(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210659129.8 (22)申请日 2022.06.13 (65)同一申请的已公布的文献号 申请公布号 CN 114741673 A (43)申请公布日 2022.07.12 (73)专利权人 深圳竹云科技股份有限公司 地址 518051 广东省深圳市南 山区高新 南 一道009号中国科技开 发院孵化大楼3 楼东 (72)发明人 蔡文锴　谢坚　高原　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 专利代理师 黄丽霞 (51)Int.Cl. G06F 21/31(2013.01) G06V 10/762(2022.01) G06K 9/62(2022.01) (56)对比文件 CN 113449098 A,2021.09.28 CN 113449098 A,2021.09.28CN 113723542 A,2021.1 1.30 CN 113656254 A,2021.1 1.16 CN 114565176 A,202 2.05.31 CN 114048870 A,202 2.02.15 CN 111385037 A,2020.07.07 CN 114419354 A,202 2.04.29 CN 109242499 A,2019.01.18 CN 107679734 A,2018.02.09 CN 113435900 A,2021.09.24 CN 108052528 A,2018.0 5.18 CN 113947692 A,2022.01.18 CN 1084157 77 A,2018.08.17 CN 114444614 A,202 2.05.06 JP 6840307 B1,2021.0 3.10 方市彬 等.基 于NWP单点聚类分析与BP神经 网络的短期风电功率预测. 《电气应用》 .2017,第 36卷(第15期),电气应用. Max Landauer 等.Dynamic l og file analysis： An i nsupervised cluster evolution approach for an omaly detecti on. 《Computers & Security》 .2018,第79卷94-1 16. 审查员 宋梦玲 (54)发明名称 行为风险检测方法、 聚类模型构建方法、 装 置 (57)摘要 本公开涉及一种行为风险检测方法、 聚类模 型构建方法、 装置。 所述方法包括： 将行为日志数 据输入至 预先建立的聚类模型中， 得到预测点和 所述预测点对应的聚类结果， 所述行为日志数据 包括使用系统的行为产生的日志数据； 根据所述 预测点、 所述聚类结果中聚类点的总数量和所述 聚类结果中聚类质心计算偏离度； 根据所述偏离 度和预先设置的评估概率确定所述行为对应的 风险等级。 采用本方法能够不依赖专家经验， 使 用聚类模型进行计算偏离度， 最终确定的风险等 级能够反馈出实际应用场景中真实的风险情况。 权利要求书2页 说明书14页 附图8页 CN 114741673 B 2022.08.26 CN 114741673 B 1.一种行为 风险检测方法， 其特 征在于， 所述方法包括： 将行为日志数据输入至预先建立的聚类模型中， 得到预测点和所述预测点对应的聚类 结果， 所述行为日志数据包括使用 系统的行为产生的日志数据， 所述聚类模型采用包括下 述方式建立： 对系统日志数据进行筛选， 得到行为分析数据； 根据用户使用系统的行为， 确 定特征维度和衍生特征维度； 其中， 所述衍生特征维度是通过衍生所述特征维度得到的； 对 所述特征维度和衍生特征维度进行相关性检验， 确定聚类特征维度； 根据所述聚类特征维 度和所述行为对应的行为分析数据建立聚类模型， 所述聚类模型中包括多个聚类结果和所 述多个聚类结果对应的聚类质心； 根据所述预测点、 所述 聚类结果中聚类点的总数量和所述 聚类结果中聚类质心计算偏 离度， 包括： 计算所述预测点和所述聚类结果中聚类质心的第一距离； 计算所述聚类结果中每 个聚类点与所述聚类质心的第二距离； 确定所述第二距离小于或等于所述第一距离的聚类点的目标 数量； 根据所述目标 数量和所述总数量计算偏离度； 所述根据所述目标 数量和所述总数量计算偏离度， 包括： 计算所述目标 数量与所述总数量的比值； 将预设的第一数值减去所述比值得到偏离度； 根据所述偏离度和预 先设置的评估概 率确定所述行为对应的风险等级。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述特征维度和衍生特征维度进行 相关性检验， 确定聚类特 征维度， 包括： 通过相关性分析方法对所述特征维度和衍生特征维度进行相关性分析， 得到每个特征 维度之间的相关性； 根据所述相关性和所述特 征维度确定第一特 征维度； 根据所述相关性、 所述特 征维度和所述 衍生特征维度确定第二特 征维度； 根据所述第一特 征维度和所述第二特 征维度确定所述聚类特 征维度。 3.根据权利要求1所述的方法， 其特征在于， 所述根据所述 聚类特征维度和所述行为对 应的行为分析 数据建立聚类模型之前， 所述方法还 包括： 通过降维方法对所述行为分析数据中聚类特征维度进行降维， 所述降维方法包括： 主 成分分析方法。 4.根据权利要求1所述的方法， 其特征在于， 所述根据用户使用系统的行为， 确定特征 维度和衍 生特征维度之后， 所述方法还 包括： 根据所述特征维度和衍生特征维度的含义， 确定所述特征维度和衍生特征维度中联合 特征维度； 将所述联合特 征维度、 所述特 征维度和衍 生特征维度进行组合， 得到多维特 征维度； 所述根据所述聚类特征维度和所述行为对应的行为分析数据建立聚类模型， 包括： 根 据所述多维特 征维度、 聚类特 征维度和所述行为对应的行为分析 数据建立聚类模型。 5.一种行为 风险检测装置， 其特 征在于， 所述装置包括： 数据筛选模块， 用于对系统日志数据进行筛 选， 得到行为分析 数据； 特征确定模块， 用于根据用户使用系统的行为， 确定特征维度和衍生特征维度； 其中，权　利　要　求　书 1/2 页 2 CN 114741673 B 2所述衍生特征维度是通过衍 生所述特 征维度得到的； 相关性检验模块， 用于对所述特征维度和衍生特征维度进行相关性检验， 确定聚类特 征维度； 模型建立模块， 用于根据所述 聚类特征维度和所述行为对应的行为分析数据建立聚类 模型， 所述聚类模型中包括多个聚类结果和所述多个聚类结果对应的聚类质心； 模型处理模块， 用于将行为日志数据输入至预先建立的聚类模型中， 得到预测点和所 述预测点对应的聚类结果， 所述行为日志数据包括使用系统的行为产生的日志数据； 偏离度计算模块， 用于根据所述预测点、 所述聚类结果中聚类点的总数量和所述聚类 结果中聚类质心计算偏离度； 所述偏离度计算模块， 包括： 第 一计算模块， 用于计算所述预测点和所述聚类结果中聚 类质心的第一距离； 第二计算模块， 用于计算所述聚类结果中每个聚类点与所述聚类质心 的第二距离； 目标数量确定模块， 用于确定所述第二距离小于或等于所述第一距离的聚类 点的目标 数量； 第三计算模块， 用于根据所述目标 数量和所述总数量计算偏离度； 所述第三计算模块包括： 比值计算模块， 用于计算所述目标数量与所述总数量的比值； 数据处理模块， 用于将预设的第一数值减去所述比值得到偏离度； 风险确定模块， 用于根据所述偏离度和预先设置的评估概率确定所述行为对应的风险 等级。 6.根据权利要求5所述的装置， 其特 征在于， 所述相关性检验 模块， 包括： 相关性分析模块， 用于通过相关性分析方法对所述特征维度和衍生特征维度进行相关 性分析， 得到每 个特征维度之间的相关性； 第一特征维度确定模块， 用于根据所述相关性和所述特 征维度确定第一特 征维度； 第二特征维度确定模块， 用于根据所述相关性、 所述特征维度和所述衍生特征维度确 定第二特 征维度； 聚类特征维度确定模块， 用于根据 所述第一特征维度和所述第 二特征维度确定所述 聚 类特征维度。 7.根据权利要求5所述的装置， 其特征在于， 所述装置还包括： 降维处理模块， 用于通过 降维方法对所述行为分析数据中聚类特征维度进行降维， 所述降维方法包括： 主成分分析 方法。 8.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 联合特征维度确定模块， 用于根据所述特征维度和衍生特征维度的含义， 确定所述特 征维度和衍 生特征维度中联合特 征维度； 特征维度组合模块， 用于将所述联合特征维度、 所述特征维度和衍生特征维度进行组 合， 得到多维特 征维度； 所述模型建立模块， 还用于根据所述多维特征维度、 聚类特征维度和所述行为对应的 行为分析 数据建立聚类模型。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至4中任一项所述的方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至4中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114741673 B 3