用户水平越权行为判定方法和装置与流程

1.本发明涉及信息安全技术领域，尤其涉及一种用户水平越权行为判定方法和装置。


背景技术：

2.越权漏洞通常发生在网站或应用程序功能内部，诸如用户登录、提现、修改资料、发送信息、下载文件和找回密码等等行为操作，可以简单理解为，绕过授权对一些需要验证当前身份、权限的功能进行访问并操作。其中，水平越权漏洞可以使某一账号在同一个级别的其他账号之间进行操作，并访问到同级别其他账号的敏感信息，例如可以修改同级别任意账号的资料，包括查看会员的手机号、姓名、充值记录、撤单记录、提现记录和注单记录等等，还可以使用水平越权来执行其他同级别用户的功能，比如删除银行卡、修改手机号和密保答案等等。
3.可见，水平越权行为对应用的威胁极大，容易造成敏感信息的泄漏，出现重大的数据安全事故。因此如何识别api（application programming interface，应用程序编程接口）水平越权行为成为一个很重要的研究方向。然而，传统的水平越权行为检测方法多根据专家经验而制定一系列检测规则，不但极度依赖于专家经验而导致准确率较低，且需要大量的人工参与，效率低下。


技术实现要素：

4.本发明提供一种用户水平越权行为判定方法和装置，用以解决现有技术中水平越权行为判定准确性较低且效率低下的缺陷。
5.本发明提供一种用户水平越权行为判定方法，包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
6.根据本发明提供的一种用户水平越权行为判定方法，所述基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量，具体包括：基于所述各个用户每次api访问行为的api请求日志和api响应日志，构建所述各
个用户对应的用户行为关联图；其中，所述各个用户对应的用户行为关联图中包含所述各个用户的api访问行为之间的关联关系；利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量。
7.根据本发明提供的一种用户水平越权行为判定方法，所述利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量，具体包括：基于所述各个用户对应的用户行为关联图，生成所述用户行为关联图的特征矩阵和邻接矩阵；将所述用户行为关联图的特征矩阵和邻接矩阵输入至已训练的图卷积网络中，得到所述用户行为关联图中各个节点的节点向量，并将对应各个用户的节点的节点向量作为所述各个用户各自对应的关联关系特征向量；其中，所述图卷积网络是基于如下步骤构建的：基于各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户对应的样本用户行为关联图；初始化所述图卷积网络的参数后，将样本用户行为关联图的特征矩阵和邻接矩阵输入至所述图卷积网络中，得到所述图卷积网络输出的所述样本用户行为关联图中各个节点的节点向量以及基于所述各个节点的节点向量预测的各个样本用户的水平越权图判定结果，并基于所述各个样本用户的水平越权图判定结果以及所述各个样本用户对应每次api访问行为的水平越权标签，对所述图卷积网络的参数进行反向更新，直至所述图卷积网络的模型损失达到预设目标。
8.根据本发明提供的一种用户水平越权行为判定方法，所述用户行为关联图中任一节点的节点信息为用户标识、客户端请求ip、客户端设备标识或接口标识，任意两个节点之间是否存在边是基于所述任意两个节点的节点信息是否在任一用户任一次api访问行为的api请求日志或api响应日志中共现确定的；任意两个节点之间边的属性是基于所述任意两个节点对应的节点信息在各个用户每次api访问行为的api请求日志或api响应日志中共现的次数、最早共现时间和最近共现时间确定的。
9.根据本发明提供的一种用户水平越权行为判定方法，所述各个用户每次api访问行为的api请求日志和api响应日志中包括请求时间、请求api、用户标识、响应内容、响应状态、请求设备名称、请求ip。
10.根据本发明提供的一种用户水平越权行为判定方法，基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的用户属性特征向量，具体包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，确定任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为；基于任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录
行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为，构建所述任一用户对应的用户属性特征向量。
11.根据本发明提供的一种用户水平越权行为判定方法，所述水平越权行为判定模型是基于如下步骤训练得到的：基于训练日志库中各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户各自对应的关联关系特征向量和用户属性特征向量；将任一样本用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一样本用户对应的融合特征向量；基于各个样本用户对应的融合特征向量以及各个样本用户对应每次api访问行为的水平越权标签，对随机森林模型进行训练，得到所述水平越权行为判定模型。
12.本发明还提供一种用户水平越权行为判定装置，包括：特征构建单元，用于基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；特征融合单元，用于将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；越权行为检测单元，用于将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
13.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述用户水平越权行为判定方法。
14.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述用户水平越权行为判定方法。
15.本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述用户水平越权行为判定方法。
16.本发明提供的用户水平越权行为判定方法和装置，通过构建检测日志库中各个用户各自对应的关联关系特征向量和用户属性特征向量，并将各个用户对应的关联关系特征向量和用户属性特征向量进行融合，得到各个用户对应的融合特征向量，利用各个用户对应的融合特征向量中包含的用户间的关联信息以及单个用户自身的行为特性进行水平越权行为检测，可以更准确地检测出存在水平越权行为的用户，再基于各个用户对应的融合特征向量进行水平越权行为判定，得到各个用户的水平越权行为判定结果，提高了水平越权行为的判定准确性和效率。
附图说明
17.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术
描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明提供的用户水平越权行为判定方法的流程示意图之一；图2是本发明提供的用户水平越权行为判定方法的流程示意图之二；图3是本发明提供的用户水平越权行为判定方法的流程示意图之三；图4是本发明提供的用户水平越权行为判定装置的结构示意图；图5是本发明提供的电子设备的结构示意图。
具体实施方式
19.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.图1是本发明提供的用户水平越权行为判定方法的流程示意图，如图1所示，该方法包括：步骤110，基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；步骤120，将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；步骤130，将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
21.具体地，采集应用程序的检测日志库中各个用户每次api访问行为的api请求日志和api响应日志。其中，任一用户在发起api访问请求时，系统会自动记录该行为的api请求日志，并在服务器对该请求进行响应时记录该响应行为的api响应日志。任一用户的任一次api访问行为对应的api请求日志和api响应日志中包括当前api访问请求的请求时间、该请求所访问的请求api、发起该请求的用户标识、服务器响应的响应内容（包括服务器返回的数据）、响应状态（例如请求成功或请求失败）、发起请求的请求设备名称、发起请求的请求ip等。
22.根据各个用户每次api访问行为的api请求日志和api响应日志中记录的上述各个请求信息和响应信息，构建各个用户各自对应的关联关系特征向量和用户属性特征向量。其中，任一用户对应的关联关系特征向量表征了该用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系。其中，考虑到水平越权行为的发生涉及到不同用户，而任一用户在发起水平越权行为时，通常会采用不同的客户端请求ip、客户端设备或接口以访问其他用户的个人信息等。因此，为了更
准确地检测出发起过水平越权行为的用户，可以建立以该用户为中心的关联关系特征向量，将该用户与其他用户经由用户标识、客户端请求ip、客户端设备标识或接口标识进行关联，关联方式包括直接关联和间接关联。其中，该用户与直接关联用户的api访问行为之间的关联在于访问或使用过同一用户标识、客户端请求ip、客户端设备标识或接口标识；该用户与间接关联用户的api访问行为之间的关联在于该用户与间接关联用户均与同一用户之间存在直接或间接关联。任一用户对应的用户属性特征向量表征了该用户自身对应每次api访问行为的行为属性信息，包括该用户每次请求访问api时的行为特征，例如发起请求的设备信息、地址信息、请求的数据类型、对响应数据进行的操作类型等。
23.随后，将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到该用户对应的融合特征向量，作为判定该用户是否存在水平越权行为的依据。此处，可以利用向量拼接的方式实现关联关系特征向量和用户属性特征向量的融合。其中，本发明实施例考虑到水平越权行为的特性在于某一用户会登录同级别其他用户的账号并访问该同级别其他用户的相关信息以及操作其他用户对应的功能，且目前水平越权行为多采用攻击机器人自动进行水平越权的试探，试探过程中可能会利用多种不同的客户端设备、不同的客户端ip和/或不同的接口，因此某一用户的水平越权行为不仅体现在自身行为的异常（例如异地登录、利用多个不同设备或ip地址发起api访问请求等），还体现在该用户会通过某一媒介（例如发起api访问请求的设备、ip或接口）与其他用户之间产生关联。为了提升水平越权行为的检测精度，本发明实施例充分利用上述特性，基于构建的各个用户分别对应的关联关系特征向量与相应用户的用户属性特征向量进行融合，以得到各个用户对应的融合特征向量。利用各个用户对应的融合特征向量中包含的用户间的关联信息以及单个用户自身的行为特性进行水平越权行为检测，可以更准确地检测出存在水平越权行为的用户。
24.将各个用户对应的融合特征向量依次输入至水平越权行为判定模型进行水平越权行为检测，水平越权行为判定模型会基于各个用户对应的融合特征向量进行二分类，以判断各个用户是否进行过水平越权行为，从而得到水平越权行为判定模型输出的各个用户对应的水平越权行为检测结果。其中，任一用户的水平越权行为检测结果可以表征对应用户是否存在水平越权行为。水平越权行为判定模型可以为任意一种分类模型，例如随机森林等，其在训练过程中可以根据人工标注的标签调整自身参数，从而学会如何根据输入的融合特征向量判断相应用户是否存在水平越权行为。
25.本发明实施例提供的方法，通过构建检测日志库中各个用户各自对应的关联关系特征向量和用户属性特征向量，并将各个用户对应的关联关系特征向量和用户属性特征向量进行融合，得到各个用户对应的融合特征向量，利用各个用户对应的融合特征向量中包含的用户间的关联信息以及单个用户自身的行为特性进行水平越权行为检测，可以更准确地检测出存在水平越权行为的用户，再基于各个用户对应的融合特征向量进行水平越权行为判定，得到各个用户的水平越权行为判定结果，提高了水平越权行为的判定准确性和效率。
26.基于上述实施例，所述基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量，具体包括：基于所述各个用户每次api访问行为的api请求日志和api响应日志，构建所述各
个用户对应的用户行为关联图；其中，所述各个用户对应的用户行为关联图中包含所述各个用户的api访问行为之间的关联关系；利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量。
27.具体地，为了获取各个用户行为之间的关联关系以构建各个用户各自对应的关联关系特征向量，可以先基于各个用户每次api访问行为的api请求日志和api响应日志，构建各个用户对应的用户行为关联图，再对该用户行为关联图进行处理。其中，上述各个用户对应的用户行为关联图中包含了各个用户的api访问行为之间的关联关系。
28.具体而言，用户行为关联图中各个节点可以对应任一用户、任一客户端设备、任一客户端ip或是任一接口，其中接口为发出api访问请求的接口。相应地，用户行为关联图中任一节点的节点信息为用户标识、客户端请求ip、客户端设备标识或接口标识。针对用户行为关联图中的任意两个节点之间是否存在边，可以基于上述任意两个节点的节点信息是否在任一用户任一次api访问行为的api请求日志或api响应日志中共现，确定上述任意两个节点之间是否存在边，共现则有边。对于任意两个节点之间的边，其边属性可以基于上述任意两个节点对应的节点信息在各个用户每次api访问行为的api请求日志或api响应日志中共现的次数、最早共现时间和最近共现时间确定，即边属性可以包含共现次数、最早共现时间和最近共现时间这三类信息。
29.构建好用户行为关联图后，可以利用图卷积网络对该用户行为关联图进行特征提取，利用图卷积网络擅长处理图类数据的特性，获取用户行为关联图中的图空间信息，从而更准确地提取出用户与用户之间的行为关联信息，得到各个用户对应的关联关系特征向量。
30.基于上述任一实施例，所述利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量，具体包括：基于所述各个用户对应的用户行为关联图，生成所述用户行为关联图的特征矩阵和邻接矩阵；将所述用户行为关联图的特征矩阵和邻接矩阵输入至已训练的图卷积网络中，得到所述用户行为关联图中各个节点的节点向量，并将对应各个用户的节点的节点向量作为所述各个用户各自对应的关联关系特征向量；其中，所述图卷积网络是基于如下步骤构建的：基于各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户对应的样本用户行为关联图；初始化所述图卷积网络的参数后，将样本用户行为关联图的特征矩阵和邻接矩阵输入至所述图卷积网络中，得到所述图卷积网络输出的所述样本用户行为关联图中各个节点的节点向量以及基于所述各个节点的节点向量预测的各个样本用户的水平越权图判定结果，并基于所述各个样本用户的水平越权图判定结果以及所述各个样本用户对应每次api访问行为的水平越权标签，对所述图卷积网络的参数进行反向更新，直至所述图卷积网络的模型损失达到预设目标。
31.具体地，基于各个用户对应的用户行为关联图中各个节点自身的节点信息，可以生成各个节点分别对应的特征向量并组合得到整个用户行为关联图的特征矩阵。其中，可
以利用词向量提取模型（例如word2vec、bert等模型）提取各个节点的节点信息中包含的语义信息，从而得到各个节点对应的特征向量。此外，基于用户行为关联图中各个节点之间的连接关系，可以生成用户行为关联图的邻接矩阵，其中邻接矩阵中为1的元素对应的两个节点之间在用户行为关联图中存在连接边。
32.图卷积网络训练结束后，可以基于图卷积网络的当前参数，对用户行为关联图的特征矩阵和邻接矩阵进行特征提取，获取图卷积网络的最后一层卷积层输出的用户行为关联图中各个节点的节点向量，并将用户行为关联图中上述对应各个用户的节点的节点向量作为相应用户的关联关系特征向量。
33.其中，在训练图卷积网络时，可以首先基于训练日志库中各个样本用户每次api访问行为的api请求日志和api响应日志，构建各个样本用户对应的样本用户行为关联图，再对图卷积网络的参数进行初始化。随后，将样本用户行为关联图的特征矩阵和邻接矩阵输入至图卷积网络中进行处理。图卷积网络进行前向传播后，最后一层卷积层可以输出各个节点的节点向量，且图卷积网络还具备预测层，可以基于上述各个节点的节点向量预测各个样本用户的水平越权图判定结果。基于各个样本用户的水平越权图判定结果以及各个样本用户对应每次api访问行为的水平越权标签，可以对图卷积网络的参数进行反向更新，使得图卷积网络输出的水平越权图判定结果与相应的水平越权标签趋于一致，从而保证其最后一层卷积层输出的各节点的节点向量的准确性。重复上述参数更新过程，直至图卷积网络的模型损失达到预设目标，即可结束训练。
34.基于上述任一实施例，基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的用户属性特征向量，具体包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，确定任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为；基于任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为，构建所述任一用户对应的用户属性特征向量。
35.具体地，为了提取各个用户在历次api访问行为中的异常行为，可以基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，确定任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为。其中，不同请求发起设备个数是指同一用户在发起api请求时所使用的不同客户端设备数量；不同请求发起ip个数是指同一用户在发起api请求时所使用的不同客户端ip地址数量；请求接口类型个数是指同一用户在发起api请求时所使用的不同接口类型的数量；是否在预设时间段内存在访问行为是指该用户是否在特殊时间段（例如凌晨1:00至凌晨5：00之间）发起api访问请求。
36.将任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行
为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为等信息进行数值化处理后，可以拼接得到该用户对应的用户属性特征向量。
37.基于上述任一实施例，如图2所示，所述水平越权行为判定模型是基于如下步骤训练得到的：步骤210，基于训练日志库中各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户各自对应的关联关系特征向量和用户属性特征向量；步骤220，将任一样本用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一样本用户对应的融合特征向量；步骤230，基于各个样本用户对应的融合特征向量以及各个样本用户对应每次api访问行为的水平越权标签，对随机森林模型进行训练，得到所述水平越权行为判定模型。
38.具体地，在构建水平越权行为判定模型之前，会预先收集足够的数据，采集应用程序的训练日志库中各个样本用户每次api访问行为的api请求日志和api响应日志。
39.根据各个样本用户每次api访问行为的api请求日志和api响应日志中记录的上述各个请求信息和响应信息，构建各个样本用户各自对应的关联关系特征向量和用户属性特征向量。其中，训练日志库中样本用户对应的关联关系特征向量和用户属性特征向量的构建方式与检测日志库中用户对应的关联关系特征向量和用户属性特征向量的构建方式相同，在此不再赘述。
40.随后，将任一样本用户对应的关联关系特征向量和用户属性特征向量进行融合，得到该样本用户对应的融合特征向量，作为识别该样本用户是否存在水平越权行为的依据。此处，也可以利用向量拼接的方式实现关联关系特征向量和用户属性特征向量的融合。
41.相应地，利用各个样本用户对应的融合特征向量作为随机森林模型的输入，将各个样本用户对应每次api访问行为的水平越权标签（即表明各个用户是否存在水平越权行为的标签，例如当某一用户存在水平越权行为时该用户的水平越权标签为1，否则该用户的水平越权标签为0）作为目标输出，对随机森林模型进行训练，调整随机森林模型的参数。对训练好的随机森林模型进行评估和测试后，可以将其作为水平越权行为判定模型，以部署于应用程序中进行水平越权行为的检测。
42.基于上述任一实施例，如图3所示，水平越权行为检测的具体流程如下：获取训练日志库中各个用户每次api访问行为的api请求日志和api响应日志，并对上述日志进行数据预处理操作，包括重复数据过滤，空值、噪音等异常数据处理等。
43.基于上述api请求日志和api响应日志确定各个用户对应的用户行为关联图中的节点、边以及边属性。
44.基于人工标注库中标注的各个用户的水平越权标签，结合生成的用户行为关联图，利用图卷积网络生成各个用户的关联关系特征向量。
45.基于训练日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建各个用户各自对应的用户属性特征向量。
46.将各个用户的关联关系特征向量和用户属性特征向量进行融合合并，生成各个用户对应的融合特征向量。
47.对生成的各个用户对应的融合特征向量进行随机森林模型的训练、评估、测试和部署，得到水平越权行为判定模型。随后，可以利用水平越权行为判定模型，基于检测日志
库中各个待检测用户每次api访问行为的api请求日志和api响应日志进行水平越权行为检测，得到各个待检测用户的水平越权行为检测结果。此外，根据待检测用户对水平越权行为检测结果的反馈信息，还可以对水平越权行为判定模型进行增量更新，重新对水平越权行为判定模型进行自迭代以强化该模型的检测性能。
48.下面对本发明提供的用户水平越权行为判定装置进行描述，下文描述的用户水平越权行为判定装置与上文描述的用户水平越权行为判定方法可相互对应参照。
49.图4是本发明提供的用户水平越权行为判定装置的结构示意图，如图4所示，该装置包括：特征构建单元410、特征融合单元420和越权行为检测单元430。
50.其中，特征构建单元410用于基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；特征融合单元420用于将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；模型训练单元430用于将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
51.本发明实施例提供的装置，通过构建检测日志库中各个用户各自对应的关联关系特征向量和用户属性特征向量，并将各个用户对应的关联关系特征向量和用户属性特征向量进行融合，得到各个用户对应的融合特征向量，利用各个用户对应的融合特征向量中包含的用户间的关联信息以及单个用户自身的行为特性进行水平越权行为检测，可以更准确地检测出存在水平越权行为的用户，再基于各个用户对应的融合特征向量进行水平越权行为判定，得到各个用户的水平越权行为判定结果，提高了水平越权行为的判定准确性和效率。
52.基于上述任一实施例，所述基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量，具体包括：基于所述各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户对应的用户行为关联图；其中，所述各个用户对应的用户行为关联图中包含所述各个用户的api访问行为之间的关联关系；利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量。
53.基于上述任一实施例，所述利用图卷积网络对所述各个用户对应的用户行为关联图进行特征提取，得到所述各个用户各自对应的关联关系特征向量，具体包括：基于所述各个用户对应的用户行为关联图，生成所述用户行为关联图的特征矩阵和邻接矩阵；将所述用户行为关联图的特征矩阵和邻接矩阵输入至已训练的图卷积网络中，得
到所述用户行为关联图中各个节点的节点向量，并将对应各个用户的节点的节点向量作为所述各个用户各自对应的关联关系特征向量；其中，所述图卷积网络是基于如下步骤构建的：基于各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户对应的样本用户行为关联图；初始化所述图卷积网络的参数后，将样本用户行为关联图的特征矩阵和邻接矩阵输入至所述图卷积网络中，得到所述图卷积网络输出的所述样本用户行为关联图中各个节点的节点向量以及基于所述各个节点的节点向量预测的各个样本用户的水平越权图判定结果，并基于所述各个样本用户的水平越权图判定结果以及所述各个样本用户对应每次api访问行为的水平越权标签，对所述图卷积网络的参数进行反向更新，直至所述图卷积网络的模型损失达到预设目标。
54.基于上述任一实施例，所述用户行为关联图中任一节点的节点信息为用户标识、客户端请求ip、客户端设备标识或接口标识，任意两个节点之间是否存在边是基于所述任意两个节点的节点信息是否在任一用户任一次api访问行为的api请求日志或api响应日志中共现确定的；任意两个节点之间边的属性是基于所述任意两个节点对应的节点信息在各个用户每次api访问行为的api请求日志或api响应日志中共现的次数、最早共现时间和最近共现时间确定的。
55.基于上述任一实施例，所述各个用户每次api访问行为的api请求日志和api响应日志中包括请求时间、请求api、用户标识、响应内容、响应状态、请求设备名称、请求ip。
56.基于上述任一实施例，基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的用户属性特征向量，具体包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，确定任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为；基于任一用户发起api访问请求的总请求次数、请求失败次数、不同请求发起设备个数、不同请求发起ip个数、敏感数据访问总条数、请求接口类型个数、是否存在异地登录行为、是否在预设时间段内存在访问行为、是否存在文件下载行为以及是否存在数据下载行为，构建所述任一用户对应的用户属性特征向量。
57.基于上述任一实施例，该装置还包括水平越权行为判定模型构建单元，水平越权行为判定模型构建单元用于：基于训练日志库中各个样本用户每次api访问行为的api请求日志和api响应日志，构建所述各个样本用户各自对应的关联关系特征向量和用户属性特征向量；将任一样本用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一样本用户对应的融合特征向量；基于各个样本用户对应的融合特征向量以及各个样本用户对应每次api访问行为的水平越权标签，对随机森林模型进行训练，得到所述水平越权行为判定模型。
58.图5是本发明提供的电子设备的结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、存储器(memory)520、通信接口(communications interface)530和
通信总线540，其中，处理器510，存储器520，通信接口530通过通信总线540完成相互间的通信。处理器510可以调用存储器520中的逻辑指令，以执行用户水平越权行为判定方法，该方法包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
59.此外，上述的存储器520中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom,read-only memory)、随机存取存储器(ram,random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
60.另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的用户水平越权行为判定方法，该方法包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的融合特征向量；将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
61.又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的用户水平越权行为判定方法，该方法包括：基于检测日志库中各个用户每次api访问行为的api请求日志和api响应日志，构建所述各个用户各自对应的关联关系特征向量和用户属性特征向量；其中，任一用户对应的关联关系特征向量表征了所述任一用户的api访问行为与其他用户的api访问行为经由用户标识、客户端请求ip、客户端设备标识或接口标识关联的关联关系；任一用户对应的用户属性特征向量表征了所述任一用户自身对应每次api访问行为的行为属性信息；将任一用户对应的关联关系特征向量和用户属性特征向量进行融合，得到所述任一用户对应的
融合特征向量；将所述各个用户对应的融合特征向量依次输入至水平越权行为判定模型中进行判定，得到所述各个用户对应的水平越权行为判定结果；其中，任一用户对应的水平越权行为判定结果指示了所述任一用户是否进行过水平越权行为。
62.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
63.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分所述的方法。
64.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。