(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111646279.7 (22)申请日 2021.12.2 9 (71)申请人 中国联合网络通信集团有限公司 地址 100033 北京市西城区金融大街21号 (72)发明人 叶勇飞　匡石磊　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 代理人 余娜　臧建明 (51)Int.Cl. G06F 16/2455(2019.01) G06F 16/248(2019.01) G06K 9/62(2022.01) (54)发明名称 审计异常数据检测方法及装置 (57)摘要 本申请提供一种审计异常数据检测方法及 装置， 应用于信息安全技术领域， 包括： 将待审计 数据转为向量形式的数据点， 以得到数据集； 基 于第一聚类结果的第一聚类中心点， 确定数据集 中疑似异常的数据点， 得到疑似异常数据点； 基 于第一聚类中心点， 对数据集进行单次K ‑means 聚类， 得到第二聚类中心点； 计算第一聚类中心 点与第二聚类中心点的偏移量， 若偏移量小于阈 值， 则确定疑似异常数据点为异常数据点； 输出 异常数据点。 本申请的方法， 缩短了待审计数据 的检测时间， 提升 了审计异常数据检测的效率。 权利要求书2页 说明书10页 附图4页 CN 114356989 A 2022.04.15 CN 114356989 A 1.一种审计异常数据检测方法， 其特 征在于， 包括： 将待审计数据转为向量形式的数据点， 以得到数据集； 所述数据集中包含多个所述数 据点； 基于第一聚类结果的第 一聚类中心点， 判定所述数据集中疑似异常的所述数据点为疑 似异常数据点； 所述第一聚类结果 为历史审计数据中K ‑Means聚类模型的最优聚类结果； 基于所述第一聚类中心点， 对所述数据集进行单次K ‑means聚类， 得到第二聚类中心 点； 计算所述第一聚类中心点与所述第二聚类中心点的偏移量， 若所述偏移量小于阈值， 则确定所述疑似异常数据点 为异常数据点； 输出所述异常数据点。 2.根据权利要求1所述的方法， 其特征在于， 所述基于所述第一聚类中心点， 对所述数 据集进行 单次K‑means聚类， 确定第二聚类中心点， 包括： 提取所述历史审计数据中K ‑Means聚类模型的所述第一聚类结果的所述第一聚类中心 点； 基于所述第一聚类中心点， 对所述数据集进行单次K ‑Means聚类得到第二聚类结果， 确 定所述第二聚类中心点； 所述第二聚类结果 为单次计算的K ‑Means聚类结果。 3.根据权利要求1所述的方法， 其特征在于， 所述基于第一聚类结果的第一聚类中心 点， 判定所述数据集中疑似异常的所述数据点 为疑似异常数据点， 包括： 基于所述第一聚类中心点， 计算所述数据集中数据点的点密度与标准欧式距离； 计算所述数据集的密度指数以及距离均和； 若目标数据点的点密度小于所述密度指数， 且所述目标数据点的标准欧式距离大于所 述距离均和， 则确定所述 目标数据点为所述疑似异常数据点； 所述 目标数据点为所述数据 集中的任意数据点； 遍历所述数据集中数据点， 直至获取到所述数据集中全部的所述疑似异常数据点。 4.根据权利要求1所述的方法， 其特 征在于， 还 包括： 若所述偏移量大于或等于所述阈值， 则基于所述数据集进行K ‑means聚类得到第三聚 类结果； 所述第三聚类结果 为循环计算的K ‑Means聚类结果； 基于所述第三聚类结果的第三聚类中心点确定所述数据集中的所述异常数据点。 5.根据权利要求 4所述的方法， 其特 征在于， 还 包括： 将所述第三聚类结果更新 为所述历史审计数据中K ‑Means聚类模型的最优聚类结果。 6.根据权利要求1 ‑5任一项所述的方法， 其特 征在于， 所述输出 所述异常数据点， 包括： 定义所述异常数据点的数据检测结果的输出形式， 所述输出形式包括： 表格及可视化 图标； 将所述数据检测结果以所述表格及所述可视化图表的形式输出。 7.根据权利要求1 ‑5任一项所述的方法， 其特征在于， 所述将待审计数据转向量成数据 点之前， 还 包括： 接收审计异常数据检测指令； 通过数据传输协议实现与第三方 数据源对接； 从所述第三方 数据源中采集所述待审计数据。权　利　要　求　书 1/2 页 2 CN 114356989 A 28.一种审计异常数据检测装置， 其特 征在于， 包括： 数据采集接入模块， 用于将待审计数据转为向量形式的数据点， 以得到数据集； 所述数 据集中包 含多个所述数据点； 数据异常标识模块， 用于基于第一聚类结果的第一聚类中心点， 判定所述数据集中疑 似异常的所述数据点为疑似异常数据点； 所述第一聚类结果为历史审计数据中K ‑Means聚 类模型的最优聚类结果； 数据特征验证模块， 用于基于所述第一聚类中心点， 对所述数据集进行单次K ‑means聚 类， 得到第二聚类中心点； 计算所述第一聚类中心点与所述第二聚类中心点的偏移量， 若所述偏移量小于阈值， 则确定所述疑似异常数据点 为异常数据点； 数据检测结果输出模块， 用于 输出所述异常数据点。 9.一种终端设备， 其特 征在于， 包括： 存 储器和处 理器； 所述存储器用于存储计算机指令； 所述处理器用于运行所述存储器存储的所述计算机 指令实现权利要求1 ‑7中任一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机程序， 所述计算机程序 被处理器执行以实现如权利要求1 ‑7中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114356989 A 3