CN107481090A - 一种用户异常行为检测方法、装置和系统 - Google Patents
一种用户异常行为检测方法、装置和系统 Download PDFInfo
- Publication number
- CN107481090A CN107481090A CN201710577019.6A CN201710577019A CN107481090A CN 107481090 A CN107481090 A CN 107481090A CN 201710577019 A CN201710577019 A CN 201710577019A CN 107481090 A CN107481090 A CN 107481090A
- Authority
- CN
- China
- Prior art keywords
- user
- time sequence
- sequence data
- stationarity
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title abstract description 14
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 122
- 238000000034 method Methods 0.000 claims abstract description 93
- 230000002159 abnormal effect Effects 0.000 claims abstract description 41
- 230000006399 behavior Effects 0.000 claims description 64
- 238000007781 pre-processing Methods 0.000 claims description 23
- 238000012545 processing Methods 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 12
- 238000007689 inspection Methods 0.000 claims description 12
- 230000008569 process Effects 0.000 description 32
- 238000011156 evaluation Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000001744 unit root test Methods 0.000 description 3
- 241000283690 Bos taurus Species 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000003663 ADF-GLS test Methods 0.000 description 1
- 238000001278 Kwiatkowski–Phillips–Schmidt–Shin (KPSS) test Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001680 brushing effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2458—Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
- G06F16/2474—Sequence data queries, e.g. querying versioned data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
- G06Q30/0185—Product, service or business identity fraud
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0201—Market modelling; Market analysis; Collecting market data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/0601—Electronic shopping [e-shopping]
- G06Q30/0623—Item investigation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Development Economics (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Economics (AREA)
- Entrepreneurship & Innovation (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Game Theory and Decision Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Fuzzy Systems (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Computational Linguistics (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用户异常行为检测方法、装置和系统,属于计算机领域。所述方法包括:获取用户用于描述用户的网络行为的时间序列数据;计算时间序列数据所对应的平稳性参数;若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,不仅准确性高,且效率同样较高。
Description
技术领域
本发明涉及计算机领域,特别涉及一种用户异常行为检测方法、装置和系统。
背景技术
随着互联网商业活动的普及,购物网站、票务网站、酒店预订网站以及评价网站等越来越多的商户往往会通过如抢购以及服务评价等方式来进一步提高用户的互联网消费体验。但是在实际应用中,同样也存在例如黄牛、恶意刷单以及恶意评价等异常网络行为,在误导消费者的同时,影响了消费者的正常互联网消费。
现有技术一般是通过人工删选以及处理的方式发现上述异常网络行为,由于人为因素、时间成本和效率的影响,该方式在增加人工成本的同时,还存在准确性以及效率较低的情况,从而无法对用户的异常网络行为进行检测,影响了消费者的正常互联网消费,降低了用户体验。
发明内容
为了提高用户异常行为检测的效率和准确性,本发明实施例提供了一种用户异常行为检测方法、装置和系统。所述技术方案如下:
第一方面,提供了一种用户异常行为检测方法,所述方法包括:
获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算所述时间序列数据所对应的平稳性参数;
若所述平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
结合第一方面,在第一种可能的实现方式中,通过以下操作中的任意一个,实现所述获取用户的时间序列数据的步骤:
周期性地获取所述时间序列数据;或者
所述时间序列数据满足预设条件,则获取所述时间序列数据。
结合第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述计算所述时间序列数据所对应的平稳性参数之前,所述方法还包括:
对所述时间序列数据进行预处理,生成预处理后的时间序列数据。
结合第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述计算所述时间序列数据所对应的平稳性参数包括:
对所述预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
结合第一方面至第一方面的第三种任意一种可能的实现方式,在第四种可能的实现方式中,所述时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,所述计算所述时间序列数据所对应的平稳性参数;还包括:
分别计算所述登陆次数对应的第一平稳性参数、所述数据流量对应的第二平稳性参数,以及所述交易次数对应的第三平稳性参数;
根据所述第一平稳性参数、所述第二平稳性参数以及所述第三平稳性参数,计算所述平稳性参数。
结合第一方面至第一方面的第四种任意一种可能的实现方式,在第五种可能的实现方式中,所述确认所述用户存在异常行为之后,所述方法还包括:
获取所述用户的登录设备的网络地址;
判断所述网络地址以及与所述网络地址相关的用户是否存在异常行为。
结合第一方面,在第六种可能的实现方式中,所述方法还包括:
获取用户多个时间段内的时间序列数据;
计算所述多个时间序列数据分别所对应的多个平稳性参数,并根据所述多个平稳性参数,计算最终平稳性参数;
若所述最终平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
第二方面,提供了一种用户异常行为检测装置,所述装置包括:
获取模块,用于获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算模块,用于计算所述时间序列数据所对应的平稳性参数;
处理模块,用于在所述平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,确认用户存在异常行为。
结合第二方面,在第一种可能的实现方式中,所述获取模块用于执行以下操作中的任意一个:
周期性地获取所述时间序列数据;或者
所述时间序列数据满足预设条件,则获取所述时间序列数据。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述装置还包括预处理模块,所述预处理模块用于:
对所述时间序列数据进行预处理,生成预处理后的时间序列数据。
结合第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述计算模块具体用于:
对所述预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
结合第二方面至第一方面的第三种任意一种可能的实现方式,在第四种可能的实现方式中,所述时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,所述计算模块还用于:
分别计算所述登陆次数对应的第一平稳性参数、所述数据流量对应的第二平稳性参数,以及所述交易次数对应的第三平稳性参数;
根据所述第一平稳性参数、所述第二平稳性参数以及所述第三平稳性参数,计算所述平稳性参数。
结合第二方面至第一方面的第四种任意一种可能的实现方式,在第五种可能的实现方式中,
所述获取模块还用于获取所述用户的登录设备的网络地址;
所述处理模块还用于判断所述网络地址以及与所述网络地址相关的用户是否存在异常行为。
结合第二方面,在第六种可能的实现方式中,所述方法还包括:
所述获取模块还用于获取用户多个时间段内的时间序列数据;
所述计算模块还用于计算所述多个时间序列数据分别所对应的多个平稳性参数,并根据所述多个平稳性参数,计算最终平稳性参数;
所述处理模块还用于在所述最终平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,则确认用户存在异常行为。
第三方面,提供了一种用户异常行为检测装置,所述装置包括存储器以及与所述存储器连接的处理器,其中所述存储器用于存储一组程序代码,所述处理器调用所述存储器所存储的程序代码用于执行以下操作:
获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算所述时间序列数据所对应的平稳性参数;
若所述平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
结合第三方面,在第一种可能的实现方式中,所述处理器调用所述存储器所存储的程序代码用于执行以下操作中的任意一个:
周期性地获取所述时间序列数据;或者
所述时间序列数据满足预设条件,则获取所述时间序列数据。
结合第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述处理器调用所述存储器所存储的程序代码还用于执行以下操作:
对所述时间序列数据进行预处理,生成预处理后的时间序列数据。
结合第三方面的第二种可能的实现方式,在第三种可能的实现方式中,所述处理器调用所述存储器所存储的程序代码还用于执行以下操作:
对所述预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
结合第三方面至第一方面的第三种任意一种可能的实现方式,在第四种可能的实现方式中,所述时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,所述处理器调用所述存储器所存储的程序代码还用于执行以下操作:
分别计算所述登陆次数对应的第一平稳性参数、所述数据流量对应的第二平稳性参数,以及所述交易次数对应的第三平稳性参数;
根据所述第一平稳性参数、所述第二平稳性参数以及所述第三平稳性参数,计算所述平稳性参数。
结合第三方面至第一方面的第四种任意一种可能的实现方式,在第五种可能的实现方式中,所述处理器调用所述存储器所存储的程序代码还用于执行以下操作:
获取所述用户的登录设备的网络地址;
判断所述网络地址以及与所述网络地址相关的用户是否存在异常行为。
结合第三方面,在第六种可能的实现方式中,所述处理器调用所述存储器所存储的程序代码还用于执行以下操作:
获取用户多个时间段内的时间序列数据;
计算所述多个时间序列数据分别所对应的多个平稳性参数,并根据所述多个平稳性参数,计算最终平稳性参数;
若所述最终平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
第四方面,提供了一种用户异常行为检测系统,所述系统包括多个服务器以及多个客户端,所述多个服务器与所述多个客户端通信连接,其中:
所述服务器包括:
获取模块,用于获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算模块,用于计算所述时间序列数据所对应的平稳性参数;
处理模块,用于在所述平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,确认用户存在异常行为;
所述客户端用于实现用户的网络行为,并生成时间序列数据。
结合第四方面,在第一种可能的实现方式中,所述获取模块用于执行以下操作中的任意一个:
周期性地获取所述时间序列数据;或者
所述时间序列数据满足预设条件,则获取所述时间序列数据。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述装置还包括预处理模块,所述预处理模块用于:
对所述时间序列数据进行预处理,生成预处理后的时间序列数据。
结合第四方面的第二种可能的实现方式,在第三种可能的实现方式中,所述计算模块具体用于:
对所述预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
结合第四方面至第一方面的第三种任意一种可能的实现方式,在第四种可能的实现方式中,所述时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,所述计算模块还用于:
分别计算所述登陆次数对应的第一平稳性参数、所述数据流量对应的第二平稳性参数,以及所述交易次数对应的第三平稳性参数;
根据所述第一平稳性参数、所述第二平稳性参数以及所述第三平稳性参数,计算所述平稳性参数。
结合第四方面至第一方面的第四种任意一种可能的实现方式,在第五种可能的实现方式中,
所述获取模块还用于获取所述用户的登录设备的网络地址;
所述处理模块还用于判断所述网络地址以及与所述网络地址相关的用户是否存在异常行为。
结合第四方面,在第六种可能的实现方式中,所述方法还包括:
所述获取模块还用于获取用户多个时间段内的时间序列数据;
所述计算模块还用于计算所述多个时间序列数据分别所对应的多个平稳性参数,并根据所述多个平稳性参数,计算最终平稳性参数;
所述处理模块还用于在所述最终平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,则确认用户存在异常行为。
本发明实施例提供了一种用户异常行为检测方法、装置和系统,包括:获取用户用于描述用户的网络行为的时间序列数据;计算时间序列数据所对应的平稳性参数;若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,不仅准确性高,且效率同样较高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种用户异常行为检测方法流程图;
图2是本发明实施例提供的一种用户异常行为检测方法流程图;
图3是本发明实施例提供的一种用户异常行为检测方法流程图;
图4是本发明实施例提供的一种时间序列数据示意图;
图5是本发明实施例提供的一种用户异常行为检测方法流程图;
图6是本发明实施例提供的一种用户异常行为检测装置结构示意图;
图7是本发明实施例提供的一种用户异常行为检测装置结构示意图;
图8是本发明实施例提供的一种用户异常行为检测系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种用户异常行为检测方法,该方法主要应用于交易系统,或者系统中包括交易业务时用户异常行为的检测,该系统包括但不限于购物网站、票务网站、酒店预订网站以及评价网站等,该交易业务可以包括抢购、订购以及评价等业务,该业务的产品可以为包括车票在内的票据、网络产品以及电商产品等;在实际应用中,该用户的异常网络行为包括但不限于:恶意刷单、恶意登录以及恶意抢购等行为。
实施例一为本发明实施例所提供的一种用户异常行为检测方法,参照图1所示,该方法包括:
101、获取用户的时间序列数据,时间序列数据用于描述用户的网络行为。
具体的,通过以下操作中的任意一个,实现获取用户的时间序列数据的步骤:
周期性地获取时间序列数据;或者
时间序列数据满足预设条件,则获取时间序列数据。
在步骤102之前,还可以执行步骤:
对时间序列数据进行预处理,生成预处理后的时间序列数据。
102、计算时间序列数据所对应的平稳性参数;
具体的,对预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
可选的,时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,计算时间序列数据所对应的平稳性参数;还包括:
分别计算登陆次数对应的第一平稳性参数、数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数;
根据第一平稳性参数、第二平稳性参数以及第三平稳性参数,计算平稳性参数。
103、若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
可选的,确认用户存在异常行为之后,所述方法还包括:
获取用户的登录设备的网络地址;
判断网络地址以及与网络地址相关的用户是否存在异常行为。
可选的,所述方法还包括:
获取用户多个时间段内的时间序列数据;
计算多个时间序列数据分别所对应的多个平稳性参数,并根据多个平稳性参数,计算最终平稳性参数;
若最终平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
本发明实施例提供了一种用户异常行为检测方法,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。
实施例二为本发明实施例提供的一种用户异常行为检测方法,在本发明实施例中,时间序列数据包括登陆次数,参照图2所示,该方法包括:
201、周期性地获取时间序列数据,在步骤201之后执行步骤203。
具体的,时间序列数据用于描述用户的网络行为,在本发明实施例中,该时间序列数据可以为用户登录次数。
上述过程可以为:
记录用户在登录时的登录次数,当记录起始时间与当前时间之间的时间间隔满足预设周期之后,获取该时间间隔内所有的用户登录次数以及每次登录时的登录时间。
上述预设周期可以根据实际情况适时调整,该调整方式包括不限于,在当前交易量、可交易产品以及用户在线数较多时,缩短该预设周期,在当前交易量、可交易产品以及用户在线数较少时,增大该预设周期。
通过周期性地获取时间序列数据,可以实现用户网络行为的实时监测,从而可以及时避免由于恶意用户的异常行为对其他用户网络行为,尤其是网络交易等网络行为的影响,提高了用户体验。另外,通过根据实际情况适时调整预设周期,可以在当前交易量、可交易产品以及用户在线数较多时,及时发现用户异常行为,从而提高了异常行为检测的效率,提高了用户体验。在在当前交易量、可交易产品以及用户在线数较少时,减少了系统的数据处理负担。
202、时间序列数据满足预设条件,则获取时间序列数据,在步骤202之后执行步骤203。
具体的,该时间序列数据与步骤201所述的时间序列相同,此处不再加以赘述。
时间序列数据满足预设条件可以包括:
记录用户在登录时的登录次数,当用户在当天的累积登录次数大于或者等于预设值时,获取用户自第一次登录至当前时刻之间所有的用户登录次数以及每次登录时的登录时间。
上述预设条件只是示例性的,在实际应用中,还可以通过设置其他预设条件,本发明实施例对具体的预设条件不加以限定。
由用户在一天内登陆次数较多时可能存在异常行为,所以在时间序列数据满足预设条件时获取时间序列数据,并判断是否存在异常行为,相较于实时获取所有用户的时间序列数据,减少了数据处理负担,提高了用户异常行为检测的效率,从而进一步提高了用户体验。
需要说明的是,步骤201和步骤202中的任意一个都是实现获取用户的时间序列数据的过程,在实际应用中,可以执行步骤201和步骤202中的任意一个。另外,在实际应用中,可以根据具体的应用场景选择执行步骤201或步骤202,该具体的应用场景包括但不限于:当前系统内用户的异常行为较多,或者该当前系统由于业务原因(例如存在交易以及抢购等业务时)可能存在用户刷单等异常行为较多时,选择执行步骤201,从而实现在线用户的实时监测,保证其他有正常交易需求用户的用户体验。当前系统内用户的异常行为较少时,或者该当前系统由于业务原因(抢购等业务较少时)以及客户群体(如特定群体客户)因为,用户刷单等异常行为较少时,或者对异常行为发现以及处理的效率要求较高时,可以执行步骤202,从而减少了数据处理负担,提高了用户异常行为检测的效率。
在步骤102之前,还可以执行步骤:
203、对时间序列数据进行预处理,生成预处理后的时间序列数据。
具体的,通过以下操作中的至少一个,实现步骤203:
从所述时间序列数据中删除极大值或者极小值等极限值,生成预处理后的时间序列数据;上述过程可以是通过极大极小值的规则处理完成的,本发明实施例对具体的实现方式不加以限定。或者,
将所述时间序列数据中的缺省值设置为默认值,生成预处理后的时间序列数据;或者,根据该缺省值上一时刻的值与下一时刻的值,设置该缺省值;本发明实施例对具体的设置方式不加以限定。或者,
对该时间序列数据进行格式转换,生成预处理后的时间序列数据,该预处理后的时间序列数据包括系统可读的登录次数以及登陆时间;本发明实施例对具体的格式转换方式不加以限定。
通过从所述时间序列数据中删除极大值或者极小值等极限值,避免了由于数据获取错误、网络错误以及用户误操作情况下的极限值对户异常行为检测结果的影响,从而提高了户异常行为检测的准确性。另外,通过将所述时间序列数据中的缺省值设置为默认值,避免了由于数据丢失对对户异常行为检测结果的影响,从而提高了户异常行为检测的准确性。另外,通过对该时间序列数据进行格式转换,避免了由于格式不兼容或者其他原因所导致的用户异常行为检测异常或者无法检测,从而提高了户异常行为检测的准确性和效率。
需要说明的是,步骤203是可选步骤,在实际应用中,在步骤201或者步骤203之后,可以直接执行步骤204,不必执行步骤203。
204、对预处理后的时间序列数据进行单位根检验。
具体的,该步骤可以为:
设置时间间隔,该设置的过程可以是根据当前交易量、可交易产品以及用户在线数进行设置的,例如,在当前交易量、可交易产品以及用户在线数较多时,设置该时间间隔较短,在当前交易量、可交易产品以及用户在线数较少时,设置该时间间隔较长;
根据该时间间隔,对预处理后的时间序列数据进行单位根检验,该单位根检验可以为通过函数实现,例如ADF.test函数。
可选的,除了对预处理后的时间序列数据进行单位根检验之外,还可以对预处理后的时间序列数据进行PP(Phillips&Perron)检验,KPSS检验,DF-GLS检验、ERS检验和NP检验等,本发明对具体的检验方式不加以限定。
205、获取检验结果中所包括的平稳性参数。
具体的,该单位根检验之后所得到的P值即为平稳性参数,该平稳性参数用于指示该时间序列数据是否为平稳性时间序列数据。
本发明实施例对具体的获取方式不加以限定。
值得注意的是,步骤204至步骤205是实现计算时间序列数据所对应的平稳性参数的过程,除了上述步骤所述的方式之外,还可以通过其他方式实现该过程,本发明实施例对具体的方式。
由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。
206、判断平稳性参数与预设值之间的关系,若平稳性参数小于或者等于预设值,则平稳性参数指示时间序列数据为平稳时间序列数据,确认用户无异常行为;否则,则确认用户存在异常行为。
具体的,在实际应用中,若平稳性参数小于或者等于0.01,则平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户存在异常行为。
若平稳性参数大于0.01,则平稳性参数指示时间序列数据为非平稳时间序列数据,则确认用户无异常行为。
可选的,步骤206确认用户存在异常行为之后,所述方法还包括:
获取用户的登录设备的网络地址,该过程可以为:
从用户的登录数据中获取用户的登录设备的网络地址;除此之外,还可以通过其他方式实现该过程,本发明实施例对具体的方式不加以限定。
判断网络地址以及与网络地址相关的用户是否存在异常行为,该过程可以为:
获取该用户的网络地址以及与该网络地址关联的多个网络地址,其中,与与该网络地址关联的网络地址包括但不限于:
与该网络地址同属于同一个路由设备,或者,该网络地址所在地预设地域范围内的网络地址。
判断该网络地址关联的网络地址所对应的用户是存在异常行为,该判断方式与步骤201至步骤206所述的过程相同,此处不再加以赘述。
由于异常行为可能是在一定范围内多个人同时发生的,例如多个黄牛刷单等行为,所以,通过判断网络地址以及与网络地址相关的用户是否存在异常行为,可以及时发现多个用户的异常行为,从而准确性较高,且效率较高。
示例性的,为了进一步说明本发明实施例所达到的有益效果,假设对预处理后的时间序列数据进行单位根检验的结果参照图3所示,在图3中,下图x轴是每隔10分钟的时间序列,y轴是时间序列数据,该时间序列数据为登陆次数,通过执行本发明实施例所述的方法,可以该时间序列数据的平稳性参数小于0.01,时间序列数据为非平稳时间序列数据,则确认用户无异常行为。
本发明实施例提供了一种用户异常行为检测方法,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。另外,由于登录次数相较于其他数据,处理过程以及获取方式都较为简单,所以通过包括登录次数的时间序列数据判断用户是否存在异常行为,可以进一步提高效率。
实施例三为本发明实施提供的一种用户异常行为检测方法,在本发明实施例中,时间序列数据包括登陆次数、数据流量以及交易次数,参照图4所示,该方法包括:
401、获取用户的时间序列数据,时间序列数据用于描述用户的网络行为。
具体的,时间序列数据包括登陆次数、数据流量以及交易次数,时间序列数据用于描述用户的网络行为。
上述时间序列数据可以通过以下操作中的任意一个获取:
周期性地获取时间序列数据;该过程与步骤201所述的过程相同,此处不再加以赘述。或者,
时间序列数据满足预设条件,则获取时间序列数据,该步骤与步骤202所述的过程相同,此处不再加以赘述。
另外,在实际应用中,登陆次数、数据流量以及交易次数的获取过程可以是同时进行的,也可以是分别进行的,本发明实施例对具体的获取顺序不加以限定。
在步骤402之前,还可以执行步骤:
对时间序列数据进行预处理,生成预处理后的时间序列数据,该过程与实施例二所述的对时间序列数据进行预处理,生成预处理后的时间序列数据的过程相同,此处不再加以赘述。
402、分别计算登陆次数对应的第一平稳性参数、数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数。
具体的,对预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数;
其中,计算登陆次数对应的第一平稳性参数的过程与步骤204至步骤205所述的过程相同,此处不再加以赘述。
同样的,计算数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数的过程与步骤204至步骤205所述的过程相同,此处同样不再加以赘述。
403、根据第一平稳性参数、第二平稳性参数以及第三平稳性参数,计算平稳性参数。
具体的,在实际应用中,可以通过计算第一平稳性参数、第二平稳性参数以及第三平稳性参数的平均值或者加权平均值,计算平稳性参数。示例性的,以第一平稳性参数、第二平稳性参数以及第三平稳性参数的加权平均值为例,该步骤可以通过以下公式实现:
平稳性参数=(a*第一平稳性参数+b*第二平稳性参数+c*第三平稳性参数)/3;
上述公式中,a、b和c的值可以根据在实际应用中登陆次数、数据流量以及交易次数的重要性设置具体数值,本发明实施例对具体的设置方式不加以限定。
值得注意的是,步骤402至步骤403是实现计算时间序列数据所对应的平稳性参数的过程,除了上述步骤所述的方式之外,该可以通过其他方式实现该过程,本发明实施例对具体的方式不加以限定。
通过登陆次数、数据流量以及交易次数判断用户是否存在异常行为,在用户网络出现问题,发生断网等情况下,相较于通过其中的任意一个判断用户是否存在异常行为,避免了误判的发生,从而提高了用户异常行为检测的准确性,进一步提高了用户体验。
404、若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
具体的,该步骤与步骤206相同,此处不再加以赘述。
本发明实施例提供了一种用户异常行为检测方法,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。另外,通过登陆次数、数据流量以及交易次数判断用户是否存在异常行为,在用户网络出现问题,发生断网等情况下,相较于通过其中的任意一个判断用户是否存在异常行为,避免了误判的发生,从而提高了用户异常行为检测的准确性,进一步提高了用户体验。
实施例四为本发明实施例提供的一种用户异常行为检测方法,在本发明实施例中,所获取的是用户多个时间段内的时间序列数据,参照图5所示,该方法包括:
501、获取用户多个时间段内的时间序列数据,时间序列数据用于描述用户的网络行为。
具体的,上述多个时间段内的时间序列数据通过以下操作中的任意一个获取:
周期性地获取多个时间序列数据;该多个时间序列数据其中任意一个时间序列数据的获取方式与步骤201所述的周期性地获取单个时间序列数据过程相同,此处不再加以赘述。或者,
时间序列数据满足预设条件,则获取多个时间序列数据,该多个时间序列数据其中任意一个时间序列数据的获取方式与步骤202所述获取单个时间序列数据的过程相同,此处不再加以赘述。
在步骤502之前,还可以执行步骤:
对多个时间段内的时间序列数据进行预处理,生成多个预处理后的时间序列数据。其中,对多个时间段内的时间序列数据中的任意一个进行预处理的过程与实施例二所述的对时间序列数据进行预处理,生成预处理后的时间序列数据的过程相同,此处不再加以赘述。
502、分别计算多个时间段内的时间序列数据所对应的平稳性参数。
具体的,对多个预处理后的时间序列数据分别进行单位根检验;该步骤中对多个预处理后的时间序列数据中的任意一个进行单位根检验的过程与步骤203所述的过程相同,此处不再加以赘述。
分别获取检验结果中所包括的平稳性参数。该步骤与步骤204所述的过程相同,此处不再加以赘述。
503、根据该多个时间段内的时间序列数据,计算用户时间序列的平稳性参数。
具体的,在实际应用中,可以通过多个时间段内的时间序列数据所对应的平稳性参数的平均值或者加权平均值,计算平稳性参数。示例性的,以n个时间段内的时间序列数据所对应的平稳性参数的加权平均值为例,该步骤可以通过以下公式实现:为
平稳性参数=(a1*平稳性参数1+a2*平稳性参数+...+an*平稳性参数n)/n;
其中,a1、a2...an可以根据各个时间段内的交易情况或者在线用户数量进行设置。
值得注意的是,步骤502至步骤503是实现计算时间序列数据所对应的平稳性参数的过程,除了上述步骤所述的方式之外,该可以通过其他方式实现该过程,本发明实施例对具体的方式不加以限定。
通过多个时间段内的时间序列数据,判断用户是否存在异常行为,在部分时间段交易量或者用户数量增加的情况下,避免了由于在线用户较多,且业务特殊(如抢购等)的场景下,对用户正常操作的误判,从而提高了用户异常行为检测的准确性,进一步提高了用户体验。
504、若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
具体的,该步骤与步骤206相同,此处不再加以赘述。
本发明实施例提供了一种用户异常行为检测方法,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。另外,通过多个时间段内的时间序列数据,判断用户是否存在异常行为,在部分时间段交易量或者用户数量增加的情况下,避免了由于在线用户较多,且业务特殊(如抢购等)的场景下,对用户正常操作的误判,从而提高了用户异常行为检测的准确性,进一步提高了用户体验。
实施例五为本发明实施例提供的一种用户异常行为检测装置,参照图6所示,该方法包括:
获取模块61,用于获取用户的时间序列数据,时间序列数据用于描述用户的网络行为;
计算模块62,用于计算时间序列数据所对应的平稳性参数;
处理模块63,用于在平稳性参数指示时间序列数据为平稳时间序列数据时,确认用户无异常行为;否则,确认用户存在异常行为。
可选的,获取模块61用于执行以下操作中的任意一个:
周期性地获取时间序列数据;或者
时间序列数据满足预设条件,则获取时间序列数据。
可选的,装置还包括预处理模块,预处理模块用于:
对时间序列数据进行预处理,生成预处理后的时间序列数据。
可选的,计算模块62具体用于:
对预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
可选的,时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,计算模块62还用于:
分别计算登陆次数对应的第一平稳性参数、数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数;
根据第一平稳性参数、第二平稳性参数以及第三平稳性参数,计算平稳性参数。
可选的,
获取模块61还用于获取用户的登录设备的网络地址;
处理模块63还用于判断网络地址以及与网络地址相关的用户是否存在异常行为。
可选的,方法还包括:
获取模块61还用于获取用户多个时间段内的时间序列数据;
计算模块62还用于计算多个时间序列数据分别所对应的多个平稳性参数,并根据多个平稳性参数,计算最终平稳性参数;
处理模块63还用于在最终平稳性参数指示时间序列数据为平稳时间序列数据时,确认用户无异常行为;否则,则确认用户存在异常行为。
本发明实施例提供了一种用户异常行为检测装置,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。
实施例六为本发明实施例提供的一种用户异常行为检测装置,参照图7所示,该方法包括存储器71以及与存储器71连接的处理器72,其中存储器71用于存储一组程序代码,处理器72调用存储器71所存储的程序代码用于执行以下操作:
获取用户的时间序列数据,时间序列数据用于描述用户的网络行为;
计算时间序列数据所对应的平稳性参数;
若平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
可选的,
处理器72调用存储器71所存储的程序代码用于执行以下操作中的任意一个:
周期性地获取时间序列数据;或者
时间序列数据满足预设条件,则获取时间序列数据。
可选的,处理器72调用存储器71所存储的程序代码用于执行以下操作:
对时间序列数据进行预处理,生成预处理后的时间序列数据。
可选的,处理器72调用存储器71所存储的程序代码用于执行以下操作:
对预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
可选的,时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,处理器72调用存储器71所存储的程序代码用于执行以下操作:
分别计算登陆次数对应的第一平稳性参数、数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数;
根据第一平稳性参数、第二平稳性参数以及第三平稳性参数,计算平稳性参数。
可选的,处理器72调用存储器71所存储的程序代码用于执行以下操作:
获取用户的登录设备的网络地址;
判断网络地址以及与网络地址相关的用户是否存在异常行为。
可选的,处理器72调用存储器71所存储的程序代码用于执行以下操作:
获取用户多个时间段内的时间序列数据;
计算多个时间序列数据分别所对应的多个平稳性参数,并根据多个平稳性参数,计算最终平稳性参数;
若最终平稳性参数指示时间序列数据为平稳时间序列数据,则确认用户无异常行为;否则,则确认用户存在异常行为。
本发明实施例提供了一种用户异常行为检测装置,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。
实施例七为本发明实施例提供的一种用户异常行为检测系统,参照图8所示,该方法包括:
多个服务器81以及多个客户端82,多个服务器81与多个客户端82通信连接,其中:
服务器81包括:
获取模块811,用于获取用户的时间序列数据,时间序列数据用于描述用户的网络行为;
计算模块812,用于计算时间序列数据所对应的平稳性参数;
处理模块813,用于在平稳性参数指示时间序列数据为平稳时间序列数据时,确认用户无异常行为;否则,确认用户存在异常行为;
客户端82用于实现用户的网络行为,并生成时间序列数据。
可选的,获取模块811用于执行以下操作中的任意一个:
周期性地获取时间序列数据;或者
时间序列数据满足预设条件,则获取时间序列数据。
可选的,装置还包括预处理模块,预处理模块用于:
对时间序列数据进行预处理,生成预处理后的时间序列数据。
可选的,计算模块812具体用于:
对预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
可选的,时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,计算模块812还用于:
分别计算登陆次数对应的第一平稳性参数、数据流量对应的第二平稳性参数,以及交易次数对应的第三平稳性参数;
根据第一平稳性参数、第二平稳性参数以及第三平稳性参数,计算平稳性参数。
可选的,
获取模块811还用于获取用户的登录设备的网络地址;
处理模块812还用于判断网络地址以及与网络地址相关的用户是否存在异常行为。
可选的,方法还包括:
获取模块811还用于获取用户多个时间段内的时间序列数据;
计算模块812还用于计算多个时间序列数据分别所对应的多个平稳性参数,并根据多个平稳性参数,计算最终平稳性参数;
处理模块813还用于在最终平稳性参数指示时间序列数据为平稳时间序列数据时,确认用户无异常行为;否则,则确认用户存在异常行为。
本发明实施例提供了一种用户异常行为检测系统,由于时间序列数据较为准确地描述了用户的网络行为,所以通过时间序列数据,判断用户是否存在异常行为,准确率较高,从而提高了用户上网时的体验。另外,由于通过时间序列数据的平稳性判断用户是否存在异常行相较于其他方式,准确性较高,且效率较高。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的在时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种用户异常行为检测方法,其特征在于,所述方法包括:
获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算所述时间序列数据所对应的平稳性参数;
若所述平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
2.根据权利要求1所述的方法,其特征在于,通过以下操作中的任意一个,实现所述获取用户的时间序列数据的步骤:
周期性地获取所述时间序列数据;或者
所述时间序列数据满足预设条件,则获取所述时间序列数据。
3.根据权利要求2所述的方法,其特征在于,所述计算所述时间序列数据所对应的平稳性参数之前,所述方法还包括:
对所述时间序列数据进行预处理,生成预处理后的时间序列数据。
4.根据权利要求3所述的方法,其特征在于,所述计算所述时间序列数据所对应的平稳性参数包括:
对所述预处理后的时间序列数据进行单位根检验;
获取检验结果中所包括的平稳性参数。
5.根据权利要求1至4任一所述的方法,其特征在于,所述时间序列数据包括登陆次数、数据流量以及交易次数中的至少一个,所述计算所述时间序列数据所对应的平稳性参数;还包括:
分别计算所述登陆次数对应的第一平稳性参数、所述数据流量对应的第二平稳性参数,以及所述交易次数对应的第三平稳性参数;
根据所述第一平稳性参数、所述第二平稳性参数以及所述第三平稳性参数,计算所述平稳性参数。
6.根据权利要求1至5任一所述的方法,其特征在于,所述确认所述用户存在异常行为之后,所述方法还包括:
获取所述用户的登录设备的网络地址;
判断所述网络地址以及与所述网络地址相关的用户是否存在异常行为。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取用户多个时间段内的时间序列数据;
计算所述多个时间序列数据分别所对应的多个平稳性参数,并根据所述多个平稳性参数,计算最终平稳性参数;
若所述最终平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
8.一种用户异常行为检测装置,其特征在于,所述装置包括:
获取模块,用于获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算模块,用于计算所述时间序列数据所对应的平稳性参数;
处理模块,用于在所述平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,确认用户存在异常行为。
9.一种用户异常行为检测装置,其特征在于,所述装置包括存储器以及与所述存储器连接的处理器,其中所述存储器用于存储一组程序代码,所述处理器调用所述存储器所存储的程序代码用于执行以下操作:
获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算所述时间序列数据所对应的平稳性参数;
若所述平稳性参数指示所述时间序列数据为平稳时间序列数据,则确认所述用户无异常行为;否则,则确认用户存在异常行为。
10.一种用户异常行为检测系统,其特征在于,所述系统包括多个服务器以及多个客户端,所述多个服务器与所述多个客户端通信连接,其中:
所述服务器包括:
获取模块,用于获取用户的时间序列数据,所述时间序列数据用于描述用户的网络行为;
计算模块,用于计算所述时间序列数据所对应的平稳性参数;
处理模块,用于在所述平稳性参数指示所述时间序列数据为平稳时间序列数据时,确认所述用户无异常行为;否则,确认用户存在异常行为;
所述客户端用于实现用户的网络行为,并生成时间序列数据。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020197010412A KR20190084946A (ko) | 2017-07-06 | 2018-07-02 | 사용자 이상행동 검측 방법, 장치 및 시스템 |
| JP2019519733A JP6841910B2 (ja) | 2017-07-06 | 2018-07-02 | ユーザー異常行動検出方法、装置及びシステム |
| PCT/CN2018/094065 WO2019007306A1 (zh) | 2017-07-06 | 2018-07-02 | 一种用户异常行为检测方法、装置和系统 |
| SG11201904533UA SG11201904533UA (en) | 2017-07-06 | 2018-07-02 | Method, apparatus and system for detecting abnormal behavior of user |
| US16/375,555 US20190238581A1 (en) | 2017-07-06 | 2019-04-04 | Method, apparatus and system for detecting abnormal behavior of user |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710547742X | 2017-07-06 | ||
| CN201710547742 | 2017-07-06 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107481090A true CN107481090A (zh) | 2017-12-15 |
Family
ID=60595704
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710577019.6A Pending CN107481090A (zh) | 2017-07-06 | 2017-07-14 | 一种用户异常行为检测方法、装置和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20190238581A1 (zh) |
| JP (1) | JP6841910B2 (zh) |
| KR (1) | KR20190084946A (zh) |
| CN (1) | CN107481090A (zh) |
| HK (1) | HK1247699A1 (zh) |
| SG (1) | SG11201904533UA (zh) |
| WO (1) | WO2019007306A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019007306A1 (zh) * | 2017-07-06 | 2019-01-10 | 众安信息技术服务有限公司 | 一种用户异常行为检测方法、装置和系统 |
| CN109818942A (zh) * | 2019-01-07 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 一种基于时序特征的用户帐号异常检测方法及装置 |
| CN110675228A (zh) * | 2019-09-27 | 2020-01-10 | 支付宝(杭州)信息技术有限公司 | 用户购票行为检测方法以及装置 |
| CN112966732A (zh) * | 2021-03-02 | 2021-06-15 | 东华大学 | 具有周期属性的多因素交互行为异常检测方法 |
| CN113722199A (zh) * | 2021-09-07 | 2021-11-30 | 上海观安信息技术股份有限公司 | 异常行为检测方法、装置、计算机设备及存储介质 |
| US11593816B1 (en) * | 2022-06-23 | 2023-02-28 | Morgan Stanley Services Group Inc. | Integrating fraud telemetry vendor |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109302377B (zh) * | 2018-06-13 | 2021-01-15 | 百度在线网络技术(北京)有限公司 | 一种应用功能实现方法、装置、设备和存储介质 |
| CA3187025A1 (en) * | 2020-08-07 | 2022-02-10 | Joshua Michael JOHNSTON | Techniques for efficient network security for a web server using anomaly detection |
| CN112017005A (zh) * | 2020-08-30 | 2020-12-01 | 北京嘀嘀无限科技发展有限公司 | 服务维护方法、装置、服务器及存储介质 |
| CN112686494B (zh) * | 2020-11-25 | 2024-03-22 | 国网江苏省电力有限公司营销服务中心 | 基于线损异常台区的数据拟合方法、装置及智能设备 |
| CN112738545A (zh) * | 2020-12-28 | 2021-04-30 | 北京蜜莱坞网络科技有限公司 | 直播间分享检测方法、装置、电子设备及存储介质 |
| CN112733015B (zh) * | 2020-12-30 | 2024-06-14 | 绿盟科技集团股份有限公司 | 一种用户行为分析方法、装置、设备及介质 |
| JP2022136708A (ja) * | 2021-03-08 | 2022-09-21 | 富士通株式会社 | 情報処理方法、および情報処理プログラム |
| CN113051311B (zh) * | 2021-03-16 | 2023-07-28 | 鱼快创领智能科技(南京)有限公司 | 一种监测车辆油箱液位异常变化的方法、系统及装置 |
| CN114020996A (zh) * | 2021-09-26 | 2022-02-08 | 武汉斗鱼网络科技有限公司 | 一种识别异常观看用户的方法、装置、介质及计算机设备 |
| CN114221805A (zh) * | 2021-12-13 | 2022-03-22 | 恒安嘉新(北京)科技股份公司 | 一种工业互联网数据的监测方法、装置、设备及介质 |
| CN115208938B (zh) * | 2022-07-06 | 2023-08-01 | 中移互联网有限公司 | 用户行为管控方法及装置、计算机可读存储介质 |
| CN115414033B (zh) * | 2022-11-03 | 2023-02-24 | 京东方艺云(杭州)科技有限公司 | 一种用户用眼行为异常的确定方法及装置 |
| CN116936097B (zh) * | 2023-07-24 | 2024-07-05 | 云南白药集团无锡药业有限公司 | 一种训练灯用户眼部异常运动智能检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
| CN104486298A (zh) * | 2014-11-27 | 2015-04-01 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
| CN105187383A (zh) * | 2015-08-06 | 2015-12-23 | 电子科技大学 | 一种基于通信网络的行为异常检测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150235152A1 (en) * | 2014-02-18 | 2015-08-20 | Palo Alto Research Center Incorporated | System and method for modeling behavior change and consistency to detect malicious insiders |
| JP6410130B2 (ja) * | 2014-05-15 | 2018-10-24 | 株式会社Jsol | 農作物の収穫予測装置、収穫予測システム及び収穫予測方法 |
| JP6416570B2 (ja) * | 2014-09-24 | 2018-10-31 | 富士フイルム株式会社 | 診療支援装置、診療支援装置の作動方法および作動プログラム、並びに診療支援システム |
| US9838409B2 (en) * | 2015-10-08 | 2017-12-05 | Cisco Technology, Inc. | Cold start mechanism to prevent compromise of automatic anomaly detection systems |
| CN106228178A (zh) * | 2016-07-06 | 2016-12-14 | 吴本刚 | 网络用户行为预测系统 |
| CN107481090A (zh) * | 2017-07-06 | 2017-12-15 | 众安信息技术服务有限公司 | 一种用户异常行为检测方法、装置和系统 |
-
2017
- 2017-07-14 CN CN201710577019.6A patent/CN107481090A/zh active Pending
-
2018
- 2018-05-28 HK HK18106968.5A patent/HK1247699A1/zh unknown
- 2018-07-02 JP JP2019519733A patent/JP6841910B2/ja active Active
- 2018-07-02 KR KR1020197010412A patent/KR20190084946A/ko not_active Application Discontinuation
- 2018-07-02 WO PCT/CN2018/094065 patent/WO2019007306A1/zh active Application Filing
- 2018-07-02 SG SG11201904533UA patent/SG11201904533UA/en unknown
-
2019
- 2019-04-04 US US16/375,555 patent/US20190238581A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101753381A (zh) * | 2009-12-25 | 2010-06-23 | 华中科技大学 | 一种检测网络攻击行为的方法 |
| CN104486298A (zh) * | 2014-11-27 | 2015-04-01 | 小米科技有限责任公司 | 识别用户行为的方法及装置 |
| CN105187383A (zh) * | 2015-08-06 | 2015-12-23 | 电子科技大学 | 一种基于通信网络的行为异常检测方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019007306A1 (zh) * | 2017-07-06 | 2019-01-10 | 众安信息技术服务有限公司 | 一种用户异常行为检测方法、装置和系统 |
| CN109818942A (zh) * | 2019-01-07 | 2019-05-28 | 微梦创科网络科技(中国)有限公司 | 一种基于时序特征的用户帐号异常检测方法及装置 |
| CN110675228A (zh) * | 2019-09-27 | 2020-01-10 | 支付宝(杭州)信息技术有限公司 | 用户购票行为检测方法以及装置 |
| CN112966732A (zh) * | 2021-03-02 | 2021-06-15 | 东华大学 | 具有周期属性的多因素交互行为异常检测方法 |
| CN113722199A (zh) * | 2021-09-07 | 2021-11-30 | 上海观安信息技术股份有限公司 | 异常行为检测方法、装置、计算机设备及存储介质 |
| CN113722199B (zh) * | 2021-09-07 | 2024-01-30 | 上海观安信息技术股份有限公司 | 异常行为检测方法、装置、计算机设备及存储介质 |
| US11593816B1 (en) * | 2022-06-23 | 2023-02-28 | Morgan Stanley Services Group Inc. | Integrating fraud telemetry vendor |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019537115A (ja) | 2019-12-19 |
| SG11201904533UA (en) | 2019-08-27 |
| JP6841910B2 (ja) | 2021-03-10 |
| HK1247699A1 (zh) | 2018-09-28 |
| WO2019007306A1 (zh) | 2019-01-10 |
| US20190238581A1 (en) | 2019-08-01 |
| KR20190084946A (ko) | 2019-07-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107481090A (zh) | 一种用户异常行为检测方法、装置和系统 | |
| AU2010314292C1 (en) | Method and system for adapting a session timeout period | |
| CN106548402B (zh) | 资源转移监控方法及装置 | |
| CN108492150B (zh) | 实体热度的确定方法及系统 | |
| CN106874135B (zh) | 用于检测机房故障的方法、装置及设备 | |
| US11777824B2 (en) | Anomaly detection method and apparatus | |
| CN108923972B (zh) | 一种去重流量提示方法、装置、服务器及存储介质 | |
| CN108306846A (zh) | 一种网络访问异常检测方法及系统 | |
| CN112819476A (zh) | 风险识别方法、装置、非易失性存储介质和处理器 | |
| CN115438821A (zh) | 一种智能排队方法和相关装置 | |
| CN110070392B (zh) | 用户流失预警方法和装置 | |
| CN110673973B (zh) | 应用程序编程接口api的异常确定方法和装置 | |
| CN109684546B (zh) | 推荐方法、装置、存储介质及终端 | |
| CN108171570A (zh) | 一种数据筛选方法、装置及终端 | |
| CN107330709B (zh) | 确定目标对象的方法及装置 | |
| CN108830658B (zh) | 信息推送的数据处理方法、装置、电子设备与存储介质 | |
| CN113177837A (zh) | 贷款申请人的贷款额度评估方法、装置、设备及存储介质 | |
| KR102290184B1 (ko) | 프로모션 시점 표시 방법, 장치 및 시스템 | |
| CN115358772A (zh) | 一种交易风险预测方法、装置、存储介质及计算机设备 | |
| CN115130577A (zh) | 一种欺诈号码识别方法、装置及电子设备 | |
| CN114331446A (zh) | 区块链的链外服务实现方法、装置、设备和介质 | |
| CN110738571B (zh) | 一种交易风险控制的方法以及相关装置 | |
| CN114938339A (zh) | 一种数据处理方法和相关装置 | |
| CN109600639B (zh) | 基于用户偏好的用户相似度计算方法、装置、设备及介质 | |
| CN112734121A (zh) | 基于支付数据的信息输出方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1247699 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171215 |
|
| RJ01 | Rejection of invention patent application after publication |