CN110704773A - 基于频繁行为序列模式的异常行为检测方法及系统 - Google Patents

基于频繁行为序列模式的异常行为检测方法及系统 Download PDF

Info

Publication number
CN110704773A
CN110704773A CN201810661474.9A CN201810661474A CN110704773A CN 110704773 A CN110704773 A CN 110704773A CN 201810661474 A CN201810661474 A CN 201810661474A CN 110704773 A CN110704773 A CN 110704773A
Authority
CN
China
Prior art keywords
behavior sequence
behavior
frequent
abnormal
detection model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810661474.9A
Other languages
English (en)
Other versions
CN110704773B (zh
Inventor
张振海
罗剑江
胡泽柱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SF Technology Co Ltd
Original Assignee
SF Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SF Technology Co Ltd filed Critical SF Technology Co Ltd
Priority to CN201810661474.9A priority Critical patent/CN110704773B/zh
Publication of CN110704773A publication Critical patent/CN110704773A/zh
Application granted granted Critical
Publication of CN110704773B publication Critical patent/CN110704773B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种基于频繁行为序列模式的异常行为检测方法及系统。所述方法包括根据所采集的数据,生成频繁行为序列模式集合;删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。本发明方法能够降低针对企业Web应用系统中的异常访问行为的检测模型构建和预测过程中的计算复杂度;并且减少模型的误报率,提高对于企业Web应用系统中的异常访问行为检测的准确程度。

Description

基于频繁行为序列模式的异常行为检测方法及系统
技术领域
本发明涉及数据分析处理领域,尤其涉及一种基于频繁行为序列模式的异常行为检测方法及系统。
背景技术
在企业的Web应用系统中,通常员工可以使用自己的账号登录企业的IT系统完成各种工作。Web应用系统给企业带来便利的同时也存在潜在的信息泄漏风险,比如员工之间通过共享账号看到了非职责范围内的信息或者由于账号被盗导致企业内部信息泄漏等。在企业中,每个员工的工作内容相对比较稳定,因此在使用企业不同Web应用系统过程中所产生的访问行为序列具有很强的规律性。通过检测员工登录不同Web应用系统(不同应用系统对应不同的IP地址和端口号)之后产生的访问行为序列发现异常的使用行为,及时采取相应措施,防止企业信息泄漏。
但是,目前的异常行为序列检测方法存在以下问题:
(1)目前的异常行为序列模式检测方法会产生大量的行为模式集合,造成在模型构建和预测过程中的计算复杂度比较大;
(2)目前的异常行为序列模式检测方法无法自动更新模型以适应实际行为模式的变化,导致模型的误报率越来越高。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
鉴于上述问题,本发明的第一个目的在于提供一种基于频繁行为序列模式的异常行为检测方法。该方法能够提高异常行为检测模型应对由于员工部分工作内容发生变化导致实际访问行为变化的能力,减少模型的误报率。
本发明的第二个目的在于提供一种基于频繁行为序列模式的异常行为检测系统。
本发明的第三个目的在于提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如上所述方法中的步骤。
本发明的第四个目的在于提供一种设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上所述方法中的步骤。
为实现上述第一个目的,本发明采用了如下的技术方案:
一种基于频繁行为序列模式的异常行为检测方法,所述方法包括如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
优选地,根据所采集的数据,生成所述频繁行为序列模式集合的过程包括:
将所采集的数据按照时间划分为若干数据块;
针对数据块内的所有行为序列,生成行为序列模式,并统计每个行为序列模式的计数,得到行为序列模式集合;
计算行为序列模式集合中每个行为序列模式的支持度,得到行为序列模式支持度集合;
设定最小支持度阈值,挑选出行为序列模式支持度集合中大于最小支持度阈值的行为序列模式,组成新的集合,即为频繁行为序列模式集合。
优选地,所述支持度的定义为:
在行为序列模式集合中,任一行为序列模式的出现次数与该行为序列模式集合的大小之比,即为该行为序列模式的支持度。
优选地,剔除所述频繁行为序列模式集合中的所有子行为序列模式,对所述频繁行为序列模式集合进行压缩的过程包括:
从频繁行为序列模式集合中任选一个未被访问过的频繁行为序列模式Bi p,针对集合中除了Bi p以外的任一频繁行为序列模式Bj p,如果Bj p为Bi p子行为序列,则将Bj p从集合中删除;
如果不存在未被访问过的频繁行为序列模式,则输出所述频繁行为序列模式集合,否则重复上一步骤。
优选地,所述异常行为检测模型集合包括多个压缩后的频繁行为序列模式。
优选地,对所述异常行为检测模型集合进行动态更新的过程包括:
对于当前构建的异常行为检测模型集合,使用每一个模型对新产生的行为序列模式集合中的每一个行为序列模式进行预测,并根据预测结果将超过半数的结果作为最终输出结果;
根据最终输出结果计算各个异常行为检测模型的准确率,将准确率最低的异常行为检测模型从异常行为检测模型集合中删除,得到动态更新后的异常行为检测模型集合。
优选地,所述利用动态更新后的异常行为检测模型集合对新产生的频繁行为序列模式集合进行检测的过程包括:
利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测,得到预测结果;
针对每个行为序列模式,将超过多半数的预测结果作为最终预测结果。
优选地,所述利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测的过程为:
对于新产生的行为序列模式,如果满足以下2个条件之一,则认为该序列模式为正常行为序列模式,否则认为该行为序列模式为异常行为序列模式:
(1)新产生的行为序列模式为模型中某个频繁行为序列模式的子序列;
(2)新产生的行为序列模式与模型中某个频繁行为序列模式的编辑距离小于设定阈值。
为实现上述第二个目的,本发明采用了如下的技术方案:
一种基于频繁行为序列模式的异常行为检测系统,所述系统包括:
生成模块,用于根据所采集的数据,生成频繁行为序列模式集合;
压缩模块,用于删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
集成更新模块,用于基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
检测模块,用于利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
为实现上述第三个目的,本发明采用了如下的技术方案:
一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
为实现上述第四个目的,本发明采用了如下的技术方案:
一种设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
本发明有益效果:
(1)本发明的方法能够减少异常行为序列模式构建过程中产生的冗余行为模式,降低针对企业Web应用系统中的异常访问行为的检测模型构建和预测过程中的计算复杂度;
(2)本发明的方法基于集成学习框架,动态更新模型,以适应实际行为模式的变化,减少模型的误报率,提高对于企业Web应用系统中的异常访问行为检测的准确程度。
附图说明
图1示出了实施例1中的基于频繁行为序列模式的异常行为检测方法流程图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和具体实施方式对本发明进行详细描述。在这些附图中,对于相同或者相当的构成要素,标注相同标号。以下仅为本发明的最佳实施方式,本发明并不仅限于下述内容。
实施例1
本实施例涉及一种基于频繁行为序列模式的异常行为检测方法。
图1示出了实施例1中的基于频繁行为序列模式的异常行为检测方法流程图。
在该实施例中,对相关术语进行如下定义:
针对术语“行为序列”,做如下定义:
对于访问Web应用系统行为b以及该访问行为发生的时间t,令元组(b,t)表示在时间t产生了行为b,则对于行为集合{(b1,t1),(b2,t2),...,(bn,tn)},如果满足t1<t2<...<tn,其中ti<ti+1表示时间ti早于时间ti+1,则称(b1,b2,...,bn)为一个行为序列。
针对术语“行为序列模式”,做如下定义:
对于一个行为序列(b1,b2,...,bn),它的任一子序列(bi,bi+1,...,bj),其中1≤i<j≤n,称为该行为序列的一个行为序列模式,记为Bp
针对术语“支持度”,做如下定义:
在行为序列模式集合中,任一行为序列模式的出现次数与该行为序列模式集合的大小之比,即为该行为序列模式的支持度。
具体地,对于行为序列模式集合
Figure BDA0001706874640000061
ni为行为序列模式
Figure BDA0001706874640000062
出现的次数,则称ni/n为
Figure BDA0001706874640000063
的支持度。
针对术语“频繁行为序列模式”,做如下定义:
对于任一行为序列模式
Figure BDA0001706874640000064
如果它的支持度Ii大于最小支持度阈值Imin,则称为频繁行为序列模式。
本实施例的基于频繁行为序列模式的异常行为检测方法的基本思路是:采用频繁行为序列模式表示正常的行为模式,对于新产生的行为序列,如果与频繁行为序列模式不相符,则认为是异常行为。
如图1所示,本实施例的基于频繁行为序列模式的异常行为检测方法包括如下步骤:
步骤S1,从企业庞大的数据信息中采集所需的数据,所需的信息主要为访问企业Web应用系统的行为,以及该行为发生的时间。
步骤S2,根据所采集的数据,生成频繁行为序列模式集合。
上述生成频繁行为序列模式集合的过程包括如下步骤:
步骤S201,将所采集的数据按照时间划分为若干数据块。
步骤S202,针对数据块内的所有行为序列,生成行为序列模式,并统计每个行为序列模式的计数,得到行为序列模式集合。
具体地,例如针对数据块i内的所有行为序列(b1,b2,...,bn),生成行为序列模式Bp,并统计每个行为序列模式的计数,得到行为序列模式集合
Figure BDA0001706874640000071
ni为行为序列模式出现的次数。
步骤S203,计算行为序列模式集合中每个行为序列模式的支持度,得到行为序列模式支持度集合。
具体地,例如计算行为序列模式集合S中各个行为序列模式的支持度,即Ii=ni/(n1+n2+...+nn),得到序列模式支持度集合
Figure BDA0001706874640000073
步骤S204,设定最小支持度阈值,挑选出行为序列模式支持度集合中大于最小支持度阈值的行为序列模式,组成新的集合,即为频繁行为序列模式集合。
具体地,例如根据最小支持度阈值Imin过滤集合SI,即挑选出Ii>Imin的元素,得到集合
Figure BDA0001706874640000074
其中k≤n;根据得到频繁行为序列模式集合
Figure BDA0001706874640000076
步骤S3,删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩。
在实际应用中,频繁行为序列模式集合中会存在冗余的行为序列模式,造成模型的计算复杂度比较高,为此采用频繁行为序列模式的子行为序列模式也是频繁行为序列模式的性质,去掉所有的子行为序列模式,只留下行为序列长度最长的模式,以此方式对频繁行为序列模式集合进行压缩。
该压缩过程具体包括如下步骤:
步骤S301,从频繁行为序列模式集合Bp中任选一个未被访问过的频繁行为序列模式
Figure BDA0001706874640000077
针对集合中除了以外的任一频繁行为序列模式
Figure BDA0001706874640000079
如果
Figure BDA00017068746400000710
Figure BDA00017068746400000711
子行为序列,则将
Figure BDA00017068746400000712
从集合Bp中删除。
步骤S302,如果不存在未被访问过的频繁行为序列模式,则输出所述频繁行为序列模式集合,否则重复上一步骤S301。
步骤S4,基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新。
针对实际应用中行为模式会随着时间发生变化的问题,解决的思路为首先将行为序列数据按照时间划分成多个数据块,然后在每个数据块上构建相应模型,最后基于集成学习框架对这些模型进行融合和更新,即为步骤4的集成模型过程。
基于压缩后的频繁行为序列模式集合构建的异常行为检测模型集合,实际上就是步骤S3中输出的压缩后的频繁序列模式集合,也即,异常行为检测模型包括多个压缩后的频繁行为序列模式,每个模型实际上由多个频繁行为序列模式组成。
步骤4中,当一个在新数据块上构建的模型被输出到集成模型过程时,如果当前模型的数量超过了设定的阈值,则需要删除其中性能比较差的一个模型,该过程即是对异常行为检测模型集合进行动态更新的过程。该过程采用少数服从多数的投票法进行判决,具体步骤如下:
步骤S401,对于当前构建的异常行为检测模型集合,使用每一个模型对新产生的行为序列模式集合中的每一个行为序列模式进行预测,并根据预测结果将超过半数的结果作为最终输出结果。
具体地,例如对于当前构建的异常行为检测模型集合E={E1,E2,...,Ep}和待测试的新产生的行为序列模式集合B,使用每一个模型Ei对B中的每一个行为序列模式进行预测,并根据预测结果将超过半数的结果作为最终输出结果。
步骤S402,根据最终输出结果计算各个异常行为检测模型的准确率,将准确率最低的异常行为检测模型从异常行为检测模型集合中删除,得到动态更新后的异常行为检测模型集合。
具体地,例如根据上一步S401得到的测试集合B的最终输出结果计算各个模型Ei的准确率,并将其中准确率最低的模型删除,即得到动态更新后的异常行为检测模型集合。
步骤S5,从企业庞大的数据信息中分离出新产生的行为序列模式集合,以便利用上述步骤S4中得到的动态更新后的异常行为检测模型集合对其进行检测。
步骤S6,利用动态更新后的异常行为检测模型集合对新产生的频繁行为序列模式集合进行检测,判断其是否为异常行为,并输出结果。
本步骤中,对于新产生的行为序列集合,检测的过程如下:
利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测,得到预测结果;
针对每个行为序列模式,将超过多半数的预测结果作为最终预测结果。
利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测的过程为:
对于新产生的行为序列模式,如果满足以下2个条件之一,则认为该序列模式为正常行为序列模式,否则认为该行为序列模式为异常行为序列模式:
(1)新产生的行为序列模式为模型中某个频繁行为序列模式的子序列;
(2)新产生的行为序列模式与模型中某个频繁行为序列模式的编辑距离小于设定阈值。
检测的具体步骤为:
步骤S601,针对新产生的行为序列模式B,生成它的行为序列模式集合,即为集合
Figure BDA0001706874640000091
步骤S602,利用动态更新后的检测模型集合E'={E'1,E'2,...,E'p}中的每一个模型E’i对Bm中的每一个行为序列模式Bm i进行预测,得到预测结果R={R1,R2,...,Rn},其中Ri={r1,r2,...,rp},其中,Rn表示E'对行为序列模式
Figure BDA0001706874640000101
的预测结果,rn表示E'中第n个模型对行为序列模式
Figure BDA0001706874640000102
的预测结果。
步骤S603,对每个Ri={r1,r2,...,rp}进行统计,将超过半数的预测结果作为行为序列模式
Figure BDA00017068746400001011
的最终预测结果
其中,在上述步骤S602中,利用E’i对Bm i进行预测的过程如下:
动态更新后的异常行为检测模型集合为E'={E1',E2',...,Ep'},其中
Figure BDA0001706874640000103
对于
Figure BDA0001706874640000104
中的任意一个频繁行为序列模式
Figure BDA0001706874640000105
如果
Figure BDA0001706874640000106
Figure BDA0001706874640000107
的一个子序列或者
Figure BDA0001706874640000109
的编辑距离小于人为设定的阈值d,则认为
Figure BDA00017068746400001010
为正常行为序列模式,否则为异常行为序列模式。
本实施例的方法能够提高异常检测模型应对由于员工部分工作内容发生变化导致实际访问行为变化的能力,减少模型的误报率,提高检测异常行为的准确性。
其中,针对实际应用过程中产生过多频繁行为序列模式导致计算复杂度较高的问题,本实施例采用频繁行为序列模式的子行为序列模式也是频繁行为序列模式的性质,去掉所有的子行为序列模式,只留下行为序列长度最长的模式,将频繁行为序列模式进行压缩。
其中,针对实际应用中行为模式会随着时间发生变化的问题,首先将行为序列数据按照时间划分成多个数据块,然后在每个数据块上构建相应模型,最后基于集成学习框架对这些模型进行融合和更新,得到动态更新后的检测模型集合。
实施例2
本实施例涉及一种基于频繁行为序列模式的异常行为检测系统,该系统包括:
生成模块,用于根据所采集的数据,生成频繁行为序列模式集合;
压缩模块,用于删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
集成更新模块,用于基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
检测模块,用于利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
实施例3
本实施例涉及一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
实施例4
本实施例涉及一种设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行上述程序时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进。这些变型和改进也视为本发明的保护范围。

Claims (11)

1.一种基于频繁行为序列模式的异常行为检测方法,其特征在于,所述方法包括如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
2.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,根据所采集的数据,生成所述频繁行为序列模式集合的过程包括:
将所采集的数据按照时间划分为若干数据块;
针对数据块内的所有行为序列,生成行为序列模式,并统计每个行为序列模式的计数,得到行为序列模式集合;
计算行为序列模式集合中每个行为序列模式的支持度,得到行为序列模式支持度集合;
设定最小支持度阈值,挑选出行为序列模式支持度集合中大于最小支持度阈值的行为序列模式,组成新的集合,即为频繁行为序列模式集合。
3.根据权利要求2所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述支持度的定义为:
在行为序列模式集合中,任一行为序列模式的出现次数与该行为序列模式集合的大小之比,即为该行为序列模式的支持度。
4.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,剔除所述频繁行为序列模式集合中的所有子行为序列模式,对所述频繁行为序列模式集合进行压缩的过程包括:
从频繁行为序列模式集合中任选一个未被访问过的频繁行为序列模式Bi p,针对集合中除了Bi p以外的任一频繁行为序列模式Bj p,如果Bj p为Bi p子行为序列,则将Bj p从集合中删除;
如果不存在未被访问过的频繁行为序列模式,则输出所述频繁行为序列模式集合,否则重复上一步骤。
5.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述异常行为检测模型集合包括多个压缩后的频繁行为序列模式。
6.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,对所述异常行为检测模型集合进行动态更新的过程包括:
对于当前构建的异常行为检测模型集合,使用每一个模型对新产生的行为序列模式集合中的每一个行为序列模式进行预测,并根据预测结果将超过半数的结果作为最终输出结果;
根据最终输出结果计算各个异常行为检测模型的准确率,将准确率最低的异常行为检测模型从异常行为检测模型集合中删除,得到动态更新后的异常行为检测模型集合。
7.根据权利要求1所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测的过程包括:
利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测,得到预测结果;
针对每个行为序列模式,将超过多半数的预测结果作为最终预测结果。
8.根据权利要求7所述的基于频繁行为序列模式的异常行为检测方法,其特征在于,所述利用动态更新后的异常行为检测模型集合中的各个模型对新产生的行为序列模式集合中的每个行为序列模式进行预测的过程为:
对于新产生的行为序列模式,如果满足以下2个条件之一,则认为该序列模式为正常行为序列模式,否则认为该行为序列模式为异常行为序列模式:
(1)新产生的行为序列模式为模型中某个频繁行为序列模式的子序列;
(2)新产生的行为序列模式与模型中某个频繁行为序列模式的编辑距离小于设定阈值。
9.一种基于频繁行为序列模式的异常行为检测系统,其特征在于,所述系统包括:
生成模块,用于根据所采集的数据,生成频繁行为序列模式集合;
压缩模块,用于删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
集成更新模块,用于基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
检测模块,用于利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
11.一种设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如下步骤:
根据所采集的数据,生成频繁行为序列模式集合;
删除频繁行为序列模式集合中的所有子行为序列模式,对频繁行为序列模式集合进行压缩;
基于压缩后的频繁行为序列模式集合构建异常行为检测模型集合,并对异常行为检测模型集合进行动态更新;
利用动态更新后的异常行为检测模型集合对新产生的行为序列模式集合进行检测,输出结果。
CN201810661474.9A 2018-06-25 2018-06-25 基于频繁行为序列模式的异常行为检测方法及系统 Active CN110704773B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810661474.9A CN110704773B (zh) 2018-06-25 2018-06-25 基于频繁行为序列模式的异常行为检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810661474.9A CN110704773B (zh) 2018-06-25 2018-06-25 基于频繁行为序列模式的异常行为检测方法及系统

Publications (2)

Publication Number Publication Date
CN110704773A true CN110704773A (zh) 2020-01-17
CN110704773B CN110704773B (zh) 2022-06-03

Family

ID=69192637

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810661474.9A Active CN110704773B (zh) 2018-06-25 2018-06-25 基于频繁行为序列模式的异常行为检测方法及系统

Country Status (1)

Country Link
CN (1) CN110704773B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113239110A (zh) * 2021-06-11 2021-08-10 国网甘肃省电力公司电力科学研究院 一种面向新能源大数据的异常检测方法
CN113434747A (zh) * 2021-06-09 2021-09-24 佳源科技股份有限公司 一种基于序列模式的异常行为跟踪装置及方法
CN113726814A (zh) * 2021-09-09 2021-11-30 中国电信股份有限公司 用户异常行为识别方法、装置、设备及存储介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090245140A1 (en) * 2008-03-31 2009-10-01 Nokia Corporation Bionets architecture for building services capable of self-evolution
CN104077571A (zh) * 2014-07-01 2014-10-01 中山大学 一种采用单类序列化模型的人群异常行为检测方法
CN105138916A (zh) * 2015-08-21 2015-12-09 中国人民解放军信息工程大学 基于数据挖掘的多轨迹恶意程序特征检测方法
CN105843947A (zh) * 2016-04-08 2016-08-10 华南师范大学 基于大数据关联规则挖掘的异常行为检测方法和系统
US9438614B2 (en) * 2002-10-23 2016-09-06 Fred Herz Patents, LLC Sdi-scam
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
CN106650433A (zh) * 2016-12-15 2017-05-10 咪咕数字传媒有限公司 一种异常行为检测方法及系统
CN107357712A (zh) * 2017-07-17 2017-11-17 顺丰科技有限公司 一种查单异常检测方法、系统及设备
CN108055281A (zh) * 2017-12-27 2018-05-18 百度在线网络技术(北京)有限公司 账户异常检测方法、装置、服务器及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9438614B2 (en) * 2002-10-23 2016-09-06 Fred Herz Patents, LLC Sdi-scam
US20090245140A1 (en) * 2008-03-31 2009-10-01 Nokia Corporation Bionets architecture for building services capable of self-evolution
CN104077571A (zh) * 2014-07-01 2014-10-01 中山大学 一种采用单类序列化模型的人群异常行为检测方法
CN105138916A (zh) * 2015-08-21 2015-12-09 中国人民解放军信息工程大学 基于数据挖掘的多轨迹恶意程序特征检测方法
CN105843947A (zh) * 2016-04-08 2016-08-10 华南师范大学 基于大数据关联规则挖掘的异常行为检测方法和系统
CN106650433A (zh) * 2016-12-15 2017-05-10 咪咕数字传媒有限公司 一种异常行为检测方法及系统
CN106657410A (zh) * 2017-02-28 2017-05-10 国家电网公司 基于用户访问序列的异常行为检测方法
CN107357712A (zh) * 2017-07-17 2017-11-17 顺丰科技有限公司 一种查单异常检测方法、系统及设备
CN108055281A (zh) * 2017-12-27 2018-05-18 百度在线网络技术(北京)有限公司 账户异常检测方法、装置、服务器及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CHEN SHENGBING: "Mining dynamical frequent itemsets based on ant colony algorithm", 《2011 IEEE INTERNATIONAL CONFERENCE ON COMPUTER SCIENCE AND AUTOMATION ENGINEERING》 *
郑红艳等: "用户行为异常检测模型", 《计算机系统应用》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113434747A (zh) * 2021-06-09 2021-09-24 佳源科技股份有限公司 一种基于序列模式的异常行为跟踪装置及方法
CN113239110A (zh) * 2021-06-11 2021-08-10 国网甘肃省电力公司电力科学研究院 一种面向新能源大数据的异常检测方法
CN113726814A (zh) * 2021-09-09 2021-11-30 中国电信股份有限公司 用户异常行为识别方法、装置、设备及存储介质
CN113726814B (zh) * 2021-09-09 2022-09-02 中国电信股份有限公司 用户异常行为识别方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN110704773B (zh) 2022-06-03

Similar Documents

Publication Publication Date Title
CN108090567B (zh) 电力通信系统故障诊断方法及装置
CN110704773B (zh) 基于频繁行为序列模式的异常行为检测方法及系统
CN110995482A (zh) 告警分析方法、装置、计算机设备及计算机可读存储介质
CN112948614B (zh) 图像处理方法、装置、电子设备及存储介质
CN108388509B (zh) 一种软件测试方法、计算机可读存储介质及终端设备
US20130339355A1 (en) Clustering streaming graphs
CN116227240B (zh) 基于综合应力加速试验的产品寿命评价方法、装置及设备
WO2013187816A1 (en) Method and a consistency checker for finding data inconsistencies in a data repository
US20190050672A1 (en) INCREMENTAL AUTOMATIC UPDATE OF RANKED NEIGHBOR LISTS BASED ON k-th NEAREST NEIGHBORS
CN111581056A (zh) 基于人工智能的软件工程数据库维护与预警系统
CN110727666A (zh) 面向工业互联网平台的缓存组件、方法、设备及存储介质
CN110399464B (zh) 一种相似新闻判别方法、系统及电子设备
CN115269519A (zh) 一种日志检测方法、装置及电子设备
CN114896418A (zh) 知识图谱构建方法、装置、电子设备及存储介质
EP2784692A1 (en) Filter regular expression
CA3144051A1 (en) Data sorting method, device, and system
CN114416462A (zh) 一种机器行为识别方法及装置、电子设备、存储介质
CN109783523B (zh) 一种数据处理方法、装置、设备和存储介质
CN110719260B (zh) 智能网络安全分析方法、装置及计算机可读存储介质
CN117056307A (zh) 数据库管理方法、装置、设备、存储介质和程序产品
CN109542662B (zh) 一种内存管理方法、装置、服务器及存储介质
CN116226223A (zh) 一种数据处理方法、装置、电子设备及存储介质
CN114240987A (zh) 变电站路径临时围栏屏障模型建立方法和装置
CN116069724A (zh) 数据库性能快照的使用方法、存储介质及设备
CN115238132A (zh) 一种模式串的匹配方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant