(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111645857.5 (22)申请日 2021.12.3 0 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 车力军　张涛涛　田波　 (74)专利代理 机构 北京柏杉松知识产权代理事 务所(普通 合伙) 11413 专利代理师 丁芸　马敬 (51)Int.Cl. G06F 21/60(2013.01) G06F 11/34(2006.01) G06N 20/00(2019.01) (54)发明名称 涉敏操作行为判定方法、 装置、 电子设备及 存储介质 (57)摘要 本发明实施例提供了涉敏操作行为判定方 法、 装置、 电子设备及存储介质， 获取待检测用户 的操作日志； 按照时序对所述操作日志进行特征 提取， 得到所述待检测用户的基于时间序列排布 的用户行为特征； 利用预先训练的深度学习模型 对所述待检测用户的基于时间序列排布的用户 行为特征进行分析， 得到所述待检测用户是否存 在涉敏操作的检测结果， 其中， 所述深度学习模 型通过样本用户基于时间序列排布的用户行为 特征训练得到。 本发明实施例可 以实现准确、 及 时的对用户操作行为进行涉敏操作的识别与判 定， 维护和保障数据安全， 提升数据安全预警识 别能力， 从而可以及时发现隐患、 处理隐患、 降低 安全风险之威胁 。 权利要求书4页 说明书13页 附图7页 CN 114547640 A 2022.05.27 CN 114547640 A 1.一种涉 敏操作行为判定方法， 其特 征在于， 所述方法包括： 获取待检测用户的操作日志； 按照时序对所述操作日志进行特征提取， 得到所述待检测用户的基于时间序列排布的 用户行为特 征； 利用预先训练的深度学习模型对所述待检测用户的基于时间序列排布的用户行为特 征进行分析， 得到所述待检测用户是否存在涉敏操作的检测结果， 其中， 所述深度学习模型 通过样本用户基于时间序列排布的用户行为特 征训练得到 。 2.根据权利要求1所述的方法， 其特征在于， 所述利用预先训练 的深度学习模型对所述 待检测用户的基于时间序列排布的用户行为特征进行分析， 得到所述待检测用户是否存在 涉敏操作的检测结果， 包括： 利用预先训练 的深度学习模型， 按照预设的时间窗口对所述待检测用户的基于时间序 列排布的用户行为特 征进行划分， 得到多个时间窗口下的用户行为特 征； 针对每一个时间窗口， 确定该时间窗口下 各用户行为特 征的行为异常概 率； 针对每一个时间窗口， 综合该时间窗口下各用户行为特征的行为异常概率， 确定该时 间窗口下 是否存在涉 敏操作， 得到所述待检测用户是否存在涉 敏操作的检测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述针对每一个时间窗口， 确定该时间窗 口下各用户行为特 征的行为异常概 率， 包括： 针对时间窗口中的每一用户行为特征， 根据 该用户行为特征及该用户行为特征之前的 指定数量个用户行为特 征， 确定该用户行为特 征的行为异常概 率。 4.根据权利要求2所述的方法， 其特征在于， 所述针对每一个时间窗口， 综合该时间窗 口下各用户行为特征 的行为异常概率， 确定该时间窗口下是否存在涉敏操作， 得到所述待 检测用户是否存在涉 敏操作的检测结果， 包括： 针对每一个时间窗口， 根据该时间窗口下各用户行为特征的行为异常概率， 通过如下 公式计算该时间窗口 的涉敏度： 其中， σi为该时间窗口中第i个用户行为特征， 在σi的行为异常概率小于第一经验阈值 时YY( σi)＝1， 在σi的行为异常概率不小于第一经验阈值时， YY( σi)＝0， N为该时间窗口内用 户行为特 征的数量； 针对每一个时间窗口， 若该时间窗口的涉敏度高于第二经验阈值， 则判定该时间窗口 下存在涉敏操作， 若该时间窗口的涉敏度不高于第二经验阈值， 则判定该时间窗口下不存 在涉敏操作。 5.根据权利要求1所述的方法， 其特 征在于， 预 先训练深度学习模型的过程包括： 获取样本用户的样本操作日志； 按照时序对所述样本操作日志进行特征提取， 得到所述样本用户的基于时间序列排布 的样本用户行为特 征； 对基于时间序列排布的样本用户行为特 征进行基于时间序列的平稳性验证； 若基于时间序列排布的样本用户行为特征通过所述平稳性验证， 利用基于时间序列排权　利　要　求　书 1/4 页 2 CN 114547640 A 2布的样本用户行为特 征对深度学习模型进行训练， 得到预 先训练的深度学习模型。 6.根据权利要求5所述的方法， 其特征在于， 所述对基于时间序列排布的样本用户行为 特征进行基于时间序列的平稳性验证， 包括： 对基于时间序列排布的样本用户行为特征， 通过方差、 一阶差分检验的方法进行基于 时间序列的平稳性验证。 7.根据权利要求5所述的方法， 其特征在于， 所述利用基于时间序列排布的样本用户行 为特征对深度学习模型进行训练， 得到预 先训练的深度学习模型， 包括： 利用深度 学习模型， 按照预设的时间窗口对所述样本用户的基于时间序列排布的样本 用户行为特 征进行划分， 得到多个时间窗口下的样本用户行为特 征； 针对每一个时间窗口， 确定该时间窗口下 各样本用户行为特 征的行为异常概 率； 针对每一个时间窗口， 综合该时间窗口下各样本用户行为特征的行为异常概率， 确定 该时间窗口下 是否存在涉 敏操作， 得到所述样本用户是否存在涉 敏操作的预测结果； 根据所述样本用户是否存在涉 敏操作的预测结果， 调整深度学习模型的模型参数； 返回步骤： 获取样本用户的样本操作日志继续执行， 直至满足预设结束条件， 得到预先 训练的深度学习模型。 8.根据权利要求7所述的方法， 其特征在于， 所述根据所述样本用户是否存在涉敏操作 的预测结果， 调整深度学习模型的模型参数， 包括： 根据所述样本用户的预测结果， 通过自相关函数和偏自相关函数， 确定所述样本用户 的置信度区间； 根据所述置信区间确定模型参数 取值； 按照所述模型参数 取值， 调整所述深度学习模型的模型参数。 9.根据权利要求5所述的方法， 其特 征在于， 所述方法还 包括： 若基于时间序列排布的样本用户行为特征没有通过所述平稳性验证， 则对基于时间序 列排布的样本用户行为特 征进行所述数据质量处 理。 10.一种涉 敏操作行为判定装置， 其特 征在于， 所述装置包括： 日志获取模块， 用于获取待检测用户的操作日志； 特征提取模块， 用于按照 时序对所述操作 日志进行特征提取， 得到所述待检测用户的 基于时间序列排布的用户行为特 征； 特征分析检测模块， 用于利用预先训练的深度学习 模型对所述待检测用户的基于时间 序列排布的用户行为特征进行分析， 得到所述待检测用户是否存在涉敏操作的检测结果， 其中， 所述深度学习模型通过样本用户基于时间序列排布的用户行为特 征训练得到 。 11.根据权利要求10所述的装置， 其特 征在于， 所述特 征分析检测模块， 包括： 多时间窗口划分子模块， 用于利用预先训练的深度学习模型， 按照预设的时间窗口对 所述待检测用户的基于时间序列排布的用户行为特征进行划分， 得到多个时间窗口下的用 户行为特 征； 异常概率确定子模块， 用于针对每一个时间窗口， 确定该时间窗口下各用户行为特征 的行为异常概 率； 涉敏操作确定子模块， 用于针对每一个时间窗口， 综合该时间窗口下各用户行为特征 的行为异常概率， 确定该时间窗口下是否存在涉敏操作， 得到所述待检测用户是否存在涉权　利　要　求　书 2/4 页 3 CN 114547640 A 3