CN117350380A - 异常行为监测系统及方法 - Google Patents
异常行为监测系统及方法 Download PDFInfo
- Publication number
- CN117350380A CN117350380A CN202311189567.3A CN202311189567A CN117350380A CN 117350380 A CN117350380 A CN 117350380A CN 202311189567 A CN202311189567 A CN 202311189567A CN 117350380 A CN117350380 A CN 117350380A
- Authority
- CN
- China
- Prior art keywords
- abnormal behavior
- target
- identifier
- feature
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 626
- 238000012544 monitoring process Methods 0.000 title claims abstract description 158
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000012545 processing Methods 0.000 claims abstract description 84
- 238000004891 communication Methods 0.000 claims abstract description 19
- 230000006399 behavior Effects 0.000 claims description 61
- 238000000605 extraction Methods 0.000 claims description 31
- 238000013507 mapping Methods 0.000 claims description 31
- 238000005065 mining Methods 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000007781 pre-processing Methods 0.000 claims description 7
- 238000004140 cleaning Methods 0.000 claims description 5
- 238000005516 engineering process Methods 0.000 description 13
- 238000004590 computer program Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 8
- 239000013598 vector Substances 0.000 description 8
- 230000008901 benefit Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000007405 data analysis Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 238000012800 visualization Methods 0.000 description 4
- 238000007418 data mining Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000003058 natural language processing Methods 0.000 description 3
- 230000000737 periodic effect Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000035945 sensitivity Effects 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000010606 normalization Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 238000010187 selection method Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/211—Selection of the most significant subset of features
- G06F18/2113—Selection of the most significant subset of features by ranking or filtering the set of features, e.g. using a measure of variance or of feature cross-correlation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Physics & Mathematics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Computation (AREA)
- Bioinformatics & Computational Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Computing Systems (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种异常行为监测系统及方法,该系统包括规则配置模块、处理模块和警示模块:处理模块与规则配置模块和警示模块分别通信连接;规则配置模块用于根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各预设异常行为标识对应的异常行为监测关联条件;处理模块用于根据异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及确定目标异常行为特征对应的目标异常行为标识;警示模块用于根据目标异常行为标识,对目标异常行为特征进行警示。本发明实现保障移动互联网异常行为监测的实时性的同时,提高监测准确性。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种异常行为监测系统及方法。
背景技术
随着移动互联网的发展,用户使用手机浏览或者访问网站、应用等已成为一种生活方式,而移动互联网充斥着各种内容敏感程度很高的敏感言论,或者非法网站等,对此类异常行为的访问监管成为目前互联网维稳的重中之重。
相关技术中,通常通过人工定期检测实现对移动互联网上出现的各类异常行为的监测,但这种监测方式不仅仅实时性差,且监测准确性难以保证。
发明内容
本发明提供一种异常行为监测系统及方法,用以解决现有技术中通过人工定期检测实现对移动互联网异常行为的监测,实时性差且监测准确性难以保证的缺陷,实现保障移动互联网异常行为监测的实时性的同时,提高监测准确性。
本发明提供一种异常行为监测系统,包括规则配置模块、处理模块和警示模块:
所述处理模块与所述规则配置模块和所述警示模块分别通信连接;
所述规则配置模块,用于根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
所述处理模块,用于根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
所述警示模块,用于根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
根据本发明提供的一种异常行为监测系统,所述规则配置模块,还用于:
根据各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息,确定所述样本异常行为特征集合中与各所述预设异常行为标识关联的至少一个第一关联异常行为特征;
根据各所述样本异常行为特征之间的关联信息,在所述样本异常行为特征集合确定与各所述第一关联异常行为特征关联的至少一个第二关联异常行为特征;
对所述至少一个第一关联异常行为特征和所述至少一个第二关联异常行为特征进行多维特征组合,根据组合结果,生成各所述预设异常行为标识对应的多维度异常行为监测关联条件。
根据本发明提供的一种异常行为监测系统,所述规则配置模块,还用于:
根据多维关联规则挖掘算法,确定各所述样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息。
根据本发明提供的一种异常行为监测系统,所述系统还包括第一存储模块;
所述第一存储模块与所述处理模块和所述警示模块分别通信连接;
所述处理模块,还用于对所述目标异常行为特征和所述目标异常行为标识进行结构化处理后以第一映射关系存储在所述第一存储模块;
所述警示模块,还用于根据所述第一映射关系,获取所述目标异常行为标识和所述目标异常行为特征。
根据本发明提供的一种异常行为监测系统,还包括第二存储模块;
所述第二存储模块与所述规则配置模块和所述处理模块分别通信连接;
所述规则配置模块,还用于将各所述预设异常行为标识与各所述预设异常行为标识对应的至少一个异常行为监测关联条件,以第二映射关系存储在所述第二存储模块;
所述处理模块,还用于根据所述第二映射关系,获取各所述预设异常行为标识对应的至少一个异常行为监测关联条件。
根据本发明提供的一种异常行为监测系统,所述处理模块,还用于:
对所述待监测行为信息进行预处理;所述预处理包括数据清洗、关键信息提取和数据格式转换中的至少一项;
根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,对预处理后的待监测行为信息进行异常行为特征提取,得到所述目标异常行为特征。
根据本发明提供的一种异常行为监测系统,所述处理模块,还用于:
对于每一所述预设异常行为标识,将所述待监测行为信息,与各所述异常行为监测关联条件进行多级关联匹配;
根据匹配结果,确定所述目标异常行为特征。
根据本发明提供的一种异常行为监测系统,所述系统还包括前端界面;
所述前端界面与所述规则配置模块通信连接:
所述前端界面,用于接收异常行为标识配置信息;
所述规则配置模块,还用于根据所述异常行为标识配置信息,获取各所述预设异常行为标识。
根据本发明提供的一种异常行为监测系统,所述警示模块,还用于:
根据所述目标异常行为标识对应的异常类型,确定所述目标异常行为特征对应的目标警示策略;
基于所述目标警示策略,对所述目标异常行为特征进行异常行为警示。
本发明还提供一种异常行为监测方法,包括:
根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述异常行为监测方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述异常行为监测方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述异常行为监测方法。
本发明提供的异常行为监测系统及方法,通过规则配置模块首先获取样本异常行为特征集合;然后获取样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各样本异常行为特征与各预设异常行为标识之间的关联信息;并根据关联信息配置生成各预设异常行为标识对应的异常行为监测关联条件;接着处理模块根据异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,并在多个预设异常行为标识中确定目标异常行为特征对应的目标异常行为标识;最后警示模块根据目标异常行为标识对目标异常行为特征进行警示,实现保障移动互联网异常行为监测警示的实时性的同时,提高监测准确性和可靠性,具有扩展性好及实现性和直观性强的优势,加强移动互联网信息的可控性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的异常行为监测系统的结构示意图;
图2是本发明提供的异常行为监测方法的流程示意图之一;
图3是本发明提供的异常行为监测方法的流程示意图之二;
图4是本发明提供的电子设备的结构示意图。
附图标记:
11:规则配置模块;12:处理模块;13:警示模块;14:第一存储模块;15:第二存储模块;16:前端界面。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着移动互联网的发展,用户使用手机浏览或者访问网站、应用等已成为一种生活方式,而移动互联网充斥着各种内容敏感程度很高的敏感言论,或者非法网站等,对此类异常行为的访问监管成为目前互联网维稳的重中之重。
相关技术中,通常通过人工定期检测实现对移动互联网上出现的各类异常行为的监测,但这种监测方式不仅仅实时性差,且监测准确性难以保证。
针对上述问题,本发明设计了一种基于人工智能的大数据分析及异常行为监测系统,通过多关联算法提取待监测行为信息中敏感程度高的数据,依据异常行为特征标识,进行数据的提取,并提供对于异常行为的检索、分类、多维统计,对异常行为数据进行研判、预警、告警,加强异常行为的监管力度。
下面结合图1描述本发明的异常行为监测系统。
需要说明的是,该系统可以为web应用程序,支持在PC(Personal Computer,个人计算机)机和服务器上运行,操作系统为Windows XP(视窗操作系统体验版)、Windows7、Windows8、Windows10、Windows11、Linux(GNU/Linux,网络操作系统)等;该系统访问入口为浏览器,支持Firefox(Mozilla Firefox,开源网页浏览器),Chrome(网页浏览器)等浏览器等,本发明不作具体限定。
如图1所示,为本申请提供的一种异常行为监测系统的结构示意图,该异常行为监测系统可以包括规则配置模块11、处理模块12和警示模块13;
所述处理模块12与所述规则配置模块11和所述警示模块13分别通信连接,以通过各设备自身功能和通信交互实现异常行为监测。
所述规则配置模块11,用于根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
首先,运用所述规则配置模块11获取样本异常行为特征集合,然后根据样本异常行为特征集合中各样本异常行为特征,找到各样本异常行为特征之间的关联信息,以及样本异常行为特征与各预设异常行为标识之间的关联信息,根据各关联信息配置生成各预设异常行为标识对应的一个或多个异常行为监测关联条件。
其中,样本异常行为特征集合包括一个或多个历史时刻下,规则配置模块11从互联网抓取的异常行为特征组成的集合。
可选地,规则配置模块11可以是先根据各关联信息获取至少一个关联异常行为特征,然后基于至少一个关联异常行为特征配置生成各预设异常行为标识对应的异常行为监测关联条件。
具体地,基于至少一个关联异常行为特征配置生成各预设异常行为标识对应的异常行为监测关联条件,可以是首先计算至少一个关联异常行为特征的支持度和置信度,然后分别将各至少一个关联异常行为特征的支持度和置信度进行融合,得到各至少一个关联异常行为特征的评分结果,接着根据各至少一个关联异常行为特征的评分结果从高到低进行排序,在各至少一个关联异常行为特征中确定排序靠前的一个或多个评分结果对应的关联异常行为特征,确定多维度异常行为监测关联条件;也可以是对至少一个关联异常行为特征进行组合,根据各至少一个关联异常行为特征和组合结果直接得到多维度异常行为监测关联条件,本实施例对此不作具体地限定。
在一些实施例中,所述规则配置模块,还用于:根据各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息,确定所述样本异常行为特征集合中与各所述预设异常行为标识关联的至少一个第一关联异常行为特征;根据各所述样本异常行为特征之间的关联信息,在所述样本异常行为特征集合确定与各所述第一关联异常行为特征关联的至少一个第二关联异常行为特征;对所述至少一个第一关联异常行为特征和所述至少一个第二关联异常行为特征进行多维特征组合,根据组合结果,生成各所述预设异常行为标识对应的多维度异常行为监测关联条件。
规则配置模块配置生成各预设异常行为标识对应的异常行为监测关联条件的步骤,可以是包括:
首先,对比各样本异常行为特征与各预设异常行为标识,获取各样本异常行为特征与各预设异常行为标识之间的关联信息,并根据关联信息,在样本异常行为特征集合中确定与各预设异常行为标识关联的至少一个第一关联异常行为特征。
相似地,对比各样本异常行为特征,获取各样本异常行为特征之间的关联信息,并根据关联信息,在样本异常行为特征集合中确定与各第一关联异常行为特征关联的至少一个第二关联异常行为特征。
接着,将至少一个第一关联异常行为特征和至少一个第二关联异常行为特征进行多维特征组合并获取组合结果,将组合结果作为各预设异常行为标识对应的多维度异常行为监测关联条件。
多维特征组合是指将多个特征进行组合,形成新的特征或特征集合,以挖掘多个特征之间的关联性和相互作用。
可选的,配置模块11进行多维特征组合的实现方式可以是根据具体应用场景和数据特点选择合适的特征组合方法,也可以是进行特征选择和模型评估来进行多维特征组合;示例性的,本实施例中配置模块11可以是选择特征交叉:特征交叉、多项式特征、组合编码、PCA(Principal Component Analysis,主成分分析降维)技术、树模型特征组合和神经网络特征组合中的一种或多种特征组合方法的组合实现对至少一个第一关联异常行为特征和至少一个第二关联异常行为特征的多维特征组合,本实施例对此不作具体地限定。
可选地,配置模块11生成异常行为监测关联条件的具体实现技术可以是根据实际场景进行设置的;示例性的,本实施例中配置模块11可以是利用JS(JavaScript,即时编译型编程语言)技术、ECharts(数据可视化图表库)图形化技术等技术进行异常行为监测关联条件的生成,本实施例对此不作具体地限定。
本实施例通过首先根据各样本异常行为特征与各预设异常行为标识之间的关联信息,在样本异常行为特征集合中确定与各预设异常行为标识关联的第一关联异常行为特征;接着根据各样本异常行为特征之间的关联信息,确定与第一关联异常行为特征关联的第二关联异常行为特征;最后将第一关联异常行为特征和第二关联异常行为特征进行多维特征组合,生成各预设异常行为标识对应的多维度异常行为监测关联条件,实现挖掘第一关联异常行为特征和第二关联异常行为特征之间的关联性和相互作用,有助于保障移动互联网异常行为监测警示的实时性的同时,提高监测准确性和可靠性。
所述处理模块12,用于根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
接着,处理模块12可以是根据各预设异常行为标识对应的至少一个异常行为监测关联条件,对待监测行为信息进行异常行为特征提取,得到目标异常行为特征。
可选地,处理模块12可以是直接根据待监测行为信息进行异常行为特征提取;也可以是先对于待监测行为信息进行预处理,形成便于进行特征提取的数据集之后再进行异常行为特征提取,本实施例对此不作具体地限定。
可选地,处理模块12对待监测行为信息进行异常行为特征提取,得到目标异常行为特征,可以是先根据至少一个异常行为监测关联条件,选择与其相关性较高的特征作为输入变量,接着对待监测行为信息进行特征提取和转换,生成能够反映待监测行为信息特点的特征向量,作为目标异常行为特征;也可以是直接对待监测行为信息进行解析,提取特征向量,再从提取的特征中选择与至少一个异常行为监测关联条件相关的特征作为目标异常行为特征,本实施例对此不作具体地限定。
可以理解的是,处理模块12对待监测行为信息进行异常行为特征提取后,可以是先对提取的数据进行归一化处理,将其缩放到相同的数值范围内;然后对提取的特征进行降维处理,去除冗余和无用信息,减小特征空间的维度,以提高后续确定目标异常行为标识的效率和准确性;还可以使用统计学方法、机器学习方法将处理后的特征向量整合成统一的数据集,用于后续的异常行为检测任务,本实施例对此不作具体地限定。
可选地,处理模块12在多个预设异常行为标识中确定目标异常行为特征对应的目标异常行为标识,可以是首先获取预先存储的异常行为特征与其对应的预设异常行为标识之间的映射关系,接着根据目标异常行为特征和映射关系获取目标异常行为特征对应的目标异常行为标识。
所述警示模块13,用于根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
最后,警示模块13根据目标异常行为标识对目标异常行为特征进行警示。
可选地,警示模块13对目标异常行为特征进行警示的具体实现技术可以是根据实际场景进行设置的;示例性的,本实施例中配置模块11可以是利用JS技术、HIVE(HybridIntegration and Visualization Engine,混合集成和可视化引擎)、Tez(Apache-Tez,大数据处理框架)、ECharts图形化技术及Spark(Apache-Spark,伯克利数据分析栈)等技术进行对于目标异常行为特征的警示,本实施例对此不作具体地限定。
在一些实施例中,所述警示模块13,还用于:根据所述目标异常行为标识对应的异常类型,确定所述目标异常行为特征对应的目标警示策略;基于所述目标警示策略,对所述目标异常行为特征进行异常行为警示。
警示模块13首先获取目标异常行为标识对应的异常类型。
其中,目标异常行为标识对应的异常类型可以是包括异常程度类型、异常场景类型等类型。
接着,根据获取的异常类型确定目标异常行为特征对应的目标警示策略,可以是根据预先设置的异常类型和对应的目标警示策略之间的一一对应的映射关系进行获取。
其中,目标警示策略可以是包括报警、预警、告警等警示方式。其中预警是对未来事件和结果变化提出一个预判;报警是指已经发生的或在发生前正在不断恶化变化的一个判断结果;告警是报告发生紧急情况,请求加强戒备或援助,危急情况低于报警。
最后警示模块13基于目标警示策略,对目标异常行为特征进行异常行为警示。
本实施例通过警示模块13首先根据目标异常行为标识对应的异常类型,确定其对应的目标警示策略,然后基于目标警示策略,对目标异常行为特征进行异常行为警示,实现保障移动互联网异常行为监测警示的实时性的同时,具有直观性强的优势。
本实施例通过规则配置模块首先获取样本异常行为特征集合;然后获取样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各样本异常行为特征与各预设异常行为标识之间的关联信息;并根据关联信息配置生成各预设异常行为标识对应的异常行为监测关联条件;接着处理模块根据异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,并在多个预设异常行为标识中确定目标异常行为特征对应的目标异常行为标识;最后警示模块根据目标异常行为标识对目标异常行为特征进行警示,实现保障移动互联网异常行为监测警示的实时性的同时,提高监测准确性和可靠性,具有扩展性好及实现性和直观性强的优势,加强移动互联网信息的可控性。
在一些实施例中,所述规则配置模块11,还用于:根据多维关联规则挖掘算法,确定各所述样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息。
其中,多维关联规则挖掘算法是用于从多维数据中发现相关关联的方法,它可以探索不同维度之间的关联性。
可选地,多维关联规则挖掘算法可以是直接根据实际场景进行选择,也可以是根据具体需求和数据特点,设计和改进多维关联规则挖掘算法;示例性的,本实施例中可以是选择TANE(Top-down Algorithm for Finding All Non-trivial Equivalences,拓扑排序算法)算法、PCM(Probabilistic Conceptual Model,基于概率模型的多维关联规则挖掘算法)算法、BRIM(Bayesian Rule and Instance Model,基于贝叶斯网络模型的多维关联规则挖掘算法)算法等中的一种算法以进行关联信息的获取,本实施例对此不作具体地限定。
可选地,运用多维关联规则挖掘算法确定各样本异常行为特征之间的关联信息,可以是首先将各样本异常行为特征进行编码,确保数据格式一致;接着对于样本异常行为特征中的异构特征,使用合适的特征选择方法选择与每一样本异常行为特征相关性较高的特征;然后用多维关联规则挖掘算法从已选取的特征集合中挖掘关联信息,并根据关联信息的评估指标筛选出与预设异常行为标识强相关的信息。
相似地,运用多维关联规则挖掘算法确定各样本异常行为特征与各预设异常行为标识之间的关联信息,可以是首先将各样本异常行为特征和各预设异常行为标识进行编码,确保数据格式一致;接着对于样本异常行为特征中的异构特征,使用合适的特征选择方法选择与每一预设异常行为标识相关性较高的特征;然后用多维关联规则挖掘算法从已选取的特征集合中挖掘关联信息,并根据关联信息的评估指标筛选出与预设异常行为标识强相关的信息。
本实施例通过根据多维关联规则挖掘算法,确定各样本异常行为特征之间的关联信息,以及各样本异常行为特征与各预设异常行为标识之间的关联信息,实现提高监测准确性和可靠性,有助于保障移动互联网异常行为监测警示的实时性,加强移动互联网信息的可控性。
如图1所示,在一些实施例中,所述系统还包括第一存储模块14(下文也称异常行为存储模块);所述第一存储模块14与所述处理模块12和所述警示模块13分别通信连接;
所述处理模块12,还用于对所述目标异常行为特征和所述目标异常行为标识进行结构化处理后以第一映射关系存储在所述第一存储模块14;
所述警示模块13,还用于根据所述第一映射关系,获取所述目标异常行为标识和所述目标异常行为特征。
其中,第一存储模块14用于存储目标异常行为特征和目标异常行为标识之间的第一映射关系。
处理模块12对目标异常行为特征和目标异常行为标识进行结构化处理,将目标异常行为特征和目标异常行为标识按照一定的规则和方式进行组织和管理,使得数据更加清晰、有序、易于理解和使用,以提高目标异常行为特征和目标异常行为标识的可读性、可维护性和可扩展性。
可选地,处理模块12可以是根据实际场景和具体需求选择计算机编程语言和相关工具实现对于目标异常行为特征和目标异常行为标识的结构化处理;示例性的,本实施例中可以是选择数据库、数据挖掘工具、可视化工具等工具实现结构化处理,本实施例对此不作具体地限定。
接着,处理模块12将完成结构化处理后的目标异常行为特征和目标异常行为标识以第一映射关系存储在第一存储模块14中,以供警示模块13根据第一映射关系,从第一存储模块14获取目标异常行为标识和目标异常行为特征。
本实施例通过处理模块12目标异常行为特征和目标异常行为标识进行结构化处理后,并将二者以第一映射关系存储在第一存储模块14中,以供警示模块13根据第一映射关系,从第一存储模块14获取目标异常行为标识和目标异常行为特征,实现提高目标异常行为特征和目标异常行为标识的可读性、可维护性和可扩展性,有助于保障移动互联网异常行为监测警示的实时性,具有扩展性好及实现性和直观性强的优势。
在一些实施例中还包括第二存储模块15(下文也称机器学习特征算法库);所述第二存储模块15与所述规则配置模块11和所述处理模块12分别通信连接;
所述规则配置模块11,还用于将各所述预设异常行为标识与各所述预设异常行为标识对应的至少一个异常行为监测关联条件,以第二映射关系存储在所述第二存储模块15;
所述处理模块12,还用于根据所述第二映射关系,获取各所述预设异常行为标识对应的至少一个异常行为监测关联条件。
其中,第二存储模块15用于存储各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件之间的第二映射关系。
可选地,第二存储模块15中第二映射关系的存储方式可以是根据实际场景进行设置的;示例性的,本实施例中第二存储模块15可以是利用MySQL(My Structured QueryLanguage,关系型数据库管理系统)数据库、HBase(Hadoop Database,分布式数据库)分布式系统、ES(Elastic Search,分布式全文检索引擎)全文检索系统等方式进行第二映射关系的存储,本实施例对此不作具体地限定。
可以理解的是,在获取存储第二映射关系之前,规则配置模块11可以是先对各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件进行结构化处理,将各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件按照一定的规则和方式进行组织和管理,使得数据更加清晰、有序、易于理解和使用,以提高各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件的可读性,增强其可维护性和可扩展性。
可选地,规则配置模块11可以是根据实际场景和具体需求选择计算机编程语言和相关工具实现对于各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件的结构化处理;示例性的,本实施例中可以是选择数据库、数据挖掘工具、可视化工具等工具实现结构化处理,本实施例对此不作具体地限定。
接着,规则配置模块11将完成结构化处理后的各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件以第二映射关系存储在第二存储模块15中,以供处理模块12根据第二映射关系,从第二存储模块15获取各预设异常行为标识对应的至少一个异常行为。
本实施例通过规则配置模块11将各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件以第二映射关系存储在第二存储模块15中,以供处理模块12根据第二映射关系,从第二存储模块15获取各预设异常行为标识对应的至少一个异常行为,实现提高各预设异常行为标识和各预设异常行为标识对应的至少一个异常行为监测关联条件的可读性、可维护性和可扩展性,有助于保障移动互联网异常行为监测警示的实时性,具有扩展性好及实现性和直观性强的优势。
在一些实施例中,所述处理模块12,还用于:对所述待监测行为信息进行预处理;所述预处理包括数据清洗、关键信息提取和数据格式转换中的至少一项;根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,对预处理后的待监测行为信息进行异常行为特征提取,得到所述目标异常行为特征。
在提取待监测行为信息中的目标异常行为特征之前,处理模块12可以是对待监测行为信息进行数据清洗、关键信息提取和数据格式转换中的至少一项的预处理。
数据清洗是指对数据进行处理和加工,以使其适合进行分析和建模。数据清洗包括去除重复数据、填补缺失值、处理异常值和转换数据格式等操作,以提高数据的准确性和可靠性。数据清洗可以消除数据错误和噪声,并提高分析和建模的精度,对于数据质量和准确性有着至关重要的影响。
可选地,数据清洗的具体实现方式可以是处理模块12根据具体的数据集和业务需求进行选择和调整;示例性的,本实施例中处理模块12可以是选择数据去重、缺失值处理、异常值处理、数据标准化、数据转换、数据验证中的一项或多项的组合作为数据清洗的具体实现方式。
关键信息提取是从大规模数据中过滤出具有特定意义的信息,通过人为或自动的方式筛选出身有价值的数据,并保持其完整性、一致性、准确性、可靠性和有效性。而关键信息挖掘则是基于相关的数据分析技术,通过数护挖掘、机器学习、自然语言处理以及人工智能等手段,从数据中提取出隐含的、未知的、有价值的、以及规律性的信息。
可选地,关键信息提取的具体实现方式可以是处理模块12根据实际场景进行选择和调整;示例性的,本实施例中处理模块12可以是选择词频统计提取算法、TF-IDF(TermFrequency-Inverse Document Frequency,词频-倒排文档频数统计提取算法)算法、TextRank(基于图的排序算法)算法中的一项或多项的组合作为关键信息提取的具体实现方式。
完成对于待监测行为信息的预处理后,处理模块12可以是根据各预设异常行为标识对应的至少一个异常行为监测关联条件,对预处理后的待监测行为信息进行异常行为特征提取,得到目标异常行为特征。
可选地,处理模块12对预处理后的待监测行为信息进行异常行为特征提取,得到目标异常行为特征,可以是先根据至少一个异常行为监测关联条件,选择与其相关性较高的特征作为输入变量,接着对预处理后的待监测行为信息进行特征提取和转换,生成能够反映待监测行为信息特点的特征向量,作为目标异常行为特征;也可以是直接对预处理后的待监测行为信息进行解析,提取特征向量,再从提取的特征中选择与至少一个异常行为监测关联条件相关的特征作为目标异常行为特征,本实施例对此不作具体地限定。
可选地,处理模块12在预处理后的待监测行为信息中提取与异常行为相关的特征的具体特征提取方法可以是根据不同的数据类型和监测场景确定的;示例性的,在待监测行为信息为文本数据的情况下,本实施例中处理模块12可以是选择NLP(Natural LanguageProcessing,自然语言处理)技术提取关键词、词频、句子长度等特征;在待监测行为信息为图像或视频数据的情况下,本实施例中处理模块12可以是通过计算视觉特征如颜色直方图、纹理特征、形状特征等来描述图像的内容,本实施例对此不作具体地限定。
本实施例通过处理模块首先对待监测行为信息进行预处理,然后对预处理后的待监测行为信息进行异常行为特征提取,得到目标异常行为特征,实现提高目标异常行为特征提取的准确性和可靠性,有助于保障移动互联网异常行为监测警示的实时性,加强移动互联网信息的可控性。
在一些实施例中所述处理模块12,还用于:对于每一所述预设异常行为标识,将所述待监测行为信息,与各所述异常行为监测关联条件进行多级关联匹配;根据匹配结果,确定所述目标异常行为特征。
对于每一预设异常行为标识,处理模块12首先获取其对应的所有异常行为监测关联条件,接着将待监测行为信息依次与各异常行为监测关联条件进行多级关联匹配获取匹配结果。
具体地,处理模块12将待监测行为信息依次与各异常行为监测关联条件进行多级关联匹配,可以是首先根据第一级关联条件对待监测行为信息进行筛选,排除不满足第一级条件的待监测行为信息;然后,在第一级筛选后的待监测行为信息的基础上继续进行第二级关联条件的匹配;依次进行下去,直到完成与最后一级关联条件的匹配后获取匹配结果。每一级都会进一步缩小数据范围,只保留满足当前级别关联条件的数据。
最后将匹配结果作为目标异常行为特征。
本实施例通过对于每一预设异常行为标识,处理模块12将待监测行为信息与各异常行为监测关联条件进行多级关联匹配获取匹配结果,并根据匹配结果确定目标异常行为特征,实现提高匹配结果的丰富度和准确性,增强转化率,有助于保障移动互联网异常行为监测警示的实时性,提高监测准确性和可靠性。
在一些实施例中,所述系统还包括前端界面16;所述前端界面16与所述规则配置模块11通信连接:
所述前端界面16,用于接收异常行为标识配置信息;所述规则配置模块11,还用于根据所述异常行为标识配置信息,获取各所述预设异常行为标识。
其中,前端界面16可以是操作人员用于上传异常行为标识配置信息的端口。
可选地,异常行为标识配置信息可以是通过操作人员手动填批量填写异常行为标识配置信息并上传前端界面16;也可以是操作人员运用触摸输入、语音输入、手势输入、视觉输入、脑机输入等方式直接在前端界面16进行填充;还可以是操作人员通过运用对于前端界面16预先设置的下拉选项进行异常行为标识配置信息的选择,本实施例对此不作具体地限定。
在一些实施例中,前端界面16不仅可以作为操作人员的异常行为标识配置信息上传显示页面,还可以以可视化数据图形的形式展示目标异常行为特征的统计数据的页面,本实施例对此不作具体地限定。
前端界面16接收到异常行为标识配置信息后,规则配置模块11可以对异常行为标识配置信息进行整合,获取各预设异常行为标识。
本实施例通过前端界面16接收异常行为标识配置信息;接着规则配置模块11根据异常行为标识配置信息获取各预设异常行为标识,实现提高各预设异常行为标识的可控性和直观性,有助于保障移动互联网异常行为监测警示的实时性的同时,提高监测准确性和可靠性。
下面对本发明提供的异常行为监测方法进行描述,下文描述的异常行为监测方法与上文描述的异常行为监测系统可相互对应参照。
如图2所示,为本申请提供的异常行为监测方法的流程示意图之一,该方法包括如下步骤:
步骤201,根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
首先,运用所述规则配置模块获取样本异常行为特征集合,然后根据样本异常行为特征集合中各样本异常行为特征,找到各样本异常行为特征之间的关联信息,以及样本异常行为特征与各预设异常行为标识之间的关联信息,根据各关联信息配置生成各预设异常行为标识对应的一个或多个异常行为监测关联条件。
其中,样本异常行为特征集合包括一个或多个历史时刻下,规则配置模块从互联网抓取的异常行为特征组成的集合。
可选地,规则配置模块可以是先根据各关联信息获取至少一个关联异常行为特征,然后基于至少一个关联异常行为特征配置生成各预设异常行为标识对应的异常行为监测关联条件。
具体地,基于至少一个关联异常行为特征配置生成各预设异常行为标识对应的异常行为监测关联条件,可以是首先计算至少一个关联异常行为特征的支持度和置信度,然后分别将各至少一个关联异常行为特征的支持度和置信度进行融合,得到各至少一个关联异常行为特征的评分结果,接着根据各至少一个关联异常行为特征的评分结果从高到低进行排序,在各至少一个关联异常行为特征中确定排序靠前的一个或多个评分结果对应的关联异常行为特征,确定多维度异常行为监测关联条件;也可以是对至少一个关联异常行为特征进行组合,根据各至少一个关联异常行为特征和组合结果直接得到多维度异常行为监测关联条件,本实施例对此不作具体地限定。
步骤202,根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
接着,处理模块可以是根据各预设异常行为标识对应的至少一个异常行为监测关联条件,对待监测行为信息进行异常行为特征提取,得到目标异常行为特征。
可选地,处理模块可以是直接根据待监测行为信息进行异常行为特征提取;也可以是先对于待监测行为信息进行预处理,形成便于进行特征提取的数据集之后再进行异常行为特征提取,本实施例对此不作具体地限定。
可选地,处理模块对待监测行为信息进行异常行为特征提取,得到目标异常行为特征,可以是先根据至少一个异常行为监测关联条件,选择与其相关性较高的特征作为输入变量,接着对待监测行为信息进行特征提取和转换,生成能够反映待监测行为信息特点的特征向量,作为目标异常行为特征;也可以是直接对待监测行为信息进行解析,提取特征向量,再从提取的特征中选择与至少一个异常行为监测关联条件相关的特征作为目标异常行为特征,本实施例对此不作具体地限定。
可以理解的是,处理模块对待监测行为信息进行异常行为特征提取后,可以是先对提取的数据进行归一化处理,将其缩放到相同的数值范围内;然后对提取的特征进行降维处理,去除冗余和无用信息,减小特征空间的维度,以提高后续确定目标异常行为标识的效率和准确性;还可以使用统计学方法、机器学习方法将处理后的特征向量整合成统一的数据集,用于后续的异常行为检测任务,本实施例对此不作具体地限定。
可选地,处理模块在多个预设异常行为标识中确定目标异常行为特征对应的目标异常行为标识,可以是首先获取预先存储的异常行为特征与其对应的预设异常行为标识之间的映射关系,接着根据目标异常行为特征和映射关系获取目标异常行为特征对应的目标异常行为标识。
步骤203,根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
最后,警示模块根据目标异常行为标识对目标异常行为特征进行警示。
可选地,警示模块对目标异常行为特征进行警示的具体实现技术可以是根据实际场景进行设置的;示例性的,本实施例中配置模块可以是利用JS技术、HIVE(HybridIntegration and Visualization Engine,混合集成和可视化引擎)、Tez(Apache-Tez,大数据处理框架)、ECharts图形化技术及Spark(Apache-Spark,伯克利数据分析栈)等技术进行对于目标异常行为特征的警示,本实施例对此不作具体地限定。
图3为本实施例提供的异常行为监测方法的流程示意图之二,示例性的,如图3所示,异常行为监测系统执行异常行为监测方法的具体步骤包括:
步骤301,规则配置模块设置预设异常行为标识;
步骤302,规则配置模块组合各预设异常行为标识对应的多维度异常行为监测关联条件;
步骤303,处理模块获取待监测行为信息;
步骤304,处理模块根据异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征;
步骤305,处理模块确定目标异常行为特征对应的目标异常行为标识;
步骤306,第一存储模块存储目标异常行为特征和目标异常行为标识之间的第一映射关系;
步骤307,警示模块根据目标异常行为标识对目标异常行为特征进行警示。
本实施例通过规则配置模块首先获取样本异常行为特征集合;然后获取样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各样本异常行为特征与各预设异常行为标识之间的关联信息;并根据关联信息配置生成各预设异常行为标识对应的异常行为监测关联条件;接着处理模块根据异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,并在多个预设异常行为标识中确定目标异常行为特征对应的目标异常行为标识;最后警示模块根据目标异常行为标识对目标异常行为特征进行警示,实现保障移动互联网异常行为监测警示的实时性的同时,提高监测准确性和可靠性,具有扩展性好及实现性和直观性强的优势,加强移动互联网信息的可控性。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)401、通信接口(Communications Interface)402、存储器(memory)403和通信总线404,其中,处理器401,通信接口402,存储器403通过通信总线404完成相互间的通信。处理器401可以调用存储器403中的逻辑指令,以执行异常行为监测方法,该方法包括:根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
本发明实施例提供的电子设备是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
此外,上述的存储器403中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的异常行为监测方法,该方法包括:根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
本发明实施例提供的电子设备是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的异常行为监测方法,该方法包括:根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
本发明实施例提供的电子设备是用于执行上述各方法实施例的,具体流程和详细内容请参照上述实施例,此处不再赘述。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种异常行为监测系统,其特征在于,包括规则配置模块、处理模块和警示模块;
所述处理模块与所述规则配置模块和所述警示模块分别通信连接;
所述规则配置模块,用于根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
所述处理模块,用于根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
所述警示模块,用于根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
2.根据权利要求1所述的异常行为监测系统,其特征在于,所述规则配置模块,还用于:
根据各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息,确定所述样本异常行为特征集合中与各所述预设异常行为标识关联的至少一个第一关联异常行为特征;
根据各所述样本异常行为特征之间的关联信息,在所述样本异常行为特征集合确定与各所述第一关联异常行为特征关联的至少一个第二关联异常行为特征;
对所述至少一个第一关联异常行为特征和所述至少一个第二关联异常行为特征进行多维特征组合,根据组合结果,生成各所述预设异常行为标识对应的多维度的所述异常行为监测关联条件。
3.根据权利要求1所述的异常行为监测系统,其特征在于,所述规则配置模块,还用于:
根据多维关联规则挖掘算法,确定各所述样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各所述预设异常行为标识之间的关联信息。
4.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,所述系统还包括第一存储模块;
所述第一存储模块与所述处理模块和所述警示模块分别通信连接;
所述处理模块,还用于对所述目标异常行为特征和所述目标异常行为标识进行结构化处理后以第一映射关系存储在所述第一存储模块;
所述警示模块,还用于根据所述第一映射关系,获取所述目标异常行为标识和所述目标异常行为特征。
5.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,还包括第二存储模块;
所述第二存储模块与所述规则配置模块和所述处理模块分别通信连接;
所述规则配置模块,还用于将各所述预设异常行为标识与各所述预设异常行为标识对应的至少一个异常行为监测关联条件,以第二映射关系存储在所述第二存储模块;
所述处理模块,还用于根据所述第二映射关系,获取各所述预设异常行为标识对应的至少一个异常行为监测关联条件。
6.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,所述处理模块,还用于:
对所述待监测行为信息进行预处理;所述预处理包括数据清洗、关键信息提取和数据格式转换中的至少一项;
根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,对预处理后的待监测行为信息进行异常行为特征提取,得到所述目标异常行为特征。
7.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,所述处理模块,还用于:
对于每一所述预设异常行为标识,将所述待监测行为信息,与各所述异常行为监测关联条件进行多级关联匹配;
根据匹配结果,确定所述目标异常行为特征。
8.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,所述系统还包括前端界面;
所述前端界面与所述规则配置模块通信连接:
所述前端界面,用于接收异常行为标识配置信息;
所述规则配置模块,还用于根据所述异常行为标识配置信息,获取各所述预设异常行为标识。
9.根据权利要求1-3任一项所述的异常行为监测系统,其特征在于,所述警示模块,还用于:
根据所述目标异常行为标识对应的异常类型,确定所述目标异常行为特征对应的目标警示策略;
基于所述目标警示策略,对所述目标异常行为特征进行异常行为警示。
10.一种异常行为监测方法,其特征在于,应用于如权利要求1至9任一项所述的异常行为监测系统,包括:
根据样本异常行为特征集合中各样本异常行为特征之间的关联信息,以及各所述样本异常行为特征与各预设异常行为标识之间的关联信息,配置生成各所述预设异常行为标识对应的至少一个异常行为监测关联条件;
根据各所述预设异常行为标识对应的至少一个异常行为监测关联条件,提取待监测行为信息中的目标异常行为特征,以及在多个所述预设异常行为标识中确定所述目标异常行为特征对应的目标异常行为标识;
根据所述目标异常行为标识,对所述目标异常行为特征进行警示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311189567.3A CN117350380A (zh) | 2023-09-14 | 2023-09-14 | 异常行为监测系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311189567.3A CN117350380A (zh) | 2023-09-14 | 2023-09-14 | 异常行为监测系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117350380A true CN117350380A (zh) | 2024-01-05 |
Family
ID=89356516
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311189567.3A Pending CN117350380A (zh) | 2023-09-14 | 2023-09-14 | 异常行为监测系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117350380A (zh) |
-
2023
- 2023-09-14 CN CN202311189567.3A patent/CN117350380A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11562012B2 (en) | System and method for providing technology assisted data review with optimizing features | |
US10187415B2 (en) | Cognitive information security using a behavioral recognition system | |
US11804069B2 (en) | Image clustering method and apparatus, and storage medium | |
CN108108743B (zh) | 异常用户识别方法和用于识别异常用户的装置 | |
KR102576344B1 (ko) | 비디오를 처리하기 위한 방법, 장치, 전자기기, 매체 및 컴퓨터 프로그램 | |
US20220004928A1 (en) | Method and apparatus for incrementally training model | |
CN116049397B (zh) | 基于多模态融合的敏感信息发现并自动分类分级方法 | |
EP3852007B1 (en) | Method, apparatus, electronic device, readable storage medium and program for classifying video | |
CN111373406B (zh) | 使用问题匹配的先验知识提取的加速仿真设置过程 | |
CN114692778A (zh) | 用于智能巡检的多模态样本集生成方法、训练方法及装置 | |
CN116569210A (zh) | 归一化oct图像数据 | |
CN116798053B (zh) | 图标生成方法及装置 | |
CN117350380A (zh) | 异常行为监测系统及方法 | |
US20180336242A1 (en) | Apparatus and method for generating a multiple-event pattern query | |
CN115080745A (zh) | 基于人工智能的多场景文本分类方法、装置、设备及介质 | |
CN113722496B (zh) | 一种三元组抽取方法、装置、可读存储介质及电子设备 | |
CN117521017B (zh) | 一种获取多模态特征方法和装置 | |
CN113361249B (zh) | 文档判重方法、装置、电子设备和存储介质 | |
CN112347196B (zh) | 基于神经网络的实体关系抽取方法及装置 | |
CN118133207A (zh) | 跨领域日志异常检测模型构建方法、装置、设备及介质 | |
EP4283429A1 (en) | Method and system for extracting and collating failure knowledge from diverse sources in industrial plant | |
CN118094341A (zh) | 网络资源智能化管理方法、装置和电子设备 | |
Fan et al. | Design of Intelligent Human Resource Information Collection System Based on Decision Tree Algorithm | |
CN118211570A (zh) | 一种报告自动生成方法、装置、计算机设备及存储介质 | |
CN118193274A (zh) | 分布式系统的异常处理方法、装置、设备及可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |