(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113918424A(43)申请公布日2022.01.11(21)申请号202111242394.8(22)申请日2021.10.25(71)申请人南方电网科学研究院有限责任公司地址510663广东省广州市萝岗区科学城科翔路11号J1栋3、4、5楼及J3栋3楼申请人中国南方电网有限责任公司(72)发明人杜金燃杨祎巍匡晓云许爱东徐培明陈霖洪超(74)专利代理机构北京集佳知识产权代理有限公司11227代理人李秋梅(51)Int.Cl.G06F11/30(2006.01)G06V10/762(2022.01)G06N20/00(2019.01)权利要求书2页说明书6页附图3页(54)发明名称一种用户访问异常行为识别方法及装置(57)摘要本申请公开了一种用户访问异常行为识别方法及装置，本申请提供的用户访问异常行为识别方法，通过为目标系统中的每一个功能项目配置多个功能控件的做法，结合获取所述用户访问目标系统时产生的功能触发记录，利用功能触发记录得到功能控件标识集，凭借此功能控件标识集能够反映用户在本次访问系统的行为特性，再通过与代表过往行为特性的历史功能控件标识集进行匹配度比较，从用户的访问行为的角度判断异常的访问事件，有助于提高系统的安全性。CN113918424ACN113918424A权利要求书1/2页1.一种用户访问异常行为识别方法，其特征在于，包括：响应于用户的访问行为，获取所述用户访问目标系统时产生的功能触发记录，其中，所述功能触发记录包含被触发的功能项目以及功能控件标识，所述功能控件标识为触发所述功能项目的功能控件的唯一标识，且每一个功能项目均对应有多种功能控件；基于所述功能触发记录中的所述功能控件标识，得到所述用户的功能控件标识集；通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果；根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果。2.根据权利要求1所述的一种用户访问异常行为识别方法，其特征在于，所述根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果具体包括：根据获得的匹配度比较结果，当所述匹配度比较结果中的匹配度参数低于预置的匹配度阈值时，则确定所述用户的访问行为属于访问异常行为，当所述匹配度比较结果中的匹配度参数不低于所述匹配度阈值时，则确定所述用户的访问行为属于正常访问行为。3.根据权利要求1所述的一种用户访问异常行为识别方法，其特征在于，所述通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果具体包括：通过预置的匹配度比较算法，按照不同的功能项目，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得各个功能项目对应的匹配度比较结果。4.根据权利要求2所述的一种用户访问异常行为识别方法，其特征在于，还包括：当所述用户的访问行为属于正常访问行为时，则将所述功能控件标识集添加到所述历史功能控件标识集中。5.根据权利要求1所述的一种用户访问异常行为识别方法，其特征在于，所述匹配度比较算法具体包括：机器学习算法、聚类比较算法、欧氏距离比较算法或余弦相似度比较算法。6.一种用户访问异常行为识别装置，其特征在于，包括：功能触发记录获取单元，用于响应于用户的访问行为，获取所述用户访问目标系统时产生的功能触发记录，其中，所述功能触发记录包含被触发的功能项目以及功能控件标识，所述功能控件标识为触发所述功能项目的功能控件的唯一标识，且每一个功能项目均对应有多种功能控件；功能控件标识集获取单元，用于基于所述功能触发记录中的所述功能控件标识，得到所述用户的功能控件标识集；匹配度比较单元，用于通过预置的匹配度比较算法，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得匹配度比较结果；用户访问行为识别单元，用于根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果。7.根据权利要求6所述的一种用户访问异常行为识别装置，其特征在于，所述用户访问行为识别单元具体用于：根据获得的匹配度比较结果，当所述匹配度比较结果中的匹配度参数低于预置的匹配度阈值时，则确定所述用户的访问行为属于访问异常行为，当所述匹配度比较结果中的匹2CN113918424A权利要求书2/2页配度参数不低于所述匹配度阈值时，则确定所述用户的访问行为属于正常访问行为。8.根据权利要求6所述的一种用户访问异常行为识别装置，其特征在于，所述匹配度比较单元具体用于：通过预置的匹配度比较算法，按照不同的功能项目，对所述功能控件标识集与所述用户的历史功能控件标识集进行匹配度比较，以获得各个功能项目对应的匹配度比较结果。9.根据