CN109509327B - 一种异常行为预警方法及装置 - Google Patents
一种异常行为预警方法及装置 Download PDFInfo
- Publication number
- CN109509327B CN109509327B CN201811285740.9A CN201811285740A CN109509327B CN 109509327 B CN109509327 B CN 109509327B CN 201811285740 A CN201811285740 A CN 201811285740A CN 109509327 B CN109509327 B CN 109509327B
- Authority
- CN
- China
- Prior art keywords
- target
- early warning
- preset
- clustering
- abnormal behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G08—SIGNALLING
- G08B—SIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
- G08B21/00—Alarms responsive to a single specified undesired or abnormal condition and not otherwise provided for
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
Landscapes
- Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Business, Economics & Management (AREA)
- Emergency Management (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供了一种异常行为预警方法及装置,方法包括:获得目标用户的实时数据;查找聚类库,得到目标用户所对应的各目标聚类中心点;基于各目标聚类中心点,对实时数据进行离群点检测,若检测到离群点,则基于离群点生成预警消息;根据离群点与各目标聚类中心点之间的距离,确定离群点所属的目标异常行为类别;查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;将预警消息和目标预警方案发送至目标预警处理终端,以使持有目标预警处理终端的目标预警处理人员按照目标预警方案进行预警处理。应用本发明实施例,实现了对异常行为及时进行预警处理,提高了社会安全性。
Description
技术领域
本发明涉及安全防护领域,尤其涉及一种异常行为预警方法及装置。
背景技术
异常行为通常是指:1)小概率行为;2)与已知正常行为规则相反或不匹配的行为。通过分析异常行为,可以发现潜在的或已经发生的社会安全事件,有利于维护社会安定。
现有的异常行为通常是事发时或者接到报警后才发现的,往往不够及时,为了维护社会的安定,需要对异常行为进行预警,以在不法行为发生之前,及时对其制止。目前,关于异常行为预警的相关方法较少,因此,亟需研究一种异常行为预警方法。
发明内容
本发明的目的在于克服现有技术之缺陷,提供了一种异常行为预警方法及装置,以实现对异常行为及时进行预警处理,提高社会安全性。
本发明是这样实现的:
第一方面,本发明提供一种异常行为预警方法,所述方法包括:
获得目标用户的实时数据;
查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理。
可选的,所述方法还包括:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;
判断所述预警方案评分值是否低于第一预设评分值;
若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案。
可选的,所述反馈消息还包括异常行为类别评分值,所述方法还包括;
判断所述异常行为类别评分值是否低于第二预设评分值;
若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点。
可选的,根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,包括:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
可选的,用户的历史数据和实时数据均包括时间段、用户所处位置的经度和纬度。
第二方面,本发明提供一种异常行为预警装置,所述装置包括:
获得模块,用于获得目标用户的实时数据;
第一查找模块,用于查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
检测模块,用于基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
第二查找模块,用于查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
发送模块,用于将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理。
可选的,所述装置还包括第一调整模块,用于:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;
判断所述预警方案评分值是否低于第一预设评分值;
若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案。
可选的,所述反馈消息还包括异常行为类别评分值,所述装置还包括第二调整模块,用于;
判断所述异常行为类别评分值是否低于第二预设评分值;
若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点。
可选的,所述检测模块根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,具体为:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
可选的,用户的历史数据和实时数据均包括时间段、用户所处位置的经度和纬度。
本发明具有以下有益效果:应用本发明实施例,首先,获得目标用户的实时数据;进而,查找聚类库,得到目标用户所对应的各目标聚类中心点;基于各目标聚类中心点,对目标用户的实时数据进行离群点检测,若检测到离群点,则基于离群点生成预警消息;根据离群点与各目标聚类中心点之间的距离,确定离群点所属的目标异常行为类别;查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;将预警消息和目标预警方案发送至目标预警处理终端,以使持有目标预警处理终端的目标预警处理人员按照目标预警方案进行预警处理。
可见,应用本发明实施例,可以基于离群点生成预警消息,并可以将预警消息以及目标预警方案发送至目标预警处理终端,以使持有目标预警处理终端的目标预警处理人员按照目标预警方案进行预警处理,实现了对异常行为及时进行预警处理,提高社会安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的异常行为预警方法的一种流程示意图;
图2为本发明实施例提供的异常行为预警装置的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
需要说明的是,本发明所提供的异常行为预警方法可以应用于电子设备,其中,在具体应用中,该电子设备可以为计算机、服务器、个人电脑、平板、手机等等,这都是合理的。
参见图1,本发明实施例提供一种异常行为预警方法,方法包括如下步骤:
S101、获得目标用户的实时数据;
可以从车辆卡口、基站、无线接入点设备、用于管理酒店网络数据的服务器、上网设备等数据采集设备获取目标用户的实时数据,目标用户可以是待监控的用户,目标用户可以有一个或多个。
目标用户的历史数据和实时数据均可以包括目标用户所处的位置和时间信息,位置可以包括经度和纬度,时间信息可以包括时间段、周数和是否为节假日,可以预先将一天分成几个时间段,目标用户当前所处时间所属的时间段即为所获得的实时数据中的时间段,周数可以是指一年中的第几周,节假日包括春节、清明节、劳动节等国家指定节假日。
当目标用户处于数据采集设备附近时,数据采集设备可以采集到目标用户的数据,故可以认为目标用户所处的位置即为数据采集设备所处的位置,目标用户所处的时间段即为数据采集设备采集的实时数据的时间段。例如,车辆卡口可以采集车辆信息,车辆信息包括车辆通过车辆卡口的时间、车辆内的人员、车辆行驶轨迹等信息,当车辆卡口采集到车辆信息后,可以通过车辆信息可以确定车辆内的人员信息,若车辆内包括目标用户,则将车辆卡口所处位置的经度和纬度作为目标用户所处的经度和纬度,将采集到车辆信息的时间所属的时间段,作为目标用户所处的时间段。
S102、查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
聚类库中可以存储多个用户的聚类中心点,每一用户可以具有一个或多个聚类中心点,可以通过以下方式得到每一用户所对应的各聚类中心点:
第一步、获取用户的历史数据,将所获取的每一历史数据作为每一样本点,利用以下公式计算每一样本点的密度指标:
其中,Di表示第i个样本点的密度指标;N表示样本点的总数;xi、yi、zi分别表示第i个样本点的纬度、经度和时间段;rax表示预设的纬度聚类半径,ray表示预设的经度聚类半径,raz表示预设的时间段聚类半径。rax、ray、raz可以均为正数。
第二步、选取密度指标最大的样本点作为第一个聚类中心点;
第三步、令Xck为第k次选出的聚类中心点,Dck为Xck的密度指标,用以下修正公式修正其余样本点的密度指标:
其中,Di表示第i个样本点的密度指标,xi、yi、zi分别表示第i个样本点的纬度、经度和时间段,xck、yck、zck分别表示Xck的纬度、经度和时间段,rbx、rby、rbz分别表示预设的纬度削减影响范围、预设的经度削减影响范围和预设的时间段削减影响范围。rbx、rby、rbz可以均为正数,分别用于定义密度指标函数受纬度、经度和时间段变化而显著减小的领域。可以看出,靠近第一个聚类中心点Xc1的样本点的密度指标显著减小,故第一个聚类中心点不可能成为下一个聚类中心点。一般而言,rbx、rby、rbz分别大于rax、ray、raz,可以根据设计人员的经验事先设定,本发明对具体值不做限定。
第四步、选取修正后的密度指标最大的样本点作为第k+1个聚类中心点,判断Dck+1与Dck的比值是否小于预设比值,若不小于,则返回执行第三步,直至Dck+1与Dck的比值小于预设比值。
Dck+1表示作为第k+1个聚类中心点的样本点的密度指标,Dck表示作为第k个聚类中心点的样本点的密度指标。预设阈值可以根据设计人员的经验事先设定。预设比值越大,所产生的聚类中心越多,预设比值越小,所产生的聚类中心越少。
通过作为聚类中心点的样本点的数据,可以反映目标用户的正常行为规律。
例如,聚类中心点为样本点A,样本点A可以包括以下数据:目标用户姓名为李四、时间段8:00-9:00、东经113°41′、北纬29°58′、每周连续检测到的次数不少于5次,则可以反映出目标用户李四的正常行为规律为:每周不少于5次,在早晨8:00-9:00出现武汉(东经113°41′和北纬29°58′属于武汉范围的)。
S103、基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
可以利用离群点检测算法,对目标用户的实时数据进行离群点检测,本发明对具体采用的离群点检测算法不做限定,例如可以为基于距离的离群点检测算法、基于密度的离群点检测算法、基于聚类的算法等等。通过对目标用户的实时数据进行离群点检测,可以检测出实时数据中是否存在离群点。可以将离群点看成是一个异常数据,它显著不同于其他正常数据,可以反映出目标用户是否做出异常行为。
示例性的,可以采用以下方式检测所获取的实时数据中是否存在离群点:
步骤一:将所获取的实时数据作为待检测点,用以下公式计算待检测点与各目标聚类中心点之间的距离:
dist(p,o)表示p和o之间的距离,p表示某一目标聚类中心点,o表示待检测点,xp、yp和zp分别表示目标聚类中心点p的纬度、经度和时间段;xo、yo和zo分别表示待检测点o的纬度、经度和时间段。
步骤二:遍历各目标聚类中心点与待检测点之间的距离,统计距离大于预设距离阈值的数量,若数量大于预设数量阈值,则判定待检测点为离群点。
预设距离阈值、预设数量阈值可以根据设计人员的经验事先设定。
例如,总共有10个目标聚类中心点,预设数量阈值为5,预设距离阈值为3,若有6/7/8/9/10个目标聚类中心点与待检测点之间的距离大于3,则判定待检测点为离群点。
若检测到离群点,表明目标用户做出了异常行为,从而可以基于所述离群点生成预警消息。例如,作为离群点的实时数据中包括以下信息:目标用户的姓名为王五、时间段为22:00-23:00、东经113°41′、北纬29°58′,则基于前述信息生成预警消息,预警消息可以包括前述内容,或者预警消息中还可以包括目标用户的姓名为王五的家庭住址、身份证号码等等信息。
本发明具体生成消息的方式不做限定,例如,可以采用基于JSON(JavaScriptObject Notation,JS对象简谱)的消息生成方式,或者,也可以采用基于DOM(Document Object Model,文档对象模型)的消息生成方式。
一种实现方式中,根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,可以包括以下步骤:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
预设第一阈值、预设第二阈值和预设第三阈值可以预先设定,再此不做限定。预设第一阈值应小于预设第二阈值,预设第二阈值应小于预设第三阈值。
或者,在另一种实现方式中,还可以根据各目标聚类中心点的密度指标给各目标聚类中心点赋予权重因子,进而,基于各目标聚类中心点的权重因子,计算离群点与各目标聚类中心点之间的距离的加权平均值,最后根据上述判断原则判定所述离群点所属的目标异常行为类别。本发明对赋予权重因子的方式不做限定,例如可以目标聚类中心点的密度指标越大,则目标聚类中心点的权重因子越大,可以用随机函数随机生成权重因子,从大到小将权重因子依次赋给密度指标从大到小的各目标聚类中心点。或者,也可以预先设置各权重因子,从而直接将预设的各权重因子按照从大到小的顺序,依次赋给密度指标从大到小的各目标聚类中心点。
S104、查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
第一关系表和第二关系表均可以是数据表,本发明对第一关系表和第二关系表的类型不做限定,例如可以是MySQL数据表,也可以是Access数据表、Excel数据表等。电子设备(本发明的执行主体)中可以预先存储第一关系表和第二关系表,每个用户可以对应一个或多个预警处理终端,可以预先建立用户与预警处理终端之间的对应关系,进而将该对应关系记录至第一关系表;同样的,每种异常行为类别可以对应一个或多个预警方案,可以预先建立异常行为类别和预警方案之间的对应关系,并用第二关系表存储该对应关系。
预警处理终端可以是手机、平板或者其他手持式终端,预警处理终端可以接收预警消息以及预警方案,目标预警终端是目标用户所对应的预警处理终端。
本发明对预警方案的具体内容不做限定,例如,预警方案可以包括去目标用户家里做家访、或者去目标用户当前所处的位置实地考察、或者去目标用户经常去的位置坐实地考察等等。
S105、将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理。
示例性的,预警消息包括可以以下内容:目标用户的姓名为王五、时间段为22:00-23:00、东经113°41′、北纬29°58′,目标预警方案为:去目标用户家里做家访,则目标预警处理人员按照目标预警方案去目标用户王五的家里做家访。
可见,应用本发明实施例提供的技术方案,可以获得目标用户的实时数据,若针对实时数据检测到离群点,则可以及时生成预警消息,并可以将预警消息以及目标预警方案发送至目标预警处理终端,以使持有目标预警处理终端的目标预警处理人员按照目标预警方案进行预警处理,从而,实现了对异常行为及时进行预警处理,提高社会安全性。
为了提高方法的准确性和可靠性,一种实现方式中,所述方法还包括以下步骤:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;
判断所述预警方案评分值是否低于第一预设评分值;
若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案。
目标预警处理人员在通过目标预警处理终端看到目标预警方案后,或者在按照目标预警方案进行预警处理后,可以通过目标预警处理终端对该目标预警方案进行评分;
若目标预警处理人员感觉该目标预警方案适用于处理该类异常行为,则可以给出较高的预警方案评分值,以使预警方案评分值高于第一预设评分值,从而无需调整第二关系表中目标异常行为类别所对应的目标预警方案;若目标预警处理人员感觉该目标预警方案不适用于处理该类异常行为,则可以给出较低的预警方案评分值,以使预警方案评分值低于第一预设评分值,从而可以调整第二关系表中目标异常行为类别所对应的目标预警方案。
应用本发明实施例,可以根据反馈信息调整第二关系表中目标异常行为类别所对应的目标预警方案,从而可以根据实际情况,更改第二关系表中对应关系,提高了第二关系表的准确性和可靠性,有利于下次更准确的确定出目标预警方案。
又一种实现方式中,为了进一步提高方法的准确性和可靠性,所述反馈消息还包括异常行为类别评分值,所述方法还包括;
判断所述异常行为类别评分值是否低于第二预设评分值;
若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点。
第一预设评分值和第二预设评分值均可以事先设定,二者可以相同,也可以不同,本发明对二者的具体数值不做限定,例如,可以分别为:50和50;或者,60和70等等。
应用本发明实施例,可以根据反馈信息调整聚类库中的各目标聚类中心点,从而可以根据实际情况,更改聚类库中目标用户与各目标聚类中心点之间的对应关系,提高了聚类库的准确性和可靠性,有利于下次更准确的确定出各目标聚类中心点,进而有利于下次更准确的确定出目标异常行为类别。
在另一种实现方式中,若所述异常行为类别评分值低于第二预设评分值,则可以调整前述预设第一阈值、预设第二阈值、预设第三阈值,以便下次更准确的确定出异常行为类别。或者,还可以调整rax、ray、raz、rbx、rby、rbz中的至少一个值,从而重新调整聚类库中的聚类中心点,以便下次更准确的确定出异常行为类别。当然还可以采用其他合理的方式,在此不再一一赘述。
与上述的方法实施例相对应,本发明实施例还提供一种异常行为预警装置。
参见图2,图2为本发明实施例所提供的一种异常行为预警装置的结构示意图,装置包括:
获得模块201,用于获得目标用户的实时数据;
第一查找模块202,用于查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
检测模块203,用于基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
第二查找模块204,用于查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
发送模块205,用于将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理。
可见,应用本发明实施例,可以基于离群点生成预警消息,并可以将预警消息以及目标预警方案发送至目标预警处理终端,以使持有目标预警处理终端的目标预警处理人员按照目标预警方案进行预警处理,实现了对异常行为及时进行预警处理,提高社会安全性。
可选的,所述装置还包括第一调整模块,用于:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;
判断所述预警方案评分值是否低于第一预设评分值;
若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案。
可选的,所述反馈消息还包括异常行为类别评分值,所述装置还包括第二调整模块,用于;
判断所述异常行为类别评分值是否低于第二预设评分值;
若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点。
可选的,所述检测模块根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,具体为:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
可选的,用户的历史数据和实时数据均包括时间段、用户所处位置的经度和纬度。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种异常行为预警方法,其特征在于,所述方法包括:
获得目标用户的实时数据;
查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理;
所述方法还包括:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;判断所述预警方案评分值是否低于第一预设评分值;若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案;
判断所述异常行为类别评分值是否低于第二预设评分值;若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点;
其中,聚类库中可以存储多个用户的聚类中心点,每一用户可以具有一个或多个聚类中心点,通过以下方式得到每一用户所对应的各聚类中心点:
第一步、获取用户的历史数据,将所获取的每一历史数据作为每一样本点,利用以下公式计算每一样本点的密度指标:
其中,Di表示第i个样本点的密度指标;N表示样本点的总数;xi、yi、zi分别表示第i个样本点的纬度、经度和时间段;rax表示预设的纬度聚类半径,ray表示预设的经度聚类半径,raz表示预设的时间段聚类半径;
第二步、选取密度指标最大的样本点作为第一个聚类中心点;
第三步、令Xck为第k次选出的聚类中心点,Dck为Xck的密度指标,用以下修正公式修正其余样本点的密度指标:
其中,Di表示第i个样本点的密度指标,xi、yi、zi分别表示第i个样本点的纬度、经度和时间段,xck、yck、zck分别表示Xck的纬度、经度和时间段,rbx、rby、rbz分别表示预设的纬度削减影响范围、预设的经度削减影响范围和预设的时间段削减影响范围;
第四步、选取修正后的密度指标最大的样本点作为第k+1个聚类中心点,判断Dck+1与Dck的比值是否小于预设比值,若不小于,则返回执行第三步,直至Dck+1与Dck的比值小于预设比值;
Dck+1表示作为第k+1个聚类中心点的样本点的密度指标,Dck表示作为第k个聚类中心点的样本点的密度指标;
通过作为聚类中心点的样本点的数据,反映目标用户的正常行为规律。
2.根据权利要求1所述的方法,其特征在于,根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,包括:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
3.根据权利要求1所述的方法,其特征在于,用户的历史数据和实时数据均包括时间段、用户所处位置的经度和纬度。
4.一种异常行为预警装置,其特征在于,所述装置包括:
获得模块,用于获得目标用户的实时数据;
第一查找模块,用于查找聚类库,得到所述目标用户所对应的各目标聚类中心点;其中,所述聚类库用于存储各用户所对应的各聚类中心点;每一用户所对应的各聚类中心点是利用聚类算法对该用户的历史数据进行聚类所得的;
检测模块,用于基于所获得的各目标聚类中心点,对所述目标用户的实时数据进行离群点检测,若检测到离群点,则基于所述离群点生成预警消息;根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别;
第二查找模块,用于查找预设的第一关系表,得到目标用户对应的目标预警处理终端;查找预设的第二关系表,得到目标异常行为类别所对应的目标预警方案;其中,第一关系表用于存储用户与预警处理终端之间的对应关系;第二关系表用于存储异常行为类别与预警方案之间的对应关系;
发送模块,用于将所述预警消息以及目标预警方案发送至所述目标预警处理终端,以使持有所述目标预警处理终端的目标预警处理人员按照所述目标预警方案进行预警处理;
其中,所述装置还包括第一调整模块,用于:
接收所述预警处理终端针对所述预警消息发送的反馈消息;所述反馈消息包括预警方案评分值;判断所述预警方案评分值是否低于第一预设评分值;若低于,则调整所述第二关系表中目标异常行为类别所对应的目标预警方案;
所述反馈消息还包括异常行为类别评分值,所述装置还包括第二调整模块,用于;
判断所述异常行为类别评分值是否低于第二预设评分值;若所述异常行为类别评分值低于第二预设评分值,则获得所述目标用户的最新历史数据,对所述最新历史数据进行聚类,得到目标用户所对应的各最新聚类中心;用所述各最新聚类中心更新所述聚类库中的各目标聚类中心点;
其中,聚类库中可以存储多个用户的聚类中心点,每一用户可以具有一个或多个聚类中心点,通过以下方式得到每一用户所对应的各聚类中心点:
第一步、获取用户的历史数据,将所获取的每一历史数据作为每一样本点,利用以下公式计算每一样本点的密度指标:
其中,Di表示第i个样本点的密度指标;N表示样本点的总数;xi、yi、zi分别表示第i个样本点的纬度、经度和时间段;rax表示预设的纬度聚类半径,ray表示预设的经度聚类半径,raz表示预设的时间段聚类半径;
第二步、选取密度指标最大的样本点作为第一个聚类中心点;
第三步、令Xck为第k次选出的聚类中心点,Dck为Xck的密度指标,用以下修正公式修正其余样本点的密度指标:
其中,Di表示第i个样本点的密度指标,xi、yi、zi分别表示第i个样本点的纬度、经度和时间段,xck、yck、zck分别表示Xck的纬度、经度和时间段,rbx、rby、rbz分别表示预设的纬度削减影响范围、预设的经度削减影响范围和预设的时间段削减影响范围;
第四步、选取修正后的密度指标最大的样本点作为第k+1个聚类中心点,判断Dck+1与Dck的比值是否小于预设比值,若不小于,则返回执行第三步,直至Dck+1与Dck的比值小于预设比值;
Dck+1表示作为第k+1个聚类中心点的样本点的密度指标,Dck表示作为第k个聚类中心点的样本点的密度指标;
通过作为聚类中心点的样本点的数据,反映目标用户的正常行为规律。
5.根据权利要求4所述的装置,其特征在于,所述检测模块根据所述离群点与各目标聚类中心点之间的距离,确定所述离群点所属的目标异常行为类别,具体为:
计算离群点与各目标聚类中心点之间的距离的平均值;
当所述平均值大于预设第一阈值且不大于预设第二阈值时,确定所述离群点所属的目标异常行为类别为时间异常;
当所述平均值大于所述预设第二阈值且不大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为地点异常;
当所述平均值大于预设第三阈值时,确定所述离群点所属的目标异常行为类别为时间异常且地点异常。
6.根据权利要求4所述的装置,其特征在于,用户的历史数据和实时数据均包括时间段、用户所处位置的经度和纬度。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811285740.9A CN109509327B (zh) | 2018-10-31 | 2018-10-31 | 一种异常行为预警方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811285740.9A CN109509327B (zh) | 2018-10-31 | 2018-10-31 | 一种异常行为预警方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109509327A CN109509327A (zh) | 2019-03-22 |
CN109509327B true CN109509327B (zh) | 2020-11-24 |
Family
ID=65747189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811285740.9A Active CN109509327B (zh) | 2018-10-31 | 2018-10-31 | 一种异常行为预警方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109509327B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110363381B (zh) * | 2019-05-31 | 2023-12-22 | 创新先进技术有限公司 | 一种信息处理方法和装置 |
CN110991461B (zh) * | 2019-10-29 | 2021-05-25 | 重庆特斯联智慧科技股份有限公司 | 一种智能提取的重点安保目标发掘方法与系统 |
CN111460246B (zh) * | 2019-12-19 | 2020-12-08 | 南京柏跃软件有限公司 | 基于数据挖掘和密度检测的实时活动异常人员发现方法 |
CN111127825A (zh) * | 2019-12-25 | 2020-05-08 | 深圳供电局有限公司 | 环境预测方法和装置、电子设备 |
CN111506829B (zh) * | 2020-03-20 | 2023-08-25 | 微梦创科网络科技(中国)有限公司 | 一种异常关注行为批量实时识别方法及装置 |
CN113745671A (zh) * | 2020-05-29 | 2021-12-03 | 比亚迪股份有限公司 | 电池热管理方法、装置、介质和设备 |
CN111882833B (zh) * | 2020-07-21 | 2021-09-21 | 华润电力唐山丰润有限公司 | 基于离群参数的设备故障预警方法、装置、设备及介质 |
CN111859056B (zh) * | 2020-07-31 | 2023-08-29 | 中国工商银行股份有限公司 | 数据处理方法、装置、电子设备和介质 |
CN112346934A (zh) * | 2020-11-10 | 2021-02-09 | 深圳市康必达控制技术有限公司 | 一种智能告警方法 |
CN112685204B (zh) * | 2020-12-29 | 2024-03-05 | 北京中科闻歌科技股份有限公司 | 一种基于异常检测的社交机器人检测方法及装置 |
CN113282639B (zh) * | 2021-04-27 | 2022-08-05 | 深圳市中燃科技有限公司 | 燃气泄露数据监控方法、系统、智能终端及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106156362A (zh) * | 2016-08-01 | 2016-11-23 | 陈包容 | 一种针对预警提示自动提供解决方案的方法及装置 |
CN106627421A (zh) * | 2016-11-21 | 2017-05-10 | 国网山东省电力公司电力科学研究院 | 具有预警分析功能的电动汽车高速公路救援系统及方法 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
CN107729799A (zh) * | 2017-06-13 | 2018-02-23 | 银江股份有限公司 | 基于深度卷积神经网络的人群异常行为视觉检测及分析预警系统 |
CN108614895A (zh) * | 2018-05-10 | 2018-10-02 | 中国移动通信集团海南有限公司 | 异常的数据访问行为的识别方法及数据处理装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104268481A (zh) * | 2014-10-10 | 2015-01-07 | 中国联合网络通信集团有限公司 | 一种实现智能手机预警的方法及装置 |
EP3258333A1 (en) * | 2016-06-17 | 2017-12-20 | Siemens Aktiengesellschaft | Method and system for monitoring sensor data of rotating equipment |
CN106209817B (zh) * | 2016-07-01 | 2019-01-22 | 广东新世立农业科技有限公司 | 基于大数据和可信计算的信息网络安全自防御系统 |
EP3513319B1 (en) * | 2016-09-15 | 2021-11-24 | Oracle International Corporation | Automatic partitioning of stream data for shapes |
CN106790186B (zh) * | 2016-12-30 | 2020-04-24 | 中国人民解放军信息工程大学 | 基于多源异常事件关联分析的多步攻击检测方法 |
CN107196953B (zh) * | 2017-06-14 | 2020-05-08 | 上海境领信息科技有限公司 | 一种基于用户行为分析的异常行为检测方法 |
CN107977771B (zh) * | 2017-11-07 | 2021-05-07 | 国家电网公司 | 一种基于多元聚类模型与两阶段聚类修正算法的变电站特性分析方法 |
-
2018
- 2018-10-31 CN CN201811285740.9A patent/CN109509327B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106156362A (zh) * | 2016-08-01 | 2016-11-23 | 陈包容 | 一种针对预警提示自动提供解决方案的方法及装置 |
CN106627421A (zh) * | 2016-11-21 | 2017-05-10 | 国网山东省电力公司电力科学研究院 | 具有预警分析功能的电动汽车高速公路救援系统及方法 |
CN107729799A (zh) * | 2017-06-13 | 2018-02-23 | 银江股份有限公司 | 基于深度卷积神经网络的人群异常行为视觉检测及分析预警系统 |
CN107528832A (zh) * | 2017-08-04 | 2017-12-29 | 北京中晟信达科技有限公司 | 一种面向系统日志的基线构建与未知异常行为检测方法 |
CN108614895A (zh) * | 2018-05-10 | 2018-10-02 | 中国移动通信集团海南有限公司 | 异常的数据访问行为的识别方法及数据处理装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109509327A (zh) | 2019-03-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109509327B (zh) | 一种异常行为预警方法及装置 | |
US11363405B2 (en) | Determining a significant user location for providing location-based services | |
CN108446281B (zh) | 确定用户亲密度的方法、装置及存储介质 | |
CN107798557B (zh) | 电子装置、基于lbs数据的服务场所推荐方法及存储介质 | |
Zheng et al. | Detecting collective anomalies from multiple spatio-temporal datasets across different domains | |
Do et al. | The places of our lives: Visiting patterns and automatic labeling from longitudinal smartphone data | |
EP3471374B1 (en) | Method and device for identifying type of geographic location at where user is located | |
US9544721B2 (en) | Address point data mining | |
EP3231200B1 (en) | Determining timing for determination of applicable geo-fences | |
CN109949063B (zh) | 一种地址确定方法、装置、电子设备及可读存储介质 | |
Huang et al. | Crowdsourcing-based urban anomaly prediction system for smart cities | |
CN109084795B (zh) | 基于地图服务的搜索服务设施的方法及装置 | |
CN107027100A (zh) | 基于联系人信息来标注被访问的位置的方法和系统 | |
CN109195219B (zh) | 服务器确定移动终端位置的方法 | |
CN108271157B (zh) | 一种伪基站识别方法及装置 | |
CN111212383A (zh) | 区域常住人口数量的确定方法、装置、服务器和介质 | |
CN105824840A (zh) | 一种用于区域标签管理的方法及装置 | |
WO2022134829A1 (zh) | 同一用户识别方法、装置、计算机设备和存储介质 | |
Alvarez-Lozano et al. | Learning and user adaptation in location forecasting | |
KR20160104223A (ko) | 빅데이터 기반의 범죄 패턴 분석을 이용한 범죄 예측 방법 및 범죄 예측 시스템 | |
CN114881430A (zh) | 一种基于网络地图服务的社区生活便利度评价方法 | |
JP2017091435A (ja) | 滞在場所予測装置 | |
CN115098799A (zh) | 轨迹相似度确定、风险评估、风险溯源方法及装置 | |
US20140045523A1 (en) | Methods and apparatus for tracking location of portable electronic device | |
AT&T |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |