CN109241994A - 一种用户异常行为检测方法、装置、设备及存储介质 - Google Patents
一种用户异常行为检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109241994A CN109241994A CN201810856475.9A CN201810856475A CN109241994A CN 109241994 A CN109241994 A CN 109241994A CN 201810856475 A CN201810856475 A CN 201810856475A CN 109241994 A CN109241994 A CN 109241994A
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- neural networks
- convolutional neural
- matrix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Life Sciences & Earth Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种用户异常行为检测方法、装置、设备及存储介质。其中用户异常行为检测方法,包括:采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵;将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。本发明公开的方法将多种操作行为进行聚合形成行为特征矩阵;使用深度学习进行特征提取;基于用户群体正常行为特征矩阵对卷积神经网络模型进行训练,对用户当前行为进行检测,提高了用户异常操作行为检测的效率和准确率。
Description
技术领域
本发明涉及数据挖掘技术领域,尤其涉及基于卷积神经网络的用户异常行为检测,具体涉及一种用户异常行为检测方法、装置、设备及存储介质。
背景技术
目前用户异常行为检测通常是基于用户的单一行为进行分析,不能很好地反映出现实中用户一系列真实行为的性质。现有的用户异常行为检测在实际应用过程中会产生大量的假报警,导致调查人员花费过多的调查时间,同时也不能较好地覆盖真正的异常事件。另一方面,现有的用户异常行为检测大部分都需要人工提取用户行为的特征,特征提取难度较大;而且检测的细粒度不够,未能较好地考虑用户自身行为以及用户所在群体的行为。
因此,目前迫切需要研究出一种新型的基于卷积神经网络的用户异常行为检测方法。通过这种新型的检测方法,改善或解决上述现有技术中存在的问题,即解决基于用户单一行为进行检测很容易出现误报的情况,难于提取用户行为特征及未能考虑用户群体行为的问题。通过这种新型用户异常行为检测方法能够提高异常行为检测的效率和准确率。
发明内容
为了解决上述现有技术中存在的问题,本发明的目的在于提供一种用户异常行为检测方法、装置、设备及存储介质。
根据本发明的一个方面,提供了一种用户异常行为检测方法,包括:
采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵;
将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
进一步的,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
进一步的,所述数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
进一步的,用户行为的测试矩阵或行为特征矩阵的获取,包括:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
进一步的,所述预设周期为将24小时以一定的时间间隔为单元分割而成的时间段。
进一步的,所述卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
进一步的,所述卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
进一步的,所述用户异常行为检测方法还包括:根据用户所在群体的特性将用户聚类成M个用户群体类型。
根据本发明的另一个方面,提供了一种用户异常行为检测装置,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试矩阵;
检测单元,配置用于将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的特征行为矩阵输入卷积神经网络模型训练所得。
进一步的,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
进一步的,数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
进一步的,采集单元还配置用于:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
进一步的,所述预设周期为将24小时以一定的时间间隔为单元分割而成的时间段。
进一步的,所述卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
进一步的,所述卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
进一步的,所述用户异常行为检测装置还包括:
用户群体分类单元,配置用于根据用户所在群体的特性将用户聚类成M个用户群体类型。
根据本发明的另一个方面,提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上述任一项所述的方法。
根据本发明的另一个方面,提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上述任一项所述的方法。
与现有技术相比,本发明具有以下有益效果:
1、本发明示例的用户异常行为检测方法,通过将用户的多种操作行为进行聚合形成行为矩阵解决了现有技术中仅对单一行为进行分析容易发生误报的问题;使用深度学习进行特征提取解决人工提取特征的痛点;基于用户所在群体正常行为的特征矩阵对卷积神经网络模型进行训练,形成各个用户群体的正常行为基线,对用户当前的异常行为进行检测,从而提高了用户异常操作行为检测的效率和准确率。
2、本发明示例的用户异常行为检测装置,各单元相互配合相互协作,将用户的多种操作行为进行聚合形成行为矩阵解决了现有技术中仅对单一行为进行分析容易发生误报的问题;使用深度学习进行特征提取解决人工提取特征的痛点;基于用户所在群体正常行为的特征矩阵对卷积神经网络模型进行训练,形成各个用户群体的正常行为基线,对用户当前的异常行为进行检测,从而提高了用户异常操作行为检测的效率和准确率,且结构简单,便于后期维护。
3、本发明示例的登录异常检测设备、通过存储有计算机程序的计算机可读介质,便于用户异常行为检测技术的推广。
附图说明
图1为本发明示例的用户异常行为检测方法的流程图。
具体实施方式
下面结合实施例和说明书附图对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
实施例一:
如图1所示,本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
S2、将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
用户当前测试矩阵或行为特征矩阵的获取包括:
(1)分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
(2)根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
本实施例示例的卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
本实施例示例的用户异常行为检测方法还包括根据用户所在群体的特性将用户聚类成M个用户群体类型。
为便于对本发明的理解,对上述用户异常行为检测方法的具体步骤做进一步的描述:
S1、数据处理
S11、数据获取:
预先根据用户所在群体的特性将所需检测的用户聚类成M类用户群体,可定义的范围为同岗位、同部门或同小组。例如,目前需要检测的用户有100个人:可以选择按照岗位进行聚类,可以分为开发岗、财务岗、人力资源岗、安全管理岗、产品推销岗以及产品岗等6个岗位类型,那么M则为6;假设选择按照小组进行聚类,可以分为售前组、售中组、售后组以及后勤组则M为4;假设选择按照部门进行聚类,可以分为开发部门、销售部门以及财务部分则M为3。
获取半年至一年内用户所在群体中每个用户每天多种操作行为的正常数据。用户操作行为例如:登录行为、查询行为、邮件外发行为、移动存储设备数据拷出行为(如u盘数据拷出行为)等N种。用户行为数据的选定与具体需要检测的场景相关,一般应包括登录、操作以及数据外发行为等。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户行为数据,形成数据集,其中数据集中的每个样例都是由N种行为中的一种行为组成的数据。
S12、数据整理:针对所获取的每种用户行为,进行如下处理:
如一天内以a小时为单位,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时区间内外发的数据大小),否则记为0。
例如a=1,则以1个小时为单位进行数据聚合,用户在某天12点内有使用过装置一次,其余时间没有,则记为000000000010000000000000),例如:
表1:用户操作行为记录
根据每种操作行为的次数得到每种操作行为各自在每个时间段内的出现概率。根据操作行为的次数和每种操作行为各自在每个时间段内的出现概率确定每种操作行为的维数,因此,就形成了每个用户每天的正常行为数据集D,通过正常行为数据集D,构成了每个用户每天的正常行为特征矩阵,具体表述如下:
其中,N为设定的操作行为的个数,n为时间段的个数,n=24/a。
S2、模型建立
S21、模型构建:构建一个输入为N*(24/a)矩阵、输出节点为M(每个用户群体为一个类别)的卷积神经网络模型,其中模型的结构为输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层,每层节点的个数按照实际设置。
S22、模型训练:使用正常行为特征矩阵作为样本训练卷积神经网络模型,得到各个用户群体的正常行为基线。
S3、模型应用
S31、数据向量化。将每个测试数据按同样的方式进行向量化:
一天内以a小时为单位采集用户当前操作行为,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时内外发的数据大小),否则记为0,与训练数据构成维度保持一致。
S32、数据应用:
将测试用户的行为矩阵输入到训练好的卷积神经网络模型,若将该用户分类到该用户所在群体类别中,则用户行为正常,反之异常。
本实施例提供了一种用户异常行为检测装置,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试矩阵;还配置用于:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵;
检测单元,配置用于将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
本实施例提供的用户异常行为检测装置还包括:
用户群体分类单元,配置用于根据用户所在群体的特性将用户聚类成M个用户群体类型。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上任一项所述的方法。
实施例二
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
S2、将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
用户当前测试矩阵或行为特征矩阵的获取包括:
(2)分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
(2)根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
本实施例示例的卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
本实施例示例的用户异常行为检测方法还包括根据用户所在群体的特性将用户聚类成M个用户群体类型。
本实施例提供了一种用户异常行为检测装置,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试矩阵;还配置用于:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵;
检测单元,配置用于将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
本实施例提供的用户异常行为检测装置还包括:
用户群体分类单元,配置用于根据用户所在群体的特性将用户聚类成M个用户群体类型。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介
质,该程序被处理器执行时实现如上任一项所述的方法。
实施例三:
本实施例与实施例一相同的特征不再赘述,本实施例与实施例一不同的特征在于:
本实施例提供了一种用户异常行为检测方法,包括以下步骤:
S1、采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵。
所述操作行为包括登录行为、查询行为、数据外发行为。
数据外发行为包括邮件外发行为、移动存储设备数据拷出行为。
S2、将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的历史矩阵输入卷积神经网络模型训练所得。
用户当前测试矩阵或行为特征矩阵的获取包括:
(3)分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
(2)根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
(3)根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
为便于对本发明的理解,对上述用户异常行为检测方法的具体步骤做进一步的描述:
S1、数据处理
S11、数据获取:
预先根据用户所在群体的特性将所需检测的用户聚类成M类用户群体,可定义的范围为同岗位、同部门或同小组。例如,目前需要检测的用户有100个人:可以选择按照岗位进行聚类,可以分为开发岗、财务岗、人力资源岗、安全管理岗、产品推销岗以及产品岗等6个岗位类型,那么M则为6;假设选择按照小组进行聚类,可以分为售前组、售中组、售后组以及后勤组则M为4;假设选择按照部门进行聚类,可以分为开发部门、销售部门以及财务部分则M为3。
获取半年至一年内用户所在群体中每个用户每天多种操作行为的正常数据。用户操作行为例如:登录行为、查询行为、邮件外发行为、移动存储设备数据拷出行为(如u盘数据拷出行为)等N种。用户行为数据的选定与具体需要检测的场景相关,一般应包括登录、操作以及数据外发行为等。N种行为应当够尽量描述用户行为全貌的行为集合。设共获取m条用户行为数据,形成数据集,其中数据集中的每个样例都是由N种行为中的一种行为组成的数据。
S12、数据整理:针对所获取的每种用户行为,进行如下处理:
如一天内以a小时为单位,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时区间内外发的数据大小),否则记为0。
例如a=1,则以1个小时为单位进行数据聚合,用户在某天12点内有使用过装置一次,其余时间没有,则记为000000000010000000000000),例如:
表1:用户操作行为记录
| 用户1 | 0 | … | 9 | … | 12 | … | 23 |
| 登录次数 | 0 | 0 | 0 | 1 | 0 | 0 | |
| 操作数据量 | 0 | 0 | 100 | 0 | 1 | 0 | |
| … | 0 | 0 | 0 | 0 | 5 | 0 | |
| 外发的数据量 | 0 | 0 | 80 | 0 | 0 | 0 |
根据每种操作行为的次数得到每种操作行为各自在每个时间段内的出现概率。根据操作行为的次数和每种操作行为各自在每个时间段内的出现概率确定每种操作行为的维数,因此,就形成了每个用户每天的正常行为数据集D,通过正常行为数据集D,构成了每个用户每天的正常行为特征矩阵,具体表述如下:
其中,N为设定的操作行为的个数,n为时间段的个数,n=24/a。
S2、模型建立
S21、模型构建:构建一个输入为N*(24/a)矩阵、输出节点为M(每个用户群体为一个类别)的卷积神经网络模型,其中模型的结构为输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层,每层节点的个数按照实际设置。
S22、模型训练:使用正常行为特征矩阵作为样本训练卷积神经网络模型,得到各个用户群体的正常行为基线。
S3、模型应用
S31、数据向量化。将每个测试数据按同样的方式进行向量化:
一天内以a小时为单位采集用户当前操作行为,若在小时区间内有该行为则记录该行为发生的次数(或操作的流量大小,例如在该小时内外发的数据大小),否则记为0,与训练数据构成维度保持一致。
S32、数据应用:
将测试用户的行为矩阵输入到训练好的卷积神经网络模型,若将该用户分类到该用户所在群体类别中,则用户行为正常,反之异常。
本实施例提供了一种用户异常行为检测装置,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试矩阵;还配置用于:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵;
检测单元,配置用于将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
本实施例提供的用户异常行为检测装置还包括:
用户群体分类单元,配置用于根据用户所在群体的特性将用户聚类成M个用户群体类型。
本实施例还提供了一种设备,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如上任一项所述的方法。
本实施例还提供了一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上任一项所述的方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能。
Claims (16)
1.一种用户异常行为检测方法,其特征在于,包括:
采集用户当前操作行为进行聚合形成用户当前行为的测试矩阵;
将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
2.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
3.根据权利要求2所述的用户异常行为检测方法,其特征在于,所述数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
4.根据权利要求1所述的用户异常行为检测方法,其特征在于,用户行为的测试矩阵或行为特征矩阵的获取,包括:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
5.根据权利要求1所述的用户异常行为检测方法,其特征在于,
所述卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
6.根据权利要求5所述的用户异常行为检测方法,其特征在于,
所述卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
7.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述用户异常行为检测方法还包括:
根据用户所在群体的特性将用户聚类成M个用户群体类型。
8.一种用户异常行为检测装置,其特征在于,包括:
采集单元,配置用于采集用户当前操作行为进行聚合形成用户当前的测试矩阵;
检测单元,配置用于将所述测试矩阵输入训练后的卷积神经网络模型中判断用户类型,若用户类型与预设置的用户群体类型不符,则判断用户当前操作行为存在异常;
其中,训练后的卷积神经网络模型为将采集用户的历史正常操作行为聚合形成的行为特征矩阵输入卷积神经网络模型训练所得。
9.根据权利要求8所述的用户异常行为检测装置,其特征在于,所述操作行为包括登录行为、查询行为、数据外发行为中的至少一项。
10.根据权利要求9所述的用户异常行为检测装置,其特征在于,所述数据外发行为包括邮件外发行为和/或移动存储设备数据拷出行为。
11.根据权利要求8所述的用户异常行为检测装置,其特征在于,采集单元还配置用于:
分别统计预设周期内用户当前操作行为或历史正常操作行为出现的次数;
根据所述操作行为的次数得到各操作行为各自在所述预设周期内的出现概率;
根据操作行为的次数及各操作行为各自在所述预设周期内的出现概率确定各操作行为的维数,并形成用户当前测试矩阵或行为特征矩阵。
12.根据权利要求8所述的用户异常行为检测装置,其特征在于,
所述卷积神经网络模型包括输入层-卷积层-池化层-卷积层-池化层-卷积层-池化层-全连接层-softmax层。
13.根据权利要求12所述的用户异常行为检测装置,其特征在于,
所述卷积神经网络模型的输入矩阵的行数与操作行为的项数相同,所述卷积神经网络模型的输入矩阵的列数与预设周期的个数相同,所述卷积神经网络的输出节点与预设置的用户群体类型个数相同。
14.根据权利要求8所述的用户异常行为检测装置,其特征在于,所述用户异常行为检测装置还包括:
用户群体分类单元,配置用于根据用户所在群体的特性将用户聚类成M个用户群体类型。
15.一种设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1-7中任一项所述的方法。
16.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856475.9A CN109241994A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810856475.9A CN109241994A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109241994A true CN109241994A (zh) | 2019-01-18 |
Family
ID=65073292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810856475.9A Pending CN109241994A (zh) | 2018-07-31 | 2018-07-31 | 一种用户异常行为检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109241994A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110075524A (zh) * | 2019-05-10 | 2019-08-02 | 腾讯科技(深圳)有限公司 | 异常行为检测方法和装置 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| CN111160570A (zh) * | 2019-12-31 | 2020-05-15 | 山东浪潮人工智能研究院有限公司 | 用于预测性维护的基于卷积算子的特征构造方法及系统 |
| CN111723825A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种客户信息查询异常行为检测方法和装置 |
| CN111723118A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种运单查询异常行为检测方法和装置 |
| CN115511124A (zh) * | 2022-09-27 | 2022-12-23 | 上海网商电子商务有限公司 | 一种基于售后维修记录的客户分级方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504400A (zh) * | 2015-01-08 | 2015-04-08 | 中国科学院重庆绿色智能技术研究院 | 一种基于在线行为建模的驾驶员异常行为检测方法 |
| CN107229557A (zh) * | 2017-06-26 | 2017-10-03 | 微鲸科技有限公司 | 异常点击检测方法及装置、点击量统计方法及装置 |
| CN107330731A (zh) * | 2017-06-30 | 2017-11-07 | 北京京东尚科信息技术有限公司 | 一种识别广告位点击异常的方法和装置 |
| WO2018008593A1 (ja) * | 2016-07-04 | 2018-01-11 | 日本電気株式会社 | 画像診断学習装置、画像診断装置、方法およびプログラムを格納する記憶媒体 |
-
2018
- 2018-07-31 CN CN201810856475.9A patent/CN109241994A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104504400A (zh) * | 2015-01-08 | 2015-04-08 | 中国科学院重庆绿色智能技术研究院 | 一种基于在线行为建模的驾驶员异常行为检测方法 |
| WO2018008593A1 (ja) * | 2016-07-04 | 2018-01-11 | 日本電気株式会社 | 画像診断学習装置、画像診断装置、方法およびプログラムを格納する記憶媒体 |
| CN107229557A (zh) * | 2017-06-26 | 2017-10-03 | 微鲸科技有限公司 | 异常点击检测方法及装置、点击量统计方法及装置 |
| CN107330731A (zh) * | 2017-06-30 | 2017-11-07 | 北京京东尚科信息技术有限公司 | 一种识别广告位点击异常的方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111723825A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种客户信息查询异常行为检测方法和装置 |
| CN111723118A (zh) * | 2019-03-18 | 2020-09-29 | 顺丰科技有限公司 | 一种运单查询异常行为检测方法和装置 |
| CN110075524A (zh) * | 2019-05-10 | 2019-08-02 | 腾讯科技(深圳)有限公司 | 异常行为检测方法和装置 |
| CN110427971A (zh) * | 2019-07-05 | 2019-11-08 | 五八有限公司 | 用户及ip的识别方法、装置、服务器和存储介质 |
| CN111160570A (zh) * | 2019-12-31 | 2020-05-15 | 山东浪潮人工智能研究院有限公司 | 用于预测性维护的基于卷积算子的特征构造方法及系统 |
| CN115511124A (zh) * | 2022-09-27 | 2022-12-23 | 上海网商电子商务有限公司 | 一种基于售后维修记录的客户分级方法 |
| CN115511124B (zh) * | 2022-09-27 | 2023-04-18 | 上海网商电子商务有限公司 | 一种基于售后维修记录的客户分级方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109241994A (zh) | 一种用户异常行为检测方法、装置、设备及存储介质 | |
| Liu et al. | The effect of sample size on the accuracy of species distribution models: considering both presences and pseudo‐absences or background sites | |
| Gogol-Prokurat | Predicting habitat suitability for rare plants at local spatial scales using a species distribution model | |
| CN106570513B (zh) | 大数据网络系统的故障诊断方法和装置 | |
| Isaac et al. | Statistics for citizen science: extracting signals of change from noisy ecological data | |
| Cohen et al. | Floristic quality indices for biotic assessment of depressional marsh condition in Florida | |
| Williams et al. | An integrated data model to estimate spatiotemporal occupancy, abundance, and colonization dynamics | |
| Fernández‐Martínez et al. | The consecutive disparity index, D: a measure of temporal variability in ecological studies | |
| Clements et al. | Factors influencing the detectability of early warning signals of population collapse | |
| Sollmann et al. | An open‐population hierarchical distance sampling model | |
| Mitchell et al. | Bayesian model selection with BAMM: effects of the model prior on the inferred number of diversification shifts | |
| CN110443274A (zh) | 异常检测方法、装置、计算机设备及存储介质 | |
| Wilson et al. | Bayesian reliability: Combining information | |
| Wright et al. | A goodness‐of‐fit test for occupancy models with correlated within‐season revisits | |
| CN110336838B (zh) | 账号异常检测方法、装置、终端及存储介质 | |
| Regan et al. | Testing decision rules for categorizing species’ extinction risk to help develop quantitative listing criteria for the US Endangered Species Act | |
| Hostetter et al. | An integrated model decomposing the components of detection probability and abundance in unmarked populations | |
| CN106682507B (zh) | 病毒库的获取方法及装置、设备、服务器、系统 | |
| Podlaski | Forest modelling: the gamma shape mixture model and simulation of tree diameter distributions | |
| Erickson et al. | Accounting for imperfect detection in data from museums and herbaria when modeling species distributions: combining and contrasting data‐level versus model‐level bias correction | |
| da Fonseca Silveira et al. | Educational data mining: Analysis of drop out of engineering majors at the UnB-Brazil | |
| Baker et al. | The power to detect regional declines in common bird populations using continental monitoring data | |
| Weiser et al. | Consequences of ignoring spatial variation in population trend when conducting a power analysis | |
| Staudhammer et al. | Assessing methods for comparing species diversity from disparate data sources: the case of urban and peri‐urban forests | |
| Mahard et al. | An evaluation of hunter surveys to monitor relative abundance of bobcats |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190118 |
|
| RJ01 | Rejection of invention patent application after publication |