CN114078008A - 异常行为检测方法、装置、设备及计算机可读存储介质 - Google Patents

异常行为检测方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN114078008A
CN114078008A CN202010840924.8A CN202010840924A CN114078008A CN 114078008 A CN114078008 A CN 114078008A CN 202010840924 A CN202010840924 A CN 202010840924A CN 114078008 A CN114078008 A CN 114078008A
Authority
CN
China
Prior art keywords
target
model
data volume
sub
behavior information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010840924.8A
Other languages
English (en)
Inventor
程哲豪
董井然
陈守志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010840924.8A priority Critical patent/CN114078008A/zh
Priority to EP21857394.7A priority patent/EP4120167A4/en
Priority to PCT/CN2021/104999 priority patent/WO2022037299A1/zh
Priority to JP2022554811A priority patent/JP7430816B2/ja
Publication of CN114078008A publication Critical patent/CN114078008A/zh
Priority to US17/898,324 priority patent/US20230004979A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction

Abstract

本申请实施例提供了一种异常行为检测方法、装置、设备及计算机可读存储介质;方法包括:从第一预设对象模型中,获取与第一目标对象对应的第一目标子模型;基于预设模型参数,从第一目标子模型中确定异常数据量,对比目标数据量和异常数据量,确定与待检测行为信息对应的第一检测结果;从第二预设对象模型中,获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型;获取第二目标子模型对应的目标最大数据量,对比目标数据量和目标最大数据量,确定与待检测行为信息对应的第二检测结果;结合第一检测结果和第二检测结果,确定待检测行为信息的目标检测结果。通过本申请实施例,能够提升异常行为检测的准确度。

Description

异常行为检测方法、装置、设备及计算机可读存储介质
技术领域
本申请涉及计算机应用领域中的信息处理技术,尤其涉及一种异常行为检测方法、装置、设备及计算机可读存储介质。
背景技术
随着计算机应用技术的快速发展,各种网络功能的应用也变得越来越广泛;然而,在网络功能的应用过程中,常常存在通过异常方式进行虚假刷量或盗号支付等恶意处理的情况;因此,为了提升网络安全性,异常行为检测越来越重要。
一般来说,在进行异常行为检测时,通常采用无监督方式进行;比如,对历史行为信息进行聚类,得到多个类簇,当获得了待检测行为信息之后,判断待检测行为信息与多个类簇之间的所属关系来确定待检测行为信息的异常性。然而,上述异常行为检测的过程中,由于待检测行为信息的特征维度低,当依据低维度的特征进行聚类确定检测结果时,检测结果中存在误差的可能性高,从而,异常行为检测的准确度较低。
发明内容
本申请实施例提供一种异常行为检测方法、装置、设备及计算机可读存储介质,能够提升异常行为检测的准确度。
本申请实施例的技术方案是这样实现的:
本申请实施例提供一种异常行为检测方法,包括:
获取待检测行为信息,所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量;
从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型;
基于预设模型参数,从所述第一目标子模型中确定异常数据量,对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果;
从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型;
获取所述第二目标子模型对应的目标最大数据量,对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果;
结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果。
本申请实施例提供一种异常行为检测装置,包括:
信息获取模块,用于获取待检测行为信息,所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量;
第一检测模块,用于从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型;
所述第一检测模型,还用于基于预设模型参数,从所述第一目标子模型中确定异常数据量,对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果;
第二检测模块,用于从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型;
所述第二检测模型,还用于获取所述第二目标子模型对应的目标最大数据量,对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果;
结果确定模块,用于结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果。
在本申请实施例中,所述异常行为检测装置还包括模型获取模块,用于获取行为信息样本;依据第一预设对象类型对所述行为信息样本进行聚合,得到与每个第一对象对应的数据量集合,依据所述数据量集合,构建与所述每个第一对象对应的第一子模型,从而得到与各个第一对象对应的所述第一预设对象模型;依据第二预设对象类型对所述行为信息样本进行聚合,得到与每个第二对象对应的第一对象集合和最大数据量;遍历所述第一对象集合,基于所述第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型;将所述至少一个第二对象子模型与所述最大数据量,组合为与所述每个第二对象对应的第二子模型,从而得到与各个第二对象对应的所述第二预设对象模型。
在本申请实施例中,所述模型获取模块,还用于获取所述数据量集合中的各个数据量对应的数据量范围;对所述数据量范围进行分段,得到多个目标段;从所述数据量集合中,统计属于所述多个目标段中的每个目标段的数据量的目标数量;将所述目标数量与所述数据量集合对应的集合元素数量的比值,确定为与所述每个目标段对应的概率值,从而得到与所述多个目标段对应的多个概率值;将所述多个目标段对应的所述多个概率值,确定为所述第一子模型。
在本申请实施例中,所述模型获取模块,还用于对所述数据量集合中的所述各个数据量进行转化,得到转化后的数据量集合;将所述转化后的数据量集合中的各个转化后的数据量对应的范围,确定为所述数据量范围。
在本申请实施例中,所述模型获取模块,还用于从所述转化后的数据量集合中,统计属于所述多个目标段中的所述每个目标段的转化后的数据量的所述目标数量。
在本申请实施例中,所述模型获取模块,还用于遍历所述第一对象集合,将所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型,分别与所述每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型;当所述相似子模型对应的相似度大于预设相似度时,合并所述待更新子模型和所述相似子模型,利用合并后的子模型替换所述当前子模型集合中的所述相似子模型,完成对所述当前子模型集合的更新;当所述相似子模型对应的相似度小于等于所述预设相似度时,将所述待更新子模型插入所述当前子模型集合中,完成对所述当前子模型集合的更新;当完成对所述第一对象集合的遍历时,将遍历更新后的当前子模型集合确定为构建出的所述至少一个第二对象子模型。
在本申请实施例中,所述模型获取模块,还用于从所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;从所述每个第二对象对应的所述当前子模型集合中的每个当前子模型中,获取所述多个目标段对应的多个第二目标概率值;将所述多个第一目标概率值和所述多个第二目标概率值一一对应对比,得到多个最小概率值,将所述多个最小概率值的累加和,确定为所述待更新子模型和所述每个当前子模型的相似度,从而得到与所述当前子模型集合对应的多个相似度;将所述当前子模型集合中,所述多个相似度中的最高的相似度对应的当前子模型,确定为所述相似子模型。
在本申请实施例中,所述模型获取模块,还用于从所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;从所述相似子模型中,获取所述多个目标段对应的多个待合并概率值;将所述多个第一目标概率值和所述多个待合并概率值一一对应对比,得到多个最大概率值;将所述多个目标段和所述多个最大概率值组合,完成对所述待更新子模型和所述相似子模型的合并。
在本申请实施例中,所述第二检测模块,还用于从所述第二预设对象模型中,获取与所述第二目标对象对应的至少一个目标第二对象子模型;获取所述第一目标子模型与所述至少一个目标第二对象子模型中的各个目标第二对象子模型的多个目标相似度;从所述多个目标相似度中获取最高目标相似度;从所述至少一个目标第二对象子模型中,选择与所述最高目标相似度对应的所述第二目标子模型。
在本申请实施例中,所述第二检测模块,还用于当所述最高目标相似度大于预设相似度时,将所述第二预设对象模型中与所述第二目标对象对应的最大数据量,确定为所述第二目标子模型对应的所述目标最大数据量;当所述最高目标相似度小于等于所述预设相似度时,将预设数据量确定为所述第二目标子模型对应的所述目标最大数量。
在本申请实施例中,所述第一检测模块,还用于当所述目标数据量大于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象异常的所述第一检测结果;当所述目标数据量小于等于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象正常的所述第一检测结果。
在本申请实施例中,所述第二检测模块,还用于当所述目标数据量大于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象异常的所述第二检测结果;当所述目标数据量小于等于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象正常的所述第二检测结果。
在本申请实施例中,所述结果确定模块,还用于当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果。
本申请实施例提供一种异常行为检测设备,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现本申请实施例提供的异常行为检测方法。
本申请实施例提供一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现本申请实施例提供的异常行为检测方法。
本申请实施例至少具有以下有益效果:在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时,通过结合目标数据量分别与异常数据量和目标最大数据量的比较结果,确定待检测行为信息是否具有异常性的目标检测结果;然而,该确定目标检测结果的过程中,由于异常数据量为基于第一预设对象模型确定的针对第一目标对象的异常判断条件,目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件;因此,能够在低纬度特征下,通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间,来准确得到待检测行为信息是否具有异常性的目标检测结果;从而,异常行为检测的准确度较高。
附图说明
图1是本申请实施例提供的异常行为检测系统的一个可选的架构示意图;
图2是本申请实施例提供的一种图1中的服务器的组成结构示意图;
图3是本申请实施例提供的异常行为检测方法的一个可选的流程示意图;
图4是本申请实施例提供的一种示例性的确定异常数据量的示意图;
图5是本申请实施例提供的异常行为检测方法的另一个可选的流程示意图;
图6a是本申请实施例提供的一种示例性的待转化的数据量示意图;
图6b是本申请实施例提供的一种示例性的数据量转化示意图;
图7是本申请实施例提供的一种示例性地获取相似度的示意图;
图8是本申请实施例提供的一种示例性地获取合并后的子模型的示意图;
图9为本申请实施例提供的一种示例性的异常行为检测流程示意图;
图10是本申请实施例提供的一种示例性的获取模型的示意图;
图11是本申请实施例提供的一种示例性的模型示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,所描述的实施例不应视为对本申请的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
在以下的描述中,所涉及的术语“第一\第二”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
对本申请实施例进行进一步详细说明之前,对本申请实施例中涉及的名词和术语进行说明,本申请实施例中涉及的名词和术语适用于如下的解释。
1)异常行为检测:是指检测用户进行操作的行为所对应的数据是否符合预设操作流程或实际的过程,比如,通过盗号进行支付的检测,通过作弊进行刷量的检测。
2)离线环境:是指基于数据挖掘工具(比如,“hadoop”,“spark”)对大量数据(比如,数以亿计的数据)进行处理的平台;通常存在较大的时延(比如,一天的时延),实时性较低。
3)实时/在线环境:用于实时高效的存储和运算待处理数据的平台,通常时延为毫秒级,复杂度低,实时性较高。
一般来说,为进行异常行为检测,通常采用无监督方式和有监督方式进行。其中,当采用无监督方式进行异常行为检测时,是指将无监督算法应用于异常行为检测;比如,如果应用场景中的行为信息服从高斯混合分布(Mixture Ga ussian Distribution),则进行异常行为检测时,可以通过判断待检测行为信息是否服从高斯分布来确定待检测行为信息是否异常;再比如,对历史行为信息进行聚类,得到多个类簇,当获得了待检测行为信息之后,判断待检测行为信息与多个类簇之间的所属关系来确定待检测行为信息是否异常;又比如,利用异常点检测算法(比如,孤立森林(Isolation Forest)),将空间中孤立的点对应的行为信息确定为异常的行为信息。然而,上述采用无监督方式进行异常行为检测的过程中,当待检测行为信息包括第一目标对象、第二目标对象和目标数据量三维特征时(比如,用户、商户和金额;用户、商品和金额;用户、文章和阅读量),特征的维度较低,当依据低维度的特征进行无监督方式检测确定检测结果时,检测结果中存在误差的可能性高,从而,异常行为检测的准确度较低;另外,当获得了三种以上维度的特征进行无监督方式检测时,又会由于特征的维度/复杂度较高导致检测的时间较长,从而,检测的实时性较低。
当采用有监督方式进行异常行为检测时,是指通过对样本进行标注,利用样本的特征和标注的信息训练网络模型,再利用网络模型检测待检测行为信息是否异常。然而,上述采用有监督方式进行异常行为检测的过程中,需要对样本进行标注;而当样本的数据量较大,比如达到了亿级时,标注的可执行性较低;比如,当检测支付是否异常时,由于每天发生的支付的笔数达到了亿级,手工进行标注的可执行性较低;并且标注会导致网络模型训练的时间较长,当完成网络模型的训练之后,当应用场景中行为信息的变化较快,应用场景的异常行为检测具备时效性性时,可能训练好的网络模型已不再适用于当前的应用场景;从而,可执行性较低,不能应用于具有时效性的应用场景中。
基于此,本申请实施例提供一种异常行为方法、装置、设备和计算机可读存储介质,能够快速准确地进行异常行为的检测,且能够应用于具有时效性的应用场景中。
下面说明本申请实施例提供的异常行为检测设备的示例性应用,本申请实施例提供的异常行为检测设备可以实施为笔记本电脑,平板电脑,台式计算机,机顶盒,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备)等各种类型的用户终端,也可以实施为服务器。下面,将说明设备实施为服务器时的示例性应用。
参见图1,图1是本申请实施例提供的异常行为检测系统的一个可选的架构示意图;如图1所示,为支撑一个异常行为检测应用,在异常行为检测系统100中,终端200(示例性示出了终端200-1和终端200-2)通过网络300连接服务器400,网络300可以是广域网或者局域网,又或者是二者的组合。另外,异常行为检测系统100中还包括数据库500。
数据库500,用于存储第一预设对象模型和第二预设对象模型,并向服务器400提供第一预设对象模型和第二预设对象模型,以实现异常行为检测。
终端200-1,用于通过图形界面200-11上的控件200-111(示例性示出了支付按钮)接收用户的支付操作,响应支付操作通过网络300向服务器400发送包括商户(第一目标对象)、用户(第二目标对象)和金额(目标数据量)的待检测行为信息。还用于通过网络300接收服务器400发送的目标检测结果,在图形界面200-12上显示该目标检测结果。
终端200-2,用于通过图形界面200-21上的控件200-211(示例性示出了阅读按钮)接收用户的阅读操作,响应阅读操作通过网络300向服务器400发送包括文章(第一目标对象)、用户(第二目标对象)和阅读量(目标数据量)的待检测行为信息。还用于通过网络300接收服务器400发送的目标检测结果,在图形界面200-22上显示该目标检测结果。
服务器400,用于通过网络300从终端200获取待检测行为信息,待检测行为信息包括第一目标对象、第二目标对象和目标数据量;从数据库500提供的第一预设对象模型中,获取与第一目标对象对应的第一目标子模型;基于预设模型参数,从第一目标子模型中确定异常数据量,对比目标数据量和异常数据量,确定与待检测行为信息对应的第一检测结果;从数据库500提供的第二预设对象模型中,获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型;获取第二目标子模型对应的目标最大数据量,对比目标数据量和目标最大数据量,确定与待检测行为信息对应的第二检测结果;结合第一检测结果和第二检测结果,确定待检测行为信息的目标检测结果。还用于通过网络300向终端200发送目标检测结果。
在一些实施例中,服务器400可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端200可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本发明实施例中不做限制。
参见图2,图2是本申请实施例提供的一种图1中的服务器的组成结构示意图,图2所示的服务器400包括:至少一个处理器410、存储器450、至少一个网络接口420和用户接口430。服务器400中的各个组件通过总线系统440耦合在一起。可理解,总线系统440用于实现这些组件之间的连接通信。总线系统440除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图2中将各种总线都标为总线系统440。
处理器410可以是一种集成电路芯片,具有信号的处理能力,例如通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等,其中,通用处理器可以是微处理器或者任何常规的处理器等。
用户接口430包括使得能够呈现媒体内容的一个或多个输出装置431,包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口430还包括一个或多个输入装置432,包括有助于用户输入的用户接口部件,比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。
存储器450可以是可移除的,不可移除的或其组合。示例性的硬件设备包括固态存储器,硬盘驱动器,光盘驱动器等。存储器450可选地包括在物理位置上远离处理器410的一个或多个存储设备。
存储器450包括易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM,Read Only Me mory),易失性存储器可以是随机存取存储器(RAM,Random Access Memor y)。本申请实施例描述的存储器450旨在包括任意适合类型的存储器。
在一些实施例中,存储器450能够存储数据以支持各种操作,这些数据的示例包括程序、模块和数据结构或者其子集或超集,下面示例性说明。
操作系统451,包括用于处理各种基本系统服务和执行硬件相关任务的系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务;
网络通信模块452,用于经由一个或多个(有线或无线)网络接口420到达其他计算设备,示例性的网络接口420包括:蓝牙、无线相容性认证(Wi-Fi)、和通用串行总线(USB,Universal Serial Bus)等;
呈现模块453,用于经由一个或多个与用户接口430相关联的输出装置431(例如,显示屏、扬声器等)使得能够呈现信息(例如,用于操作外围设备和显示内容和信息的用户接口);
输入处理模块454,用于对一个或多个来自一个或多个输入装置432之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。
在一些实施例中,本申请实施例提供的异常行为检测装置可以采用软件方式实现,图2示出了存储在存储器450中的异常行为检测装置455,其可以是程序和插件等形式的软件,包括以下软件模块:信息获取模块4551、第一检测模块4552、第二检测模块4553、结果确定模块4554和模型获取模块4555,这些模块是逻辑上的,因此根据所实现的功能可以进行任意的组合或进一步拆分。
将在下文中说明各个模块的功能。
在另一些实施例中,本申请实施例提供的异常行为检测装置可以采用硬件方式实现,作为示例,本申请实施例提供的异常行为检测装置可以是采用硬件译码处理器形式的处理器,其被编程以执行本申请实施例提供的异常行为检测方法,例如,硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC,Application SpecificIntegrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Comple x Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programma ble Gate Array)或其他电子元件。
下面,将结合本申请实施例提供的服务器的示例性应用和实施,说明本申请实施例提供的异常行为检测方法。
参见图3,图3是本申请实施例提供的异常行为检测方法的一个可选的流程示意图,将结合图3示出的步骤进行说明。
S301、获取待检测行为信息,待检测行为信息包括第一目标对象、第二目标对象和目标数据量。
在本申请实施例中,当用户在终端针对功能应用进行操作,比如,进行支付、阅读文章或点击广告时,终端响应用户所进行的操作,生成操作数据,并将操作数据向服务器发送时,服务器也就接收到了待检测行为信息。
需要说明的是,待检测行为信息为检测对象,包括第一目标对象、第二目标对象和目标数据量;其中,第一目标对象为被操作对象,比如,广告、商户、商品或文章;第二目标对象为操作对象,比如,用户等;目标数据量为第二目标对象对第一目标对象进行操作所产生的数据量,比如,金额、点击量或阅读量。
S302、从第一预设对象模型中,获取与第一目标对象对应的第一目标子模型。
在本申请实施例中,服务器中预先存储着第一预设对象模型,或服务器能够预先获取到第一预设对象模型;该第一预设对象模型为各个第一对象对应的模型,该模型为数据量分布信息;由于第一目标对象为一个第一对象,从而,服务器能够从第一预设对象模型中能够获取到与第一目标对象对应的模型;此时,也就得到了第一目标子模型。
需要说明的是,第一目标子模型为第一目标对象对应的数据量分布信息,比如,商户A关于金额的直方图,或者文章B关于阅读量的分布。
另外,在本申请实施例中,当服务器从第一预设对象模型中未找到与第一目标对象对应的模型,则构建针对第一目标对象的第一目标子模型,并将第一目标对应的第一目标子模型增加至第一预设对象模型中。
S303、基于预设模型参数,从第一目标子模型中确定异常数据量,对比目标数据量和异常数据量,确定与待检测行为信息对应的第一检测结果。
在本申请实施例中,服务器中存储着预设模型参数,或者服务器能够预先获取到预设模型参数;该预设模型参数为数据量分布信息中的预设分位点,用于确定第一目标对象对应的数据量的预设区间,是与第一目标对象对应的异常判断条件;从而,服务器能够从第一目标子模型中确定与预设模型参数对应的目标位置,该目标位置对应的数据量即为异常数据量;接下来,服务器通过将目标数据量和异常数据量进行对比,根据对比结果中目标数据量与异常数据量的大小关系,就能够确定目标数据量是否处于第一目标对象对应的数据量的预设区间(零到异常数据量的区间范围);此时,也就得到了与待检测行为信息对应的第一检测结果。
需要说明的是,第一检测结果为针对第一目标对象确定出的待检测行为信息是否异常的结果;当目标数据量大于异常数据量时,表明目标数据量未处于第一目标对象对应的数据量的预设区间中,从而,服务器确定包括待检测行为信息关于第一目标对象异常的第一检测结果;当目标数据量小于等于异常数据量时,表明目标数据量处于第一目标对象对应的数据量的预设区间中,从而,服务器确定包括待检测行为信息关于第一目标对象正常的第一检测结果。
示例性地,参见图4,图4是本申请实施例提供的一种示例性的确定异常数据量的示意图;如图4所示,在直方图4-1(第一目标子模型)中,横轴为金额值,纵轴为概率值,当预设模型参数为99分位点时,按照金额值从小到大的顺序对直方图4-1中各金额段的概率进行叠加,当叠加结果大于99%(也就是说,小于位置14-2的概率大于99%)时所对应的位置14-2(目标位置)对应的金额值即异常数据量。
S304、从第二预设对象模型中,获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型。
在本申请实施例中,服务器中预先存储着第二预设对象模型,或服务器能够预先获取到第二预设对象模型;该第二预设对象模型为每个第二对象对应的关于各个第一对象对应的各个数据量分布信息构成的模型集合;由于第二目标对象为一个第二对象,从而,服务器能够从第二预设对象模型中获取到与第二目标对象对应的模型组,并从获取到的与第二目标对象对应的模型组中匹配出与第一目标子模型具有最高相似度的模型,也就得到了第二目标子模型。
需要说明的是,第二目标子模型为第一目标对象对应的关于第二目标对象的数据量分布信息,比如,用户C关于商户A的金额直方图,用户D关于文章B的阅读量分布。
S305、获取第二目标子模型对应的目标最大数据量,对比目标数据量和目标最大数据量,确定与待检测行为信息对应的第二检测结果。
在本申请实施例中,服务器获得了第二目标子模型之后,由于第二预设对象模型中不仅包括每个第二对象对应的模型组,还包括每个第二对象对应的最大数据量;此时,服务器基于第二预设对象模型中第二目标对象对应的最大数据量,确定目标最大数据量;也就是说,目标最大数据量可能为第二目标对象对应的最大数据量,也可能为基于第二预设对象模型中第二目标对象对应的最大数据量确定出的,等等,本申请实施例对此不作具体限定。
这里,服务器获得了目标最大数据量,也就确定了与第二目标对象对应的数据量的预设区间,是与第二目标对象对应的异常判断条件;从而,服务器通过将目标数据量和目标最大数据量进行对比,根据对比结果中目标数据量与目标最大数据量的大小关系,就能够确定目标数据量是否处于第二目标对象对应的数据量的预设区间(零到目标最大数据量的区间范围);此时,也就得到了与待检测行为信息对应的第二检测结果。
需要说明的是,第二检测结果为待检测行为信息针对第二目标对象确定出的是否异常的结果;当目标数据量大于目标最大数据量时,表明目标数据量未处于第二目标对象对应的数据量的预设区间中,从而,服务器确定包括待检测行为信息关于第二目标对象异常的第二检测结果;当目标数据量小于等于目标最大数据量时,表明目标数据量处于第二目标对象对应的数据量的预设区间中,从而,服务器确定包括待检测行为信息关于第二目标对象正常的第二检测结果。
S306、结合第一检测结果和第二检测结果,确定待检测行为信息的目标检测结果。
在本申请实施例中,服务器获得了第一检测结果和第二检测结果之后,结合第一检测结果和第二检测结果,确定待检测行为信息的目标检测结果。这里,目标检测结果是指待检测行为信息是否异常。
需要说明的是,服务器结合第一检测结果和第二检测结果,确定待检测行为信息的目标检测结果时,包括:当第一检测结果为待检测行为信息关于第一目标对象异常,且第二检测结果为待检测行为信息关于第二目标对象异常时,服务器确定包括待检测行为信息异常的目标检测结果;当第一检测结果为待检测行为信息关于第一目标对象正常,且第二检测结果为待检测行为信息关于第二目标对象异常时,服务器确定包括待检测行为信息异常的目标检测结果,服务器还可以确定包括待检测行为信息正常的目标检测结果;当第一检测结果为待检测行为信息关于第一目标对象正常,且第二检测结果为待检测行为信息关于第二目标对象正常时,服务器确定包括待检测行为信息正常的目标检测结果;当第一检测结果为待检测行为信息关于第一目标对象异常,且第二检测结果为待检测行为信息关于第二目标对象正常时,服务器确定包括待检测行为信息正常的目标检测结果,服务器还可以确定包括待检测行为信息异常的目标检测结果。
在本申请实施例中,服务器获得了目标检测结果之后,还可以根据目标检测结果确定目标处理信息;该目标处理信息为对待检测行为信息的处理方式,比如,当待检测行为信息为支付操作时,如果目标检测结果为待检测行为信息异常,则目标处理信息为拦截支付操作的处理。再比如,当待检测行为信息为广告点击时,如果目标检测结果为待检测行为信息异常,则目标处理信息为阻止广告点击的处理。
可以理解的是,在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时,通过结合目标数据量分别与异常数据量和目标最大数据量的比较结果,确定待检测行为信息是否具有异常性的目标检测结果;然而,该确定目标检测结果的过程中,由于异常数据量为基于第一预设对象模型确定的针对第一目标对象的异常判断条件,目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件;因此,能够在低纬度特征下,通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间,来准确得到待检测行为信息是否具有异常性的目标检测结果;从而,异常行为检测的准确度较高。
参见图5,图5是本申请实施例提供的异常行为检测方法的另一个可选的流程示意图;如图5所示,在本申请实施例中,S302之前还包括S307-S311;也就是说,服务器从第一预设对象模型中,获取与第一目标对象对应的第一目标子模型之前,该异常行为检测方法还包括S307-S311,下面对各步骤分别进行说明。
S307、获取行为信息样本。
在本申请实施例中,服务器获取当前周期中的行为信息,也就得到了行为信息样本;比如,近一周的支付订单。这里,当前周期是指最近的预设周期。
需要说明的是,行为信息样本为当前设周期内的第一对象、第二对象和数据量构成的集合,从而,行为信息样本中的每条行为信息均包括第一对象、第二对象和数据量。
S308、依据第一预设对象类型对行为信息样本进行聚合,得到与每个第一对象对应的数据量集合,依据数据量集合,构建与每个第一对象对应的第一子模型,从而得到与各个第一对象对应的第一预设对象模型。
需要说明的是,服务器获得了行为信息样本之后,对行为信息样本按照不同的预设类型进行聚合,来获得第一预设对象模型和第二预设对象模型。其中,不同的预设类型包括第一预设对象类型(比如,商户类型或商品类型)和第二预设对象类型(比如,用户)。从而,当服务器依据第一预设对象类型对行为信息样本进行聚合,获取与每个第一对象对应的各个数据量时,也就得到了与每个第一对象对应的数据量集合;
这里,每个第一对象所对应的对象类型为第一预设对象类型;数据量集合为每个第一对象关于第二对象的数据量构成的集合。
在本申请实施例中,服务器获得了数据量集合之后,依据该数据量集合确定每个第一对象对应的数据量分布信息,也就完成了与每个第一对象对应的第一子模型构建;当完成了每个第一对象对应的第一子模型的构建时,将每个第一对象对应的第一子模型组合,也就得到了各个第一对象对应的第一预设对象模型。这里,每个第一对象是指各个第一对象中的任一对象,第一预设对象模型是指每个第一对象的第一子模型构成的集合。
S309、依据第二预设对象类型对行为信息样本进行聚合,得到与每个第二对象对应的第一对象集合和最大数据量。
在本申请实施例中,当服务器依据第二预设对象类型对行为信息样本进行聚合,获取与每个第二对象对应的各个第一对象时,也就得到了与每个第二对象对应的第一对象集合;这里,当服务器依据第二预设对象类型对行为信息样本进行聚合时,还获取与每个第二对象对应的各个数据量,从获取到的与每个第二对象对应的各个数据量中选择最大的数据量,也就得到了与每个第二对象对应的最大数据量。
S310、遍历第一对象集合,基于第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型。
在本申请实施例中,服务器获得了第一对象集合之后,对第一对象集合中的第一对象进行遍历,针对遍历到的当前第一对象,与第一预设对象模型中的第一对象进行匹配,匹配出的第一对象对应的模型即待更新子模型;这里,服务器利用待更新子模型,构建出与每个第二对象对应的至少一个第二对象子模型。
需要说明的是,至少一个第二对象子模型为每个第二对象关联的第一对象的数据量分布构成的集合,比如,用户C关于商户A的金额直方图、商户E的金额直方图和商户F的金额直方图。当前第一对象为第一对象集合中的任一第一对象。
S311、将至少一个第二对象子模型与最大数据量,组合为与每个第二对象对应的第二子模型,从而得到与各个第二对象对应的第二预设对象模型。
需要说明的是,服务器获得了每个第二对象对应的至少一个第二对象子模型之后,将至少一个第二对象子模型与最大数据量组合,所获得的组合结果即每个第二对象对应的第二子模型;当获得了每个第二对象对应的第二子模型时,将每个第二对象对应的第二子模型组合,也就得到了各个第二对象对应的第二预设对象模型。这里,每个第二对象是指各个第二对象中的任一对象,第二预设对象模型是指每个第二对象的第二子模型构成的集合。
在申请实施例中,S308中服务器依据数据量集合,构建与每个第一对象对应的第一子模型,包括S3081-S3085,下面对各步骤分别进行说明。
S3081、获取数据量集合中的各个数据量对应的数据量范围。
在本申请实施例中,服务器从数据量集合中的各个数据量中提取最小的数据量和最大的数据量,最小的数据量和最大的数据量对应的范围即数据量范围。
S3082、对数据量范围进行分段,得到多个目标段。
在本申请实施例中,服务器依据预设段大小或者预设段数量对数量范围进行分段,也就得到了多个目标段。
S3083、从数据量集合中,统计属于多个目标段中的每个目标段的数据量的目标数量。
在本申请实施例中,服务器获得了多个目标段和数据量集合之后,确定数据量集合中的每个数据量所属的目标段,进而统计出属于多个目标段中的每个目标段的数据量的数量,也就得到了与每个目标段对应的目标数量。
S3084、将目标数量与数据量集合对应的集合元素数量的比值,确定为与每个目标段对应的概率值,从而得到与多个目标段对应的多个概率值。
在本申请实施例中,服务器统计数据量集合中数据量的数量,也就得到了数据量集合对应的集合元素数量;此时,将目标数据量作为分子,将集合元素数量作为分母,计算比值,所获得的比值结果即每个目标段对应的概率值;当完成了每个目标段对应的概率值的获取时,将每个目标段对应的概率值组合,也就得到了与多个目标段对应的多个概率值,多个目标段与多个概率值一一对应。
S3085、将多个目标段对应的多个概率值,确定为第一子模型。
需要说明的是,第一子模型即与每个第一对象关联的多个目标段对应的多个概率值。
在本申请实施例中,S3081可通过S30811和S30812实现;也就是说,服务器获取数据量集合中的各个数据量对应的数据量范围,包括S30811和S30812,下面对各步骤分别进行说明。
S30811、对数据量集合中的各个数据量进行转化,得到转化后的数据量集合。
需要说明的是,由于数据量集合中的各个数据量对应的分布通常是对数正态分布,而对数正态分布中存在平滑部分(长尾部分),该平滑部分对应的概率接近于0,对值较大的数据量的检测结果不准确,无法为后续异常行为检测提供数据支持;因此,为了提升异常行为检测的准确度,服务器对数据量集合中的各个数据量进行转化,消除平滑部分,以使得转化后的数据量集合中的各个转化后的数据量对应的分布服从标准正态分布。
这里,转化可以为对数转化,还可以是同时进行预设倍数的缩小,又可以是利用不同的权重对各个数据量对应相乘,等等,本申请实施例对此不作具体限定。还需要说明的是,当模型训练过程中对数据量进行了转化,则模型训练过程和模型应用过程中所指的数据量均是转化后的数据量。
参见图6a,当数据量为金额值时,由于小额支付时对应的金额值有时较小,比如,几元;大额支付时对应的金额值较大,比如有时是几十万;从而数据量对应的分布曲线6-1中会出现平滑部分6-11,该平滑部分6-11对应的概率分布中的概率几乎为0,无法为后续异常支付检测提供数据支持;其中,图6a中,横轴为金额值,纵轴为概率值。此时,利用自然对数(ln)对数据量进行转化,此时,图6a中的分布曲线6-1就转化成了图6b中的分布曲线6-2;在图6b中,横轴为转化后的金额值,纵轴为概率值。易知,通过对金额值进行取对数计算,使得小额支付中,能够通过模型编码出几元的波动;大额支付中,能够通过模型编码出千元甚至万元的波动;这种小额敏感大额不敏感的趋势与对数函数的变化曲线是一致,比如,
Figure BDA0002641349810000201
S30812、将转化后的数据量集合中的各个转化后的数据量对应的范围,确定为数据量范围。
需要说明的是,服务器获得了转化后的数据量集合之后,从转化后的数据量集合中的各个转化后的数据量中提取最小的转化后的数据量和最大的转化后的数据量,最小的转化后的数据量和最大的转化后的数据量对应的范围即数据量范围。
相应地,S3083中服务器从数据量集合中,统计属于多个目标段中的每个目标段的数据量的目标数量,包括:服务器从转化后的数据量集合中,统计属于多个目标段中的每个目标段的转化后的数据量的目标数量。也就是说,服务器确定转化后的数据量集合中的每个转化后的数据量所属的目标段,进而统计出属于多个目标段中的每个目标段的转化后的数据量的数量,也就得到了与每个目标段对应的目标数量。此外,目标数据量等其他的数据量均是转化后对应的数据量。
在本申请实施例中,S310可通过S3101-S3104实现;也就是说,服务器遍历第一对象集合,基于第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型,包括S3101-S3104,下面对各步骤分别进行说明。
S3101、遍历第一对象集合,将第一预设对象模型中与当前第一对象对应的待更新子模型,分别与每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型。
需要说明的是,在遍历第一对象集合时,当当前第一对象为第一个遍历到的第一对象时,每个第二对象对应的当前子模型集合是空集;此时,服务器将第一个遍历到的第一对象对应的待更新子模型插入至当前子模型集合。
当当前第一对象为第一个遍历到的第一对象之后又遍历到的第一对象时,每个第二对象对应的当前子模型集合是存在至少一个当前子模型的;此时,服务器将待更新子模型分别当前子模型集合中的各个当前子模型进行对比,根据对比结果,从当前子模型集合中选择与待更新子模型最相似的一个当前子模型,也就得到了相似子模型。
S3102、当相似子模型对应的相似度大于预设相似度时,合并待更新子模型和相似子模型,利用合并后的子模型替换当前子模型集合中的相似子模型,完成对当前子模型集合的更新。
需要说明的是,服务器获得了相似子模型之后,将相似子模型与待更新子模型之间的相似度(即相似子模型对应的相似度),与预设相似度进行对比;当相似子模型与待更新子模型之间的相似度,大于预设相似度时,表明,待更新子模型所对应的第一对象(比如,便利店A)与相似子模型所对应的第一对象(比如,便利店B)在数据量方面类似;此时,服务器合并待更新子模型和相似子模型,合并的结果即合并后的子模型;接着,服务器利用合并后的子模型替换掉当前子模型集合中的相似子模型,也就针对遍历到的当前第一对象,完成了对当前子模型集合的更新。
S3103、当相似子模型对应的相似度小于等于预设相似度时,将待更新子模型插入当前子模型集合中,完成对当前子模型集合的更新。
需要说明的是,当相似子模型与待更新子模型之间的相似度,小于等于预设相似度时,表明,待更新子模型所对应的第一对象(比如,便利店A)与相似子模型所对应的第一对象(比如,便利店B)在数据量方面不类似;此时,服务器将待更新子模型插入当前子模型集合中,也就针对遍历到的当前第一对象,完成了对当前子模型集合的更新。
S3104、当完成对第一对象集合的遍历时,将遍历更新后的当前子模型集合确定为构建出的至少一个第二对象子模型。
在本申请实施例中,服务器在遍历第一对象集合时,针对第一对象集合中的任一第一对象,均采用S3101至S3103的过程更新当前第一对象对应的当前子模型集合;当完成对第一对象集合的遍历时,所获得的遍历更新后的当前子模型集合即构建出的至少一个第二对象子模型。
在本申请实施例中,S3101还包括S31011-S31014;也就是说,服务器将第一预设对象模型中与当前第一对象对应的待更新子模型,分别与每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型,包括S31011-S31014,下面对各步骤分布进行说明。
S31011、从第一预设对象模型中与当前第一对象对应的待更新子模型中,获取多个目标段对应的多个第一目标概率值。
需要说明的是,由于每个第一对象对应的第一子模型为多个目标段对应的多个概率值,而该更新子模型属于第一子模型;从而,待更新子模型也包括多个目标段对应的多个概率值,这里,称为多个目标段对应的多个第一目标概率值;即多个目标段对应的多个第一目标概率值,为待更新子模型对应的多个目标段与多个概率值之间的关系。
S31012、从每个第二对象对应的当前子模型集合中的每个当前子模型中,获取多个目标段对应的多个第二目标概率值。
需要说明的是,每个当前子模型中也包括多个目标段对应的多个概率值,这里,称为多个目标段对应的多个第二目标概率值;即多个目标段对应的多个第二目标概率值,为每个当前子模型对应的多个目标段与多个概率值之间的关系。
S31013、将多个第一目标概率值和多个第二目标概率值一一对应对比,得到多个最小概率值,将多个最小概率值的累加和,确定为待更新子模型和每个当前子模型的相似度,从而得到与当前子模型集合对应的多个相似度。
需要说明的是,由于多个第二目标概率值与多个第一目标概率值一一对应,因此,服务器通过对比待更新子模型的多个第一目标概率值和每个当前子模型的多个第二目标概率值,确定待更新子模型和每个当前子模型的相似度;当获取了待更新子模型和每个当前子模型的相似度之后,将待更新子模型和每个当前子模型的相似度进行组合,也就得到了与当前子模型集合对应的多个相似度。
这里,多个最小概率值与多个第一目标概率值一一对应,且多个最小概率值和多个第二目标概率值一一对应,当前子模型集合中各个当前子模型与多个相似度一一对应。
参见图7,图7是本申请实施例提供的一种示例性地获取相似度的示意图;如图7所示,在横坐标为取对数后的金额值,纵坐标为概率值的坐标系中,待更新子模型7-1和每个当前子模型7-2的相似度为区域7-3对应的面积。这里,当待更新子模型7-1对应的多个第一目标概率值为ai,每个当前子模型7-2对应的多个第二目标概率值为bi,i为大于等于2的整数时,待更新子模型7-1和每个当前子模型7-2的相似度S如式(1)所示:
Figure BDA0002641349810000231
其中,n为多个目标段的数量。
S31014、将当前子模型集合中,多个相似度中的最高的相似度对应的当前子模型,确定为相似子模型。
在本申请实施例中,服务器从多个相似度中获取最高的相似度,并将最高的相似度在当前子模型集合中对应的当前子模型,作为相似子模型。
在本申请实施例中,S3102中服务器合并待更新子模型和相似子模型,包括S31021-S31024,下面对各步骤分别进行说明。
S31021、从待更新子模型中,获取多个目标段对应的多个第一目标概率值。
需要说明的是,S31021的实现过程与S31011描述的实现过程一致,本申请实施例在此不再赘述。
S31022、从相似子模型中,获取多个目标段对应的多个待合并概率值。
需要说明的是,每个当前子模型中也包括多个目标段对应的多个概率值,这里,称为多个目标段对应的多个第二目标概率值;即多个目标段对应的多个第二目标概率值,为每个当前子模型对应的多个目标段与多个概率值之间的关系。
S31023、将多个第一目标概率值和多个待合并概率值一一对应对比,得到多个最大概率值。
需要说明的是,多个第一目标概率值和多个待合并概率值一一对应,多个最大概率值与多个第一目标概率值一一对应,且多个最大概率值和多个待合并概率值一一对应。
S31024、将多个目标段和多个最大概率值组合,完成对待更新子模型和相似子模型的合并。
参见图8,图8是本申请实施例提供的一种示例性地获取合并后的子模型的示意图;如图8所示,在横坐标为取对数后的金额值,纵坐标为概率值的坐标系中,示出了待更新子模型8-1和相似子模型8-2对应的合并后的子模型8-3。这里,当待更新子模型8-1对应的多个第一目标概率值为ai,相似子模型8-2对应的多个待合并概率值为ci,i为大于等于2的整数时,合并待更新子模型8-1和相似子模型8-2,得到合并后的子模型8-3的过程可通过式(2)描述:
C={…,max(ai,ci),…},i∈n (2)
其中,C用于表示合并后的子模型8-3。
在本申请实施例中,S304可通过S3041-S3044实现;也就是说,服务器从第二预设对象模型中,获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型,包括S3041-S3044,下面对各步骤分别进行说明。
S3041、从第二预设对象模型中,获取与第二目标对象对应的至少一个目标第二对象子模型。
需要说明的是,由于第二预设对象模型为每个第二对象对应的至少一个第二对象子模型进行组合得到的;从而,服务器将第二目标对象与第二预设对象模型中的每个第二对象进行匹配,所匹配出的第二对象对应的至少一个第二对象子模型即至少一个目标第二对象子模型。
S3042、获取第一目标子模型与至少一个目标第二对象子模型中的各个目标第二对象子模型的多个目标相似度。
在本申请实施例中,服务器将第一目标子模型与各个目标第二对象子模型分别进行对比,也就得到了第一目标子模型与每个目标第二对象子模型的目标相似度;当服务器将第一目标子模型与每个目标第二对象子模型的目标相似度组合时,也就得到了第一目标子模型与至少一个目标第二对象子模型对应的多个目标相似度。
需要说明的是,服务器获取多个目标相似度的过程,与S31011-S31013描述的获取多个相似度的过程类似,本申请实施例在此不再赘述。
S3043、从多个目标相似度中获取最高目标相似度。
这里,最高目标相似度为多个目标相似度中最高的目标相似度。
S3044、从至少一个目标第二对象子模型中,选择与最高目标相似度对应的第二目标子模型。
需要说明的是,服务器依据最高目标相似度,从至少一个目标第二对象子模型中选择对应的目标第二对象子模型,也就得到了与第一目标子模型的相似度最高的第二目标子模型。
在本申请实施例中,S305中服务器获取第二目标子模型对应的目标最大数据量,包括:当最高目标相似度大于预设相似度时,服务器将第二预设对象模型中与第二目标对象对应的最大数据量,确定为第二目标子模型对应的目标最大数据量;当最高目标相似度小于等于预设相似度时,服务器将预设数据量确定为第二目标子模型对应的目标最大数量。这里,预设数据量比如为0,或其他任意数值。
下面,将说明本申请实施例在一个实际的应用场景中的示例性应用。
参见图9,图9为本申请实施例提供的一种示例性的异常行为检测流程示意图;如图9所示,在支付场景中,用户提交支付订单9-1(待检测行为信息)之后,首先,服务器根据支付订单完成支付之前,拉取支付订单,从支付订单中获取订单三元组9-2:用户9-21(第一目标对象)、商户9-22(第一目标对象)和金额值9-23(目标数据量)。
其次,服务器从商户模型9-31(第一预设对象模型)中,获取与商户9-22对应的商户直方图9-311(第一目标子模型),并根据商户直方图9-311的99分位点(预设模型参数)确定商户9-22的正常交易阈值tu(异常数据量);确定正常交易阈值tu的过程参见图4;易知,正常交易阈值tu表示,如果金额值大于正常交易阈值tu,即该金额值对应的支付订单超过了99%的正常情况,确定该金额值对应的支付订单在商户侧为异常交易。这里,由于金额值9-23大于正常交易阈值tu,表明支付订单9-1超过了99%的正常情况,从而,确定支付订单9-1在商户侧为异常交易的结果9-41(第一检测结果)。
然后,服务器从用户模型9-32(第二预设对象模型)中,获取与用户9-21对应的商户直方图组9-321(至少一个目标第二对象子模型),并从商户直方图组9-321中搜索与商户直方图9-311最相似的商户直方图9-322(第二目标子模型)。这里,如果商户直方图9-322与商户直方图组9-321的相似度大于0.8(预设相似度),则获取用户模型9-32中与用户9-21对应的历史最大交易金额(第二目标对象对应的最大数据量)作为正常交易阈值tv(目标最大数据量);否则,将正常交易阈值tv设置为0(预设数据量);易知,正常交易阈值tv表示,如果金额值小于等于正常交易阈值tv,表明该金额值在历史支付订单中出现了相同的金额值,确定该金额值对应的支付订单在用户侧为正常交易。这里,由于金额值9-23大于正常交易阈值tv,表明金额值9-23未在历史支付订单中出现过,从而,确定支付订单9-1在用户侧为异常交易的结果9-42(第二检测结果)。
最后,依据表1所示的决策矩阵,结合结果9-41和结果9-42,确定支付订单9-1异常(目标检测结果),可能为盗用账号的交易;从而,对支付订单9-1进行拦截处理9-5,以提升网络安全性。其中,
表1
Figure BDA0002641349810000261
由表1示出的决策矩阵,易知,当商户侧表明支付订单为异常支付,且用户侧表明支付订单也为异常支付时,确定支付订单为异常支付;当商户侧表明支付订单为异常支付,且用户侧表明支付订单为正常支付时,确定支付订单为正常支付;当商户侧表明支付订单为正常支付,且用户侧表明支付订单为异常支付时,确定支付订单为疑似异常支付,此时,根据实际情况确定支付订单的异常性,即根据实际情况可以认为支付订单正常,也可以认为支付订单异常;当商户侧表明支付订单为正常支付,且用户侧表明支付订单也为正常支付时,确定支付订单为正常支付。
另外,本申请实施例还提供了另一种决策矩阵,如表2所示:
表2
Figure BDA0002641349810000271
由表2示出的决策矩阵,易知,当商户侧表明支付订单为异常支付,且用户侧表明支付订单也为异常支付时,确定支付订单为异常支付;当商户侧表明支付订单为异常支付,且用户侧表明支付订单为正常支付时,确定支付订单为疑似异常支付,此时,根据实际情况确定支付订单的异常性,即根据实际情况可以认为支付订单正常,也可以认为支付订单异常;当商户侧表明支付订单为正常支付,且用户侧表明支付订单为异常支付时,确定支付订单为疑似异常支付,此时,根据实际情况确定支付订单的异常性,即根据实际情况可以认为支付订单正常,也可以认为支付订单异常;当商户侧表明支付订单为正常支付,且用户侧表明支付订单也为正常支付时,确定支付订单为正常支付。
需要说明的是,服务器依据第一检测结果和第二检测结果确定目标检测结果时,还可以是其他的决策矩阵,本申请实施例在此不一一列出。
另外,上述确定支付订单的异常性的处理过程是实时的,是在实时/在线环境上实现的;上述确定支付订单的异常性的处理过程,还可以应用在信用卡反欺诈、黑产对抗等场景中。
下面,继续说明支付场景中的异常行为检测的应用。
参见图10,图10是本申请实施例提供的一种示例性的获取模型的示意图;如图10所示,服务器获取近期(当前预设周期)的历史支付订单10-1(行为信息样本),其中,历史支付订单10-1中的每条支付订单均包括用户(第二对象)、商户(第一对象)和金额(数据量)。
首先,对历史支付订单10-1按照商户(第一预设对象类型)进行聚合,得到每个商户近期所有用户的交易金额10-2(数据量集合);利用自然对数对每个商户近期所有用户的交易金额10-2进行转化后,分段统计得到金额分布直方图10-31(第一子模型);如图11所示的直方图11-1即金额分布直方图10-31,坐标系中横坐标为取对数后的金额值,纵坐标为概率值。将每个商户对应的金额分布直方图10-31组合,也就得到了商户模型10-3。
其次,对历史支付订单10-1按照用户(第二预设对象类型)进行聚合,得到每个用户近期所支付的各个商户10-41(第一对象集合),以及每个用户近期在各个商户的支付金额10-42,从每个用户近期在各个商户的支付金额10-42中选择最大支付金额10-421(最大数据量)作为历史最大交易金额。
然后,遍历每个用户近期所支付的各个商户10-41,针对每个商户10-411(当前第一对象),从商户模型10-3中获取对应的商户金额分布直方图10-32。当每个商户10-411为遍历到的各个商户10-41中的第一个商户时,将商户金额分布直方图10-32直接插入直方图组10-51(当前子模型集合);当每个商户10-411不为遍历到的各个商户10-41中的第一个商户时,将商户金额分布直方图10-32与直方图组10-51中的每个直方图进行对比,以从直方图组10-51中对比出相似度最高的直方图10-511(相似子模型);其中,对比的过程参见图7。这里,如果直方图10-511和商户金额分布直方图10-32之间的相似度大于0.8,则将商户金额分布直方图10-32合并至直方图10-511中,合并的过程参见图8;而直方图10-511和商户金额分布直方图10-32之间的相似度小于等于0.8,则将商户金额分布直方图10-32插入至直方图组10-51中;如此,当完成对各个商户10-41的遍历时(直方图组10-51即至少一个第二对象子模型),将每个用户对应的直方图组10-51与最大支付金额10-421组合,也就得到了第二子模型,从而也就得到了用户模型10-5(第二预设对象模型)。
需要说明的是,上述获取第一预设对象模型和第二预设对象模型的过程可在离线环境中进行。
可以理解的是,本申请实施例提供的异常行为检测方法采用的为无监督方式,无需对数据进行标注,提升了检测的可执行性;并且,模型训练的过程中仅需要第一对象、第二对象和数据量,在特征维度较低的情况下也能准确实现异常行为的检测;另外,由于模型训练过程中无需数据标注,提升了训练的效率,从而也使得训练出的模型具有时效性,能够适用于实时环境。
下面继续说明本申请实施例提供的异常行为检测装置455的实施为软件模块的示例性结构,在一些实施例中,如图2所示,存储在存储器450的异常行为检测装置455中的软件模块可以包括:
信息获取模块4551,用于获取待检测行为信息,所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量;
第一检测模块4552,用于从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型;
所述第一检测模型4552,还用于基于预设模型参数,从所述第一目标子模型中确定异常数据量,对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果;
第二检测模块4553,用于从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型;
所述第二检测模型4553,还用于获取所述第二目标子模型对应的目标最大数据量,对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果;
结果确定模块4554,用于结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果。
在本申请实施例中,所述异常行为检测装置455还包括模型获取模块4555,用于获取行为信息样本;依据第一预设对象类型对所述行为信息样本进行聚合,得到与每个第一对象对应的数据量集合,依据所述数据量集合,构建与所述每个第一对象对应的第一子模型,从而得到与各个第一对象对应的所述第一预设对象模型;依据第二预设对象类型对所述行为信息样本进行聚合,得到与每个第二对象对应的第一对象集合和最大数据量;遍历所述第一对象集合,基于所述第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型;将所述至少一个第二对象子模型与所述最大数据量,组合为与所述每个第二对象对应的第二子模型,从而得到与各个第二对象对应的所述第二预设对象模型。
在本申请实施例中,所述模型获取模块4555,还用于获取所述数据量集合中的各个数据量对应的数据量范围;对所述数据量范围进行分段,得到多个目标段;从所述数据量集合中,统计属于所述多个目标段中的每个目标段的数据量的目标数量;将所述目标数量与所述数据量集合对应的集合元素数量的比值,确定为与所述每个目标段对应的概率值,从而得到与所述多个目标段对应的多个概率值;将所述多个目标段对应的所述多个概率值,确定为所述第一子模型。
在本申请实施例中,所述模型获取模块4555,还用于对所述数据量集合中的所述各个数据量进行转化,得到转化后的数据量集合;将所述转化后的数据量集合中的各个转化后的数据量对应的范围,确定为所述数据量范围。
在本申请实施例中,所述模型获取模块4555,还用于从所述转化后的数据量集合中,统计属于所述多个目标段中的所述每个目标段的转化后的数据量的所述目标数量。
在本申请实施例中,所述模型获取模块4555,还用于遍历所述第一对象集合,将所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型,分别与所述每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型;当所述相似子模型对应的相似度大于预设相似度时,合并所述待更新子模型和所述相似子模型,利用合并后的子模型替换所述当前子模型集合中的所述相似子模型,完成对所述当前子模型集合的更新;当所述相似子模型对应的相似度小于等于所述预设相似度时,将所述待更新子模型插入所述当前子模型集合中,完成对所述当前子模型集合的更新;当完成对所述第一对象集合的遍历时,将遍历更新后的当前子模型集合确定为构建出的所述至少一个第二对象子模型。
在本申请实施例中,所述模型获取模块4555,还用于从所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;从所述每个第二对象对应的所述当前子模型集合中的每个当前子模型中,获取所述多个目标段对应的多个第二目标概率值;将所述多个第一目标概率值和所述多个第二目标概率值一一对应对比,得到多个最小概率值,将所述多个最小概率值的累加和,确定为所述待更新子模型和所述每个当前子模型的相似度,从而得到与所述当前子模型集合对应的多个相似度;将所述当前子模型集合中,所述多个相似度中的最高的相似度对应的当前子模型,确定为所述相似子模型。
在本申请实施例中,所述模型获取模块4555,还用于从所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;从所述相似子模型中,获取所述多个目标段对应的多个待合并概率值;将所述多个第一目标概率值和所述多个待合并概率值一一对应对比,得到多个最大概率值;将所述多个目标段和所述多个最大概率值组合,完成对所述待更新子模型和所述相似子模型的合并。
在本申请实施例中,所述第二检测模块4553,还用于从所述第二预设对象模型中,获取与所述第二目标对象对应的至少一个目标第二对象子模型;获取所述第一目标子模型与所述至少一个目标第二对象子模型中的各个目标第二对象子模型的多个目标相似度;从所述多个目标相似度中获取最高目标相似度;从所述至少一个目标第二对象子模型中,选择与所述最高目标相似度对应的所述第二目标子模型。
在本申请实施例中,所述第二检测模块4553,还用于当所述最高目标相似度大于预设相似度时,将所述第二预设对象模型中与所述第二目标对象对应的最大数据量,确定为所述第二目标子模型对应的所述目标最大数据量;当所述最高目标相似度小于等于所述预设相似度时,将预设数据量确定为所述第二目标子模型对应的所述目标最大数量。
在本申请实施例中,所述第一检测模块4552,还用于当所述目标数据量大于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象异常的所述第一检测结果;当所述目标数据量小于等于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象正常的所述第一检测结果。
在本申请实施例中,所述第二检测模块4553,还用于当所述目标数据量大于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象异常的所述第二检测结果;当所述目标数据量小于等于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象正常的所述第二检测结果。
在本申请实施例中,所述结果确定模块4554,还用于当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果;当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果。
本申请实施例提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本申请实施例上述的异常行为检测方法。
本申请实施例提供一种存储有可执行指令的计算机可读存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本申请实施例提供的异常行为检测方法,例如,如图3示出的异常行为检测方法。
在一些实施例中,计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
作为示例,可执行指令可以但不一定对应于文件系统中的文件,可以可被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(H TML,Hyper TextMarkup Language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分的文件)中。
作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
综上所述,通过本申请实施例,在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时,通过结合目标数据量分别与异常数据量和目标最大数据量的比较结果,确定待检测行为信息是否具有异常性的目标检测结果;然而,该确定目标检测结果的过程中,由于异常数据量为基于第一预设对象模型确定的针对第一目标对象的异常判断条件,目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件;因此,能够在低纬度特征下,通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间,来准确得到待检测行为信息是否具有异常性的目标检测结果;从而,异常行为检测的准确度较高。
以上所述,仅为本申请的实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本申请的保护范围之内。

Claims (15)

1.一种异常行为检测方法,其特征在于,包括:
获取待检测行为信息,所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量;
从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型;
基于预设模型参数,从所述第一目标子模型中确定异常数据量,对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果;
从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型;
获取所述第二目标子模型对应的目标最大数据量,对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果;
结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果。
2.根据权利要求1所述的方法,其特征在于,所述从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型之前,所述方法还包括:
获取行为信息样本;
依据第一预设对象类型对所述行为信息样本进行聚合,得到与每个第一对象对应的数据量集合,依据所述数据量集合,构建与所述每个第一对象对应的第一子模型,从而得到与各个第一对象对应的所述第一预设对象模型;
依据第二预设对象类型对所述行为信息样本进行聚合,得到与每个第二对象对应的第一对象集合和最大数据量;
遍历所述第一对象集合,基于所述第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型;
将所述至少一个第二对象子模型与所述最大数据量,组合为与所述每个第二对象对应的第二子模型,从而得到与各个第二对象对应的所述第二预设对象模型。
3.根据权利要求2所述的方法,其特征在于,所述依据所述数据量集合,构建与所述每个第一对象对应的第一子模型,包括:
获取所述数据量集合中的各个数据量对应的数据量范围;
对所述数据量范围进行分段,得到多个目标段;
从所述数据量集合中,统计属于所述多个目标段中的每个目标段的数据量的目标数量;
将所述目标数量与所述数据量集合对应的集合元素数量的比值,确定为与所述每个目标段对应的概率值,从而得到与所述多个目标段对应的多个概率值;
将所述多个目标段对应的所述多个概率值,确定为所述第一子模型。
4.根据权利要求3所述的方法,其特征在于,所述获取所述数据量集合中的各个数据量对应的数据量范围,包括:
对所述数据量集合中的所述各个数据量进行转化,得到转化后的数据量集合;
将所述转化后的数据量集合中的各个转化后的数据量对应的范围,确定为所述数据量范围;
所述从所述数据量集合中,统计属于所述多个目标段中的每个目标段的数据量的目标数量,包括:
从所述转化后的数据量集合中,统计属于所述多个目标段中的所述每个目标段的转化后的数据量的所述目标数量。
5.根据权利要求2至4任一项所述的方法,其特征在于,所述遍历所述第一对象集合,基于所述第一预设对象模型中与当前第一对象对应的待更新子模型,构建至少一个第二对象子模型,包括:
遍历所述第一对象集合,将所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型,分别与所述每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型;
当所述相似子模型对应的相似度大于预设相似度时,合并所述待更新子模型和所述相似子模型,利用合并后的子模型替换所述当前子模型集合中的所述相似子模型,完成对所述当前子模型集合的更新;
当所述相似子模型对应的相似度小于等于所述预设相似度时,将所述待更新子模型插入所述当前子模型集合中,完成对所述当前子模型集合的更新;
当完成对所述第一对象集合的遍历时,将遍历更新后的当前子模型集合确定为构建出的所述至少一个第二对象子模型。
6.根据权利要求5所述的方法,其特征在于,所述将所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型,分别与所述每个第二对象对应的当前子模型集合中的各个当前子模型进行对比,得到相似子模型,包括:
从所述第一预设对象模型中与所述当前第一对象对应的所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;
从所述每个第二对象对应的所述当前子模型集合中的每个当前子模型中,获取所述多个目标段对应的多个第二目标概率值;
将所述多个第一目标概率值和所述多个第二目标概率值一一对应对比,得到多个最小概率值,将所述多个最小概率值的累加和,确定为所述待更新子模型和所述每个当前子模型的相似度,从而得到与所述当前子模型集合对应的多个相似度;
将所述当前子模型集合中,所述多个相似度中的最高的相似度对应的当前子模型,确定为所述相似子模型。
7.根据权利要求5所述的方法,其特征在于,所述合并所述待更新子模型和所述相似子模型,包括:
从所述待更新子模型中,获取多个目标段对应的多个第一目标概率值;
从所述相似子模型中,获取所述多个目标段对应的多个待合并概率值;
将所述多个第一目标概率值和所述多个待合并概率值一一对应对比,得到多个最大概率值;
将所述多个目标段和所述多个最大概率值组合,完成对所述待更新子模型和所述相似子模型的合并。
8.根据权利要求1至4任一项所述的方法,其特征在于,所述从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型,包括:
从所述第二预设对象模型中,获取与所述第二目标对象对应的至少一个目标第二对象子模型;
获取所述第一目标子模型与所述至少一个目标第二对象子模型中的各个目标第二对象子模型的多个目标相似度;
从所述多个目标相似度中获取最高目标相似度;
从所述至少一个目标第二对象子模型中,选择与所述最高目标相似度对应的所述第二目标子模型。
9.根据权利要求8所述的方法,其特征在于,所述获取所述第二目标子模型对应的目标最大数据量,包括:
当所述最高目标相似度大于预设相似度时,将所述第二预设对象模型中与所述第二目标对象对应的最大数据量,确定为所述第二目标子模型对应的所述目标最大数据量;
当所述最高目标相似度小于等于所述预设相似度时,将预设数据量确定为所述第二目标子模型对应的所述目标最大数量。
10.根据权利要求1至4任一项所述的方法,其特征在于,所述对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果,包括:
当所述目标数据量大于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象异常的所述第一检测结果;
当所述目标数据量小于等于所述异常数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第一目标对象正常的所述第一检测结果。
11.根据权利要求1至4任一项所述的方法,其特征在于,所述对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果,包括:
当所述目标数据量大于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象异常的所述第二检测结果;
当所述目标数据量小于等于所述目标最大数据量时,确定与所述待检测行为信息对应的包括所述待检测行为信息关于所述第二目标对象正常的所述第二检测结果。
12.根据权利要求1至4任一项所述的方法,其特征在于,所述结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果,包括:
当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;
当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时,确定包括所述待检测行为信息异常的所述目标检测结果;
当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果;
当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常,且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时,确定包括所述待检测行为信息正常的所述目标检测结果。
13.一种异常行为检测装置,其特征在于,包括:
信息获取模块,用于获取待检测行为信息,所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量;
第一检测模块,用于从第一预设对象模型中,获取与所述第一目标对象对应的第一目标子模型;
所述第一检测模块,还用于基于预设模型参数,从所述第一目标子模型中确定异常数据量,对比所述目标数据量和所述异常数据量,确定与所述待检测行为信息对应的第一检测结果;
第二检测模块,用于从第二预设对象模型中,获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型;
所述第二检测模块,还用于获取所述第二目标子模型对应的目标最大数据量,对比所述目标数据量和所述目标最大数据量,确定与所述待检测行为信息对应的第二检测结果;
结果确定模块,用于结合所述第一检测结果和所述第二检测结果,确定所述待检测行为信息的目标检测结果。
14.一种异常行为检测设备,其特征在于,包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至12任一项所述的方法。
15.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于被处理器执行时,实现权利要求1至12任一项所述的方法。
CN202010840924.8A 2020-08-20 2020-08-20 异常行为检测方法、装置、设备及计算机可读存储介质 Pending CN114078008A (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN202010840924.8A CN114078008A (zh) 2020-08-20 2020-08-20 异常行为检测方法、装置、设备及计算机可读存储介质
EP21857394.7A EP4120167A4 (en) 2020-08-20 2021-07-07 METHOD AND DEVICE FOR DETECTING ABNORMAL BEHAVIOR AND ELECTRONIC DEVICE AND COMPUTER READABLE STORAGE MEDIUM
PCT/CN2021/104999 WO2022037299A1 (zh) 2020-08-20 2021-07-07 异常行为检测方法、装置、电子设备及计算机可读存储介质
JP2022554811A JP7430816B2 (ja) 2020-08-20 2021-07-07 異常行為検出方法、装置、電子機器及びコンピュータプログラム
US17/898,324 US20230004979A1 (en) 2020-08-20 2022-08-29 Abnormal behavior detection method and apparatus, electronic device, and computer-readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010840924.8A CN114078008A (zh) 2020-08-20 2020-08-20 异常行为检测方法、装置、设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN114078008A true CN114078008A (zh) 2022-02-22

Family

ID=80282949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010840924.8A Pending CN114078008A (zh) 2020-08-20 2020-08-20 异常行为检测方法、装置、设备及计算机可读存储介质

Country Status (5)

Country Link
US (1) US20230004979A1 (zh)
EP (1) EP4120167A4 (zh)
JP (1) JP7430816B2 (zh)
CN (1) CN114078008A (zh)
WO (1) WO2022037299A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116192538B (zh) * 2023-04-28 2023-07-11 北京源堡科技有限公司 基于机器学习的网络安全评估方法、装置、设备及介质
CN116451139B (zh) * 2023-06-16 2023-09-01 杭州新航互动科技有限公司 一种基于人工智能的直播数据快速分析方法
CN117687859B (zh) * 2024-01-31 2024-04-12 苏州元脑智能科技有限公司 PCIe设备的异常检测设备、系统、服务器、方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6430539B1 (en) * 1999-05-06 2002-08-06 Hnc Software Predictive modeling of consumer financial behavior
US7962435B2 (en) * 2008-02-20 2011-06-14 Panasonic Corporation System architecture and process for seamless adaptation to context aware behavior models
CN103559420B (zh) * 2013-11-20 2016-09-28 苏州大学 一种异常检测训练集的构建方法及装置
US10896421B2 (en) * 2014-04-02 2021-01-19 Brighterion, Inc. Smart retail analytics and commercial messaging
CN105843947B (zh) * 2016-04-08 2019-03-05 华南师范大学 基于大数据关联规则挖掘的异常行为检测方法和系统
US10896424B2 (en) * 2017-10-26 2021-01-19 Mastercard International Incorporated Systems and methods for detecting out-of-pattern transactions
JP6491297B1 (ja) * 2017-10-30 2019-03-27 みずほ情報総研株式会社 不正検知システム、不正検知方法及び不正検知プログラム
TWI710922B (zh) * 2018-10-29 2020-11-21 安碁資訊股份有限公司 行為標記模型訓練系統及方法

Also Published As

Publication number Publication date
WO2022037299A1 (zh) 2022-02-24
US20230004979A1 (en) 2023-01-05
EP4120167A4 (en) 2023-10-25
JP7430816B2 (ja) 2024-02-13
EP4120167A1 (en) 2023-01-18
JP2023517338A (ja) 2023-04-25

Similar Documents

Publication Publication Date Title
CN110472675B (zh) 图像分类方法、图像分类装置、存储介质与电子设备
CN114078008A (zh) 异常行为检测方法、装置、设备及计算机可读存储介质
CN110909165A (zh) 数据处理方法、装置、介质及电子设备
CN109885597B (zh) 基于机器学习的用户分群处理方法、装置及电子终端
CN113093958B (zh) 数据处理方法、装置和服务器
CN111428557A (zh) 基于神经网络模型的手写签名的自动校验的方法和装置
CN111598012B (zh) 一种图片聚类管理方法、系统、设备及介质
CN112990294B (zh) 行为判别模型的训练方法、装置、电子设备及存储介质
CN110659817A (zh) 一种数据处理方法、装置、机器可读介质及设备
CN112883990A (zh) 数据分类方法及装置、计算机存储介质、电子设备
CN113034046A (zh) 一种数据风险计量方法、装置、电子设备及存储介质
CN111798047A (zh) 风控预测方法、装置、电子设备及存储介质
CN111125658A (zh) 识别欺诈用户的方法、装置、服务器和存储介质
CN112101024B (zh) 基于app信息的目标对象识别系统
CN111178455B (zh) 图像聚类方法、系统、设备及介质
CN112966756A (zh) 一种可视化的准入规则的生成方法、装置、机器可读介质及设备
CN111046184A (zh) 文本的风险识别方法、装置、服务器和存储介质
CN111738290B (zh) 图像检测方法、模型构建和训练方法、装置、设备和介质
CN114240663A (zh) 数据对账方法、装置、终端及存储介质
CN113379469A (zh) 一种异常流量检测方法、装置、设备及存储介质
CN112686312A (zh) 一种数据分类方法、装置及系统
CN111651555A (zh) 业务处理方法、系统和计算机可读存储介质
CN110738561A (zh) 一种基于特征分类的业务管理方法、系统、设备和介质
CN110767224B (zh) 一种基于特征权级的业务管理方法、系统、设备和介质
CN111309850B (zh) 一种数据特征提取方法、装置、终端设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40065620

Country of ref document: HK

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination