CN106961409A - 一种异常操作行为识别方法及装置 - Google Patents

一种异常操作行为识别方法及装置 Download PDF

Info

Publication number
CN106961409A
CN106961409A CN201610011869.5A CN201610011869A CN106961409A CN 106961409 A CN106961409 A CN 106961409A CN 201610011869 A CN201610011869 A CN 201610011869A CN 106961409 A CN106961409 A CN 106961409A
Authority
CN
China
Prior art keywords
user
circle
function
function circle
distance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610011869.5A
Other languages
English (en)
Other versions
CN106961409B (zh
Inventor
向涛
王文辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201610011869.5A priority Critical patent/CN106961409B/zh
Publication of CN106961409A publication Critical patent/CN106961409A/zh
Application granted granted Critical
Publication of CN106961409B publication Critical patent/CN106961409B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

本申请涉及互联网技术领域,尤其涉及一种异常操作行为识别方法及装置,用以提高异常操作行为识别的准确率。本申请实施例提供的一种异常操作行为识别方法包括:采集执行操作行为的用户当前所在的位置点;根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,所述匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;根据判断结果,识别所述用户当前的操作行为是否为异常操作行为。

Description

一种异常操作行为识别方法及装置
技术领域
本申请涉及互联网技术领域,尤其涉及一种异常操作行为识别方法及装置。
背景技术
随着互联网信息技术的发展,网站用户的价值也越来越高,网站服务器存储的用户信息不仅有用户电子数据(比如电子形式的资金)、还有用户隐私信息等。用户账号一旦被盗,损失是巨大的。如何能准确识别用户的操作是否异常,即是否是为用户本人操作,是至关重要的。
网站服务器一般通过记录用户惯用行为,比如用户常用互联网协议(Internet Protocol,IP)地址信息、用户常用设备信息等来识别异常操作行为。一方面,记录的用户惯用行为通常都存在一定的片面性,比如,用户在家和办公室会有常用的IP地址信息,但在外购物或出差时,很有可能使用其它IP地址信息。再比如,用户可能会偶尔使用朋友、家人或网吧的终端设备来登录网站,这时使用的设备信息就不是常用的设备信息。可见,基于用户惯用行为来进行异常操作行为的识别常会导致识别错误。
如何能更准确、方便地进行用户异常操作行为的识别是互联网行业迫切需要解决的问题。
发明内容
本申请实施例提供一种异常操作行为识别方法及装置,用以提高异常操作行为识别的准确率。
本申请实施例提供一种异常操作行为识别方法,包括:
采集执行操作行为的用户当前所在的位置点;
根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,所述匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;
根据判断结果,识别所述用户当前的操作行为是否为异常操作行为。
可选地,根据以下步骤确定所述用户的功能圈集合:
通过采集所述用户在不同时间点所在的位置点,确定所述用户的位置点集合;
基于所述位置点集合,确定多个功能圈,其中,不同的功能圈内包含不同的位置点。
可选地,基于所述位置点集合,确定多个功能圈,包括:
基于所述位置点集合,按照预设的N种功能圈个数,分别确定其中每一种功能圈个数所对应的功能圈集合;其中,不同的功能圈集合具有不同的功能圈个数;N为大于1的正整数;
根据确定的每个功能圈集合内不同功能圈之间的距离,和/或,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
可选地,针对任一种功能圈个数M,确定该种功能圈个数M对应的功能圈集合,包括:
将采集的每个位置点作为一个功能圈;
将相互之间距离最小的两个功能圈合并为一个新的功能圈,重复该步骤,直到功能圈个数为M。
可选地,根据确定的每个功能圈集合内不同功能圈之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;
选择对应的圈外距离平均值最大的功能圈集合作为所述用户的功能圈集合。
可选地,根据在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为同一功能圈内不同位置点之间的距离的平均值;
选择对应的圈内距离平均值最大的功能圈集合作为所述用户的功能圈集合。
可选地,根据确定的每个功能圈集合内不同功能圈之间的距离,以及,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;以及,
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为该功能圈集合内各个功能圈分别对应的第一平均值的平均值,所述第一平均值为圈内不同位置点之间的距离的平均值;
根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
可选地,根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的所述功能圈集合中每个功能圈集合分别对应的圈外距离平均值和圈内距离平均值,确定每个功能圈集合的得分;
将得分最高的功能圈集合确定为所述用户的功能圈集合。
可选地,确定所述用户的功能圈集合,包括:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一功能圈集合;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二功能圈集合;根据所述第一功能圈集合和第二功能圈集合,确定最终采用的所述用户的功能圈集合。
可选地,根据判断结果,识别所述用户当前的操作行为是否为异常操作行为,包括:
若确定所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,则确定所述用户当前的速度;
根据确定的所述用户当前的速度,以及预先确定的所述用户的速度曲线信息,识别所述用户当前的操作行为是否为异常操作行为。
可选地,所述用户的速度曲线符合以下公式:
f(vi,ti)=a1r1(vi,ti)+a2r2(vi,ti)+...+amrm(vi,ti)
其中,f(vi,ti)表示所述用户在时间点ti的速度,a1,a2,...,am为m个待定系数,r1(vi,ti),r2(vi,ti),...,rm(vi,ti)为在时间点ti时m个预设函数的值。
可选地,根据以下步骤确定所述待定系数:
采集所述用户在多个时间点的速度;
根据采集的所述用户在多个时间点的速度,对所述速度曲线进行拟合,确定使最小时的m个待定系数;其中,yi为采集的所述用户在时间点ti的速度。
可选地,确定所述用户的速度曲线信息,包括:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的速度曲线信息;;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的速度曲线信息;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一速度曲线信息;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二速度曲线信息;根据所述第一速度曲线信息和第二速度曲线信息,确定最终采用的所述用户的速度曲线信息。
可选地,所述识别所述用户当前的操作行为是否为异常操作行为,包括:
当所述用户当前的位置点在所述功能圈集合中、与当前时间点匹配的功能圈内时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,但所述用户当前的速度符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,所述用户当前的速度也不符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为是异常操作行为。
可选地,所述方法还包括:
当确定所述用户当前的操作行为是异常操作行为之后,对所述用户进行身份验证;若验证通过,则确定该异常操作行为合法,并记录该异常操作行为对应的位置点或速度;
当记录的对应所述用户的、验证通过的异常操作行为超过设定数量后,基于记录的异常操作行为对应的位置点,更新所述用户的功能圈集合,或者基于记录的异常操作行为对应的速度更新所述用户的速度曲线信息。
本申请实施例提供一种异常操作行为识别装置,包括:
采集模块,用于采集执行操作行为的用户当前所在的位置点;
判断模块,用于根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,所述匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;
识别模块,用于根据所述判断模块的判断结果,识别所述用户当前的操作行为是否为异常操作行为。
本申请实施例采用建立用户功能圈的方式来对用户异常操作行为进行识别。由于用户在一定时间段内的活动位置范围是有限的,而且不同用户的活动位置范围通常会存在差异,因此,通过建立与每个用户对应的功能圈集合,可以表征不同用户的行为特征。采用本申请方案,可以提高识别用户异常操作行为的准确率。
附图说明
图1为功能圈示意图;
图2为本申请实施例一提供的异常操作行为识别方法流程图;
图3是为某个用户的功能圈及对应的时间范围示意图;
图4为本申请实施例二提供的异常操作行为识别方法流程图;
图5为用户速度曲线示意图;
图6为本申请实施例提供的异常操作行为识别装置结构示意图。
具体实施方式
本申请实施例采用建立用户功能圈的方式来对用户异常操作行为进行识别。由于用户在一定时间段内的活动位置范围是有限的,而且不同用户的活动位置范围通常会存在差异,因此,通过建立与每个用户对应的功能圈集合,可以表征不同用户的行为特征,比如,如图1所示,某个用户具有四个功能圈,分别为工作圈、购物圈、居住圈、出差圈。当用户执行操作行为时,通过判断用户当前所在位置是否位于该用户与当前时间点匹配的功能圈内,如果是,则可以认为用户操作行为是正常的。
另外,如果用户不在匹配的功能圈内,则用户有可能位于不同功能圈之间,比如用户当前正在从一个功能圈前往另一个功能圈,此时,可以通过对比用户当前的速度与预先拟合的该用户的速度曲线信息,来判断该用户当前的速度是否正常。
下面结合说明书附图对本申请实施例作进一步详细描述。
实施例一
如图2所示,为本申请实施例一提供的异常操作行为识别方法流程图,包括以下步骤:
S201:采集执行操作行为的用户当前所在的位置点。
在具体实施中,可以通过基于位置的服务(Location Based Services,LBS)来获得用户当前所在的位置点,也即位置坐标信息。如果不能通过LBS获得用户的位置点,可以根据用户的IP地址信息进行位置点的模糊匹配。
S202:根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与当前时间点匹配的功能圈内,该匹配的功能圈为所述用户的功能圈集合中的一个,若是,则认为用户当前的操作行为正常,否则,认为所述用户当前的操作行为异常,执行S203;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围。
这里,每个功能圈即为用户在一个或多个时间范围内的活动位置范围。在具体实施过程中,可以通过预先采集用户在不同时间点所在的位置点,确定该用户的位置点集合;基于该位置点集合,确定多个功能圈,使不同的功能圈内包含不同的位置点。比如,采用表示用户在tn时刻所处的位置为(xn,yn),其中xn表示经度,yn表示纬度;采集的该用户的位置点集合表示为:则对于功能圈表示该功能圈所覆盖的位置点集合;表示该功能圈所对应的采集时间点集合,将功能圈简记为Qi。比如,如图3所示,为某个用户建立了四个功能圈Q1、Q2、Q3、Q4,其中,Q1内为用户在20:30到21:30期间常去的娱乐地点,Q2为用户在22:00到次日7:30期间所在的居住小区,Q3为用户在8:30到20:00期间所在的办公区,Q4为用户在20:30到21:00期间所在的购物圈中。可见,不同的功能圈所对应的时间范围可能是有重合的,另外,一个用户也可能在多个时间范围内位于一个功能圈内,比如在周末的时候,某用户在上午09:00到11:30,下午14:00-17:00期间,位于某健身房,其它时间位于居住区内。
这里,将采集的该用户的位置点集合划分为多个功能圈,使得一个功能圈覆盖一组位置点,该组位置点所对应的时间点位于一个或多个连续的时间范围内。需要说明的是,本申请并不限定功能圈的形状,在将多个位置点划分到一个功能圈中时,该功能圈可以是一个以这多个位置点的坐标值的平均值作为几何中心,以该几何中心和与该几何中心距离最远的位置点(前提是属于该功能圈)之间的距离为半径的圆圈。或者,可以将这多个位置点所在的标志性区域确定为一个功能圈,比如该功能圈可以是一个具体的住宅小区、办公区、商场、娱乐场所等。
功能圈所对应的时间范围也即该功能圈内各个位置点所对应的时间范围,在具体实施中,针对任一功能圈,可以计算划分的每个时间段内所对应的采集位置点的个数,若达到设定阈值,则认为该功能圈所对应的时间范围包括该时间段。比如,将一天内的每半个小时划分为一个时间段,分别统计在在该功能圈所覆盖的位置点中,对应其中每一个半小时(比如7:00-7:30,7:30-8:30)的位置点个数,若对应某个半小时的位置点个数超过30,则认为该功能圈对应的时间范围包括该这半小时,如此,可以计算出该功能圈所包含的全部时间范围,该时间范围可以是一个或多个连续的时间范围,比如,该时间范围可能是9:00-17:30,还可能是9:00-11:30和13:00-17:30。
在划分功能圈时,可以采用迭代划分的方式,每次将相互之间距离最小的两个功能圈进行合并,直到满足迭代终止条件,该迭代终止条件可以根据实际需要进行设定,比如,(1)可以是不同功能圈之间的距离达到预设的距离阈值(所述功能圈之间的距离具体可以是指功能圈的几何中心之间的距离)。再比如,(2)还可以设置一种迭代终止条件为:圈外距离(不同功能圈之间的距离的平均值)最大化和/或圈内距离(同一功能圈内不同位置点之间的距离的平均值)最小化。由于在实际实施中可能不容易设定迭代终止条件(1)的距离阈值,迭代终止条件(2)在实际实施中可能不容易收敛。因此,本申请实施例还提供了另一种优选的迭代终止条件为:(3)功能圈个数达到预设的数量,进一步地,为了提高功能圈划分的准确性,可以预设多种功能圈个数,分别基于预设的每一种功能圈个数进行功能圈的划分,然后将在多种功能圈个数下划分的功能圈进行比较,选择最优的一种划分方式。在选择时,可以基于圈外距离最大化、圈内距离最小化的原则,也即,使不同功能圈之间的距离最大化,同一功能圈内不同位置点之间的距离最小化。关于迭代终止条件(3)的更详细的描述可参见实施例二。
S203:采取异常处理措施。比如,对所述用户进行身份验证。
在具体实施中,如果确定所述用户当前的位置点属于一个与当前时间点匹配的功能圈,则可以确认该用户当前的操作行为正常,反之,可以认为该操作行为是异常操作行为,采取异常处理措施,比如对用户进行身份验证等。
在实际实施中,用户执行操作行为时,可能正处在从一个功能圈到另一个功能圈的路上,此时,用户并不在一个合适的功能圈内,基于这种情况的存在,本申请另一实施例给出了一种结合用户速度的异常操作行为识别方式。
实施例二
如图4所示,为本申请实施例二提供的异常操作行为识别方法流程图,包括:
S401:采集执行操作行为的用户当前所在的位置点。
S402:根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与当前时间点匹配的功能圈内,该匹配的功能圈为所述用户的功能圈集合中的一个,若是,则确定所述用户当前的操作行为是正常操作行为,否则,进入S403。
作为一种优选的实施方式,根据以下步骤确定所述用户的功能圈集合:
步骤一:通过采集用户在不同时间点所在的位置点,确定用户的位置点集合;
步骤二:基于所述位置点集合,按照预设的N种功能圈个数,分别确定其中每一种功能圈个数所对应的功能圈集合;其中,不同的功能圈集合具有不同的功能圈个数;N为大于1的正整数;
步骤三:根据确定的每个功能圈集合内不同功能圈之间的距离,和/或,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
在步骤二中,针对任一种功能圈个数M,可以采用迭代计算的方式确定该种功能圈个数M对应的功能圈集合。
具体地,(1)将采集的每个位置点作为一个功能圈,计算功能圈两两之间的最小距离分别表示功能圈Qi和Qj内的位置点;(2)将相互之间距离最小的两个功能圈合并为一个新的功能圈;(3)计算新合并的功能圈与其它功能圈之间的距离;重复(2)、(3),直到在执行完(2)后功能圈个数为M。
在计算功能圈之间的距离时,具体可以计算功能圈的几何中心之间的距离。针对任一功能圈,可以将该功能圈所覆盖的所有采集位置点的坐标值的平均值作为其几何中心的坐标值,比如对于功能圈Qi,其几何中心其中,n为该功能圈所覆盖的采集位置点的个数,为该功能圈所覆盖的采集位置点在tj时刻的坐标值(xj,yj)。
步骤三包括了三种选择功能圈集合的方式:
方式一:根据确定的每个功能圈集合内不同功能圈之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合;
具体地,根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;选择对应的圈外距离平均值最大的功能圈集合作为所述用户的功能圈集合。用公式表示为dmax表示最大的圈外距离平均值,λ表示功能圈两两组合的组合数,假设功能圈个数为M,则λ=CM 2。mi、mj为每个类的几何中心。
方式二:根据在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合;
具体地,针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值,所述圈内距离平均值为同一功能圈内不同位置点之间的距离的平均值;选择对应的圈内距离平均值最大的功能圈集合作为所述用户的功能圈集合。
这里,所述圈内距离平均值也即该功能圈集合内各个功能圈分别对应的第一平均值的平均值,这里的第一平均值为圈内不同位置点之间的距离的平均值。
方式三、根据确定的每个功能圈集合内不同功能圈之间的距离,以及,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合;
具体地,根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;以及,针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为该功能圈集合内各个功能圈分别对应的第一平均值的平均值,所述第一平均值为圈内不同位置点之间的距离的平均值;根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
上述步骤中,根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,具体可以为:根据确定的所述功能圈集合中每个功能圈集合分别对应的圈外距离平均值和圈内距离平均值,确定每个功能圈集合的得分;将得分最高的功能圈集合确定为所述用户的功能圈集合。比如,可以将各个功能圈集合分别对应的圈外距离平均值按照从大到小的顺序进行排序,为每个顺序位设置一个权重,顺序位越靠前,权重越大;相应地,将各个功能圈集合分别对应的圈内距离平均值按照从小到大的顺序进行排序,为每个顺序位设置一个权重,顺序位越靠前,权重越大;将每个功能圈集合对应的圈外距离平均值的权重和圈内距离平均值的权重相加,作为该功能圈集合的得分。
在具体实施中,基于LBS(是指通过电信移动运营商的无线电通讯网络或外部定位方式,获取终端用户的位置信息)能获取到用户比较精确的位置点,但是,有些用户如果不常开通LBS,将会导致LBS信息采集率过低。基于此,本申请实施例根据LBS信息采集率的不同,基于不同的位置确定方式确定功能圈集合:
(1)当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的功能圈集合。
这里,LBS可以精确到具体的经纬度,因此可以基于LBS采集用户的位置点集合,通过采集的位置点集合建立用户的功能圈。
(2)当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的功能圈集合。
这里,由于IP地址信息只能匹配到区域范围,因此可以直接基于IP地址信息匹配功能圈,比如将一个IP地址所对应的区域范围划分为一个功能圈,或者,也可以基于IP地址信息模糊匹配位置点,基于模糊匹配的多个位置点来确定功能圈集合。
(3)当对所述用户的LBS信息采集率β大于第二比率阈值δ、小于第一比率阈值α时,根据采集的所述用户的LBS信息,确定所述用户的第一功能圈集合;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二功能圈集合;根据所述第一功能圈集合和第二功能圈集合,确定最终采用的所述用户的功能圈集合。
这里,综合考虑LBS信息和IP地址信息来确定功能圈。具体先分别基于LBS信息和IP地址信息确定功能圈信息,然后将两种方式确定的功能圈进行整合。比如,整合方式可以基于βflbs+(1-β)gip,0<δ<β<α<1。其中,flbs表示基于LBS信息确定的功能圈,gip表示基于IP地址信息确定的功能圈,flbs、gip具体可以是关于位置点坐标及时间t的函数表达式。
S403:确定所述用户当前的速度。
在具体实施中,当用户开通LBS时,可以每隔单位时间长度采集一次用户位置信息。在需要确定用户速度时,选择采集的最近相邻的两个位置点,将这两个位置点之间的距离确定为用户当前的速度。比如,在时间点tn+1的速度由于tn+1-tn为单位时间间隔,则上式可简化为
优选地,本申请实施例中的速度可以是一个标量,即包含速度值和方向。
S404:根据确定的所述用户当前的速度,以及预先确定的所述用户的速度曲线信息,判断所述用户当前的速度是否符合所述用户的速度曲线,若是,则确定所述用户当前的操作行为是正常操作行为,否则,确定所述用户当前的操作行为是异常操作行为,进入S405。
所述用户的速度曲线信息为所述用户的速度与时间之间的函数关系信息。用户的速度曲线符合以下公式:
f(vi,ti)=a1r1(vi,ti)+a2r2(vi,ti)+...+amrm(vi,ti)
其中,f(vi,ti)表示所述用户在时间点ti的速度,a1,a2,...,am为m个待定系数,r1(vi,ti),r2(vi,ti),...,rm(vi,ti)为在时间点ti时m个预设函数的值。
这里,预设函数为设置好的,比如可以是指数函数等。确定所述待定系数的过程也即是拟合速度曲线的过程,具体可以根据以下步骤确定所述待定系数:
(1)采集所述用户在多个时间点的速度,比如按照在S403之后介绍的方式采集在时间点{t0,t1,...,tn|n≥0}的速度集合{v0,v1,...,vn|n≥0};
(2)根据采集的所述用户在多个时间点的速度,对所述速度曲线进行拟合,确定使最小时的m个待定系数;其中,yi为采集的所述用户在时间点ti的速度。
在具体实施中,可以对拟合出的速度曲线设置一个可浮动范围,可浮动范围的设置可以参考不同交通工具所对应的行进速度。比如,通过计算固定时间内用户的速度,估算出用户采用的交通工具,然后将这种交通工具所对应的可浮动速度范围作为拟合出的用户速度曲线所对应的可浮动速度范围。如图5所示,横坐标表示时间t,纵坐标表示速度v,中间实线为拟合出的速度曲线,虚线表示速度可浮动范围,只要用户的速度不超出两条曲线范围之外,则可以认为用户速度是正常的。
在具体实施中,由于用户在不同功能圈之间可能会采用不同的出行方式,为了便于速度曲线的拟合,可以针对用户的速度变化规律,拟合多条速度曲线,每一条曲线对应一个功能圈组合,也即每一条曲线为用户在两个功能圈之间移动时的曲线。
在具体实施中,位置点采集方式不同,确定速度曲线信息的机制可以不同。本申请实施例根据LBS信息采集率的不同,基于不同的位置确定方式确定用户的速度曲线信息:
(1)当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的速度曲线信息。
这里,LBS可以精确到具体的经纬度,因此可以基于LBS采集用户在不同时间点的位置点,通过采集的位置点确定用户的速度曲线信息。
(2)当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的速度曲线信息。
基于IP地址信息模糊匹配位置点,基于模糊匹配的多个位置点来确定用户的速度曲线信息。
(3)当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一速度曲线信息;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二速度曲线信息;根据所述第一速度曲线信息和第二速度曲线信息,确定最终采用的所述用户的速度曲线信息。
这里,综合考虑LBS信息和IP地址信息来确定用户的速度曲线信息。具体先分别基于LBS信息和IP地址信息确定用户的速度曲线信息,然后将两种方式确定的用户的速度曲线信息进行整合。比如,整合方式可以基于βflbs+(1-β)gip,0<δ<β<α<1。其中,flbs表示基于LBS信息确定的用户的速度曲线函数式,gip表示基于IP地址信息确定的用户的速度曲线函数式。
S405:对所述用户进行身份验证;若验证通过,则确定所述用户当前的操作行为合法,否则,确定所述用户当前的操作行为不合法。
在上述S402中,根据采集到的用户位置点判断该位置点是否能够匹配到该用户的任何一个功能圈即这里,该位置点匹配到一个功能圈不仅指该位置点在该功能圈的位置范围内,还指该位置点所对应的采集时间点也在该功能圈所对应的时间范围内;若该位置点匹配不上任何一个功能圈,则计算用户当前速度判断该速度是否符合用户的速度曲线,比如判断该速度所对应的坐标点(vn,tn+1)与速度曲线之间的距离是否小于某个阈值。优选地,还可以判断该速度的方向是否符合该用户的功能圈集合中任意两个功能圈之间的道路方向。如果该用户的位置点能够匹配上该用户的一个功能圈,或者速度符合该用户的速度曲线、速度方向符合该用户的两个功能圈之间的道路方向,则认为该用户当前的操作行为是正常操作行为,反之,则认为该用户当前的操作行为是异常操作行为,对该用户进行身份验证。
在具体实施中,若经过身份验证,确定用户当前的操作行为不合法,可以采取拒绝为用户提供服务、阻止用户进一步操作等措施来保护合法用户的账户安全。
在具体实施中,因为用户有可能会拥有新的功能圈(比如增加了出差地、旅游地)或改乘新的交通工具(比如原来坐公交,后来转为自驾),因此若用户多次出现异常操作行为,但都身份验证通过,则可以对用户功能圈或速度曲线进行优化,将这些异常操作行为归于正常操作行为。具体地,可以在确定用户的异常操作行为合法后,记录该异常操作行为对应的位置点或速度;当记录的对应该用户的、验证通过的异常操作行为超过设定数量后,基于记录的异常操作行为对应的位置点,优化所述用户的功能圈集合,或者基于记录的异常操作行为对应的速度优化所述用户的速度曲线。
基于同一发明构思,本申请实施例中还提供了一种与异常操作行为识别方法对应的异常操作行为识别装置,由于该装置解决问题的原理与本申请实施例异常操作行为识别方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
如图6所示,为本申请实施例提供的异常操作行为识别装置结构示意图,包括:
采集模块61,用于采集执行操作行为的用户当前所在的位置点;
判断模块62,用于根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,该匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;
识别模块63,用于根据所述判断模块62的判断结果,识别所述用户当前的操作行为是否为异常操作行为。
可选地,所述装置还包括:
第一确定模块64,用于通过采集所述用户在不同时间点所在的位置点,确定所述用户的位置点集合;基于所述位置点集合,确定多个功能圈,其中,不同的功能圈内包含不同的位置点。
可选地,所述第一确定模块64具体用于:
基于所述位置点集合,按照预设的N种功能圈个数,分别确定其中每一种功能圈个数所对应的功能圈集合;其中,不同的功能圈集合具有不同的功能圈个数;N为大于1的正整数;根据确定的每个功能圈集合内不同功能圈之间的距离,和/或,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
可选地,针对任一种功能圈个数M,所述第一确定模块64具体用于根据以下步骤确定该种功能圈个数M对应的功能圈集合:
将采集的每个位置点作为一个功能圈;
将相互之间距离最小的两个功能圈合并为一个新的功能圈,重复该步骤,直到功能圈个数为M。
可选地,所述第一确定模块64具体用于:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;选择对应的圈外距离平均值最大的功能圈集合作为所述用户的功能圈集合。
可选地,所述第一确定模块64具体用于:
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为同一功能圈内不同位置点之间的距离的平均值;选择对应的圈内距离平均值最大的功能圈集合作为所述用户的功能圈集合。
可选地,所述第一确定模块64具体用于:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;以及,针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为该功能圈集合内各个功能圈分别对应的第一平均值的平均值,所述第一平均值为圈内不同位置点之间的距离的平均值;根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
可选地,所述第一确定模块64具体用于:
根据确定的所述功能圈集合中每个功能圈集合分别对应的圈外距离平均值和圈内距离平均值,确定每个功能圈集合的得分;将得分最高的功能圈集合确定为所述用户的功能圈集合。
可选地,所述第一确定模块64具体用于:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一功能圈集合;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二功能圈集合;根据所述第一功能圈集合和第二功能圈集合,确定最终采用的所述用户的功能圈集合。
可选地,所述装置还包括:
第二确定模块65,用于确定所述用户的速度曲线信息;
所述识别模块还用于:若确定所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,则确定所述用户当前的速度;根据确定的所述用户当前的速度,以及第二确定模块预先确定的所述用户的速度曲线信息,识别所述用户当前的操作行为是否为异常操作行为。
可选地,所述用户的速度曲线符合以下公式:
f(vi,ti)=a1r1(vi,ti)+a2r2(vi,ti)+...+amrm(vi,ti)
其中,f(vi,ti)表示所述用户在时间点ti的速度,a1,a2,...,am为m个待定系数,r1(vi,ti),r2(vi,ti),...,rm(vi,ti)为在时间点ti时m个预设函数的值。
可选地,所述第二确定模块65具体用于根据以下步骤确定所述待定系数:
采集所述用户在多个时间点的速度;根据采集的所述用户在多个时间点的速度,对所述速度曲线进行拟合,确定使最小时的m个待定系数;其中,yi为采集的所述用户在时间点ti的速度。
可选地,所述第二确定模块65具体用于:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的速度曲线信息;;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的速度曲线信息;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一速度曲线信息;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二速度曲线信息;根据所述第一速度曲线信息和第二速度曲线信息,确定最终采用的所述用户的速度曲线信息。
可选地,所述识别模块63具体用于:
当所述用户当前的位置点在所述功能圈集合中、与当前时间点匹配的功能圈内时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,但所述用户当前的速度符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,所述用户当前的速度也不符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为是异常操作行为。
可选地,所述装置还包括:
验证模块66,用于当所述识别模块63确定所述用户当前的操作行为是异常操作行为之后,对所述用户进行身份验证;若验证通过,则确定该异常操作行为合法,并记录该异常操作行为对应的位置点或速度;
更新模块67,用于当记录的对应所述用户的、验证通过的异常操作行为超过设定数量后,基于记录的异常操作行为对应的位置点,更新所述用户的功能圈集合,或者基于记录的异常操作行为对应的速度更新所述用户的速度曲线信息。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、装置(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (26)

1.一种异常操作行为识别方法,其特征在于,该方法包括:
采集执行操作行为的用户当前所在的位置点;
根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,所述匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;
根据判断结果,识别所述用户当前的操作行为是否为异常操作行为。
2.如权利要求1所述的方法,其特征在于,根据以下步骤确定所述用户的功能圈集合:
通过采集所述用户在不同时间点所在的位置点,确定所述用户的位置点集合;
基于所述位置点集合,确定多个功能圈,其中,不同的功能圈内包含不同的位置点。
3.如权利要求2所述的方法,其特征在于,基于所述位置点集合,确定多个功能圈,包括:
基于所述位置点集合,按照预设的N种功能圈个数,分别确定其中每一种功能圈个数所对应的功能圈集合;其中,不同的功能圈集合具有不同的功能圈个数;N为大于1的正整数;
根据确定的每个功能圈集合内不同功能圈之间的距离,和/或,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
4.如权利要求3所述的方法,其特征在于,针对任一种功能圈个数M,确定该种功能圈个数M对应的功能圈集合,包括:
将采集的每个位置点作为一个功能圈;
将相互之间距离最小的两个功能圈合并为一个新的功能圈,重复该步骤,直到功能圈个数为M。
5.如权利要求3所述的方法,其特征在于,根据确定的每个功能圈集合内不同功能圈之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;
选择对应的圈外距离平均值最大的功能圈集合作为所述用户的功能圈集合。
6.如权利要求3所述的方法,其特征在于,根据在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为同一功能圈内不同位置点之间的距离的平均值;
选择对应的圈内距离平均值最大的功能圈集合作为所述用户的功能圈集合。
7.如权利要求3所述的方法,其特征在于,根据确定的每个功能圈集合内不同功能圈之间的距离,以及,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;以及,
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为该功能圈集合内各个功能圈分别对应的第一平均值的平均值,所述第一平均值为圈内不同位置点之间的距离的平均值;
根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
8.如权利要求7所述的方法,其特征在于,根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合,包括:
根据确定的所述功能圈集合中每个功能圈集合分别对应的圈外距离平均值和圈内距离平均值,确定每个功能圈集合的得分;
将得分最高的功能圈集合确定为所述用户的功能圈集合。
9.如权利要求1~8任一所述的方法,其特征在于,确定所述用户的功能圈集合,包括:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一功能圈集合;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二功能圈集合;根据所述第一功能圈集合和第二功能圈集合,确定最终采用的所述用户的功能圈集合。
10.如权利要求1所述的方法,其特征在于,根据判断结果,识别所述用户当前的操作行为是否为异常操作行为,包括:
若确定所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,则确定所述用户当前的速度;
根据确定的所述用户当前的速度,以及预先确定的所述用户的速度曲线信息,识别所述用户当前的操作行为是否为异常操作行为。
11.如权利要求10所述的方法,其特征在于,确定所述用户的速度曲线信息,包括:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的速度曲线信息;;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的速度曲线信息;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一速度曲线信息;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二速度曲线信息;根据所述第一速度曲线信息和第二速度曲线信息,确定最终采用的所述用户的速度曲线信息。
12.如权利要求10所述的方法,其特征在于,所述识别所述用户当前的操作行为是否为异常操作行为,包括:
当所述用户当前的位置点在所述功能圈集合中、与当前时间点匹配的功能圈内时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,但所述用户当前的速度符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,所述用户当前的速度也不符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为是异常操作行为。
13.如权利要求12所述的方法,其特征在于,所述方法还包括:
当确定所述用户当前的操作行为是异常操作行为之后,对所述用户进行身份验证;若验证通过,则确定该异常操作行为合法,并记录该异常操作行为对应的位置点或速度;
当记录的对应所述用户的、验证通过的异常操作行为超过设定数量后,基于记录的异常操作行为对应的位置点,更新所述用户的功能圈集合,或者基于记录的异常操作行为对应的速度更新所述用户的速度曲线信息。
14.一种异常操作行为识别装置,其特征在于,该装置包括:
采集模块,用于采集执行操作行为的用户当前所在的位置点;
判断模块,用于根据所述用户当前所在的位置点、当前时间点,以及预先确定的该用户的功能圈集合,判断所述用户当前是否位于与所述当前时间点匹配的功能圈内,所述匹配的功能圈为所述用户的功能圈集合中的一个;其中,所述用户的每个功能圈为该用户在至少一个时间范围内的活动位置范围;
识别模块,用于根据所述判断模块的判断结果,识别所述用户当前的操作行为是否为异常操作行为。
15.如权利要求14所述的装置,其特征在于,所述装置还包括:
第一确定模块,用于通过采集所述用户在不同时间点所在的位置点,确定所述用户的位置点集合;基于所述位置点集合,确定多个功能圈,其中,不同的功能圈内包含不同的位置点。
16.如权利要求15所述的装置,其特征在于,所述第一确定模块具体用于:
基于所述位置点集合,按照预设的N种功能圈个数,分别确定其中每一种功能圈个数所对应的功能圈集合;其中,不同的功能圈集合具有不同的功能圈个数;N为大于1的正整数;根据确定的每个功能圈集合内不同功能圈之间的距离,和/或,在每个功能圈集合内、每个位置点与所在功能圈内其它位置点之间的距离,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
17.如权利要求16所述的装置,其特征在于,针对任一种功能圈个数M,所述第一确定模块具体用于根据以下步骤确定该种功能圈个数M对应的功能圈集合:
将采集的每个位置点作为一个功能圈;
将相互之间距离最小的两个功能圈合并为一个新的功能圈,重复该步骤,直到功能圈个数为M。
18.如权利要求16所述的装置,其特征在于,所述第一确定模块具体用于:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;选择对应的圈外距离平均值最大的功能圈集合作为所述用户的功能圈集合。
19.如权利要求16所述的装置,其特征在于,所述第一确定模块具体用于:
针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为同一功能圈内不同位置点之间的距离的平均值;选择对应的圈内距离平均值最大的功能圈集合作为所述用户的功能圈集合。
20.如权利要求16所述的装置,其特征在于,所述第一确定模块具体用于:
根据确定的每个功能圈集合内不同功能圈之间的距离,确定每个功能圈集合对应的圈外距离平均值;所述圈外距离平均值是指所述功能圈集合内不同功能圈的几何中心之间的距离的平均值;以及,针对每个功能圈集合,根据其中每个位置点与所在功能圈内其它位置点之间的距离,确定该功能圈集合所对应的圈内距离平均值;所述圈内距离平均值为该功能圈集合内各个功能圈分别对应的第一平均值的平均值,所述第一平均值为圈内不同位置点之间的距离的平均值;根据每个功能圈集合对应的圈外距离平均值和圈内距离平均值,从确定的N个功能圈集合中选择一个功能圈集合作为所述用户的功能圈集合。
21.如权利要求20所述的装置,其特征在于,所述第一确定模块具体用于:
根据确定的所述功能圈集合中每个功能圈集合分别对应的圈外距离平均值和圈内距离平均值,确定每个功能圈集合的得分;将得分最高的功能圈集合确定为所述用户的功能圈集合。
22.如权利要求14~21任一所述的装置,其特征在于,所述第一确定模块具体用于:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的功能圈集合;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一功能圈集合;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二功能圈集合;根据所述第一功能圈集合和第二功能圈集合,确定最终采用的所述用户的功能圈集合。
23.如权利要求14所述的装置,其特征在于,所述装置还包括:
第二确定模块,用于确定所述用户的速度曲线信息;
所述识别模块还用于:若确定所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,则确定所述用户当前的速度;根据确定的所述用户当前的速度,以及第二确定模块预先确定的所述用户的速度曲线信息,识别所述用户当前的操作行为是否为异常操作行为。
24.如权利要求23所述的装置,其特征在于,所述第二确定模块具体用于:
当所述用户对应的基于位置服务LBS信息采集率大于或等于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的速度曲线信息;;
当对所述用户的LBS信息采集率小于或等于第二比率阈值时,根据采集的所述用户的互联网协议IP地址信息,确定所述用户的速度曲线信息;
当对所述用户的LBS信息采集率大于第二比率阈值、小于第一比率阈值时,根据采集的所述用户的LBS信息,确定所述用户的第一速度曲线信息;根据采集的所述用户的互联网协议IP地址信息,确定所述用户的第二速度曲线信息;根据所述第一速度曲线信息和第二速度曲线信息,确定最终采用的所述用户的速度曲线信息。
25.如权利要求23所述的装置,其特征在于,所述识别模块具体用于:
当所述用户当前的位置点在所述功能圈集合中、与当前时间点匹配的功能圈内时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,但所述用户当前的速度符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为不是异常操作行为;
当所述用户当前的位置点不在所述功能圈集合中、与当前时间点匹配的功能圈内,所述用户当前的速度也不符合预先确定的所述用户的速度曲线时,确定所述用户当前的操作行为是异常操作行为。
26.如权利要求25所述的装置,其特征在于,所述装置还包括:
验证模块,用于当所述识别模块确定所述用户当前的操作行为是异常操作行为之后,对所述用户进行身份验证;若验证通过,则确定该异常操作行为合法,并记录该异常操作行为对应的位置点或速度;
更新模块,用于当记录的对应所述用户的、验证通过的异常操作行为超过设定数量后,基于记录的异常操作行为对应的位置点,更新所述用户的功能圈集合,或者基于记录的异常操作行为对应的速度更新所述用户的速度曲线信息。
CN201610011869.5A 2016-01-08 2016-01-08 一种异常操作行为识别方法及装置 Active CN106961409B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610011869.5A CN106961409B (zh) 2016-01-08 2016-01-08 一种异常操作行为识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610011869.5A CN106961409B (zh) 2016-01-08 2016-01-08 一种异常操作行为识别方法及装置

Publications (2)

Publication Number Publication Date
CN106961409A true CN106961409A (zh) 2017-07-18
CN106961409B CN106961409B (zh) 2020-12-04

Family

ID=59480508

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610011869.5A Active CN106961409B (zh) 2016-01-08 2016-01-08 一种异常操作行为识别方法及装置

Country Status (1)

Country Link
CN (1) CN106961409B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110443408A (zh) * 2019-07-04 2019-11-12 特斯联(北京)科技有限公司 出行预测方法和装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070043687A1 (en) * 2005-08-19 2007-02-22 Accenture Llp Virtual assistant
CN101510228A (zh) * 2009-03-26 2009-08-19 山东理工大学 产品stl模型非均匀精简方法
WO2011001026A1 (en) * 2009-06-29 2011-01-06 Elisa Oyj Authentication
CN102111407A (zh) * 2010-12-30 2011-06-29 北京工业大学 用户为中心的访问控制隐私保护方法
CN102158470A (zh) * 2011-01-30 2011-08-17 韦峻峰 一种用于移动便携式设备的声信号处理系统及其处理方法
CN103313193A (zh) * 2013-06-23 2013-09-18 赵怀年 相互定位的移动终端系统及定位方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070043687A1 (en) * 2005-08-19 2007-02-22 Accenture Llp Virtual assistant
CN101510228A (zh) * 2009-03-26 2009-08-19 山东理工大学 产品stl模型非均匀精简方法
WO2011001026A1 (en) * 2009-06-29 2011-01-06 Elisa Oyj Authentication
CN102111407A (zh) * 2010-12-30 2011-06-29 北京工业大学 用户为中心的访问控制隐私保护方法
CN102158470A (zh) * 2011-01-30 2011-08-17 韦峻峰 一种用于移动便携式设备的声信号处理系统及其处理方法
CN103313193A (zh) * 2013-06-23 2013-09-18 赵怀年 相互定位的移动终端系统及定位方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ELAINE SHI ET AL.: "Implicit Authentication through Learning User Behavior", 《ISC 2010:INFORMATION SECURITY》 *
孙水发等: "《视频前景检测及其在水电工程监测中的应用》", 31 December 2014 *
李丽香等: "《混沌蚁群算法及应用》", 31 January 2013 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110443408A (zh) * 2019-07-04 2019-11-12 特斯联(北京)科技有限公司 出行预测方法和装置

Also Published As

Publication number Publication date
CN106961409B (zh) 2020-12-04

Similar Documents

Publication Publication Date Title
US10715949B2 (en) Determining timing for determination of applicable geo-fences
CN107466103A (zh) 一种终端定位方法及网络设备
JP5536485B2 (ja) ユーザの移動に伴って住所/居所を推定する携帯端末、サーバ、プログラム及び方法
KR101614264B1 (ko) 연락처 정보에 기초한 방문 위치의 라벨링
CN109084795B (zh) 基于地图服务的搜索服务设施的方法及装置
US10884098B2 (en) Radio map construction method
CN106951446B (zh) 金融信息推送方法和装置
JP2008536348A5 (zh)
CN105120433A (zh) 基于连续采样及模糊聚类处理的wlan室内定位方法
CN110020221A (zh) 职住分布确认方法、装置、服务器及计算机可读存储介质
CN111935820B (zh) 基于无线网络的定位实现方法及相关设备
CN107404408A (zh) 一种虚拟身份关联识别方法及装置
CN105991674A (zh) 一种信息推送方法和装置
CN106658701A (zh) 一种定位方法及装置
CN107038620A (zh) 基于用户打车偏好的信息推送及装置
CN107357790A (zh) 一种异常消息检测方法、装置及系统
CN111541986B (zh) 定位方法、装置、存储介质及处理器
CN106998535A (zh) 移动终端定位校正方法和系统
CN106210163A (zh) 基于ip地址的定位方法及装置
CN109977324A (zh) 一种兴趣点挖掘方法及系统
CN108770057B (zh) 预定指纹库的确定方法及指纹定位方法、装置、存储介质
CN105992267A (zh) 一种确定离线定位数据质量的方法和装置
WO2022267455A1 (zh) 欺诈用户集中区域的预测方法、装置、设备及存储介质
CN109871419A (zh) 一种地图显示方法及装置
JP6992619B2 (ja) 位置推定装置、位置推定プログラム、および位置推定方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant