CN114500075A - 用户异常行为检测方法、装置、电子设备及存储介质 - Google Patents

用户异常行为检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114500075A
CN114500075A CN202210129561.6A CN202210129561A CN114500075A CN 114500075 A CN114500075 A CN 114500075A CN 202210129561 A CN202210129561 A CN 202210129561A CN 114500075 A CN114500075 A CN 114500075A
Authority
CN
China
Prior art keywords
user
index
abnormal
state
user state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210129561.6A
Other languages
English (en)
Other versions
CN114500075B (zh
Inventor
王有元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210129561.6A priority Critical patent/CN114500075B/zh
Publication of CN114500075A publication Critical patent/CN114500075A/zh
Application granted granted Critical
Publication of CN114500075B publication Critical patent/CN114500075B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/29Graphical models, e.g. Bayesian networks
    • G06F18/295Markov models or related models, e.g. semi-Markov models; Markov random fields; Networks embedding Markov models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)

Abstract

本公开提供了一种用户异常行为检测方法、装置、电子设备及存储介质,涉及互联网技术领域。获取目标用户的用户行为链数据,用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长;基于第一用户状态转移至第二用户状态的转移概率,得到转移指数;基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数;将转移指数和滞留指数结合,得到第二用户状态的异常指数;将第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数;基于用户行为异常指数,确定目标用户的用户行为是否存在异常。本公开可判断用户的异常行为发出告警,并且可以做到实时检测实时报告,计算简便,实用性强。

Description

用户异常行为检测方法、装置、电子设备及存储介质
技术领域
本公开涉及互联网技术领域,尤其涉及一种用户异常行为检测方法、装置、电子设备及存储介质。
背景技术
在互联网应用中,由于超文本传输协议HTTP的无状态性,服务器端无法直接判断用户的状态。如果遇到用户账户被盗、攻击前期试探、非法爬虫等异常的用户行为将对网络安全产生恶劣影响。如何判断用户的异常行为成为重要的议题。
目前对用户异常行为的检测一种是结合业务规律通过规则的方法挑选出可疑用户,然后依靠人工的方法去判断异常行为。这种方式只能事后追溯,自动化程度低,需要消耗大量人力物力;或者是采用复杂的模型,例如多阶的马尔科夫模型,模型复杂难以训练,检测时计算量很大,另外没有考虑状态的时长等因素的影响,导致误报率高。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种用户异常行为检测方法、装置、电子设备及存储介质,至少在一定程度上克服相关技术中无法快速准确地识别用户异常行为的技术问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一个方面,提供一种用户异常行为检测方法,包括:
获取目标用户的用户行为链数据,所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长;
基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,所述转移概率通过预训练的马尔科夫模型确定,所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态;
基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,所述正常时长范围通过拉依达准则确定;
将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数;
将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态;
基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常。
在本公开的一个实施例中,在基于第一用户状态转移至第二用户状态的转移概率,得到转移指数之前,所述方法还包括:
采集正常用户行为链数据,所述正常用户行为链数据包括多个按时序排列的用户状态;
基于所述正常用户行为链数据中的用户状态训练马尔科夫模型;
基于训练后的马尔科夫模型,得到所述目标用户的用户行为链数据中不同用户状态之间的转移概率。
在本公开的一个实施例中,在基于所述滞留时长与正常时长范围的关系,得到状态滞留指数之前,所述方法还包括:
采集正常用户行为链数据,所述正常用户行为链数据包括多个用户状态的滞留时长;
基于所述正常用户行为链数据中每个用户状态的滞留时长,利用拉依达准则确定每个用户状态的正常时长范围。
在本公开的一个实施例中,所述将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数,具体包括:
基于预设的加法模型或乘法模型,将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数。
在本公开的一个实施例中,当基于预设的加法模型结合时,将所述转移指数和所述滞留指数相加,计算得到第二用户状态的异常指数;
当基于预设的乘法模型结合时,将所述转移指数和所述滞留指数相乘,计算得到第二用户状态的异常指数。
在本公开的一个实施例中,所述将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,具体包括:
设定第二用户状态的异常指数和历史用户状态的异常指数权重系数;
将第二用户状态的异常指数和历史用户状态的异常指数按照设定的权重系数相加,得到用户行为异常指数。
在本公开的一个实施例中,所述基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常,具体包括:
判断用户行为异常指数是否在预设阈值范围内;
若是,则确定所述目标用户的用户行为存在异常。
在本公开的一个实施例中,所述转移指数为所述转移概率与转移参数的和的倒数,所述转移参数为任意大于0的实数,所述方法还包括:
判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;
若是,则将滞留指数设为第一滞留指数;
若否,则将滞留指数设为第二滞留指数;
其中,所述第一滞留指数和所述第二滞留指数均为任意大于0的实数,且所述第一滞留指数小于所述第二滞留指数;
当所述用户异常行为指数大于预设阈值时,确定用户行为异常。
在本公开的一个实施例中,所述转移指数为所述转移概率,所述方法还包括:
判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;
若是,则将滞留指数设为第一滞留指数;
若否,则将滞留指数设为第二滞留指数;
其中,所述第一滞留指数和所述第二滞留指数均为任意大于0的实数,且所述第一滞留指数大于所述第二滞留指数;
当所述用户异常行为指数小于预设阈值时,确定用户行为异常。
根据本公开的另一个方面,提供一种用户异常行为检测装置,包括:
行为链获取模块,用于获取目标用户的用户行为链数据,所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长;
转移指数获取模块,用于基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,所述转移概率通过预训练的马尔科夫模型确定,所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态;
滞留指数获取模块,用于基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,所述正常时长范围通过拉依达准则确定;
状态异常指数获取模块,用于将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数;
行为异常指数获取模块,用于将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态;
异常行为检测模块,用于基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常。
根据本公开的再一个方面,提供一种电子设备,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的用户异常行为检测方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的用户异常行为检测方法。
本公开的实施例所提供的用户异常行为检测方法、装置、电子设备及存储介质,基于马尔科夫模型和拉依达准则,通过计算用户行为链中用户状态的转移指数,并进一步结合用户状态的滞留时长和历史异常指数等特征综合判断用户异常状态,提高了用户异常状态判断准确率,实现了异常行为的监控与检测。本公开提供的方法可判断用户的异常行为发出告警,并且可以做到实时检测实时报告,计算简便,实用性强。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种用户异常行为检测方法的流程图;
图2示出本公开实施例中马尔可夫模型训练示意图;
图3示出本公开实施例中一种用户异常行为检测原理示意图;
图4示出本公开实施例中一种用户异常行为检测实例示意图;
图5示出本公开实施例中一种用户异常行为检测装置示意图;和
图6示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本公开提供的方案,首先,获取目标用户的用户行为链数据,用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长;随后,基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,转移概率通过预训练的马尔科夫模型确定,第一用户状态和第二用户状态为用户行为链数据中前后相邻的两个用户状态,并基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,正常时长范围通过拉依达准则确定;接下来,将转移指数和滞留指数结合,得到第二用户状态的异常指数,随后将第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,历史用户状态包括用户行为链数据中第二用户状态之前的用户状态;最终,基于用户行为异常指数,确定目标用户的用户行为是否存在异常。
为了便于理解,下面首先对本公开涉及到的几个名词进行解释如下:
马尔科夫模型(Markov model),是对马尔科夫过程进行建模后一种统计模型,广泛应用在语音识别,词性自动标注,音字转换,概率文法等各个自然语言处理等应用领域。
马尔科夫过程(Markov process)是一类随机过程,该过程具有如下特性:在已知目前状态(现在)的条件下,它未来的演变(将来)不依赖于它以往的演变(过去)。在现实世界中,有很多过程都是马尔科夫过程,如液体中微粒所作的布朗运动、传染病受感染的人数、车站的候车人数等,都可视为马尔科夫过程,在一定程度上,马尔科夫过程和马尔科夫链的含义相同。
马尔科夫过程中的每个状态的转移只依赖于之前的n个状态,这个过程被称为1个n阶的模型,其中n是影响转移状态的数目。最简单的马尔科夫过程就是一阶过程,每一个状态的转移只依赖于其之前的那一个状态,这个也叫作马尔科夫性质。
拉依达准则,又称3σ准则,它是先假设一组检测数据只含有随机误差,对其进行计算处理得到标准偏差,按一定概率确定一个区间,认为凡超过这个区间的误差,就不属于随机误差而是粗大误差,含有该误差的数据应予以剔除。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种用户异常行为检测方法,该方法可以由本地服务器或者云端服务器执行。
图1示出本公开实施例中一种用户异常行为检测方法流程图,如图1所示,本公开实施例中提供的用户异常行为检测方法包括如下步骤:
S102,获取目标用户的用户行为链数据,用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长。
需要说明的是,用户行为链数据包括由一组离散的用户状态组成的用户行为链,以及该用户行为链中每一用户状态下的滞留时长,其中,用户状态在用户行为链中按照用户状态发生的时序排列。
具体地,本公开实施例中的用户行为链为马尔科夫链,马尔科夫链是一组具有马尔科夫性质的离散随机变量的集合,时间和状态都是离散的马尔科夫过程。
更具体地,在本公开实施例的Web应用场景下,用户的状态本来是连续的,但通过某些动作或行为可将用户状态划分为离散型。例如,根据Web应用提供的服务,可以利用登录、浏览某页面、写评论以及访问禁止服务等行为对用户状态进行划分。划分后的当前用户状态只与同一用户行为链中的前一个用户状态有关,与其他状态无关。
在本公开的一个实施例中,用户状态可以理解为某一行为涉及的过程,例如,用户在登录行为中涉及的过程,在浏览某页面中涉及的过程,在写评论中持续的过程等等。
在本公开的一个实施例中,滞留时长可以理解为用户在某一状态下的持续的时间,例如,用户登录时持续的时间,浏览某页面时持续的时间,写评论时持续的时间等等,即为该状态下的滞留时长。
S104,基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,转移概率通过预训练的马尔科夫模型确定,第一用户状态和第二用户状态为用户行为链数据中前后相邻的两个用户状态。
需要说明的是,本公开实施例中的第二用户状态可以理解为当前时刻的用户状态(即当前用户状态),而第一用户状态可以理解为当前用户状态前一时刻的用户状态。
需要说明的是,在本公开实施例中,马尔科夫模型可基于历史正常用户数据训练,从而得到不同状态之间的转移概率矩阵。
马尔科夫模型认为同一用户的下一个状态和当前的状态是存在联系的。在本公开实施例中,很好地利用了马尔科夫模型这一特点,创造性地将马尔科夫模型用于用户异常状态识别中。
具体地,根据Web应用提供的服务种类,可以基于历史正常数据得到用户状态集合,例如该用户状态集合包括登录、浏览某页面、写评论以及访问禁止服务等状态,假设用户状态集合中共有n种状态(n为正整数),如图2所示(图中n=3),用集合(S1,S2,…Sn)来表示,其中,集合中的Sn用于表示用户状态。那么根据马尔科夫模型可以得到用户在不同状态之间的转移概率,即n×n的二维矩阵:
Figure BDA0003502070500000081
其中,Pij表示用户从状态i转移到状态j的概率,例如P1n表示用户从状态S1转移到状态Sn的转移概率。
需要说明的是,转移指数可基于转移概率获得,本领域技术人员可以理解,转移指数可以取转移概率的倒数,也可以取转移概率本身,或是在转移概率的基础上增加其他参数或系数。具体对于数值的处理方式可根据实际需求调整,本公开实施例对此不做限定。
S106,基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,正常时长范围通过拉依达准则确定。
需要说明的是,可以统计正常用户行为历史数据中用户在不同状态/行为的停留时间,得到平均时间与标准差,根据拉依达准则得到不同状态停留时间的正常范围。
具体地,根据拉依达准则计算正常时长范围的方式是统计某个状态下所有用户在此状态的停留时间,计算得到此状态下所有用户停留时长的均值和标准差,在均值的基础上加或减三倍的标准差,即可得到此状态的正常时长范围。停留时间表用一个字典可表示如下:
Figure BDA0003502070500000082
Figure BDA0003502070500000091
其中,X用于表示时间范围的下限,Y用于表示时间范围的上限;例如Xn与Yn分别表示正常用户在状态Sn下滞留时间的上限和下限。
需要说明的是,滞留指数可基于滞留时长与正常时长范围的关系确定,本领域技术人员可以理解,根据滞留时长在正常时长范围内或不在正常时长范围内,滞留指数的取值不同。具体对于滞留指数的取值方式可根据实际需求调整,本公开实施例对此不做限定。
应当理解的是,由于转移指数和滞留指数的计算不具有直接关联,S104和S106的执行顺序不唯一,先通过S104计算转移指数或先通过S106计算滞留指数均可实现本公开的用户异常行为检测方法。
S108,将转移指数和滞留指数结合,得到第二用户状态的异常指数;
具体地,将转移指数和滞留指数结合的方式,可以采用加法模型或乘法模型。
需要说明的是,加法模型和乘法模型是常见的统计分析方法,本公开实施例创造性地将加法模型和乘法模型用于对转移指数和滞留指数的处理上,从而将转移指数和滞留指数相结合,有效表征用户状态异常指数。
具体地,当应用加法模型时,可以将转移指数和滞留指数直接相加,也可以将转移指数和滞留指数各自赋予一定的权重之后相加,从而得到用户状态异常指数,本公开实施例对此不做限定。
当应用乘法模型时,可以将转移指数和滞留指数直接相乘,也可以将转移指数和滞留指数各自赋予一定的权重之后相乘,从而得到用户状态异常指数,本公开实施例对此不做限定。
S110,将第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,历史用户状态包括用户行为链数据中第二用户状态之前的用户状态。
具体地,可以通过定义超参数,根据超参数为当前用户状态的异常指数和历史用户状态异常指数划分权重,并按照权重将二者相加,从而得到用户行为异常指数。
S112,基于用户行为异常指数,确定目标用户的用户行为是否存在异常。
具体地,可以通过判断用户行为异常指数是否在预设阈值范围内,确定目标用户的用户行为是否存在异常。
应当理解的是,预设阈值范围可是用户行为异常指数的异常阈值范围,此时当用户行为异常指数落入预设阈值范围内,则认为目标用户的用户行为存在异常。当然,预设阈值范围也可以是用户行为异常指数的正常阈值范围,此时当用户行为异常指数落入预设阈值范围内,则认为目标用户的用户行为不存在异常。
在本公开的一个实施例中,预设阈值范围可以用预设阈值来代替,通过设定大于某一阈值或小于某一阈值的判断条件,可实现与阈值范围相同的作用。
为便于理解,下面将通过举例说明本公开提供的用户异常行为检测方法的具体实施过程。
在本公开的一个实施例中,转移指数可以是转移概率与转移参数的和的倒数,转移参数为任意大于0的实数。
具体地,设目标用户的用户行为链为(S1,S2,…Sn),则用户从状态St-1转换到St的状态转移指数可以是1/Pt,其中,t用于表示时刻,Pt用于表示从状态St-1转换到St的概率,可通过前述二维矩阵获得;为了避免有些情况下分母为零导致的不合法,可将本公开实施例中的转移指数变形为1/(Pt+α),其中,α为转移参数,α可以是任意大于等于0的实数,例如本公开实施例中取α为0.1,即状态转移异常指数可以是1/(Pt+0.1)。
同时,判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;若是,则将滞留指数设为第一滞留指数;若否,则将滞留指数设为第二滞留指数;其中,第一滞留指数和第二滞留指数均为任意大于0的实数,且第一滞留指数小于第二滞留指数。
具体地,判断用户在状态St-1的滞留时间是否在正常范围内,判断结果可用signt-1表示。其中,signt-1为滞留指数,若状态St-1的滞留时间在正常范围内,则signt-1的取值可以是1,否则取任意大于1的实数。
进一步地,在获得转移指数和滞留指数后,综合二者可以得到用户状态异常指数:
Figure BDA0003502070500000111
其中,At用于表示t时刻下的用户状态异常指数。
需要说明的是,上述用户状态异常指数采用的是乘法模型,当然,也可以采用加法模型,即:
Figure BDA0003502070500000112
本公开实施例对此不做限定。
将当前用户状态异常结合历史状态异常指数得到当前用户行为异常指数:
Mt=(1-β)At+βMt-1 (3)
展开可以得到:
Mt=(1-β)(At+βAt-12At-2+…βt-1A1) (4)
其中,Mt用于表示t时刻下的用户行为异常指数,β为衰减权重指数,β越小表示当前时刻状态异常指数权重越大,历史时刻的状态异常指数权重越小。
在此情况下,判断用户行为异常指数Mt是否大于预先设定的阈值,若大于阈值,则判断当前时刻用户行为异常,发起警告。
在本公开的另一个实施例中,转移指数可以是转移概率。
具体地,设目标用户的用户行为链为(S1,S2,…Sn),则用户从状态St-1转换到St的状态转移指数可以是Pt,其中,t用于表示时刻,Pt用于表示从状态St-1转换到St的概率,可通过前述二维矩阵获得。
同时,判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;若是,则将滞留指数设为第一滞留指数;若否,则将滞留指数设为第二滞留指数;其中,所述第一滞留指数和所述第二滞留指数均为任意大于0的实数,且所述第一滞留指数大于所述第二滞留指数。
具体地,判断用户在状态St-1的滞留时间是否在正常范围内,判断结果可用signt-1表示。其中,signt-1为用户在状态St-1的滞留指数,若状态St-1的滞留时间在正常范围内,则signt-1的取值可以是1,否则取任意大于0且小于1的实数。
进一步地,在获得转移指数和滞留指数后,参照前一实施例中的方式,获得用户行为异常指数Mt
在此情况下,判断用户行为异常指数Mt是否小于预先设定的阈值,若小于阈值,则判断当前时刻用户行为异常,发起警告。
结合上述两个具体实施过程实施例,图3示出了本公开的基本原理,如图3所示,本公开利用马尔科夫模型获得的转移概率矩阵结合利用拉依达准则获得的正常时长范围,从两个维度综合判断异常指数,提高了判断准确率。同时,为弥补马尔科夫模型的转移概率只与当前状态有关的缺陷,计算异常指数时考虑历史行为的影响,并采用指数加权的方法,提高了模型的表达能力。
在理解本公开的用户异常行为检测方法的具体实施过程和原理后,下面将结合具体实例进一步说明本公开方法的运行逻辑。
如图4所示,假设目标用户行为链为(S1:登陆,S2:访问页面1,S3:访问页面2,S4:访问链接1,S5:访问链接2,S6:访问链接3),令转移指数为1/(Pt+0.1);滞留时长在正常时长范围内时的滞留指数signt-1取值为1,不在正常时长范围内时的取值为2;β取值0.6;α取值为0.1;用户状态异常指数的计算采用前述乘法模型:
Figure BDA0003502070500000121
按照前述实施例提供的方式计算用户行为异常指数Mt,则S2处的用户行为异常指数是2,S3处的用户行为异常指数是2,以此类推,直至用户行为进行至S6,此时用户行为异常指数为16.67,大于预设阈值(设预设阈值为14),则认为用户行为出现异常,发出告警。
基于同一发明构思,本公开实施例中还提供了一种用户异常行为检测装置,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图5示出本公开实施例中一种用户异常行为检测装置示意图,如图5所示,该装置500包括:
行为链获取模块501,用于获取目标用户的用户行为链数据,用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长;
转移指数获取模块502,用于基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,转移概率通过预训练的马尔科夫模型确定,第一用户状态和第二用户状态为用户行为链数据中前后相邻的两个用户状态;
滞留指数获取模块503,用于基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,正常时长范围通过拉依达准则确定;
状态异常指数获取模块504,用于将转移指数和滞留指数结合,得到第二用户状态的异常指数;
行为异常指数获取模块505,用于将第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,历史用户状态包括用户行为链数据中第二用户状态之前的用户状态;
异常行为检测模块506,用于基于用户行为异常指数,确定目标用户的用户行为是否存在异常。
需要说明的是,上述实施例提供的用户异常行为检测装置在用于用户异常行为检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的用户异常行为检测装置与用户异常行为检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图6来描述根据本公开的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元610可以执行上述方法实施例的如下步骤:获取目标用户的用户行为链数据,用户行为链数据包括多个按时序排列的目标用户的用户状态和每一用户状态的滞留时长;基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,转移概率通过预训练的马尔科夫模型确定,第一用户状态和第二用户状态为用户行为链数据中前后相邻的两个用户状态;基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,正常时长范围通过拉依达准则确定;将转移指数和滞留指数结合,得到第二用户状态的异常指数;将第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,历史用户状态包括用户行为链数据中第二用户状态之前的用户状态;基于用户行为异常指数,确定目标用户的用户行为是否存在异常。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备640(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器660通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。

Claims (12)

1.一种用户异常行为检测方法,其特征在于,包括:
获取目标用户的用户行为链数据,所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长;
基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,所述转移概率通过预训练的马尔科夫模型确定,所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态;
基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,所述正常时长范围通过拉依达准则确定;
将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数;
将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态;
基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常。
2.根据权利要求1所述的用户异常行为检测方法,其特征在于,在基于第一用户状态转移至第二用户状态的转移概率,得到转移指数之前,所述方法还包括:
采集正常用户行为链数据,所述正常用户行为链数据包括多个按时序排列的用户状态;
基于所述正常用户行为链数据中的用户状态训练马尔科夫模型;
基于训练后的马尔科夫模型,得到所述目标用户的用户行为链数据中不同用户状态之间的转移概率。
3.根据权利要求1所述的用户异常行为检测方法,其特征在于,在基于所述滞留时长与正常时长范围的关系,得到状态滞留指数之前,所述方法还包括:
采集正常用户行为链数据,所述正常用户行为链数据包括多个用户状态的滞留时长;
基于所述正常用户行为链数据中每个用户状态的滞留时长,利用拉依达准则确定每个用户状态的正常时长范围。
4.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数,具体包括:
基于预设的加法模型或乘法模型,将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数。
5.根据权利要求4所述的用户异常行为检测方法,其特征在于,当基于预设的加法模型结合时,将所述转移指数和所述滞留指数相加,计算得到第二用户状态的异常指数;
当基于预设的乘法模型结合时,将所述转移指数和所述滞留指数相乘,计算得到第二用户状态的异常指数。
6.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,具体包括:
设定第二用户状态的异常指数和历史用户状态的异常指数权重系数;
将第二用户状态的异常指数和历史用户状态的异常指数按照设定的权重系数相加,得到用户行为异常指数。
7.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常,具体包括:
判断用户行为异常指数是否在预设阈值范围内;
若是,则确定所述目标用户的用户行为存在异常。
8.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述转移指数为所述转移概率与转移参数的和的倒数,所述转移参数为任意大于0的实数,所述方法还包括:
判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;
若是,则将滞留指数设为第一滞留指数;
若否,则将滞留指数设为第二滞留指数;
其中,所述第一滞留指数和所述第二滞留指数均为任意大于0的实数,且所述第一滞留指数小于所述第二滞留指数;
当所述用户异常行为指数大于预设阈值时,确定用户行为异常。
9.根据权利要求1所述的用户异常行为检测方法,其特征在于,所述转移指数为所述转移概率,所述方法还包括:
判断第一用户状态的滞留时长是否在第一用户状态的正常时长范围内;
若是,则将滞留指数设为第一滞留指数;
若否,则将滞留指数设为第二滞留指数;
其中,所述第一滞留指数和所述第二滞留指数均为任意大于0的实数,且所述第一滞留指数大于所述第二滞留指数;
当所述用户异常行为指数小于预设阈值时,确定用户行为异常。
10.一种用户异常行为检测装置,其特征在于,包括:
行为链获取模块,用于获取目标用户的用户行为链数据,所述用户行为链数据包括多个按时序排列的所述目标用户的用户状态和每一用户状态的滞留时长;
转移指数获取模块,用于基于第一用户状态转移至第二用户状态的转移概率,得到转移指数,所述转移概率通过预训练的马尔科夫模型确定,所述第一用户状态和所述第二用户状态为所述用户行为链数据中前后相邻的两个用户状态;
滞留指数获取模块,用于基于第一用户状态的滞留时长与第一用户状态的正常时长范围,得到滞留指数,所述正常时长范围通过拉依达准则确定;
状态异常指数获取模块,用于将所述转移指数和所述滞留指数结合,得到第二用户状态的异常指数;
行为异常指数获取模块,用于将所述第二用户状态的异常指数和历史用户状态的异常指数结合,得到用户行为异常指数,所述历史用户状态包括所述用户行为链数据中所述第二用户状态之前的用户状态;
异常行为检测模块,用于基于所述用户行为异常指数,确定所述目标用户的用户行为是否存在异常。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~9中任意一项所述的用户异常行为检测方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~9中任意一项所述的用户异常行为检测方法。
CN202210129561.6A 2022-02-11 2022-02-11 用户异常行为检测方法、装置、电子设备及存储介质 Active CN114500075B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210129561.6A CN114500075B (zh) 2022-02-11 2022-02-11 用户异常行为检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210129561.6A CN114500075B (zh) 2022-02-11 2022-02-11 用户异常行为检测方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN114500075A true CN114500075A (zh) 2022-05-13
CN114500075B CN114500075B (zh) 2023-11-07

Family

ID=81481260

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210129561.6A Active CN114500075B (zh) 2022-02-11 2022-02-11 用户异常行为检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114500075B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604016A (zh) * 2022-10-31 2023-01-13 北京安帝科技有限公司(Cn) 一种行为特征链模型的工控异常行为监测方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170230417A1 (en) * 2016-02-04 2017-08-10 Amadeus S.A.S. Monitoring user authenticity in distributed system
US20180324199A1 (en) * 2017-05-05 2018-11-08 Servicenow, Inc. Systems and methods for anomaly detection
CN108881194A (zh) * 2018-06-07 2018-11-23 郑州信大先进技术研究院 企业内部用户异常行为检测方法和装置
CN111709765A (zh) * 2020-03-25 2020-09-25 中国电子科技集团公司电子科学研究院 一种用户画像评分方法、装置和存储介质
CN111913859A (zh) * 2020-07-13 2020-11-10 北京天空卫士网络安全技术有限公司 一种异常行为检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170230417A1 (en) * 2016-02-04 2017-08-10 Amadeus S.A.S. Monitoring user authenticity in distributed system
US20180324199A1 (en) * 2017-05-05 2018-11-08 Servicenow, Inc. Systems and methods for anomaly detection
CN108881194A (zh) * 2018-06-07 2018-11-23 郑州信大先进技术研究院 企业内部用户异常行为检测方法和装置
CN111709765A (zh) * 2020-03-25 2020-09-25 中国电子科技集团公司电子科学研究院 一种用户画像评分方法、装置和存储介质
CN111913859A (zh) * 2020-07-13 2020-11-10 北京天空卫士网络安全技术有限公司 一种异常行为检测方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115604016A (zh) * 2022-10-31 2023-01-13 北京安帝科技有限公司(Cn) 一种行为特征链模型的工控异常行为监测方法和系统

Also Published As

Publication number Publication date
CN114500075B (zh) 2023-11-07

Similar Documents

Publication Publication Date Title
CN107168854B (zh) 互联网广告异常点击检测方法、装置、设备及可读存储介质
CN112436968B (zh) 一种网络流量的监测方法、装置、设备及存储介质
CN112348660B (zh) 生成风险警示信息的方法、装置及电子设备
CN111585799A (zh) 网络故障预测模型建立方法及装置
US11238989B2 (en) Personalized risk prediction based on intrinsic and extrinsic factors
CN114785666B (zh) 一种网络故障排查方法与系统
CN112003834B (zh) 异常行为检测方法和装置
CN115357470B (zh) 信息生成方法、装置、电子设备和计算机可读介质
US11645540B2 (en) Deep graph de-noise by differentiable ranking
CN111199469A (zh) 用户还款模型生成方法、装置及电子设备
CN116028315A (zh) 作业运行预警方法、装置、介质及电子设备
CN115034596A (zh) 一种风险传导预测方法、装置、设备和介质
Wu et al. Multiscale jump testing and estimation under complex temporal dynamics
CN114500075B (zh) 用户异常行为检测方法、装置、电子设备及存储介质
CN111210332A (zh) 贷后管理策略生成方法、装置及电子设备
CN114218505A (zh) 一种异常时空点的识别方法、装置、电子设备及存储介质
CN114418189A (zh) 水质等级预测方法、系统、终端设备及存储介质
CN110704614B (zh) 对应用中的用户群类型进行预测的信息处理方法及装置
CN113313304A (zh) 一种基于大数据决策树的电网事故异常分析方法及系统
CN115964701A (zh) 应用安全检测方法、装置、存储介质及电子设备
CN112784219B (zh) 基于app指数的用户风险预测方法、装置及电子设备
CN111523826B (zh) 一种数据采集方法、装置及设备
CN114338195A (zh) 基于改进孤立森林算法的web流量异常检测方法及装置
CN110674839B (zh) 异常用户识别方法、装置、存储介质及电子设备
CN113850686A (zh) 投保概率确定方法、装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20220513

Assignee: Tianyiyun Technology Co.,Ltd.

Assignor: CHINA TELECOM Corp.,Ltd.

Contract record no.: X2024110000020

Denomination of invention: User abnormal behavior detection methods, devices, electronic devices, and storage media

Granted publication date: 20231107

License type: Common License

Record date: 20240315