(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114124412A(43)申请公布日2022.03.01(21)申请号202010755506.9(22)申请日2020.07.30(71)申请人华为云计算技术有限公司地址550025贵州省贵阳市贵安新区黔中大道交兴功路华为云数据中心(72)发明人李长轩蒋振超吴迪石晓辉(74)专利代理机构广州三环专利商标代理有限公司44202代理人熊永强李稷芳(51)Int.Cl.H04L9/40(2022.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书4页说明书26页附图9页(54)发明名称异常检测方法、模型训练方法以及相关装置(57)摘要本申请实施例提供一种异常检测方法、模型训练方法及相关装置，该方法包括：提取第一会话，其中，所述第一会话用于描述预设时间长度内操作第一账号时的行为特征和时间特征，所述时间特征用于反映所述行为特征在时序上的关联性；将所述第一会话输入目标自编码器AE模型中，得到检测结果；其中，所述检测结果用于指示完成所述第一会话的操作是否为正常操作；所述目标AE模型为将至少两项会话的数据输入AE模型训练所得，所述至少两项会话中每个会话用于描述预设时间长度内正常操作目标账号时的行为特征和时间特征。采用本申请实施例，能够提高异常检测的效率和准确率。CN114124412ACN114124412A权利要求书1/4页1.一种异常行为检测方法，其特征在于，包括：提取第一会话，其中，所述第一会话用于描述预设时间长度内操作第一账号时的行为特征和时间特征，所述时间特征用于反映所述行为特征在时序上的关联性；将所述第一会话输入目标自编码器AE模型中，得到检测结果；其中，所述检测结果用于指示完成所述第一会话的操作是否为正常操作；所述目标AE模型为将至少两项会话的数据输入AE模型训练所得，所述至少两项会话中每个会话用于描述预设时间长度内正常操作目标账号时的行为特征和时间特征。2.根据权利要求1中所述的方法，其特征在于，所述将所述第一会话输入目标自编码器AE模型中，得到检测结果，包括：将所述第一会话输入所述目标AE模型中，得到第一重构会话；根据所述第一会话和第一重构会话，确定第一重构误差；若第一重构误差大于或者等于第一阈值，则所述检测结果用于指示完成所述第一会话的操作不为正常操作；其中，所述第一阈值为将多个会话的数据输入所述目标AE模型所得。3.根据权利要求1或2中所述的方法，其特征在于，所述提取第一会话，包括：获取多条操作行为数据，所述多条操作行为数据中的每一条操作行为数据用于描述操作一个账号的行为特征和时间特征；按照预设划分粒度，对所述多条操作行为数据进行划分，得到第一数据集合；所述第一数据集合中包括至少一条操作行为数据；根据第一数据集合中数据的时序关系，按照预设时间长度进行划分，得到所述第一会话。4.根据权利要求1-3任一项所述的方法，其特征在于，所述行为特征包括网际互连协议IP地址、媒体存取控制mac地址、账号标识ID、请求类别、请求结果、请求途径、请求地点、请求内容、请求失败原因或请求时间间隔中的至少一个；所述预设划分粒度包括IP地址、mac地址、账号ID或操作地点中的至少一项。5.一种自编码器AE模型训练方法，其特征在于，包括：提取至少两项会话，其中，每项会话用于描述预设时间段内正常操作目标账号时的行为特征和时间特征，每项会话中的时间特征用于反映每项会话中的行为特征在时序上的关联性；根据所述至少两项会话训练AE模型，得到目标AE模型，其中，所述目标自编码模型用于根据第一会话检测完成所述第一会话的操作是否为正常操作。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：将所述至少两项会话输入所述目标AE模型中，得到至少两项重构误差；根据所述至少两项重构误差，确定第一阈值；所述第一阈值用于衡量完成所述第一会话的操作是否为正常操作。7.根据权利要求6中所述的方法，其特征在于，所述方法还包括：提取多项会话，所述多项会话中的一部分会话用于描述预设时间段内正常操作第一目标账号时的行为特征和时间特征，所述多项会话中的另一部分会话用于描述预设时间段内异常操作第二目标账号时的行为特征和时间特征；根据所述多项会话和所述第一阈值验证所述目标AE模型；若根据所述目标AE模型检测2CN114124412A权利要求书2/4页出的异常操作对应的会话的数量大于或者等于第二阈值，则表征所述目标AE模型训练完成。8.根据权利要求5-7任一项中所述的方法，其特征在于，所述提取至少两项会话，包括：获取多条操作行为数据，所述多条操作行为数据中的每一条操作行为数据用于描述正常操作所述目标账号的行为特征和时间特征；按照预设划分粒度，对所述多条操作行为数据进行划分，得