CN111353600A

CN111353600A - 一种异常行为检测方法及装置

Info

Publication number: CN111353600A
Application number: CN202010106907.1A
Authority: CN
Inventors: 秦一焜
Original assignee: 4Paradigm Beijing Technology Co Ltd
Current assignee: 4Paradigm Beijing Technology Co Ltd
Priority date: 2020-02-20
Filing date: 2020-02-20
Publication date: 2020-06-30
Anticipated expiration: 2040-02-20
Also published as: CN111353600B

Abstract

本发明公开了一种异常行为检测方法及装置，涉及计算机技术领域，主要目的在于提高异常行为检测的准确度；主要技术方案包括：基于指定业务的第一数据源获取第一训练样本集，第一训练样本集中的各第一训练样本均具有其各自的标签，标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；基于第一训练样本集生成基模型；基于指定业务的第二数据源获取第二训练样本集，第二训练样本集中的各第二训练样本均具有其各自的标签，标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；利用第二训练样本集更新所述基模型；使用更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测。

Description

一种异常行为检测方法及装置

技术领域

本发明涉及计算机技术领域，特别是涉及一种异常行为检测方法及装置。

背景技术

随着互联网技术的发展，越来越多的业务依赖于互联网进行，但是相伴而生的一些诸如洗钱行为、恶意互联网机器行为等异常行为逐渐渗入到互联网中。为了打击诸如洗钱行为、恶意互联网机器行为等异常行为，需要在互联网中进行异常行为检测。

目前，互联网中的异常行为检测主要通过预设的机器学习模型完成，该机器学习模型的异常行为检测能力受限于其训练集，也就是说该机器学习模型仅在与其训练集相应的应用场景下才具有较优的异常行为检测能力。一旦机器学习模型应用场景发生变动或恶意人员设计出训练集之外的新的恶意行为，机器学习模型将很难准确的检测出异常行为。

发明内容

有鉴于此，本发明提出了一种异常行为检测方法及装置，主要目的在于提高异常行为检测的准确度。

第一方面，本发明提供了一种异常行为检测方法，该方法包括：

基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；

基于所述第一训练样本集生成基模型；

基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；

利用所述第二训练样本集更新所述基模型；

使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

第二方面，本发明提供了一种异常行为检测装置，该装置包括：

第一获取单元，用于基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；

生成单元，用于基于所述第一训练样本集生成基模型；

第二获取单元，用于基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；

更新单元，用于利用所述第二训练样本集更新所述基模型；

检测单元，用于使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

第三方面，本发明提供了一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行第一方面所述的异常行为检测方法。

第四方面，本发明提供了一种存储管理设备，所述存储管理设备包括：存储器，用于存储程序；处理器，耦合至所述存储器，用于运行所述程序以执行第一方面所述的异常行为检测方法。

借由上述技术方案，本发明提供的异常行为检测方法及装置，首先基于指定业务的第一数据源获取第一训练样本集，并基于第一训练样本集生成基模型。当出现新的异常行为或将基模型应用到新的场景中时，基于指定业务的第二数据源获取第二训练样本集，并利用第二训练样本集更新基模型。最后使用更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测。可见，本发明提供的方案中当出现新的异常行为或将基模型应用到新的场景中时，使用第二训练样本集对基模型进行调整，以便基模型在把握异常行为检测最本质的特征的同时，又能兼顾与第二数据源相应的特定场景下的特征，从而提高基模型对与第二数据源相应的待检测数据进行异常行为检测的准确程度。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明一个实施例提供的一种异常行为检测方法的流程图；

图2示出了本发明另一个实施例提供的另一种异常行为检测方法的流程图；

图3示出了本发明另一个实施例提供的又一种异常行为检测方法的流程图；

图4示出了本发明一个实施例提供的一种异常行为检测装置的结构示意图；

图5示出了本发明另一个实施例提供的一种异常行为检测装置的结构示意图。

具体实施方式

下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

如图1所示，本发明实施例提供了一种异常行为检测方法，该方法主要包括：

101、基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本。

在实际应用中，异常行为检测是针对指定业务进行的，通常不同的指定业务具有不同的异常行为检测需求，因此为了使异常行为检测所用的模型能够准确的对指定业务进行异常行为检测，则生成基模型所需的第一训练样本集应来源于指定业务的数据源。本实施例中所提及的指定业务可以基于具体业务要求选定，本实施例中不作具体限定。可选的，指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

在本实施例中，基于指定业务的第一数据源获取第一训练样本集，其中，该第一数据源中包括有大量的指定业务的历史数据。基于指定业务的第一数据源获取第一训练样本集的具体过程与指定业务的具体形式有关，下面分别对指定业务为网页机器行为检测和洗钱行为检测进行说明：

具体的，在指定业务为网页机器行为检测时，基于指定业务的第一数据源获取第一训练样本集的具体过程为：获取第一数据源中的网页操作行为数据；将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征；基于每个训练样本的特征，为训练样本标识标签，标签用于标识对应的训练样本是机器行为样本还是人类行为样本。其中，机器行为样本为对应异常行为的正样本，人类行为样本为对应正常行为的负样本。

具体的，在指定业务为洗钱行为检测时，基于指定业务的第一数据源获取第一训练样本集的具体过程为：获取第一数据源中的账户相关数据；将一个预设周期内的一个账户定义为一个训练样本，基于账户相关数据为每个训练样本生成特征；基于每个训练样本的特征，为训练样本标识标签，标签用于标识对应的训练样本是否为洗钱行为样本。洗钱行为样本为对应异常行为的正样本，非洗钱行为样本为对应正常行为的负样本。

102、基于所述第一训练样本集生成基模型。

在实际应用中，基模型的具体类型可以基于具体的业务要求选取，本实施例中不做具体限定。可选的，基模型可以为如下中的任意一种：GBDT((Gradient BoostingDecision Tree，梯度提升迭代决策树)、xgboost((eXtreme Gradient Boosting，极端梯度提升)和lightGBM(Light Gradient Boosting Machine，)

在本实施例中，在确定基模型的具体类型之后，选取该具体类型的样本模型，然后利用第一训练样本集作为样本模型的输入，对样本模型中的各决策树进行迭代训练，直至样本模型收敛。在样本模型收敛后，得到基模型。

103、基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本。

在本实施例中，为了使得基模型能够迁移到与第二数据源相应的场景(比如，与第二数据源相应的网站)中使用，则需要从第二数据源获取第二训练样本集，以利用第二训练样本集更新基模型，使得基模型能够兼顾到第二训练样本集中的特征。另外，为了保证基模型的更新效果和提高基模型的适用性，所使用的第二数据源应当与训练基模型所用的第一数据源属于同一指定业务。具体的，第二数据源中的数据为与第一数据源中的数据相比出现新的异常行为的数据。第二数据源可以为针对建立较久的网站，但是近期发现新的恶意机器行为的情况下所产生的数据。第二数据源还可以为针对刚建立不久的网站，没有完善的恶意机器行为数据的情况下所产生的数据。本步骤中获取第二训练样本集的方法与步骤101中获取第一训练样本集的方法基本相同，这里不再赘述。

示例性的，第一数据源为银行A的网站A所产生的账户相关数据，则第二数据源可为银行B新建的网站B所产生的账户相关数据

示例性的，第一数据源为网站C的历史网页机器行为数据，则第二数据源为网站C相对历史网站机器行为数据出现新的恶意机器行为后的历史网页机器行为数据。

在本实施例中，为了减少基模型的更新量，第二训练样本集中的第二训练样本的数量小于第一训练样本集中的第一训练样本的数量。使用数据量较小的第二训练样本集对基模型进行微调，从而提高更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测的准确程度。

104、利用所述第二训练样本集更新所述基模型。

在本实施例中，利用第二训练样本集更新基模型的过程，可以认定为利用第二训练样本集对基模型进行重新训练的过程。利用第二训练样本更新基模型的目的是为了对基模型进行调整，以便基模型在把握异常行为检测最本质的特征的同时，又能兼顾与第二数据源相应的特定场景下的特征，从而提高基模型对与第二数据源相应的待检测数据进行异常行为检测的准确程度。

在本实施例中，利用第二训练样本集更新基模型的具体包括如下两个步骤：

步骤一，在基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为基模型中决策树的总棵数。

具体的，所选取的N棵决策树可以为基模型中全部决策树也可以基模型中的部分决策树。需要说明的是，在所选取的N棵决策树为基模型中的部分决策树时，N棵决策树的选取原则至少包括如下几种：一是，考虑到基模型中位于前面的决策树对异常行为检测起着关键作用，因此所选取的N棵决策树不包括在基模型的前K棵决策树中，其中，K≥1。其中，K值的大小可以基于业务要求确定，且该K的取值随着第二训练样本集中正样本的减少而增加，因此这样尽可能选取多特征对基模型进行重新训练。示例性，K为大于30的数值。二是，考虑到基模型更新的灵活性，则选取的N棵决策树均为在基模型中随机选取的决策树。

具体的，在所选取的N棵决策树为基模型中的部分决策树(也就是N＜M)时，为了降低更新基模型的更新量，可以维持基模型中的其余M-N棵决策树不变。

步骤二，利用第二训练样本集重新训练所述目标决策树。

具体的，利用第二训练样本集重新训练目标决策树的方法至少包括如下几种：

第一种，利用第二训练样本集对各目标决策树进行重新训练。

具体的，在对每一棵目标决策树进行重新训练时均执行：从目标决策树的开始，利用第二训练样本集对目标决策树的各层进行重新训练。需要说明的是，此种重新训练方式会修改目标决策树的分裂情况、叶子节点的权值等参数，最终得到各目标决策树分别对应的新决策树，以便使得基模型学习到第二训练样本集中的长尾特征。

示例性的，基模型为GBDT模型，该基模型中包括有M棵决策树(可选的，M可取值200-300的数值)。选取基模型中第K棵决策树之后的决策树均为目标决策树。在更新基模型时，维持前K棵决策树不变，即不修改前K棵树的分裂情况、叶子节点的权值等参数。从基模型的第K+1棵决策树开始重新训练，以修改第K+1棵决策树及第K+1棵决策树之后决策树的分裂情况、叶子节点的权值等参数，得到新的决策树。

第二种，针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本集从所述目标决策树的T+1层开始重新训练所述目标决策树，其中，所述T≥1。

具体的，在对目标决策树进行更新训练时，确定出目标决策树的T层，维持目标决策树的前T层不变，即对目标决策树的前T层的分裂情况不做改动。利用第二训练样本集从目标决策树的T+1层开始重新训练目标决策树，以使各目标决策树拟合第二训练样本集所涉及的特征。

具体的，各棵目标决策树的T，可以设置的相同，也可以设置的不同。

第三种，针对每一棵所述目标决策树均执行：根据所述目标决策树的各参数的当前值，确定各所述参数对应的取值范围；利用所述第二训练样本，依据各所述参数对应的取值范围重新训练所述目标决策树。

具体的，此种方法在对目标决策树进行重新训练时，不固定目标决策树中的任何参数，而是对目标决策树的各参数设置一个取值范围，以便以各参数的取值范围为限定条件，重新训练目标决策树。在重新训练目标决策树时，各参数的改变不能超出其各自对应的取值范围。

具体的，目标决策树的参数可以包括但不限于如下中的至少一种：树的深度，分裂节点的取值。

示例性的，按照每棵树的深度取值范围是当前深度R的±1的原则，设置深度对应的取值范围为[R-1，R+1]。按照每个分裂点的取值范围是原当前值C的±10％的原则，设置每各分裂点的取值范围为[C-10％C，C+10％C]。

需要说明的是，无论采用上述三种方法中的哪种方法重新训练目标决策树，当目标决策树的数量N小于基模型中决策树的总棵数M时，均需维持基模型中的其余M-N棵决策树不变，即不修改基模型中未被选取为目标决策树的分裂情况、叶子节点的权值等参数，仅对目标决策树进行重新训练。

需要说明的是，上述的三种重新训练目标决策树的方法可以根据业务要求自由组合使用。比如，从上述三种方法中任意选取两种方法进行组合使用。比如，上述的三种方法进行组合使用。示例性的，下面对上述三种方法的组合方式(这里所列举的组合方式仅为示例，并不代表上述三种方法的所有组合方式)进行说明：

该组合方式为：针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，根据目标决策树的T+1层以及T+1层之后各层的各参数的当前值，确定目标决策树的T+1层以及T+1层之后各层的各参数对应的取值范围；利用所述第二训练样本从所述目标决策树的T+1层开始训练所述目标决策树，且在重新训练时，依据各所述参数对应的取值范围重新训练所述目标决策树。

105、使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

在本实施例中，基模型是基于第二数据源所获取的第二训练样本集更新的，因此更新后的基模型必然学习到了第二数据源所涉及的特征，其对第二数据源相应的数据具有较好的异常行为检测效果。需要说明的是，与第二数据源相应的待检测数据为如下中的任意一种：所述第二数据源中未被加入到第二训练样本集中的数据，与所述第二数据源具有相同业务类型的数据。

在对实施例中，使用更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测之后，可以按照各待检测数据的异常行为的可疑程度从高到低排序，根据预先的阈值对异常行为进行IP封锁或者禁止操作等处理措施。

本发明实施例提供的异常行为检测方法，首先基于指定业务的第一数据源获取第一训练样本集，并基于第一训练样本集生成基模型。当出现新的异常行为或将基模型应用到新的场景中时，基于指定业务的第二数据源获取第二训练样本集，并利用第二训练样本集更新基模型。最后使用更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测。可见，本发明实施例提供的方案中当出现新的异常行为或将基模型应用到新的场景中时，使用第二训练样本集对基模型进行调整，以便基模型在把握异常行为检测最本质的特征的同时，又能兼顾与第二数据源相应的特定场景下的特征，从而提高基模型对与第二数据源相应的待检测数据进行异常行为检测的准确程度。

进一步的，根据图1所示的方法，本发明的另一个实施例还提供了一种异常行为检测方法，如图2所示，该方法所涉及到的指定业务为网页机器行为检测，该方法主要包括：

201、获取网页机器行为检测的第一数据源中的网页操作行为数据。

具体的，第一数据源中的网页操作行为数据均为历史数据，其可以涵盖不同网页上的大量网页操作行为数据，其包括有网页操作行为的各种基础和具有代表性的特征，比如，机器行为特征和人类行为特征。

具体的，在网页操作行为数据中包括有已知机器行为和已知人类行为，为了区分不同的操作行为，每个操作行为拥有唯一的编号。

示例性的，网页操作行为数据可以包括但不限于：鼠标记录为：三元组(x,y,t)，其中x和y为屏幕中光标的坐标值，t为鼠标点击的时刻；键盘记录为：二元组(k,t)，其中k表示点击了哪个按键，t是键盘点击的时刻。

202、将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征。

具体的，将一个网页中预设时长内的网页操作行为定义为一条网页操作行为数据，将一条网页操作行为数据定义为一个训练样本。该预设时长可以基于业务要求确定，本实施例中不作具体限定。示例性的，某个网站上十分钟内鼠标键盘的操作行为定义为一条网页操作行为数据，并将该条网页操作行为数据定义为一个训练样本。

具体的，在定义出各训练样本后，为每一个训练样本生成特征。训练样本的特征至少包括如下三种：基础特征、衍生特征和时间窗特征。

基础特征包括有：统计预设时长(示例性，10分钟)内每条训练样本的鼠标点击次数、鼠标点击平均时间间隔、最大点击时间间隔、最小点击时间间隔、键盘点击次数、键盘点击某个按键的次数占所有训练样本点击该按键次数的比重、键盘点击不同按键的数量、键盘点击平均时间间隔、最大时间间隔、最小时间间隔。将电脑屏幕等分为预设面积(示例性的，5×5)的小块，统计光标在每个小块点击次数。

衍生特征包括有：键盘点击某个按键次数占总点击次数的占比、将电脑屏幕等分为预设面积(示例性的，5×5)的小块，统计光标在每个小块点击次数占总鼠标点击次数的比重、键盘和鼠标是否有同时点击行为、键盘输入次数和鼠标点击次数的比值。

时间窗特征包括有：将预设时长(示例性的，十分钟)划分为预设数量个(示例性的，十个)时间窗，分别统计各个时间窗内键盘点击次数和鼠标点击次数，以及相邻时间窗内对应点击次数的差值。

203、基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是机器行为样本还是人类行为样本。

具体的，将训练样本的特征与特征对应的阈值进行比对，根据比对结果，确定训练样本是机器行为样本还是人类行为样本，然后为确定为机器行为样本的训练样本标识机器行为标签，为确定为人类行为样本的训练样本标识人类行为样本。

204、汇总标识标签后的训练样本，形成第一训练样本集。

205、基于所述第一训练样本集生成基模型。

具体的，基模型的类型可以基于业务要求确定，示例性，基模型为GBDT模型。为了保证基模型的泛化能力，使用第一训练样本集生成的基模型的AUC等评估指标在0.85以上即可。

具体的，在生成基模型之后，基模型可以保存在本地硬盘或HDFS文件系统中，以便后续对基模型进行使用或更新。需要说明的是，在生成基模型之后便能够利用基模型进行网页机器行为检测，当基模型需要使用到新建网页站或第一数据源相应的网站出现新的网页机器行为时，则需要提取基模型，对基模型进行更新。

206、获取网页机器行为检测的第二数据源中的网页操作行为数据。

具体的，第二数据源至少包括如下两种形式：第一种，第二数据源中的网页操作行为数据为与第一数据源相应的网页出现新的网页机器行为所涉及的网页操作行为数据。该种形式主要针对建立较久的网站，但是近期发现新的恶意机器行为的情况。第二种，第二数据源中的网页操作行为数据为新建网站出现的网页机器行为所涉及的网页操作行为数据。该中形式主要针对刚建立不久的网站，没有完善的恶意机器行为数据的情况。

207、将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征。

具体的，该步骤所生成的特征是步骤202所生成特征的包集，这样才能实现对基模型的更新。生成特征的方法与步骤202的生成特征的方法基本相同，这里不再赘述。

208、基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是机器行为样本还是人类行为样本。

209、汇总标识标签后的训练样本，形成第二训练样本集。

具体的，由于第二训练样本集是针对特定的网页操作行为数据对基模型进行更新，因此依据第二数据源的所获取的第二训练样本集的数据量不用太大，其数据量可以远小于依据第一数据源的所获取的第一训练样本集量，只要第二训练样本集中的训练样本集中包括有新的网页操作行为特征即可。

210、在所述基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为所述基模型中决策树的总棵数。

211、针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本从所述目标决策树的T+1层开始训练所述目标决策树，其中，所述T≥1。

212、使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

进一步的，根据图1所示的方法，本发明的另一个实施例还提供了一种异常行为检测方法，如图3所示，该方法所涉及到的指定业务为洗钱行为检测，该方法主要包括：

301、获取洗钱行为检测的第一数据源中的账户相关数据。

具体的，第一数据源中的账户相关数据均为历史数据。比如，银行业中的账户客户数据、交易明细数据、可疑交易报告记录等。具体的，在账户相关数据中包括有已知洗钱行为和已知非洗钱行为。

302、将一个预设周期内的一个账户定义为一个训练样本，基于账户相关数据为每个训练样本生成特征。

具体的，将一个预设周期内的一个账户定义为一个训练样本，该预设周期依据业务要求确定，本实施例中不做具体限定。示例性的，该预设周期为一个月或一个星期。比如，将1月的账户1的账户相关数据定义为训练样本1、将2月的账户1的账户相关数据定为训练样本2以及将2月的账户2的账户相关数据定义为训练样本3。

具体的，在定义出各训练样本后，为每一个训练样本生成特征。根据训练样本对应的账户在预设周期内的各种交易行为数据和账户基本信息数据生成基础特征，并将基于特征进行特征的组合衍生得到衍生特征和时间窗特征。

基础特征包括有：性别、年龄、开卡行、开卡时间、开户时间、开户类型、职业、资产余额、日均金额、月均金额等。

衍生特征包括有：对日均余额、月均余额做离散化处理，并对这些离散值与其它特征进行组合，生成大量组合特征(如：开户类型为A且在每个周期内日均余额小于1万的天数等)；计算每个周期中日均余额的最大值、最小值、平均值、方差等统计值；统计交易笔数、交易金额、交易净金额(借贷差)、现金行为等；计算交易金额/交易笔数、交易净金额/交易笔数、现金交易金额/交易笔数的值；计算周期内交易时间与开户时间之差的平均值、工作日交易的比例；将一天分为若干个时段，计算每个时段交易次数占总交易次数的比例等。

时间窗特征包括有：统计某一账户在指定月份或者周之前一、二、三个时间周期内的所有基础特征及衍生特征。

303、基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是否为洗钱行为样本。

具体的，将训练样本的特征与特征对应的阈值进行比对，根据比对结果，确定训练样本是洗钱行为样本还是非洗钱行为样本，然后为确定为洗钱行为样本的训练样本标识洗钱行为标签，为确定为非洗钱行为样本的训练样本标识非洗钱行为样本。

304、汇总标识标签后的训练样本，形成第一训练样本集。

305、基于所述第一训练样本集生成基模型。

具体的，在生成基模型之后，基模型可以保存在本地硬盘或HDFS文件系统中，以便后续对基模型进行使用或更新。需要说明的是，在生成基模型之后便能够利用基模型进行洗钱行为检测，当基模型需要使用到特定的金融机构时，则需要提取基模型，以便基于该特定机构的数据对基模型进行更新。

306、获取洗钱行为检测的第二数据源中的账户相关数据。

具体的，第二数据源至少包括如下两种形式：第一种，第二数据源中的账户相关数据为与第一数据源相应的金融机构出现新的洗钱行为所涉及的账户相关数据。第二种，第二数据源中的账户相关数据为特定金融机构出现的洗钱行为所涉及的账户相关数据。示例性的，第二数据源为数据量较少的金融机构所涉及的账户相关数据。

307、将一个预设周期内的一个账户定义为一个训练样本，一个预设周期内的一个账户定义为一个训练样本。

具体的，该步骤所生成的特征是步骤302所生成特征的包集，这样才能实现对基模型的更新。

308、基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是否为洗钱行为样本。

309、汇总标识标签后的训练样本，形成第二训练样本集。

具体的，由于第二训练样本集是针对特定金融机构对基模型进行更新，因此依据第二数据源的所获取的第二训练样本集的数据量不用太大，其数据量可以远小于依据第一数据源的所获取的第一训练样本集量，只要第二训练样本集中的训练样本集中包括有特定金融机构的洗钱行为特征即可。

310、在所述基模型中选取N棵决策树为目标决策树，其中，N＜M，所述M为所述基模型中决策树的总棵数。

311、维持所述基模型中的其余M-N棵决策树不变。

312、针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，根据目标决策树的T+1层以及T+1层之后各层的各参数的当前值，确定目标决策树的T+1层以及T+1层之后各层的各参数对应的取值范围；利用所述第二训练样本从所述目标决策树的T+1层开始训练所述目标决策树，且在重新训练时，依据各所述参数对应的取值范围重新训练所述目标决策树。

313、使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

进一步的，依据上述方法实施例，本发明的另一个实施例还提供了一种异常行为检测装置，如图4所示，所述装置包括：

第一获取单元41，用于基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；

生成单元42，用于基于所述第一训练样本集生成基模型；

第二获取单元43，用于基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；

更新单元44，用于利用所述第二训练样本集更新所述基模型；

检测单元45，用于使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

本发明实施例提供的异常行为检测装置，首先基于指定业务的第一数据源获取第一训练样本集，并基于第一训练样本集生成基模型。当出现新的异常行为或将基模型应用到新的场景中时，基于指定业务的第二数据源获取第二训练样本集，并利用第二训练样本集更新基模型。最后使用更新后的基模型对与第二数据源相应的待检测数据进行异常行为检测。可见，本发明实施例提供的方案中当出现新的异常行为或将基模型应用到新的场景中时，使用第二训练样本集对基模型进行调整，以便基模型在把握异常行为检测最本质的特征的同时，又能兼顾与第二数据源相应的特定场景下的特征，从而提高基模型对与第二数据源相应的待检测数据进行异常行为检测的准确程度。

可选的，如图5所示，所述更新单元44包括：

选取模块441，用于在所述基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为所述基模型中决策树的总棵数；

更新模块442，用于利用所述第二训练样本集重新所述目标决策树。

可选的，如图5所示，所述更新模块442，用于针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本集从所述目标决策树的T+1层开始重新训练所述目标决策树，其中，所述T≥1。

可选的，如图5所示，所述更新模块442，用于针对每一棵所述目标决策树均执行：根据所述目标决策树的各参数的当前值，确定各所述参数对应的取值范围；利用所述第二训练样本集，依据各所述参数对应的取值范围训练所述目标决策树。

可选的，如图5所示，所述更新单元44还包括：

维持模块443，用于若N＜M，则维持所述基模型中的其余M-N棵决策树不变。

可选的，如图5所示，选取模块441所选取的N棵决策树不包括在所述基模型的前K棵决策树中，其中，K≥1。

可选的，如图5所示，所述指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

可选的，如图5所示，所述指定业务为洗钱行为检测，则所述第一获取单元41包括：

第一获取模块411，用于获取所述第一数据源中的网页操作行为数据；

第一生成模块412，用于将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征；

第一标识模块413，用于基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是机器行为样本还是人类行为样本。

第二获取模块414，用于获取所述第一数据源中的账户相关数据；

第二生成模块415，用于将一个预设周期内的一个账户定义为一个训练样本，基于账户相关数据为每个训练样本生成特征；

第二标识模块416，用于基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是否为洗钱行为样本。

可选的，如图5所示，检测单元45所涉及的与所述第二数据源相应的待检测数据为如下中的任意一种：所述第二数据源中未被加入到第二训练样本集中的数据，与所述第二数据源具有相同业务类型的数据。

可选的，如图5所示，第二获取单元43所获取的第二训练样本集中的第二训练样本的数量小于第一获取单元41所获取的第一训练样本集中的第一训练样本的数量。

本发明实施例提供的异常行为检测装置中，各个功能模块运行过程中所采用的方法详解可以参见图1-图3方法实施例的对应方法详解，在此不再赘述。

进一步的，依据上述实施例，本发明的另一个实施例还提供了一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述中任意一项所述的异常行为检测方法。

进一步的，依据上述实施例，本发明的另一个实施例还提供了一种存储管理设备，所述存储管理设备包括：

存储器，用于存储程序；

处理器，耦合至所述存储器，用于运行所述程序以执行上述中任意一项所述的异常行为检测方法。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

本发明实施例公开了：

A1.一种异常行为检测方法，包括：

基于所述第一训练样本集生成基模型；

利用所述第二训练样本集更新所述基模型；

A2.根据A1所述的方法，利用所述第二训练样本集更新所述基模型，包括：

在所述基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为所述基模型中决策树的总棵数；

利用所述第二训练样本集重新训练所述目标决策树。

A3.根据A2所述的方法，利用所述第二训练样本集重新训练所述目标决策树，包括：

针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本集从所述目标决策树的T+1层开始重新训练所述目标决策树，其中，所述T≥1。

A4.根据A2所述的方法，利用所述第二训练样本集重新训练所述目标决策树，包括：

针对每一棵所述目标决策树均执行：根据所述目标决策树的各参数的当前值，确定各所述参数对应的取值范围；利用所述第二训练样本集，依据各所述参数对应的取值范围重新训练所述目标决策树。

A5.根据A2所述的方法，所述方法还包括：

若N＜M，则维持所述基模型中的其余M-N棵决策树不变。

A6.根据A2所述的方法，所述N棵决策树不包括在所述基模型的前K棵决策树中，其中，K≥1。

A7.根据A1-A6中任一所述的方法，所述指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

A8.根据A7所述的方法，所述指定业务为网页机器行为检测，则基于指定业务的第一数据源获取第一训练样本集，包括：

获取所述第一数据源中的网页操作行为数据；

将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征；

基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是机器行为样本还是人类行为样本。

A9.根据A7所述的方法，所述指定业务为洗钱行为检测，则基于指定业务的第一数据源获取第一训练样本集，包括：

获取所述第一数据源中的账户相关数据；

将一个预设周期内的一个账户定义为一个训练样本，基于账户相关数据为每个训练样本生成特征；

基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是否为洗钱行为样本。

A10.根据A1-A6中任一所述的方法，与所述第二数据源相应的待检测数据为如下中的任意一种：所述第二数据源中未被加入到第二训练样本集中的数据，与所述第二数据源具有相同业务类型的数据。

A11.根据A1-A6中任一所述的方法，所述第二训练样本集中的第二训练样本的数量小于所述第一训练样本集中的第一训练样本的数量。

B1.一种异常行为检测装置，包括：

生成单元，用于基于所述第一训练样本集生成基模型；

更新单元，用于利用所述第二训练样本集更新所述基模型；

B2.根据B1所述的装置，所述更新单元包括：

选取模块，用于在所述基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为所述基模型中决策树的总棵数；

更新模块，用于利用所述第二训练样本集重新训练所述目标决策树。

B3.根据B2所述的装置，所述更新模块，用于针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本集从所述目标决策树的T+1层开始重新训练所述目标决策树，其中，所述T≥1。

B4.根据B2所述的装置，所述更新模块，用于针对每一棵所述目标决策树均执行：根据所述目标决策树的各参数的当前值，确定各所述参数对应的取值范围；利用所述第二训练样本集，依据各所述参数对应的取值范围训练所述目标决策树。

B5.根据B2所述的装置，所述更新单元还包括：

维持模块，用于若N＜M，则维持所述基模型中的其余M-N棵决策树不变。

B6.根据B2所述的装置，所述N棵决策树不包括在所述基模型的前K棵决策树中，其中，K≥1。

B7.根据B1-B6中任一所述的装置，所述指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

B8.根据B7所述的装置，所述指定业务为洗钱行为检测，则所述第一获取单元包括：

第一获取模块，用于获取所述第一数据源中的网页操作行为数据；

第一生成模块，用于将一个预设周期内一个网页的网页操作行为数据定义为一个训练样本，基于网页操作行为数据为每个训练样本生成特征；

第一标识模块，用于基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是机器行为样本还是人类行为样本。

B9.根据B7所述的装置，所述指定业务为洗钱行为检测，则所述第一获取单元包括：

第二获取模块，用于获取所述第一数据源中的账户相关数据；

第二生成模块，用于将一个预设周期内的一个账户定义为一个训练样本，基于账户相关数据为每个训练样本生成特征；

第二标识模块，用于基于每个所述训练样本的特征，为所述训练样本标识标签，所述标签用于标识对应的训练样本是否为洗钱行为样本。

B10.根据B1-B6中任一所述的装置，与所述第二数据源相应的待检测数据为如下中的任意一种：所述第二数据源中未被加入到第二训练样本集中的数据，与所述第二数据源具有相同业务类型的数据。

B11.根据B1-B6中任一所述的装置，所述第二训练样本集中的第二训练样本的数量小于所述第一训练样本集中的第一训练样本的数量。

C1.一种计算机可读存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行A1至A11中任意一项所述的异常行为检测方法。

D1.一种存储管理设备，所述存储管理设备包括：

存储器，用于存储程序；

处理器，耦合至所述存储器，用于运行所述程序以执行A1至A11中任意一项所述的异常行为检测方法。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的深度神经网络模型的运行方法、装置及框架中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims

1.一种异常行为检测方法，其特征在于，包括：

基于所述第一训练样本集生成基模型；

利用所述第二训练样本集更新所述基模型；

2.根据权利要求1所述的方法，其特征在于，利用所述第二训练样本集更新所述基模型，包括：

利用所述第二训练样本集重新训练所述目标决策树。

3.根据权利要求2所述的方法，其特征在于，利用所述第二训练样本集重新训练所述目标决策树，包括：

4.根据权利要求2所述的方法，其特征在于，利用所述第二训练样本集重新训练所述目标决策树，包括：

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若N＜M，则维持所述基模型中的其余M-N棵决策树不变。

6.根据权利要求2所述的方法，其特征在于，所述N棵决策树不包括在所述基模型的前K棵决策树中，其中，K≥1。

7.根据权利要求1-6中任一所述的方法，其特征在于，所述指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

8.一种异常行为检测装置，其特征在于，包括：

生成单元，用于基于所述第一训练样本集生成基模型；

更新单元，用于利用所述第二训练样本集更新所述基模型；

9.一种计算机可读存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至权利要求7中任意一项所述的异常行为检测方法。

10.一种存储管理设备，其特征在于，所述存储管理设备包括：

存储器，用于存储程序；

处理器，耦合至所述存储器，用于运行所述程序以执行权利要求1至权利要求7中任意一项所述的异常行为检测方法。