CN115567371B - 一种异常检测方法、装置、设备及可读存储介质 - Google Patents
一种异常检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN115567371B CN115567371B CN202211460171.3A CN202211460171A CN115567371B CN 115567371 B CN115567371 B CN 115567371B CN 202211460171 A CN202211460171 A CN 202211460171A CN 115567371 B CN115567371 B CN 115567371B
- Authority
- CN
- China
- Prior art keywords
- training
- detection model
- abnormal
- probability
- training sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本说明书公开了一种异常检测方法、装置、设备及可读存储介质,基于每个第一检测模型输出的第一训练样本的第一异常概率,对第一训练样本排序,得到第一训练样本对应于该第一检测模型的次序,针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率作为标签,并根据各第一训练样本及其标签,训练第二检测模型,以根据训练后的第二检测模型,确定待检测事件的异常概率。可见,采用对各第一训练样本对应于第一检测模型的次序进行融合,解决了不同检测模型预测的异常概率分布不同的问题,用融合得到第二异常概率训练第二检测模型,提高了线上异常检测的响应效率和隐私信息的安全性。
Description
技术领域
本说明书涉及计算机技术领域,尤其涉及一种异常检测方法、装置、设备及可读存储介质。
背景技术
随着人们对隐私数据关注度的提高,以及互联网技术的快速发展,线上业务得到了快速的发展和广泛的关注。但是,用户在执行线上业务时可能会出现异常,进而导致用户的线上业务受到影响,因此,业务提供方可针对用户所执行的线上业务进行异常检测,从而及时检测出业务执行时的异常,以提供相应的异常处理方案。
基于此,本说明书提供一种异常检测方法。
发明内容
本说明书提供一种异常检测方法、装置、设备及可读存储介质,以部分的解决现有技术存在的上述问题。
本说明书采用下述技术方案:
本说明书提供了一种异常检测方法,包括:
获取各第一训练样本,以及多个预训练的第一检测模型;
针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率;
根据该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序;
针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签;
根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型;
响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。
本说明书提供了一种异常检测装置,包括:
获取模块,用于获取各第一训练样本,以及多个预训练的第一检测模型;
第一检测模块,用于针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率;
排序模块,用于根据该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序;
融合模块,用于针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签;
第一训练模块,用于根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型;
第二检测模块,用于响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。
本说明书提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述异常检测方法。
本说明书提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述异常检测方法。
本说明书采用的上述至少一个技术方案能够达到以下有益效果:
本说明书提供的异常检测方法中,通过将各第一训练样本分别输入各第一检测模型,得到每个第一检测模型分别输出的各第一训练样本分别对应的第一异常概率,并基于第一异常概率对各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序,进而针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率作为该第一训练样本的标签,并根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型,以便响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。可见,通过将各第一检测模型对应于该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率的方式,解决了不同第一检测模型预测的概率分布不同带来的概率偏移问题,并且用融合得到第二异常概率训练轻量级的第二检测模型,提高了线上异常检测的响应效率。
附图说明
此处所说明的附图用来提供对本说明书的进一步理解,构成本说明书的一部分,本说明书的示意性实施例及其说明用于解释本说明书,并不构成对本说明书的不当限定。在附图中:
图1为本说明书中一种异常检测方法的流程示意图;
图2为本说明书中一种异常检测方法的流程示意图;
图3为本说明书提供的一种异常检测装置的示意图;
图4为本说明书提供的对应于图1的电子设备示意图。
具体实施方式
为使本说明书的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书保护的范围。
另外,需要说明的是,本发明中所有获取信号、信息或数据的动作都是在遵照所在地国家相应的数据保护法规政策的前提下,并获得由相应装置所有者给予授权的情况下进行的。
随着互联网技术的飞速发展,基于线上的交易业务蓬勃发展。但是,用户在线上进行交易业务时可能会遭遇异常,如欺诈、盗用。为了及时识别出存在异常的交易,可以基于机器学习的方式,识别用户的线上交易行为是否存在异常。
目前,由于针对用户的线上业务的异常检测可以是采用机器学习的方式训练得到的异常检测模型。而在实际应用中,由于用户的线上业务可能发生的异常类型多种多样,无法通过单一的异常检测模型直接得到,因此可以通过多个异常检测模型对待检测事件进行异常检测,然后将各异常检测模型输出的异常概率进行融合,得到融合后的异常概率作为待检测事件的检测结果。
上述方法虽然通过多个异常检测模型输出的多个异常概率综合得到检测结果,但是,由于不同的异常检测模型采用的模型结构截然不同,可能会出现各异常检测模型对相同的待检测事件预测得到的异常概率的分布可能不同的情况。例如,异常检测模型A在训练过程中倾向于将异常概率为0.5的事件定义为异常,而异常检测模型B在训练过程中倾向于将异常概率为0.5事件定义为正常,这就导致训练后的异常检测模型A和异常检测模型B针对相同的待检测事件可能预测得到不同的异常概率,从而出现不同异常检测模型针对相同的交易事件预测的异常概率的分布不统一的问题。于是,导致融合得到的检测结果出现准确率下降的问题。
另外,由于目前的融合方案中需要采用多个异常检测模型的预测概率,因此需要在线上部署这多个异常检测模型,导致线上响应较慢,效率降低。
基于此,本说明书提供一种异常检测方法。通过对多个异常检测模型输出的异常概率进行排序,得到各第一训练样本对应于每个第一检测模型的次序,进而对次序进行融合,得到第一训练样本的标签,以第一训练样本及其标签训练第二检测模型,以便在线上部署训练后的第二检测模型。既实现了通过融合的方式提高异常检测准确率的目的,还避免了因部署多个检测模型造成线上响应效率低的问题。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书提供的一种异常检测方法的流程示意图。
S100:获取各第一训练样本,以及多个预训练的第一检测模型。
本说明书实施例中提供一种异常检测方法,可由用于进行异常检测的服务器等电子设备执行本说明书实施例提供的异常检测过程。
在实际应用中,针对用户的线上交易的异常检测按照目的通常可以分为两种,一种是主要目在于检测交易事件是否命中先验异常类型的异常识别模型,采用的是有监督学习方式进行训练;另一种在没有先验异常类型的情况对交易事件进行异常感知的感知模型,采用的是无监督学习方式进行训练。由于在实际情况中异常的交易事件的数量较少,且大部分异常事件的异常类型通常是结合在一起的,细分异常类型的难度较大。另外,基于异常交易事件以及异常类型通过有监督学习方式训练得到的异常识别模型仅能检测当前存在的异常类型,而对于没有先验知识的异常类型,模型的预测效果通常较差。因此本说明书实施例中,采用具有鲁棒性、对不同异常类型的交易事件的均有较高检测能力的感知模型执行本说明书实施例中提供的异常检测方法。
基于此,本说明书实施例中,获取的多个第一检测模型是预先根据第二训练样本,基于无监督学习的方式进行训练的,其中,多个第一检测模型的模型结构互不相同。第一检测模型的模型结构和具体数量可以根据具体的应用场景确定,本说明书对此不做限定。
可选地,第一检测模型可以是基于决策树构建的感知模型,当然,在实际应用场景中,还可以有多个不同的第一检测模型的构建方法,如可以基于多层感知器(MultilayerPerceptron,MLP)、孤立森林(Isolation Forest,iForest)、基于聚类的本地异常因子(Cluster-based Local Outlier Factor,CBLOF)、自编码模型(Auto-Encoder,AE)、变分自编码模型(Variational Autoencoder,VAE)、单类神经网络(One-Class Neural Network,OCNN)、基于直方图的无监督异常检测算法(Histogram-based Outlier Score,HBOS)、一维卷积自编码模型(Conv1d Auto-Encoder,Conv1dae)、主成分分析方法(PrincipalComponent Analysis,PCA)等无监督学习的方法训练得到的异常感知模型,第一检测模型的具体数量和模型结构可以根据实际应用场景的不同而有所不同,本说明书实施例对此不作具体限定。
另外,第一训练样本与用于训练第一检测模型的第二训练样本可以是从同一个样本集中采样得到的,当然也可以是从不同样本集中采样得到的,本说明书对此不做限定。
S102:针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本分别对应的第一异常概率。
具体的,将各第一训练样本分别输入到每个第一检测模型,通过每个第一检测模型得到各第一训练样本对应的第一异常概率。其中,该第一检测模型输出的各第一异常概率用于指示基于该第一检测模型学习到的异常检测能力预测的各第一训练样本分别为异常交易事件的概率。各第一检测模型虽然可以是基于相同的第二训练样本训练得到,但是,由于各第一检测模型的模型结构不同,导致各第一检测模型对相同的第一训练样本预测得到的异常概率的分布可能不同。例如,第一检测模型A和第一检测模型B均可基于相同的第二训练样本训练得到,但是第一检测模型A在训练过程中倾向于将中等异常的交易事件定义为异常,而第一检测模型B在训练过程中倾向于将中等异常的交易事件定义为正常,这就导致第一检测模型A和第一检测模型B针对相同的交易事件可能预测得到不同的异常概率,从而出现不同第一检测模型针对相同的交易事件预测的异常概率的分布不统一的问题。
S104:根据该第一检测模型分别输出的所述各第一训练样本分别对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序。
基于上述不同第一检测模型针对相同的交易事件预测的异常概率的分布不统一的问题,采用根据该第一检测模型分别输出的所述各第一训练样本分别对应的第一异常概率,将所述各第一训练样本排序的方式,确定各第一训练样本分别在各第一检测模型预测出的各第一异常概率中的次序,作为各第一检测模型分别对应的各第一训练样本的各次序。
例如,第一检测模型A和第一检测模型B分别对样本X、样本Y和样本Z进行异常检测,得到第一检测模型A输出的样本X、样本Y和样本Z的第一异常概率依次是0.7、0.4、0.8,得到第一检测模型B输出的样本X、样本Y和样本Z的第一异常概率依次是0. 6、0.5、0.4。综合可得,样本X的第一异常概率在第一检测模型A输出的各第一异常概率中的次序为2,且在第一检测模型B输出的各第一异常概率中的次序为1。
S106:针对每个第一训练样本,将各第一检测模型分别对应的该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签。
进一步的,通过对各训练样本的各次序进行异常融合,可以将多种单一的第一检测模型的异常检测能力相结合,构造出更精确、更鲁棒的异常检测方案。由于本说明书实施例中,并不直接采用第一检测模型输出的第一训练样本的第一异常概率进行融合,而是对第一训练样本的第一异常概率在第一检测模型输出的各第一异常概率中的次序融合,即使不同模型结构的第一检测模型对同一个第一训练样本的第一异常概率的具体数值相差很多,但次序通常相同或近似。由此,基于各训练样本的各次序进行异常融合,即使不同模型结构的第一检测模型输出的异常概率的分布不同,也可以得到准确率较高的融合结果。
S108:根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型。
另一方面,线上高并发海量数据对异常检测的时效性不断提出更高的要求。线上的异常检测模型需要在短时间内得出交易事件是否存在异常的检测结果,否则会影响***的稳定和用户体验。但是基于异常融合的异常检测方案需要在线上部署多个指定异常检测模型,在响应于异常检测请求时,需要针对待检测的交易事件通过多个指定异常检测模型得到异常概率,在对多个异常概率进行融合,响应时间较长。
基于此,本说明书实施例中,基于各第一训练样本的各第一异常概率分别在各第一检测模型输出的各第一异常概率中的次序,对次序进行融合,得到各第一训练样本的第二异常概率。并将各第一训练样本的第二异常概率作为各第一训练样本的标签,以模型蒸馏的思路,根据各第一训练样本,以及各第一训练样本的标签训练第二检测模型,以第二检测模型输出的第一训练样本的异常概率与第一训练样本的标签的最小化为训练目标,训练第二检测模型。
第二检测模型可以采用极端梯度提升决策树(Extreme Gradient Boosting,XGBoost)的模型结构,当然,根据具体的应用场景还可以采用其他模型结果,本说明书对此不做限定。
S110:响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。
通过模型蒸馏的方式,用融合得到的第二异常概率作为第一训练样本的标签,进而训练第二检测模型,既能够基于多个第一检测模型进行线上异常检测,同时还能够避免在线上异常检测的过程中使用体量庞大的融合模型,在保证异常检测准确性的同时,提高了线上异常检测的时效性。
本说明书提供的异常检测方法中,通过将各第一训练样本分别输入各第一检测模型,得到每个第一检测模型分别输出的各第一训练样本分别对应的第一异常概率,并基于第一异常概率对各第一训练样本排序,得到各第一检测模型分别对应的各第一训练样本的次序,进而针对每个第一训练样本,将各第一检测模型分别对应的该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率作为该第一训练样本的标签,并根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型,以便响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。可见,通过将各第一检测模型对应于该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率的方式,解决了不同第一检测模型预测的概率分布不同带来的概率偏移问题,并且用融合得到第二异常概率训练轻量级的第二检测模型,提高了线上异常检测的响应效率。
在本说明书一个或多个实施例中,如图1步骤S106所示针对每个第一训练样本,将各第一检测模型分别对应的该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签,具体可通过以下方案实施:
首先,根据各第一检测模型对应的该第一训练样本的各次序,确定该第一训练样本的各次序的倒数。
由于本说明书实施例中,并不直接采用第一检测模型输出的第一训练样本的第一异常概率进行融合,而是对第一训练样本的第一异常概率在第一检测模型输出的各第一异常概率中的次序融合,即使不同模型结构的第一检测模型对同一个第一训练样本的第一异常概率的具体数值相差很多,但次序通常相同或近似。由此,基于各训练样本的各次序进行异常融合,即使不同模型结构的第一检测模型输出的异常概率的分布不同,也可以得到准确率较高的融合结果。
进一步的,由于直接对各第一训练样本的次序进行融合可能会得到不符合异常概率特性的数值,由此,可以通过确定各第一训练样本的各次序的倒数的方法,以得到具备可解释性的该第一训练样本的第二异常概率。
然后,对该第一训练样本的各次序的倒数进行统计,得到该第一训练样本的第二异常概率。
在实际应用中,对该第一训练样本的各次序的倒数进行统计的统计方法可以是算术平均方法、几何平均方法、平方平均方法、调和平均方法,加权平均方法等各种类型的统计方法,本说明书对此不做限定,
可选的,得到第一训练样本的第二异常概率的统计方式可以是算数平均数,公式具体如下:
在本说明书一个或多个实施例中,如图1步骤S106所示针对每个第一训练样本,将各第一检测模型分别对应的该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率之前,还可以确定各次序的融合权重,对该第一训练样本的各次序进行加权融合,具体可通过以下方案实施:
第一步:获取测试样本,以及获取所述测试样本的异常概率作为所述测试样本的标签。
具体的,由于各第一检测模型的模型结构互不相同,因此,即使各第一检测模型均基于相同的第二训练样本采用无监督学习的方式进行训练得到,但可能各第一检测模型针对同一个样本预测得到的该样本的异常概率可能存在差异,也就是说,各第一检测模型针对同一个样本输出的异常概率的准确度不同,由此,可以根据第一检测模型的准确度,确定各第一检测模型对应的每个第一训练样本的次序的置信度,以对每个第一训练样本的各次序进行融合时,基于置信度对次序进行加权融合,以提高融合得到的第二异常概率的准确性。
第二步:针对每个第一检测模型,将所述测试样本输入该第一检测模型,得到该第一检测模型输出的所述测试样本的预测概率。
第三步:根据所述测试样本的预测概率和所述测试样本的标签之间的差异,确定该第一检测模型的置信度。
由此,可以获取测试样本以及测试样本的标签,分别对各第一检测模型进行准确性的检测。测试样本的来源和数量可以根据具体的应用场景确定,本说明书对此不做限定。
可选的,当测试样本的数量为多个时,根据该第一检测模型分别输出的各测试样本的预测概率和所述各测试样本的标签之间的差异,确定该第一检测模型的置信度。
第四步:根据该第一检测模型的置信度,确定该第一检测模型对应的所述各第一训练样本的次序的融合权重。
在本说明书一个或多个实施例中,如图1步骤S106所示针对每个第一训练样本,将各第一检测模型分别对应的该第一训练样本的各次序进行融合,得到该第一训练样本的第二异常概率时,可以确定出的各次序的融合权重,对该第一训练样本的各次序进行加权融合。
可选的,得到第一训练样本的第二异常概率的统计方式可以是算数平均数,公式具体如下:
在本说明书一个或多个实施例中,如图1步骤S108所示根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型之前,还可以对作为标签的第二异常概率进行尺度变换,如图2所示,具体通过以下方案实施:
S200:根据所述各第一训练样本的第二异常概率,确定所述各第一训练样本的第二异常概率之间的相似度。
具体的,可以根据各第一训练样本的第二异常概率之间的相似程度,确定是否要对各第一训练样本的第二异常概率进行尺度变换。
由于第一训练样本的第二异常概率是基于第一训练样本的各第一异常概率分别在各第一异常检测模型输出的所有第一异常概率中的次序确定的,由此,可能会出现大部分的第一训练样本的第二检测概率较为近似的情况,进而导致无法正常训练第二检测模型,或者训练后的第二检测模型的准确性和鲁棒性较低。
为了应对上述情况,在本说明书实施例中,可以首先确定各第一训练样本的第二异常概率的相似度,基于相似度判断是否需要进行尺度变换,以及尺度变换的变换参数等。
其中,各第一训练样本的第二异常概率的相似度可以采用方差等现有的统计方式得到,本说明书对此不做限定。
S202:判断所述各第一训练样本的第二异常概率之间的相似度是否大于预设阈值,若是,执行步骤S204,否则执行步骤S206。
S204:对所述各第一训练样本的第二异常概率进行尺度变换。
具体的,根据所述相似度,确定变换参数,根据所述变换参数对所述各第一训练样本的第二异常概率进行尺度变换,以实现各第一训练样本的第二异常概率之间的相似度降低的目的。
可选的,对所述各第一训练样本的第二异常概率进行尺度变换可以是对各第一训练样本的第二异常概率进行幂函数运算处理、指数函数运算处理等能够达到各第一训练样本的第二异常概率之间的相似度降低的目的尺度变换方案,例如,对各第一训练样本的第二异常概率进行开四次方根的尺度变换。具体的尺度变换方案可以根据具体的应用场景确定,本说明书对此不做限定。
S206:根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型。
在本说明书一个或多个实施例中,如图2步骤S200所示确定所述各第一训练样本的第二异常概率之间的相似度,还可以通过下述方式得到:
首先,根据所述各第一训练样本中任意两个第一训练样本的第二异常概率确定概率差异。
其次,遍历所述各第一训练样本,得到各概率差异。
然后,根据所述各概率差异的方差确定所述各第一训练样本的第二异常概率之间的相似度。
图3为本说明书提供的一种异常检测装置示意图,具体包括:
获取模块300,用于获取各第一训练样本,以及多个预训练的第一检测模型;
第一检测模块302,用于针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率;
排序模块304,用于根据该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序;
融合模块306,用于针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签;
第一训练模块308,用于根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型;
第二检测模块310,用于响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率。
可选地,所述融合模块306具体用于,根据各第一检测模型对应的该第一训练样本的各次序,确定该第一训练样本的各次序的倒数;对该第一训练样本的各次序的倒数进行统计,得到该第一训练样本的第二异常概率。
可选地,所述装置还包括:
尺度变换模块312,具体用于根据所述各第一训练样本的第二异常概率,确定所述各第一训练样本的第二异常概率之间的相似度;判断所述各第一训练样本的第二异常概率之间的相似度是否大于预设阈值;若是,对所述各第一训练样本的第二异常概率进行尺度变换。
可选地,所述尺度变换模块312具体用于,根据所述各第一训练样本中任意两个第一训练样本的第二异常概率确定概率差异;遍历所述各第一训练样本,得到各概率差异;根据所述各概率差异的方差确定所述各第一训练样本的第二异常概率之间的相似度。
可选地,所述尺度变换模块312具体用于,根据所述相似度,确定变换参数;根据所述变换参数对所述各第一训练样本的第二异常概率进行尺度变换。
可选地,所述装置还包括:
第二训练模块314,具体用于预先获取若干第二训练样本;根据所述第二训练样本通过无监督学习的训练方法分别训练所述各第一检测模型;其中,所述各第一检测模型的模型结构互不相同。
可选地,所述融合模块306在所述融合模块306将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率之前,还用于获取测试样本,以及获取所述测试样本的异常概率作为所述测试样本的标签;针对每个第一检测模型,将所述测试样本输入该第一检测模型,得到该第一检测模型输出的所述测试样本的预测概率;根据所述测试样本的预测概率和所述测试样本的标签之间的差异,确定该第一检测模型的置信度;根据该第一检测模型的置信度,确定所述各第一训练样本对应于该第一检测模型的次序的融合权重;
所述融合模块306具体用于,根据该第一训练样本该第一训练样本对应于每个第一检测模型的次序的融合权重,对该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率。
本说明书还提供了一种计算机可读存储介质,该存储介质存储有计算机程序,计算机程序可用于执行上述图1所示的异常检测方法。
本说明书还提供了图4所示的电子设备的示意结构图。如图4所述,在硬件层面,该电子设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,以实现上述图1所示的异常检测方法。当然,除了软件实现方式之外,本说明书并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device, PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字***“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的***、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书的实施例可提供为方法、***或计算机程序产品。因此,本说明书可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (14)
1.一种异常检测方法,所述方法包括:
获取各第一训练样本,以及多个预训练的第一检测模型;
针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率;
根据该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序;
针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签;
根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型;
响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率;
将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,具体包括:
根据各第一检测模型对应的该第一训练样本的各次序,确定该第一训练样本的各次序的倒数;
对该第一训练样本的各次序的倒数进行统计,得到该第一训练样本的第二异常概率。
2.如权利要求1所述的方法,根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型之前,所述方法还包括:
根据所述各第一训练样本的第二异常概率,确定所述各第一训练样本的第二异常概率之间的相似度;
判断所述各第一训练样本的第二异常概率之间的相似度是否大于预设阈值;
若是,对所述各第一训练样本的第二异常概率进行尺度变换。
3.如权利要求2所述的方法,根据所述各第一训练样本的第二异常概率,确定所述各第一训练样本的第二异常概率之间的相似度,具体包括:
根据所述各第一训练样本中任意两个第一训练样本的第二异常概率确定概率差异;
遍历所述各第一训练样本,得到各概率差异;
根据所述各概率差异的方差确定所述各第一训练样本的第二异常概率之间的相似度。
4.如权利要求2所述的方法,对所述各第一训练样本的第二异常概率进行尺度变换,具体包括:
根据所述相似度,确定变换参数;
根据所述变换参数对所述各第一训练样本的第二异常概率进行尺度变换。
5.如权利要求1所述的方法,预先训练所述各第一检测模型,具体包括:
预先获取若干第二训练样本;
根据所述第二训练样本通过无监督学习的训练方法分别训练所述各第一检测模型;其中,所述各第一检测模型的模型结构互不相同。
6.如权利要求1所述的方法,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率之前,所述方法还包括:
获取测试样本,以及获取所述测试样本的异常概率作为所述测试样本的标签;
针对每个第一检测模型,将所述测试样本输入该第一检测模型,得到该第一检测模型输出的所述测试样本的预测概率;
根据所述测试样本的预测概率和所述测试样本的标签之间的差异,确定该第一检测模型的置信度;
根据该第一检测模型的置信度,确定所述各第一训练样本对应于该第一检测模型的次序的融合权重;
将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,具体包括:
根据该第一训练样本该第一训练样本对应于每个第一检测模型的次序的融合权重,对该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率。
7.一种异常检测装置,包括:
获取模块,用于获取各第一训练样本,以及多个预训练的第一检测模型;
第一检测模块,用于针对每个第一检测模型,将所述各第一训练样本分别输入该第一检测模型,得到该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率;
排序模块,用于根据该第一检测模型分别输出的所述各第一训练样本对应的第一异常概率,对所述各第一训练样本排序,得到所述各第一训练样本对应于该第一检测模型的次序;
融合模块,用于针对每个第一训练样本,将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率,作为该第一训练样本的标签;
第一训练模块,用于根据所述各第一训练样本以及所述各第一训练样本的标签,训练待训练的第二检测模型;
第二检测模块,用于响应于异常检测请求,根据训练后的第二检测模型,确定待检测事件的异常概率;
所述融合模块具体用于,根据各第一检测模型对应的该第一训练样本的各次序,确定该第一训练样本的各次序的倒数;对该第一训练样本的各次序的倒数进行统计,得到该第一训练样本的第二异常概率。
8.如权利要求7所述的装置,所述装置还包括:
尺度变换模块,具体用于根据所述各第一训练样本的第二异常概率,确定所述各第一训练样本的第二异常概率之间的相似度;判断所述各第一训练样本的第二异常概率之间的相似度是否大于预设阈值;若是,对所述各第一训练样本的第二异常概率进行尺度变换。
9.如权利要求8所述的装置,所述尺度变换模块具体用于,根据所述各第一训练样本中任意两个第一训练样本的第二异常概率确定概率差异;遍历所述各第一训练样本,得到各概率差异;根据所述各概率差异的方差确定所述各第一训练样本的第二异常概率之间的相似度。
10.如权利要求8所述的装置,所述尺度变换模块具体用于,根据所述相似度,确定变换参数;根据所述变换参数对所述各第一训练样本的第二异常概率进行尺度变换。
11.如权利要求7所述的装置,所述装置还包括:
第二训练模块,具体用于预先获取若干第二训练样本;根据所述第二训练样本通过无监督学习的训练方法分别训练所述各第一检测模型;其中,所述各第一检测模型的模型结构互不相同。
12.如权利要求7所述的装置,所述融合模块在所述融合模块将该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率之前,还用于获取测试样本,以及获取所述测试样本的异常概率作为所述测试样本的标签;针对每个第一检测模型,将所述测试样本输入该第一检测模型,得到该第一检测模型输出的所述测试样本的预测概率;根据所述测试样本的预测概率和所述测试样本的标签之间的差异,确定该第一检测模型的置信度;根据该第一检测模型的置信度,确定所述各第一训练样本对应于该第一检测模型的次序的融合权重;
所述融合模块具体用于,根据该第一训练样本该第一训练样本对应于每个第一检测模型的次序的融合权重,对该第一训练样本对应于每个第一检测模型的次序进行融合,得到该第一训练样本的第二异常概率。
13.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1~6任一项所述的方法。
14.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述权利要求1~6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211460171.3A CN115567371B (zh) | 2022-11-16 | 2022-11-16 | 一种异常检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211460171.3A CN115567371B (zh) | 2022-11-16 | 2022-11-16 | 一种异常检测方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115567371A CN115567371A (zh) | 2023-01-03 |
CN115567371B true CN115567371B (zh) | 2023-03-10 |
Family
ID=84769863
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211460171.3A Active CN115567371B (zh) | 2022-11-16 | 2022-11-16 | 一种异常检测方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115567371B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115758226B (zh) * | 2023-01-06 | 2023-06-02 | 之江实验室 | 一种异常检测的方法、装置、存储介质及电子设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109714343A (zh) * | 2018-12-28 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种网络流量异常的判断方法及装置 |
WO2020248291A1 (en) * | 2019-06-11 | 2020-12-17 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for anomaly detection |
CN112528801A (zh) * | 2020-12-02 | 2021-03-19 | 上海高德威智能交通***有限公司 | 一种异常事件检测方法、模型训练方法和装置 |
WO2021114916A1 (zh) * | 2019-12-13 | 2021-06-17 | 支付宝(杭州)信息技术有限公司 | 风险检测方法、装置及设备 |
CN113641896A (zh) * | 2021-07-23 | 2021-11-12 | 北京三快在线科技有限公司 | 一种模型训练以及推荐概率预测方法及装置 |
CN113778802A (zh) * | 2021-09-15 | 2021-12-10 | 深圳前海微众银行股份有限公司 | 异常预测方法及设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11277420B2 (en) * | 2017-02-24 | 2022-03-15 | Ciena Corporation | Systems and methods to detect abnormal behavior in networks |
KR102583582B1 (ko) * | 2020-02-24 | 2023-09-27 | 주식회사 마키나락스 | 어노말리 데이터 생성 방법 |
CN112860968A (zh) * | 2021-02-02 | 2021-05-28 | 北京三快在线科技有限公司 | 一种异常检测的方法以及装置 |
-
2022
- 2022-11-16 CN CN202211460171.3A patent/CN115567371B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109714343A (zh) * | 2018-12-28 | 2019-05-03 | 北京天融信网络安全技术有限公司 | 一种网络流量异常的判断方法及装置 |
WO2020248291A1 (en) * | 2019-06-11 | 2020-12-17 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for anomaly detection |
WO2021114916A1 (zh) * | 2019-12-13 | 2021-06-17 | 支付宝(杭州)信息技术有限公司 | 风险检测方法、装置及设备 |
CN112528801A (zh) * | 2020-12-02 | 2021-03-19 | 上海高德威智能交通***有限公司 | 一种异常事件检测方法、模型训练方法和装置 |
CN113641896A (zh) * | 2021-07-23 | 2021-11-12 | 北京三快在线科技有限公司 | 一种模型训练以及推荐概率预测方法及装置 |
CN113778802A (zh) * | 2021-09-15 | 2021-12-10 | 深圳前海微众银行股份有限公司 | 异常预测方法及设备 |
Non-Patent Citations (1)
Title |
---|
基于机器学习的用户行为异常检测模型;田新广等;《计算机工程与应用》;20060701(第19期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115567371A (zh) | 2023-01-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110278175B (zh) | 图结构模型训练、垃圾账户识别方法、装置以及设备 | |
CN107808098B (zh) | 一种模型安全检测方法、装置以及电子设备 | |
CN110262937B (zh) | 一种指标异常原因的识别方法及装置 | |
CN111080304B (zh) | 一种可信关系识别方法、装置及设备 | |
CN110245047B (zh) | 时间序列异常检测方法、装置及设备 | |
CN108596410B (zh) | 一种风控事件自动处理方法及装置 | |
CN110119860B (zh) | 一种垃圾账号检测方法、装置以及设备 | |
CN109299276B (zh) | 一种将文本转化为词嵌入、文本分类方法和装置 | |
CN115567371B (zh) | 一种异常检测方法、装置、设备及可读存储介质 | |
CN112966113A (zh) | 一种数据的风险防控方法、装置及设备 | |
CN114943307A (zh) | 一种模型训练的方法、装置、存储介质以及电子设备 | |
CN114419679B (zh) | 基于可穿戴设备数据的数据分析方法、装置及*** | |
CN115618964A (zh) | 一种模型训练的方法、装置、存储介质及电子设备 | |
CN116152933A (zh) | 一种异常检测模型的训练方法、装置、设备及存储介质 | |
CN115712866A (zh) | 数据处理方法、装置及设备 | |
CN110033092B (zh) | 数据标签生成、模型训练、事件识别方法和装置 | |
CN116186330B (zh) | 一种基于多模态学习的视频去重方法及装置 | |
CN111538925B (zh) | 统一资源定位符url指纹特征的提取方法及装置 | |
CN116029556B (zh) | 一种业务风险的评估方法、装置、设备及可读存储介质 | |
CN116308738B (zh) | 一种模型训练的方法、业务风控的方法及装置 | |
CN112597459A (zh) | 一种身份验证方法及装置 | |
CN116822606A (zh) | 一种异常检测模型的训练方法、装置、设备及存储介质 | |
CN115408449B (zh) | 一种用户行为的处理方法、装置及设备 | |
US10885160B1 (en) | User classification | |
CN114912513A (zh) | 一种模型训练的方法、识别信息的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |