CN109726737A - 基于轨迹的异常行为检测方法及装置 - Google Patents
基于轨迹的异常行为检测方法及装置 Download PDFInfo
- Publication number
- CN109726737A CN109726737A CN201811438155.8A CN201811438155A CN109726737A CN 109726737 A CN109726737 A CN 109726737A CN 201811438155 A CN201811438155 A CN 201811438155A CN 109726737 A CN109726737 A CN 109726737A
- Authority
- CN
- China
- Prior art keywords
- data
- dimensional feature
- detected
- track
- feature data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Testing And Monitoring For Control Systems (AREA)
- Image Analysis (AREA)
Abstract
本发明实施例提供一种基于轨迹的异常行为检测方法及装置,所述方法包括:从待检测轨迹数据和待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对待检测轨迹数据的特征数据和各历史轨迹数据的特征数据分别进行PCA正交变换;根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有历史轨迹数据的各维特征数据在每个组中的平均数量;根据预设切分点,获取待检测轨迹数据的各维特征数据所属的组,将待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定是否存在异常行为。本发明实施例计算效率高,检测准确。
Description
技术领域
本发明实施例属于网络安全技术领域,更具体地,涉及一种基于轨迹的异常行为检测方法及装置。
背景技术
在验证安全领域,基于轨迹的异常行为检测是安全检测的基本维度之一。部分黑客采用脚本伪造大量轨迹数据以绕过验证,这些批量轨迹并非完全相同,而是微小的改变轨迹坐标。针对这种攻击模式,一般采用非监督的聚类模型识别相似行为轨迹,可以最大限度的根据数据本身的特性将相似数据聚合在一起。
目前常用的轨迹聚类方法主要包括:(1)基于距离的轨迹聚类方法,该方法主要通过建立一个能够度量轨迹之间距离的函数来确定不同轨迹之间的相似性;(2)基于密度的轨迹聚类方法,该方法的核心是定义一个用于限定对象分布密度的阈值。
现有技术均是将轨迹提取为特征数据,同步考虑所有特征并应用于聚类算法,即将多个特征融合为复合特征,造成轨迹的聚类结果与特征缺乏对应;而直接使用高维特征数据进行聚类会造成特征空间巨大,数据聚集性不明显。此外,现有的聚类方法均是在不断迭代过程中找出所有簇,才能判断某条轨迹是否具有行为异常,计算量大,效率低。
发明内容
为克服上述现有的基于轨迹的异常行为检测方法检测结果不准确、计算量大的问题或者至少部分地解决上述问题,本发明实施例提供一种基于轨迹的异常行为检测方法及装置。
根据本发明实施例的第一方面,提供一种基于轨迹的异常行为检测方法,包括:
从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
根据本发明实施例第二方面提供一种基于轨迹的异常行为检测装置,包括:
提取模块,用于从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
划分模块,用于根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
检测模块,用于根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
根据本发明实施例的第三个方面,还提供一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的基于轨迹的异常行为检测方法。
根据本发明实施例的第四个方面,还提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面的各种可能的实现方式中任一种可能的实现方式所提供的基于轨迹的异常行为检测方法。
本发明实施例提供一种基于轨迹的异常行为检测方法及装置,该方法通过对待检测轨迹数据和各历史轨迹数据进行特征提取,将待检测轨迹数据和各历史轨迹数据分别转换为多维特征数据以用于聚类,在单个维度上对历史轨迹数据进行划分并统计分布,针对待检测轨迹数据所处的区域,判断历史轨迹数据落在该区域的数据量是否异常,综合所有维度上的异常判断,确定待预测轨迹数据对应的行为是否为异常行为,一方面,对历史轨迹数据的每一维特征数据进行聚类,在考虑所有特征信息的同时,对较小的特征空间进行分析使特征数据的聚集性更加明显;另一方面,直接根据预设切分点对特征数据进行分簇,根据待检测轨迹数据的特征数据所属的簇判断行为是否异常,提高了计算效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于轨迹的异常行为检测方法整体流程示意图;
图2为本发明又一实施例提供的基于轨迹的异常行为检测方法整体流程示意图;
图3为本发明实施例提供的基于轨迹的异常行为检测装置整体结构示意图;
图4为本发明实施例提供的电子设备整体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的一个实施例中提供一种基于轨迹的异常行为检测方法,图1为本发明实施例提供的基于轨迹的异常行为检测方法整体流程示意图,该方法包括:S101,从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
其中,待检测轨迹数据为线上实时产生的轨迹数据。历史轨迹数据为待检测轨迹数据产生前预设时间窗口内的轨迹数据,如待检测轨迹数据产生前10分钟内的轨迹数据。历史轨迹数据是随着待检测轨迹数据的生成而进行动态更新的,保证了聚类数据的实时性。从待检测轨迹数据和各历史轨迹数据中分别提取多维特征数据,例如,从待检测轨迹数据中提取16维特征数据,从各历史轨迹数据中提取16维特征数据,从而以较小的损失表示验证行为的轨迹数据。将待检测轨迹数据的16维特征数据进行PCA(Principal ComponentAnalysis,主成分分析)正交变换,将各历史轨迹数据的16维特征数据也进行PCA正交变换,从而保证了单个特征空间上的特征数据聚集还原到多维空间上仍具有聚集性。
S102,根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
其中,预设切分点为预先设定的切分点,每一维特征数据对应有相应的预设切分点。每一维特征数据对应的相邻两个预设切分点构成一个区间范围。对于所有历史轨迹数据进行PCA正交变换后的任一维特征数据,将所有历史轨迹数据的该维特征数据作为一个整体进行分组,将这个整体中位于同一个区间范围的特征数据分为一组,这里的区间范围为该维特征数据对应的相邻两个预设切分点构成的区间范围。例如,每一维特征数据对应的相邻两个预设切分点构成的区间范围为50个,则将历史轨迹数据的每一维特征数据分成50组。统计每组中特征数据的个数,并计算历史轨迹数据的每一维特征数据分摊到每个组的平均数量。
S103,根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
对于任一维特征数据,根据该维特征数据对应的相邻两个预设切分点确定的区间范围,获取待检测轨迹数据的该维特征数据所属的区间范围。由于每个区间范围对应有一组历史轨迹数据的特征数据,获取待检测轨迹数据的该维特征数据所属的区间范围对应的一组特征数据,将该组特征数据作为待检测轨迹数据的该维特征数据所属的组。将该组特征数据的数量与每组的平均数量进行比较。正常情况下,根据预设切分点,落在每个区间范围的特征数据数量应该均等。若该组特征数据的数量远大于每组的平均数量,则获知在该维度上存在异常行为的可能性较大。
本实施例单独对每一维数据进行聚类判断,使数据的聚集现象更明显。例如,同时考虑16维,每个维度划分50个组,则特征空间被分为5016个区域,则数据集必须足够大才能保证在16维的空间上有聚集;对于同样的数据量,如果先考虑单个维度,则相当于仅划分为50个区域,更容易判断数据的聚集性,最后对各维度上结果进行累加操作,同样达到了上述同时考虑16维的效果。
本发明实施例通过对待检测轨迹数据和各历史轨迹数据进行特征提取,将待检测轨迹数据和各历史轨迹数据分别转换为多维特征数据以用于聚类,在单个维度上对历史轨迹数据进行划分并统计分布,针对待检测轨迹数据所处的区域,判断历史轨迹数据落在该区域的数据量是否异常,综合所有维度上的异常判断,确定待预测轨迹数据对应的行为是否为异常行为,一方面,对历史轨迹数据的每一维特征数据进行聚类,在考虑所有特征信息的同时,对较小的特征空间进行分析使特征数据的聚集性更加明显;另一方面,直接根据预设切分点对特征数据进行分簇,根据待检测轨迹数据的特征数据所属的簇判断行为是否异常,提高了计算效率。
在上述实施例的基础上,本实施例中所述待检测轨迹数据的特征数据包括位置、速度和熵;所述历史轨迹数据的特征数据包括位置、速度和熵。
具体地,提取待检测轨迹数据的特征数据的种类与提取各历史轨迹数据的特征数据的种类相同,例如待检测轨迹数据的特征数据包括位置、速度和熵,历史轨迹数据的特征数据也包括位置、速度和熵。本实施例不限于这三种特征数据。提取的多维特征数据包含了待检测轨迹数据和各历史轨迹数据较多的特征,从而使得根据多维特征数据进行异常行为的检测更加准确。
在上述实施例的基础上,本实施例中根据预设切分点将所有所述历史轨迹数据的各维特征数据划分为多个组的步骤之前还包括:从预先获取的轨迹样本集的各轨迹样本中提取多维特征数据,并对各所述轨迹样本的特征数据进行PCA正交变换;对于所有所述轨迹样本进行PCA证据变换后的任一维样本特征,构建该维样本特征的直方图;根据所述直方图确定预设切分点,以使相邻两个切分点内该维样本特征的数量相同。
具体地,轨迹样本集中包含大量的实际轨迹样本。为了确定更准确的切分点,本实施例对轨迹样本集中的各轨迹样本同样进行多维特征提取和PCA正交变换。对于所有轨迹样本任一维特征数据,构建直方图。其中,直方图的横坐标为各区间范围,直方图的纵坐标为落在各区间范围的该维特征数据的数量。然后确定预设切分点,使得所有相邻两个切分点构成的区间范围内特征数据的数量相同。例如,第一个维度对应的预设切分点设为1、5、8、10、12、15和20,相邻两个切分点构成的区间范围为[1,5]、(5,8]、(8,10]、(10,12]、(12,15]和(15,20],各区间范围内的特征数据的数量相同,从而使得正常情况下,落在预设切分点确定的各区间范围内的第一维度特征数据数量均等。
在上述各实施例的基础上,本实施例中根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组的步骤具体包括:对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述历史轨迹数据的该维特征数据所属的区间范围;将位于同一所述区间范围的所述历史轨迹数据的该维特征数据分为一组。
例如,第一个维度对应的预设切分点设为1、5、8、10、12、15和20,相邻的两个切分点构成一个区间范围。将所有历史轨迹数据的第一维特征数据与预设切分点进行比较,获取各历史轨迹数据的第一维特征数据所属的区间范围。将位于同一区间范围的特征数据分为一组,如将位于[1,5]区间的所有历史轨迹数据的第一维特征数据分为一组,从而将历史轨迹数据的各维特征数据根据预设切分点进行聚类。
在上述实施例的基础上,本实施例中根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组的步骤具体包括:对于所述待检测轨迹数据的任一维特征数据,将所述待检测轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述待检测轨迹数据的该维特征数据所属的区间范围;将所述待检测轨迹数据的该维特征数据所属的区间范围对应的组作为所述待检测轨迹数据的该维特征数据所属的组。
例如,第一个维度对应的预设切分点设为1、5、8、10、12、15和20,待检测轨迹数据的第一维特征数据为4,所属的区间范围为[1,5]。将区间范围[1,5]对应的组作为待检测轨迹数据的第一维特征数据所属的组。以同样的方法,获取待检测轨迹数据其他维度的特征数据所属的组。
在上述各实施例的基础上,本实施例中计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量的步骤具体包括:对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据的总个数除以所述历史轨迹数据的该维特征数据划分的总组数,获取所述历史轨迹数据的该维特征数据在每个组中的平均数量。
例如,历史轨迹数据的第一维特征数据的总个数为500个,历史轨迹的第一维特征数据根据预设切分点划分为10个组,则历史轨迹数据的第一维特征数据在每个组中的平均数量为500/10=50。以同样的方法,获取历史轨迹数据其他维度的特征数据在每个组中的平均数量。
在上述各实施例的基础上,本实施例中根据比较结果确定所述待检测轨迹数据对应的行为是否异常的步骤具体包括:若所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量大于各维所述特征数据对应的平均数量,则将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量相加;若相加结果大于预设阈值,则获知所述待检测轨迹数据对应的行为存在异常。
具体地,正常情况下,根据预设切分点,落在每个区间范围的特征数据数量应该均等。如图2所示,对于待检测轨迹数据的任一维特征数据,根据该维特征区间所属的区间范围,判断该区间范围对应的组中特征数据的数量是否大于历史轨迹数据的该维特征数据在每组中的平均数量。统计所有维度上大于平均数量的特征数据量,将这些特征数据量进行累加,将累加结果与预设阈值进行比较,若大于预设阈值,则获知待检测轨迹数据对应的行为存在异常,否则获知待检测轨迹数据对应的行为正常。预设阈值可以为一个分段函数,分段点通过大量实验获取。
在本发明的另一个实施例中提供一种基于轨迹的异常行为检测装置,该装置用于实现前述各实施例中的方法。因此,在前述基于轨迹的异常行为检测方法的各实施例中的描述和定义,可以用于本发明实施例中各个执行模块的理解。图3为本发明实施例提供的基于轨迹的异常行为检测装置整体结构示意图,该装置包括提取模块301、划分模块302和检测模块303;其中:
提取模块301用于从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
其中,待检测轨迹数据为线上实时产生的轨迹数据。历史轨迹数据为待检测轨迹数据产生前预设时间窗口内的轨迹数据。历史轨迹数据是随着待检测轨迹数据的生成而进行动态更新的,保证了聚类数据的实时性。提取模块301从待检测轨迹数据和各历史轨迹数据中分别提取多维特征数据,从而以较小的损失表示验证行为的轨迹数据。将待检测轨迹数据的各维特征数据进行PCA(Principal ComponentAnalysis,主成分分析)正交变换,将各历史轨迹数据的16维特征数据也进行PCA正交变换,从而保证了单个特征空间上的特征数据聚集还原到多维空间上仍具有聚集性。
划分模块302用于根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
其中,预设切分点为预先设定的切分点,每一维特征数据对应有相应的预设切分点。每一维特征数据对应的相邻两个预设切分点构成一个区间范围。对于所有历史轨迹数据进行PCA正交变换后的任一维特征数据,划分模块302将所有历史轨迹数据的该维特征数据作为一个整体进行分组,将这个整体中位于同一个区间范围的特征数据分为一组,这里的区间范围为该维特征数据对应的相邻两个预设切分点构成的区间范围。统计每组中特征数据的个数,并计算历史轨迹数据的每一维特征数据分摊到每个组的平均数量。
检测模块303用于根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
对于任一维特征数据,检测模块303根据该维特征数据对应的相邻两个预设切分点确定的区间范围,获取待检测轨迹数据的该维特征数据所属的区间范围。由于每个区间范围对应有一组历史轨迹数据的特征数据,检测模块303获取待检测轨迹数据的该维特征数据所属的区间范围对应的一组特征数据,将该组特征数据作为待检测轨迹数据的该维特征数据所属的组。将该组特征数据的数量与每组的平均数量进行比较。正常情况下,根据预设切分点,落在每个区间范围的特征数据数量应该均等。若该组特征数据的数量远大于每组的平均数量,则获知在该维度上存在异常行为的可能性较大。
本发明实施例通过对待检测轨迹数据和各历史轨迹数据进行特征提取,将待检测轨迹数据和各历史轨迹数据分别转换为多维特征数据以用于聚类,在单个维度上对历史轨迹数据进行划分并统计分布,针对待检测轨迹数据所处的区域,判断历史轨迹数据落在该区域的数据量是否异常,综合所有维度上的异常判断,确定待预测轨迹数据对应的行为是否为异常行为,一方面,对历史轨迹数据的每一维特征数据进行聚类,在考虑所有特征信息的同时,对较小的特征空间进行分析使特征数据的聚集性更加明显;另一方面,直接根据预设切分点对特征数据进行分簇,根据待检测轨迹数据的特征数据所属的簇判断行为是否异常,提高了计算效率。
在上述实施例的基础上,本实施例中所述待检测轨迹数据的特征数据包括位置、速度和熵;所述历史轨迹数据的特征数据包括位置、速度和熵。
在上述实施例的基础上,本实施例中还包括获取模块,用于从预先获取的轨迹样本集的各轨迹样本中提取多维特征数据,并对各所述轨迹样本的特征数据进行PCA正交变换;对于所有所述轨迹样本进行PCA证据变换后的任一维样本特征,构建该维样本特征的直方图;根据所述直方图确定预设切分点,以使相邻两个切分点内该维样本特征的数量相同。
在上述各实施例的基础上,本实施例中划分模块具体用于:对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述历史轨迹数据的该维特征数据所属的区间范围;将位于同一所述区间范围的所述历史轨迹数据的该维特征数据分为一组。
在上述实施例的基础上,本实施例中检测模块进一步用于:对于所述待检测轨迹数据的任一维特征数据,将所述待检测轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述待检测轨迹数据的该维特征数据所属的区间范围;将所述待检测轨迹数据的该维特征数据所属的区间范围对应的组作为所述待检测轨迹数据的该维特征数据所属的组。
在上述各实施例的基础上,本实施例中划分模块进一步用于:对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据的总个数除以所述历史轨迹数据的该维特征数据划分的总组数,获取所述历史轨迹数据的该维特征数据在每个组中的平均数量。
在上述各实施例的基础上,本实施例中检测模块具体用于:若所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量大于各维所述特征数据对应的平均数量,则将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量相加;若相加结果大于预设阈值,则获知所述待检测轨迹数据对应的行为存在异常。
本实施例提供一种电子设备,图4为本发明实施例提供的电子设备整体结构示意图,该设备包括:至少一个处理器401、至少一个存储器402和总线403;其中,
处理器401和存储器402通过总线403完成相互间的通信;
存储器402存储有可被处理器401执行的程序指令,处理器调用程序指令能够执行上述各方法实施例所提供的方法,例如包括:从待检测轨迹数据和待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对待检测轨迹数据的特征数据和各历史轨迹数据的特征数据分别进行PCA正交变换;根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有历史轨迹数据的各维特征数据在每个组中的平均数量;根据预设切分点,获取待检测轨迹数据的各维特征数据所属的组,将待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定是否存在异常行为。
本实施例提供一种非暂态计算机可读存储介质,非暂态计算机可读存储介质存储计算机指令,计算机指令使计算机执行上述各方法实施例所提供的方法,例如包括:从待检测轨迹数据和待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对待检测轨迹数据的特征数据和各历史轨迹数据的特征数据分别进行PCA正交变换;根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有历史轨迹数据的各维特征数据在每个组中的平均数量;根据预设切分点,获取待检测轨迹数据的各维特征数据所属的组,将待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定是否存在异常行为。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于轨迹的异常行为检测方法,其特征在于,包括:
从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
2.根据权利要求1所述的方法,其特征在于,所述待检测轨迹数据的特征数据包括位置、速度和熵;
所述历史轨迹数据的特征数据包括位置、速度和熵。
3.根据权利要求1所述的方法,其特征在于,根据预设切分点将所有所述历史轨迹数据的各维特征数据划分为多个组的步骤之前还包括:
从预先获取的轨迹样本集的各轨迹样本中提取多维特征数据,并对各所述轨迹样本的特征数据进行PCA正交变换;
对于所有所述轨迹样本进行PCA证据变换后的任一维样本特征,构建该维样本特征的直方图;
根据所述直方图确定预设切分点,以使相邻两个切分点内该维样本特征的数量相同。
4.根据权利要求1-3任一所述的方法,其特征在于,根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组的步骤具体包括:
对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述历史轨迹数据的该维特征数据所属的区间范围;
将位于同一所述区间范围的所述历史轨迹数据的该维特征数据分为一组。
5.根据权利要求4所述的方法,其特征在于,根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组的步骤具体包括:
对于所述待检测轨迹数据的任一维特征数据,将所述待检测轨迹数据的该维特征数据与该维特征数据对应的各预设切分点进行比较,获取所述待检测轨迹数据的该维特征数据所属的区间范围;
将所述待检测轨迹数据的该维特征数据所属的区间范围对应的组作为所述待检测轨迹数据的该维特征数据所属的组。
6.根据权利要求1-3任一所述的方法,其特征在于,计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量的步骤具体包括:
对于所述历史轨迹数据的任一维特征数据,将所述历史轨迹数据的该维特征数据的总个数除以所述历史轨迹数据的该维特征数据划分的总组数,获取所述历史轨迹数据的该维特征数据在每个组中的平均数量。
7.根据权利要求1-3任一所述的方法,其特征在于,根据比较结果确定所述待检测轨迹数据对应的行为是否异常的步骤具体包括:
若所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量大于各维所述特征数据对应的平均数量,则将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量相加;
若相加结果大于预设阈值,则获知所述待检测轨迹数据对应的行为存在异常。
8.一种基于轨迹的异常行为检测装置,其特征在于,包括:
提取模块,用于从待检测轨迹数据和所述待检测轨迹数据生成前预设时间窗口内的各历史轨迹数据中分别提取多维特征数据,对所述待检测轨迹数据的特征数据和各所述历史轨迹数据的特征数据分别进行PCA正交变换;
划分模块,用于根据预设切分点将所有所述历史轨迹数据进行PCA正交变换后的各维特征数据划分为多个组,并计算所有所述历史轨迹数据的各维特征数据在每个组中的平均数量;
检测模块,用于根据所述预设切分点,获取所述待检测轨迹数据的各维特征数据所属的组,将所述待检测轨迹数据的各维特征数据所属的组中特征数据的数量与各维所述特征数据对应的平均数量进行比较,根据比较结果确定所述待检测轨迹数据对应的行为是否异常。
9.一种电子设备,其特征在于,包括:
至少一个处理器、至少一个存储器和总线;其中,
所述处理器和存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至7任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811438155.8A CN109726737B (zh) | 2018-11-27 | 2018-11-27 | 基于轨迹的异常行为检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811438155.8A CN109726737B (zh) | 2018-11-27 | 2018-11-27 | 基于轨迹的异常行为检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109726737A true CN109726737A (zh) | 2019-05-07 |
CN109726737B CN109726737B (zh) | 2020-11-10 |
Family
ID=66294684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811438155.8A Active CN109726737B (zh) | 2018-11-27 | 2018-11-27 | 基于轨迹的异常行为检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109726737B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111369056A (zh) * | 2020-03-04 | 2020-07-03 | 四川大汇大数据服务有限公司 | 地质灾害预测方法及电子设备 |
CN112148763A (zh) * | 2019-06-28 | 2020-12-29 | 京东数字科技控股有限公司 | 无监督数据异常检测方法、装置及存储介质 |
CN112230253A (zh) * | 2020-10-13 | 2021-01-15 | 电子科技大学 | 基于公共切片子序列的轨迹特征异常检测方法 |
CN113553239A (zh) * | 2021-07-27 | 2021-10-26 | 重庆紫光华山智安科技有限公司 | 异常数据检测方法及相关装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120170802A1 (en) * | 2010-12-30 | 2012-07-05 | Pelco Inc. (Clovis, CA) | Scene activity analysis using statistical and semantic features learnt from object trajectory data |
CN103593361A (zh) * | 2012-08-14 | 2014-02-19 | 中国科学院沈阳自动化研究所 | 感应网络环境下移动时空轨迹分析方法 |
CN104657746A (zh) * | 2015-01-29 | 2015-05-27 | 电子科技大学 | 一种基于车辆轨迹相似性的异常检测方法 |
CN104915671A (zh) * | 2015-06-23 | 2015-09-16 | 中国矿业大学 | 基于fgak的异常轨迹检测方法 |
CN105159867A (zh) * | 2010-02-12 | 2015-12-16 | 萨思学会有限公司 | 用于在网格计算环境中运算的情景状态处理系统和方法 |
CN105785411A (zh) * | 2016-02-24 | 2016-07-20 | 重庆邮电大学 | 一种基于区域划分的异常轨迹检测方法 |
CN106022368A (zh) * | 2016-05-17 | 2016-10-12 | 中国矿业大学 | 一种基于增量核主成分分析的增量轨迹异常检测的方法 |
CN106604267A (zh) * | 2017-02-21 | 2017-04-26 | 重庆邮电大学 | 一种动态自适应的无线传感器网络入侵检测智能算法 |
WO2018099480A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 车辆行驶轨迹监测方法及系统 |
CN108764111A (zh) * | 2018-05-23 | 2018-11-06 | 长安大学 | 一种车辆异常驾驶行为的检测方法 |
-
2018
- 2018-11-27 CN CN201811438155.8A patent/CN109726737B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105159867A (zh) * | 2010-02-12 | 2015-12-16 | 萨思学会有限公司 | 用于在网格计算环境中运算的情景状态处理系统和方法 |
US20120170802A1 (en) * | 2010-12-30 | 2012-07-05 | Pelco Inc. (Clovis, CA) | Scene activity analysis using statistical and semantic features learnt from object trajectory data |
CN103593361A (zh) * | 2012-08-14 | 2014-02-19 | 中国科学院沈阳自动化研究所 | 感应网络环境下移动时空轨迹分析方法 |
CN104657746A (zh) * | 2015-01-29 | 2015-05-27 | 电子科技大学 | 一种基于车辆轨迹相似性的异常检测方法 |
CN104915671A (zh) * | 2015-06-23 | 2015-09-16 | 中国矿业大学 | 基于fgak的异常轨迹检测方法 |
CN105785411A (zh) * | 2016-02-24 | 2016-07-20 | 重庆邮电大学 | 一种基于区域划分的异常轨迹检测方法 |
CN106022368A (zh) * | 2016-05-17 | 2016-10-12 | 中国矿业大学 | 一种基于增量核主成分分析的增量轨迹异常检测的方法 |
WO2018099480A1 (zh) * | 2016-12-01 | 2018-06-07 | 中兴通讯股份有限公司 | 车辆行驶轨迹监测方法及系统 |
CN106604267A (zh) * | 2017-02-21 | 2017-04-26 | 重庆邮电大学 | 一种动态自适应的无线传感器网络入侵检测智能算法 |
CN108764111A (zh) * | 2018-05-23 | 2018-11-06 | 长安大学 | 一种车辆异常驾驶行为的检测方法 |
Non-Patent Citations (1)
Title |
---|
马春光: "位置轨迹隐私保护综述", 《信息网络安全》 * |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112148763A (zh) * | 2019-06-28 | 2020-12-29 | 京东数字科技控股有限公司 | 无监督数据异常检测方法、装置及存储介质 |
CN111369056A (zh) * | 2020-03-04 | 2020-07-03 | 四川大汇大数据服务有限公司 | 地质灾害预测方法及电子设备 |
CN111369056B (zh) * | 2020-03-04 | 2023-04-25 | 国能大渡河大数据服务有限公司 | 地质灾害预测方法及电子设备 |
CN112230253A (zh) * | 2020-10-13 | 2021-01-15 | 电子科技大学 | 基于公共切片子序列的轨迹特征异常检测方法 |
CN113553239A (zh) * | 2021-07-27 | 2021-10-26 | 重庆紫光华山智安科技有限公司 | 异常数据检测方法及相关装置 |
CN113553239B (zh) * | 2021-07-27 | 2023-02-28 | 重庆紫光华山智安科技有限公司 | 异常数据检测方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109726737B (zh) | 2020-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109726737A (zh) | 基于轨迹的异常行为检测方法及装置 | |
CN107086944A (zh) | 一种异常检测方法和装置 | |
CN109118119A (zh) | 风控模型生成方法及装置 | |
CN110417610A (zh) | 存储系统延迟孤立点检测 | |
CN106909676A (zh) | 用户用电行为的分析方法及装置 | |
CN111352808A (zh) | 告警数据处理方法、装置、设备及存储介质 | |
CN115660262B (zh) | 一种基于数据库应用的工程智慧质检方法、系统及介质 | |
CN115865649A (zh) | 一种智能运维管理控制方法、系统和存储介质 | |
CN113902241A (zh) | 一种基于综合状态评价的电网设备检修的策略系统及方法 | |
CN114978877B (zh) | 一种异常处理方法、装置、电子设备及计算机可读介质 | |
KR102158100B1 (ko) | 이상 감지를 이용한 모니터링 자동화 방법 및 장치 | |
CN110889597A (zh) | 业务时序指标异常检测方法及装置 | |
CN107093092A (zh) | 数据分析方法和装置 | |
Fu et al. | Trimming outliers using trees: winning solution of the large-scale energy anomaly detection (LEAD) competition | |
CN116914917A (zh) | 一种基于大数据的配电柜运行状态监测管理系统 | |
CN115757987B (zh) | 基于轨迹分析的伴随对象确定方法、装置、设备及介质 | |
CN108229586B (zh) | 一种数据中的异常数据点的检测方法及系统 | |
CN110502424A (zh) | 一种应用软件的性能数据处理方法、装置、系统及终端 | |
CN103258140B (zh) | 用于雷暴过程还原、雷电通道分析的方法及其系统 | |
CN110138583A (zh) | 一种报警智能分析的展示方法 | |
CN115690681A (zh) | 异常判断依据的处理方法、异常判断方法及装置 | |
CN113515786B (zh) | 一种结合风控系统检测设备指纹是否碰撞的方法及装置 | |
CN112819182B (zh) | 一种钞盒状态预测模型的训练方法、装置及设备 | |
CN115378000A (zh) | 基于区间二型模糊聚类分析的配电网运行状态评估方法 | |
CN113011098A (zh) | 一种输电走廊区域雷电活动规律分析显示模型及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |