CN109739736B - 一种基于移动终端数据的用户异常行为检测方法 - Google Patents
一种基于移动终端数据的用户异常行为检测方法 Download PDFInfo
- Publication number
- CN109739736B CN109739736B CN201811523359.1A CN201811523359A CN109739736B CN 109739736 B CN109739736 B CN 109739736B CN 201811523359 A CN201811523359 A CN 201811523359A CN 109739736 B CN109739736 B CN 109739736B
- Authority
- CN
- China
- Prior art keywords
- user
- mobile terminal
- detection method
- terminal data
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
本发明涉及一种基于移动终端数据的用户异常行为检测方法,包括:步骤S100,获取H个用户的移动终端数据集合X=[X1,X2,...,XH],其中Xi=[Xi1,Xi2,…,Xim]T为第i个用户的移动终端数据,包括m个特征数值,所述m个特征包括以下任一项或其任意组合:所述移动终端安装的软件类型数量、每种软件类型的APP安装数量、所述APP使用频率、所述APP使用开始时间、所述APP使用结束时间,1≤i≤H,m≥1;步骤S200,根据所述数据集合X获取所述H个用户的行为异常值G=[G1,G2,…,GH],其中Gi为第i个用户的行为异常值;步骤S300,基于Gi获取第i个用户的行为异常概率Pi,如果Pi大于第一判断阈值T,则将H个用户中的第i个用户判断为异常用户。
Description
技术领域
本发明涉及信息处理技术,尤其涉及一种用户终端信息的处理方法。
背景技术
同类型群体的异常行为检测,一方面有利于个体的异常提醒,便于个体及时调整生活和工作作息等,另一方面,也可以从该群体中识别出区别于同类人员的不同行为,便于在实际生活和工作环境中进行预警。然而现有的异常行为检测方法对个体的历史数据和群体的历史平均数据等的依赖性较强,且由于所述群体的历史平均数据通常为固定值,因此无法适应同类群体中人员行为的趋势性行为变化,很容易将新的非异常行为判定为异常行为,导致异常行为识别效率低。
发明内容
为解决上述技术问题,本发明公开了一种基于移动终端数据的用户异常行为检测方法,包括:步骤S100,获取H个用户的移动终端数据集合X=[X1,X2,...,XH],其中Xi=[Xi1,Xi2,…,Xim]T为第i个用户的移动终端数据,包括m个特征数值,所述m个特征包括以下任一项或其任意组合:所述移动终端安装的软件类型数量、每种软件类型的APP安装数量、所述APP使用频率、所述APP使用开始时间、所述APP使用结束时间,1≤i≤H,m≥1;步骤S200,根据所述数据集合X获取所述H个用户的行为异常值G=[G1,G2,…,GH],其中Gi为第i个用户的行为异常值;步骤S300,基于Gi获取第i个用户的行为异常概率Pi,如果Pi大于第一判断阈值T,则将H个用户中的第i个用户判断为异常用户。
附图说明
图1是本发明基于移动终端数据的用户异常行为检测方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,将结合附图对本发明作进一步地详细描述。这种描述是通过示例而非限制的方式介绍了与本发明的原理相一致的具体实施方式,这些实施方式的描述是足够详细的,以使得本领域技术人员能够实践本发明,在不脱离本发明的范围和精神的情况下可以使用其他实施方式并且可以改变和/或替换各要素的结构。因此,不应当从限制性意义上来理解以下的详细描述。
本发明公开了一种基于移动终端数据的用户异常行为检测方法,其中本领域技术人员可以理解,所述移动终端可以为手机、PAD等智能终端,且所述移动终端的具体类型不影响本发明的保护范围。
此外,在移动终端中,设置有用于获取所述移动终端状态信息(安装的APP、APP使用频率/间隔、APP启动时间以及APP关闭时间等)的接口,本领域技术人员可以理解,通过调用所述接口可以获取所述移动终端的APP安装情况、APP使用频率/间隔、APP启动时间以及APP关闭时间等。
图1是本发明基于移动终端数据的用户异常行为检测方法流程图,如图1所示,该方法包括:
步骤S100,获取H个用户的移动终端数据集合X=[X1,X2,...,XH],其中Xi=[Xi1,Xi2,…,Xim]T为第i个用户的移动终端数据,包括m个特征数值,所述m个特征包括以下任一项或其任意组合:所述移动终端安装的软件类型数量、每种软件类型的APP安装数量、所述APP使用频率、所述APP使用开始时间、所述APP使用结束时间,1≤i≤H,m≥1。
根据本发明,所述软件类型为软件类型表格(或者软件类型白名单)中指定的多种软件类型,通过调用移动终端的相关调用接口,获取所述移动终端已安装软件信息,并将该软件信息和所述软件类型表格中的软件类型进行匹配,且本领域技术人员可以知悉,现有技术中存在多种方法用于将软件信息和软件类型表格中的软件类型进行匹配,包括使用软件名称、和/或软件标签等。例如对于学生类用户,所述软件类型表格中包括的软件类型依次为学习类软件、阅读类软件和运动类软件,当某个学生用户的移动终端上安装有2个学习类软件和1个运动类软件,且学习软件的使用开始时间为07:00,使用结束时间为20:00,运动类软件的使用开始时间为21:00,使用结束时间为22:00,则通过采集该用户的终端数据可得到的Xi=[2,2,0,1,07:00,20:00,00:00,00:00,21:00,22:00]T,其中所述Xi中的每个特征数值依次对应的特征为:所述移动终端安装的软件类型数据、学习类软件的APP安装数量、阅读类软件的APP安装数量、运动类软件的APP安装数量、学习类软件的使用开始时间、学习类软件的使用结束时间、阅读类软件的使用开始时间、阅读类软件的使用结束时间、运动类软件的使用开始时间、运动类软件的使用结束时间。且本领域技术人员可知,以上所举例子仅为示范性例子,不作为限定本发明权利要求保护范围的唯一示例。
本领域技术人员还知晓,需要对获取的用户的移动终端数据Xi或数据集合X进行数值化处理,即将所述数据集合X中用户的移动终端数据转化为可处理的数值,例如对软件的使用开始时间和使用结束时间进行数值化处理时,可以将当前时间转换为当前时间和参考时间的以秒为单位的差值,等等,且本领域技术人员知悉,所述使用开始时间和使用结束时间的转换方式有多种,其具体采用的转换方式不影响本发明保护范围。进一步,对数值化后的数据集合X进行数据归一化处理,以便于平衡各个特征在所述异常行为检测过程中的作用,例如归一化后新的
其中,所述H可自定义设置,优选地,H≥2000。进一步地,所述数据集合X由集成在移动终端内的SDK采集。
步骤S200,根据所述数据集合X获取所述H个用户的行为异常值G=[G1,G2,…,GH],其中Gi为第i个用户的行为异常值。根据本发明,第i个用户的行为异常值反应了第i个用户的移动终端数据Xi与其他H-1个用户的移动终端数据的差异。根据本发明的一个实施例,例如但是,在本发明优选的实施例中,其中D(i,j)为第i个用户的移动终端数据Xi和第j个用户的移动终端数据Xj的相似度,Ri(N)为D(i,:)中的第N个非零最小值,Rj(N)为D(j,:)中的第N个非零最小值,N≥1。该优选的实施例中,小规模的测试表明,与实际的用户行为之间具有相对较好的匹配性。
根据本发明的的优选实施例,进一步的,所述Ri(N)为N的函数,示例性的,若D(i,:)=(0,1,1,2,4),则当N=1时,Ri(1)=1,当N=2时,Ri(2)=2。根据本发明的另一个实施例,进一步的,所述Ri(N)为N的函数,示例性的,若D(i,:)=(0,0.25,0.25,0.5,0.8),则当N=1时,Ri(1)=0.25,当N=2时,Ri(2)=0.5。
根据本发明,N的取值可自定义设置,优选地,N=1或2。
步骤S300,基于Gi获取第i个用户的行为异常概率Pi,如果Pi大于第一判断阈值T,则将H个用户中的第i个用户判断为异常用户。在该步骤中,基于所述Gi获取第i个用户的行为异常概率Pi=f(Gi),其中一个实施例中,归一化后的Xij的取值范围为[0,1],因此,Pi=Gi;另一个优选的实施例中,此时函数f将第i个用户的行为异常值Gi转换为0-1之间的概率值。
优选地,所述第一判断阈值T的取值范围为[0.6,0.92],优选为0.85。且通过试验可知,当所述第一判断阈值T取值为0.85时,可显著提高用户异常行为识别的准确率。
优选地,所述步骤S300还包括输出异常用户的用户ID,例如,所述输出异常用户的用户ID可以为N在不同取值下输出的异常用户的用户,一个实施例中,输出异常用户的用户ID为N=1时获取的异常用户ID;另一个实施例中,输出异常用户的用户ID为N=2时获取的异常用户ID。
综合上述内容可知,本发明可随机采集同类用户的多个用户终端数据,并从所述多个用户终端数据中筛选出与其他用户不同的数据作为异常数据进行提醒,该方法可以兼容新出现的多个同类用户的趋势变化,不会将新的趋势行为(即多个用户同时出现的新行为)判定为异常行为;此外,判断用户异常行为的计算方法仅包括加法和乘法等基本运算,因此计算消耗的时间少,适用于并行集群运算,可满足实际环境要求。
在本发明的一个实施例中,本发明还公开了一种用于检测用户异常行为的服务器,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序以实现所述步骤S100-S300和/或其他预处理等过程,以利用服务器的资源优势和计算优势。
此外,根据公开的本发明的说明书,本发明的其他实现对于本领域的技术人员是明显的。实施方式和/或实施方式的各个方面可以单独或者以任何组合用于本发明的系统和方法中。说明书和其中的示例应该是仅仅看作示例性,本发明的实际范围和精神由所附权利要求书表示。
Claims (10)
1.一种基于移动终端数据的用户异常行为检测方法,其特征在于,包括:
步骤S100,获取H个用户的移动终端数据集合X=[X1,X2,...,XH],其中Xi=[Xi1,Xi2,…,Xim]T为第i个用户的移动终端数据,包括m个特征数值,所述m个特征包括以下任一项或其任意组合:所述移动终端安装的软件类型数量、每种软件类型的APP安装数量、所述APP使用频率、所述APP使用开始时间、所述APP使用结束时间,1≤i≤H,m≥1;
步骤S200,根据所述数据集合X获取所述H个用户的行为异常值G=[G1,G2,…,GH],其中Gi为第i个用户的行为异常值;
步骤S300,基于Gi获取第i个用户的行为异常概率Pi,如果Pi大于第一判断阈值T,则将H个用户中的第i个用户判断为异常用户。
2.根据权利要求1所述的检测方法,其特征在于,所述第一判断阈值T的取值范围为[0.6,0.92]。
3.根据权利要求1所述的检测方法,其特征在于,所述第一判断阈值T的取值为0.85。
4.根据权利要求1所述的检测方法,其特征在于,H可自定义设置。
5.根据权利要求1所述的检测方法,其特征在于,H≥2000。
6.根据权利要求1所述的检测方法,其特征在于,N=1或2。
7.根据权利要求1-6任一项所述的检测方法,其特征在于,所述步骤S300还包括输出异常用户的用户ID。
9.根据权利要求1所述的检测方法,其特征在于,所述数据集合X由集成在移动终端内的SDK采集。
10.一种用于检测用户异常行为的服务器,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序以实现权利要求1-9之任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811523359.1A CN109739736B (zh) | 2018-12-13 | 2018-12-13 | 一种基于移动终端数据的用户异常行为检测方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811523359.1A CN109739736B (zh) | 2018-12-13 | 2018-12-13 | 一种基于移动终端数据的用户异常行为检测方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109739736A CN109739736A (zh) | 2019-05-10 |
CN109739736B true CN109739736B (zh) | 2022-07-08 |
Family
ID=66358887
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811523359.1A Active CN109739736B (zh) | 2018-12-13 | 2018-12-13 | 一种基于移动终端数据的用户异常行为检测方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109739736B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106204335A (zh) * | 2016-07-21 | 2016-12-07 | 广东工业大学 | 一种电价执行异常判断方法、装置及系统 |
CN107249000A (zh) * | 2017-07-06 | 2017-10-13 | 河南科技大学 | 一种移动用户异常行为检测方法 |
CN108009220A (zh) * | 2017-11-22 | 2018-05-08 | 中国电子科技集团公司第二十八研究所 | 一种网络热点舆情事件中检测和定位异常用户的方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8745731B2 (en) * | 2008-04-03 | 2014-06-03 | Microsoft Corporation | Clustering botnet behavior using parameterized models |
-
2018
- 2018-12-13 CN CN201811523359.1A patent/CN109739736B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106204335A (zh) * | 2016-07-21 | 2016-12-07 | 广东工业大学 | 一种电价执行异常判断方法、装置及系统 |
CN107249000A (zh) * | 2017-07-06 | 2017-10-13 | 河南科技大学 | 一种移动用户异常行为检测方法 |
CN108009220A (zh) * | 2017-11-22 | 2018-05-08 | 中国电子科技集团公司第二十八研究所 | 一种网络热点舆情事件中检测和定位异常用户的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109739736A (zh) | 2019-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7778715B2 (en) | Methods and systems for a prediction model | |
US8242881B2 (en) | Method of adjusting reference information for biometric authentication and apparatus | |
CN109918279B (zh) | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 | |
CN111400126A (zh) | 网络服务异常数据检测方法、装置、设备和介质 | |
CN108764369B (zh) | 基于数据融合的人物识别方法、装置和计算机存储介质 | |
CN111261160A (zh) | 一种信号处理方法及装置 | |
CN112994960B (zh) | 业务数据异常检测方法、装置及计算设备 | |
JP2021135679A (ja) | 加工機状態推定システム、および加工機状態推定プログラム | |
CN113254250B (zh) | 数据库服务器异常成因检测方法、装置、设备和存储介质 | |
CN114356703A (zh) | 一种根因分析方法及装置 | |
CN113569965A (zh) | 一种基于物联网的用户行为分析方法及系统 | |
JP2022003526A (ja) | 情報処理装置、検出システム、情報処理方法、及びプログラム | |
CN109739736B (zh) | 一种基于移动终端数据的用户异常行为检测方法 | |
CN112997148A (zh) | 睡眠预测方法、装置、存储介质及电子设备 | |
CN112612679A (zh) | 系统运行状态监控方法、装置、计算机设备和存储介质 | |
CN110209260B (zh) | 耗电量异常检测方法、装置、设备及计算机可读存储介质 | |
CN110781410A (zh) | 一种社群检测方法及装置 | |
CN105988835B (zh) | 一种软件升级的方法及终端 | |
CN111127814B (zh) | 火警识别方法以及相关装置 | |
CN113056756B (zh) | 睡眠识别方法、装置、存储介质及电子设备 | |
CN113158037A (zh) | 一种面向对象的信息推荐方法和装置 | |
CN112053050A (zh) | 适用于机器人与人之间协作效率的评估方法、装置及系统 | |
CN111258788A (zh) | 磁盘故障预测方法、装置及计算机可读存储介质 | |
JP7335378B1 (ja) | メッセージ分類装置、メッセージ分類方法、およびプログラム | |
JP7103392B2 (ja) | 異常検出方法、システムおよびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 310012 Room 418, West District, Building A, 525 Xixi Road, Xihu District, Hangzhou City, Zhejiang Province Applicant after: Daily interactive Co.,Ltd. Address before: 310012 Room 418, West District, Building A, 525 Xixi Road, Xihu District, Hangzhou City, Zhejiang Province Applicant before: ZHEJIANG MEIRI INTERDYNAMIC NETWORK TECHNOLOGY Co.,Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |