CN112966732B - 具有周期属性的多因素交互行为异常检测方法 - Google Patents

Abstract

本发明涉及一种具有周期属性的多因素交互行为异常检测方法，其个体行为在于对每个用户单独考虑，分析用户历史正常交互行为，根据用户历史正常交互行为模式对用户当前交互行为进行检测。不仅考虑了登陆时间属性、工作时间登录属性、登陆间隔、关键页面停留时间属性，还考虑了用户交互持续时间、关键路径触发属性，更加充分的描述了用户的***交互行为；而且所提出的交互行为周期划分算法对用户行为的周期特性进行分析，同时在异常行为检测模型中使用调整余弦相似度对交互行为进行衡量，在保证了行为向量的数值特性不被破坏的基础上增加了对行为方向特性的刻画。为交互行为的异常判断与检测提供了技术支持。

Description

具有周期属性的多因素交互行为异常检测方法

技术领域

本发明涉及一种信息技术领域，特别涉及一种具有周期属性的多因素交互行为异常检测方法。

背景技术

近年来，我国经济快速发展，计算机技术不断应用于金融交易领域中，随着“互联网+”时代的到来，在线支付也变得越来越流行，互联网金融已经成为金融行业发展的主流趋势。而且网络支付和无卡支付(例如，PayPal和AliPay)变得越来越流行，随之而来的是交易欺诈增长的十分迅速。

现有的大部分身份认证技术都是基于用户的账户名和密码。在短时间内对用户进行身份认证，之后无论用户的真实身份是什么，用户所做的一切行为都将被视为合法行为。为了弥补单一的用户名密码的身份认证模式带来的缺陷，近年来许多学者也倾向于数据特征挖掘和行为分析方法用于身份识别领域。如对用户Web日志采用关联规则挖掘、隐马尔可夫过程、半马尔可夫过程、贝叶斯网络、神经网络和随机森林等方法进行行为建模和预测。尽管目前很努力的解决用户身份识别问题，但是依然面临着诸多困难。

目前个体行为画像主要应用于智能营销、点击预测和软件***优化等领域，通过分析用户的历史交互行为数据提炼统计学特征，如交互频率，交互时延、浏览路径等信息，给用户操作行为打上标签，根据用户所属的标签实现广告推荐、营销和预测等。然而在交互行为异常检测领域，根据每个用户都有自己独特的交互行为习惯，如登录***的时间，交互的时间长短，点击的频率等都存在不同，通过分析用户的交互行为模式构建用户行为模型，再利用该模型对该用户的交互特征进行匹配度检测，进而识别用户的操作是否由其本人触发。

但是由于不同的外界场景刺激，用户很难一直以一个稳定周期产生交互行为，如双十一购物节、热门节假日的车票购票场景中，用户的交互行为往往与平常的交互场景有很大不同。由于此类场景的随机性和离散性加上用户自身的行为差异，用户的交互行为时序特征往往具备一定的周期性，因此，例如使用快速傅里叶变换等快速计算时域序列周期的方法都不能很好的适用于用户交互行为的分析，现有的交互行为异常检测研究往往也忽略了行为的周期性特征，导致模型对于此类场景下的交互行为的判断往往存在偏差。

发明内容

本发明是针对互联网中交互行为异常检测的问题，提出了一种具有周期属性的多因素交互行为异常检测方法，从用户个体出发，充分考虑不同用户之间的差异性，和交互行为的周期性特征，对用户的交互行为进行合法性判别。

本发明的技术方案为一种具有周期属性的多因素交互行为异常检测方法，具体包括如下步骤：

1)建立正常用户交互行为画像：从用户历史交易数据库中提取该用户的正常交易数据，建立登陆时间属性、工作时间登录属性、登陆间隔、关键页面停留时间属性、用户交互持续时间属性、关键路径触发属性，构建用户包括多维度属性的交互行为画像IBC^u；

2)在步骤1)基础上，根据用户行为记录生成用户的行为间隔序列，计算用户的周期稳定性阈值；其次根据行为周期划分方法，依次比较行为间隔序列中的相邻元素是否满足周期稳定性阈值，输出用户的交互行为周期序列，最后计算具有周期属性的正常交互行为画像UCP_u；

3)计算交互行为最大偏离基准：根据该用户所有交易数据，重复步骤1)、2)获取该用户具有周期属性的交互行为画像UCP'_u作为用户历史交互行为，对于UCP'_u中每一条交互行为记录，与具有周期属性的正常用户交互行为画像UCP_u进行匹配，依次计算用户每一条历史交互行为与正常用户交互行为画像之间的相似度计算，根据最大相似度Max_sim和最小相似度Min_sim的范围，从中依次取值，将用户历史交互行为进行划分为正常行为和异常行为，并且计算划分效果DB，将划分效果最佳的值作为用户的交互行为最大偏离基准，记为Benchmark_u；

4)建立多因素交互行为识别方法：根据步骤1)计算用户当前交互行为画像UCP_now，计算当前交互行为与步骤3)所得用户正常交互行为画像的偏离程度，如此偏离程度在Benchmark_u的可接受范围之内，则判断为正常交互，如偏离程度不在Benchmark_u的可接受范围之内，则判断为异常交互。

优选的，所述步骤1)具体实现方法如下：

1.1)提取用户历史正常交互行为记录：

将用户的历史交互行为数据集中，依据其正常交互和异常交互给样本标记正负字段，提取出用户正常交互数据作为正样本数据；

1.2)计算登录时间属性：

对正样本数据正提取用户的登录时间集合，依据每日的小时划分方法将一天划分为多个时间区间time₁,time₂,...,time_n，计算用户在各个区间内登录发生的概率，利用如下公式计算出用户登录时间属性，

其中，time_n为n个时间区间属性，|lta_n|为第n个时间区间内的登录次数，

为用户u一天登录的总次数。进而求得该用户u的登录时间属性LTA^u＝(time₁,time₂,...,time_n)；

1.3)计算工作时间登录属性：

提取交易时间的集合，分别求出交易发生在工作时间和非工作时间的交易概率，得到用户u交易是否为工作时间登录属性WTA^u＝(isworktime,noworktime)；

1.4)计算登录间隔属性：

其中

为登录间隔集合中的元素；

为用户u的第i次登录***的时间；

为用户u的第i-1次登陆***的时间；

利用上述公式，得到用户相邻两次登录的时间间隔变化幅度集合，提取用户的登陆时间间隔集合，利用分位数分析法求得集合的第一、第二、第三四分位数，并求得集合的上下限，第一、第二、第三四分位数是将集合总体的全部数据按大小顺序排列后，处于第25％、50％、75％位置的变量值，依此将集合划分为5个子集period₁,period₂,...,period_n，此5个构成用户登录间隔属性，利用如下公式计算出用户登录间隔属性：

其中，period_n为登录间隔属性中的项，|lia_n|为用户登录间隔时间在第n个子集内的次数，

为用户u登录次数；进而求得该用户u的登录间隔属性LIA^u＝(period₁,period₂,period₃,period₄,period₅)；

1.5)计算用户关键页面停留时间属性：

在用户u的正常交互行为日志中依次计算该用户在关键页面a_{page_no}＝key的停留时间总和得到集合

其中

利用分位数分析法按照1.4)中的相同计算方法，计算得到用户u的关键页面停留时间属性KSA^u＝(distance₁,distance₂,distance₃,distance₄,distance₅)；

1.6)计算用户交互持续时间属性：

在用户u的正常交互行为日志中，计算该用户u的一次交互操作中各页面浏览时间之和，得到集合

利用分位数分析法按照1.4)中的相同计算方法，计算得到用户u交互持续时间属性IDA^u＝(duration₁,duration₂,...,duration_n)；

1.7)计算用户关键路径触发属性：

在用户u的正常交互行为日志中，依次计算该用户的一次交互操作中***关键页面停留时间与非关键页面停留时间集合；利用分位数分析法按照1.4)中的相同计算方法，计算得到用户关键路径触发属性CTA^u＝(ratio₁,ratio₂)；

1.8)构建用户交互行为画像：

得到用户u各个维度的属性，构建用户的交互行为画像IBC^u，IBC^u＝(LTA^u,WTA^u,LIA^u,KSA^u,IDA^u,CTA^u)。

优选的，所述步骤2)具体实现步骤如下：

2.1)提取登录间隔序列：根据步骤1.4)中计算得到的登录间隔序列为lis_u＝{t₁,t₂,...,t_n}，t_n为第n个登录间隔时间，n+1为用户全部的交互行为记录数；登录间隔lis_u的子序列表示为lis'_u＝{t'₁,t'₂,...,t'_n}，子序列lis'_u即在原有序列lis_u中的任一部分组成的序列；

2.2)依次遍历登录间隔序列：

初始化一个空数组C，从lis_u＝{t₁,t₂,...,t_n}首尾开始，依次遍历所有的子序列，针对每一个子序列，依次计算子序列对应的周期稳定性阈值μ和用户u的子序列的稳定性状态TPF^u，用户u的周期稳定性阈值μ和子序列稳定性状态TPF^u计算如下：

μ＝1/length(list)，

其中list表示登录时间间隔序列的某个子序列，length(list)表示该子序列的长度；TPF^u中t_i表示lis'_u中的每个元素，

为lis'_u中所有元素的均值，μ代表划分阈值，μ越大则lis'_u中元素越少，用户行为周期更为离散和稀疏；反之μ越小，则lis'_u中的元素就越多，用户行为周期更为连续；

2.3)划分序列：

根据用户u的周期稳定性阈值和子序列稳定性状态TPF^u按照如下公式对登录间隔序列进行划分，

将满足上述公式的子序列存入数组C，在遍历过程中满足：优先遍历较长的子序列，如果较长的子序列中计算得到的数值符合周期稳定性阈值μ，则该子序列中所有的子序列都将不再判断；同理，如果当前子序列是周期行为序列集合C中任一序列的子序列，也不再判断；

2.4)输出交互行为周期序列：

输出数组C，即为用户的周期行为序列集合：

2.5)构建具有周期属性的交互行为画像：

按照2.4)中输出的周期序列也按照上述1.2)-1.8)中交互行为的刻画方法得到不同周期内的交互行为画像pbc^u，

用

表示用户u的j个行为周期内所对应的交互行为画像集合；最后将合并后的具有周期属性的正常交互行为画像定义为

其中

为正常的用户周期交互行为画像集合中的最新的k个周期对应的交互行为画像。

本发明的有益效果在于：本发明具有周期属性的多因素交互行为异常检测方法，其个体行为在于对每个用户单独考虑，分析用户历史正常交互行为，根据用户历史正常交互行为模式对用户当前交互行为进行检测。不仅考虑了登陆时间属性、工作时间登录属性、登陆间隔、关键页面停留时间属性，还考虑了用户交互持续时间、关键路径触发属性，更加充分的描述了用户的***交互行为；而且所提出的交互行为周期划分算法对用户行为的周期特性进行分析，同时在异常行为检测模型中使用调整余弦相似度对交互行为进行衡量，在保证了行为向量的数值特性不被破坏的基础上增加了对行为方向特性的刻画。为交互行为的异常判断与检测提供了技术支持。

附图说明

图1是本发明具有周期属性的交互行为多因素异常检测方法整体框架图；

图2是本发明具有周期属性的多因素交互行为异常检测方法的实施流程图。

具体实施方式

下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

目前主要问题是用户的交互行为由于不同场景的影响会呈现一定的波动和突变，而现有研究中往往忽略了对此类行为突变的刻画，为了更好的刻画用户的交互行为特征，本发明提出了交互行为周期划分方法，通过计算用户的周期稳定性阈值，将满足阈值的交互行为划分不同的行为周期；在此基础上，提出用户交互行为最大偏离基准的刻画方法，在保证了行为基准向量的数值特性不被破坏的基础上增强了对行为基准向量方向特性的刻画；最后提出了具有周期属性的多因素交互行为异常检测模型。

本发明具有周期属性的多因素交互行为检测方法，如图1所示具有周期属性的交互行为多因素异常检测方法整体框架图，从以下三个步骤构建交互行为模型：一是在正常用户交互行为数据基础上，建立具有周期属性的用户交互行为画像；二是计算交互行为最大偏离基准；三是建立多因素交互行为识别方法。

一、建立正常用户交互行为画像：从用户历史交易数据库中提取该用户的正常交易数据，不仅考虑了登陆时间属性、工作时间登录属性、登陆间隔、关键页面停留时间属性，还考虑了用户交互持续时间属性、关键路径触发属性，并且在此基础上刻画用户的交互行为，构建用户交互行为画像。主要通过以下几个步骤实现，如图2所示。

S101：提取用户历史正常交互行为记录：

将用户的历史交互行为数据集中，依据其正负(正常交易、异常交易)样本标记字段，提取出用户的正样本数据；

S102：计算登录时间属性：

在S101步骤中得到的用户正常交互行为记录中，进一步提取用户的登录时间集合，依据每日的小时划分方法将一天划分为多个时间区间time₁,time₂,...,time_n，计算用户在各个区间内登录发生的概率，利用如下公式计算出用户登录时间属性。

其中，time_n为n个时间区间属性，|lta_n|为第n个时间区间内的登录次数，

为用户u一天登录的总次数。进而求得该用户u的登录时间属性LTA^u＝(time₁,time₂,...,time_n)。

S103：计算工作时间登录属性：

提取交易时间的集合，分别求出交易发生在工作时间和非工作时间(工作日下班时间、双休和节假日)的交易概率，得到用户u交易是否为工作时间登录属性WTA^u＝(isworktime,noworktime)。

S104：计算登录间隔属性：

其中

为登录间隔集合中的元素；

为用户u的第i次登录***的时间；

为用户u的第i-1次登陆***的时间。

利用上述公式，得到用户相邻两次登录的时间间隔变化幅度集合，提取用户的登陆时间间隔集合，利用分位数分析法求得集合的第一、第二、第三四分位数，并求得集合的上下限。第一、第二、第三四分位数是将集合总体的全部数据按大小顺序排列后，处于第25％、50％、75％位置的变量值。依此将集合划分为5个子集period₁,period₂,...,period_n，此5个构成用户登录间隔属性。利用如下公式计算出用户登录间隔属性。

其中，period_n为登录间隔属性中的项，|lia_n|为用户登录间隔时间在第n个子集内的次数，

为用户u登录次数。进而求得该用户u的登录间隔属性LIA^u＝(period₁,period₂,period₃,period₄,period₅)。

S105：计算用户关键页面停留时间属性：

在用户u的正常交互行为日志中依次计算该用户在关键页面a_{page_no}＝key的停留时间总和得到集合

其中

利用分位数分析法按照S104中的相同计算方法，计算得到用户u的关键页面停留时间属性KSA^u＝(distance₁,distance₂,distance₃,distance₄,distance₅)。

S106：计算用户交互持续时间属性：

在用户u的正常交互行为日志中，计算该用户u的一次交互操作中各页面浏览时间之和，得到集合

利用分位数分析法按照S104中的相同计算方法，计算得到用户u交互持续时间属性IDA^u＝(duration₁,duration₂,...,duration_n)。

S107：计算用户关键路径触发属性：

在用户u的正常交互行为日志中，依次计算该用户的一次交互操作中***关键页面停留时间与非关键页面停留时间集合。利用分位数分析法按照S104中的相同计算方法，计算得到用户关键路径触发属性CTA^u＝(ratio₁,ratio₂)。

S108：构建用户交互行为画像：

根据上一步得到用户u各个维度的属性，构建用户的交互行为画像IBC^u，IBC^u＝(LTA^u,WTA^u,LIA^u,KSA^u,IDA^u,CTA^u)。

二、构建具有周期属性的交互行为画像：在用户的交互行为基础上提取用户的周期属性特征，更加充分的描述了用户的***交互行为。首先根据用户行为记录生成用户的行为间隔序列，计算用户的周期稳定性阈值；其次根据行为周期划分方法，依次比较行为间隔序列中的相邻元素是否满足周期稳定性阈值，输出用户的交互行为周期序列，最后计算具有周期属性的交互行为画像UCP_u，包括以下步骤：

S201：提取登录间隔序列：

根据步骤S104中计算得到的登录间隔序列为lis_u＝{t₁,t₂,...,t_n}，t_n为第n个登录间隔时间，n+1为用户全部的交互行为记录数；登录间隔lis_u的子序列表示为lis'_u＝{t'₁,t'₂,...,t'_n}，子序列lis'_u即在原有序列lis_u中的任一部分组成的序列。

S202：依次遍历登录间隔序列

初始化一个空数组C，从lis_u＝{t₁,t₂,...,t_n}首尾开始，依次遍历所有的子序列，针对每一个子序列，依次计算子序列对应的周期稳定性阈值μ和用户u的子序列的稳定状态TPF^u。用户u的周期稳定性阈值μ和子序列稳定状态TPF^u计算如下：

μ＝1/length(list)

其中list表示登录时间间隔序列的某个子序列，length(list)表示该子序列的长度；TPF^u中t_i表示lis'_u中的每个元素，

为lis'_u中所有元素的均值，μ代表划分阈值，μ越大则lis'_u中元素越少，用户行为周期更为离散和稀疏；反之μ越小，则lis'_u中的元素就越多，用户行为周期更为连续。

S203：划分序列

根据用户u的周期稳定性阈值和子序列稳定状态TPF^u按照如下公式对登录间隔序列进行划分。

将满足上述公式的子序列存入数组C。在遍历过程中满足：优先遍历较长的子序列，如果较长的子序列中计算得到的数值符合周期稳定性阈值μ，则该子序列中所有的子序列都将不再判断；同理，如果当前子序列是周期行为序列集合C中任一序列的子序列，也不再判断。

S204：输出交互行为周期序列

输出数组C，即为用户的周期行为序列集合。

S205：构建具有周期属性的交互行为画像：

按照S204中输出的周期序列也按照上述S102-S108中交互行为的刻画方法得到不同周期内的交互行为画像pbc^u，

用

表示用户u的j个行为周期内所对应的交互行为画像集合。最后将合并后的具有周期属性的正常交互行为画像定义为

其中

为正常的用户周期交互行为画像集合中的最新的k个周期对应的交互行为画像。由于所提取的数据仅为用户u的正常交互行为数据，因此所得到的UCP_u仅为用户的正常交互行为画像。

三、计算交互行为最大偏离基准：考虑了不同用户之间的差异性，提出交互行为最大偏离基准的计算方法，根据用户的交互行为画像和该用户交互行为记录，为每一个用户确定该用户的交互行为最大偏离基准，包括以下步骤。

S301：提取历史交互记录：

提取用户的全部历史交互行为数据集中，包含全部正样本和负样本；

S302：生成用户交互行为画像：

使用S301中的数据，根据“建立具有周期属性的用户交互行为画像”中的步骤，得到具有周期属性的用户交互行为画像UCP'_u。

S303：计算用户正常交互行为与用户交互行为画像的相似度：

对于每一条交互行为记录UCP'_u，会将其与具有周期属性的正常用户交互行为画像UCP_u进行匹配，依次计算用户每一条历史交互行为与正常交互行为画像之间的相似度计算方法如下：

公式中A_i和B_i分别代表对应由n个分量组成的正常交互行为向量UCP_u和n个分量组成的历史交互行为画像UCP'_u；

和

分别代表两个向量分量的均值；调整余弦相似度即向量的各个分量所有维度上的数值都减去该分量的均值。利用公式可以依次计算用户正常交互行为与历史交互行为画像之间的相似度集合

可以计算出集合中S_u的最大相似度Max_sim和最小相似度Min_sim。

S304：根据用户历史交易计算划分效果：

根据最大相似度Max_sim和最小相似度Min_sim的范围，从范围中依次取值，将用户历史交互行为进行划分为正常行为和异常行为，并且计算划分效果DB。

DB＝λ*PP+(1-λ)*NN

上述公式中PP代表判断为正常行为中实际正常行为所占的比例；公式中NN代表模型结果为异常行为中实际异常行为所占的比例；DB代表划分效果，是PP和NN的不同权重求和,λ为权重。可以看出若λ值越大，则模型对正常行为的关注度越高，相反若λ值越小，则模型对于异常行为的关注度越高。

S305：计算最大偏离基准：

将取得最好划分效果的值作为用户的交互行为最大偏离基准，记为Benchmark_u。

四、建立多因素交互行为识别方法：上述步骤可以计算得到用户u的正常交互行为向量UCP_u和用户u的交互行为最大偏离基准Benchmark_u。用户的最大偏离基准即用户的历史交互行为中，对正常、异常行为的最佳划分参数，因此可以计算当前交互行为与用户历史交互行为画像的偏离程度，判断此偏离程度是否在Benchmark_u的可接受范围之内。

S401：计算当前交互行为画像：

根据步骤一计算用户当前(待判断)交互行为画像UCP_now。

S402：模型判断：

计算当前交互行为与用户正常交互行为画像的偏离程度，判断此偏离程度是否在Benchmark_u的可接受范围之内。计算方法如下：

f(u)＝similarity[UCP_u,UCP_now]-Benchmark_u

模型f(u)将交互行为空间划分为f(u)＞0和f(u)≤0两个部分。其中f(u)≤0的空间被视为用户正常交易行为空间，f(u)＞0的空间被视为用户异常行为空间。因此若f(u)≤0则用户u当前交互行为正常；反之若f(u)＞0则用户u当前交互行为异常。

Claims (1)

1.一种具有周期属性的多因素交互行为异常检测方法，其特征在于，具体包括如下步骤：

1)建立正常用户交互行为画像：从用户历史交易数据库中提取该用户的正常交易数据，建立登录时间属性、工作时间登录属性、登录间隔、关键页面停留时间属性、用户交互持续时间属性、关键路径触发属性，构建用户包括多维度属性的交互行为画像IBC^u；

2)在步骤1)基础上，根据用户行为记录生成用户的行为间隔序列，计算用户的周期稳定性阈值；其次根据行为周期划分方法，依次比较行为间隔序列中的相邻元素是否满足周期稳定性阈值，输出用户的交互行为周期序列，最后计算具有周期属性的正常交互行为画像UCP_u；

3)计算交互行为最大偏离基准：提取检测用户的全部历史交互行为数据，根据步骤1)、2)获取该用户具有周期属性的交互行为画像UCP_u'作为用户历史交互行为，对于UCP_u'中每一条交互行为记录，与具有周期属性的正常用户交互行为画像UCP_u进行匹配，依次计算用户每一条历史交互行为与正常用户交互行为画像之间的相似度计算，根据最大相似度Max_sim和最小相似度Min_sim的范围，从中依次取值，将用户历史交互行为进行划分为正常行为和异常行为，并且计算划分效果DB，

将划分效果最佳的值作为用户的交互行为最大偏离基准，记为Benchmark_u；

4)建立多因素交互行为识别方法：根据步骤1)计算用户当前交互行为画像UCP_now，计算当前交互行为与用户正常交互行为画像UCP_u的偏离程度，如此偏离程度在Benchmark_u的可接受范围之内，则判断为正常交互，如偏离程度不在Benchmark_u的可接受范围之内，则判断为异常交互；所述步骤1)具体实现方法如下：

1.1)提取用户历史正常交互行为记录：

将用户的历史交互行为数据集中，依据其正常交互和异常交互给样本标记正负字段，提取出用户正常交互数据作为正样本数据；

1.2)计算登录时间属性：

对正样本数据正提取用户的登录时间集合，依据每日的小时划分方法将一天划分为多个时间区间time₁,time₂,...,time_n，计算用户在各个区间内登录发生的概率，利用如下公式计算出用户登录时间属性，

其中，time_n为n个时间区间属性，|lta_n|为第n个时间区间内的登录次数，

为用户u一天登录的总次数，进而求得该用户u的登录时间属性LTA^u＝(time₁,time₂,...,time_n)；

1.3)计算工作时间登录属性：

提取交易时间的集合，分别求出交易发生在工作时间和非工作时间的交易概率，得到用户u交易是否为工作时间登录属性WTA^u＝(isworktime,noworktime)；

1.4)计算登录间隔属性：

其中

为登录间隔集合中的元素；

为用户u的第i次登录***的时间；

为用户u的第i-1次登录***的时间；

利用上述公式，得到用户相邻两次登录的时间间隔变化幅度集合，提取用户的登录时间间隔集合，利用分位数分析法求得集合的第一、第二、第三四分位数，并求得集合的上下限，第一、第二、第三四分位数是将集合总体的全部数据按大小顺序排列后，处于第25％、50％、75％位置的变量值，依此将集合划分为5个子集period₁,period₂,...,period₅，此5个构成用户登录间隔属性，利用如下公式计算出用户登录间隔属性：

其中，period_n为登录间隔属性中的项，|lia_n|为用户登录间隔时间在第n个子集内的次数，

为用户u登录次数；进而求得该用户u的登录间隔属性

LIA^u＝(period₁,period₂,period₃,period₄,period₅)；

1.5)计算用户关键页面停留时间属性：

在用户u的正常交互行为日志中依次计算该用户在关键页面a_{page_no}＝key的停留时间总和得到集合

其中

利用分位数分析法按照1.4)中的相同计算方法，计算得到用户u的关键页面停留时间属性KSA^u＝(distance₁,distance₂,distance₃,distance₄,distance₅)；

1.6)计算用户交互持续时间属性：

在用户u的正常交互行为日志中，计算该用户u的一次交互操作中各页面浏览时间之和，得到集合

利用分位数分析法按照1.4)中的相同计算方法，计算得到用户u交互持续时间属性IDA^u＝(duration₁,duration₂,...,duration₅)；

1.7)计算用户关键路径触发属性：

在用户u的正常交互行为日志中，依次计算该用户的一次交互操作中***关键页面停留时间与非关键页面停留时间集合，计算得到用户关键路径触发属性CTA^u＝(ratio₁,ratio₂)；

1.8)构建用户交互行为画像：

得到用户u各个维度的属性，构建用户的交互行为画像IBC^u，IBC^u＝(LTA^u,WTA^u,LIA^u,KSA^u,IDA^u,CTA^u)；所述步骤2)具体实现步骤如下：

2.1)提取登录间隔序列：根据步骤1.4)中计算得到的登录间隔序列为lis_u＝{t₁,t₂,...,t_n}，t_n为第n个登录间隔时间，n+1为用户全部的交互行为记录数；登录间隔lis_u的子序列表示为lis'_u＝{t₁',t'₂,...,t'_n}，子序列lis'_u即在原有序列lis_u中的任一部分组成的序列；

2.2)依次遍历登录间隔序列：

初始化一个空数组C，从lis_u＝{t₁,t₂,...,t_n}首位开始，依次遍历所有的子序列，针对每一个子序列，依次计算子序列对应的周期稳定性阈值μ和用户u的子序列的稳定性状态TPF^u，用户u的周期稳定性阈值μ和子序列稳定性状态TPF^u计算如下：

μ＝1/length(list)，

其中list表示登录时间间隔序列的某个子序列，length(list)表示该子序列的长度；TPF^u中t_i表示lis'_u中的每个元素，

为lis'_u中所有元素的均值，μ代表划分阈值，μ越大则lis'_u中元素越少，用户行为周期更为离散和稀疏；反之μ越小，则lis'_u中的元素就越多，用户行为周期更为连续；

2.3)划分序列：

根据用户u的周期稳定性阈值和子序列稳定性状态TPF^u按照如下公式对登录间隔序列进行划分，

将满足上述公式的子序列存入数组C，在遍历过程中满足：优先遍历较长的子序列，如果较长的子序列中计算得到的数值符合周期稳定性阈值μ，则该子序列中所有的子序列都将不再判断；同理，如果当前子序列是周期行为序列集合C中任一序列的子序列，也不再判断；

2.4)输出交互行为周期序列：

输出数组C，即为用户的周期行为序列集合：

2.5)构建具有周期属性的交互行为画像：

按照2.4)中输出的周期序列也按照上述1.2)-1.8)中交互行为的刻画方法得到不同周期内的交互行为画像pbc^u，

用

表示用户u的j个行为周期内所对应的交互行为画像集合；最后将合并后的具有周期属性的正常交互行为画像定义为

其中

为正常的用户周期交互行为画像集合中的最新的k个周期对应的交互行为画像。

Images