CN111770047B - 异常群体的检测方法、装置及设备 - Google Patents
异常群体的检测方法、装置及设备 Download PDFInfo
- Publication number
- CN111770047B CN111770047B CN202010375579.5A CN202010375579A CN111770047B CN 111770047 B CN111770047 B CN 111770047B CN 202010375579 A CN202010375579 A CN 202010375579A CN 111770047 B CN111770047 B CN 111770047B
- Authority
- CN
- China
- Prior art keywords
- nodes
- directed
- edge
- abnormal
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请公开了一种异常群体的检测方法、装置及设备,涉及计算机技术领域,能够在异常群体检测的过程中利用场景内丰富的风险属性,强化群体异常检测技术对欺诈场景的针对性,提高异常群体检测结果的稳定性。其中方法包括:将所述关系网络中节点之间的交互行为构成有向同构图;基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重;遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加;若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
Description
技术领域
本申请涉及计算机技术领域,尤其是涉及到一种异常群体的检测方法、装置及设备。
背景技术
随着互联网技术的兴起,用户通过社交、金融等网上行为与其他用户紧密的关联在一起,由此带来产业革新和资源优化的同时,也导致大量以非法获取为目的的网络欺诈行为。其中尤以群体欺诈行为对用户和平台造成损失为最,例如,在脸书、推特等大型社交网络中不法分子往往以群体形式操纵大量的虚拟账号,通过关注热点、大V等行为将虚拟账号伪装成正常用户,进而利用这些虚假用户带来的大量访问和关注快速提高某些话题或不法用户的热度,以便诱导正常用户的行为,从而达到欺诈目的并获利。由于不法分子通常具有较高的反侦查意识,采用群体操作的方式,组织分工明确且灵活多变,常常采取化整为零,伪装正常行为等方式,以较隐蔽的手段完成欺诈行为,往往较难被监管机构侦测,有对正常用户有较高的威胁。因此,在大型网络中检测异常群体的欺诈行为或账户具有重大社会意义。
现有技术中,对异常群体进行检测的方式主要有以下两种,一种是通过社区划分技术进行离群子网络的识别,该技术认为群体欺诈行为会导致群体中用户间存在较大的边密度,而群体中节点与外部节点存在较少的边,从而将欺诈群体在网络内孤立,进而实现异常群体的检测,然而,社区划分技术受到高度数节点干扰较大,当场景网络中存在度数很高的节点时,可能对正常节点存在误判,使得异常群体检测的结果不精准;另一种是通过稠密子图技术进行异常群体检测,该技术认为群体欺诈行为会导致网络中出现点、边密度显著大于全局平均的情况,利用网络内的边密度作为风险度量,通过检测这些异常密度高的局部网络来实现异常群体的检测。然而,稠密子图检测技术主要考虑点、边密度等网络拓扑特性,缺乏有效体现针对欺诈风险的边权重计算,导致群体检测缺乏对异常的针对性,无法利用丰富的场景风险属性,使得不同场景下检测的效果不稳定。
发明内容
有鉴于此,本申请提供了一种异常群体的检测方法、装置及设备,主要目的在于解决目前在异常群体的检测的过程中无法利用场景内丰富的风险属性,导致异常群体检测结果不稳定的问题。
根据本申请的第一个方面,提供了一种异常群体的检测方法,该方法包括:
将所述关系网络中节点之间的交互行为构成有向同构图,所述有向同构图包括节点和有效边,所述有效边由起始节点向终止节点发起的交互行为所形成;
基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,所述入度数为节点被发起交互行为的有效边数量;
遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,所述度数包括入度数和出度数,所述出度数为节点发起的有效边数量;
若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
在本发明实施例中,在所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重之前,所述方法还包括:
利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率。
在本发明实施例中,所述无监督异常检测模型中嵌入有用于孤立异常行为特征的二叉树森林,所述利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率,具体包括:
将关系网络中节点对应的行为数据形成特征空间,并从所述特征空间内抽取预设维度的特征和数据点进行多次随机切割;
利用所述用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量;
通过评估所述特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率。
在本发明实施例中,所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,具体包括:
基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数;
根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
在本发明实施例中,所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的初始边权重和边权重对应的调整系数,具体包括:
通过遍历所述有向同构图中有效边,获取有效边对应的初始边权重;
基于所述有效边两端节点为异常的风险概率和所述有效边对应终止节点的入度数,计算边权重对应的调整系数。
在本发明实施例中,所述遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,具体包括:
基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆,所述最小堆中度数最小的节点位于堆顶;
遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在本发明实施例中,所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,具体包括:
遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重在移除节点前后所产生的变化分别获取移除节点前所述有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;
通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于所述移除节点前所述有向同构图中剩余节点所形成的风险度量,检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在本发明实施例中,在所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加之前,所述方法还包括:
根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
根据本申请的第二个方面,提供了一种异常群体的检测装置,该装置包括:
构建单元,用于将所述关系网络中节点之间的交互行为构成有向同构图,所述有向同构图包括节点和有效边,所述有效边由起始节点向终止节点发起的交互行为所形成;
更新单元,用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,所述入度数为节点被发起交互行为的有效边数量;
检测单元,用于遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,所述度数包括入度数和出度数,所述出度数为节点发起的有效边数量;
输出单元,用于若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
在本发明实施例中,所述装置还包括:
评估单元,用于在所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重之前,利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率。
在本发明实施例中,所述无监督异常检测模型中嵌入有用于孤立异常行为特征的二叉树森林,所述评估单元包括:
切割模块,用于将关系网络中节点对应的行为数据形成特征空间,并从所述特征空间内抽取预设维度的特征和数据点进行多次随机切割;
计算模块,用于利用所述用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量;
评估模块,用于通过评估所述特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率。
在本发明实施例中,所述更新单元包括:
确定模块,用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数;
更新模块,用于根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
在本发明实施例中,所述确定模块包括:
获取子模块,用于通过遍历所述有向同构图中有效边,获取有效边对应的初始边权重;
计算子模块,用于基于所述有效边两端节点为异常的风险概率和所述有效边对应终止节点的入度数,计算边权重对应的调整系数。
在本发明实施例中,所述检测单元包括:
建立模块,用于基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆,所述最小堆中度数最小的节点位于堆顶;
检测模块,用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在本发明实施例中,所述检测模块包括:
遍历子模块,用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重在移除节点前后所产生的变化分别获取移除节点前所述有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;
比对子模块,用于通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于所述移除节点前所述有向同构图中剩余节点所形成的风险度量,检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在本发明实施例中,所述检测单元还包括:
设置模块,用于在所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加之前,根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
依据本申请第三个方面,提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述异常群体的检测方法的步骤。
依据本申请第四个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述异常群体的检测方法的步骤。
借由上述技术方案,本申请提供的一种异常群体的检测方法、装置及设备,与目前现有方式中通过社区划分技术或者稠密子图检测技术对异常群体进行识别的方式相比,本申请通过将网络关系中节点之间的交互行为构成有向同构图,将个体节点的风险与群体风险相结合,能够充分利用场景的风险属性,强化有向同构图群体异常的检测场景,基于有向同构图中有效边两端节点为异常的风险概率和有效边对应中终止节点的入度数,更新有向同构图中有效边的边权重,从而将单个节点为异常的风险概率引入到关联网络的群体节点中,同时将场景中对异常检测的属性引入边信息,能够降低对异常群体中高度数节点的敏感度,提高异常群体过程中的场景针对能力,通过遍历移除有向同构图中度数最小的节点后,根据有效边的边权重检测有向同构图中剩余节点所形成的风险度量是否增加来检测出的异常群体,利用数据结构优化将算法的计算复杂度优化至接近线性,提高异常群体检测结果的稳定。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了本申请实施例提供的一种异常群体的检测方法的流程示意图;
图2示出了本申请实施例提供的另一种异常群体的检测方法的流程示意图;
图3示出了本申请实施例提供的另一种异常群体的检测方法的流程示意图;
图4示出了本申请实施例提供的一种异常群体的检测装置的结构示意图;
图5示出了本申请实施例提供的另一种异常群体的检测装置的结构示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
目前现有的异常群体检测方法主要有两种,一种是社区划分技术,该方法往往利用标签传播实现,当传播达到稳态时社区内节点标签达成一致,但稳态所需的传播时间难以控制,且有较大概率无法达到理想的稳态。领域中是稠密子图检测技术,该方法主要考虑点、边密度等网络拓扑特性,缺乏有效体现针对异常场景的边权重计算,导致检测缺乏对异常场景的针对性,从而使得不同异常场景下检测效果的不稳定。
为了解决该问题,本申请实施例提供了一种异常群体的检测方法,能够在异常群体检测的过程中利用场景内丰富的风险属性,强化群体异常检测技术对欺诈场景的针对性,提高异常群体检测结果的稳定性。
如图1所示,本申请实施例提供了一种异常群体的检测方法,该方法包括如下步骤:
101、将所述关系网络中节点之间的交互行为构成有向同构图。
其中,关系网络可以为用于社交、外卖、购物等服务型网络,该网络中包含有多个节点,各个节点之间通过用户所产生的客观行为进行相互关联,对于社交型关系网络可以通过用户的访问行为进行节点之间的相互关联,对于购物型关系网络可以通过用户的购买行为进行节点之间的相互关联。这里的节点可以为用户产生客观行为所对应的电子设备,如智能终端、笔记本电脑、平板设备等。
为了能够更清晰反映关系网络中节点之间利用用户所产生客观行为进行相互关联,可以通过将关系网络中节点之间的交互行为构成有向同构图,该有向同构图包括节点和有效边,有效边由起始节点向终止节点发起的交互所形成。可理解的是,由于用户所产生的客观行为具有方向性,例如,节点A 访问节点B的方向为由节点A到节点B,节点B访问节点A的方向为由节点 B到节点A,所以,有向同构图中的有效边具有方向性,而对于有向同构图中节点未向任何其他节点发起交互行为或者未被任何其他节点发起交互行为,则说明该节点未形成有效边。
102、基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重。
由于有向同构图中各个节点都有可能成为异常群体内的成员,为了能够更准确划分出异常群体,可以利用有向同构图中有效边的边权重,将有效边的边权重作为考量节点为异常群体的因子,从而检测出关系网络中的异常群体。
随着节点对应用户所产生的交互行为不断发生改变,关系网络中各个节点所形成的有效边数量以及有效边方向也在改变,对于有效边两端节点而言,起止节点和终止节点仅仅是形成当前有效边,作为起始节点还可能向其他非终止节点发起交互行为,作为终止节点还可能被其他非起始节点发起交互行为,这里的入度数即为节点被发起交互行为的有效边数量,本发明实施例可以通过下述公式来更新有向同构图中有效边的边权重:
其中,W0为初始边权重,Rsrc为效边对应起始节点为异常的风险概率,Rdst为效边对应终止节点为异常的风险概率,Degreedst有效边对应终止节点的入度数,c为常数。
103、遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在本发明实施例中,由于异常群体中的节点往往具有出度高、入度低的特点,被异常节点所欺诈的用户反之,具有出度低,入度高,由此可以构成一种与正常用户行为痕迹具有显著差异的拓扑结构,当异常群体的行为数据与正常用户的行为数据进行对比时,可以了解到异常群体中节点之间存在极多的有效边,形成异常致密的局部拓扑结构,通过优先排除有向同构图中有效边数量较少的节点,对有向同构图中剩余节点所形成的风险度量进行判断,以检测异常群体。
具体可以通过统计有向同构图中节点被发起交互行为的有效边数量以及节点向其他节点发起交互行为的有效边数量,以获取有向同构图中的节点度数,即节点的入度数和出度数之和,进一步根据有效边的边权重预先设置用于衡量有向同构图中节点形成的风险度量,该风险度量可以设置为有向同构图中有效边权重的平均值,由于节点度数越小,该节点为异常群体的可能性越小,以度数最小的节点开始,从有向同构图中移除当前度数最小的节点,可以将异常风险最小的节点优先排除后,进而计算移除节点前后有向同构图中节点形成的风险度量,对于移除后形成风险度量增加的节点,说明该节点不属于异常群体,则将当前节点从有向同构图中移除,直至移除节点后有向同构图中节点形成的风险度量不变或者减少,将当前有向同构图中节点作为异常群体进行输出。
104、若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
对于移除有向同构图中节点后形成风险度量不变或者减少的的节点,说明当前有向同构图中所剩节点形成的风险度量趋于平衡,移除节点后对风险度量并未有任何影响,将有向同构图中节点作为检测出的异常群体进行输出。
本申请实施例提供的异常群体的检测方法,与目前现有方式中通过社区划分技术或者稠密子图检测技术对异常群体进行识别的方式相比,本申请通过将网络关系中节点之间的交互行为构成有向同构图,将个体节点的风险与群体风险相结合,能够充分利用场景的风险属性,强化有向同构图群体异常的检测场景,基于有向同构图中有效边两端节点为异常的风险概率和有效边对应中终止节点的入度数,更新有向同构图中有效边的边权重,从而将单个节点为异常的风险概率引入到关联网络的群体节点中,同时将场景中对异常检测的属性引入边信息,能够降低对异常群体中高度数节点的敏感度,提高异常群体过程中的场景针对能力,通过遍历移除有向同构图中度数最小的节点后,根据有效边的边权重检测有向同构图中剩余节点所形成的风险度量是否增加来检测出的异常群体,利用数据结构优化将算法的计算复杂度优化至接近线性,提高异常群体检测结果的稳定。
进一步的,作为上述实施例具体实施方式的细化和扩展,为了完整说明本实施例的具体实施过程,本实施例提供了另一种异常群体的检测方法,主要针对关系型网络中异常群体的检测,如图2所示,该方法包括:
201、利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率。
其中,无监督异常检测模型中嵌入有用于孤立异常行为特征的二叉树森林,二叉树森林可以将异常节点进行孤立,这里的异常节点可以理解为分布稀疏且密度高的群体较远的节点。在特征空间里,分布稀疏的区域表明异常发生的概率较低,因而可以认为落在这些区域内的节点是异常的。
由于二叉树森林可以使得具有异常行为特征的节点进行逐步孤立,具体可以通过将关系网络中节点对应的行为数据形成特征空间,并从特征空间内抽取预设维度的特征和数据点进行多次随机切割;利用用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量;通过评估特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率,特征子空间内节点数量为1说明该节点被孤立,若特征子空间内节点达到1的速度越快,说明该节点越容易被孤立,进而确定该节点为异常的概率值越高,得到节点为异常的风险概率。
本发明实施例利用无监督异常检测模型来稀释在大量正常行为中的少量异常行为,通过在无监督异常检测模型中构造与异常场景更有针对性的特征属性,输入节点对应终端所产生的行为特征向量,例如,用户登录、访问、检索等行为特征向量,经过特征空间,在特征空间中抽取二维特征向量,并对其进行多次随机分割,形成二叉树森林,这些二叉树中距离根节点更近的叶子节点在关系网络中表现为距离群体更远的节点,即异常点,基于节点在二叉树的位置对节点进行风险评估,进而得到节点为异常的风险概率。
202、将所述关系网络中节点之间的交互行为构成有向同构图。
针对关系网络,通过有向同构图的方式可以更清晰表征网络中节点之间的连接以及方向关系,在本发明实施例中,将关系网络中节点之间的交互行为作为有向同构图的边,节点作为有向同构图的顶点,将具有互动关系的顶点按照互动方向进行连接后形成有向同构图。
可以理解的是,通过关系网络中节点的有向同构图,还可以了解网络关的拓扑结构,对于具有相同节点数量的多个关系网络所形成的有向同构图,且各个节点之间形成边的连接性相同,则说明多个关系网络具有相同的拓扑结构,从而针对具有相同拓扑结构的关系网络可以更有效的对异常群体进行检测。
203、基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数。
其中,有向同构图中有效边两端节点为异常的风险概率可以利用步骤201 中的无监督异常检测模型来进行评估,针对每一个有效边都对应有两端节点,对于具有单向交互行为的有效边,则针对单向交互行为产生的有效边,存在一个起始节点和一个终止节点,对于具有双向交互行为的有效边,则针对每个方向的交互行为产生的有效边,都对应有一个起始节点和一个终止节点。对于有效边对应终止节点的入度数可以通过统计终止节点被发起交互行为的有效边数量进行统计,将该数量值作为入度数。
具体可以通过遍历有向同构图中有效边,获取有效边对应的初始边权重,为了便于后续计算,该初始边权重通常可以设置为1,进而基于有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,计算边权重对应的调整系数,通过在边权重对应的调整系数中加入异常场景下的风险属性信息,随着有向同构图中节点之间的拓扑结构发生改变会实时影响到异常群体的检测,提高异常群体检测的精准度。
204、根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
在本发明实施例中,对于有向同构图中每一个有效边,都可以根据有效边对应的初始边权重和边权重对应的调整系数,更新该有效边的边权重,进而更新有向同构图中所有有效边的边权重。
本发明实施例通过更新有向同构图中有效边的边权重,一方面通过实时更新有效边的边权重,可以随着关系网络中节点之间关联关系的改变,不断加入场景中对异常检测的风险属性;另一方面通过除以一个略小于终止节点的入度数,以确保终止节点即使被交互产生的度数较高,其有效边加权影响力仅略大于1,从而避免热门节点在有向同构图中被识别为异常的风险。
205、基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆。
在本发明实施例中,为了便于从有向同构图中能够快速查询到最小度数的节点,通过建立有向结构图中节点的最小堆,该最小堆按照节点度数由低到高的顺序,可以保证处于堆顶的节点的度数最小,进而将无序的节点按照度数进行有序排列,进而很容易筛选出度数最小的节点。
206、根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
可以理解的是,由于这里所设置的风险度量是依据有效边的边权重和节点数量,所以风险度量会随着有向同构图中节点数量和节点之间的互动行为发生改变。
207、遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
具体可以遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据有效边的边权重在移除节点前后所产生的变化分别获取移除节点前有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;进而通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于移除节点前所述有向同构图中剩余节点所形成的风险度量,检测有向同构图中剩余节点所形成的风险度量是否增加。
208、若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
以大型社交网络场景为实例进行具体阐述,在社交群体执行异常行为过程中,社交群体内的用户通常分为两种角色,诱导用户和异常用户,随着异常行为的发生,异常用户频繁地从多个诱导用户对应账户多次获得访问和关注行为,在短时间内快速提升自己在社交网络中的重要度和可信度,以达到欺诈正常用户的目的。而本发明实施例主要涉及三部分,如图3所示,首先利用无监督异常检测激素在高维特征空间中计算各独立节点为异常的风险概率,具体对特征空间中抽取的维度特征向量构建二叉树,进而不断随机切割二叉树以孤立异常节点,从而评估各独立节点为异常的风险概率。其次,基于节点为异常的风险概率更新关系网络中有效边的权重,具体通过构建场景网络,基于节点异常场景的风险概率对有效边的边权重进行降权。最后通过移除度数最高节点以检测异常群体,具体通过构建最小堆,通过查找移除节点后是否存在令异常度量增加的节点,若存在,则移除该节点后继续查找过程,若不存在,则将有向同构图中的节点作为异常群体进行输出。
进一步的,作为图1方法的具体实现,本申请实施例提供了一种异常群体的检测装置,如图4所示,该装置包括:构建单元31、更新单元32、检测单元33、输出单元34。
构建单元31,可以用于将所述关系网络中节点之间的交互行为构成有向同构图,所述有向同构图包括节点和有效边,所述有效边由起始节点向终止节点发起的交互行为所形成;
更新单元32,可以用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,所述入度数为节点被发起交互行为的有效边数量;
检测单元33,可以用于遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,所述度数包括入度数和出度数,所述出度数为节点发起的有效边数量;
输出单元34,可以用于若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
本申请实施例提供的异常群体的检测装置,与目前现有方式中通过社区划分技术或者稠密子图检测技术对异常群体进行识别的方式相比,本申请通过将网络关系中节点之间的交互行为构成有向同构图,将个体节点的风险与群体风险相结合,能够充分利用场景的风险属性,强化有向同构图群体异常的检测场景,基于有向同构图中有效边两端节点为异常的风险概率和有效边对应中终止节点的入度数,更新有向同构图中有效边的边权重,从而将单个节点为异常的风险概率引入到关联网络的群体节点中,同时将场景中对异常检测的属性引入边信息,能够降低对异常群体中高度数节点的敏感度,提高异常群体过程中的场景针对能力,通过遍历移除有向同构图中度数最小的节点后,根据有效边的边权重检测有向同构图中剩余节点所形成的风险度量是否增加来检测出的异常群体,利用数据结构优化将算法的计算复杂度优化至接近线性,提高异常群体检测结果的稳定。
在具体的应用场景中,如图5所示,所述装置还包括:
评估单元35,可以用于在所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重之前,利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率。
在具体的应用场景中,如图5所示,所述无监督异常检测模型中嵌入有用于孤立异常行为特征的二叉树森林,所述评估单元35包括:
切割模块351,可以用于将关系网络中节点对应的行为数据形成特征空间,并从所述特征空间内抽取预设维度的特征和数据点进行多次随机切割;
计算模块352,可以用于利用所述用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量;
评估模块353,可以用于通过评估所述特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率。
在具体的应用场景中,如图4所示,所述更新单元32包括:
确定模块321,可以用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数;
更新模块322,可以用于根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
在具体的应用场景中,如图4所示,所述确定模块321包括:
获取子模块3211,可以用于通过遍历所述有向同构图中有效边,获取有效边对应的初始边权重;
计算子模块3212,可以用于基于所述有效边两端节点为异常的风险概率和所述有效边对应终止节点的入度数,计算边权重对应的调整系数。
在具体的应用场景中,如图4所示,所述检测单元33包括:
建立模块331,可以用于基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆,所述最小堆中度数最小的节点位于堆顶;
检测模块332,可以用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在具体的应用场景中,如图4所示,所述检测模块332包括:
遍历子模块3321,可以用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重在移除节点前后所产生的变化分别获取移除节点前所述有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;
比对子模块3322,可以用于通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于所述移除节点前所述有向同构图中剩余节点所形成的风险度量,检测所述有向同构图中剩余节点所形成的风险度量是否增加。
在具体的应用场景中,如图4所示,所述检测单元33还包括:
设置模块333,可以用于在所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加之前,根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
需要说明的是,本实施例提供的一种异常群体的检测装置所涉及各功能单元的其它相应描述,可以参考图1-2中的对应描述,在此不再赘述。
基于上述如图1-2所示方法,相应的,本申请实施例还提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述如图1-2所示的异常群体的检测方法。
基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
基于上述如图1-图2所示的方法,以及图4-图5所示的虚拟装置实施例,为了实现上述目的,本申请实施例还提供了一种异常群体的检测的实体设备,具体可以为计算机,智能手机,平板电脑,智能手表,服务器,或者网络设备等,该实体设备包括存储介质和处理器;存储介质,用于存储计算机程序;处理器,用于执行计算机程序以实现上述如图1-图2所示的异常群体的检测方法。
可选的,该实体设备还可以包括用户接口、网络接口、摄像头、射频(RadioFrequency,RF)电路,传感器、音频电路、WI-FI模块等等。用户接口可以包括显示屏(Display)、输入单元比如键盘(Keyboard)等,可选用户接口还可以包括USB接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口)等。
本领域技术人员可以理解,本实施例提供的一种异常群体的检测的实体设备结构并不构成对该实体设备的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。
存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述店铺搜索信息处理的实体设备硬件和软件资源的程序,支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信,以及与信息处理实体设备中其它硬件和软件之间通信。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以借助软件加必要的通用硬件平台的方式来实现,也可以通过硬件实现。通过应用本申请的技术方案,与目前现有方式相比,本申请通过将网络关系中节点之间的交互行为构成有向同构图,将个体节点的风险与群体风险相结合,能够充分利用场景的风险属性,强化有向同构图群体异常的检测场景,基于有向同构图中有效边两端节点为异常的风险概率和有效边对应中终止节点的入度数,更新有向同构图中有效边的边权重,从而将单个节点为异常的风险概率引入到关联网络的群体节点中,同时将场景中对异常检测的属性引入边信息,能够降低对异常群体中高度数节点的敏感度,提高异常群体过程中的场景针对能力,通过遍历移除有向同构图中度数最小的节点后,根据有效边的边权重检测有向同构图中剩余节点所形成的风险度量是否增加来检测出的异常群体,利用数据结构优化将算法的计算复杂度优化至接近线性,提高异常群体检测结果的稳定。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。
Claims (14)
1.一种异常群体的检测方法,其特征在于,包括:
将关系网络中节点之间的交互行为构成有向同构图,所述有向同构图包括节点和有效边,所述有效边由起始节点向终止节点发起的交互行为所形成;
基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,所述入度数为节点被发起交互行为的有效边数量,所述节点为异常的风险概率为利用无监督异常检测模型对关系网络中节点进行异常评估所得到,具体将关系网络中节点对应的行为数据形成特征空间,并从所述特征空间内抽取预设维度的特征和数据点进行多次随机切割,利用无监督异常检测模型中嵌入的用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量,通过评估所述特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率;
遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,所述度数包括入度数和出度数,所述出度数为节点发起的有效边数量;
若否,则将所述有向同构图中节点作为检测出的异常群体进行输出。
2.根据权利要求1所述的方法,其特征在于,所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,具体包括:
基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数;
根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
3.根据权利要求2所述的方法,其特征在于,所述基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的初始边权重和边权重对应的调整系数,具体包括:
通过遍历所述有向同构图中有效边,获取有效边对应的初始边权重;
基于所述有效边两端节点为异常的风险概率和所述有效边对应终止节点的入度数,计算边权重对应的调整系数。
4.根据权利要求1-3中任一项所述的方法,其特征在于,所述遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,具体包括:
基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆,所述最小堆中度数最小的节点位于堆顶;
遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
5.根据权利要求4所述的方法,其特征在于,所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,具体包括:
遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重在移除节点前后所产生的变化分别获取移除节点前所述有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;
通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于所述移除节点前所述有向同构图中剩余节点所形成的风险度量,检测所述有向同构图中剩余节点所形成的风险度量是否增加。
6.根据权利要求4所述的方法,其特征在于,在所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加之前,所述方法还包括:
根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
7.一种异常群体的检测装置,其特征在于,包括:
构建单元,用于将关系网络中节点之间的交互行为构成有向同构图,所述有向同构图包括节点和有效边,所述有效边由起始节点向终止节点发起的交互行为所形成;
更新单元,用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,更新所述有向同构图中有效边的边权重,所述入度数为节点被发起交互行为的有效边数量;
检测单元,用于遍历移除所述有向同构图中度数最小的节点后,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加,所述度数包括入度数和出度数,所述出度数为节点发起的有效边数量;
输出单元,用于若否,则将所述有向同构图中节点作为检测出的异常群体进行输出;
所述装置还包括:评估单元,用于利用无监督异常检测模型对关系网络中节点进行异常评估,得到节点为异常的风险概率;
所述评估单元包括:切割模块,用于将关系网络中节点对应的行为数据形成特征空间,并从所述特征空间内抽取预设维度的特征和数据点进行多次随机切割;计算模块,用于利用所述用于孤立异常行为特征的二叉树森林,遍历计算每次随机切割后形成特征子空间内的节点数量;评估模块,用于通过评估所述特征子空间内的节点数量达到阈值的速度,得到节点为异常的风险概率。
8.根据权利要求7所述的装置,其特征在于,所述更新单元包括:
确定模块,用于基于所述有向同构图中有效边两端节点为异常的风险概率和有效边对应终止节点的入度数,确定有效边对应的原始边权重和边权重对应的调整系数;
更新模块,用于根据所述有效边对应的初始边权重和边权重对应的调整系数,更新所述有向同构图中有效边的边权重。
9.根据权利要求8所述的装置,其特征在于,所述确定模块包括:
获取子模块,用于通过遍历所述有向同构图中有效边,获取有效边对应的初始边权重;
计算子模块,用于基于所述有效边两端节点为异常的风险概率和所述有效边对应终止节点的入度数,计算边权重对应的调整系数。
10.根据权利要求7-9中任一项所述的装置,其特征在于,所述检测单元包括:
建立模块,用于基于所述有向同构图中节点的度数,建立有向同构图中节点的最小堆,所述最小堆中度数最小的节点位于堆顶;
检测模块,用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加。
11.根据权利要求10所述的装置,其特征在于,所述检测模块包括:
遍历子模块,用于遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重在移除节点前后所产生的变化分别获取移除节点前所述有向同构图中剩余节点所形成的风险度量和移除节点后所述有向同构图中剩余节点所形成的风险度量;
比对子模块,用于通过比对移除节点后所述有向同构图中剩余节点所形成的风险度量是否大于所述移除节点前所述有向同构图中剩余节点所形成的风险度量,检测所述有向同构图中剩余节点所形成的风险度量是否增加。
12.根据权利要求10所述的装置,其特征在于,所述检测单元还包括:
设置模块,用于在所述遍历从有向同构图中节点的最小堆中移除位于堆顶的节点,根据所述有效边的边权重检测所述有向同构图中剩余节点所形成的风险度量是否增加之前,根据所述有向同构图中有效边的边权重和所述节点数量,设置所述有向同构图中节点的风险度量。
13.一种存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1至6中任一项所述的异常群体的检测方法。
14.一种异常群体的检测设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至6中任一项所述的异常群体的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010375579.5A CN111770047B (zh) | 2020-05-07 | 2020-05-07 | 异常群体的检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010375579.5A CN111770047B (zh) | 2020-05-07 | 2020-05-07 | 异常群体的检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111770047A CN111770047A (zh) | 2020-10-13 |
| CN111770047B true CN111770047B (zh) | 2022-09-23 |
Family
ID=72719085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010375579.5A Active CN111770047B (zh) | 2020-05-07 | 2020-05-07 | 异常群体的检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111770047B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10685293B1 (en) * | 2017-01-20 | 2020-06-16 | Cybraics, Inc. | Methods and systems for analyzing cybersecurity threats |
| CN112288330A (zh) * | 2020-11-24 | 2021-01-29 | 拉卡拉支付股份有限公司 | 一种欺诈社群的识别方法及装置 |
| CN113205117B (zh) * | 2021-04-15 | 2023-07-04 | 索信达(北京)数据技术有限公司 | 社区划分方法、装置、计算机设备及存储介质 |
| CN113610521A (zh) * | 2021-07-27 | 2021-11-05 | 胜斗士(上海)科技技术发展有限公司 | 用于检测行为数据的异常的方法和设备 |
| CN116823511B (zh) * | 2023-08-30 | 2024-01-09 | 北京中科心研科技有限公司 | 一种识别用户社交孤立状态的方法、装置及可穿戴设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660594A (zh) * | 2015-02-09 | 2015-05-27 | 中国科学院信息工程研究所 | 一种面向社交网络的虚拟恶意节点及其网络识别方法 |
| CN109844749A (zh) * | 2018-08-29 | 2019-06-04 | 区链通网络有限公司 | 一种基于图算法的节点异常检测方法、装置及存储装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9254092B2 (en) * | 2013-03-15 | 2016-02-09 | Alivecor, Inc. | Systems and methods for processing and analyzing medical data |
| CN108228706A (zh) * | 2017-11-23 | 2018-06-29 | 中国银联股份有限公司 | 用于识别异常交易社团的方法和装置 |
| CN109948641B (zh) * | 2019-01-17 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 异常群体识别方法及装置 |
-
2020
- 2020-05-07 CN CN202010375579.5A patent/CN111770047B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104660594A (zh) * | 2015-02-09 | 2015-05-27 | 中国科学院信息工程研究所 | 一种面向社交网络的虚拟恶意节点及其网络识别方法 |
| CN109844749A (zh) * | 2018-08-29 | 2019-06-04 | 区链通网络有限公司 | 一种基于图算法的节点异常检测方法、装置及存储装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111770047A (zh) | 2020-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111770047B (zh) | 异常群体的检测方法、装置及设备 | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| CN108920947B (zh) | 一种基于日志图建模的异常检测方法和装置 | |
| US11436617B2 (en) | Behavior pattern search system and behavior pattern search method | |
| CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理系统 | |
| CN111339436B (zh) | 一种数据识别方法、装置、设备以及可读存储介质 | |
| CN109063966A (zh) | 风险账户的识别方法和装置 | |
| CN111949803A (zh) | 一种基于知识图谱的网络异常用户检测方法、装置和设备 | |
| US20230053182A1 (en) | Network access anomaly detection via graph embedding | |
| CN105391594A (zh) | 识别特征账号的方法及装置 | |
| CN114666162A (zh) | 一种流量检测方法、装置、设备及存储介质 | |
| CN113010896A (zh) | 确定异常对象的方法、装置、设备、介质和程序产品 | |
| CN113572752A (zh) | 异常流量的检测方法和装置、电子设备、存储介质 | |
| CN111522724A (zh) | 异常账号的确定方法、装置、服务器及存储介质 | |
| CN114338064A (zh) | 识别网络流量类型的方法、装置、设备和存储介质 | |
| CN110730128B (zh) | 信息传播路径的处理方法、装置、电子设备、存储介质 | |
| CN110751354B (zh) | 一种异常用户的检测方法和装置 | |
| CN110599278B (zh) | 聚合设备标识符的方法、装置和计算机存储介质 | |
| CN111030974A (zh) | 一种apt攻击事件检测方法、装置及存储介质 | |
| CN110929285B (zh) | 一种隐私数据的处理方法及装置 | |
| CN108076032B (zh) | 一种异常行为用户识别方法及装置 | |
| CN111382417B (zh) | 使用一系列设备指纹识别来自用户设备的欺诈行为的系统和方法 | |
| CN111027065A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN114257427A (zh) | 目标用户的识别方法、装置、电子设备及存储介质 | |
| CN114301699A (zh) | 行为预测方法及装置、电子设备和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |