一种异常检测方法、装置及计算机存储介质与流程

技术特征：
1.一种异常检测方法，其特征在于，所述方法包括：获取待检测日志；其中，所述待检测日志中包含当前检测周期中多个行为主体在目标业务系统的操作行为信息；对所述待检测日志进行统计分析，确定目标行为主体对应的操作行为指标数据；其中，所述目标行为主体是所述多个行为主体中的一个；利用至少两个预设模型对所述操作行为指标数据分别进行处理，获得至少两个输出结果；其中，所述至少两个预设模型包括第一模型和第二模型，所述第一模型用于结合所述目标行为主体的地域特征确定所述目标行为主体是否异常的输出结果，所述第二模型用于结合所述目标行为主体的历史操作行为指标数据确定所述目标行为主体是否异常的输出结果；根据所述至少两个输出结果，确定所述目标行为主体是否存在异常。2.根据权利要求1所述的异常检测方法，其特征在于，所述至少两个输出结果包括第一输出结果和第二输出结果；利用至少两个预设模型对所述操作行为指标数据分别进行处理，获得至少两个输出结果，包括：将所述目标行为主体的操作行为指标数据输入所述第一模型中，得到第一拟合概率值；根据所述第一拟合概率值与第一临界阈值的比较结果，确定所述第一输出结果；其中，所述第一拟合概率值表示通过所述第一模型计算得到的所述目标行为主体的异常概率值；将所述目标行为主体的操作行为指标数据和所述目标行为主体的历史操作行为指标数据输入所述第二模型中，得到第二拟合概率值；根据所述第二拟合概率值与第二临界阈值的比较结果，确定所述第二输出结果；其中，所述第二拟合概率值表示通过所述第二模型计算得到的所述目标行为主体的异常概率值；相应地，所述根据所述至少两个输出结果，确定所述目标行为主体是否存在异常，包括：对所述第一输出结果和所述第二输出结果进行加权计算，得到综合异常概率值；在所述综合异常概率值大于异常临界值的情况下，确定所述目标行为主体存在异常。3.根据权利要求2所述的异常检测方法，其特征在于，所述根据所述第一拟合概率值与第一临界阈值的比较结果，确定所述第一输出结果，包括：将所述第一拟合概率值与第一临界阈值进行比较；在所述第一拟合概率值大于第一临界阈值的情况下，确定所述第一输出结果为1；在所述第一拟合概率值小于或等于第一临界阈值的情况下，确定所述第一输出结果为0。4.根据权利要求2所述的异常检测方法，其特征在于，所述根据所述第二拟合概率值与第二临界阈值的比较结果，确定所述第二输出结果，包括：将所述第二拟合概率值与第二临界阈值进行比较；在所述第二拟合概率值大于第二临界阈值的情况下，确定所述第二输出结果为1；在所述第二拟合概率值小于或等于第二临界阈值的情况下，确定所述第二输出结果为0。5.根据权利要求2所述的异常检测方法，其特征在于，所述至少两个预设模型还包括第三模型，所述方法还包括：
利用所述第三模型对所述操作行为指标数据进行处理，获得第三输出结果；其中，所述第三模型用于结合预设业务阈值确定所述目标行为主体是否异常的输出结果；相应地，所述根据所述至少两个输出结果，确定所述目标行为主体是否存在异常，包括：对所述第一输出结果、所述第二输出结果和第三输出结果进行加权计算，得到综合异常概率值；在所述综合异常概率值大于异常临界值的情况下，确定所述目标行为主体存在异常。6.根据权利要求5所述的异常检测方法，其特征在于，所述利用所述第三模型对所述操作行为指标数据进行处理，获得第三输出结果，包括：将所述操作行为指标数据与所述预设业务阈值进行比较；在所述操作行为指标数据大于所述预设业务阈值的情况下，确定所述第三输出结果为1；在所述操作行为指标数据小于或等于所述预设业务阈值的情况下，确定所述第三输出结果为0。7.根据权利要求1所述的异常检测方法，其特征在于，在确定所述目标行为主体存在异常的情况下，所述方法还包括：接收所述目标行为主体存在异常的核实结果；其中，所述核实结果表示用户对所述目标行为主体是否存在异常的确认结果；基于所述核实结果，为所述目标行为主体设置结果标签；其中，所述结果标签用于表征所述目标行为主体是否属于异常行为主体。8.根据权利要求1所述的异常检测方法，其特征在于，在所述利用至少两个预设模型对所述操作行为指标数据进行处理，获得至少两个输出结果之前，所述方法还包括：对第一历史数据集进行模型训练，得到第一训练模型；其中，所述第一历史数据集是基于所述目标行为主体的地域特征所确定的历史数据集合，且所述第一历史数据集包括与所述地域特征相同的多个行为主体的历史操作行为指标数据，所述第一训练模型包括多个第一训练参数，所述第一训练参数是所述第一训练模型中的模型系数；利用所述第一历史数据集对多个第一训练参数进行训练，得到多个第一参数模型；将所述第一训练模型和所述多个第一参数模型确定为所述第一模型。9.根据权利要求8所述的异常检测方法，其特征在于，在所述将所述第一训练模型和所述多个第一参数模型确定为所述第一模型之后，所述方法还包括：对所述第一模型进行调优操作，得到调优后的第一模型；获取所述调优后的第一模型的第一显著水平值，判断所述第一显著水平值是否符合第一预设标准；在所述第一显著水平值符合第一预设标准的情况下，将所述调优后的第一模型确定为所述第一模型。10.根据权利要求1所述的异常检测方法，其特征在于，在所述利用至少两个预设模型对所述操作行为指标数据进行处理，获得至少两个输出结果之前，所述方法还包括：对第二历史数据集进行模型训练，得到第二训练模型；其中，所述第二历史数据集包括多个行为主体的历史操作行为指标数据，所述第二训练模型包括多个第二训练参数，所述
第二训练参数是所述第二训练模型中的模型系数；利用所述第二历史数据集对多个第二训练参数进行训练，得到多个第二参数模型；将所述第二训练模型和所述多个第二参数模型确定为所述第二模型。11.根据权利要求10所述的异常检测方法，其特征在于，在所述将所述第二训练模型和所述多个第二参数模型确定为所述第二模型之后，所述方法还包括：对所述第二模型进行调优操作，得到调优后的第二模型；获取所述调优后的第二模型的第二显著水平值，判断所述第二显著水平值是否符合第二预设标准；在所述第二显著水平值符合第二预设标准的情况下，将所述调优后的第二模型确定为所述第二模型。12.根据权利要求1-11任一项所述的异常检测方法，其特征在于，所述第一模型包括多层逻辑回归模型，所述第二模型包括多层逻辑回归模型。13.一种异常检测装置，其特征在于，所述异常检测装置包括获取单元、统计单元、检测单元和确定单元，其中，所述获取单元，配置为获取待检测日志；其中，所述待检测日志中包含当前检测周期中多个行为主体在目标业务系统的操作行为信息；所述统计单元，配置为对所述待检测日志进行统计分析，确定目标行为主体对应的操作行为指标数据；其中，所述目标行为主体是所述多个行为主体中的一个；所述检测单元，配置为利用至少两个预设模型对所述操作行为指标数据分别进行处理，获得至少两个输出结果；其中，所述至少两个预设模型包括第一模型和第二模型，所述第一模型用于结合所述目标行为主体的地域特征确定所述目标行为主体是否异常的输出结果，所述第二模型用于结合所述目标行为主体的历史操作行为指标数据确定所述目标行为主体是否异常的输出结果；所述确定单元，配置为根据所述至少两个输出结果，确定所述目标行为主体是否存在异常。14.一种异常检测装置，其特征在于，所述异常检测装置包括存储器和处理器；其中，所述存储器，用于存储能够在所述处理器上运行的计算机程序；所述处理器，用于在运行所述计算机程序时，执行如权利要求1至12任一项所述方法的步骤。15.一种计算机存储介质，其特征在于，所述计算机存储介质存储有异常检测程序，所述异常检测程序被至少一个处理器执行时实现如权利要求1至12任一项所述方法的步骤。

技术总结
本申请提供一种异常检测方法、装置及计算机存储介质，通过获取待检测日志；对待检测日志进行统计分析，确定目标行为主体对应的操作行为指标数据；利用至少两个预设模型对操作行为指标数据分别进行处理，获得至少两个输出结果，至少两个预设模型包括第一模型和第二模型，第一模型用于结合目标行为主体的地域特征确定目标行为主体是否异常的输出结果，第二模型用于结合目标行为主体的历史操作行为指标数据确定目标行为主体是否异常的输出结果；根据至少两个输出结果，确定目标行为主体是否存在异常。通过至少两个预设模型对操作行为指标数据进行检测，且考虑了不同地域特征和历史操作行为特征的差异，能够提高日志审计结果的准确性。确性。确性。


技术研发人员：高家凤 闫伟 宛海涛
受保护的技术使用者：中国移动通信集团有限公司
技术研发日：2020.09.30
技术公布日：2022/4/15