(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111657903.3 (22)申请日 2021.12.3 0 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 崔景洋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. G06V 10/762(2022.01) G06V 10/774(2022.01) G06K 9/62(2022.01)G06F 11/34(2006.01) (54)发明名称 一种异常行为检测方法及装置 (57)摘要 本申请提供一种异常行为检测方法及 装置， 应用于网络安全 领域， 在上述异常行为检测方法 中， 可以利用狄利克雷过程混合模 型对多组待检 测样本进行模糊聚类， 由于在构建狄利克雷过程 混合模型的过程中可以自动化的确定员工行为 的类别个数， 因此解决了 现有技术中员工行为类 别个数难以确定的问题。 此外， 通过模糊聚类， 还 可以将一个员工的行为划分到多个类别中， 从多 个角度评价该员工的行为， 从而解决了现有技术 中员工行为类别归属难以确定的问题。 因此， 可 以提高员工的异常行为检测的准确性。 权利要求书2页 说明书14页 附图1页 CN 114266914 A 2022.04.01 CN 114266914 A 1.一种异常行为检测方法， 其特 征在于， 包括： 获取多组待检测样本对应的聚类结果； 其中， 每组待检测样本包括一个待检测对象在 一个预设时间段内的行为数据， 所述聚类结果为利用狄利克雷过程混合模 型对多组待检测 样本进行模糊聚类得到的， 所述聚类结果包括每组待检测样本对应的多个 类别的概 率； 针对一组待检测样本， 对所述聚类结果中的多个行为进行异常行为检测； 其中， 多个行 为中存在异常行为则表征 所述待检测对象存在异常行为。 2.根据权利要求1所述的异常行为检测方法， 其特征在于， 在所述获取多组待检测样本 对应的聚类结果之前， 所述方法还 包括： 获取多组待检测样本； 根据行为库对每组待检测样本进行编码， 以将多组待检测样本转换为多条 行为向量； 根据狄利克雷过程混合模型对每条行为向量进行模糊聚类， 得到多组待检测样本对应 的聚类结果。 3.根据权利要求2所述的异常行为检测方法， 其特征在于， 所述根据狄利克雷过程混合 模型对每条 行为向量进行模糊聚类， 得到多组待检测样本对应的聚类结果， 包括： 随机初始化隶属度矩阵； 其中， 所述隶属度矩阵包括每组待检测样本对应的多个类别 的初始概 率； 根据所述狄利克雷过程混合模型以及所述行为向量对所述隶属度矩阵进行更新， 得到 所述聚类结果。 4.根据权利要求1 ‑3任一项所述的异常行为检测方法， 其特征在于， 在所述针对一组待 检测样本， 对所述聚类结果中的多个行为进行异常行为检测之前， 所述方法还 包括： 获取模糊粒度调节参数； 根据所述模糊粒度调节参数从所述 聚类结果中提取部分类别的概率， 得到新的聚类结 果。 5.根据权利要求4所述的异常行为检测方法， 其特征在于， 所述针对一组待检测样本， 对所述聚类结果中的多个行为进行异常行为检测， 包括： 根据所述新的聚类结果中所述待检测样本对应的类别的概率确定所述待检测样本属 于的多个行为类别； 根据所述新的聚类结果中与多个行为类别相关的概率对所述待检测样本进行异常行 为检测。 6.根据权利要求1 ‑3任一项所述的异常行为检测方法， 其特征在于， 在所述获取多组待 检测样本对应的聚类结果之前， 所述方法还 包括： 获取操作日志； 对所述操作日志进行处 理， 得到包括多个行为的行为库。 7.一种异常行为检测装置， 其特 征在于， 包括： 第一获取模块， 用于获取多组待检测样本对应的聚类结果； 其中， 每组待检测样本包括 一个待检测对象在一个预设时间段内的行为数据， 所述聚类结果为利用狄利克雷过程混合 模型对多组待检测样本进 行模糊聚类得到的， 所述聚类结果包括每组待检测样本对应的多 个类别的概 率； 检测模块， 用于针对一组待检测样本， 对所述聚类结果中待检测样本的多个行为进行权　利　要　求　书 1/2 页 2 CN 114266914 A 2异常行为检测； 其中， 多个行为中存在异常行为则表征 所述待检测对象存在异常行为。 8.一种计算机程序产品， 其特征在于， 包括计算机程序指令， 所述计算机程序指令被处 理器读取并运行时， 执 行如权利要求1 ‑6中任一项所述的异常行为检测方法。 9.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器和所述存 储器通过 所述总线完成相互间的通信； 所述存储器存储有可被所述处理器执行的计算机程序指令， 所述处理器调用所述计算 机程序指令能够执 行如权利要求1 ‑6任一项所述的异常行为检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储计算机程序 指令， 所述计算机程序指 令被计算机运行时， 使 所述计算机执行如权利要求 1‑6任一项所述 的异常行为检测方法。权　利　要　求　书 2/2 页 3 CN 114266914 A 3