(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111644214.9 (22)申请日 2021.12.2 9 (71)申请人 航天科工网络信息发展 有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) (72)发明人 杜笑天　牛中盈　伍高飞　白亚南　 邵元勋　 (74)专利代理 机构 中国航天科工集团公司专利 中心 11024 代理人 葛鹏 (51)Int.Cl. G06F 16/17(2019.01) G06F 16/215(2019.01) G06F 16/22(2019.01) G06F 16/2458(2019.01)G06F 16/28(2019.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) H04L 9/40(2022.01) H04L 67/1396(2022.01) (54)发明名称 一种嵌入时态的用户行为异常检测方法及 系统 (57)摘要 本发明涉及一种嵌入时态的用户行为异常 检测方法及系统， 属于行为异常检测识别领域， 首先采集用户行为日志信息； 对用户行为日志信 息进行预处理， 并将用户行为特征按照时间进行 编码， 生成用户行为时间序列； 构建基于注意力 机制的Transformer异常检测模型； 基于用户行 为时间序列， 对Transformer异常检测模型进行 训练， 得到训练好的Tran sformer异常检测模型； 然后将待处理的用户行为信息对应的用户行为 特征输入至所述训练好的Tran sformer异常检测 模型， 得到用户行为异常检测结果。 该方法能够 提升用户行为异常检测的准确性， 解决现有技术 中用户行为异常检测的误报率和漏报率高的问 题。 权利要求书2页 说明书8页 附图5页 CN 114416673 A 2022.04.29 CN 114416673 A 1.一种嵌入时态的用户行为异常检测方法， 其特 征在于， 包括： 采集用户行为日志信息； 对所述用户行为日志信息进行 预处理， 得到预处 理后的用户行为日志信息； 将所述预处理后的用户行为日志信 息中的用户行为特征按照时间进行编码， 生成用户 行为时间序列； 构建基于注意力机制的Transformer异常检测模型； 所述Transformer异常检测模型包 括编码层和解码层； 所述编码层包括多头注意力层和前馈神经网络； 所述解码层包括多头 注意力层、 Masked多头注意力层和前馈神经网络； 基于所述用户行为时间序列， 对所述Transformer异常检测模型进行训练， 得到训练好 的Transformer 异常检测模型； 将待处理的用户行为信息对应的用户行为特征输入至所述训练好的Transformer异常 检测模型， 得到用户行为异常检测结果。 2.根据权利要求1所述的嵌入时态的用户行为异常检测方法， 其特征在于， 所述采集用 户行为日志信息， 具体包括： 利用Kafka软件 对系统原 始数据进行处 理计算， 生成用户行为日志信息； 利用Druid数据库对所述用户行为日志信息进行预 聚合处理， 并搭建查询索引， 并存储 至MySQL数据库中。 3.根据权利要求1所述的嵌入时态的用户行为异常检测方法， 其特征在于， 所述对所述 用户行为日志信息进行 预处理， 得到预处 理后的用户行为日志信息， 具体包括： 对所述用户行为日志信息进行 数据清洗处 理； 对清洗处理后的用户行为日志信 息进行数据集成， 将所述用户行为日志信 息中多个数 据源的数据组合成一个连贯的数据表； 利用协方差分析方法对数据集成后的用户行为日志信 息进行冗余数据属性检测， 并剔 除冗余数据， 得到预处 理后的用户行为日志信息 。 4.根据权利要求1所述的嵌入时态的用户行为异常检测方法， 其特征在于， 所述将所述 预处理后的用户行为日志信息中的用户行为按照时间进行编码， 生成用户行为时间序列， 具体包括： 将所述预处理后的用户行为日志信 息中的各个用户行为特征按照时间进行编码， 生成 用户行为序列Xi＝(time， user， device， action)； 其中， time表示用户行为特征的时间， user表示用户名， device表示访问应用使用的终端， acti on表示用户行为特 征的行为动作； 利用主成分 分析法对所述用户行为序列进行 数据降维， 得到所述用户行为时间序列。 5.根据权利要求1所述的嵌入时态的用户行为异常检测方法， 其特征在于， 在将待处理 的用户行为信息对应的用户行为特征输入至所述训练好的Tr ansformer异常检测模型， 得 到用户行为异常检测结果的步骤之后， 还 包括： 当用户行为异常检测结果为异常时， 将用户行为异常检测结果对应的用户行为日志信 息标记为异常日志， 并对所述异常日志进行告警提 示。 6.一种嵌入时态的用户行为异常检测系统， 其特 征在于， 包括： 用户行为日志信息采集模块， 用于采集用户行为日志信息； 用户行为日志信息预处理模块， 用于对所述用户行为日志信息进行预处理， 得到预处权　利　要　求　书 1/2 页 2 CN 114416673 A 2理后的用户行为日志信息； 用户行为特征嵌入时态模块， 用于将所述预处理后的用户行为日志信 息中的用户行为 特征按照时间进行编码， 生成用户行为时间序列； 异常检测模型建立模块， 用于构建基于注意力机制的Transformer异常检测模型； 所述 Transformer异常检测模型包括编码层和解码层； 所述编码层包括多头注意力层和前馈神 经网络； 所述 解码层包括多头注意力层、 Masked多头注意力层和前馈神经网络； 异常检测模型训练模块， 用于基于所述用户行为时间序列， 对所述Transformer异常检 测模型进行训练， 得到训练好的Transformer 异常检测模型； 用户行为异常检测模块， 用于将待处理的用户行为信 息对应的用户行为特征输入至所 述训练好的Transformer 异常检测模型， 得到用户行为异常检测结果。 7.根据权利要求6所述的嵌入时态的用户行为异常检测系统， 其特征在于， 所述用户行 为日志信息采集模块， 具体包括： 用户行为日志信息生成单元， 用于利用Kafka软件对系统原始数据进行处理计算， 生成 用户行为日志信息； 用户行为日志信息存储单元， 用于利用Druid数据库对所述用户行为日志信息进行预 聚合处理， 并搭建查询索引， 并存 储至MySQL数据库中。 8.根据权利要求6所述的嵌入时态的用户行为异常检测系统， 其特征在于， 所述用户行 为日志信息预处 理模块， 具体包括： 数据清洗单 元， 用于对所述用户行为日志信息进行 数据清洗处 理； 数据集成单元， 用于对清洗处理后的用户行为日志信息进行数据集成， 将所述用户行 为日志信息中多个数据源的数据组合成一个连贯的数据表； 冗余数据剔除单元， 用于利用协方差分析方法对数据集成后的用户行为日志信 息进行 冗余数据属性检测， 并剔除冗余数据， 得到预处 理后的用户行为日志信息 。 9.根据权利要求6所述的嵌入时态的用户行为异常检测系统， 其特征在于， 所述用户行 为特征嵌入时态模块， 具体包括： 嵌入时态单元， 用于将所述预处理后的用户行为日志信 息中的各个用户行为特征按照 时间进行编码， 生成用户行为序列Xi＝(time， user， device， action)； 其中， time表示用户 行为特征的时间， user表 示用户名， device表 示访问应用使用的终端， action表 示用户行为 特征的行为动作； 数据降维单元， 用于利用主成分分析法对所述用户行为序列进行数据降维， 得到所述 用户行为时间序列。 10.根据权利要求6所述的嵌入时态的用户行为异常检测系统， 其特 征在于， 还 包括： 异常日志标记和报警模块， 用于当用户行为异常检测结果为异常时， 将用户行为异常 检测结果对应的用户行为日志信息标记为异常日志， 并对所述异常日志进行告警提 示。权　利　要　求　书 2/2 页 3 CN 114416673 A 3