基于關(guān)聯(lián)規(guī)則和用戶屬性的異常行為檢測方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種異常行為檢測方法和系統(tǒng)���,該方法包括:獲取用戶的屬性信息和待檢測行為信息�����,計(jì)算屬性信息與預(yù)先存儲(chǔ)的屬性信息的匹配度����;篩選出匹配度大于第一預(yù)設(shè)閾值的屬性信息,并獲取與屬性信息對(duì)應(yīng)的歷史異常行為信息���;獲取歷史異常行為信息對(duì)應(yīng)的異常行為序列�����,并獲取歷史異常行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系��;根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息���,將待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;計(jì)算待檢測行為序列與異常行為序列的相似度��;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息�����,將獲取的待檢測行為信息判定為異常行為信息���。上述的異常行為檢測方法和系統(tǒng)能夠準(zhǔn)確地進(jìn)行用戶異常行為檢測��。
【專利說明】
基于關(guān)聯(lián)規(guī)則和用戶屬性的異常行為檢測方法和系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域�����,特別是涉及一種基于關(guān)聯(lián)規(guī)則和用戶屬性的異常行為檢測方法和系統(tǒng)���。
【背景技術(shù)】
[0002]用戶異常行為常指違反社會(huì)文明準(zhǔn)則或成群體行為習(xí)慣和標(biāo)準(zhǔn)的“反常”行為��。特別是隨著人們對(duì)公共安全意識(shí)���、網(wǎng)絡(luò)安全意識(shí)的提高����,因此對(duì)人群場景��、網(wǎng)絡(luò)等環(huán)境中的異常行為檢測的關(guān)注度越來越高��。
[0003]目前對(duì)用戶異常行為的檢測�,通常依據(jù)個(gè)體異常行為的特征進(jìn)行匹配檢測,或依據(jù)個(gè)體正常行為的特征進(jìn)行對(duì)比檢測�。但由于同一個(gè)行為可能在某些情況下是異常行為����,而在其他情況下是正常行為����。因此可能會(huì)將正常行為誤檢為異常行為,也有可能會(huì)將異常行為漏檢為正常行為����,從而導(dǎo)致異常行為檢測的錯(cuò)誤率高。
【發(fā)明內(nèi)容】
[0004]基于此����,有必要針對(duì)上述技術(shù)問題,提供一種異常行為檢測方法和系統(tǒng)���,其能夠準(zhǔn)確地進(jìn)行用戶異常行為檢測��。
[0005]—種異常行為檢測方法�,包括以下步驟:
[0006]獲取用戶的屬性信息和待檢測行為信息��,并計(jì)算所述屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度�����;
[0007]篩選出所述匹配度大于第一預(yù)設(shè)閾值的屬性信息,并從所述用戶行為數(shù)據(jù)庫中獲取與所述屬性信息對(duì)應(yīng)的歷史異常行為信息��;
[0008]從所述用戶行為數(shù)據(jù)庫中獲取所述歷史異常行為信息對(duì)應(yīng)的異常行為序列��,并獲取所述異常行為序列中所述歷史異常行為信息與所述歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系��;
[0009]根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息����,將所述待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;
[0010]計(jì)算所述待檢測行為序列與所述異常行為序列的相似度��;
[0011]獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列中的待檢測行為信息���,將獲取的所述待檢測行為信息判定為異常行為信息。
[0012]在其中一個(gè)實(shí)施例中�,所述計(jì)算所述待檢測行為序列與所述異常行為序列的相似度的步驟包括:
[0013]計(jì)算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價(jià),將所述轉(zhuǎn)換代價(jià)作為所述相似度�����,其中�����,轉(zhuǎn)換代價(jià)為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。
[0014]在其中一個(gè)實(shí)施例中��,在所述將獲取的待檢測行為信息判定為異常行為信息的步驟之后��,還包括:將所述待檢測行為信息的判定結(jié)果保存至所述用戶行為數(shù)據(jù)庫��。
[0015]在其中一個(gè)實(shí)施例中�,在所述獲取用戶的待檢測行為信息的步驟之前,還包括:建立所述用戶行為數(shù)據(jù)庫�;
[0016]所述建立所述用戶行為數(shù)據(jù)庫的步驟包括:
[0017]獲取具有相同屬性信息的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息;
[0018]獲取歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列����;
[0019]根據(jù)獲取的歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列,獲取異常行為序列��;
[0020]將所述歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息�,以及所述異常行為序列存儲(chǔ)至所述用戶行為數(shù)據(jù)庫,其中�,所述用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫。
[0021]在其中一個(gè)實(shí)施例中�,所述根據(jù)獲取的歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列,獲取異常行為序列的步驟包括:
[0022]計(jì)算所述歷史異常行為信息所屬的第i類行為序列中的第j項(xiàng)行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度��,其中,i��,j�,k均為正整數(shù);
[0023]判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值�����;
[0024]如果是����,則將第j項(xiàng)行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;
[0025]對(duì)所述歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟�����;
[0026]對(duì)所述歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟����;
[0027]獲取最終的所述行為序列作為所述歷史異常行為信息對(duì)應(yīng)的所述異常行為序列�。
[0028]一種異常行為檢測系統(tǒng),包括:
[0029]匹配度計(jì)算模塊��,用于獲取用戶的屬性信息和待檢測行為信息��,并計(jì)算所述屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度;
[0030]歷史異常行為信息獲取模塊���,用于篩選出所述匹配度大于第一預(yù)設(shè)閾值的屬性信息��,并從所述用戶行為數(shù)據(jù)庫中獲取與所述屬性信息對(duì)應(yīng)的歷史異常行為信息����;
[0031]關(guān)聯(lián)關(guān)系獲取模塊��,用于從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對(duì)應(yīng)的異常行為序列���,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系��,其中����,所述用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫����;
[0032]待檢測行為序列生成模塊,用于根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息�����,將所述待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;
[0033]相似度計(jì)算模塊�����,用于計(jì)算所述待檢測行為序列與所述異常行為序列的相似度����;
[0034]判定模塊,用于獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對(duì)應(yīng)的待檢測行為信息�,將獲取的待檢測行為信息判定為異常行為信息。
[0035]在其中一個(gè)實(shí)施例中����,相似度計(jì)算模塊還用于計(jì)算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價(jià),將所述轉(zhuǎn)換代價(jià)作為所述相似度���,其中�,轉(zhuǎn)換代價(jià)為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)��。
[0036]在其中一個(gè)實(shí)施例中�,還包括:用戶行為數(shù)據(jù)庫建立模塊;所述用戶行為數(shù)據(jù)庫建立模塊還用于存儲(chǔ)所述歷史異常行為信息,所述歷史異常行為信息所對(duì)應(yīng)的關(guān)聯(lián)行為信息�,以及所述歷史異常行為信息對(duì)應(yīng)的異常行為序列����。
[0037]在其中一個(gè)實(shí)施例中�����,所述用戶行為數(shù)據(jù)庫建立模塊還用于將存儲(chǔ)所述待檢測行為信息及其對(duì)應(yīng)的判定結(jié)果�。
[0038]在其中一個(gè)實(shí)施例中�����,所述用戶行為數(shù)據(jù)庫建立模塊還用于計(jì)算所述歷史異常行為信息所屬的第i類行為序列中的第j項(xiàng)行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度�����,其中��,i�����,j�����,k均為正整數(shù);判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值;如果是��,則將第j項(xiàng)行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;對(duì)所述歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;對(duì)所述歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對(duì)應(yīng)的所述異常行為序列���。
[0039]上述的異常行為檢測方法和系統(tǒng)���,根據(jù)歷史異常行為信息的關(guān)聯(lián)關(guān)系,挖掘出待檢測行為信息對(duì)應(yīng)的待檢測行為序列�����;并計(jì)算待檢測行為序列與異常行為序列的相似度�;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息;將獲取的待檢測行為信息判定為異常行為信息。同一個(gè)行為可能在某些情況下是異常行為��,而在其他情況下是正常行為;通過異常行為序列對(duì)行為信息進(jìn)行判定�,不會(huì)將正常行為誤檢為異常行為,也不會(huì)將異常行為漏檢為正常行為��,從而使得異常行為檢測的準(zhǔn)確率高�����。上述的異常行為檢測方法和系統(tǒng)���,提高了用戶異常行為檢測的準(zhǔn)確度��。
【附圖說明】
[0040]圖1為一個(gè)實(shí)施例的異常行為檢測方法流程圖���;
[0041 ]圖2為一個(gè)實(shí)施例的建立用戶行為數(shù)據(jù)庫的流程圖;
[0042]圖3為一個(gè)實(shí)施例的獲取異常行為序列的方法流程圖�����;
[0043]圖4為一個(gè)實(shí)施例的采用文本匹配方式計(jì)算待檢測行為信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度的流程圖�;
[0044]圖5為一個(gè)實(shí)施例的異常行為檢測系統(tǒng)的結(jié)構(gòu)框圖;
[0045]圖6為另一個(gè)實(shí)施例的異常行為檢測系統(tǒng)的結(jié)構(gòu)框圖����。
【具體實(shí)施方式】
[0046]在一個(gè)實(shí)施例中,如圖1所示����,提出了一種異常行為檢測方法,該方法包括以下步驟:
[0047]步驟102�����,獲取用戶的屬性信息和待檢測行為信息�����,并計(jì)算屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度。
[0048]在本實(shí)施例中�����,用戶的屬性信息包括性別���、年齡和體貌特征等����。待檢測行為信息為用戶的某一個(gè)具體的行為動(dòng)作信息�,例如用戶的待檢測行為信息可以為該用戶從ATM機(jī)取款的行為序列“走進(jìn)銀行_>插卡_>輸入密碼_>取款_>走出銀行”中的任意一個(gè)行為動(dòng)作信息,例如取款�。
[0049]用戶的待檢測行為信息可以為用戶在購物網(wǎng)站上購物時(shí)進(jìn)行的操作信息,該用戶的待檢測行為信息能夠通過購物網(wǎng)站的后臺(tái)記錄獲取;或者用戶在ATM機(jī)取款時(shí)進(jìn)行的操作信息�,該用戶的待檢測行為信息可以通過ATM機(jī)的后臺(tái)記錄及ATM機(jī)上安裝的攝像頭獲取;還可以為用戶在公共場所的活動(dòng)信息,該用戶的待檢測行為信息可以通過公共場所安裝的攝像頭獲取���。
[0050]在一個(gè)實(shí)施例中����,預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中存儲(chǔ)有用戶的屬性信息及對(duì)應(yīng)的歷史行為信息���。該歷史行為信息可以為歷史異常行為信息和歷史正常行為信息�。歷史行為信息為某一具體的行為動(dòng)作信息。通常匹配度是指相比較的兩個(gè)對(duì)象之間的相同或者相似程度�����。
[0051]由于用戶行為數(shù)據(jù)庫中存儲(chǔ)的歷史行為信息可以為多種格式���,例如,圖像����、音頻、視頻和文本等����。因此計(jì)算待檢測行為信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度可以通過圖像匹配方式、音頻匹配方式�、視頻匹配方式或者文本匹配方式實(shí)現(xiàn)。
[0052]步驟104�,篩選出匹配度大于第一預(yù)設(shè)閾值的屬性信息,并從用戶行為數(shù)據(jù)庫中獲取與屬性信息對(duì)應(yīng)的歷史異常行為信息�。
[0053]將上述步驟102計(jì)算得到的匹配度與第一預(yù)設(shè)閾值作比較,從用戶行為數(shù)據(jù)庫中篩選出匹配度大于第一預(yù)設(shè)閾值的用戶屬性信息���。所述歷史異常信息可能有一個(gè)或多個(gè)�����。一般第一預(yù)設(shè)閾值可以根據(jù)具體需要進(jìn)行設(shè)定��,在本實(shí)施例中設(shè)定為60%����。
[0054]步驟106,從用戶行為數(shù)據(jù)庫中獲取歷史異常行為信息對(duì)應(yīng)的異常行為序列�,并獲取異常行為序列中歷史異常行為信息與歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系。
[0055]在本實(shí)施例中�,異常行為序列是由歷史異常行為信息及其關(guān)聯(lián)行為信息按照預(yù)定關(guān)聯(lián)關(guān)系排列而成。
[0056]在本實(shí)施例中����,歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息可以有O個(gè)或I個(gè)或多個(gè)。當(dāng)只有O個(gè)關(guān)聯(lián)行為信息時(shí)��,則異常行為序列為該歷史異常行為信息����。當(dāng)有I個(gè)或多個(gè)關(guān)聯(lián)行為信息時(shí),則異常行為序列中各個(gè)關(guān)聯(lián)行為信息與歷史異常行為信息之間的連接關(guān)系包括但不限于隊(duì)列關(guān)系��、樹狀關(guān)系、網(wǎng)狀關(guān)系或者其它連接關(guān)系���。
[0057]關(guān)聯(lián)行為信息為與歷史異常行為信息存在預(yù)定關(guān)聯(lián)關(guān)系的行為信息���。在本實(shí)施例中,所述預(yù)定關(guān)聯(lián)關(guān)系包括時(shí)間關(guān)系(例如時(shí)間先后關(guān)系)�����、空間關(guān)系(例如空間相鄰關(guān)系)��、因果關(guān)系和屬性關(guān)系(例如屬性相似關(guān)系)中的至少一種��。
[0058]例如��,歷史異常行為信息為“取款”�,“取款”對(duì)應(yīng)的異常行為序列包括第一異常行為序列:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款���,第二異常行為序列:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”取款_>走出銀行(該行為信息中有“東張西望”)��。第一異常行為序列中與“取款”對(duì)應(yīng)的關(guān)聯(lián)行為信息為“走進(jìn)銀行(該行為信息中有“東張西望”)���,,、“插卡(該行為信息中有“手發(fā)抖”)”�����,第二異常行為序列中與“取款”對(duì)應(yīng)的關(guān)聯(lián)行為信息為“走進(jìn)銀行(該行為信息中有“東張西望”)�����,���,���、“插卡(該行為信息中有“手發(fā)抖”),�����,���、“走出銀行(該行為信息中有“東張西望”)”�����。
[0059]通過獲取的關(guān)聯(lián)行為信息�,挖掘出歷史異常行為信息及其關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系。
[0060]步驟108����,根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息,將待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列�。
[0061]根據(jù)上述步驟106獲取的關(guān)聯(lián)關(guān)系,獲取待檢測行為信息的關(guān)聯(lián)行為信息����,然后將待檢測行為信息及其關(guān)聯(lián)行為信息按照前述的關(guān)聯(lián)關(guān)系組成待檢測行為序列。
[0062]步驟110���,計(jì)算待檢測行為序列與異常行為序列的相似度�。
[0063]在本實(shí)施例中���,待檢測行為序列與異常行為序列的相似度為:將待檢測行為序列轉(zhuǎn)換成異常行為序列的代價(jià)。轉(zhuǎn)換代價(jià)越高則說明這兩個(gè)行為序列的相似度越低��。轉(zhuǎn)換代價(jià)指是指:由待檢測行為序列轉(zhuǎn)換成異常行為序列所需的最少編輯操作次數(shù)�。計(jì)入操作次數(shù)的編輯操作包括:將一個(gè)行為信息替換成另一個(gè)匹配度小于或等于第二預(yù)設(shè)閾值行為信息、插入一個(gè)行為信息��、刪除一個(gè)行為信息��。不計(jì)入操作次數(shù)的編輯操作包括將一個(gè)行為信息替換成另一個(gè)匹配度大于第二預(yù)設(shè)閾值的行為信息。
[0064]步驟112��,獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對(duì)應(yīng)的待檢測行為信息�,將獲取的待檢測行為信息判定為異常行為信息。
[0065]比較上述實(shí)施例獲取的相似度與第二預(yù)設(shè)閾值的大小�����,由于異常行為序列可能有一個(gè)或者多個(gè)���,所以異常行為序列與待檢測行為序列進(jìn)行比對(duì)得到的相似度可能有一個(gè)或者多個(gè)��,在本實(shí)施例中��,只要存在一個(gè)大于第二預(yù)設(shè)閾值的相似度時(shí)��,即可將待檢測行為信息標(biāo)記為異常行為信息�����。
[0066]上述的異常行為檢測方法�����,根據(jù)歷史異常行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息的關(guān)聯(lián)關(guān)系�����,挖掘出待檢測行為信息對(duì)應(yīng)的待檢測行為序列;計(jì)算待檢測行為序列與異常行為序列的相似度����,將相似度大于第二預(yù)設(shè)閾值的待檢測行為信息標(biāo)記為異常行為信息。上述的異常行為檢測方法�����,提高了用戶異常行為檢測的準(zhǔn)確度���,減少了用戶異常行為檢測的錯(cuò)誤率��。
[0067]在一個(gè)實(shí)施例中����,在步驟102獲取用戶的待檢測行為信息的步驟之前�,該方法還包括:建立用戶行為數(shù)據(jù)庫的步驟�。
[0068]如圖2所示,建立用戶行為數(shù)據(jù)庫的步驟具體包括:
[0069]步驟202����,獲取具有相同屬性信息的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息�。
[0070]具有相同屬性信息的歷史行為信息是指具有相同屬性信息的用戶的歷史行為信息���。歷史行為信息包括歷史異常行為信息和歷史非異常行為信息��。例如�����,用戶在購物網(wǎng)站上購物時(shí)進(jìn)行的操作信息����,能夠通過購物網(wǎng)站的后臺(tái)記錄獲取����。用戶在ATM機(jī)取款時(shí)進(jìn)行的操作信息,可以通過ATM機(jī)的后臺(tái)記錄及ATM機(jī)上安裝的攝像頭獲取��。公共場所用戶的活動(dòng)信息��,可以通過公共場所安裝的攝像頭獲取����。需要說明的是,獲取到的用戶歷史行為信息已被標(biāo)注為異?���;蛘叻钱惓?����。在本實(shí)施例中����,非異常是指正?��;蛘卟淮_定狀態(tài)���。
[0071]步驟204,獲取歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列��。
[0072]在本實(shí)施例中��,歷史異常行為信息所對(duì)應(yīng)的關(guān)聯(lián)行為信息是指與歷史異常行為信息存在預(yù)定關(guān)聯(lián)關(guān)系的關(guān)聯(lián)行為信息�。預(yù)定關(guān)聯(lián)關(guān)系包括時(shí)間關(guān)系(例如時(shí)間先后關(guān)系)、空間關(guān)系(例如空間相鄰關(guān)系)����、因果關(guān)系和屬性關(guān)系(例如屬性相似關(guān)系)中的至少一種�����。
[0073]步驟206,根據(jù)獲取歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列獲取異常行為序列�����。
[0074]在本實(shí)施例中����,如圖3所示,根據(jù)獲取歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列獲取異常行為序列的具體過程包括:
[0075]步驟226�,計(jì)算歷史異常行為信息所屬的第i類異常行為序列中的第j項(xiàng)行為信息與歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度。
[0076]步驟246���,判斷該匹配度是否大于第一預(yù)設(shè)閾值�����,如果是�,則執(zhí)行步驟266�����。
[0077]步驟266���,當(dāng)匹配度大于第一預(yù)設(shè)值時(shí)�����,則將第j項(xiàng)行為信息從歷史異常行為信息所屬的第i類行為序列中刪除�。
[0078]步驟286,當(dāng)匹配度小于第一預(yù)設(shè)值時(shí)�,則將第j項(xiàng)行為信息保留在歷史異常行為信息所屬的第i類行為序列中。
[0079]對(duì)歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;對(duì)歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟��。
[0080]即重復(fù)執(zhí)行步驟226至步驟286��,直至得到最終的序列作為歷史異常行為信息對(duì)應(yīng)的異常行為序列�。在本實(shí)施例中,i��,j�,k均為正整數(shù)。
[0081 ]例如���,通過ATM機(jī)的后臺(tái)記錄及ATM機(jī)上安裝的攝像頭獲取���,用戶在ATM機(jī)取款時(shí)進(jìn)行的操作信息,其中異常取款行為標(biāo)記有3000個(gè),其中2600個(gè)是非瞎子用戶的�����,400個(gè)是瞎子用戶的����。
[0082](可能為盜用別人的銀行卡來取款的行為)�����。通過聚類算法對(duì)這2600個(gè)非瞎子用戶的行為序列進(jìn)行歸類:
[0083]第I類:走進(jìn)銀行(該行為信息中有“東張西望”)->插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)��。
[0084]第2類:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)��。
[0085]第3類:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中有“東張西望”)����。
[0086]第4類:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
[0087]另外非異常取款行為標(biāo)記有60000個(gè)��,其中50000個(gè)是非瞎子用戶的���,10000個(gè)是瞎子用戶的�����。
[0088]通過聚類算法對(duì)這50000萬個(gè)非瞎子用戶的行為序列進(jìn)行歸類:
[0089]第I類:走進(jìn)銀行(該行為信息中沒有“東張西望”)->插卡(該行為信息中沒有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)�。
[0090]第2類:走進(jìn)銀行(該行為信息中沒有“東張西望”)_>插卡(該行為信息中沒有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)。
[0091]如果異常取款行為所屬的第i類行為序列中的第j項(xiàng)行為信息與非異常取款行為所屬的某一類行為序列中的第j項(xiàng)行為信息匹配度大于第一預(yù)設(shè)值���,則將第j項(xiàng)行為信息從異常取款行為所屬的第i類行為序列中刪除���,最終得到的序列作為異常取款行為對(duì)應(yīng)的異常行為序列;如果得到了多個(gè)異常行為序列���,刪除重復(fù)的異常行為序列�����,得到多類異常行為序列�。需要說明的是��,異常行為“取款行為”本身無需比較和刪除��。
[0092]根據(jù)上述的方式:
[0093]異常取款行為所屬的第I類行為序列中的輸入密碼(該行為信息中有“多次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有�����,刪除;異常取款行為所屬的第I類行為序列中的走出銀行(該行為信息中沒有“東張西望”)在非異常取款行為所屬的某一類行為序列中有,刪除�;得到的異常行為序列為:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖” )_>取款。
[0094]異常取款行為所屬的第2類行為序列中的輸入密碼(該行為信息中有“I次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有�,刪除;異常取款行為所屬的第I類行為序列中的走出銀行(該行為信息中沒有“東張西望”)在非異常取款行為所屬的某一類行為序列中有,刪除����;得到的異常行為序列為:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖” )_>取款��。
[0095]異常取款行為所屬的第3類行為序列中的輸入密碼(該行為信息中有“多次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有��,刪除;得到的異常行為序列為:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)�。
[0096]異常取款行為所屬的第4類行為序列中的輸入密碼(該行為信息中有“I次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有,刪除;得到的異常行為序列為:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)����。
[0097]對(duì)得到的異常行為序列進(jìn)行歸類,得到2類非瞎子用戶的異常取款行為對(duì)應(yīng)的異常行為序列����,因此與異常取款行為所關(guān)聯(lián)的異常行為序列為:
[0098]第I類:走進(jìn)銀行(該行為信息中有“東張西望”)->插卡(該行為信息中有“手發(fā)抖”)_>取款
[0099]第2類:走進(jìn)銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
[0100]步驟208��,將關(guān)聯(lián)行為信息�����,以及異常行為序列存儲(chǔ)至用戶行為數(shù)據(jù)庫。
[0101]進(jìn)一步地����,將上述步驟中獲取的歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息,屬性信息及其歷史異常行為信息��,以及歷史異常行為信息對(duì)應(yīng)的異常行為序列建立關(guān)聯(lián)后保存至用戶行為數(shù)據(jù)庫��。例如�,以記錄的形式存儲(chǔ)。
[0102]上述步驟建立的用戶行為數(shù)據(jù)庫����,用戶的屬性信息、歷史行為信息����、關(guān)聯(lián)行為信息以及異常行為序列之間存在著對(duì)應(yīng)關(guān)系。用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫�。通過上述的方式建立的用戶行為數(shù)據(jù)庫便于后續(xù)的待檢測行為信息的檢測,提高了檢測效率�。
[0103]在一個(gè)實(shí)施例中,采用文本匹配方式計(jì)算待檢測行為信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度���。如圖4所示�����,具體的實(shí)施步驟為:
[0104]步驟402�,從待檢測行為信息中抽取第一關(guān)鍵詞,并從歷史異常行為信息中抽取第一■關(guān)鍵詞���。
[0105]從待檢測行為信息和歷史異常行為信息的兩個(gè)文本中分別抽取第一關(guān)鍵詞和第二關(guān)鍵詞�����。在本實(shí)施例中,第一關(guān)鍵詞和第二關(guān)鍵詞的數(shù)目可以為一個(gè)或者多個(gè)�,且第一關(guān)鍵詞和第二關(guān)鍵詞的數(shù)目相等。
[0106]步驟404�,對(duì)第一關(guān)鍵詞和第二關(guān)鍵詞進(jìn)行匹配。
[0107]對(duì)從兩個(gè)文本中抽取出的關(guān)鍵詞進(jìn)行匹配���。其中�,在進(jìn)行關(guān)鍵詞匹配時(shí)�,將關(guān)鍵詞作為字符串,既可以采用字符串的精確匹配���,也可以采用字符串的模糊匹配�。
[0108]步驟406,計(jì)算第一關(guān)鍵詞和第二關(guān)鍵詞的匹配度�����。
[0109]在本實(shí)施例中�,將匹配成功的關(guān)鍵詞數(shù)目與總的關(guān)鍵詞數(shù)目的比值作為匹配度。
[0110]通過上述方式將計(jì)算得到的匹配度與第一預(yù)設(shè)閾值作比較�,獲取一個(gè)或多個(gè)大于第一預(yù)設(shè)閾值的匹配度對(duì)應(yīng)的歷史異常行為信息。
[0111]通過上述的文本匹配方式�,從用戶行為數(shù)據(jù)庫中篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息,提高了用戶異常行為檢測的準(zhǔn)確率����。
[0112]在一個(gè)實(shí)施例中,計(jì)算待檢測行為序列與異常行為序列的相似度的步驟包括:計(jì)算待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價(jià)����,將轉(zhuǎn)換代價(jià)作為相似度。
[0113]在一個(gè)實(shí)施例中�,轉(zhuǎn)換代價(jià)是指兩個(gè)行為序列之間,由一個(gè)轉(zhuǎn)換成另一個(gè)所需的最少編輯操作的次數(shù)�����。計(jì)入操作次數(shù)的編輯操作包括:將一個(gè)行為信息替換成另一個(gè)行為信息,插入一個(gè)行為信息���,或者刪除一個(gè)行為信息����。不計(jì)入操作次數(shù)的編輯操作包括將一個(gè)行為信息替換成另一個(gè)匹配度大于預(yù)設(shè)值的行為信息��。在一個(gè)實(shí)施例中����,待檢測行為序列與異常行為序列的相似度為:將待檢測行為序列異常行為序列的代價(jià)。轉(zhuǎn)換代價(jià)越高則表明待檢測行為序列與異常行為序列的相似度越低����。
[0114]轉(zhuǎn)換代價(jià)的具體計(jì)算過程為:
[0115]假設(shè)待檢測行為序列A包含m個(gè)行為信息A1�,記為
ie [l,m]�����。異常行為序列B包含η個(gè)行為信息Bj��,記為:Β={Βι����,Β2,...��,Bn}�����,其中����,η彡I����,je[l,n]0
[0116]假設(shè)F(i,j)為將待檢測行為序列A=M^A2,...���,仏}轉(zhuǎn)換成異常行為序列B=IB1,B2,...�,Bj}的代價(jià)���,其中�����,F(xiàn)(0���,0) = 0�,F(xiàn)(0�����,j) = j 表示將空字符串轉(zhuǎn)換為 B={Bi��,B2����,...,Bj},那么需要進(jìn)行的操作次數(shù)為B= (B1��,B2��,...���,Bj的長度j�����,所進(jìn)行的操作即為將B= {Bi,B2,...%}所有的行為信息1插入<^(1���,0) = 1表示解釋將八=01�,如,...���,Ai}轉(zhuǎn)換為空字符串��,那么需要進(jìn)行的操作次數(shù)為A=...,A1)的長度i�,所進(jìn)行的操作即為將A= (A1,A2,...�,&}所有的行為信息丟棄。
[0117]在一個(gè)實(shí)施例中�,計(jì)算F(i,j)的過程為:
[0118]假設(shè)?(卜1��,」-1)����、?(卜1�,」)、��?(1�,」-1)的值已經(jīng)通過同樣的過程求出。
[0119](I)若六1與&的匹配度gUnBj大于或等于第二預(yù)設(shè)值,待檢測行為序列A= M1,A2,...�,&}與異常行為序列B=IB1, B2,...,Bj}之間的刪除��、替換或者插入均不會(huì)對(duì)轉(zhuǎn)換代價(jià)有較大影響���,因此此時(shí)轉(zhuǎn)換代價(jià)F( i�,j) =F( 1-1�����,j-1)�。
[0120](2)若仏與氏的匹配度小于第二預(yù)設(shè)值,
[0121]當(dāng)1^11作(1-1�����,」-1)�����,���?(1-1�,」)����,?(1�,」-1)}=?(1-1,」-1)時(shí)�����,這時(shí)將待檢測行為序列A= (A1J2,...�����,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...���,Bj}需要把Ai替換為Bj����,此時(shí)轉(zhuǎn)換R#F(i����,j)=F(1-l,j-l)+l;
[0122]當(dāng)min{F(1-l��,j-l),F(xiàn)(1-l���,j)����,F(xiàn)(i����,j-l)}=F(1-l,j)時(shí)����,這時(shí)將待檢測行為序列 A= {Ai,A2)...,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...���,Bj}需要將Ai刪除��,此時(shí)轉(zhuǎn)換代價(jià)F(i�����,j)=F(1-l��,j-l)+l;
[0123]當(dāng)min{F(1-l��,j-1)��,F(xiàn)(1-l��,j)����,F(xiàn)(i�����,j_l)}=F(i��,j_l)時(shí)���,這將待檢測行為序列A ={Al,A2,...▲}轉(zhuǎn)換成異常行為序列8=他�����,82���,...,Bj}需要在Ai后插入字符Bj�,此時(shí)轉(zhuǎn)換代^F(i,j)=F(1-l,j-l)+l0
[0124]在另一個(gè)實(shí)施例中��,計(jì)算F(i,j)的過程為:
[0125]假設(shè)�����?(卜1���,」-1)、����?(卜1,」)�、?(1���,」-1)的值已經(jīng)通過同樣的過程求出�����。
[0126](I)若六1與&的匹配度gUnBj大于或等于第二預(yù)設(shè)值�,待檢測行為序列A= M1,A2,...����,仏}與異常行為序列B=IB1, B2,...��,Bj}之間的刪除�����、替換或者插入均不會(huì)對(duì)轉(zhuǎn)換代價(jià)有較大影響�,因此此時(shí)轉(zhuǎn)換代價(jià)F( i����,j) =F( 1-1��,j-1) + (l-g(Ai���,Bj)) o
[0127](2)若仏與氏的匹配度小于第二預(yù)設(shè)值�,
[0128]當(dāng)1^11作(1-1����,」-1),���?(1-1���,」)�,�?(1,」-1)}=?(1-1�,」-1)時(shí),這時(shí)將待檢測行為序列A= (A1J2,...��,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...��,Bj}需要把Ai替換為Bj����,此時(shí)轉(zhuǎn)換代價(jià)F(i, j)=F(1-l,j-l) + (l-g(Ai�,Bj));
[0129]當(dāng)min{F(1-l,j-l)�,F(xiàn)(1-l,j)�,F(xiàn)(i,j-l)}=F(1-l����,j)時(shí),這時(shí)將待檢測行為序列 A= {Ai,A2)...�����,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...,Bj}需要將Ai刪除����,此時(shí)轉(zhuǎn)換代價(jià)F(i,j)=F(1-l����,j-l) + l ;當(dāng)min{F(1-l����,j-1),F(xiàn)(1-l�,j)���,F(xiàn)(i��,j-1)} =F(i�,j-1)時(shí)�����,這將待檢測行為序列A= MiA2,...,Ai}轉(zhuǎn)換成異常行為序列B=IB1,B2,...�,Bj}需要在Ai后插入字符Bj,此時(shí)轉(zhuǎn)換代價(jià)F( i�����,j) =F( 1-1����,j-1 )+1。
[0130]在一個(gè)實(shí)施例中���,在將獲取的待檢測行為信息判定為異常行為信息的步驟之后�����,該方法還包括:將待檢測行為信息及其對(duì)應(yīng)的判定結(jié)果保存至用戶行為數(shù)據(jù)庫�����。
[0131]在本實(shí)施例中�����,將待檢測行為信息的判定結(jié)果���,即異常行為或正常行為�,標(biāo)注在待檢測行為信息中����,然后將待檢測行為信息、待檢測行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息�����、待檢測行為序列以及判定結(jié)果保存至用戶行為數(shù)據(jù)庫�。
[0132]需要補(bǔ)充的是,如果用戶現(xiàn)實(shí)檢驗(yàn)發(fā)現(xiàn)將該待檢測行為信息的判定結(jié)果標(biāo)注有誤�,則可對(duì)所述用戶行為數(shù)據(jù)庫中該待檢測行為信息的標(biāo)注進(jìn)行修改。
[0133]通過上述步驟��,將待檢測行為信息相關(guān)的數(shù)據(jù)存儲(chǔ)至用戶行為數(shù)據(jù)庫����,豐富了用戶行為數(shù)據(jù)����,進(jìn)一步提高了異常行為檢測的準(zhǔn)確度。
[0134]在一個(gè)實(shí)施例中��,如圖5所示,提出了一種異常行為檢測系統(tǒng)500�,該系統(tǒng)500包括:匹配度計(jì)算模塊502、歷史異常行為信息篩選模塊504���、關(guān)聯(lián)關(guān)系獲取模塊506��、待檢測行為序列生成模塊508�����、相似度計(jì)算模塊510和判定模塊512�����。
[0135]匹配度計(jì)算模塊502�,用于獲取用戶的屬性信息和待檢測行為信息����,并計(jì)算屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度。歷史異常行為信息篩選模塊504用于篩選出匹配度大于第一預(yù)設(shè)閾值的屬性信息�����,并從用戶行為數(shù)據(jù)庫中獲取與屬性信息對(duì)應(yīng)的歷史異常行為信息�。關(guān)聯(lián)關(guān)系獲取模塊506用于從用戶行為數(shù)據(jù)庫中獲取歷史異常行為信息對(duì)應(yīng)的異常行為序列�����,并獲取異常行為序列中歷史異常行為信息與歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系�,其中����,用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫。待檢測行為序列生成模塊508用于根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息���,將待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列�。相似度計(jì)算模塊510用于計(jì)算待檢測行為序列與異常行為序列的相似度�。判定模塊512用于獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對(duì)應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息��。
[0136]在一個(gè)實(shí)施例中�����,匹配度計(jì)算模塊502還用于從待檢測行為信息中抽取第一關(guān)鍵詞���,并從歷史異常行為信息中抽取第二關(guān)鍵詞;對(duì)第一關(guān)鍵詞和第二關(guān)鍵詞進(jìn)行匹配;計(jì)算第一關(guān)鍵詞和第二關(guān)鍵詞的匹配度。
[0137]在一個(gè)實(shí)施例中��,相似度計(jì)算模塊510還用于計(jì)算待檢測行為序列與異常行為序列之間的轉(zhuǎn)換代價(jià),將轉(zhuǎn)換代價(jià)作為相似度���,其中��,轉(zhuǎn)換代價(jià)為由待檢測行為序列轉(zhuǎn)換到異常行為序列所需的最少編輯操作的次數(shù)��。
[0138]在一個(gè)實(shí)施例中�����,如圖6所示����,該系統(tǒng)500還包括用戶行為數(shù)據(jù)庫建立模塊514��。用戶行為數(shù)據(jù)庫建立模塊514用于存儲(chǔ)歷史異常行為信息���,歷史異常行為信息所對(duì)應(yīng)的關(guān)聯(lián)行為信息����,以及歷史異常行為信息對(duì)應(yīng)的異常行為序列�。
[0139]在一個(gè)實(shí)施例中,用戶行為數(shù)據(jù)庫建立模塊514還用于將存儲(chǔ)待檢測行為信息����、待檢測行為序列��、以及待檢測行為信息對(duì)應(yīng)的判定結(jié)果�。
[0140]在一個(gè)實(shí)施例中��,用戶行為數(shù)據(jù)庫建立模塊514還用于計(jì)算歷史異常行為信息所屬的第i類異常行為序列中的第j項(xiàng)行為信息與歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度�,其中,i����,j,k均為正整數(shù)����;當(dāng)匹配度大于第一預(yù)設(shè)閾值時(shí),將第j項(xiàng)行為信息從歷史異常行為信息所屬的第i類行為序列中刪除���;當(dāng)匹配度小于第一預(yù)設(shè)閾值時(shí)�,將第j項(xiàng)行為信息保留在歷史異常行為信息所屬的第i類行為序列中�;對(duì)所述歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;對(duì)所述歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對(duì)應(yīng)的所述異常行為序列。
[0141]本實(shí)施例的異常行為檢測系統(tǒng)500用于實(shí)現(xiàn)前述的異常行為檢測方法��,因此異常行為檢測系統(tǒng)500中的具體實(shí)施可參見前文中異常行為檢測方法的實(shí)施例部分�,例如���,匹配度計(jì)算模塊502����、歷史異常行為信息篩選模塊504、關(guān)聯(lián)關(guān)系獲取模塊506�、待檢測行為序列生成模塊508、相似度計(jì)算模塊510和判定模塊512分別用于實(shí)現(xiàn)上述異常行為檢測方法中步驟102�����、104��、106����、108、110和112�����,所以�,其具體實(shí)現(xiàn)方式可參照前文中有關(guān)步驟102、104�、106�����、108���、110和112的各個(gè)實(shí)施例的描述,在此不再累述����。
[0142]上述的異常行為檢測系統(tǒng),根據(jù)歷史異常行為信息的關(guān)聯(lián)關(guān)系�,挖掘出待檢測行為信息對(duì)應(yīng)的待檢測行為序列;并計(jì)算待檢測行為序列與異常行為序列的相似度;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息����;將獲取的待檢測行為信息判定為異常行為信息。同一個(gè)行為可能在某些情況下是異常行為��,而在其他情況下是正常行為;通過異常行為序列對(duì)行為信息進(jìn)行判定����,不會(huì)將正常行為誤檢為異常行為,也不會(huì)將異常行為漏檢為正常行為����,從而使得異常行為檢測的準(zhǔn)確率高���。上述的異常行為檢測系統(tǒng),提高了用戶異常行為檢測的準(zhǔn)確度��。
[0143]以上所述實(shí)施例的各技術(shù)特征可以進(jìn)行任意的組合��,為使描述簡潔��,未對(duì)上述實(shí)施例中的各個(gè)技術(shù)特征所有可能的組合都進(jìn)行描述�,然而��,只要這些技術(shù)特征的組合不存在矛盾�����,都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍�。
[0144]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì)����,但并不能因此而理解為對(duì)發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是����,對(duì)于本領(lǐng)域的普通技術(shù)人員來說�����,在不脫離本發(fā)明構(gòu)思的前提下�,還可以做出若干變形和改進(jìn)�����,這些都屬于本發(fā)明的保護(hù)范圍�。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)�����。
【主權(quán)項(xiàng)】
1.一種異常行為檢測方法���,其特征在于��,包括以下步驟: 獲取用戶的屬性信息和待檢測行為信息�,并計(jì)算所述屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度���; 篩選出所述匹配度大于第一預(yù)設(shè)閾值的屬性信息�,并從所述用戶行為數(shù)據(jù)庫中獲取與所述屬性信息對(duì)應(yīng)的歷史異常行為信息; 從所述用戶行為數(shù)據(jù)庫中獲取所述歷史異常行為信息對(duì)應(yīng)的異常行為序列���,并獲取所述異常行為序列中所述歷史異常行為信息與所述歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系����; 根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息����,將所述待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列; 計(jì)算所述待檢測行為序列與所述異常行為序列的相似度���; 獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列中的待檢測行為信息,將獲取的所述待檢測行為信息判定為異常行為信息��。2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述計(jì)算所述待檢測行為序列與所述異常行為序列的相似度的步驟包括: 計(jì)算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價(jià)����,將所述轉(zhuǎn)換代價(jià)作為所述相似度,其中,轉(zhuǎn)換代價(jià)為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)���。3.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����,在所述將獲取的待檢測行為信息判定為異常行為信息的步驟之后��,還包括:將所述待檢測行為信息的判定結(jié)果保存至所述用戶行為數(shù)據(jù)庫���。4.根據(jù)權(quán)利要求1所述的方法,其特征在于���,在所述獲取用戶的待檢測行為信息的步驟之前�����,還包括:建立所述用戶行為數(shù)據(jù)庫���; 所述建立所述用戶行為數(shù)據(jù)庫的步驟包括: 獲取具有相同屬性信息的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息; 獲取歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列; 根據(jù)獲取的歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列���,獲取異常行為序列����; 將所述歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息,以及所述異常行為序列存儲(chǔ)至所述用戶行為數(shù)據(jù)庫�,其中,所述用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫�。5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,所述根據(jù)獲取的歷史異常行為信息對(duì)應(yīng)的行為序列和歷史非異常行為信息對(duì)應(yīng)的行為序列,獲取異常行為序列的步驟包括: 計(jì)算所述歷史異常行為信息所屬的第i類行為序列中的第j項(xiàng)行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度�,其中,i����,j���,k均為正整數(shù)��; 判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值���; 如果是,則將第j項(xiàng)行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除�; 對(duì)所述歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟�; 對(duì)所述歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟�����; 獲取最終的所述行為序列作為所述歷史異常行為信息對(duì)應(yīng)的所述異常行為序列����。6.一種異常行為檢測系統(tǒng),其特征在于�����,包括: 匹配度計(jì)算模塊���,用于獲取用戶的屬性信息和待檢測行為信息���,并計(jì)算所述屬性信息與預(yù)先存儲(chǔ)的用戶行為數(shù)據(jù)庫中的屬性信息的匹配度; 歷史異常行為信息獲取模塊����,用于篩選出所述匹配度大于第一預(yù)設(shè)閾值的屬性信息,并從所述用戶行為數(shù)據(jù)庫中獲取與所述屬性信息對(duì)應(yīng)的歷史異常行為信息���; 關(guān)聯(lián)關(guān)系獲取模塊��,用于從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對(duì)應(yīng)的異常行為序列���,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對(duì)應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系�,其中����,所述用戶行為數(shù)據(jù)庫的存儲(chǔ)方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲(chǔ)庫; 待檢測行為序列生成模塊���,用于根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息�����,將所述待檢測行為信息及其對(duì)應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列���; 相似度計(jì)算模塊,用于計(jì)算所述待檢測行為序列與所述異常行為序列的相似度���; 判定模塊,用于獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對(duì)應(yīng)的待檢測行為信息�����,將獲取的待檢測行為信息判定為異常行為信息。7.根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,相似度計(jì)算模塊還用于計(jì)算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價(jià)����,將所述轉(zhuǎn)換代價(jià)作為所述相似度,其中����,轉(zhuǎn)換代價(jià)為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。8.根據(jù)權(quán)利要求6所述的系統(tǒng)���,其特征在于�,還包括:用戶行為數(shù)據(jù)庫建立模塊;所述用戶行為數(shù)據(jù)庫建立模塊還用于存儲(chǔ)所述歷史異常行為信息���,所述歷史異常行為信息所對(duì)應(yīng)的關(guān)聯(lián)行為信息���,以及所述歷史異常行為信息對(duì)應(yīng)的異常行為序列。9.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于,所述用戶行為數(shù)據(jù)庫建立模塊還用于將存儲(chǔ)所述待檢測行為信息及其對(duì)應(yīng)的判定結(jié)果����。10.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于����,所述用戶行為數(shù)據(jù)庫建立模塊還用于計(jì)算所述歷史異常行為信息所屬的第i類行為序列中的第j項(xiàng)行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項(xiàng)行為信息的匹配度,其中���,i����,j��,k均為正整數(shù);判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值;如果是�����,則將第j項(xiàng)行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;對(duì)所述歷史非異常行為信息所屬的所有行為序列中的第j項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;對(duì)所述歷史異常行為信息所屬的第i類行為序列中的所有項(xiàng)行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對(duì)應(yīng)的所述異常行為序列�。
【文檔編號(hào)】G06F17/30GK105912652SQ201610219086
【公開日】2016年8月31日
【申請(qǐng)日】2016年4月8日
【發(fā)明人】朱定局
【申請(qǐng)人】華南師范大學(xué)