(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211122571.3 (22)申请日 2022.09.15 (71)申请人 中债金科信息技 术有限公司 地址 101118 北京市通州区宋庄镇 壁富路 与徐尹路交叉口(汇天云端产业园8号 楼) (72)发明人 马奇辰　焦伟　范皓　高浩浩　 王兆阳　张凯强　严人宁　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 赵春华 (51)Int.Cl. G06F 21/55(2013.01) H04L 9/40(2022.01) (54)发明名称 异常行为检测方法及 装置、 存储介质及电子 设备 (57)摘要 本发明提供了一种异常行为检测方法及装 置、 存储介质及电子设备， 该方法包括： 在需要对 用户进行行为检测的情况下， 确定用户对应的行 为特征集合， 其中包括多个历史访问行为的时间 特征数据以及多个历史操作行为的时间特征数 据； 依据行为特征集合以及预设的最小协方差行 列式算法， 确定均值和协方差估计量； 确定用户 对应的待检测行为 以及待检测行为对应的目标 时间特征数据； 依据所述均值、 协方差估计量和 目标时间特征数据， 确定待检测行为对应的目标 马氏距离； 判断目标马氏距离是否符合预设的异 常条件， 若符合， 则将待检测行为确定为异常行 为。 应用本发明的方法， 可基于用户的行为基准 实现异常行为的检测， 可提高检测准确率。 权利要求书2页 说明书10页 附图3页 CN 115495733 A 2022.12.20 CN 115495733 A 1.一种异常行为检测方法， 其特 征在于， 包括： 在需要对用户进行行为检测的情况下， 确定所述用户对应的行为特征集合； 所述行为 特征集合包括多个历史访问行为的时间特 征数据以及多个历史操作行为的时间特 征数据； 依据所述行为特征集合以及预设的最小协方差行列式算法， 确定所述行为特征集合对 应的均值和协方差估计量； 确定所述用户对应的待检测行为以及所述待检测行为对应的目标时间特 征数据； 依据所述均值、 所述协方差估计量和所述目标时间特征数据， 确定所述待检测行为对 应的目标马氏距离， 所述目标马氏距离为所述目标时间特征数据与所述行为特征集合的整 体分布之间的马氏距离； 判断所述目标马氏距离是否符合预设的异常条件； 若所述目标马氏距离符合所述预设的异常条件， 则将所述待检测行为确定为异常行 为。 2.根据权利要求1所述的方法， 其特征在于， 所述确定所述用户对应的行为特征集合， 包括： 从预设的数据库中， 获取所述用户对应的历史记录； 所述历史记录中包含所述用户的 各个历史访问行为所对应的时间戳， 以及所述用户的各个历史操作行为所对应的时间戳； 对所述历史记录进行时间特征提取处理， 得到所述用户的每个历史访问行为的时间特 征数据， 以及所述用户的每 个历史操作行为的时间特 征数据； 将所述用户的各个所述历史访问行为的时间特征数据和所述用户的各个所述历史操 作行为的时间特 征数据， 组成所述行为特 征集合。 3.根据权利要求2所述的方法， 其特征在于， 所述对所述历史记录进行时间特征提取处 理， 包括： 对于所述用户的每个历史访问行为所对应的时间戳， 确定该时间戳对应的周数和时 间， 并将该时间戳对应的周数和时间作为该历史访问行为的时间特 征数据； 对于所述用户的每个历史操作行为所对应的时间戳， 确定该时间戳对应的周数和时 间， 并将该时间戳对应的周数和时间作为该历史操作行为的时间特 征数据。 4.根据权利要求1所述的方法， 其特征在于， 所述依据所述行为特征集合以及预设的最 小协方差行列式算法， 确定所述行为特 征集合对应的均值和协方差估计量， 包括： 依据所述预设的最小协方差行列式算法， 在所述行为特征集合中确定行为特征子集 合； 所述预设的最小协方差行列式算法为 最小协方差行列式快速估计算法； 依据所述预设的最小协方差行列式算法对应的均值计算策略， 计算所述行为特征子集 合对应的均值， 并将所述行为特 征子集合对应的均值作为所述行为特 征集合对应的均值； 依据所述预设的最小协方差行列式算法对应的协方差计算策略， 计算所述行为特征子 集合对应的协方差估计量， 并将所述行为特征子集合对应的协方差估计量作为所述行为特 征集合对应的协方差估计量。 5.根据权利要求1所述的方法， 其特征在于， 所述判断所述目标马氏距离是否符合预设 的异常条件， 包括： 将所述目标马氏距离与预设阈值进行比较； 若所述目标马氏距离大于所述预设阈值， 则确定所述目标马氏距离符合所述预设的异权　利　要　求　书 1/2 页 2 CN 115495733 A 2常条件； 若所述目标马氏距离小于或等于所述预设阈值， 则确定所述目标马氏距离不符合所述 预设的异常条件。 6.一种异常行为检测装置， 其特 征在于， 包括： 第一确定单元， 用于在需要对用户进行行为检测的情况下， 确定所述用户对应的行为 特征集合； 所述行为特征集合包括多个历史访问行为的时间特征数据以及多个历史操作行 为的时间特 征数据； 第二确定单元， 用于依据所述行为特征集合以及预设的最小协方差行列式算法， 确定 所述行为特 征集合对应的均值和协方差估计量； 第三确定单元， 用于确定所述用户对应的待检测行为以及所述待检测行为对应的目标 时间特征数据； 第四确定单元， 用于依据 所述均值、 所述协方差估计量和所述目标时间特征数据， 确定 所述待检测行为对应的目标马氏距离， 所述目标马氏距离为所述目标时间特征数据与所述 行为特征集合的整体分布之间的马氏距离； 判断单元， 用于判断所述目标马氏距离是否符合预设的异常条件； 第五确定单元， 用于若所述目标马氏距离符合所述预设的异常条件， 则将所述待检测 行为确定为异常行为。 7.根据权利要求6所述的装置， 其特 征在于， 所述第一确定单 元， 包括： 获取子单元， 用于从预设的数据库中， 获取所述用户对应的历史记录； 所述历史记录 中 包含所述用户的各个历史访问行为所对应的时间戳， 以及所述用户的各个历史操作行为所 对应的时间戳； 提取子单元， 用于对所述历史记录进行时间特征提取处理， 得到所述用户的每个历史 访问行为的时间特 征数据， 以及所述用户的每 个历史操作行为的时间特 征数据； 组合子单元， 用于将所述用户的各个所述历史访问行为的时间特征数据和所述用户的 各个所述历史操作行为的时间特 征数据， 组成所述行为特 征集合。 8.根据权利要求7 所述的装置， 其特 征在于， 所述 提取子单 元， 包括： 第一确定子单元， 用于对于所述用户的每个历史访 问行为所对应的时间戳， 确定该时 间戳对应的周数和时间， 并将该时间戳对应的周数和时间作为该历史访问行为的时间特征 数据； 第二确定子单元， 用于对于所述用户的每个历史操作行为所对应的时间戳， 确定该时 间戳对应的周数和时间， 并将该时间戳对应的周数和时间作为该历史操作行为的时间特征 数据。 9.一种存储介质， 其特征在于， 所述存储介质包括存储的指令， 其中， 在所述指令运行 时控制所述存 储介质所在的设备 执行如权利要求1～5任意 一项所述的异常行为检测方法。 10.一种电子设备， 其特征在于， 包括存储器， 以及一个或者一个以上的指令， 其中一个 或者一个以上指令存储于存储器中， 且经配置以由一个 或者一个以上 处理器执行如权利要 求1～5任意 一项所述的异常行为检测方法。权　利　要　求　书 2/2 页 3 CN 115495733 A 3