CN115689571A - 异常用户行为监测方法、装置、设备和介质 - Google Patents
异常用户行为监测方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN115689571A CN115689571A CN202211186307.6A CN202211186307A CN115689571A CN 115689571 A CN115689571 A CN 115689571A CN 202211186307 A CN202211186307 A CN 202211186307A CN 115689571 A CN115689571 A CN 115689571A
- Authority
- CN
- China
- Prior art keywords
- deviation
- sequence
- user
- time
- indexes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种异常用户行为监测方法,涉及人工智能技术领域。该方法包括:基于用户的操作行为采集N个操作指标,其中,所述操作行为包括操作应用提供的S个功能的行为,根据所述N个操作指标中至少部分指标,确定所述用户的操作行为序列数据,其中,所述操作行为序列数据包括第一时间段内所述至少部分指标的采集时间顺序信息和耗时信息;对比所述用户的历史行为序列数据和所述操作行为序列数据,获得序列偏差特征;将所述序列偏差特征输入至预先训练的异常监测模型,获得所述异常检测模型输出的异常监测结果。本公开还提供了一种异常用户行为监测装置、设备、存储介质和程序产品。
Description
技术领域
本公开涉及人工智能技术领域,更具体地涉及一种异常用户行为监测方法、装置、设备、介质和程序产品。
背景技术
随着大数据时代的来临,网络的迅猛发展、电子渠道的广泛普及、黑产和灰产的蓬勃发展,导致数据安全事件危害程度也是日益加剧,数据泄露危害跃居前三。现有生物识别支付手段、支付密码等安全手段和设置支付限额等措施仅能保障用户自身动账交易的安全性,但是无法防御用户被植入木马后引发关键密码泄露后的盗刷等各种手段。
用户有意或无意泄露关键密码、被骗或被强制进行交易导致的异常行为数据难以被监控,亟待提出一种能够监测出异常用户行为的方案,有效保护用户的财产和数据安全。
发明内容
鉴于上述问题,本公开提供了一种异常用户行为监测方法、装置、设备、介质和程序产品。
本公开实施例的一个方面提供了一种异常用户行为监测方法,包括:基于用户的操作行为采集N个操作指标,其中,所述操作行为包括操作应用提供的S个功能的行为,N和S分别为大于或等于1 的整数;根据所述N个操作指标中至少部分指标,确定所述用户的操作行为序列数据,其中,所述操作行为序列数据包括第一时间段内所述至少部分指标的采集时间顺序信息和耗时信息;对比所述用户的历史行为序列数据和所述操作行为序列数据,获得序列偏差特征;将所述序列偏差特征输入至预先训练的异常监测模型,获得所述异常检测模型输出的异常监测结果。
根据本公开的实施例,所述至少部分指标包括应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标,所述确定所述用户的操作行为序列数据包括:确定所述第一时间段内应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的采集时间和/或所述耗时信息;根据所述采集时间确定应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的所述采集时间顺序信息;根据所述采集时间顺序信息和所述耗时信息确定所述操作行为序列数据。
根据本公开的实施例,所述历史行为序列数据包括第二时间段内至少部分指标的采集时间顺序信息和耗时信息,所述获得序列偏差特征包括:根据所述用户分别在所述历史行为序列数据和所述操作行为序列数据中具有相同采集时间顺序的L个指标,获得第一偏差值,L 为大于或等于1的整数;通过所述第一偏差值获得所述序列偏差特征。
根据本公开的实施例,所述获得序列偏差特征还包括:根据所述 L个指标中每个指标分别在所述历史行为序列数据和所述操作行为序列数据中的采集时间,获得第二偏差值;其中,所述通过所述第一偏差值获得所述序列偏差特征包括:通过所述第一偏差值和/或所述第二偏差值获得所述序列偏差特征。
根据本公开的实施例,根据所述L个指标中每个指标分别在所述历史行为序列数据和所述操作行为序列数据中的耗时信息,获得第三偏差值;其中,所述通过所述第一偏差值和/或所述第二偏差值获得所述序列偏差特征包括:通过所述第一偏差值、所述第二偏差值和所述第三偏差值中的至少一个获得所述序列偏差特征。
根据本公开的实施例,所述N个操作指标包括访问IP归属地和涉帐交易对手,与所述N个操作指标中至少部分指标相关联的M个关联指标包括与所述涉帐交易对手相关联的涉帐交易对手违规信息, M大于或等于1,在将所述序列偏差特征输入至预先训练的异常监测模型之前,所述方法还包括:获取所述访问IP归属地预定范围内涉帐交易的数量;确定所述预定范围内涉帐交易的涉帐交易对手信息,以及所述涉帐交易对手违规信息;根据所述预定范围内涉帐交易的数量和所述涉帐交易对手违规信息,获得访问人聚集偏差特征。
根据本公开的实施例,所述N个操作指标包括访问设备,所述 M个关联指标包括用户手机号当前所在地和用户在第三时间段内线下支付信息,所述方法还包括获得以下至少一个行为偏差特征:根据所述访问IP归属地、所述用户手机号当前所在地和所述线下支付信息内线下交易商家所在地中的至少两个地点获得地点偏差特征;根据所述涉帐交易对手违规信息获得交易对手偏差特征;根据所述访问设备获得浏览设备偏差特征。
根据本公开的实施例,所述获得所述异常检测模型输出的异常监测结果包括:将所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述异常监测模型。
根据本公开的实施例,所述异常检测模型包括长短期记忆神经网络模型,在将所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述异常监测模型之前,还包括:利用孤立森林模型对所述N个操作指标和所述M个关联指标进行筛选,获得K个筛选指标,K大于或等于1;其中,所述获得所述异常检测模型输出的异常监测结果包括:将所述K个筛选指标、所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述长短期记忆神经网络模型,来获得所述异常监测结果。
本公开实施例的另一方面提供了一种异常用户行为监测装置,包括:指标采集模块,用于基于用户的操作行为采集N个操作指标,其中,所述操作行为包括操作应用提供的S个功能的行为,N和S 分别为大于或等于1的整数;行为序列模块,用于根据所述N个操作指标中至少部分指标,确定所述用户的操作行为序列数据,其中,所述操作行为序列数据包括第一时间段内所述至少部分指标的采集时间顺序信息和耗时信息;偏差特征模块,用于对比所述用户的历史行为序列数据和所述操作行为序列数据,获得序列偏差特征;异常监测模块,用于将所述序列偏差特征输入至预先训练的异常监测模型,获得所述异常检测模型输出的异常监测结果。
所述异常用户行为监测装置包括分别用于执行如上所述任意一项异常用户行为监测方法的各个步骤的模块。
本公开实施例的另一方面提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得一个或多个处理器执行如上所述的方法。
本公开实施例的另一方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行如上所述的方法。
本公开实施例的另一方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现如上所述的方法。
上述一个或多个实施例具有如下有益效果:通过操作行为得到的操作指标确定用户的操作行为序列数据,可以一定程度上反映出用户的操作行为特点和操作习惯等维度的信息数据,便于建立用户安全行为画像,并将操作行为序列数据与历史行为序列数据相对比获得序列偏差特征,可以利用异常监测模型处理序列偏差特征计算用户交易行为的风险程度,以及时发现异常用户行为,守护用户数据安全。
附图说明
通过以下参照附图对本公开实施例的描述,本公开的上述内容以及其他目的、特征和优点将更为清楚,在附图中:
图1示意性示出了根据本公开实施例的异常用户行为监测方法的应用场景图;
图2示意性示出了根据本公开实施例的异常用户行为监测方法的流程图;
图3示意性示出了根据本公开实施例的确定操作行为序列数据的流程图;
图4示意性示出了根据本公开实施例的获得序列偏差特征的流程图;
图5示意性示出了根据本公开另一实施例的获得序列偏差特征的流程图;
图6示意性示出了根据本公开另一实施例的获得序列偏差特征的流程图;
图7示意性示出了根据本公开实施例的获得访问人聚集偏差特征的流程图;
图8示意性示出了根据本公开实施例的获得至少一个行为偏差特征的流程图;
图9示意性示出了根据本公开实施例的获得异常监测结果的流程图;
图10示意性示出了根据本公开实施例的异常用户行为监测***的架构图;
图11示意性示出了根据本公开实施例异常用户行为监测装置的结构框图;
图12示意性示出了根据本公开实施例的适于实现异常用户行为监测方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有 B和C、和/或具有A、B、C的***等)。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
图1示意性示出了根据本公开实施例的异常用户行为监测方法的应用场景图。
如图1所示,根据该实施例的应用场景100可以包括终端设备 101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器 105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯用户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱用户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的异常用户行为监测方法一般可以由服务器105执行。相应地,本公开实施例所提供的异常用户行为监测装置一般可以设置于服务器105中。本公开实施例所提供的异常用户行为监测方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的异常用户行为监测装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105 通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
以下将基于图1描述的场景,通过图2~图9对本公开实施例的异常用户行为监测方法进行详细描述。
图2示意性示出了根据本公开实施例的异常用户行为监测方法的流程图。
如图2所示,该实施例的异常用户行为监测方法包括操作S210~操作S240。
在操作S2 10,基于用户的操作行为采集N个操作指标,其中,操作行为包括操作应用提供的S个功能的行为,N和S分别为大于或等于1的整数。
该实施例还可以采集与N个操作指标中至少一个操作指标相关联的M个关联指标(M大于或等于1)。具体地,通过页面埋点和信息采集形成用户行为画像,采集操作指标和关联指标,其中客户敏感数据通过如联邦算法等隐私保护手段进行脱敏化处理。
示例性地,操作指标包括根据用户的操作行为产生的应用交互数据而获得的指标。例如用户访问应用的页面、使用应用的某个功能(如支付功能、聊天功能、理财功能或其他功能等S个功能)或其他在应用内操作的行为而产生的交互数据。关联数据包括根据与用户的操作行为相关联的数据而获得的指标。
示例性地,用户操作行为所涉及的应用可以是一个或多个。在用户允许的情况下,例如用户实时操作手机银行应用,可以在操作过程中采集操作指标和关联指标,并且,在操作过程中,若通过手机银行应用调用其他应用,则也可以对该其他应用进行记录并采集。又例如,用户使用微信、支付宝或其他第三应用进行快捷支付,该情况下调用了工商银行的支付接口,也可以作为操作行为进行采集。因此,该实施例的S个功能可以是一个或多个应用所提供的功能。
在操作S220,根据N个操作指标至少部分指标,确定用户的操作行为序列数据,其中,操作行为序列数据包括第一时间段内至少部分指标的采集时间顺序信息和耗时信息。
在一些实施例中,至少部分指标包括N个操作指标和/或M个关联指标的并集中的部分或全部指标,例如可能仅取N个操作指标中的部分指标,或仅取M个关联指标中的部分指标,或N个操作指标和M个关联指标各取部分指标。由于每个操作指标或每个关联指标所反映的用户行为画像的维度不同,因此可以是从中选取部分可以体现出用户操作习惯的指标来获得操作行为序列数据。
示例性地,操作行为序列数据用于反映用户在一段时间内的操作行为发生的先后顺序和每个操作行为所对应的操作指标和/或关联指标的耗时信息。响应于检测到操作行为随之产生相关数据,从而确定每个指标的采集时间,例如A指标的采集时间即为采集到A指标的源数据的时间(通过该源数据直接或间接处理得到A指标)。通过每个指标的采集时间先后既可以得到多个指标的采集时间顺序信息。而耗时信息可以根据采集时间和从产生源数据的操作行为切换到下一操作行为的时间来确定。第一时间段可以是根据如年、月、日、时、分中任一时间单元确定的预定时间段。
在一些实施例中,某个功能可能涉及多个页面,而每个页面可能涉及多个板块。以某个功能为粒度举例,采集时间可以是用户进入该多个页面中任一页面的第一时间,切换到下一操作行为的时间可以是离开该多个页面(离开后跳转到该多个页面之外的任一页面)的第二时间。耗时信息可以根据第一时间和第二时间之差来确定。以某个页面为粒度举例,采集时间可以是用户进入该页面的第三时间,切换到下一操作行为的时间可以是离开该页面的第四时间。耗时信息可以根据第三时间和第四时间之差来确定。可以同时针对功能和页面为粒度进行数据采集。
在操作S230,对比用户的历史行为序列数据和操作行为序列数据,获得序列偏差特征。
示例性地,历史行为序列数据用于反映用户在过去一段时间内的操作行为发生的先后顺序和每个操作行为所对应的操作指标和关联指标的耗时信息。上述过去一段时间与第一时间段时间长度接近或相等,以及处于同一时间单位的类似或相同的时间位置。例如皆是一天当中的晚上六点至晚上七点的时间位置,例如皆是一月当中的第一周的时间位置等。
其中,序列偏差特征用于反映历史行为序列数据和操作行为序列数据之间的差异程度,其可以通过各自序列数据中操作指标和/或关联指标的指标值来直接或间接获得。
在操作S240,将序列偏差特征输入至预先训练的异常监测模型,获得异常检测模型输出的异常监测结果。
可以理解的是,异常监测模型可以是根据机器学习算法通过训练学习得到的人工智能模型。
其中,异常监测结果可以包括线性的异常值或离散性的是否异常分类结果。
根据本公开的实施例,通过操作行为得到的操作指标确定用户的操作行为序列数据,可以一定程度上反映出用户的操作行为特点和操作习惯等维度的信息数据,便于建立用户安全行为画像,并将操作行为序列数据与历史行为序列数据相对比获得序列偏差特征,可以利用异常监测模型处理序列偏差特征计算用户交易行为的风险程度,以及时发现异常用户行为,守护用户数据安全。
图3示意性示出了根据本公开实施例的确定操作行为序列数据的流程图。
如图3所示,在操作S220根据N个操作指标和M个关联指标中至少部分指标,确定用户的操作行为序列数据包括操作S310~操作 S330。至少部分指标包括应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标。
在操作S310,确定第一时间段内应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的采集时间和/或耗时信息。
其中,应用访问时间可以包括访问时间点和访问时间段,其可以是访问一个或多个应用的时间点和时间段。例如,在访问手机银行的过程中调用其他应用,可以同时记录访问手机银行和该其他应用的时间点和时间段。涉帐交易频次可以包括用户在第一时间段内进行金钱交易的次数。操作功能可以包括用户所使用的一个或多个应用功能,并可以功能为粒度确定耗时信息。浏览特定页面时间可以包括浏览一个或多个页面,以及页面中重点板块的时间,可以以页面或板块为粒度进行采集。
可以理解的是,涉帐交易频次可以不记录耗时信息,因此,根据实际情况选择确定某指标的采集时间和/或耗时信息。至少部分指标还可以包括应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间之外的指标。
在操作S320,根据采集时间确定应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的采集时间顺序信息。
采集时间顺序信息可以通过所涉及的各个指标的采集时间来确定。
在操作S330,根据采集时间顺序信息和耗时信息确定操作行为序列数据。
示例性地,例如在第一时间段内包括t1、t2、t3和t4的采集时间,并具有先后顺序。其中,每个采集时间对应一个或多个指标,部分指标对应耗时信息。而如涉帐交易频次可以是独立于上述采集时间、指标和耗时信息的数据,通过统计方法获得。根据上述对应关系,操作行为序列数据可以通过一维向量或多维矩阵的形式表示。
根据本公开的实施例,通过采集时间顺序信息和耗时信息反映用户的操作习惯,从而利用操作行为序列数据表征操作习惯进行数据处理,能够更准确和高效的分析用户的行为特点。
图4示意性示出了根据本公开实施例的获得序列偏差特征的流程图。
如图4所示,在操作S230对比用户的历史行为序列数据和操作行为序列数据,获得序列偏差特征包括操作S410~操作S420。历史行为序列数据包括第二时间段内至少部分指标的采集时间顺序信息和耗时信息。
在操作S410,根据用户分别在历史行为序列数据和操作行为序列数据中具有相同采集时间顺序的L个指标,获得第一偏差值,L为大于或等于1的整数。
例如在过去每月第25日下午六点~下午七点(第二时间段),该用户进入手机银行先使用查看余额功能,然后使用理财功能查看基金页面,接着使用购买基金功能,最后使用财经新闻功能。若当前时间为该月第25日下午六点~下午七点(第一时间段),用户也是查看余额功能、理财功能、购买基金功能和财经新闻功能的顺序,则L个指标即为4个操作功能指标。此时第一偏差值可以为1减去L与总指标的比值,即为0。而若用户使用了查看余额功能和理财功能后,则使用贷款功能和转账功能,则L个指标即为2个操作功能指标。此时第一偏差值可以为1减去L与总指标的比值,即为0.5。
可以理解的是,上述时间段、用户使用的功能指标及指标数量仅为示例,本公开不具体限定,以实际采集到的数据为准。
在操作S420,通过第一偏差值获得序列偏差特征。
可以将第一偏差值直接作为序列偏差特征,也可以令第一偏差值与预定系数相乘得到序列偏差特征。
根据本公开的实施例,通过各个指标的采集时间顺序反映出用户在特定时间段的操作行为特点和操作习惯,可以根据第一偏差值得到序列偏差特征来反映用户行为的异常情况。
在一些实施例中,利用各个指标的采集时间顺序的基础上,进一步考虑采集时间之间的匹配程度,获得序列偏差特征,下面通过图5 详细说明。
图5示意性示出了根据本公开另一实施例的获得序列偏差特征的流程图。
如图5所示,该实施例的获得序列偏差特征包括操作S510~操作 S520。操作S520是操作S420的其中一个实施例。
在操作S510,根据L个指标中每个指标分别在历史行为序列数据和操作行为序列数据中的采集时间,获得第二偏差值。
在一些实施例中,例如虽然皆使用了财经新闻功能,在历史数据中该用户一般是在下午六点四十分使用,而当前用户在下午六点五十五分使用,可以获取两者的差值绝对值(即15分)。例如可以获得L 个指标中每个指标的采集时间差值绝对值,来获得第二偏差值。例如每个指标的采集时间差值绝对值直接求和,或对不同指标分配不同的权重,与对应采集时间差值绝对值相乘后求和,或利用历史数据(已知的采集时间差值和第二偏差值)进行拟合得到的函数等方式来获得第二偏差值。
在操作S520,通过第一偏差值和/或第二偏差值获得序列偏差特征。
示例性地,可以如操作S420仅通过第一偏差值获得序列偏差特征。可以仅通过第二偏差值获得序列偏差特征。也可以通过第一偏差值和第二偏差值获得序列偏差特征。
根据本公开的实施例,可以考虑采集时间的差异性,能够更准确的与用户的操作行为特点和操作习惯进行对比来反映用户行为的异常情况。
在一些实施例中,利用各个指标的采集时间顺序和采集时间之间的匹配程度的基础上,进一步考虑每个指标的耗时变化,获得序列偏差特征,下面通过图6详细说明。
图6示意性示出了根据本公开另一实施例的获得序列偏差特征的流程图。
如图6所示,该实施例的获得序列偏差特征包括操作S610~操作 S620。操作S620是操作S520的其中一个实施例。
在操作S610,根据L个指标中每个指标分别在历史行为序列数据和操作行为序列数据中的耗时信息,获得第三偏差值。
例如历史数据中查看余额功能、理财功能、购买基金功能和财经新闻功能的耗时均值分别为5分、20分、5分和35分,而当前仅使用了查看余额功能和理财功能,耗时分别为10分和10分,因此可以通过相同指标的对应耗时偏差时间来获得第三偏差值。
例如查看余额功能的耗时偏差时间为5分。理财功能的耗时偏差时间为10分。其余两个功能的耗时偏差时间为5分和35分。可以通过耗时偏差时间求和,或分配对应权重相乘后求和,或利用历史数据 (已知的耗时偏差之间和第三偏差值)进行拟合得到的函数来获得第三偏差值。
在操作S620,通过第一偏差值、第二偏差值和第三偏差值中的至少一个获得序列偏差特征。
示例性地,可以通过任一个偏差值获得序列偏差特征,可以通过任两个偏差值获得序列偏差特征,还可以通过全部偏差值来获得序列偏差特征。当通过多个偏差值获得序列偏差特征时,可以通过偏差值求和,或分配对应权重相乘后求和,或利用历史数据(已知的第三偏差值和序列偏差特征)进行拟合得到的函数来获得序列偏差特征。
根据本公开的实施例,考虑用户的操作行为所产生的操作指标和关联指标的耗时时间,能够确定出用户经常操作的功能、用户关注的重点功能、页面或板块的时间以及用户的访问时间段,从而能够更准确的形成操作行为特点和操作习惯的安全画像。
图7示意性示出了根据本公开实施例的获得访问人聚集偏差特征的流程图。
在操作S240将序列偏差特征输入至预先训练的异常监测模型之前,如图7所示,该实施例的获得访问人聚集偏差特征包括操作S710~操作S730。N个操作指标包括访问IP归属地,M个关联指标包括涉帐交易对手违规信息。
在操作S710,获取访问IP归属地预定范围内涉帐交易的数量。
预定范围可以是同一行政区域(如同一省、市、区、县、街道或小区)的范围,也可以是以访问IP归属地为中心划定特定半径的范围。可以是第一时间段内的涉帐交易的数量。
在一些实施例中,可以监测同一时间段内对涉帐交易对手附近涉帐交易的数量。
在操作S720,确定预定范围内涉帐交易的涉帐交易对手信息,以及涉帐交易对手违规信息。
示例性地,可以确定每一笔涉帐交易的对手信息,以及该笔交易的涉帐交易对手是否违规。尤其说明,其中预定范围内涉帐交易可能与该用户的涉帐交易不相关,因为是在预定范围内所以纳入监测,而涉帐交易可以是付款或收款。
在操作S730,根据预定范围内涉帐交易的数量和涉帐交易对手违规信息,获得访问人聚集偏差特征。
示例性地,若涉帐交易的数量大于历史均值的预定阈值(如10%,仅为示例),且涉帐交易对手违规的数量大于预定阈值(如5个,仅为示例),则访问人聚集偏差特征用“1”表示,否则用“0”表示。
根据本公开的实施例,通过访问人聚集偏差特征可以反映是否存在有组织涉帐交易,便于掌握线索,及时提供并保护用户财产安全。
在一些实施例中,执行操作S240将序列偏差特征输入至预先训练的异常监测模型,获得异常检测模型输出的异常监测结果包括:将序列偏差特征和访问人聚集偏差特征共同输入至异常监测模型。
图8示意性示出了根据本公开实施例的获得至少一个行为偏差特征的流程图。
如图8所示,该实施例通过执行操作S810~操作S830获得至少一个行为偏差特征。N个操作指标包括访问设备,M个关联指标包括用户手机号当前所在地和用户在第三时间段内线下支付信息。
在操作S810,根据访问IP归属地、用户手机号当前所在地和线下支付信息内线下交易商家所在地中的至少两个地点获得地点偏差特征。
例如三个地点中任两个地点存在偏差,则地点偏差特征用“1”表示,反之用“0”表示。
在操作S820,根据涉帐交易对手违规信息获得交易对手偏差特征。
例如涉帐交易对手存在违规记录,则交易对手偏差特征用“1”表示,反之用“0”表示。
在操作S830,根据访问设备获得浏览设备偏差特征。
例如用户访问设备属于临时出现,之后又连续多次使用旧访问设备,则浏览设备偏差特征用“1”表示,反之用“0”表示。
在一些实施例中,执行操作S240将序列偏差特征输入至预先训练的异常监测模型,获得异常检测模型输出的异常监测结果包括:将序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征共同输入至异常监测模型。
需要说明的是,虽然上述以先后顺序描述了操作S810~操作S830,但是可以执行操作S810~操作S830中的任意一个或多个操作,且不限定先后顺序。
根据本公开的实施例,通过序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征可以从多个维度来计算用户行为的异常程度,以得到更准确的异常监测结果。
图9示意性示出了根据本公开实施例的获得异常监测结果的流程图。
如图9所示,该实施例的获得异常监测结果包括操作S910~操作 S920。操作S910在将序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征共同输入至异常监测模型之前执行,操作S920为操作S240的其中一个实施例。异常检测模型包括长短期记忆神经网络模型。
在操作S910,利用孤立森林模型对N个操作指标和M个关联指标进行筛选,获得K个筛选指标,K大于或等于1。
利用孤立森林算法构造孤立森林模型。可以利用孤立森林模型的结果构造一个度量值来筛选指标,这样既可以提高孤立森林算法的准确度,又可以对指标进行筛选,降低数据维度。孤立森林算法一般用于结构化数据的异常检测,其核心思想是随机选择超平面对数据空间进行切割,处于低密度区域的点和较高密度区域的点就容易被孤立起来,把孤立起来的点作为异常值,就可以完成异常检测任务。
在一些实施例中,基于孤立森林的指标筛选方法主要步骤为:(1) 随机选取N个操作指标和M个关联指标的子集。(2)对子集指标数据标准化。(3)采用局部线性嵌入法对标准化后的子集指标数据降维。(4)对降维后的数据采用孤立森林法进行异常检测,得到每个样本点的得分。(5)重复步骤(4)10次(仅为示例),求取每个样本点的平均得分。(6)分别求取子集中每个异常样本点到正常样本中心的欧氏距离,并求取所有欧式距离的中位数。(7)重复n次步骤(1)~ (6)得到n个欧式距离中位数,欧式距离中位数最大者所对应的子集即为最佳子集。
在操作S920,将K个筛选指标、序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征共同输入至长短期记忆神经网络模型,来获得异常监测结果。
示例性地,为适应操作S920输入数据的特点,对长短期记忆神经网络模型中遗忘函数进行改进,可以根据第一时间段的确定,来调整遗忘函数对时间序列数据的遗忘程度。
在一些实施例中,可以预先训练孤立森林模型和长短期记忆神经网络模型,例如采用有监督学习得方式训练长短期记忆神经网络模型,以无监督学习得方式训练孤立森林模型。
根据本公开的实施例,序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征一定程度上是考虑了专家经验得到的先验知识,而K个筛选指标是由异常检测算法自动筛选得到的原始指标,通过先验知识和原始指标作为长短期记忆神经网络模型的输入,可以获得更准确得异常监测结果。
在一些实施例中,可以结合孤立森林算法和循环神经网络算法对异常指标进行计算,并完成输出。先利用长短期记忆神经网络模型得到异常程度,再利用孤立森林模型得到异常长度,两者相互印证。该实施例中两个模型是相互独立得。
图10示意性示出了根据本公开实施例的异常用户行为监测***的架构图。
如图10所示,该实施例的异常用户行为监测***包括用户信息采集单元1010、关联信息采集单元1020、大数据平台1030、异常检测单元1040、异常监控报警单元1050,异常检测单元1040包括数据预处理单元1041和异常检测评估单元1042。
首先,利用用户信息采集单元1010和关联信息采集单元1020分别采集操作指标类型关联指标,如表1所示。
表1
其次,利用大数据平台1030存储和处理操作指标和关联指标。
接着,利用异常检测单元1040中的数据预处理单元1041进行处理,如缺失值处理,由于网络故障,物理机异常,***暂时停止会导致采集的数据有缺失值的情况。缺失值会导致数据不完整,对于后面特征提取,建模会产生一定影响,因此需要填充缺失值尽量减小误差,采用历史同期记录值的大数进行填充。如在训练时进行数据均衡处理,对于小数据量的指标进行扩充。异常检测单元1040可以根据预处理后的数据得到偏差特征。
接着,利用异常检测单元1040中的异常检测评估单元1042输出异常检测结果。
可以结合孤立森林算法和循环神经网络算法对异常指标进行计算,并完成输出:置信值(0,1),0代表完全不可信,1代表可信,一般情况下当可信度超过0.86时需要预警。
算法说明:
一方面,循环神经网络算法处理:将指标预处理后转换成特征向量,格式如下[日期,IP偏差情况,交易对手偏差情况,访问时间偏差,浏览行为偏差,浏览设备偏差、访问人聚集偏差],输入到长短期记忆神经网络模型中,输出预测结果。
指标详细解释(当出现偏差时即说明可能存在异常):
1.IP偏差(即地点偏差特征):访问IP所属地和手机号所在地不同,且存在用户线下交易商家所在地与访问IP所属地不同。
2.交易对手偏差特征:交易对手信息属于异常账号。
3.访问时间偏差特征:用户存在非正常交易时间访问且用户经常操作功能顺序与历史同期相比存在偏差,且大于或等于30%(仅为示例)的阈值。
4.浏览行为偏差特征:用户在某一时间段浏览重点页面时间与历史相同时间段的情况存在30%(仅为示例)以上的偏差值。
其中,操作行为序列数据包括访问时间偏差特征和浏览行为偏差特征。上述30%的阈值表示允许有一定的偏差情况,在小于30%时可以认为不存在偏差。
5.浏览设备偏差特征:用户访问设备属于临时出现,之后又连续多次使用旧访问设备。
6.访问人聚集偏差特征:用户访问IP段(附近)存在大量涉帐交易,交易对手均为异常账号。
另一方面,采用孤立森林模型进行复核:从表1对应的预处理后的特征向量集合中随机采样,构建孤立树,然后使用Ensemble-集成树模型整合孤立树,使其收敛。计算异常得分。如果异常得分接近1,那么是异常点。如果异常得分远小于0.5,那么不是异常点。如果异常得分所有点的得分都在0.5左右,那么样本中很可能不存在异常点。
再一方面,对照上述2种模型的计算结果,置信度均超过0.86 即认为存在异常。
最后,若存在异常,则利用异常监控报警单元1050发起报警。
在一些实施例中,可以是实时的进行异常监测,例如在第一时间段,可以将其划分分多个子时间段,对每个子时间段中的序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征进行实时处理,例如第一时间段可能涉及多个功能的操作,而每个子时间段可能涉及多个页面、页面中多个板块、不同板块的用户手势滑动速度或用户的眼球焦点变化或眼球转动轨迹,来进行实时监测,避免在用户被骗、被强制交易或者有意无意泄露密码后的情况下完成交易后才能够确定用户异常,减小用户遭受损失的可能性。
需要说明的是,上述以孤立森林算法和循环神经网络算法相互独立获得异常监测结果进行举例,还可以参照图9的实施例获得异常监测结果(如置信度),本公开不进行限定。
基于上述异常用户行为监测方法,本公开还提供了一种异常用户行为监测装置。以下将结合图11对该装置进行详细描述。
图11示意性示出了根据本公开实施例异常用户行为监测装置的结构框图。
如图11所示,该实施例的异常用户行为监测装置1100包括指标采集模块1110、行为序列模块1120、偏差特征模块1130和异常监测模块1040。
指标采集模块1110可以执行操作S210,用于基于用户的操作行为采集N个操作指标,其中,操作行为包括操作应用提供的S个功能的行为,N和S分别为大于或等于1的整数。
行为序列模块1120可以执行操作S220,用于根据N个操作指标和M个关联指标中至少部分指标,确定用户的操作行为序列数据,其中,操作行为序列数据包括第一时间段内至少部分指标的采集时间顺序信息和耗时信息。
根据本公开的实施例,行为序列模块1120还可以执行操作S310~操作S330,在此不做赘述。
偏差特征模块1130可以执行操作S230,用于对比用户的历史行为序列数据和操作行为序列数据,获得序列偏差特征。
根据本公开的实施例,偏差特征模块1130还可以执行操作S410~操作S420,操作S510~操作S520,操作S610~操作S620,在此不做赘述。
异常监测模块1140可以执行操作S240,用于将序列偏差特征输入至预先训练的异常监测模型,获得异常检测模型输出的异常监测结果。
根据本公开的实施例,异常监测模块1140可以用于将序列偏差特征、访问人聚集偏差特征和至少一个行为偏差特征共同输入至异常监测模型。
根据本公开的实施例,异常用户行为监测装置1100还可以包括指标筛选模块,该模块可以执行操作S910,异常监测模块1140可以执行操作S920,在此不做赘述。
根据本公开的实施例,异常用户行为监测装置1100还可以包括访问人聚集偏差特征模块,用于执行操作S710~操作S730,在此不做赘述。
根据本公开的实施例,异常用户行为监测装置1100还可以包括行为偏差特征模块,用于执行操作S810~操作S830,在此不做赘述。
需要说明的是,异常用户行为监测装置1100包括分别用于执行如上图2~图7描述的任意一个实施例的各个步骤的模块。
装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例,指标采集模块1110、行为序列模块1120、偏差特征模块1130和异常监测模块1040中的任意多个模块可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。
根据本公开的实施例,指标采集模块1110、行为序列模块1120、偏差特征模块1130和异常监测模块1040中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,指标采集模块1110、行为序列模块1120、偏差特征模块1130和异常监测模块1040中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图12示意性示出了根据本公开实施例的适于实现异常用户行为监测方法的电子设备的方框图。
如图12所示,根据本公开实施例的电子设备1200包括处理器 1201,其可以根据存储在只读存储器(ROM)1202中的程序或者从存储部分1208加载到随机访问存储器(RAM)1203中的程序而执行各种适当的动作和处理。处理器1201例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器1201还可以包括用于缓存用途的板载存储器。处理器1201可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 1203中,存储有电子设备1200操作所需的各种程序和数据。处理器1201、ROM 1202以及RAM 1203通过总线1204彼此相连。处理器1201通过执行ROM 1202和/或RAM1203中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,程序也可以存储在除ROM 1202和RAM 1203以外的一个或多个存储器中。处理器1201也可以通过执行存储在一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备1200还可以包括输入/输出(I/O) 接口1205,输入/输出(I/O)接口1205也连接至总线1204。电子设备1200还可以包括连接至I/O接口1205的以下部件中的一项或多项:包括键盘、鼠标等的输入部分1206。包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1207。包括硬盘等的存储部分1208。以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1209。通信部分1209经由诸如因特网的网络执行通信处理。驱动器1210也根据需要连接至I/O接口1205。可拆卸介质1211,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1210上,以便于从其上读出的计算机程序根据需要被安装入存储部分1208。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的。也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器 (CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 1202和/或RAM 1203和/或ROM 1202和RAM 1203以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机***中运行时,该程序代码用于使计算机***实现本公开实施例所提供的方法。
在该计算机程序被处理器1201执行时执行本公开实施例的***/ 装置中限定的上述功能。根据本公开的实施例,上文描述的***、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分1209被下载和安装,和/或从可拆卸介质1211被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分1209从网络上被下载和安装,和/或从可拆卸介质1211被安装。在该计算机程序被处理器1201执行时,执行本公开实施例的***中限定的上述功能。根据本公开的实施例,上文描述的***、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++, python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网 (LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管在以上分别描述了各实施例,但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围,本领域技术人员可以做出多种替代和修改,这些替代和修改都应落在本公开的范围之内。
Claims (13)
1.一种异常用户行为监测方法,包括:
基于用户的操作行为采集N个操作指标,其中,所述操作行为包括操作应用提供的S个功能的行为,N和S分别为大于或等于1的整数;
根据所述N个操作指标中至少部分指标,确定所述用户的操作行为序列数据,其中,所述操作行为序列数据包括第一时间段内所述至少部分指标的采集时间顺序信息和耗时信息;
对比所述用户的历史行为序列数据和所述操作行为序列数据,获得序列偏差特征;
将所述序列偏差特征输入至预先训练的异常监测模型,获得所述异常检测模型输出的异常监测结果。
2.根据权利要求1所述的方法,其中,所述至少部分指标包括应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标,所述确定所述用户的操作行为序列数据包括:
确定所述第一时间段内应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的采集时间和/或所述耗时信息;
根据所述采集时间确定应用访问时间、涉帐交易频次、操作功能和浏览特定页面时间中至少一种指标的所述采集时间顺序信息;
根据所述采集时间顺序信息和所述耗时信息确定所述操作行为序列数据。
3.根据权利要求1或2所述的方法,其中,所述历史行为序列数据包括第二时间段内至少部分指标的采集时间顺序信息和耗时信息,所述获得序列偏差特征包括:
根据所述用户分别在所述历史行为序列数据和所述操作行为序列数据中具有相同采集时间顺序的L个指标,获得第一偏差值,L为大于或等于1的整数;
通过所述第一偏差值获得所述序列偏差特征。
4.根据权利要求3所述的方法,其中,所述获得序列偏差特征还包括:
根据所述L个指标中每个指标分别在所述历史行为序列数据和所述操作行为序列数据中的采集时间,获得第二偏差值;
其中,所述通过所述第一偏差值获得所述序列偏差特征包括:
通过所述第一偏差值和/或所述第二偏差值获得所述序列偏差特征。
5.根据权利要求4所述的方法,其中,
根据所述L个指标中每个指标分别在所述历史行为序列数据和所述操作行为序列数据中的耗时信息,获得第三偏差值;
其中,所述通过所述第一偏差值和/或所述第二偏差值获得所述序列偏差特征包括:
通过所述第一偏差值、所述第二偏差值和所述第三偏差值中的至少一个获得所述序列偏差特征。
6.根据权利要求1、2、4或5所述的方法,其中,所述N个操作指标包括访问IP归属地和涉帐交易对手,与所述N个操作指标中至少部分指标相关联的M个关联指标包括与所述涉帐交易对手相关联的涉帐交易对手违规信息,M大于或等于1,在将所述序列偏差特征输入至预先训练的异常监测模型之前,所述方法还包括:
获取所述访问IP归属地预定范围内涉帐交易的数量;
确定所述预定范围内涉帐交易的涉帐交易对手信息,以及所述涉帐交易对手违规信息;
根据所述预定范围内涉帐交易的数量和所述涉帐交易对手违规信息,获得访问人聚集偏差特征。
7.根据权利要求6所述的方法,其中,所述N个操作指标包括访问设备,所述M个关联指标包括用户手机号当前所在地和用户在第三时间段内线下支付信息,所述方法还包括获得以下至少一个行为偏差特征:
根据所述访问IP归属地、所述用户手机号当前所在地和所述线下支付信息内线下交易商家所在地中的至少两个地点获得地点偏差特征;
根据所述涉帐交易对手违规信息获得交易对手偏差特征;
根据所述访问设备获得浏览设备偏差特征。
8.根据权利要求7所述的方法,其中,所述获得所述异常检测模型输出的异常监测结果包括:
将所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述异常监测模型。
9.根据权利要求8所述的方法,其中,所述异常检测模型包括长短期记忆神经网络模型,在将所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述异常监测模型之前,还包括:
利用孤立森林模型对所述N个操作指标和所述M个关联指标进行筛选,获得K个筛选指标,K大于或等于1;
其中,所述获得所述异常检测模型输出的异常监测结果包括:
将所述K个筛选指标、所述序列偏差特征、所述访问人聚集偏差特征和所述至少一个行为偏差特征共同输入至所述长短期记忆神经网络模型,来获得所述异常监测结果。
10.一种异常用户行为监测装置,包括:
指标采集模块,用于基于用户的操作行为采集N个操作指标,其中,所述操作行为包括操作应用提供的S个功能的行为,N和S分别为大于或等于1的整数;
行为序列模块,用于根据所述N个操作指标中至少部分指标,确定所述用户的操作行为序列数据,其中,所述操作行为序列数据包括第一时间段内所述至少部分指标的采集时间顺序信息和耗时信息;
偏差特征模块,用于对比所述用户的历史行为序列数据和所述操作行为序列数据,获得序列偏差特征;
异常监测模块,用于将所述序列偏差特征输入至预先训练的异常监测模型,获得所述异常检测模型输出的异常监测结果。
11.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1~9中任一项所述的方法。
12.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~9中任一项所述的方法。
13.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~9中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211186307.6A CN115689571A (zh) | 2022-09-27 | 2022-09-27 | 异常用户行为监测方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211186307.6A CN115689571A (zh) | 2022-09-27 | 2022-09-27 | 异常用户行为监测方法、装置、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115689571A true CN115689571A (zh) | 2023-02-03 |
Family
ID=85065103
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211186307.6A Pending CN115689571A (zh) | 2022-09-27 | 2022-09-27 | 异常用户行为监测方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115689571A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116739858A (zh) * | 2023-08-15 | 2023-09-12 | 河北工业职业技术学院 | 基于时间序列分析的在线学习行为监测*** |
-
2022
- 2022-09-27 CN CN202211186307.6A patent/CN115689571A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116739858A (zh) * | 2023-08-15 | 2023-09-12 | 河北工业职业技术学院 | 基于时间序列分析的在线学习行为监测*** |
CN116739858B (zh) * | 2023-08-15 | 2023-11-07 | 河北工业职业技术学院 | 基于时间序列分析的在线学习行为监测*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170293917A1 (en) | Ranking and tracking suspicious procurement entities | |
CN109002464B (zh) | 利用对话界面自动报告分析和分发建议的方法和*** | |
CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理*** | |
CN101689988B (zh) | 通过分析用户交互检测不适当活动 | |
US20170026396A1 (en) | Systems and methods for identifying information related to payment card breaches | |
US20060178971A1 (en) | Personal credit management and monitoring system and method | |
CN110689438A (zh) | 企业类金融风险评分方法、装置、计算机设备及存储介质 | |
CN111127178A (zh) | 数据处理方法与装置、存储介质、电子设备 | |
Vetrò et al. | A data quality approach to the identification of discrimination risk in automated decision making systems | |
CN109002465B (zh) | 用于具有智能众包选项的对话输入设备的方法和*** | |
CN112330355B (zh) | 消费券交易数据处理方法、装置、设备及存储介质 | |
Fashoto et al. | Hybrid methods for credit card fraud detection using K-means clustering with hidden Markov model and multilayer perceptron algorithm | |
CN113034046A (zh) | 一种数据风险计量方法、装置、电子设备及存储介质 | |
CN111951008A (zh) | 一种风险预测方法、装置、电子设备和可读存储介质 | |
Huang | Data processing | |
CN109711849B (zh) | 以太坊地址画像生成方法、装置、电子设备及存储介质 | |
CN115689571A (zh) | 异常用户行为监测方法、装置、设备和介质 | |
CN112702410B (zh) | 一种基于区块链网络的评估***、方法及相关设备 | |
CN117911159A (zh) | 实时数据处理方法、装置、设备、存储介质及程序产品 | |
CN116664306A (zh) | 风控规则的智能推荐方法、装置、电子设备及介质 | |
CN117437020A (zh) | 商户风险判定方法、装置、电子设备和介质 | |
CN116091249A (zh) | 交易风险的评估方法、装置、电子设备和介质 | |
CN115795345A (zh) | 信息处理方法、装置、设备及存储介质 | |
CN114004660A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
CN114880369A (zh) | 一种基于弱数据技术的风险授信方法和*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |