WO2021098384A1

WO2021098384A1 - 一种数据异常检测方法及装置

Info

Publication number: WO2021098384A1
Application number: PCT/CN2020/118430
Authority: WO
Inventors: 臧大卫
Original assignee: 中国银联股份有限公司
Priority date: 2019-11-18
Filing date: 2020-09-28
Publication date: 2021-05-27
Also published as: CN110874744A; CN110874744B

Abstract

一种数据异常检测方法及装置，用以减少资源开销，满足实时检测的要求。该方法包括获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；历史细胞状态为将待测对象的历史检测样本输入待测对象的异常检测模型确定的输出细胞状态，历史隐藏层状态为将待测对象的历史检测样本输入待测对象的异常检测模型确定的输出隐藏层状态；根据当前检测样本，确定待测对象的当前特征值；将待测对象的当前特征值、历史细胞状态和历史隐藏层状态输入异常检测模型中，确定待测对象对应的风险指数；将风险指数与风险阈值进行对比，确定待测对象的异常判定结果。

Description

一种数据异常检测方法及装置

相关申请的交叉引用

本申请要求在2019年11月18日提交中国专利局、申请号为201911126382.1、申请名称为“一种数据异常检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及数据处理技术领域，尤其涉及一种数据异常检测方法及装置。

背景技术

互联网和互联网金融的快速发展给风控系统带来了前所未有的挑战，欺诈交易的形式、方式越发多种多样，隐蔽性高，难以挖掘，传统的规则引擎风控方法越发乏力。近年深度学习的快速发展为解决这一问题提供了另一种思路，开发深度引擎，通过深度学习构建模型挖掘隐含信息，辨别欺诈交易，已有不错的成果。

现有技术中，深度学习的风控系统仅使用简单深度神经网络，简单神经网络相较复杂神经网络挖掘特征的能力更差，鉴别欺诈交易的性能也较差。但是面对千万级的日交易量，过于复杂的神经网络会导致大量的资源开销，难以满足实时性要求。

发明内容

本申请提供一种数据异常检测方法及装置，用以减少资源开销，满足实时检测的要求。

本发明实施例提供的一种数据异常检测方法，包括：

获取待测对象的当前检测样本，以及所述待测对象的历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

根据所述当前检测样本，确定所述待测对象的当前特征值；

将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数；

将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。

一种可选的实施例中，所述将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中之后，还包括：

确定所述待测对象对应的当前细胞状态以及当前隐藏层状态；

将所述当前细胞状态以及所述当前隐藏层状态进行存储。

一种可选的实施例中，所述异常检测模型利用以下方式进行训练：

获取历史时间段内的历史样本数据；

根据所述历史样本数据，选择训练对象的训练特征，并确定训练特征对应的训练特征值；

将所述训练特征值输入初始异常检测模型，并根据输出的风险指数及所述训练对象的异常判定结果计算损失函数，当所述损失函数小于预设阈值时，确定对应的参数为所述异常检测模型对应的参数，得到异常检测模型。

一种可选的实施例中，所述获取待测对象的当前检测样本之前，还包括：

获取所述待测对象的历史检测样本；

将所述待测对象的历史检测样本输入所述异常检测模型中，确定所述待测对象的备选参数、备选参数的训练效果指标、所述待测对象的输出细胞状态以及输出隐藏层状态；

当所述备选参数的训练效果指标大于存储的训练效果指标时，将所述备选参数作为所述待测对象的异常检测模型的参数，并将所述待测对象的输出细胞状态作为历史细胞状态，输出隐藏层状态作为历史隐藏层状态。

一种可选的实施例中，所述根据所述历史样本数据，选择训练对象的训练特征，包括：

确定所述训练对象的核心特征和可选特征，并将所述核心特征作为训练特征；

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。

一种可选的实施例中，所述异常检测模型为神经网络模型；

所述将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数，包括：

根据所述当前特征值、所述历史细胞状态和所述历史隐藏层状态，确定所述神经网络模型的当前隐藏层状态；

根据所述当前特征值确定所述神经网络模型的当前细胞的旁路；

根据所述当前细胞的旁路和当前隐藏层状态，确定所述风险指数。

本发明实施例还提供一种数据异常检测装置，包括：

获取模块，用于获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

确定模块，用于根据所述当前检测样本，确定所述待测对象的当前特征值；

计算模块，用于将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数；

对比模块，用于将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。

一种可选的实施例中，所述计算模块，还用于：

将所述当前细胞状态以及所述当前隐藏层状态进行存储。

一种可选的实施例中，还包括训练模块，用于利用以下方式训练异常检测模型：

获取历史时间段内的历史样本数据；

一种可选的实施例中，所述训练模块，用于：

获取所述待测对象的历史检测样本；

一种可选的实施例中，所述训练模块，用于：

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。

一种可选的实施例中，所述异常检测模型为神经网络模型；

所述计算模块，具体用于：

本发明实施例还提供一种电子设备，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如上所述的方法。

本发明实施例还提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上所述的方法。

本发明实施例中，风控系统中存储有当前检测样本的历史细胞状态以及历史隐藏层状态，其中历史细胞状态为将待测对象的历史检测样本输入待测对象的异常检测模型确定的输出细胞状态，历史隐藏层状态为将待测对象的历史检测样本输入待测对象的异常检测模型确定的输出隐藏层状态。当需要对待测对象进行检测时，风控系统获取待测对象的当前检测样本，并根据所述当前检测样本，确定所述待测对象的当前特征值。风控系统将待测对象的当前特征值、历史细胞状态和历史隐藏层状态，输入异常检测模型中，确定待测对象对应的风险指数，并将风险指数与风险阈值进行对比，从而确定待测对象的异常判定结果。本发明实施例中，对待测对象进行异常检测时，仅需输入待测对象的当前特征值、历史细胞状态和历史隐藏层状态，减少了实时数据输入量，也减少了模型的实时运算次数，更好地满足实时风控的要求。且将待测对象的历史交易的特征与当笔交易的特征相结合输入模型，使得模型可以及时对新型高风险数据进行鉴别，增加了异常识别的准确性，同时提高了检测的灵敏度，保证了异常检测的稳定性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种数据异常检测系统架构图；

图2为本发明实施例提供的一种数据异常检测方法的流程示意图；

图3为本发明实施例提供的一种LSTM模型的一个细胞结构示意图；

图4为本发明实施例提供的一种具体的LSTM模型的细胞结构示意图；

图5为本发明实施例提供的一种数据异常检测装置的结构示意图；

图6为本发明实施例提供的电子设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参考图1，其示出了本申请一个实施例提供的数据异常检测系统架构图，包括4个子系统，分别是底层服务子系统、数据及控制组件、服务子系统和运营子系统。其中，底层服务子系统提供了系统所需数据库、缓存以及与通信中间件；数据及控制组件提供数据异常检测所需的数据接口和系统控制管理；服务子系统提供具体的数据异常检测服务，报告可疑交易；运营子系统提供对异常检测模型和风险交易的管理。

数据异常检测系统可以是计算机等网络设备。数据异常检测系统可以是一个独立的设备，也可以是多个服务器所形成的服务器集群。优选地，数据异常检测系统可以采用云计算技术进行信息处理。

需要注意的是，上文提及的应用场景仅是为了便于理解本申请的精神和原理而示出，本申请实施例在此方面不受任何限制。相反，本申请实施例可以应用于适用的任何场景。

下面对本申请实施例中涉及的部分概念进行介绍。

热独编码：One-Hot Encoding，是有多少个状态就有多少比特，而且只有一个比特为1，其他全为0的一种码制。本发明实施例中用于将当前检测样本转为当前特征值后输入异常检测模型。

LSTM：长短时记忆网络(Long Short Term Memory Network)，是一种改进之后的循环神经网络，可以解决循环神经网络无法处理长距离的依赖的问题。

TCP：传输控制协议(Transmission Control Protocol)，一种面向连接的、可靠的、基于字节流的传输层通信协议。

SCP：安全拷贝协议(Secure Copy)，一种用来进行远程文件拷贝的通信协议。

为了监控系统数据，并提高异常检测的准确性，本发明实施例提供了一种数据异常检测方法，如图2所示，本发明实施例提供的数据异常检测方法包括以下步骤：

步骤201、获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态。

其中，历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态。

本发明实施例中的当前检测样本和历史检测样本可以为用户的交易序列。通过将用户当前的交易序列输入异常检测模型，来预测当前交易的风险情况。

历史时间段为当前检测样本对应的当前时间点之前的时间段，例如，当前时间点为2019年6月3日上午10点，历史时间段为2018年6月3日上午10点至2019年6月3日上午10点。具体实施过程中，历史时间段的时间长度可以根据需要和精确度进行选择，其中，历史时间段的时长越长，则检测准确度越高，但所需计算量越大；历史时间段的时长越段短，则检测所需计算量越小，但准确性较低。

步骤202、根据所述当前检测样本，确定所述待测对象的当前特征值。

步骤203、将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数。

步骤204、将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。

其中，若风险指数大于风险阈值，则表明风险较大，即当前交易出现了异常。此时，可以通过邮件、公司内部流程单据等方式通知到对应人员。另一方面，若风险指数小于或等于风险阈值，则表明当前交易正常。进一步地，无论当前交易是否异常，都可以将当前交易对应的输出细胞状态以及输出隐藏层状态进行存储，作为下一次异常检测的输入参数。即，上述步骤203，将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中之后，还包括：

将所述当前细胞状态以及所述当前隐藏层状态进行存储。

其中，将当前细胞状态作为下一次异常检测的历史细胞状态，当前隐藏层状态作为下一次异常检测的历史隐藏层状态。

进一步地，异常检测模型为神经网络模型，本发明实施例中以LSTM模型为例进行介绍。

传统的LSTM模型在预测一笔交易风险时需要取出该用户最近的交易序列，输入模型进行预测，每次预测模型都需要将用户之前的所有交易序列全部输入，数据量十分庞大，难以满足实时检测的要求。

本发明实施例中，将LSTM模型进行拆分，拆解成普通非循环神经网络。图3示出了本发明实施例中的一种LSTM模型的细胞结构。如图3所示，有三个输入和三个输出，输入分别是历史细胞状态c，历史隐藏层状态h，当前特征值x；输出分别是当前细胞状态c′，输出当前隐藏层状态h′，风险指数y。

具体来说，如图4所示，本发明实施例中LSTM模型的计算公式如下：

f _t＝σ(W _f·[h _t-1,x _t]+b _f)

i _t＝σ(W _i·[h _t-1,x _t]+b _i)

c’ _t＝tanh(W _c·[h _t-1,x _t]+b _c)

c _t＝f _t*c _t-1+i _t*c’ _t

o _t＝σ(W _o·[h _t-1,x _t]+b _o)

h _t＝o _t*tanh(c _t)

s _t＝σ(W _i·x _t+b _i)*x _t

y _t＝σ(W ₃ReLU(W ₂ReLU(W ₁·[h _t,s _t]+b ₁)+b ₂)+b ₃)

相较于传统的LSTM模型，本发明实施例的LSTM模型的细胞状态中增加了当前细胞的旁路s _t。旁路s _t和历史隐藏层状态h _t相连后通过两层使用ReLU激活函数的全连接层，最后通过输出层输出风险指数y _t，输出层使用Sigmoid激活函数，将输出范围限制在[0,1]。

在交易的数据异常检测中，当笔交易的当前特征值对预测是非常重要的，对风险的判断来自于当笔特征与历史特征的交互，而传统LSTM没有旁路s _t，模型输出来自于上一细胞的输出隐藏层状态h _t，其主要来源于上一细胞状态c _t，经过输入门和输出门，c _t中包含的当笔交易特征已经损失了一部分，主要存储了长短时记忆特征，故增加旁路s _t与h _t连接，通过两层全连接层获取交互特征，可以提升模型的预测性能。

传统的LSTM模型，若存在频繁交易的用户，对其多日大量交易进行连续预测，序列过长，与训练集序列差异大，可能会导致长时记忆的紊乱。本发明实施例中，每次预测完后只需记录c′和h′，下次预测该用户的交易时，只需一次LSTM运算即可完成预测，满足实时风控的要求。另一方面，本发明实施例采取每日更新模型的策略，既限制了细胞状态记忆序列的长度，又提升了模型灵敏度和长期性能。

为了保证数据检测的准确性，本发明实施例每日均采用最新的数据进行特征筛选，再训练LSTM模型。所述根据所述历史样本数据，选择训练对象的训练特征，包括：

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。

具体来说，本发明实施例中的训练特征包括核心特征和可选特征。其中，核心特征为重要特征，不参与自动筛选直接选中，可以预先设置，例如具体的交易金额、交易时间等。可选特征为效果一般或随时间偏移较为明显的特征，这类特征的PSI(Population Stability Index，稳定度指标)较大。具体的针对可选特征，可以计算每个可选特征的性能值，例如IV(Information Value，信息价值)值，并根据性能值进行排序，选择性能值较高的可选特征作为训练特征。对应的，利用LSTM模型进行数据异常检测时，也需要筛选出核心特征和可选特征，并计算出核心特征值和可选特征值，作为当前特征值，输入LSTM模型进行计算检测。

进一步地，本发明实施例中异常检测模型利用以下方式进行训练：

获取历史时间段内的历史样本数据；

具体来说，每天日切后，模型训练模块将会重新训练模型。首先将客服反馈的错分交易更新至数据库；维护训练库、测试库，该库存储了每个用户的定长交易序列，读取训练库中的历史交易及特征信息，进行特征自动筛选，选中后进行特征组合，再进行One-Hot Encoding(独热编码)，转换为LSTM模型可用的特征值。最后输入LSTM模型进行训练，得到训练好的模型，发往模型控制组件。

每天训练出的模型并不是直接用于异常检测，而是需要与原有的模型进行对比和评估。即上述步骤301，获取待测对象的当前检测样本之前，还包括：

获取所述待测对象的历史检测样本；

具体实施过程中，可以将每天训练出的模型参数作为备选参数，即将正在执行数据异常检测的模型作为主模型；将每日模型训练得到的新模型作为副模型，在后台进行性能测试和切换准备，若测试符合要求，则转换成主模型，用于执行数据异常检测。具体的性能测试方式可以为计算历史检测样本的训练效果指标，例如计算精确率、召回率和F1等。分别计算主模型和副模型的训练效果指标，若副模型的训练效果指标优于主模型的训练效果指标，则用副模型替换主模型；若主模型的训练效果指标优于副模型的训练效果指标，则继续沿用主模型进行数据异常检测。

为了更清楚地理解本发明，以具体实施例对上述流程进行详细描述。具体实施例利用LSTM深度模型，智能识别欺诈交易，进行拦截，降低发卡行及用户的财产损失。

具体的训练流程如下：

1.模型训练模块日切后启动开始更新模型；首先遍历错分交易库，将最新反馈的错分交易更正，更新训练集库和测试集库；

2.维护训练库和测试库。训练库和测试库分别存储了每个用户最近一年每笔交易的One-Hot(独热)化后的特征，最大交易数量为200条，按照卡号哈希值分表存储。5％的用户存储在测试库，95％的用户存储在训练库；将新增加的交易放入训练库和测试库，同时删除旧交易保证最大交易数为200；对训练库进行采样，所有交易均正常的用户按照50：1的比例标记用于训练，存在异常交易和存在错分的用户全部进行标记用于训练。

3.计算所有可选特征在训练集中被标记用户的样本上的IV值；

4.将特征按照IV值排序，按照给定的规则选取前n个IV值大于a的特征；

5.选中的可选特征和所有核心特征进行组合，得到本次迭代模型的所有特征；取出训练库中被标记的用户，作为训练集，输入分布式深度学习集群，训练LSTM模型；

6.模型练完成后触发Zookeeper监听，通知模型控制组件通过SCP获取新模型；

7.模型控制组件将新模型下发至深度模型模块集群；

8.向深度模型集群发送副模型重载指令，开始模型测试和转换准备。

主副模型转换流程如下：

1.深度模型模块接收到每日的新模型后，开始模型测试和转换准备工作；首先加载新模型；

2.读取训练集库中所有交易数量大于20的用户和测试集库中所有的用户，组合相应特征作为LSTM输入；

3.将样本输入LSTM神经网络，保存每个用户LSTM的最终细胞状态、隐藏层状态；统计测试集用户输出信息，通过Zookeeper发送至模型控制组件；

4.模型控制组件汇总所有深度模型节点计算结果，计算精确率、召回率和F1；

5.模型控制组件根据测试集指标和管理员配置进行版本管理；若管理员干预模型版本，则按照管理员的配置保留上一版本模型或更新模型；若管理员不干预模型版本，则按照规则决策，若精确率>0.3且召回率>0.2且F1≥上版本模型，载入新模型，否则载入旧模型，准备模型转换；

6.深度模型模块进行转换前准备工作；读取用户当日新发生的交易和用户的细胞状态、隐藏层状态缓存，输入LSTM模型，更新状态缓存，保持细胞状态、隐藏层状态与最新的交易同步，等待转换为主模型；

7.日切后，模型控制组件通过Zookeeper发送模型角色转换通知，主模型进程终止，副模型接入联机系统，处理实时交易。

数据异常检测流程具体如下：

1.联机系统通过Magpie中间件调用银联智能实时风控系统，发送交易至交易采集组件；

2.交易采集组件对交易进行初步过滤，通过关键字段比对过滤掉低风险交易和不需要风控的渠道；

3.交易采集组件通过TCP socket(容器)通信发送交易至历史特征计算组件集群和深度引擎模块集群，按照卡号哈希值尾数分发至不同节点；

4.历史特征计算组件将根据这笔交易的信息更新上下文和统计量。下文信息存储了该用户的上次特定行为的信息；统计量信息包含了卡号、商户、手机号、收单机构、发卡机构、身份证号、IP、设备号等多种维度，从时间跨度上又分为短时统计量、当日统计量和多日统计量；

5.深度模型模块评估接收到的交易的风险；首先根据接收到的交易向历史特征计算组件请求相应特征，计算核心特征和全部可选特征，进行One-Hot Encoding；

6.按照当日特征筛选的结果对特征进行组合，得到神经网络的输入；

7.读取用户LSTM神经网络细胞状态、隐藏层状态，载入LSTM模型；若无该用户的状态缓存，则说明该用户历史交易少于20笔，读取其所有历史交易，依次输入LSTM模型，得到细胞状态、隐藏层状态；

8.向LSTM模型输入交易特征，进行前向传播算法，得到该笔交易的风险指数；风险指数大于等于阈值，则判定为欺诈交易，反馈交易采集组件对交易进行拦截，并发送至分析结果处理组件，继续步骤9；若风险指数小于阈值则判定为正常交易，继续步骤9；

9.将该用户LSTM的最新细胞状态、隐藏层状态更新至缓存；

10.将该笔交易One-Hot化后的全部特征和风险评估结果按卡号存储至训练集表和测试集表，用于模型自动迭代。

本发明实施例还提供了一种数据异常检测装置，如图5所示，包括：

获取模块501，用于获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

确定模块502，用于根据所述当前检测样本，确定所述待测对象的当前特征值；

计算模块503，用于将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数；

对比模块504，用于将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。

可选的，所述计算模块503，还用于：

将所述当前细胞状态以及所述当前隐藏层状态进行存储。

可选的，还包括训练模块505，用于利用以下方式训练异常检测模型：

获取历史时间段内的历史样本数据；

可选的，所述训练模块505，用于：

获取所述待测对象的历史检测样本；

可选的，所述训练模块505，用于：

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。

可选的，所述异常检测模型为神经网络模型；

所述计算模块503，具体用于：

基于相同的原理，本发明还提供一种电子设备，如图6所示，包括：

包括处理器601、存储器602、收发机603、总线接口604，其中处理器601、存储器602与收发机603之间通过总线接口604连接；

所述处理器601，用于读取所述存储器602中的程序，执行下列方法：

获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

根据所述当前检测样本，确定所述待测对象的当前特征值；

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包括这些改动和变型在内。

Claims

一种数据异常检测方法，其特征在于，包括：

获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

根据所述当前检测样本，确定所述待测对象的当前特征值；

将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数；

将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。
如权利要求1所述的方法，其特征在于，所述将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中之后，还包括：

确定所述待测对象对应的当前细胞状态以及当前隐藏层状态；

将所述当前细胞状态以及所述当前隐藏层状态进行存储。
如权利要求1所述的方法，其特征在于，所述异常检测模型利用以下方式进行训练：

获取历史时间段内的历史样本数据；

根据所述历史样本数据，选择训练对象的训练特征，并确定训练特征对应的训练特征值；

将所述训练特征值输入初始异常检测模型，并根据输出的风险指数及所述训练对象的异常判定结果计算损失函数，当所述损失函数小于预设阈值时，确定对应的参数为所述异常检测模型对应的参数，得到异常检测模型。
如权利要求3所述的方法，其特征在于，所述获取待测对象的当前检测样本之前，还包括：

获取所述待测对象的历史检测样本；

将所述待测对象的历史检测样本输入所述异常检测模型中，确定所述待测对象的备选参数、备选参数的训练效果指标、所述待测对象的输出细胞状态以及输出隐藏层状态；

当所述备选参数的训练效果指标大于存储的训练效果指标时，将所述备选参数作为所述待测对象的异常检测模型的参数，并将所述待测对象的输出细胞状态作为历史细胞状态，输出隐藏层状态作为历史隐藏层状态。
如权利要求3所述的方法，其特征在于，所述根据所述历史样本数据，选择训练对象的训练特征，包括：

确定所述训练对象的核心特征和可选特征，并将所述核心特征作为训练特征；

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。
如权利要求1至5任一项所述的方法，其特征在于，所述异常检测模型为神经网络模型；

所述将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数，包括：

根据所述当前特征值、所述历史细胞状态和所述历史隐藏层状态，确定所述神经网络模型的当前隐藏层状态；

根据所述当前特征值确定所述神经网络模型的当前细胞的旁路；

根据所述当前细胞的旁路和当前隐藏层状态，确定所述风险指数。
一种数据异常检测装置，其特征在于，包括：

获取模块，用于获取待测对象的当前检测样本、历史细胞状态和历史隐藏层状态；所述历史细胞状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出细胞状态，所述历史隐藏层状态为将所述待测对象的历史检测样本输入所述待测对象的异常检测模型确定的输出隐藏层状态；

确定模块，用于根据所述当前检测样本，确定所述待测对象的当前特征值；

计算模块，用于将所述待测对象的所述当前特征值、所述历史细胞状态和所述历史隐藏层状态输入所述异常检测模型中，确定所述待测对象对应的风险指数；

对比模块，用于将所述风险指数与风险阈值进行对比，确定所述待测对象的异常判定结果。
如权利要求7所述的装置，其特征在于，所述计算模块，还用于：

确定所述待测对象对应的当前细胞状态以及当前隐藏层状态；

将所述当前细胞状态以及所述当前隐藏层状态进行存储。
如权利要求7所述的装置，其特征在于，还包括训练模块，用于利用以下方式训练异常检测模型：

获取历史时间段内的历史样本数据；

根据所述历史样本数据，选择训练对象的训练特征，并确定训练特征对应的训练特征值；

将所述训练特征值输入初始异常检测模型，并根据输出的风险指数及所述训练对象的异常判定结果计算损失函数，当所述损失函数小于预设阈值时，确定对应的参数为所述异常检测模型对应的参数，得到异常检测模型。
如权利要求9所述的装置，其特征在于，所述训练模块，用于：

获取所述待测对象的历史检测样本；

将所述待测对象的历史检测样本输入所述异常检测模型中，确定所述待测对象的备选参数、备选参数的训练效果指标、所述待测对象的输出细胞状态以及输出隐藏层状态；

当所述备选参数的训练效果指标大于存储的训练效果指标时，将所述备选参数作为所述待测对象的异常检测模型的参数，并将所述待测对象的输出细胞状态作为历史细胞状态，输出隐藏层状态作为历史隐藏层状态。
如权利要求9所述的装置，其特征在于，所述训练模块，用于：

确定所述训练对象的核心特征和可选特征，并将所述核心特征作为训练特征；

根据所述历史样本数据，计算每个可选特征的性能值；

根据所述性能值，选择可选特征作为所述训练特征。
如权利要求7至9任一项所述的装置，其特征在于，所述异常检测模型为神经网络模型；

所述计算模块，具体用于：

根据所述当前特征值、所述历史细胞状态和所述历史隐藏层状态，确定所述神经网络模型的当前隐藏层状态；

根据所述当前特征值确定所述神经网络模型的当前细胞的旁路；

根据所述当前细胞的旁路和当前隐藏层状态，确定所述风险指数。
一种电子设备，其特征在于，包括：

至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-6任一所述的方法。
一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行权利要求1～6任一所述方法。