CN111612037B

CN111612037B - 异常用户检测方法、装置、介质及电子设备

Info

Publication number: CN111612037B
Application number: CN202010331880.6A
Authority: CN
Inventors: 胡青宇; 古承炬; 何振; 尹小亮; 林育芳; 陈炯其
Original assignee: Ping An Zhitong Consulting Co Ltd Shanghai Branch
Current assignee: Ping An Zhitong Consulting Co Ltd Shanghai Branch
Priority date: 2020-04-24
Filing date: 2020-04-24
Publication date: 2024-06-21
Anticipated expiration: 2040-04-24
Also published as: CN111612037A

Abstract

本申请涉及人工智能技术领域，可应用于智慧安防场景中，提供一种异常用户检测方法，该方法包括：由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集；对搜索得到的子数据集中的用户样本进行聚类得到用户样本聚类簇后，计算子数据集的轮廓系数；获取轮廓系数大于预定阈值的子数据集，作为待检测特征数据集；将每个待检测特征数据集，输入孤立森林异常检测模型，得到预测异常用户样本；对待检测特征数据集评分，以基于评分确定第一级的用户行为特征数据集中的异常用户样本。本申请的实施例有效提升异常用户检测的准确性及可靠性。

Description

异常用户检测方法、装置、介质及电子设备

技术领域

本申请涉及人工智能技术领域，具体而言，涉及一种异常用户检测方法、装置、介质及电子设备。

背景技术

随着人工智能(AI)热潮的兴起与蓬勃发展，人工智能技术在异常检测场景的落地应用越来越受到各行各业的关注。但运用人工智能技术进行异常检测却存在数据标签少或无标签的技术难点，因此无监督学习技术几乎成了唯一选择。而无监督学习技术中又以孤立森林算法较为常用。正常情况下，孤立森林算法可以输出全局的相对异常点；而异常用户，往往会伪装为正常用户，仅仅是在局部的特征上表现为异常；在不知道异常用户会在哪些行为上表现异常，往往需要尽可能多的开发特征，导致维度灾难；而且虽然丰富了特征维度，但是也给孤立森林算法模型带来了不可识别的噪音；因此，全局的相对异常点并不总是意味着真实的异常用户。这样，现有技术中，在异常用户检测时，存在检测准确性及可靠性较低的问题。

因此，需要提供一种新的异常用户检测方案。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本申请的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本申请的目的在于提供一种异常用户检测方案，进而至少在一定程度上有效提升异常用户检测的准确性及可靠性。

根据本申请的一个方面，提供一种异常用户检测方法，包括：

从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个所述子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；

对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数；

获取轮廓系数大于预定阈值的所述子数据集，作为待检测特征数据集；

将每个所述待检测特征数据集，输入孤立森林异常检测模型，得到每个所述待检测特征数据集内的预测异常用户样本；

利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本。

在本申请的一种示例性实施例中，所述后一级的多个所述用户行为特征数据集，包括：

后一级的所述用户行为特征数据集中的行为特征个数比前一级的所述用户行为特征数据集中的行为特征个数少第一预定个数。

在本申请的一种示例性实施例中，所述方法还包括：

所述目标级的用户行为特征数据集中行为特征个数大于等于第二预定个数。

在本申请的一种示例性实施例中，用户行为特征数据集包括：

与欺诈检测相关行为的特征数据集，所述与欺诈检测相关行为的特征数据集中包括欺诈用户团伙对应的用户样本集合的与欺诈检测相关行为的特征数据集。

在本申请的一种示例性实施例中，所述对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数，包括：

基于公式：计算所述子数据集中的每个用户样本的轮廓系数s(i)，其中，所述a(i)为每个用户样本到所属用户样本聚类簇中其它用户样本的距离平均值，所述b(i)为每个用户样本到非所属用户样本聚类簇中用户样本的距离平均值的最小值；

计算所述子数据集中的所有用户样本的轮廓系数的平均值，所述平均值为所述子数据集的轮廓系数。

在本申请的一种示例性实施例中，所述利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本，包括：

利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，计算每个所述待检测特征数据集的异常信心度；

基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本。

在本申请的一种示例性实施例中，所述利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，计算每个所述待检测特征数据集的异常信心度，包括：

基于公式计算每个所述待检测特征数据集的异常信心度β，其中，所述Xn1为预测异常用户样本到所属用户样本聚类簇中心点的距离，计算Xn2为用户样本聚类簇中所有非异常用户样本到中心点的距离，所述n为该待检测特征数据集中的异常用户样本个数。

在本申请的一种示例性实施例中，所述基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本，包括：

获取低于预定信心度阈值的所述异常信心度所对应的所述待检测特征数据集，作为异常特征数据集；

将所述异常特征数据集中的所述预测异常用户样本，确定为所述第一级的用户行为特征数据集中的异常用户样本；还包括，将所述异常用户样本存储至区块链中。

根据本申请的一个方面，一种异常用户检测装置，其特征在于，包括：

搜索模块，用于从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个所述子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；

计算模块，用于对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数；

获取模块，用于获取轮廓系数大于预定阈值的所述子数据集，作为待检测特征数据集；

预测模块，用于将每个所述待检测特征数据集，输入孤立森林异常检测模型，得到每个所述待检测特征数据集内的预测异常用户样本；

确定模块，用于利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本。

根据本申请的一个方面，提供一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述任一项所述的方法。

根据本申请的一个方面，提供一种电子设备，包括：

处理器；以及

存储器，用于存储所述处理器的计算机程序指令；其中，所述处理器配置为经由执行所述计算机程序指令来执行上述任一项所述的方法。

本申请一种异常用户检测方法及装置，首先，从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；可以由第一级至目标级，依次抽样组合生成各个级别的低维度的特征抽样空间对应的子数据集，进行后续的检测避免维度灾难，同时将前一级的多个子数据集作为后一级的多个用户行为特征数据集，可以进行梯度关联抽样搜索，后一级的数据集可以对前一级的数据集进一步进行解释。然后，对搜索得到的子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于用户样本聚类簇计算所述子数据集的轮廓系数；可以通过轮廓系数评价每个子数据集中用户样本的聚类效果，即所有用户样本聚类簇中用户样本的内聚度和分离度是否都相对较优。然后，获取轮廓系数大于预定阈值的子数据集，作为待检测特征数据集；可以获取到用户样本的聚类效果满足要求的待检测特征数据集，即所有的用户样本聚类簇中用户样本的内聚度和分离度是都相对较优，进而，确定出每个用户样本所属的优化的聚类群组。然后，将每个待检测特征数据集，输入孤立森林异常检测模型，得到每个待检测特征数据集内的预测异常用户样本；实现孤立森林异常检测模型基于低维度且聚类效果良好的特征子空间(待检测特征数据集)进行异常用户样本选择，工作负荷低且噪音低。最后，利用每个待检测特征数据集对应的用户样本聚类簇及预测异常用户样本，对待检测特征数据集评分，以基于评分确定第一级的用户行为特征数据集中的异常用户样本；通过聚类，得到每个待检测特征数据集对应的多个用户样本聚类簇，可以将每个待检测特征数据集的子空间中的每个用户样本都打上了所属群组的标签；同时，通过孤立森林的异常检测，可以将每个待检测特征数据集的子空间中的每个用户样本都打上是否异常的标签。进而可以通过预测异常用户样本及用户样本聚类簇，对每个待检测特征数据集进行异常评价，进一步保证基于特征子空间(待检测特征数据集)进行异常用户样本选择的可靠性。进而有效提升异常用户检测的准确性及可靠性，保证基于人工智能进行异常检测异常用户检测的准确性及可靠性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示意性示出一种异常用户检测方法的流程图。

图2示意性示出一种异常用户检测方法的应用场景示例图。

图3示意性示出一种异常用户样本确定方法的流程图。

图4示意性示出一种异常用户检测装置的方框图。

图5示意性示出一种用于实现上述异常用户检测方法的电子设备示例框图。

图6示意性示出一种用于实现上述异常用户检测方法的计算机可读存储介质。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本申请将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本申请的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本申请的各方面变得模糊。

此外，附图仅为本申请的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

本示例实施方式中首先提供了异常用户检测方法，该异常用户检测方法可以运行于服务器，也可以运行于服务器集群或云服务器等，当然，本领域技术人员也可以根据需求在其他平台运行本发明的方法，本示例性实施例中对此不做特殊限定。参考图1所示，该异常用户检测方法可以包括以下步骤：

步骤S110，从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个所述子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；

步骤S120，对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数；

步骤S130，获取轮廓系数大于预定阈值的所述子数据集，作为待检测特征数据集；

步骤S140，将每个所述待检测特征数据集，输入孤立森林异常检测模型，得到每个所述待检测特征数据集内的预测异常用户样本；

步骤S150，利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本。

上述异常用户检测方法中，首先，从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；可以由第一级至目标级，依次抽样组合生成各个级别的低维度的特征抽样空间对应的子数据集，进行后续的检测避免维度灾难，同时将前一级的多个子数据集作为后一级的多个用户行为特征数据集，可以进行梯度关联抽样搜索，后一级的数据集可以对前一级的数据集进一步进行解释。然后，对搜索得到的子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于用户样本聚类簇计算所述子数据集的轮廓系数；可以通过轮廓系数评价每个子数据集中用户样本的聚类效果，即所有用户样本聚类簇中用户样本的内聚度和分离度是否都相对较优。然后，获取轮廓系数大于预定阈值的子数据集，作为待检测特征数据集；可以获取到用户样本的聚类效果满足要求的待检测特征数据集，即所有的用户样本聚类簇中用户样本的内聚度和分离度是都相对较优，进而，确定出每个用户样本所属的优化的聚类群组。然后，将每个待检测特征数据集，输入孤立森林异常检测模型，得到每个待检测特征数据集内的预测异常用户样本；实现孤立森林异常检测模型基于低维度且聚类效果良好的特征子空间(待检测特征数据集)的异常用户样本选择，工作负荷低且噪音低。最后，利用每个待检测特征数据集对应的用户样本聚类簇及预测异常用户样本，对待检测特征数据集评分，以基于评分确定第一级的用户行为特征数据集中的异常用户样本；每个待检测特征数据集对应的用户样本聚类簇可以反映其中每个样本所属的聚类群组，同时预测异常用户样本可以反映每个聚类群组中的用户样本的异常情况，进而可以通过预测异常用户样本及用户样本聚类簇，对每个待检测特征数据集进行异常评价，进一步保证基于特征子空间(待检测特征数据集)进行异常用户样本选择的可靠性。进而有效提升异常用户检测的准确性及可靠性。本申请方案可以应用在智慧安防如安全监控等场景中，从而推动智慧城市的建设。

下面，将结合附图对本示例实施方式中上述异常用户检测方法中的各步骤进行详细的解释以及说明。

在步骤S110中，从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个所述子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同。

在本示例的实施方式中，参考图2所示，一种场景下，服务器201从服务器202获取第一级的用户行为特征数据集后，服务器201就可以从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同。其中，服务器201和服务器202可以是任何具有执行程序指令、存储功能的终端，例如云服务器、手机、电脑等。

第一级的用户行为特征数据集可以是获取的待检测用户集的行为特征数据集，例如手机银行的客户的金融交易相关行为特征数据。第一级的用户行为特征数据集为初始数据集，用于从中检测异常用户。对于第一级的用户行为特征数据集，其中的欺诈对象，往往伪装为正常用户，仅仅是在局部特征表现为异常，如果直接进行异常识别会带来特征维度灾难。

从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，即将第一级的用户行为特征数据集中搜索得到的多个子数据集(多个子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同)作为第二级的多个用户行为特征数据集，然后分别从第二级的每个用户行为特征数据集中搜索得到多个子数据集(多个子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同)作为第三级的多个用户行为特征数据集，依次直到目标级，得到第一级至目标级的各级对应的子数据集，完成搜索。

可以指定：start_len：子数据集的子空间中最多特征个数(第一级的用户行为特征数据集中搜索得到的子数据集对应的特征个数)，start_len<输入特征个数(第一级对应的特征个数)，end_len：子数据集的子空间中最少特征个数(目标级对应的特征个数)，其中，end_len<＝start_len(也就是，第一级对应的特征个数小于目标级对应的特征个数时)；step_len：每次搜索子数据集时，减少的特征个数，即相邻两个级的用户行为特征数据集中特征个数的差值。

当输入原始特征空间(第一级的用户行为特征数据集)，以step_len为长度，依次从start_len长度的特征子集合(第二级的用户行为特征数据集)向end_len长度的特征子集合(目标级的用户行为特征数据集)搜索所有的特征子集合(子数据集)，完成搜索。

一个示例中，指定start_len＝5，end_len＝3,step_len＝1。当输入第一级的用户行为特征数据集的原始特征空间包括特征[f1,f2,f3,f4,f5,f6]，可以搜索得到特征个数为5的6子数据集[f1,f2,f3,f4,f5]，[f1,f2,f3,f4,f6]，[f1,f2,f3,f5,f6]，[f1,f2,f4,f5,f6]，[f1,f3,f4,f5,f6]，[f2,f3,f4,f5,f6]，然后，将这6子数据集，作为第二级的用户行为特征数据集，分别进行搜索，直到第四级(目标级)，完成搜索。

这样可以由第一级至目标级，依次抽样组合生成各个级别的低维度的特征抽样空间对应的子数据集，进行后续的检测避免维度灾难，同时将前一级的多个子数据集作为后一级的多个用户行为特征数据集，可以进行梯度关联抽样搜索，后一级的数据集可以对前一级的数据集进一步进行解释。

一种实施例中，所述后一级的多个所述用户行为特征数据集，包括：

即从每一级的用户行为特征数据集中搜索子数据集时，子数据集中的行为特征个数比用户行为特征数据集中特征个数少第一预定个数，例如，某一级的用户行为特征数据集中行为特征个数为6，搜索的子数据集中行为特征个数比6少1个，则子数据集中行为特征个数为5，也就是某一级之后一级的用户行为特征数据集中行为特征个数为5。

第一预定个数可以根据需求设定，第一预定个数越大，搜索间隔越大，搜索速度越快。

一种实施例中，所述方法还包括：

第二预定个数可以根据需求设定，目标级的用户行为特征数据集中行为特征个数大于等于第二预定个数，可以保证搜索到的子数据集中特征个数大于等于第二预定个数，保证数据集的有效性。

一种实施例中，用户行为特征数据集包括：

与欺诈检测相关行为是预设的针对欺诈用户监测相关数据，例如，欺诈用户的年龄通常集中的某个年龄段，而欺诈行为与性别关联程度不高时，与欺诈检测相关行为就包括年龄特征数据，而不包括性别特性数据。这样可以保证欺诈用户检测的准确性和检测效率。

进一步的，欺诈用户团伙即多个用户在欺诈行为中具有联合关系，属于团伙作案。欺诈用户团伙对应的用户样本集合的与欺诈检测相关行为的特征数据集：即表现为联合欺诈异常的用户相关行为，例如，银行借贷中的联合担保过程中的相关行为，或者保险理赔过程中的联合骗保相关行为。

由于欺诈行为往往存在团伙作案风险，基于本申请后续实施例，可以有效进行基于团伙欺诈的欺诈异常用户检测。

在步骤S120中，对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数。

在本示例的实施方式中，对搜索得到的子数据集中的用户样本进行聚类，可以是通过聚类算法模型聚类形成用户样本聚类簇，聚类算法模型可以采用基于距离的聚类算法：k_means，可以使用手肘法确定最优模型。经过聚类将在局部且低维的子数据集上形成紧密或离散的用户样本聚类簇，可以得到每个用户样本在对应的子数据集内所属的聚类簇。

基于用户样本聚类簇计算子数据集的轮廓系数，可以是对用户样本聚类簇中每个用户样本，分别计算分别计算它们的轮廓系数，然后求平均值得到子数据集的轮廓系数。

这样可以通过轮廓系数评价每个子数据集中用户样本的聚类效果，即所有用户样本聚类簇中用户样本的内聚度和分离度是否都相对较优，轮廓系数越大子数据集中用户样本的聚类效果越优。

一种实施例中，对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数，包括：

基于公式：计算所述子数据集中的每个用户样本的轮廓系数s(i)，其中，所述a(i)为每个用户样本到所属用户样本聚类簇中其它用户样本的距离平均值，所述b(i)为每个用户样本到非所属用户样本聚类簇中用户样本的距离平均值的最小值的最小值；

例如，子数据集中的用户样本进行聚类得到k个用户样本聚类簇，对于簇中的每个用户样本向量，分别计算它们的轮廓系数s(i)。

对于其中的一个用户样本向量的点i来说：

计算a(i)＝average(i向量到所有它属于的簇中其它点的距离)；

计算b(i)＝min(i向量到所有非本身所在簇的点的平均距离)；

那么i向量轮廓系数就为：

可见轮廓系数的值是介于[-1,1]，越趋近于1代表内聚度和分离度都相对较优。si接近1，则说明样本i聚类合理；si接近-1，则说明样本i更应该分类到另外的簇；si近似为0，则说明样本i在两个簇的边界上。

则a(i)：i向量到同一簇内其他点不相似程度的平均值；b(i)：i向量到其他簇的平均不相似程度的最小值。

将所有点的轮廓系数求平均，就是子待搜索数据集聚类结果总的轮廓系数。

在步骤S130中，获取轮廓系数大于预定阈值的所述子数据集，作为待检测特征数据集。

在本示例的实施方式中，预定阈值为根据异常监测的合理性需求设定的阈值，该阈值例如可以是0.6或者0.8等。获取轮廓系数大于预定阈值的子数据集，作为待检测特征数据集；可以获取到用户样本的聚类效果满足要求的待检测特征数据集，即所有的用户样本聚类簇中用户样本的内聚度和分离度是都相对较优，进而，确定出每个用户样本所属的优化的聚类群组。

一种实施例中，对每一级搜索后的子数据集，保留轮廓系数大于所属预定阈值的子数据集，然后，对轮廓系数小于预定阈值的子数据集作为下一级的用户行为特征数据集，继续搜索下一级应的子数据集，依次搜索，直到目标级。

这样可以在第一级到目标级之间某一级中不存在轮廓系数小于预定阈值的子待搜索数据集，直接结束搜索。进而可以放弃对轮廓系数大于预定阈值的子数据集下的所有子数据集进行计算，避免重复计算。

在步骤S140中，将每个所述待检测特征数据集，输入孤立森林异常检测模型，得到每个所述待检测特征数据集内的预测异常用户样本。

在本示例的实施方式中，孤立森林异常检测模型是预先训练好的基于孤立森林算法的机器学习模型。可以通过孤立森林异常检测模型在各个低维度低的待检测特征数据集检测得到该空间内的预测异常用户样本。

这样可以实现孤立森林异常检测模型基于低维度且聚类效果良好的特征子空间(待检测特征数据集)进行异常用户样本选择，工作负荷低且噪音低。

孤立森林异常检测模型是通过将待检测特征数据集样本作为输入，通过调节模型参数，训练模型输出待检测特征数据集样本中的异常用户样本，当模型的预测精度达到预定阈值时，训练完成。

在步骤S150中，利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本。

在本示例的实施方式中，通过聚类，得到每个待检测特征数据集对应的多个用户样本聚类簇，可以将每个待检测特征数据集的子空间中的每个用户样本都打上了所属群组的标签；同时，通过孤立森林的异常检测，可以将每个待检测特征数据集的子空间中的每个用户样本都打上是否异常的标签。进而可以通过预测异常用户样本及用户样本聚类簇，对每个待检测特征数据集进行异常评分。

例如，可以通过待检测特征数据集对应的用户样本聚类簇中，包括预测异常用户样本的用户样本聚类簇的个数，作为评分，评分越高待检测特征数据集越异常。

进而，基于评分，可以将评分高的确定为异常的待检测特征数据集，进而将异常的待检测特征数据集确定为异常用户样本，其中，异常用户样本可以表现为欺诈异常或者具有还款风险的异常等。进一步保证基于特征子空间(待检测特征数据集)进行异常用户样本选择的可靠性。进而有效提升异常用户检测的准确性及可靠性，保证基于人工智能进行异常检测异常用户检测的准确性及可靠性。

一种实施例中，参考图3所示，利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本，包括：

步骤S310，利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，计算每个所述待检测特征数据集的异常信心度；

步骤S320，基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本。

异常信心度基于待检测特征数据集中预测异常用户样本到所属聚类簇中心点的距离，评价每个待检测特征数据集对应的抽样空间中预测异常用户样本所在群体的异常程度。异常信心度越低，待检测特征数据集中聚类簇越紧密，从而异常程度越高。进而，可以基于异常信心度的高低，确定第一级的用户行为特征数据集中异常的待检测特征数据集，并将异常的待检测特征数据集中的异常用户样本确定为最终的异常用户样本。

一种实施例中，利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，计算每个所述待检测特征数据集的异常信心度，包括：

基于公式可以针对待检测特征数据集中所有异常用户样本，根据预测异常用户样本到所属用户样本聚类簇中心点的距离，以及用户样本聚类簇中所有非异常用户样本到中心点的距离，计算得到每个所述待检测特征数据集的异常信心度。

一种实施例中，基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本，包括：

将所述异常特征数据集中的所述预测异常用户样本，确定为所述第一级的用户行为特征数据集中的异常用户样本；还包括，将异常用户样本存储至区块链中。

基于异常用户样本得到对应的摘要信息，具体来说，摘要信息由异常用户样本进行散列处理得到，比如利用sha256s算法处理得到。将摘要信息上传至区块链可保证其安全性和对用户的公正透明性。用户设备可以从区块链中下载得该摘要信息，以便查证异常用户样本是否被篡改。

预定信心度阈值为根据异常程度要求设定的阈值。低于预定信心度阈值的异常信心度所对应的待检测特征数据集中，所有的预测异常用户样本所属聚类簇越紧密，说明整个待检测特征数据集越靠近预测异常用户样本，进而可以将其作为异常特征数据集。进而，可以准确地将异常特征数据集中的预测异常用户样本，确定为第一级的用户行为特征数据集中的异常用户样本。

总之，本本申请地实施例，可以实现基于子空间群组的异常偏离度评价的孤立森林异常检测方法。不再是直接检测全局异常，而是在特征的抽样空间上进行异常检测，并且评价每个抽样空间异常点所在群体的异常程度。这种方式可以有效解决维度灾难问题，同时可靠定位到异常线索。

本申请还提供了一种异常用户检测装置。参考图4所示，该异常用户检测装置可以包括搜索模块410、计算模块420、获取模块430、预测模块440以及确定模块450。其中：

搜索模块410可以用于从第一级的用户行为特征数据集开始，由第一级至目标级依次从前一级的用户行为特征数据集中搜索多个子数据集作为后一级的多个用户行为特征数据集，其中，每一级的多个所述子数据集中子数据集两两之间特征个数相同且至少有一个特征互不相同；

计算模块420可以用于对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数；

获取模块430可以用于获取轮廓系数大于预定阈值的所述子数据集，作为待检测特征数据集；

预测模块440可以用于将每个所述待检测特征数据集，输入孤立森林异常检测模型，得到每个所述待检测特征数据集内的预测异常用户样本；

确定模块450可以用于利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，对所述待检测特征数据集评分，以基于所述评分确定所述第一级的用户行为特征数据集中的异常用户样本。

上述异常用户检测装置中各模块的具体细节已经在对应的异常用户检测方法中进行了详细的描述，因此此处不再赘述。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

此外，尽管在附图中以特定顺序描述了本申请中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本申请实施方式的方法。

在本申请的示例性实施例中，还提供了一种能够实现上述方法的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为***、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“***”。

下面参照图5来描述根据本发明的这种实施方式的电子设备500。图5显示的电子设备500仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，电子设备500以通用计算设备的形式表现。电子设备500的组件可以包括但不限于：上述至少一个处理单元510、上述至少一个存储单元520、连接不同***组件(包括存储单元520和处理单元510)的总线530。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元510执行，使得所述处理单元510执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元510可以执行如图1中所示的：

存储单元520可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)5201和/或高速缓存存储单元5202，还可以进一步包括只读存储单元(ROM)5203。

存储单元520还可以包括具有一组(至少一个)程序模块5205的程序/实用工具5204，这样的程序模块5205包括但不限于：操作***、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线530可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备500也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得客户能与该电子设备500交互的设备通信，和/或与使得该电子设备500能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口550进行，还可以包括与输入/输出(I/O)接口550连接的显示单元540。并且，电子设备500还可以通过网络适配器560与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器560通过总线530与电子设备500的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备500使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本申请实施方式的方法。

在本申请的示例性实施例中，参考图6所示，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。

参考图6所示，描述了根据本发明的实施方式的用于实现上述方法的程序产品600，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行***、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

本申请所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在客户计算设备上执行、部分地在客户设备上执行、作为一个独立的软件包执行、部分在客户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到客户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其他实施例。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由权利要求指出。

Claims

1.一种异常用户检测方法，其特征在于，包括：

其中，计算每个所述待检测特征数据集的异常信心度包括：

基于公式计算每个所述待检测特征数据集的异常信心度β，其中，所述Xn1为预测异常用户样本到所属用户样本聚类簇中心点的距离，计算Xn2为用户样本聚类簇中所有非异常用户样本到中心点的距离，所述n为该待检测特征数据集中的异常用户样本个数；

2.根据权利要求1所述的方法，其特征在于，所述后一级的多个所述用户行为特征数据集，包括：

3.根据权利要求1所述的方法，其特征在于，所述用户行为特征数据集包括：

4.根据权利要求1所述的方法，其特征在于，所述对搜索得到的所述子数据集中的用户样本进行聚类得到用户样本聚类簇后，基于所述用户样本聚类簇计算所述子数据集的轮廓系数，包括：

5.根据权利要求1所述的方法，其特征在于，所述基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本，包括：

将所述异常特征数据集中的所述预测异常用户样本，确定为所述第一级的用户行为特征数据集中的异常用户样本；

还包括，将所述异常用户样本存储至区块链中。

6.一种异常用户检测装置，其特征在于，包括：

确定模块，用于利用每个所述待检测特征数据集对应的用户样本聚类簇及所述预测异常用户样本，计算每个所述待检测特征数据集的异常信心度；基于所述异常信心度，确定所述第一级的用户行为特征数据集中的异常用户样本；

所述确定模块还被配置为：

计算每个所述待检测特征数据集的异常信心度包括：

7.一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1-5任一项所述的方法。

8.一种电子设备，其特征在于，包括：

处理器；以及

存储器，用于存储所述处理器的计算机程序指令；其中，所述处理器配置为经由执行所述计算机程序指令来执行权利要求1-5任一项所述的方法。