����,用戶活動(dòng)116和用戶活動(dòng)118是與數(shù)據(jù)處理系統(tǒng)102關(guān)聯(lián)的用戶活動(dòng)的實(shí)例�。如圖所示,用戶活動(dòng)116和用戶活動(dòng)118存儲(chǔ)在活動(dòng)日志(例如活動(dòng)日志120)中�����。在這些示例性實(shí)例中����,用戶活動(dòng)是與使用數(shù)據(jù)處理系統(tǒng)關(guān)聯(lián)的任何用戶活動(dòng)。例如�,用戶活動(dòng)118可以是與用戶角色123中的角色關(guān)聯(lián)的活動(dòng)。在這些示例性實(shí)例中�����,用戶角色是分配給用戶以便執(zhí)行特定活動(dòng)的權(quán)限。
[0026]分析平臺(tái)122是異常行為檢測(cè)環(huán)境100的組件�,其用于產(chǎn)生基準(zhǔn)用戶簡(jiǎn)檔并對(duì)基準(zhǔn)用戶簡(jiǎn)檔評(píng)分。在這些示例性實(shí)例中��,分析平臺(tái)122生成用戶角色123�����。在這些示例性實(shí)例中��,分析平臺(tái)122可以使用角色挖掘方法從活動(dòng)日志120中標(biāo)識(shí)用戶角色123�。用戶角色123中的每個(gè)角色是活動(dòng)日志120中的用戶活動(dòng)的權(quán)限����。分析平臺(tái)122還生成在用戶角色中花費(fèi)的時(shí)間的模型124。分析平臺(tái)122通過(guò)將用戶的用戶活動(dòng)與全局用戶角色模型擬合并且獲得角色擬合度值列表����,針對(duì)用戶在模型124中生成基準(zhǔn)用戶簡(jiǎn)檔125。角色擬合度值列表是在獲取或獲得用戶操作的時(shí)段內(nèi)用戶屬于每個(gè)角色的程度��。如在此使用的�,全局用戶角色模型是用于多個(gè)用戶的初始模型�����。
[0027]可以采用多種方式之一生成基準(zhǔn)用戶簡(jiǎn)檔125��。例如����,可以將基準(zhǔn)簡(jiǎn)檔定義為在用戶活躍的第一時(shí)段或者構(gòu)建全局模型的另一個(gè)時(shí)段(兩者之間的后者)���,用戶在每個(gè)角色中的操作量���。可以通過(guò)用于角色挖掘的多種技術(shù)的任意一種生成基準(zhǔn)用戶簡(jiǎn)檔125�����?���?梢栽陂L(zhǎng)于用于評(píng)分的時(shí)段內(nèi)生成基準(zhǔn)用戶簡(jiǎn)檔125。例如��,可以在比用于評(píng)分的時(shí)段長(zhǎng)十
(10)倍的時(shí)段內(nèi)生成基準(zhǔn)用戶簡(jiǎn)檔125�。在這些示例性實(shí)例中����,基準(zhǔn)用戶簡(jiǎn)檔125可以包括針對(duì)用戶生成的聚合擬合模型�����。例如�,可以通過(guò)用于角色挖掘的多種技術(shù)的任意一種生成一系列擬合。例如����,可以在比多個(gè)用戶的每一個(gè)的評(píng)分時(shí)段長(zhǎng)十(10)倍的時(shí)段內(nèi),使用生成角色挖掘方法針對(duì)用戶生成一系列擬合�����。在該實(shí)例中�����,根據(jù)所述一系列擬合構(gòu)建輔助模型以便確定每個(gè)角色操作的不確定性和顯著性的度量���,并且檢測(cè)定期用戶行為。在該實(shí)例中�,可以通過(guò)使用諸如k平均�、高斯模型或者k平均和高斯模型的混合之類(lèi)的已知技術(shù)�����,集群個(gè)體擬合得分來(lái)構(gòu)建輔助模型����。在該實(shí)例中,構(gòu)建一類(lèi)分類(lèi)器系統(tǒng)(例如支持向量機(jī))以便學(xué)習(xí)樣本�。
[0028]行為標(biāo)識(shí)126是異常行為檢測(cè)環(huán)境100的組件,其用于測(cè)量用戶在隨后時(shí)段內(nèi)的操作和模型之間的偏差量��。為了測(cè)量用戶在隨后時(shí)段內(nèi)的操作和模型之間的偏差量���,將用戶的用戶活動(dòng)與模型擬合以便獲得角色擬合度得分列表��。例如�����,使用用戶的角色擬合度簡(jiǎn)檔�,應(yīng)用諸如均方根誤差����、庫(kù)爾貝克-萊布勒散度或平均絕對(duì)誤差之類(lèi)的距離函數(shù)���,測(cè)量用戶的角色擬合度簡(jiǎn)檔和隨后時(shí)段內(nèi)獲得的角色擬合度之間的偏差量。在該實(shí)例中���,當(dāng)偏差超出閾值時(shí)�,產(chǎn)生警報(bào)�。作為另一個(gè)實(shí)例,使用上面構(gòu)建的輔助模型�,可以將角色擬合度得分與輔助模型比較以獲得偏差。在該實(shí)例中����,標(biāo)識(shí)偏差量基于如何生成輔助模型。例如����,如果應(yīng)用k平均算法生成輔助模型����,則可以將到最近集群形心的距離與屬于該集群的所有點(diǎn)的平均值和標(biāo)準(zhǔn)偏差相比較。在該實(shí)例中�����,當(dāng)距離超出閾值時(shí),產(chǎn)生警報(bào)��。同樣�����,如果使用高斯模型的混合����,則可以計(jì)算從分布中獲取角色擬合度得分列表的概率,并且在具有統(tǒng)計(jì)顯著性時(shí)發(fā)出警報(bào)�����。備選地���,當(dāng)使用一類(lèi)分類(lèi)器算法時(shí)����,可以返回異常得分�。例如,當(dāng)使用一類(lèi)支持向量機(jī)(SVM)時(shí)�,異常得分是與超平面的距離。在該實(shí)例中,當(dāng)異常得分超出閾值時(shí)����,生成警報(bào)。
[0029]圖1中的異常行為檢測(cè)環(huán)境100的例示并非暗示對(duì)可以實(shí)現(xiàn)不同示例性實(shí)施例的方式的物理或體系架構(gòu)限制�����。除了示出的組件之外和/或代替示出的組件�,可以使用其它組件。某些組件可能不是必要的����。此外,提供方框以便例示某些功能組件�����。當(dāng)在示例性實(shí)施例中實(shí)現(xiàn)時(shí)��,可以將這些方框的一個(gè)或多個(gè)組合為和/或分為不同方框����。
[0030]例如����,在某些示例性實(shí)例中����,可以在異常行為檢測(cè)環(huán)境100中存在除了分析平臺(tái)122和行為標(biāo)識(shí)126之外的其它組件����。例如,分析平臺(tái)122的另一個(gè)組件可以使用以下項(xiàng)中的一個(gè)或多個(gè)生成用戶角色模型:離散和概率角色挖掘���、單集群和多集群算法�����,諸如隱含狄利克雷分配和隱藏主題馬爾可夫模型之類(lèi)的生成模型���。在該實(shí)例中,角色模型生成過(guò)程采取給定時(shí)段內(nèi)的一組用戶活動(dòng)作為輸入��,并且產(chǎn)生由該組用戶活動(dòng)定義的角色模型�。在這些示例性實(shí)例中,然后將新用戶活動(dòng)與用戶角色模型擬合以便產(chǎn)生擬合度函數(shù)向量���,該向量指示按照活動(dòng)模式定義���,用戶與用戶角色模型的匹配程度���。
[0031]此外,盡管數(shù)據(jù)處理系統(tǒng)102����、活動(dòng)日志120、分析平臺(tái)122和行為標(biāo)識(shí)126在異常行為檢測(cè)環(huán)境100中被示出為單獨(dú)方框�����,但它們的全部或部分還可以在異常行為檢測(cè)環(huán)境100中的數(shù)據(jù)處理系統(tǒng)102或其它合適的組件中實(shí)現(xiàn)��。在這些示例性實(shí)例中�����,異常行為檢測(cè)環(huán)境100可以通過(guò)硬件和軟件產(chǎn)品的任意組合實(shí)現(xiàn)����,并且還可以在計(jì)算機(jī)系統(tǒng)集群的一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)中實(shí)現(xiàn)。
[0032]現(xiàn)在轉(zhuǎn)到圖2�,示出根據(jù)一個(gè)示例性實(shí)施例的在檢測(cè)用戶異常行為中涉及的數(shù)據(jù)處理系統(tǒng)中的組件的框圖。在這些示例性實(shí)例中����,數(shù)據(jù)處理系統(tǒng)202可以是實(shí)現(xiàn)用于檢測(cè)用戶異常行為的過(guò)程的硬件和軟件組件的任意組合。如圖所示�,數(shù)據(jù)處理系統(tǒng)202中的分析模塊204是圖1中的分析平臺(tái)122的一種實(shí)現(xiàn)的實(shí)例。在這些示例性實(shí)例中���,分析模塊204處理活動(dòng)日志206���。活動(dòng)日志206是圖1中的活動(dòng)日志120的一種實(shí)現(xiàn)的實(shí)例�����?;顒?dòng)日志206存儲(chǔ)用戶208的活動(dòng)。用戶210是具有活動(dòng)日志206中的活動(dòng)的用戶208中的用戶的實(shí)例�����。
[0033]如圖所示,活動(dòng)214是活動(dòng)日志206中的用戶210的活動(dòng)�。如圖所示,活動(dòng)214可以包括用戶210采取的操作216。例如���,活動(dòng)214可以是響應(yīng)于提示而提供密碼����。在該實(shí)例中,當(dāng)用戶210提供密碼時(shí)���,用戶可能正在執(zhí)行稱為登錄的活動(dòng)�。還如圖所示��,用戶210采取的操作216可以與資源218關(guān)聯(lián)�。例如,當(dāng)用戶210希望獲得對(duì)資源218的訪問(wèn)時(shí)�����,用戶210可以登錄到資源218�����。
[0034]在這些示例性實(shí)例中��,資源218是資源220中的資源的一個(gè)實(shí)例��。在示出的實(shí)例中��,資源220包括數(shù)據(jù)處理系統(tǒng)���、存儲(chǔ)設(shè)備以及硬件和軟件的任意合適的組合���,以便由用戶208使用�����。
[0035]在這些示出的實(shí)例中,分析模塊204生成模型224���。模型224是圖1中的模型124的一種實(shí)現(xiàn)的實(shí)例�。模型224包括任務(wù)226��。任務(wù)228是任務(wù)226中包括用戶活動(dòng)模式230的任務(wù)的實(shí)例���。在示出的實(shí)例中����,用戶210執(zhí)行用戶活動(dòng)模式230以便完成任務(wù)228���。
[0036]如圖所示��,用戶活動(dòng)模式232是包括操作234和角色236的用戶活動(dòng)模式230的實(shí)例�。操作234是操作216的實(shí)例,并且角色236是用戶角色238的實(shí)例��。用戶角色238是圖1中的用戶角色123的實(shí)例��。在這些示例性實(shí)例中�,角色240是用戶角色238中的角色的實(shí)例。如在此使用的����,用戶角色(例如角色240)是用戶在執(zhí)行任務(wù)226中的一個(gè)或多個(gè)任務(wù)時(shí)承擔(dān)的職能或職位。例如�����,管理人員在管理用戶時(shí)承擔(dān)管理人員的角色�。
[0037]分析模塊204在特定時(shí)段(例如時(shí)段242中的時(shí)段244)內(nèi)生成模型224。在這些示例性實(shí)例中�����,時(shí)段244可以是模型224的時(shí)段�。例如,時(shí)段244可以被選擇為上一年����、上一個(gè)月的時(shí)段�,以及是模型224的合適時(shí)段的其它時(shí)段�����。例如����,時(shí)段244可以被選擇為包括過(guò)去的時(shí)段,在這些時(shí)段內(nèi)發(fā)生用戶238的多個(gè)活動(dòng)�����,這些活動(dòng)類(lèi)似于用戶210的多個(gè)當(dāng)前活動(dòng)����。
[0038]在這些示例性實(shí)例中���,分析模塊204還可以在時(shí)段250內(nèi)針對(duì)用戶248生成與用戶活動(dòng)模式匹配的操作246�。如圖所示���,時(shí)段252內(nèi)的操作254是與用戶活動(dòng)模式匹配的操作246的實(shí)例���。
[0039]行為標(biāo)識(shí)模塊256是數(shù)據(jù)處理系統(tǒng)202的組件���,其在硬件、軟件或者硬件和軟件的組合中實(shí)現(xiàn)�。行為標(biāo)識(shí)模塊256是圖1中的行為標(biāo)識(shí)126的一種實(shí)現(xiàn)的實(shí)例。如圖所示����,行為標(biāo)識(shí)模塊256在用于標(biāo)識(shí)用戶208中的用戶的異常行為的過(guò)程中,處理與用戶活動(dòng)模式匹配的操作246���。在這些示例性實(shí)例中�,行為標(biāo)識(shí)模塊256基于在時(shí)段242中的選定時(shí)段內(nèi)��,在相同角色中的一個(gè)或多個(gè)用戶采取的操作之間的已計(jì)算偏差量�����,確定時(shí)段之間的偏差量258���。在這些示例性實(shí)例中�����,時(shí)段之間的偏差量258標(biāo)識(shí)在用戶角色238中的一個(gè)或多個(gè)角色中的用戶花費(fèi)的時(shí)間量之間的差異��。例如�����,行為標(biāo)識(shí)模塊256可以將用戶210在第一時(shí)段內(nèi)執(zhí)行的第一數(shù)量的操作劃分為用戶210在第一時(shí)段內(nèi)分離和連續(xù)的多個(gè)時(shí)間子間隔內(nèi)執(zhí)行的多個(gè)操作子組��。在該實(shí)例中�,行為標(biāo)識(shí)模塊256可以使用用戶210在第二時(shí)段內(nèi)執(zhí)行的第二數(shù)量的操作和多個(gè)子組的每一個(gè)之間的一個(gè)或多個(gè)偏差量之間的差異,計(jì)算時(shí)段之間的偏差量258��。
[0040]如圖所示����,行為標(biāo)識(shí)模塊256判定時(shí)段之間的偏差量258是否超出異常行為閾值260之一����。在示出的實(shí)例中,響應(yīng)于時(shí)段之間的偏差量258超出異常行為閾值260之一���,行為標(biāo)識(shí)模塊256可以生成用戶異常行為報(bào)告262�����。如圖所示�����,用戶異常行為報(bào)告262可以包括有關(guān)用戶208在一個(gè)或多個(gè)用戶角色238中花費(fèi)的時(shí)間的時(shí)段之間的偏差量258的信肩��、O
[0041]接下來(lái)轉(zhuǎn)到圖3�,示出根據(jù)一個(gè)示例性實(shí)施例的用于檢測(cè)用戶異常行為的過(guò)程的流程圖的一個(gè)示例性實(shí)例。所述過(guò)程中的步驟可以由圖2中的數(shù)據(jù)處理系統(tǒng)202在軟件���、硬件或兩者的組合中實(shí)現(xiàn)�����。
[0042]所述過(guò)程首先從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作(步驟300)���。在該例示的過(guò)程中,用戶活動(dòng)日志是圖2中的活動(dòng)日志206的實(shí)例����。用戶在第一時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式匹配的第一數(shù)量的操作是圖2中的用戶210執(zhí)行的圖2中的用戶活動(dòng)模式232中的操作234的實(shí)例。
[0043]所述過(guò)程從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作(步驟302)�。在該例示的過(guò)程中,第二數(shù)量的操作是用戶210執(zhí)行的用戶活動(dòng)模式232中的操作234的另一個(gè)實(shí)例�。
[0044]所述過(guò)程計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量�,其中所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異(步驟304)���。在該例示的過(guò)程中��,第一數(shù)量的操作和第二數(shù)量的操作之間的偏差量是圖2中的時(shí)段之間的偏差量258的實(shí)例����。
[0045]所述過(guò)程然后判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值(步驟306)�,之后所述過(guò)程結(jié)束。在該例示的過(guò)程中��,異常行為閾值是圖2中的異常行為閾值260的一個(gè)實(shí)例����。還應(yīng)注意,盡管步驟300和302被連續(xù)示出�,但步驟300和302實(shí)際上可以基本并行地執(zhí)行,并且步驟300和302還可以按相反的順序執(zhí)行����。
[0046]接下來(lái)轉(zhuǎn)到圖4�����,示出根據(jù)一個(gè)示例性實(shí)施例的用于檢測(cè)和報(bào)告用戶異常行為的過(guò)程的流程圖的一個(gè)示例性實(shí)例。所述過(guò)程中的步驟可以由圖2中的數(shù)據(jù)處理系統(tǒng)202在軟件�、硬件或兩者的組合中實(shí)現(xiàn)。
[0047]所述過(guò)程首先從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)在一個(gè)或多個(gè)資源上執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作(步驟400)���。在該例示的過(guò)程中��,用戶活動(dòng)日志是圖2中的活動(dòng)日志206的實(shí)例���。用戶在第一時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式匹配的第一數(shù)量的操作是圖2中的用戶210執(zhí)行的圖2中的用戶活動(dòng)模式232中的操作234的實(shí)例;一個(gè)或多個(gè)資源是圖2中的資源222的實(shí)例�;與用戶角色關(guān)聯(lián)的任務(wù)是圖2中的任務(wù)228的實(shí)例;以及用戶角色是圖2中的角色236中的角色的實(shí)例����。
[0048]所述過(guò)程從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)在一個(gè)或多個(gè)資源上執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作(步驟402)。在該例示的過(guò)程中���,第二數(shù)量的操作是用戶210執(zhí)行的用戶活動(dòng)模式232中的操作234的另一個(gè)實(shí)例��。
[0049]所述過(guò)程計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量��,其中所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異(步驟404)����。在該例示的過(guò)程中,所述第一數(shù)量的操作和所述第二數(shù)量的操作之間的偏差量是圖2中的時(shí)段之間的偏差量258的實(shí)例���。
[0050]所述過(guò)程然后判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值(步驟406)����。在該例示的過(guò)程中���,異常行為閾值是圖2中的異常行為閾值260的一個(gè)實(shí)例��。
[0051]如步驟410中所示��,響應(yīng)于所述偏差量超出閾值����,所述過(guò)程從用戶活動(dòng)日志中生成用戶活動(dòng)報(bào)告�,所述報(bào)告包括所述第一數(shù)量的操作和所述第二數(shù)量的操作之間的偏差量(步驟408),之后所述過(guò)程結(jié)束�����。在該例示的過(guò)程中�����,用戶活動(dòng)報(bào)告是圖2中的用戶異常行為報(bào)告262的實(shí)例�。還如步驟410中所示,響應(yīng)于所述偏差量未超出閾值��,所述過(guò)程結(jié)束而不從用戶活動(dòng)日志中生成用戶活動(dòng)報(bào)告���。
[0052]接下來(lái)轉(zhuǎn)到圖5��,示出根據(jù)一個(gè)示例性實(shí)施例的用于基于標(biāo)識(shí)的行為偏差更改來(lái)檢測(cè)用戶異常行為的過(guò)程的流程圖的示例性實(shí)例�。所述過(guò)程中的步驟可以由圖2中的數(shù)據(jù)處理系統(tǒng)202在軟件��、硬件或兩者的組合中實(shí)現(xiàn)����。
[0053]所述過(guò)程首先從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與第一用戶活動(dòng)模式相匹配的第一數(shù)量的操作(步驟500)。在該例示的過(guò)程中���,用戶活動(dòng)日志是圖2中的活動(dòng)日志206的實(shí)例����。用戶在第一時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式匹配的第一數(shù)量的操作是圖2中的用戶210執(zhí)行的圖2中的用戶活動(dòng)模式232中的操作234的實(shí)例��。
[0054]所述過(guò)程從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第二時(shí)段內(nèi)執(zhí)行的與第一用戶活動(dòng)模式相匹配的第二數(shù)量的操作(步驟502);用戶在所述第一時(shí)段內(nèi)執(zhí)行的與第二用戶活動(dòng)模式相匹配的第三數(shù)量的操作(步驟504);以及用戶在所述第二時(shí)段內(nèi)執(zhí)行的與所述第二用戶活動(dòng)模式相匹配的第四數(shù)量的操作(步驟506)�。在該例示的過(guò)程中�,第二��、第三和第四數(shù)量的操作是用戶210執(zhí)行的用戶活動(dòng)模式232中的操作234的其它實(shí)例���。
[0055]所述過(guò)程計(jì)算所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的偏差量(步驟508)�����。在該例示的過(guò)程中�����,所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的偏差量是圖2中的時(shí)段之間的偏差量258的實(shí)例�����。
[0056]所述過(guò)程接下來(lái)判定所述偏差量是否超出異常行為閾值(步驟510)��。在該例示的過(guò)程中����,所述異常行為閾值是圖2中的異常行為閾值260的一個(gè)實(shí)例���。
[0057]如步驟514中所示����,響應(yīng)于所述偏差量超出閾值�����,所述過(guò)程然后生成警報(bào)(步驟512)����,之后所述過(guò)程結(jié)束。在該例示的過(guò)程中�����,警報(bào)是圖2中的用戶異常行為報(bào)告262的實(shí)例���。還如步驟514中所示��,響應(yīng)于所述偏差量未超出閾值���,所述過(guò)程結(jié)束而不生成警報(bào)。盡管步驟500����、502��、504和506被連續(xù)示出�����,但這些步驟實(shí)際上可以基本并行地執(zhí)行��。
[0058]接下來(lái)轉(zhuǎn)到圖6��,示出根據(jù)一個(gè)示例性實(shí)施例的用于在執(zhí)行多個(gè)任務(wù)的同時(shí)基于標(biāo)識(shí)的行為偏差來(lái)檢測(cè)用戶異常行為的過(guò)程的流程圖的一個(gè)示例性實(shí)例����。所述過(guò)程中的步驟可以由圖2中的數(shù)據(jù)處理系統(tǒng)202在軟件�、硬件或兩者的組合中實(shí)現(xiàn)。
[0059]所述過(guò)程首先從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式相匹配的第一數(shù)量的操作(步驟600)�����。在該例示的過(guò)程中���,用戶活動(dòng)日志是圖2中的活動(dòng)日志206的實(shí)例���。用戶在第一時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式匹配的第一數(shù)量的操作是圖2中的用戶210執(zhí)行的圖2中的用戶活動(dòng)模式232中的操作234的實(shí)例。
[0060]所述過(guò)程還從所述用戶活動(dòng)日志中標(biāo)識(shí)用戶在第二時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式相匹配的第二數(shù)量的操作(步驟602)。所述過(guò)程然后計(jì)算所述第一數(shù)量的操作和所述第二數(shù)量的操作之間的第一偏差量(步驟604)�。
[0061]所述過(guò)程還從所述用戶活動(dòng)日志中標(biāo)識(shí)用戶在第三時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式相匹配的第三數(shù)量的操作(步驟606),以及用戶在第四時(shí)段內(nèi)執(zhí)行的與用戶活動(dòng)模式相匹配的第四數(shù)量的操作(步驟608)����。所述過(guò)程然后還計(jì)算所述第三數(shù)量的操作和所述第四數(shù)量的操作之間的第二偏差量(步驟610)。在該例示的過(guò)程中�,所述第二���、第三和第四數(shù)量的操作是用戶210執(zhí)行的用戶活動(dòng)模式232中的操作234的其它實(shí)例�。在該例示的過(guò)程中�����,所述第一偏差量和所述第二偏差量是圖2中的時(shí)段之間的偏差量258的實(shí)例���。
[0062]所述過(guò)程接下來(lái)判定所述第一偏差量和所述第二偏差量之間的差異是否超出異常行為閾值(步驟612)�。如步驟616中所示����,響應(yīng)于所述偏差量超出閾值,所述過(guò)程然后生成警報(bào)(步驟614)����,之后所述過(guò)程結(jié)束�。還如步驟616中所示����,響應(yīng)于所述偏差量未超出閾值,所述過(guò)程結(jié)束而不生成警報(bào)���。還應(yīng)該注意���,盡管用于計(jì)算第一偏差量的第一序列的步驟600、602和604與用于計(jì)算第二偏差量的第二序列的步驟606�����、608和610被連續(xù)示出�,但第一和第二序列的步驟實(shí)際上可以基本并行地執(zhí)行。
[0063]現(xiàn)在轉(zhuǎn)到圖7����,示出根據(jù)一個(gè)示例性實(shí)施例的數(shù)據(jù)處理系統(tǒng)的圖示。數(shù)據(jù)處理系統(tǒng)700是可以用于標(biāo)識(shí)用戶異常行為的數(shù)據(jù)處理系統(tǒng)的一個(gè)實(shí)例�。更具體地說(shuō),數(shù)據(jù)處理系統(tǒng)700可以用于實(shí)現(xiàn)圖2中的數(shù)據(jù)處理系統(tǒng)202�。在該示例性實(shí)例中�,數(shù)據(jù)處理系統(tǒng)700包括通信框架702��,其在處理器單元704���、存儲(chǔ)器706�、永久性存儲(chǔ)裝置708��、通信單元710�����、輸入/輸出(I/O)單元712和顯示器714之間提供通信����。在這些實(shí)例中�,通信框架702可以是總線系統(tǒng)。
[0064]處理器單元704用于執(zhí)行可以加載到存儲(chǔ)器706中的軟件的指令���。處理器單元704可以是多個(gè)處理器����、多處理器核心或某種其它類(lèi)型的處理器��,具體取決于特定實(shí)現(xiàn)。如在此參考項(xiàng)目使用的�,多個(gè)指一個(gè)或多個(gè)項(xiàng)目。此外�,處理器單元704可以使用多個(gè)異構(gòu)處理器系統(tǒng)實(shí)現(xiàn),其中在單個(gè)芯片上同時(shí)存在主處理器與輔助處理器����。作為另一個(gè)示例性實(shí)例,處理器單元704可以是包含同一類(lèi)型的多個(gè)處理器的對(duì)稱多處理器系統(tǒng)�。
[0065]存儲(chǔ)器706和永久性存儲(chǔ)裝置708是存儲(chǔ)設(shè)備716的實(shí)例。存儲(chǔ)設(shè)備是任何能夠存儲(chǔ)信息的硬件��,所述信息例如但不限于數(shù)據(jù)�、功能形式的程序代碼和/或其它合適的瞬態(tài)和/或持久性信息。在這些實(shí)例中�,存儲(chǔ)設(shè)備716還可以稱為計(jì)算機(jī)可讀存儲(chǔ)設(shè)備。在這些實(shí)例中���,存儲(chǔ)器706例如可以是隨機(jī)存取存儲(chǔ)器或者任何其它合適的易失性或非易失性存儲(chǔ)設(shè)備���。永久性存儲(chǔ)裝置708可以采取多種形式,具體取決于特定實(shí)現(xiàn)�。
[0066]例如,永久性存儲(chǔ)裝置708可以包含一個(gè)或多個(gè)組件或設(shè)備��。例如,永久性存儲(chǔ)裝置708可以是硬盤(pán)驅(qū)動(dòng)器�、閃存、可重寫(xiě)光盤(pán)�、可重寫(xiě)磁帶或上述某種組合。永久性存儲(chǔ)裝置708使用的介質(zhì)還可以是移動(dòng)的����。例如,可移動(dòng)硬盤(pán)驅(qū)動(dòng)器可以用于永久性存儲(chǔ)裝置708����。
[0067]在這些實(shí)例中,通信單元710提供與其它數(shù)據(jù)處理系統(tǒng)或設(shè)備的通信���。在這些實(shí)例中���,通信單元710是網(wǎng)絡(luò)接口卡�。通信單元710可以通過(guò)使用物理和無(wú)線通信鏈路兩者之一或全部來(lái)提供通信。
[0068]輸入/輸出單元712允許使用其它可以連接到數(shù)據(jù)處理系統(tǒng)700的設(shè)備來(lái)輸入和輸出數(shù)據(jù)�����。例如���,輸入/輸出單元712可以通過(guò)鍵盤(pán)����、鼠標(biāo)和/或某種其它適合的輸入設(shè)備來(lái)提供連接以實(shí)現(xiàn)用戶輸入。此外�����,輸入/輸出單元712可以將輸出發(fā)送到打印機(jī)����。顯示器714提供用于向用戶顯示信息的機(jī)構(gòu)。
[0069]用于操作系統(tǒng)����、應(yīng)用和/或程序的指令可以位于存儲(chǔ)設(shè)備716中,存儲(chǔ)設(shè)備716通過(guò)通信框架702與處理器單元704通信�。在這些示例性實(shí)例中,指令以功能形式位于永久性存儲(chǔ)裝置708中��。這些指令可以被加載到存儲(chǔ)器706以便由處理器單元704運(yùn)行����。處理器單元704可以使用計(jì)算機(jī)實(shí)現(xiàn)的指令(可以位于存儲(chǔ)器(例如存儲(chǔ)器706)中)執(zhí)行不同實(shí)施例的過(guò)程。
[0070]這些指令被稱為程序代碼����、計(jì)算機(jī)可用程序代碼或計(jì)算機(jī)可讀程序代碼��,它們可以由處理器單元704中的處理器讀取和執(zhí)行�。在不同的實(shí)施例中����,程序代碼可以包含在不同的物理或計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(例如存儲(chǔ)器706或永久性存儲(chǔ)裝置708)中。
[0071]程序代碼718以功能形式位于選擇性地可移除的計(jì)算機(jī)可讀介質(zhì)720中�,并且可以被加載或傳輸?shù)綌?shù)據(jù)處理系統(tǒng)700以便由處理器單元704執(zhí)行。在這些實(shí)例中����,程序代碼718和計(jì)算機(jī)可讀介質(zhì)720形成計(jì)算機(jī)程序產(chǎn)品722。在一個(gè)實(shí)例中����,計(jì)算機(jī)可讀介質(zhì)720可以是計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724或計(jì)算機(jī)可讀信號(hào)介質(zhì)726。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724例如可以包括光盤(pán)或磁盤(pán)�,它們被插入或放置到屬于永久性存儲(chǔ)裝置708的一部分的驅(qū)動(dòng)器或其它設(shè)備中��,以便傳輸?shù)綄儆谟谰眯源鎯?chǔ)裝置708的一部分的存儲(chǔ)設(shè)備(例如硬盤(pán)驅(qū)動(dòng)器)�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724還可以采取永久性存儲(chǔ)裝置的形式,例如連接到數(shù)據(jù)處理系統(tǒng)700的硬盤(pán)驅(qū)動(dòng)器���、拇指驅(qū)動(dòng)器或閃存�。在某些情況下,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724可能不可從數(shù)據(jù)處理系統(tǒng)700移除�。在這些實(shí)例中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724是用于存儲(chǔ)程序代碼718的物理或有形存儲(chǔ)設(shè)備�����,而不是傳播或傳輸程序718的介質(zhì)�。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724還稱為計(jì)算機(jī)可讀有形存儲(chǔ)設(shè)備或計(jì)算機(jī)可讀物理存儲(chǔ)設(shè)備。換言之�,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)724是人可以接觸的介質(zhì)。
[0072]備選地����,可以使用計(jì)算機(jī)可讀信號(hào)介質(zhì)726將程序代碼718傳輸?shù)綌?shù)據(jù)處理系統(tǒng)700。計(jì)算機(jī)可讀信號(hào)介質(zhì)726例如可以是包含程序代碼718的傳播數(shù)據(jù)信號(hào)�。例如,計(jì)算機(jī)可讀信號(hào)介質(zhì)726可以是電磁信號(hào)�、光信號(hào)和/或任何其它合適類(lèi)型的信號(hào)。這些信號(hào)可以通過(guò)通信鏈路(例如無(wú)線通信鏈路�����、光纜、同軸電纜�����、電線和/或任何其它合適類(lèi)型的通信鏈路)來(lái)傳輸��。換言之�����,在所述示例性實(shí)例中�����,通信鏈路和/或連接可以是物理或無(wú)線的��。
[0073]在某些示例性實(shí)施例中����,可以通過(guò)網(wǎng)絡(luò)借助計(jì)算機(jī)可讀信號(hào)介質(zhì)726將程序代碼718從另一個(gè)設(shè)備或數(shù)據(jù)處理系統(tǒng)下載到永久性存儲(chǔ)裝置708,以便在數(shù)據(jù)處理系統(tǒng)700中使用���。例如���,可以通過(guò)網(wǎng)絡(luò)將存儲(chǔ)在服務(wù)器數(shù)據(jù)處理系統(tǒng)內(nèi)的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的程序代碼從該服務(wù)器下載到數(shù)據(jù)處理系統(tǒng)700。提供程序代碼718的數(shù)據(jù)處理系統(tǒng)可以是服務(wù)器計(jì)算機(jī)���、客戶端計(jì)算機(jī)����,或者能夠存儲(chǔ)和傳輸程序代碼的718的某種其它設(shè)備�。
[0074]針對(duì)數(shù)據(jù)處理系統(tǒng)700示出的不同組件并非旨在提供有關(guān)可以實(shí)現(xiàn)不同實(shí)施例的方式的體系架構(gòu)限制?�?梢栽谌缦聰?shù)據(jù)處理系統(tǒng)中實(shí)現(xiàn)不同的示例性實(shí)施例:該系統(tǒng)包括除了針對(duì)數(shù)據(jù)處理系統(tǒng)700示出的那些組件之外的組件或代替那些組件的組件�。圖7中所示的其它組件可以不同于所示的示例性實(shí)例??梢允褂萌魏文軌蜻\(yùn)行程序代碼的硬件設(shè)備或系統(tǒng)來(lái)實(shí)現(xiàn)不同實(shí)施例。作為一個(gè)實(shí)例���,數(shù)據(jù)處理系統(tǒng)可以包括與無(wú)機(jī)組件集成的有機(jī)組件和/或可以完全由有機(jī)組件(不包括人類(lèi))組成�。例如����,存儲(chǔ)設(shè)備可以包括有機(jī)半導(dǎo)體。
[0075]在另一個(gè)示例性實(shí)例中�����,處理器單元704可以采取硬件單元的形式,該硬件單元具有被制造或配置用于特定用途的電路����。這種類(lèi)型的硬件可以執(zhí)行操作,而無(wú)需將程序代碼從存儲(chǔ)設(shè)備加載到存儲(chǔ)器以便被配置為執(zhí)行所述操作�����。例如�����,當(dāng)處理器單元704采取硬件單元的形式時(shí)����,處理器單元704可以是電路系統(tǒng)、專(zhuān)用集成電路(ASIC)�����、可編程邏輯設(shè)備��,或者被配置為執(zhí)行多個(gè)操作的某種其它合適類(lèi)型的硬件���。使用可編程邏輯設(shè)備�����,所述設(shè)備被配置為執(zhí)行多個(gè)操作��。所述設(shè)備可以在稍后被重新配置��,或者可以永久地被配置為執(zhí)行多個(gè)操作�?����?删幊踢壿嬙O(shè)備的實(shí)例例如包括可編程邏輯陣列�����、可編程陣列邏輯�����、現(xiàn)場(chǎng)可編程邏輯陣列��、現(xiàn)場(chǎng)可編程門(mén)陣列���,以及其它合適的硬件設(shè)備���。使用這種類(lèi)型的實(shí)現(xiàn)���,程序代碼718可以被省略,因?yàn)樵谟布卧袑?shí)現(xiàn)用于不同實(shí)施例的過(guò)程��。
[0076]在另一個(gè)示例性實(shí)例中���,處理器單元704可以使用在計(jì)算機(jī)和硬件單元中發(fā)現(xiàn)的處理器組合實(shí)現(xiàn)�����。處理器單元704可以具有多個(gè)硬件單元和多個(gè)處理器��,它們被配置為運(yùn)行程序代碼718��。使用該示出的實(shí)例���,可以在多個(gè)硬件單元中實(shí)現(xiàn)某些過(guò)程,而在多個(gè)處理器中實(shí)現(xiàn)其它過(guò)程��。
[0077]在另一個(gè)實(shí)例中��,總線系統(tǒng)可以用于實(shí)現(xiàn)通信框架702���,并且可以包括一條或多條總線����,例如系統(tǒng)總線或輸入/輸出總線。當(dāng)然��,總線系統(tǒng)可以使用任何合適類(lèi)型的體系架構(gòu)來(lái)實(shí)現(xiàn)���,該體系架構(gòu)在連接到總線系統(tǒng)的不同組件或設(shè)備之間提供數(shù)據(jù)傳輸。
[0078]此外���,通信單元可以包括多個(gè)設(shè)備���,這些設(shè)備傳輸數(shù)據(jù),接收數(shù)據(jù)或者傳輸和接收數(shù)據(jù)�。通信單元例如可以是調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器、兩個(gè)網(wǎng)絡(luò)適配器����,或者它們的某種組合。此外�,存儲(chǔ)器例如可以是存儲(chǔ)器706,或者例如在接口中發(fā)現(xiàn)的高速緩存以及可以存在于通信框架702中的存儲(chǔ)控制器集線器�����。
[0079]因此,各示例性實(shí)施例提供一種用于檢測(cè)用戶異常行為的方法��、裝置和計(jì)算機(jī)程序產(chǎn)品�����。在一個(gè)實(shí)例中�����,程序從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)在一個(gè)或多個(gè)資源上執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作�����。在該實(shí)例中��,基于所述用戶在針對(duì)確定所述用戶的所述角色而選擇的時(shí)段內(nèi)的操作����,程序從所述用戶活動(dòng)日志中生成所述用戶的所述一個(gè)或多個(gè)角色。在該實(shí)例中����,程序從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)在所述一個(gè)或多個(gè)資源上執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作��。所述程序計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量�,其中所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異���。所述程序接下來(lái)判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值����。在該實(shí)例中�,所述異常行為閾值可以是以下項(xiàng)之一:一個(gè)所述用戶的異常行為閾值、一個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值����、多個(gè)所述用戶的異常行為閾值�����,以及多個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���。響應(yīng)于所述偏差量超出閾值����,所述程序然后從所述用戶活動(dòng)日志中生成用戶活動(dòng)報(bào)告��。在該實(shí)例中,所述報(bào)告包括所述第一數(shù)量的操作和所述第二數(shù)量的操作之間的所述偏差量�。
[0080]在此使用的術(shù)語(yǔ)只是為了描述特定的實(shí)施例并且并非旨在作為本發(fā)明的限制。如在此使用的��,單數(shù)形式“一”����、“一個(gè)”和“該”旨在同樣包括復(fù)數(shù)形式,除非上下文明確地另有所指�����。還將理解���,當(dāng)在此說(shuō)明書(shū)中使用時(shí)�,術(shù)語(yǔ)“包括”和/或“包含”指定了聲明的特性�����、整數(shù)�����、步驟、操作���、元素和/或組件的存在��,但是并不排除一個(gè)或多個(gè)其它特性����、整數(shù)��、步驟�����、操作�、元素、組件和/或其組合的存在或增加�����。如在此使用的���,短語(yǔ)“至少一個(gè)”在用于項(xiàng)目列表時(shí),表示可能使用一個(gè)或多個(gè)列出的項(xiàng)目的不同組合����,并且可能僅需要列表中的每個(gè)項(xiàng)目之一����。例如�����,“項(xiàng)目A��、項(xiàng)目B和項(xiàng)目C中的至少一個(gè)”例如可以包括但不限于項(xiàng)目A�,或者項(xiàng)目A和項(xiàng)目B。該實(shí)例還可以包括項(xiàng)目A�����、項(xiàng)目B和項(xiàng)目C�����,或者項(xiàng)目B和項(xiàng)目C���。在其它實(shí)例中�����,“至少一個(gè)”例如可以是但不限于兩個(gè)項(xiàng)目A�����、一個(gè)項(xiàng)目B和十個(gè)項(xiàng)目C ;四個(gè)項(xiàng)目B和七個(gè)項(xiàng)目C ����;以及其它合適的組合。
[0081]附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的不同實(shí)施例的系統(tǒng)�、方法和計(jì)算機(jī)程序產(chǎn)品的可能實(shí)現(xiàn)的體系架構(gòu)、功能和操作����。在這點(diǎn)上,流程圖或框圖中的每個(gè)方框可以代表一個(gè)模塊��、程序段或代碼的一部分�,所述模塊、程序段或代碼的一部分包含一個(gè)或多個(gè)用于實(shí)現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令�。也應(yīng)當(dāng)注意,在有些作為替換的實(shí)現(xiàn)中��,方框中所標(biāo)注的功能可以以不同于附圖中所標(biāo)注的順序發(fā)生���。例如,兩個(gè)連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行,它們有時(shí)也可以按相反的順序執(zhí)行��,這依所涉及的功能而定����。也要注意的是,框圖和/或流程圖中的每個(gè)方框��、以及框圖和/或流程圖中的方框的組合�,可以用執(zhí)行規(guī)定的功能或動(dòng)作的專(zhuān)用的基于硬件的系統(tǒng)來(lái)實(shí)現(xiàn),或者可以用專(zhuān)用硬件與計(jì)算機(jī)指令的組合來(lái)實(shí)現(xiàn)����。
[0082]下面權(quán)利要求中的對(duì)應(yīng)結(jié)構(gòu)、材料�、操作以及所有功能性限定的裝置或步驟的等同替換,旨在包括任何用于與在權(quán)利要求中具體指出的其它元件相組合地執(zhí)行該功能的結(jié)構(gòu)�、材料或操作。出于示例和說(shuō)明目的給出了對(duì)本發(fā)明的描述��,但所述描述并非旨在是窮舉的或是將本發(fā)明限于所公開(kāi)的形式�����。在不偏離本發(fā)明的范圍和精神的情況下�����,對(duì)于所屬【技術(shù)領(lǐng)域】的普通技術(shù)人員來(lái)說(shuō)許多修改和變化都將是顯而易見(jiàn)的。實(shí)施例的選擇和描述是為了最佳地解釋本發(fā)明的原理和實(shí)際應(yīng)用����,并且當(dāng)適合于所構(gòu)想的特定使用時(shí),使得所屬【技術(shù)領(lǐng)域】的其它普通技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實(shí)施例����。
【權(quán)利要求】
1.一種用于檢測(cè)用戶的異常行為的方法,所述方法包括: 一個(gè)或多個(gè)處理器從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作��; 一個(gè)或多個(gè)處理器從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作�; 一個(gè)或多個(gè)處理器計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量,其中所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異�;以及 一個(gè)或多個(gè)處理器判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值。
2.根據(jù)權(quán)利要求1的方法���,其中基于所述用戶在針對(duì)確定所述用戶的所述角色而選擇的時(shí)段內(nèi)的操作���,從所述用戶活動(dòng)日志中生成所述用戶的所述一個(gè)或多個(gè)角色。
3.根據(jù)權(quán)利要求1的方法����,其中在一個(gè)或多個(gè)資源上執(zhí)行所述第一數(shù)量的操作和所述第二數(shù)量的操作中的一個(gè)或多個(gè)操作����,并且其中部分地標(biāo)識(shí)用于在資源上執(zhí)行所述一個(gè)或多個(gè)操作的所述一個(gè)或多個(gè)角色��。
4.根據(jù)權(quán)利要求1的方法��,其中所述異常行為閾值是以下項(xiàng)之一:一個(gè)所述用戶的異常行為閾值����、一個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���、多個(gè)所述用戶的異常行為閾值�����,以及多個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值����。
5.根據(jù)權(quán)利要求1的方法�����,還包括: 響應(yīng)于確定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量超出所述異常行為閾值����,一個(gè)或多個(gè)處理器生成警報(bào)����。
6.根據(jù)權(quán)利要求1的方法�,其中所述用戶活動(dòng)模式是第一模式,所述偏差量是第一偏差�,并且還包括: 一個(gè)或多個(gè)處理器從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在所述第一時(shí)段內(nèi)執(zhí)行的與第二用戶活動(dòng)模式相匹配的第三數(shù)量的操作; 一個(gè)或多個(gè)處理器從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在所述第二時(shí)段內(nèi)執(zhí)行的與所述第二用戶活動(dòng)模式相匹配的第四數(shù)量的操作�; 一個(gè)或多個(gè)處理器計(jì)算所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的第二偏差量,其中所述第二偏差量是所述用戶在所述第一時(shí)段和所述第二時(shí)段內(nèi)的角色中花費(fèi)的時(shí)間之間的差異�����;以及 一個(gè)或多個(gè)處理器判定所述第二偏差量是否超出所述異常行為閾值���。
7.根據(jù)權(quán)利要求6的方法��,其中所述第一和第三用戶活動(dòng)模式用于與所述用戶的第一角色關(guān)聯(lián)的任務(wù)����,并且所述第二和第四用戶活動(dòng)模式用于與所述用戶的不同于所述第一角色的第二角色關(guān)聯(lián)的另一個(gè)任務(wù)����。
8.根據(jù)權(quán)利要求6的方法�,其中一個(gè)或多個(gè)處理器計(jì)算所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的第二偏差量包括: 標(biāo)識(shí)所述用戶執(zhí)行所述第一數(shù)量的操作花費(fèi)的第一時(shí)間量����、所述用戶執(zhí)行所述第二數(shù)量的操作花費(fèi)的第二時(shí)間量、所述用戶執(zhí)行所述第三數(shù)量的操作花費(fèi)的第三時(shí)間量����,以及所述用戶執(zhí)行所述第四數(shù)量的操作花費(fèi)的第四時(shí)間量���; 標(biāo)識(shí)所述用戶在所述第一時(shí)段內(nèi)的所述第一時(shí)間量和所述第三時(shí)間量之間花費(fèi)的第一時(shí)間比����; 標(biāo)識(shí)所述用戶在所述第二時(shí)段內(nèi)的所述第二時(shí)間量和所述第四時(shí)間量之間花費(fèi)的第二時(shí)間比��;以及 其中一個(gè)或多個(gè)處理器計(jì)算所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的第二偏差量的步驟包括通過(guò)將所述用戶花費(fèi)的所述第一時(shí)間比與所述用戶花費(fèi)的所述第二時(shí)間比相比較來(lái)計(jì)算所述第二偏差量���,其中所述第二偏差量是所述用戶在所述第一時(shí)段和所述第二時(shí)段之間的角色中花費(fèi)的時(shí)間比的差異����。
9.根據(jù)權(quán)利要求2的方法�����,其中生成所述一個(gè)或多個(gè)角色進(jìn)一步包括使用角色挖掘方法來(lái)標(biāo)識(shí)所述一個(gè)或多個(gè)角色。
10.根據(jù)權(quán)利要求9的方法�,其中從以下項(xiàng)中的一個(gè)或多個(gè)來(lái)選擇所述角色挖掘方法:離散和概率角色挖掘、單集群和多集群算法��,以及從隱含狄利克雷分配和隱藏主題馬爾可夫模型中選擇的生成模型����。
11.根據(jù)權(quán)利要求9的方法,其中所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是第一偏差量�����,并且還包括: 一個(gè)或多個(gè)處理器從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第三時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第三數(shù)量的操作��; 一個(gè)或多個(gè)處理器從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第四時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第四數(shù)量的操作�; 一個(gè)或多個(gè)處理器計(jì)算所述第三數(shù)量的操作和所述第四數(shù)量的操作之間的第二偏差量;以及 一個(gè)或多個(gè)處理器判定所述第一偏差量和所述第二偏差量之間的差異是否超出對(duì)于客戶而言為異常偏差的所述異常行為閾值�����。
12.根據(jù)權(quán)利要求11的方法�����,其中使用從均方根誤差、庫(kù)爾貝克-萊布勒散度以及平均絕對(duì)誤差之一中選擇的距離函數(shù)來(lái)確定所述第一偏差量和所述第二偏差量�����。
13.根據(jù)權(quán)利要求1的方法��,還包括: 所述一個(gè)或多個(gè)處理器將所述用戶在所述第一時(shí)段內(nèi)執(zhí)行的所述第一數(shù)量的操作劃分為所述用戶在所述第一時(shí)段內(nèi)分離和連續(xù)的多個(gè)時(shí)間子間隔內(nèi)執(zhí)行的多個(gè)操作子組���;以及 其中一個(gè)或多個(gè)處理器計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量的步驟包括使用在所述第二數(shù)量的操作與所述多個(gè)子組的每一個(gè)之間的一個(gè)或多個(gè)偏差量���。
14.一種用于檢測(cè)用戶的異常行為的裝置���,所述裝置包括: 一個(gè)或多個(gè)處理器單元和一個(gè)或多個(gè)存儲(chǔ)器��; 第一程序代碼�,其用于從用戶活動(dòng)日志中標(biāo)識(shí)用戶在第一時(shí)段內(nèi)執(zhí)行的與針對(duì)所述用戶的一個(gè)或多個(gè)角色所關(guān)聯(lián)的任務(wù)的用戶活動(dòng)模式相匹配的第一數(shù)量的操作�; 第二程序代碼,其用于從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在第二時(shí)段內(nèi)執(zhí)行的與所述用戶活動(dòng)模式相匹配的第二數(shù)量的操作����; 第三程序代碼,其用于計(jì)算所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的偏差量�����,其中所述偏差標(biāo)識(shí)在所述一個(gè)或多個(gè)角色中花費(fèi)的時(shí)間量之間的差異;以及 第四程序代碼�,其用于判定所述第一數(shù)量的操作與所述第二數(shù)量的操作之間的所述偏差量是否超出異常行為閾值,其中所述第一�����、第二���、第三和第四程序代碼存儲(chǔ)在所述一個(gè)或多個(gè)存儲(chǔ)器的至少一個(gè)中��,以便經(jīng)由所述一個(gè)或多個(gè)存儲(chǔ)器的至少一個(gè)由所述一個(gè)或多個(gè)處理器單元的至少一個(gè)執(zhí)行�。
15.根據(jù)權(quán)利要求14的裝置���,其中基于所述用戶在針對(duì)確定所述用戶的所述角色而選擇的時(shí)段內(nèi)的操作�����,從所述用戶活動(dòng)日志中生成所述用戶的所述一個(gè)或多個(gè)角色����。
16.根據(jù)權(quán)利要求14的裝置�,其中在一個(gè)或多個(gè)資源上執(zhí)行所述第一數(shù)量的操作和所述第二數(shù)量的操作中的一個(gè)或多個(gè)操作���,并且其中部分地標(biāo)識(shí)用于在資源上執(zhí)行所述一個(gè)或多個(gè)操作的所述一個(gè)或多個(gè)角色。
17.根據(jù)權(quán)利要求14的裝置�����,其中所述異常行為閾值是以下項(xiàng)之一:一個(gè)所述用戶的異常行為閾值��、一個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值����、多個(gè)所述用戶的異常行為閾值,以及多個(gè)所述用戶在所述一個(gè)或多個(gè)角色中的異常行為閾值���。
18.根據(jù)權(quán)利要求14的裝置,其中所述用戶活動(dòng)模式是第一模式�����,所述偏差量是第一偏差�,并且還包括: 第五程序代碼,其用于從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在所述第一時(shí)段內(nèi)執(zhí)行的與第二用戶活動(dòng)模式相匹配的第三數(shù)量的操作����; 第六程序代碼,其用于從所述用戶活動(dòng)日志中標(biāo)識(shí)所述用戶在所述第二時(shí)段內(nèi)執(zhí)行的與所述第二用戶活動(dòng)模式相匹配的第四數(shù)量的操作; 第七程序代碼���,其用于計(jì)算所述第一和第三數(shù)量的操作與所述第二和第四數(shù)量的操作之間的第二偏差量����,其中所述第二偏差量是所述用戶在所述第一時(shí)段和所述第二時(shí)段內(nèi)的角色中花費(fèi)的時(shí)間之間的差異��;以及 第八程序代碼����,其用于判定所述第二偏差量是否超出所述異常行為閾值,其中所述第五��、第六��、第七和第八程序代碼存儲(chǔ)在所述一個(gè)或多個(gè)存儲(chǔ)器的至少一個(gè)中����,以便經(jīng)由所述一個(gè)或多個(gè)存儲(chǔ)器的至少一個(gè)由所述一個(gè)或多個(gè)處理器單元的至少一個(gè)執(zhí)行。
【文檔編號(hào)】G06F17/30GK104424354SQ201410415204
【公開(kāi)日】2015年3月18日 申請(qǐng)日期:2014年8月21日 優(yōu)先權(quán)日:2013年8月27日
【發(fā)明者】S·N·沙里, I·M·莫洛伊, 樸瑛姿, W·泰肯 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司