CN113298345B - 异常行为的检测方法、装置、电子设备及介质 - Google Patents
异常行为的检测方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN113298345B CN113298345B CN202110376399.3A CN202110376399A CN113298345B CN 113298345 B CN113298345 B CN 113298345B CN 202110376399 A CN202110376399 A CN 202110376399A CN 113298345 B CN113298345 B CN 113298345B
- Authority
- CN
- China
- Prior art keywords
- behavior
- abnormal
- value
- adjacent
- tested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 44
- 238000001514 detection method Methods 0.000 title claims description 12
- 230000006399 behavior Effects 0.000 claims abstract description 222
- 230000002159 abnormal effect Effects 0.000 claims abstract description 136
- 238000010586 diagram Methods 0.000 claims abstract description 70
- 238000000034 method Methods 0.000 claims abstract description 42
- 238000012549 training Methods 0.000 claims abstract description 28
- 238000012360 testing method Methods 0.000 claims abstract description 26
- 230000003542 behavioural effect Effects 0.000 claims description 5
- 238000010276 construction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 5
- 230000007547 defect Effects 0.000 abstract description 4
- 238000004364 calculation method Methods 0.000 description 9
- 230000009471 action Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000005856 abnormality Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/40—Business processes related to the transportation industry
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Economics (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Theoretical Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Primary Health Care (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种异常行为的检测方法、装置、电子设备及介质。本申请中,可以利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据行为图计算待测试行为数据对应的待测试异常值;根据待测试异常值与预设门限值的大小关系,确定目标用户是否存在异常行为。通过应用本申请的技术方案,可以实现根据多个用户的历史行为数据作为训练集以及测试集来生成包含行为图的行为预测模型,从而根据该模型判断用户是否存在异常行为,同时克服现有技术中在进行训练时将噪音数据也误认为是正常行为而加以学习的弊端。
Description
技术领域
本申请中涉及数据处理技术,尤其是一种异常行为的检测方法、装置、电子设备及介质。
背景技术
在互联网、物联网以及通信技术不断发展的大背景下,信息的交互、分析、协同变得越来越普遍。
进一步的,当人们享受网络带来的便捷性的同时,网络中的异常行为影响了社会的正常发展,如欺诈信息的传播、电信与***欺诈、网络扫描与网络入侵等。如何能够尽早并准确地检测这些异常行为,避免造成更多的危害变得尤为重要。
发明内容
本申请实施例提供一种异常行为的检测方法、装置、电子设备及介质,其中,根据本申请实施例的一个方面,提供的一种异常行为的检测方法,其特征在于,包括:
利用训练样本集中的第一行为样本元素,构建行为图;
利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;
获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;
根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为。
可选地,在基于本申请上述方法的另一个实施例中,所述利用训练样本集中的第一行为样本元素,构建行为图,包括:
将每个所述第一行为样本元素作为顶点,并将相邻的两个第一行为样本元素的连接线作为对应的有向边;
获取每个有向边出现的数量,并根据所述每个有向边出现的数量,分别计算每个有向边对应的权重值;
根据所述顶点以及包含权重值的每个有向边,构建所述行为图。
可选地,在基于本申请上述方法的另一个实施例中,所述利用测试样本集中的第二行为样本元素,生成预设门限值,包括:
获取相邻的两个第二行为样本元素在所述行为图中的最短有向边;
将所述最短有向边对应的权重值和值作为所述相邻的两个第二行为样本元素的相邻异常值;
根据所有相邻异常值,得到所述预设门限值。
可选地,在基于本申请上述方法的另一个实施例中,在所述获取相邻的两个第二行为样本元素在所述行为图中的最短有向边之后,还包括:
将不存在所述行为图中的第二行为数据对应的相邻异常值设为无穷大。
可选地,在基于本申请上述方法的另一个实施例中,所述根据所有相邻异常值,得到所述预设门限值,包括:
集合所有所述相邻异常值,得到相邻异常值序列;
利用预设的滑动窗,计算所述相邻异常值序列对应的平均异常值;以及,计算所述相邻异常值序列对应的无穷大值比例,所述无穷大值比例为根据所述无穷大的相邻异常值得到的;
将所述平均异常值的分位数作为第一门限值;以及,将所述无穷大值比例的分位数作为第二门限值;
将所述第一门限值与所述第二门限值作为所述预设门限值。
可选地,在基于本申请上述方法的另一个实施例中,所述根据所述行为图计算所述待测试行为数据对应的待测试异常值,包括:
获取相邻的两个第二待测试行为数据在所述行为图中的最短有向边;
将所述最短有向边对应的权重值和值作为所述相邻的两个待测试行为数据的相邻异常值;
集合所有相邻异常值,得到所述待测试行为数据对应的相邻异常值序列;
根据所述相邻异常值序列,计算得到所述待测试异常值,所述待测试异常值包括所述待测试行为数据对应的平均异常值以及无穷大值比例。
可选地,在基于本申请上述方法的另一个实施例中,在所述计算得到所述待测试异常值之后,还包括:
若检测到所述待测试行为数据对应的平均异常值大于所述第一门限值,且检测到所述待测试行为数据对应无穷大值比例大于所述第二门限值,则确定所述目标用户存在异常行为。
其中,根据本申请实施例的又一个方面,提供的一种异常行为的检测装置,其特征在于,包括:
构建模块,被配置为利用训练样本集中的第一行为样本元素,构建行为图;
生成模块,被配置为利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;
获取模块,被配置为获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;
确定模块,被配置为根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为。
根据本申请实施例的又一个方面,提供的一种电子设备,包括:
存储器,用于存储可执行指令;以及
显示器,用于与所述存储器显示以执行所述可执行指令从而完成上述任一所述异常行为的检测方法的操作。
根据本申请实施例的还一个方面,提供的一种计算机可读存储介质,用于存储计算机可读取的指令,所述指令被执行时执行上述任一所述异常行为的检测方法的操作。
本申请中,可以利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据行为图计算待测试行为数据对应的待测试异常值;根据待测试异常值与预设门限值的大小关系,确定目标用户是否存在异常行为。通过应用本申请的技术方案,可以实现根据多个用户的历史行为数据作为训练集以及测试集来生成包含行为图的行为预测模型,从而根据该模型判断用户是否存在异常行为,同时克服现有技术中在进行训练时将噪音数据也误认为是正常行为而加以学习的弊端。
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本申请的实施例,并且连同描述一起用于解释本申请的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本申请,其中:
图1为本申请提出的一种异常行为的检测示意图;
图2为本申请提出的行为图的示意图;
图3为本申请提出的又一种行为图的示意图;
图4为本申请提出的又一种行为图的示意图;
图5为本申请提出的异常行为的检测电子装置的结构示意图;
图6为本申请提出的按摩仪器的电子设备结构示意图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,本申请各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
需要说明的是,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
下面结合图1-图4来描述根据本申请示例性实施方式的用于进行异常行为的检测方法。需要注意的是,下述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
本申请还提出一种异常行为的检测方法、装置、目标终端及介质。
图1示意性地示出了根据本申请实施方式的一种异常行为的检测方法的流程示意图。如图1所示,该方法包括:
S101,利用训练样本集中的第一行为样本元素,构建行为图。
其中,本申请中的行为图可以为由若干给定的顶点及连接两个顶点的有向边所构成的图形,这种图形通常用来描述某些事物之间的某种特定关系,用顶点代表事物,用有向边表示相应两个事物间具有这种关系。
例如如图2所示,v1,v2,v3表示顶点,(v1,v2),(v2,v3),(v1,v3)表示有向边,V={v1,v2,v3}表示顶点的集合,E={(v1,v2),(v2,v3),(v3,v1)}表示有向边的集合,G=(V,E)表示图。根据边是否带有权值,还可以把图分为有权图和无权图:有权图是指每条边具有一定的权重,通常是一个数字;无权图是指每条有向边均没有权重。根据图中的边是否有方向性可分为无向图和有向图。其中相比于无向图,有向图中的边是具有方向性的。在有向图中通过<s,d>表示有向边,其中s代表有向边的起始顶点,d代表有向边的结束顶点。路径是指一系列的顶点所构成的顶点序列,同时该序列中任何相邻的两个顶点都可以在图中找到对应的有向边。例如图3中顶点序列集合{v1,v2,v3}所构成的有向边<v1,v2>,<v2,v3>都在图中可以找到,因此该顶点序列是一条路径。如果路径的起始顶点和结束顶点为同一顶点,则称之为环。例如图3中路径[v1,v2,v3,v1]形成了一个环,而比较特殊的是边<v3,v3>,它的起始顶点和结束顶点为同一顶点,称之为自环。
进一步地,如果有向图中的有向边有权重,则称之为加权有向图。在加权有向图中,两个顶点之间存在的所有路径中,某条路径包含所有有向边的权重之和最小,则该路径为两个顶点之间的最短路径。求解最短路径常见的算法有Dijkstra、Bellman-Ford、Floyd-Warshall。
进一步的,本申请可以收集多个用户的历史行为数据作为样本数据,并将样本数据中的一个或多个元素作为行为样本元素。例如元素可以为历史行为数据中的用户行为发生时间点、用户发生的动作等等。
另外,本申请中可以将正常的历史行为数据分成样本训练集和样本测试集,利用样本训练集中的样本元素生成行为图,利用测试集计算预设门限值,并通过行为图对待测的行为数据进行异常值计算,最后通过与预设门限值进行比较从而实现用户的异常检测。
需要说明的是,本申请不对训练样本集中的样本数据的数量进行限定,同样也不对第一行为样本元素的数量进行限定。
S102,利用测试样本集中的第二行为样本元素以及行为图,生成预设门限值。
同样需要说明的是,本申请也不对测试样本集中的样本数据的数量进行限定,同样也不对第二行为样本元素的数量进行限定。进一步的,本申请在得到行为图之后,还可以根据行为图与其他行为样本元素生成最终的预设门限值。以使后续可以根据该门限值确定用户的行为是否出现异常。
S103,获取目标用户的待测试行为数据,并根据行为图计算待测试行为数据对应的待测试异常值。
S104,根据待测试异常值与预设门限值的大小关系,确定目标用户是否存在异常行为。
进一步的,在获取到待检测用户的待测试行为数据后,可以首先根据行为图计算待测试行为数据对应的待测试异常值,并将该待测试异常值与预设门限值进行比较。
更进一步的,本申请可以将待测行为的多个异常指标与预设门限值进行对比。一种方式中,二者的差值越大则说明该用户的异常度越高。并且可以进行告警。
本申请中,可以利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据行为图计算待测试行为数据对应的待测试异常值;根据待测试异常值与预设门限值的大小关系,确定目标用户是否存在异常行为。通过应用本申请的技术方案,可以实现根据多个用户的历史行为数据作为训练集以及测试集来生成包含行为图的行为预测模型,从而根据该模型判断用户是否存在异常行为,同时克服现有技术中在进行训练时将噪音数据也误认为是正常行为而加以学习的弊端。
可选的,在本申请一种可能的实施方式中,利用训练样本集中的第一行为样本元素,构建行为图,包括:
将每个第一行为样本元素作为顶点,并将相邻的两个第一行为样本元素的连接线作为对应的有向边;
获取每个有向边出现的数量,并根据每个有向边出现的数量,分别计算每个有向边对应的权重值;
根据顶点以及包含权重值的每个有向边,构建行为图。
进一步的,本申请可以利用训练集中的第一行为样本元素(例如包括4个,分别为V1、V2、V3、V4)生成行为图。具体的,可以将训练样本集中的每个元素作为顶点,并将相邻的2个元素作为有向边,因此可以得到行为图G=(V,E)。其中V={v1,v2,v3,v4},E={<v1,v1>,<v1,v2>,<v2,v3>,<v3,v1>,<v2,v4>}。再进一步对有向边的数量进行统计,可以发现除了<v1,v2>出现过2次以外,其他的有向边都只出现过一次。
通过以下公式来计算有向边的权重:
其中,w为有向边的权重值。
由上述公式可知,除了<v1,v2>的权重为0.5以外,其他有向边的权重都是1。最终的行为图G如图4所示。
可选的,在本申请一种可能的实施方式中,利用测试样本集中的第二行为样本元素,生成预设门限值,包括:
获取相邻的两个第二行为样本元素在行为图中的最短有向边;
将最短有向边对应的权重值和值作为相邻的两个第二行为样本元素的相邻异常值;
根据所有相邻异常值,得到预设门限值。
可选的,在本申请一种可能的实施方式中,在获取相邻的两个第二行为样本元素在行为图中的最短有向边之后,还包括:
将不存在行为图中的第二行为数据对应的相邻异常值设为无穷大。
可选的,在本申请一种可能的实施方式中,根据所有相邻异常值,得到预设门限值,包括:
集合所有相邻异常值,得到相邻异常值序列;
计算相邻异常值序列对应的平均异常值;以及,计算相邻异常值序列对应的无穷大值比例,无穷大值比例为根据无穷大的相邻异常值得到的;
将平均异常值的分位数作为第一门限值;以及,将无穷大值比例的分位数作为第二门限值;
将第一门限值与第二门限值作为预设门限值。
进一步的,本申请在得到行为图之后,就可以利用测试样本集中的第二行为样本元素(例如包括5个,分别为V1、V2、V3、V4、V5),生成预设门限值。首先,需要对测试样本集中的样本元素进行异常值计算,其计算方法为通过求解最短路径算法求出相邻的两个第二行为样本元素在行为图G中的最短路径,而各个最短路径上所有有向边的权重之和就是相邻异常值,异常值越大则说明异常度越高,这样就得到了测试样本集的相邻异常值序列。这里通过表1显示本申请实例中的具体计算过程:
表1:最短路径计算
相邻元素对 | 最短路径 | 相邻异常值 |
v<sub>5</sub>,v<sub>2</sub> | 无 | inf |
v<sub>2</sub>,v<sub>2</sub> | [v<sub>2</sub>,v<sub>3</sub>,v<sub>1</sub>,v<sub>2</sub>] | 2.5 |
v<sub>2</sub>,v<sub>1</sub> | [v<sub>2</sub>,v<sub>3</sub>,v<sub>1</sub>] | 2 |
v<sub>1</sub>,v<sub>1</sub> | [v<sub>1</sub>,v<sub>1</sub>] | 1 |
需要说明的是,第一行由于在行为图中不存在顶点V5,所以不存在最短路径。一种方式中,可以将其异常值确定为inf无穷大。第三列异常值所形成的序列就是相邻异常值序列。
进一步的,本申请在得到相邻异常值序列之后,还可以利用滑动窗计算得到预设门限值。其中,滑动窗计算是指截取原序列连续的一段,从而得到原序列的子序列。需要说明的是,如果进行定向滑动就会不断生成多个子序列的过程。为了降低不符合正常***均异常值,
anomaly_avg=滑动窗内非inf值的元素值均值。
其中,anomaly_avg为平均异常值。
更进一步的,还可以通过下述公式得到无穷大值比例inf_ratio。
距离而言,例如以滑动窗的长度为2,每次滑动1个单位长度,则计算如表所示:
表2:滑动窗下的异常指标计算
其中,表2中第一列滑动窗偏移量表示滑动窗与其最开始位置的偏移距离,异常指标的计算。由于滑动窗只截取了1个异常值inf,所以其异常平均值为0,无穷大值比例为1。
再进一步的,本申请即可以计算门限值。即可以将平均异常值的分位数作为第一门限值;以及,将无穷大值比例的分位数作为第二门限值。并将第一门限值与第二门限值合并作为预设门限值。
可选的,在本申请一种可能的实施方式中,根据行为图计算待测试行为数据对应的待测试异常值,包括:
获取相邻的两个第二待测试行为数据在行为图中的最短有向边;
将最短有向边对应的权重值和值作为相邻的两个待测试行为数据的相邻异常值;
集合所有相邻异常值,得到待测试行为数据对应的相邻异常值序列;
根据相邻异常值序列,计算得到待测试异常值,待测试异常值包括待测试行为数据对应的平均异常值以及无穷大值比例。
可选的,在本申请一种可能的实施方式中,在计算得到待测试异常值之后,还包括:
若检测到待测试行为数据对应的平均异常值大于第一门限值,且检测到待测试行为数据对应无穷大值比例大于第二门限值,则确定目标用户存在异常行为。
进一步的,本申请在得到目标用户的待测试行为数据之后,可以对该待测试行为数据计算异常值。例如可以首先获取相邻的两个第二待测试行为数据在行为图中的最短有向边,并将最短有向边对应的权重值和值作为相邻的两个待测试行为数据的相邻异常值。再集合所有相邻异常值,得到待测试行为数据对应的相邻异常值序列,最后根据相邻异常值序列,计算得到待测试异常值。
进一步而言,本申请在得到待测试行为数据对应的待测试异常值之后,还可以将待测行为的两项异常指标分别与第一门限值以及第二门限值进行对比。一种方式中,如果待测试异常值中的异常平均值大于第一门限值说明该滑动窗内的行为和行为间时序关系大部分虽然历史上发生过,但发生概率比较低。且如果待测试异常值中的无穷大值比例大于第二门限值说明该滑动窗内的行为和行为间时序关系大部分历史上没有发生过。指标越大则说明异常度越高。
可选的,在本申请的另外一种实施方式中,如图5所示,本申请还提供一种异常行为的检测装置。其中,包括构建模块201,生成模块202,获取模块203,确定模块204,其中:
构建模块201,被配置为利用训练样本集中的第一行为样本元素,构建行为图;
生成模块202,被配置为利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;
获取模块203,被配置为获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;
确定模块204,被配置为根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为。
本申请中,可以利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据行为图计算待测试行为数据对应的待测试异常值;根据待测试异常值与预设门限值的大小关系,确定目标用户是否存在异常行为。通过应用本申请的技术方案,可以实现根据多个用户的历史行为数据作为训练集以及测试集来生成包含行为图的行为预测模型,从而根据该模型判断用户是否存在异常行为,同时克服现有技术中在进行训练时将噪音数据也误认为是正常行为而加以学习的弊端。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为将每个所述第一行为样本元素作为顶点,并将相邻的两个第一行为样本元素的连接线作为对应的有向边;
确定模块204,被配置为获取每个有向边出现的数量,并根据所述每个有向边出现的数量,分别计算每个有向边对应的权重值;
确定模块204,被配置为根据所述顶点以及包含权重值的每个有向边,构建所述行为图。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为获取相邻的两个第二行为样本元素在所述行为图中的最短有向边;
确定模块204,被配置为将所述最短有向边对应的权重值和值作为所述相邻的两个第二行为样本元素的相邻异常值;
确定模块204,被配置为根据所有相邻异常值,得到所述预设门限值。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为将不存在所述行为图中的第二行为数据对应的相邻异常值设为无穷大。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为集合所有所述相邻异常值,得到相邻异常值序列;
确定模块204,被配置为利用预设的滑动窗,计算所述相邻异常值序列对应的平均异常值;以及,计算所述相邻异常值序列对应的无穷大值比例,所述无穷大值比例为根据所述无穷大的相邻异常值得到的;
确定模块204,被配置为将所述平均异常值的分位数作为第一门限值;以及,将所述无穷大值比例的分位数作为第二门限值;
确定模块204,被配置为将所述第一门限值与所述第二门限值作为所述预设门限值。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为获取相邻的两个第二待测试行为数据在所述行为图中的最短有向边;
确定模块204,被配置为将所述最短有向边对应的权重值和值作为所述相邻的两个待测试行为数据的相邻异常值;
确定模块204,被配置为集合所有相邻异常值,得到所述待测试行为数据对应的相邻异常值序列;
确定模块204,被配置为根据所述相邻异常值序列,计算得到所述待测试异常值,所述待测试异常值包括所述待测试行为数据对应的平均异常值以及无穷大值比例。
在本申请的另外一种实施方式中,确定模块204,还包括:
确定模块204,被配置为若检测到所述待测试行为数据对应的平均异常值大于所述第一门限值,且检测到所述待测试行为数据对应无穷大值比例大于所述第二门限值,则确定所述目标用户存在异常行为。
图6是根据一示例性实施例示出的一种电子设备的逻辑结构框图。例如,电子设备300可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由电子设备处理器执行以完成上述异常行为的检测方法,该方法包括:利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为。可选地,上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种应用程序/计算机程序产品,包括一条或多条指令,该一条或多条指令可以由电子设备的处理器执行,以完成上述异常行为的检测方法,该方法包括:利用训练样本集中的第一行为样本元素,构建行为图;利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为。可选地,上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。
图6为计算机设备30的示例图。本领域技术人员可以理解,示意图6仅仅是计算机设备30的示例,并不构成对计算机设备30的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如计算机设备30还可以包括输入输出设备、网络接入设备、总线等。
所称处理器302可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器302也可以是任何常规的处理器等,处理器302是计算机设备30的控制中心,利用各种接口和线路连接整个计算机设备30的各个部分。
存储器301可用于存储计算机可读指令303,处理器302通过运行或执行存储在存储器301内的计算机可读指令或模块,以及调用存储在存储器301内的数据,实现计算机设备30的各种功能。存储器301可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备30的使用所创建的数据等。此外,存储器301可以包括硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)或其他非易失性/易失性存储器件。
计算机设备30集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机可读指令来指令相关的硬件来完成,的计算机可读指令可存储于一计算机可读存储介质中,该计算机可读指令在被处理器执行时,可实现上述各个方法实施例的步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
Claims (7)
1.一种异常行为的检测方法,其特征在于,包括:
利用训练样本集中的第一行为样本元素,构建行为图;
利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;
获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;
根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为;
其中,所述利用测试样本集中的第二行为样本元素,生成预设门限值,包括:
获取相邻的两个第二行为样本元素在所述行为图中的最短有向边;
将所述最短有向边对应的权重值和值作为所述相邻的两个第二行为样本元素的相邻异常值;
根据所有相邻异常值,得到所述预设门限值;
其中,在所述获取相邻的两个第二行为样本元素在所述行为图中的最短有向边之后,还包括:
将不存在所述行为图中的第二行为数据对应的相邻异常值设为无穷大;
其中,所述根据所有相邻异常值,得到所述预设门限值,包括:
集合所有所述相邻异常值,得到相邻异常值序列;
利用预设的滑动窗,计算所述相邻异常值序列对应的平均异常值;以及,计算所述相邻异常值序列对应的无穷大值比例,所述无穷大值比例为根据所述无穷大的相邻异常值得到的;
将所述平均异常值的分位数作为第一门限值;以及,将所述无穷大值比例的分位数作为第二门限值;
将所述第一门限值与所述第二门限值作为所述预设门限值。
2.如权利要求1所述的方法,其特征在于,所述利用训练样本集中的第一行为样本元素,构建行为图,包括:
将每个所述第一行为样本元素作为顶点,并将相邻的两个第一行为样本元素的连接线作为对应的有向边;
获取每个有向边出现的数量,并根据所述每个有向边出现的数量,分别计算每个有向边对应的权重值;
根据所述顶点以及包含权重值的每个有向边,构建所述行为图。
3.如权利要求1所述的方法,其特征在于,所述根据所述行为图计算所述待测试行为数据对应的待测试异常值,包括:
获取相邻的两个第二待测试行为数据在所述行为图中的最短有向边;
将所述最短有向边对应的权重值和值作为所述相邻的两个待测试行为数据的相邻异常值;
集合所有相邻异常值,得到所述待测试行为数据对应的相邻异常值序列;
根据所述相邻异常值序列,计算得到所述待测试异常值,所述待测试异常值包括所述待测试行为数据对应的平均异常值以及无穷大值比例。
4.如权利要求3所述的方法,其特征在于,在所述计算得到所述待测试异常值之后,还包括:
若检测到所述待测试行为数据对应的平均异常值大于所述第一门限值,且检测到所述待测试行为数据对应无穷大值比例大于所述第二门限值,则确定所述目标用户存在异常行为。
5.一种异常行为的检测装置,其特征在于,包括:
构建模块,被配置为利用训练样本集中的第一行为样本元素,构建行为图;
生成模块,被配置为利用测试样本集中的第二行为样本元素以及所述行为图,生成预设门限值;
获取模块,被配置为获取目标用户的待测试行为数据,并根据所述行为图计算所述待测试行为数据对应的待测试异常值;
确定模块,被配置为根据所述待测试异常值与所述预设门限值的大小关系,确定所述目标用户是否存在异常行为;
其中,所述利用测试样本集中的第二行为样本元素,生成预设门限值,包括:
获取相邻的两个第二行为样本元素在所述行为图中的最短有向边;
将所述最短有向边对应的权重值和值作为所述相邻的两个第二行为样本元素的相邻异常值;
根据所有相邻异常值,得到所述预设门限值;
其中,在所述获取相邻的两个第二行为样本元素在所述行为图中的最短有向边之后,还包括:
将不存在所述行为图中的第二行为数据对应的相邻异常值设为无穷大;
其中,所述根据所有相邻异常值,得到所述预设门限值,包括:
集合所有所述相邻异常值,得到相邻异常值序列;
利用预设的滑动窗,计算所述相邻异常值序列对应的平均异常值;以及,计算所述相邻异常值序列对应的无穷大值比例,所述无穷大值比例为根据所述无穷大的相邻异常值得到的;
将所述平均异常值的分位数作为第一门限值;以及,将所述无穷大值比例的分位数作为第二门限值;
将所述第一门限值与所述第二门限值作为所述预设门限值。
6.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;以及,
处理器,用于与所述存储器显示以执行所述可执行指令从而完成权利要求1-4中任一所述异常行为的检测方法的操作。
7.一种计算机可读存储介质,用于存储计算机可读取的指令,其特征在于,所述指令被执行时执行权利要求1-4中任一所述异常行为的检测方法的操作。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110376399.3A CN113298345B (zh) | 2021-04-06 | 2021-04-06 | 异常行为的检测方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110376399.3A CN113298345B (zh) | 2021-04-06 | 2021-04-06 | 异常行为的检测方法、装置、电子设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113298345A CN113298345A (zh) | 2021-08-24 |
CN113298345B true CN113298345B (zh) | 2022-11-18 |
Family
ID=77319345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110376399.3A Active CN113298345B (zh) | 2021-04-06 | 2021-04-06 | 异常行为的检测方法、装置、电子设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113298345B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114363947B (zh) * | 2021-12-31 | 2023-09-22 | 紫光展锐(重庆)科技有限公司 | 日志分析方法及相关装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2459855B1 (en) * | 2010-05-17 | 2013-10-23 | Toyota Jidosha Kabushiki Kaisha | Abnormality detection apparatus for particulate filter |
CN103888304A (zh) * | 2012-12-19 | 2014-06-25 | 华为技术有限公司 | 一种多节点应用的异常检测方法及相关装置 |
CN105808923A (zh) * | 2016-02-29 | 2016-07-27 | 北京航空航天大学 | 一种数据序列的异常检测方法和装置 |
CN109040130A (zh) * | 2018-09-21 | 2018-12-18 | 成都力鸣信息技术有限公司 | 基于属性关系图的主机网络行为模式度量方法 |
CN111291229A (zh) * | 2020-01-21 | 2020-06-16 | 中国科学院计算技术研究所 | 一种稠密多部子图的检测方法及*** |
-
2021
- 2021-04-06 CN CN202110376399.3A patent/CN113298345B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2459855B1 (en) * | 2010-05-17 | 2013-10-23 | Toyota Jidosha Kabushiki Kaisha | Abnormality detection apparatus for particulate filter |
CN103888304A (zh) * | 2012-12-19 | 2014-06-25 | 华为技术有限公司 | 一种多节点应用的异常检测方法及相关装置 |
CN105808923A (zh) * | 2016-02-29 | 2016-07-27 | 北京航空航天大学 | 一种数据序列的异常检测方法和装置 |
CN109040130A (zh) * | 2018-09-21 | 2018-12-18 | 成都力鸣信息技术有限公司 | 基于属性关系图的主机网络行为模式度量方法 |
CN111291229A (zh) * | 2020-01-21 | 2020-06-16 | 中国科学院计算技术研究所 | 一种稠密多部子图的检测方法及*** |
Also Published As
Publication number | Publication date |
---|---|
CN113298345A (zh) | 2021-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11562830B2 (en) | Merchant evaluation method and system | |
US10832032B2 (en) | Facial recognition method, facial recognition system, and non-transitory recording medium | |
CN109918291A (zh) | 软件界面检测方法、装置、计算机设备及存储介质 | |
CN110009364A (zh) | 一种行业识别模型确定方法和装置 | |
CN106709318A (zh) | 一种用户设备唯一性的识别方法、装置和计算设备 | |
CN112085056B (zh) | 目标检测模型生成方法、装置、设备及存储介质 | |
US20150309962A1 (en) | Method and apparatus for modeling a population to predict individual behavior using location data from social network messages | |
CN113298345B (zh) | 异常行为的检测方法、装置、电子设备及介质 | |
CN110070533A (zh) | 一种目标检测结果的评测方法、装置、设备及存储介质 | |
CN112766045B (zh) | 场景变化检测方法、***、电子装置及存储介质 | |
CN106485585A (zh) | 用于等级评定的方法及*** | |
CN109615360A (zh) | 一种图形编码展示方法和装置 | |
CN110348215A (zh) | 异常对象识别方法、装置、电子设备及介质 | |
JP2018521396A (ja) | データ生成方法と装置、端末、サーバと記憶媒体 | |
CN112017776B (zh) | 基于动态图和医学知识图谱的疾病预测方法及相关设备 | |
CN111161789B (zh) | 一种模型预测的关键区域的分析方法及装置 | |
CN109615204B (zh) | 医疗数据的质量评估方法、装置、设备及可读存储介质 | |
CN115147705A (zh) | 人脸翻拍检测方法、装置、电子设备及存储介质 | |
CN112200711B (zh) | 一种水印分类模型的训练方法及*** | |
Clémençon et al. | Building confidence regions for the ROC surface | |
CN113506052A (zh) | 能力评测方法及相关装置 | |
JP2011198300A (ja) | プロセス改善施策評価装置及び方法 | |
CN112801287A (zh) | 神经网络性能评估方法及装置、电子设备及存储介质 | |
KR102294255B1 (ko) | 인지증 개호 부담도 판정 장치, 인지증 개호 부담도 판정 방법, 인지증 개호 부담도 판정 프로그램, 인지증 치료 효과 판정 장치, 인지증 치료 효과 판정 방법 및 인지증 치료 효과 판정 프로그램 | |
CN111885700A (zh) | 一种结合支撑向量机的移动终端定位方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CB03 | Change of inventor or designer information |
Inventor after: Bai Yu Inventor after: Li Keqin Inventor before: Bai Yu Inventor before: Li Keqin Inventor before: Ma Zhiyi |
|
CB03 | Change of inventor or designer information |