(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111242394.8 (22)申请日 2021.10.25 (71)申请人 南方电网科 学研究院有限责任公司 地址 510663 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 申请人 中国南方电网有限责任公司 (72)发明人 杜金燃　杨祎巍　匡晓云　许爱东　 徐培明　陈霖　洪超　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 李秋梅 (51)Int.Cl. G06F 11/30(2006.01) G06V 10/762(2022.01) G06N 20/00(2019.01) (54)发明名称 一种用户访问异常行为识别方法及装置 (57)摘要 本申请公开了一种用户访问异常行为识别 方法及装置， 本申请提供的用户访问异常行为识 别方法， 通过为目标系统中的每一个功能项目配 置多个功能控件的做法， 结合获取所述用户访问 目标系统时产生的功能触发记录， 利用功能触发 记录得到功能控件标识集， 凭借此功能控件 标识 集能够反映用户在本次访问系统的行为特性， 再 通过与代表过往行为特性的历史功能控件标识 集进行匹配度比较， 从用户的访问行为的角度判 断异常的访问事 件， 有助于提高系统的安全性。 权利要求书2页 说明书6页 附图3页 CN 113918424 A 2022.01.11 CN 113918424 A 1.一种用户访问异常行为识别方法， 其特 征在于， 包括： 响应于用户的访问行为， 获取所述用户访问目标系统时产生的功能触发记录， 其中， 所 述功能触发记录包含被触发的功能项目以及功能控件标识， 所述功能控件标识 为触发所述 功能项目的功能控 件的唯一标识， 且每一个功能项目均对应有 多种功能控 件； 基于所述功能触发记录中的所述功能控 件标识， 得到所述用户的功能控 件标识集； 通过预置的匹配度比较算法， 对所述功能控件标识集与 所述用户的历史功能控件标识 集进行匹配度比较， 以获得匹配度比较结果； 根据获得的匹配度比较结果确定所述用户的访问行为的异常识别结果。 2.根据权利要求1所述的一种用户访问异常行为识别方法， 其特征在于， 所述根据获得 的匹配度比较结果确定所述用户的访问行为的异常识别结果具体包括： 根据获得的匹配度比较结果， 当所述匹配度比较结果中的匹配度参数低于预置的匹配 度阈值时， 则确定所述用户的访问行为属于访问异常行为， 当所述匹配度比较结果中的匹 配度参数不低于所述匹配度阈值时， 则确定所述用户的访问行为属于正常访问行为。 3.根据权利要求1所述的一种用户访问异常行为识别方法， 其特征在于， 所述通过预置 的匹配度比较算法， 对所述功能控件标识集与所述用户的历史功能控件标识 集进行匹配度 比较， 以获得匹配度比较结果具体包括： 通过预置的匹配度比较算法， 按照不同的功能项目， 对所述功能控件标识集与所述用 户的历史功能控 件标识集进行匹配度比较， 以获得 各个功能项目对应的匹配度比较结果。 4.根据权利要求2所述的一种用户访问异常行为识别方法， 其特 征在于， 还 包括： 当所述用户的访问行为属于正常访问行为 时， 则将所述功能控件标识集添加到所述历 史功能控 件标识集中。 5.根据权利要求1所述的一种用户访问异常行为识别方法， 其特征在于， 所述匹配度比 较算法具体包括： 机器学习算法、 聚类比较算法、 欧氏距离比较算法或余弦相似度比较算 法。 6.一种用户访问异常行为识别装置， 其特 征在于， 包括： 功能触发记录获取单元， 用于响应于用户的访 问行为， 获取所述用户访 问目标系统时 产生的功能触发记录， 其中， 所述功能触发记录包含被触发的功能项目以及功能控件标识， 所述功能控件标识 为触发所述功能项目的功能控件的唯一标识， 且每一个功能项目均对应 有多种功能控 件； 功能控件标识集获取单元， 用于基于所述功能触发记录中的所述功能控件标识， 得到 所述用户的功能控 件标识集； 匹配度比较单元， 用于通过预置的匹配度比较算法， 对所述功能控件标识集与所述用 户的历史功能控 件标识集进行匹配度比较， 以获得匹配度比较结果； 用户访问行为识别单元， 用于根据获得的匹配度比较结果确定所述用户的访问行为的 异常识别结果。 7.根据权利要求6所述的一种用户访问异常行为识别装置， 其特征在于， 所述用户访问 行为识别单 元具体用于： 根据获得的匹配度比较结果， 当所述匹配度比较结果中的匹配度参数低于预置的匹配 度阈值时， 则确定所述用户的访问行为属于访问异常行为， 当所述匹配度比较结果中的匹权　利　要　求　书 1/2 页 2 CN 113918424 A 2配度参数不低于所述匹配度阈值时， 则确定所述用户的访问行为属于正常访问行为。 8.根据权利要求6所述的一种用户访问异常行为识别装置， 其特征在于， 所述匹配度比 较单元具体用于： 通过预置的匹配度比较算法， 按照不同的功能项目， 对所述功能控件标识集与所述用 户的历史功能控 件标识集进行匹配度比较， 以获得 各个功能项目对应的匹配度比较结果。 9.根据权利要求7 所述的一种用户访问异常行为识别装置， 其特 征在于， 还 包括： 历史功能控件标识集更新单元， 用于当所述用户的访 问行为属于正常访 问行为时， 则 将所述功能控 件标识集添加到所述历史功能控 件标识集中。 10.根据权利要求6所述的一种用户访问异常行为识别装置， 其特征在于， 所述匹配度 比较算法具体包括： 机器学习算法、 聚类比较算法、 欧氏距离比较算法或余弦相似度比较算 法。权　利　要　求　书 2/2 页 3 CN 113918424 A 3