WO2022037299A1 - 异常行为检测方法、装置、电子设备及计算机可读存储介质 - Google Patents

Abstract

本申请提供了一种异常行为检测方法、装置、电子设备及计算机可读存储介质；方法包括：从第一预设对象模型中，获取与第一目标对象对应的第一目标子模型；基于预设模型参数，从第一目标子模型中确定异常数据量，基于目标数据量和异常数据量的对比结果，确定与待检测行为信息对应的第一检测结果；从第二预设对象模型中，获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型；获取第二目标子模型对应的目标最大数据量，基于目标数据量和目标最大数据量的对比结果，确定与待检测行为信息对应的第二检测结果；结合第一检测结果和第二检测结果，确定待检测行为信息的目标检测结果。

Description

异常行为检测方法、装置、电子设备及计算机可读存储介质

相关申请的交叉引用

本申请基于申请号为202010840924.8、申请日为2020年08月20日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本申请涉及计算机应用领域中的信息处理技术，涉及一种异常行为检测方法、装置、电子设备及计算机可读存储介质。

背景技术

随着计算机应用技术的快速发展，各种网络功能的应用也变得越来越广泛；然而，在网络功能的应用过程中，常常存在通过异常方式进行虚假刷量或盗号支付等恶意处理的情况；因此，为了提升网络安全性，异常行为检测越来越重要。

一般来说，在进行异常行为检测时，通常采用无监督方式进行；比如，对历史行为信息进行聚类，得到多个类簇，当获得了待检测行为信息之后，通过判断待检测行为信息与多个类簇之间的所属关系来确定待检测行为信息的异常性。然而，上述异常行为检测的过程中，由于待检测行为信息的特征维度低，当依据低维度的特征进行聚类确定检测结果时，检测结果中存在误差的可能性较高，导致异常行为检测的准确度较低。

发明内容

本申请实施例提供一种异常行为检测方法、装置、电子设备及计算机可读存储介质，能够提升异常行为检测的准确度。

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种异常行为检测方法，所述方法由电子设备执行，包括：

获取待检测行为信息，所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量；

从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型；

基于预设模型参数，从所述第一目标子模型中确定异常数据量，基于 所述目标数据量和所述异常数据量的对比结果，确定与所述待检测行为信息对应的第一检测结果；

从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型；

获取所述第二目标子模型对应的目标最大数据量，基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果；

结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果。

本申请实施例提供一种异常行为检测装置，包括：

信息获取模块，配置为获取待检测行为信息，所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量；

第一检测模块，配置为从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型；

所述第一检测模型，还配置为基于预设模型参数，从所述第一目标子模型中确定异常数据量，基于所述目标数据量和所述异常数据量的对比结果，确定与所述待检测行为信息对应的第一检测结果；

第二检测模块，配置为从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型；

所述第二检测模型，还用于获取所述第二目标子模型对应的目标最大数据量，基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果；

结果确定模块，配置为结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果。

本申请实施例提供一种用于异常行为检测的电子设备，包括：

存储器，用于存储可执行指令；

处理器，用于执行所述存储器中存储的可执行指令时，实现本申请实施例提供的异常行为检测方法。

本申请实施例提供一种计算机可读存储介质，存储有可执行指令，用于引起处理器执行时，实现本申请实施例提供的异常行为检测方法。

本申请实施例至少具有以下有益效果：在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时，通过结合目标数据量分别与异常数据量和目标最大数据量的比较结果，确定待检测行为信息是否具有异常性的目标检测结果的过程中，由于异常数据量为基于第一预设对象模型确定的针对第一目标对象的异常判断条件，目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件；因此，能够在低纬度特征下，通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间，来准确得到待检测行为信息是否异常的目标 检测结果；从而，能够提升异常行为检测的准确度。

附图说明

图1是本申请实施例提供的异常行为检测系统的一个可选的架构示意图；

图2是本申请实施例提供的一种图1中的服务器的组成结构示意图；

图3是本申请实施例提供的异常行为检测方法的一个可选的流程示意图；

图4是本申请实施例提供的一种示例性的确定异常数据量的示意图；

图5是本申请实施例提供的异常行为检测方法的另一个可选的流程示意图；

图6a是本申请实施例提供的一种示例性的待转化的数据量示意图；

图6b是本申请实施例提供的一种示例性的数据量转化示意图；

图7是本申请实施例提供的一种示例性的获取相似度的示意图；

图8是本申请实施例提供的一种示例性的获取合并后的子模型的示意图；

图9为本申请实施例提供的一种示例性的异常行为检测流程示意图；

图10是本申请实施例提供的一种示例性的获取模型的示意图；

图11是本申请实施例提供的一种示例性的模型示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，所描述的实施例不应视为对本申请的限制，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

在以下的描述中，涉及到“一些实施例”，其描述了所有可能实施例的子集，但是可以理解，“一些实施例”可以是所有可能实施例的相同子集或不同子集，并且可以在不冲突的情况下相互结合。

在以下的描述中，所涉及的术语“第一\第二”仅仅是区别类似的对象，不代表针对对象的特定排序，可以理解地，“第一\第二”在允许的情况下可以互换特定的顺序或先后次序，以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。

除非另有定义，本申请实施例所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本申请实施例中所使用的术语只是为了描述本申请实施例的目的，不是旨在限制本申请。

对本申请实施例进行进一步详细说明之前，对本申请实施例中涉及的名词和术语进行说明，本申请实施例中涉及的名词和术语适用于如下的解 释。

1)异常行为检测：是指检测用户进行操作的行为所对应的数据是否符合预设操作流程或实际的过程，比如，通过盗号进行支付的检测，通过作弊进行刷量的检测。

2)离线环境：是指基于数据挖掘工具(比如，“hadoop”，“spark”)对大量数据(比如，数以亿计的数据)进行处理的平台；通常存在较大的时延(比如，一天的时延)，实时性较低。

3)实时/在线环境：用于实时高效的存储和运算待处理数据的平台，通常时延为毫秒级，复杂度低，实时性较高。

一般来说，为了进行异常行为检测，通常采用无监督方式和有监督方式实现。其中，当采用无监督方式进行异常行为检测时，是指将无监督算法应用于异常行为检测；比如，如果应用场景中的行为信息服从高斯混合分布(Mixture Gaussian Distribution)，则在进行异常行为检测时，可以通过判断待检测行为信息是否服从高斯分布来确定待检测行为信息是否异常；再比如，对历史行为信息进行聚类，得到多个类簇，当获得了待检测行为信息之后，通过判断待检测行为信息与多个类簇之间的所属关系来确定待检测行为信息是否异常；又比如，利用异常点检测算法(比如，孤立森林(Isolation Forest))，将空间中孤立的点对应的行为信息确定为异常的行为信息。然而，上述采用无监督方式进行异常行为检测的过程中，当待检测行为信息包括第一目标对象、第二目标对象和目标数据量三维特征时(比如，用户、商户和金额；用户、商品和金额；用户、文章和阅读量)，特征的维度较低，当依据低维度的特征进行无监督方式检测确定检测结果时，检测结果中存在误差的可能性较高，从而，异常行为检测的准确度较低；另外，当获得了三种以上维度的特征进行无监督方式检测时，又会由于特征的维度/复杂度较高导致检测的时间较长，从而，检测的实时性较低。

当采用有监督方式进行异常行为检测时，是指通过对样本进行标注，利用样本的特征和标注的信息训练网络模型，再利用网络模型检测待检测行为信息是否异常。然而，上述采用有监督方式进行异常行为检测的过程中，需要对样本进行标注；而当样本的数据量较大，比如达到了亿级时，标注的可执行性较低；比如，当检测支付是否异常时，由于每天发生的支付的笔数达到了亿级，手工进行标注的可执行性较低；并且标注时长较长会导致网络模型训练的时间较长，当完成网络模型的训练之后，如果应用场景中行为信息的变化较快，应用场景的异常行为检测具备时效性时，可能训练好的网络模型已不再适用于当前的应用场景；从而，可执行性较低，不能应用于时效性较高的应用场景中。

基于此，本申请实施例提供一种异常行为方法、装置、电子设备和计算机可读存储介质，能够快速准确地进行异常行为的检测，且能够应用于时效性较高的应用场景中。

下面说明本申请实施例提供的用于异常行为检测的电子设备(以下简称为异常行为简称设备)的示例性应用，本申请实施例提供的异常行为检测设备可以实施为笔记本电脑，平板电脑，台式计算机，机顶盒，智能电视，智能音箱，移动设备(例如，移动电话，便携式音乐播放器，个人数字助理，专用消息设备，便携式游戏设备，车载设备，智能手机，智能手表)等各种类型的终端，也可以实施为服务器。下面，将说明设备实施为服务器时的示例性应用。

参见图1，图1是本申请实施例提供的异常行为检测系统的一个可选的架构示意图；如图1所示，为支撑一个异常行为检测应用，在异常行为检测系统100中，终端200(示例性地示出了终端200-1和终端200-2)通过网络300连接服务器400(异常行为检测设备)，网络300可以是广域网或者局域网，又或者是二者的组合。另外，异常行为检测系统100中还包括数据库500。

数据库500，用于存储第一预设对象模型和第二预设对象模型，并向服务器400提供第一预设对象模型和第二预设对象模型，以实现异常行为检测。

终端200-1，用于通过图形界面200-11上的控件200-111(示例性地示出了支付按钮)接收用户的支付操作，响应于支付操作通过网络300向服务器400发送包括商户(第一目标对象)、用户(第二目标对象)和金额(目标数据量)的待检测行为信息。还用于通过网络300接收服务器400发送的目标检测结果，并在图形界面200-12上显示该目标检测结果。

终端200-2，用于通过图形界面200-21上的控件200-211(示例性地示出了阅读按钮)接收用户的阅读操作，响应于阅读操作通过网络300向服务器400发送包括文章(第一目标对象)、用户(第二目标对象)和阅读量(目标数据量)的待检测行为信息。还用于通过网络300接收服务器400发送的目标检测结果，并在图形界面200-22上显示该目标检测结果。

服务器400，用于通过网络300从终端200获取待检测行为信息，待检测行为信息包括第一目标对象、第二目标对象和目标数据量；从数据库500提供的第一预设对象模型中，获取与第一目标对象对应的第一目标子模型；基于预设模型参数，从第一目标子模型中确定异常数据量，对比目标数据量和异常数据量，确定与待检测行为信息对应的第一检测结果；从数据库500提供的第二预设对象模型中，获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型；获取第二目标子模型对应的目标最大数据量，对比目标数据量和目标最大数据量，确定与待检测行为信息对应的第二检测结果；结合第一检测结果和第二检测结果，确定待检测行为信息的目标检测结果。还用于通过网络300向终端200发送目标检测结果。

在一些实施例中，服务器400可以是独立的物理服务器，也可以是多 个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(CDN，Content Delivery Network)、以及大数据和人工智能平台等基础云计算服务的云服务器。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本发明实施例中不做限制。

参见图2，图2是本申请实施例提供的一种图1中的服务器的组成结构示意图，图2所示的服务器400包括：至少一个处理器410、存储器450、至少一个网络接口420和用户接口430。服务器400中的各个组件通过总线系统440耦合在一起。可理解，总线系统440用于实现这些组件之间的连接通信。总线系统440除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图2中将各种总线都标为总线系统440。

处理器410可以是一种集成电路芯片，具有信号的处理能力，例如通用处理器、数字信号处理器(DSP，Digital Signal Processor)，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，其中，通用处理器可以是微处理器或者任何常规的处理器等。

用户接口430包括使得能够呈现媒体内容的一个或多个输出装置431，包括一个或多个扬声器和/或一个或多个视觉显示屏。用户接口430还包括一个或多个输入装置432，包括有助于用户输入的用户接口部件，比如键盘、鼠标、麦克风、触屏显示屏、摄像头、其他输入按钮和控件。

存储器450可以是可移除的，不可移除的或其组合。示例性的硬件设备包括固态存储器，硬盘驱动器，光盘驱动器等。存储器450可选地包括在物理位置上远离处理器410的一个或多个存储设备。

存储器450包括易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM，Read Only Memory)，易失性存储器可以是随机存取存储器(RAM，Random Access Memory)。本申请实施例描述的存储器450包括任意适合类型的存储器。

在一些实施例中，存储器450能够存储数据以支持各种操作，这些数据的示例包括程序、模块和数据结构或者其子集或超集，下面示例性说明。

操作系统451，包括用于处理各种基本系统服务和执行硬件相关任务的系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础业务以及处理基于硬件的任务；

网络通信模块452，用于经由一个或多个(有线或无线)网络接口420到达其他计算设备，示例性的网络接口420包括：蓝牙、无线相容性认证(Wi-Fi)、和通用串行总线(USB，Universal Serial Bus)等；

呈现模块453，用于经由一个或多个与用户接口430相关联的输出装置431(例如，显示屏、扬声器等)使得能够呈现信息(例如，用于操作外围 设备和显示内容和信息的用户接口)；

输入处理模块454，用于对一个或多个来自一个或多个输入装置432之一的一个或多个用户输入或互动进行检测以及翻译所检测的输入或互动。

在一些实施例中，本申请实施例提供的异常行为检测装置可以采用软件方式实现，图2示出了存储在存储器450中的异常行为检测装置455，其可以是程序和插件等形式的软件，包括以下软件模块：信息获取模块4551、第一检测模块4552、第二检测模块4553、结果确定模块4554和模型获取模块4555，这些模块是逻辑上的，因此根据所实现的功能可以进行任意的组合或进一步拆分。将在下文中说明各个模块的功能。

在另一些实施例中，本申请实施例提供的异常行为检测装置可以采用硬件方式实现，作为示例，本申请实施例提供的异常行为检测装置可以是采用硬件译码处理器形式的处理器，其被编程以执行本申请实施例提供的异常行为检测方法，例如，硬件译码处理器形式的处理器可以采用一个或多个应用专用集成电路(ASIC，Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD，Programmable Logic Device)、复杂可编程逻辑器件(CPLD，Complex Programmable Logic Device)、现场可编程门阵列(FPGA，Field-Programmable Gate Array)或其他电子元件。

下面，将结合本申请实施例提供异常行为检测设备实施为服务器时的示例性应用，说明本申请实施例提供的异常行为检测方法。

参见图3，图3是本申请实施例提供的异常行为检测方法的一个可选的流程示意图，将结合图3示出的步骤进行说明。

S301、获取待检测行为信息，待检测行为信息包括第一目标对象、第二目标对象和目标数据量。

在本申请实施例中，当用户在终端针对功能应用进行操作，比如，进行支付、阅读文章或点击广告时，终端响应于用户所进行的操作，生成操作数据，并将操作数据向服务器发送时，服务器接收该待检测行为信息，也就完成了待检测行为信息的获取。

需要说明的是，待检测行为信息为检测对象，包括第一目标对象、第二目标对象和目标数据量；其中，第一目标对象为被操作对象，比如，广告、商户、商品或文章；第二目标对象为操作对象，比如，用户等；目标数据量为第二目标对象对第一目标对象进行操作所产生的数据量，比如，金额、点击量或阅读量。

S302、从第一预设对象模型中，获取与第一目标对象对应的第一目标子模型。

在本申请实施例中，服务器中预先存储着第一预设对象模型，或服务器能够预先获取到第一预设对象模型；该第一预设对象模型为各个第一对象对应的模型，该模型为数据量分布信息；由于第一目标对象为一个第一对象，从而，服务器能够从第一预设对象模型中能够获取到与第一目标对 象对应的模型；此时，也就得到了第一目标子模型。

也就是说，第一预设对象模型为第一对象与数据量分布信息之间的对应关系；由于第一目标对象为一个第一对象，服务器第一对象与数据量分布信息之间的对应关系，将第一目标对象与第一对象与数据量分布信息之间的对应关系中的各个第一对象匹配，从各个第一对象中匹配出第一对象，并将匹配出的第一对象对应的数据量分布信息确定为第一目标子模型。

需要说明的是，第一目标子模型为第一目标对象对应的数据量分布信息，比如，商户A关于金额的直方图，或者文章B关于阅读量的分布。

另外，在本申请实施例中，当服务器从第一预设对象模型中未找到与第一目标对象对应的模型，则构建针对第一目标对象的第一目标子模型，并将第一目标对象对应的第一目标子模型增加至第一预设对象模型中。

S303、基于预设模型参数，从第一目标子模型中确定异常数据量，基于目标数据量和异常数据量的对比结果，确定与待检测行为信息对应的第一检测结果。

在本申请实施例中，服务器中存储着预设模型参数，或者服务器能够预先获取到预设模型参数；该预设模型参数为数据量分布信息中的预设分位点，用于确定第一目标对象对应的数据量的预设区间，所确定的第一目标对象对应的数据量的预设区间是与第一目标对象对应的异常判断条件；从而，服务器能够从第一目标子模型中确定与预设模型参数对应的目标位置，该目标位置对应的数据量即为异常数据量；接下来，服务器通过将目标数据量和异常数据量进行对比，根据对比结果中目标数据量与异常数据量的大小关系，就能够确定目标数据量是否处于第一目标对象对应的数据量的预设区间(零到异常数据量的区间范围)；此时，也就得到了与待检测行为信息对应的第一检测结果。

需要说明的是，第一检测结果为针对第一目标对象确定出的待检测行为信息是否异常的结果；当目标数据量大于异常数据量时，表明目标数据量处于第一目标对象对应的数据量的预设区间外，从而，服务器确定包括待检测行为信息关于第一目标对象异常的第一检测结果；当目标数据量小于等于异常数据量时，表明目标数据量处于第一目标对象对应的数据量的预设区间中，从而，服务器确定包括待检测行为信息关于第一目标对象正常的第一检测结果。

示例性地，参见图4，图4是本申请实施例提供的一种示例性的确定异常数据量的示意图；如图4所示，在直方图4-1(第一目标子模型)中，横轴为金额值，纵轴为概率值，当预设模型参数为99分位点时，按照金额值从小到大的顺序对直方图4-1中各金额段的概率进行叠加，当叠加结果大于99％时所对应的位置14-2(目标位置，一个金额小于位置14-2对应的金额值的概率大于99％)对应的金额值即异常数据量。

S304、从第二预设对象模型中，获取与第二目标对象对应的且与第一 目标子模型的相似度最高的第二目标子模型。

在本申请实施例中，服务器中预先存储着第二预设对象模型，或服务器能够预先获取到第二预设对象模型；该第二预设对象模型为每个第二对象对应的关于各个第一对象对应的各个数据量分布信息构成的模型集合；由于第二目标对象为一个第二对象，从而，服务器能够从第二预设对象模型中获取到与第二目标对象对应的模型组，并从获取到的与第二目标对象对应的模型组中匹配出与第一目标子模型具有最高相似度的模型，也就得到了第二目标子模型。

也就是说，服务器在第二预设对象模型中，将第二目标对象与每个第二对象进行匹配，并获取匹配出的第二对象对应的各个第一对象对应的各个数据量分布信息(模型组)，进而从各个数据量分布信息中获取与已获得的第一目标子模型最相似的数据量分布信息，该与第一目标子模型最相似的数据量分布信息即第二目标子模型；其中，第一预设对象模型中的每个第一对象对应的数据量分布信息与第二预设对象模型中的每个第一对象对应的数据量分布信息不同，第二预设对象模型中的每个第一对象对应的数据量分布信息，是通过对第一预设对象模型中的每个第一对象对应的数据量分布信息进行处理获得的，是第二对象对应的关于第一对象的数据量分布信息。

需要说明的是，第二目标子模型为第二目标对象对应的关于第一目标对象的数据量分布信息，比如，用户C关于商户A的金额直方图，用户D关于文章B的阅读量分布。

S305、获取第二目标子模型对应的目标最大数据量，基于目标数据量和目标最大数据量的对比结果，确定与待检测行为信息对应的第二检测结果。

在本申请实施例中，服务器获得了第二目标子模型之后，由于第二预设对象模型中不仅包括每个第二对象对应的模型组，还包括每个第二对象对应的最大数据量；此时，服务器基于第二预设对象模型中第二目标对象对应的最大数据量，确定目标最大数据量；也就是说，目标最大数据量可能为第二目标对象对应的最大数据量，也可能为基于第二预设对象模型中第二目标对象对应的最大数据量确定出的，等等，本申请实施例对此不作具体限定。

这里，服务器获得了目标最大数据量，也就确定了与第二目标对象对应的数据量的预设区间，所确定的与第二目标对象对应的数据量的预设区间是与第二目标对象对应的异常判断条件；从而，服务器通过将目标数据量和目标最大数据量进行对比，根据对比结果中目标数据量与目标最大数据量的大小关系，就能够确定目标数据量是否处于第二目标对象对应的数据量的预设区间(零到目标最大数据量的区间范围)；此时，也就得到了与待检测行为信息对应的第二检测结果。

需要说明的是，第二检测结果为待检测行为信息针对第二目标对象确定出的是否异常的结果；当目标数据量大于目标最大数据量时，表明目标数据量处于第二目标对象对应的数据量的预设区间之外，从而，服务器确定包括待检测行为信息关于第二目标对象异常的第二检测结果；当目标数据量小于等于目标最大数据量时，表明目标数据量处于第二目标对象对应的数据量的预设区间中，从而，服务器确定包括待检测行为信息关于第二目标对象正常的第二检测结果。

S306、结合第一检测结果和第二检测结果，确定待检测行为信息的目标检测结果。

在本申请实施例中，服务器获得了第一检测结果和第二检测结果之后，结合第一检测结果和第二检测结果，确定待检测行为信息的目标检测结果。这里，目标检测结果是指待检测行为信息是否异常。

需要说明的是，服务器结合第一检测结果和第二检测结果，确定待检测行为信息的目标检测结果时，包括：当第一检测结果为待检测行为信息关于第一目标对象异常，且第二检测结果为待检测行为信息关于第二目标对象异常时，服务器确定包括待检测行为信息异常的目标检测结果；当第一检测结果为待检测行为信息关于第一目标对象正常，且第二检测结果为待检测行为信息关于第二目标对象异常时，服务器确定包括待检测行为信息异常的目标检测结果，服务器还可以确定包括待检测行为信息正常的目标检测结果，服务器还可以将待检测行为信息确定为待审核行为信息，以通过人工方式、智能检测处理执行进一步地检测；当第一检测结果为待检测行为信息关于第一目标对象正常，且第二检测结果为待检测行为信息关于第二目标对象正常时，服务器确定包括待检测行为信息正常的目标检测结果；当第一检测结果为待检测行为信息关于第一目标对象异常，且第二检测结果为待检测行为信息关于第二目标对象正常时，服务器确定包括待检测行为信息正常的目标检测结果，服务器还可以确定包括待检测行为信息异常的目标检测结果，服务器还可以将待检测行为信息确定为待审核行为信息，以通过人工方式、智能检测处理执行进一步地检测。

在本申请实施例中，服务器获得了目标检测结果之后，还可以根据目标检测结果确定目标处理信息；该目标处理信息为对待检测行为信息的处理方式，比如，当待检测行为信息为支付操作时，如果目标检测结果为待检测行为信息异常，则目标处理信息为拦截支付操作的处理。再比如，当待检测行为信息为广告点击时，如果目标检测结果为待检测行为信息异常，则目标处理信息为阻止广告点击的处理。

可以理解的是，在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时，通过结合目标数据量分别与异常数据量和目标最大数据量的比较结果，确定待检测行为信息是否具有异常性的目标检测结果的过程中，由于异常数据量为基于第一预设对象模型确定的针对 第一目标对象的异常判断条件，目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件；因此，能够在低纬度特征下，通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间，来准确得到待检测行为信息是否异常的目标检测结果；从而，异常行为检测的准确度较高。

参见图5，图5是本申请实施例提供的异常行为检测方法的另一个可选的流程示意图；如图5所示，在本申请实施例中，S302之前还包括S307-S311；也就是说，服务器从第一预设对象模型中，获取与第一目标对象对应的第一目标子模型之前，该异常行为检测方法还包括S307-S311，下面对各步骤分别进行说明。

S307、获取行为信息样本。

在本申请实施例中，服务器获取当前周期中的行为信息，也就得到了行为信息样本；比如，近一周的支付订单，近一月的阅读记录。这里，当前周期是指最近的预设周期。

需要说明的是，行为信息样本为当前周期内的第一对象、第二对象和数据量对应的行为信息所构成的集合，从而，行为信息样本中的每条行为信息均包括第一对象、第二对象和数据量。

S308、依据第一预设对象类型对行为信息样本进行聚合，得到与每个第一对象对应的数据量集合，依据数据量集合，构建与每个第一对象对应的第一子模型，将构建出的各个第一对象对应的各个第一子模型确定为第一预设对象模型。

需要说明的是，服务器获得了行为信息样本之后，对行为信息样本按照不同的预设类型进行聚合，来获得第一预设对象模型和第二预设对象模型。其中，不同的预设类型包括第一预设对象类型(比如，商户类型或商品类型)和第二预设对象类型(比如，用户)，第一预设对象类型为第一对象所属的对象类型，第二预设对象类型为第二对象所属的对象类型。从而，当服务器依据第一预设对象类型对行为信息样本进行聚合，获取与每个第一对象对应的各个数据量时，也就得到了与每个第一对象对应的数据量集合；

这里，每个第一对象所对应的对象类型为第一预设对象类型；数据量集合为每个第一对象关于第二对象的数据量构成的集合。

在本申请实施例中，服务器获得了数据量集合之后，依据该数据量集合确定每个第一对象对应的数据量分布信息，也就完成了与每个第一对象对应的第一子模型构建；当完成了每个第一对象对应的第一子模型的构建时，也就得到了各个第一对象对应的各个第一子模型，该各个第一对象对应的各个第一子模型即第一预设对象模型。这里，每个第一对象是指各个第一对象中的任一对象，第一预设对象模型是指每个第一对象的第一子模型构成的集合；第一目标子模型为一个第一子模型。

S309、依据第二预设对象类型对行为信息样本进行聚合，得到与每个第二对象对应的第一对象集合和最大数据量。

在本申请实施例中，当服务器依据第二预设对象类型对行为信息样本进行聚合，获取与每个第二对象对应的各个第一对象时，也就得到了与每个第二对象对应的第一对象集合；这里，当服务器依据第二预设对象类型对行为信息样本进行聚合时，还获取与每个第二对象对应的各个数据量，从获取到的与每个第二对象对应的各个数据量中选择最大的数据量，也就得到了与每个第二对象对应的最大数据量。

S310、遍历第一对象集合，基于遍历到的第一对象对应的第一子模型，构建至少一个第二对象子模型。

在本申请实施例中，服务器获得了第一对象集合之后，对第一对象集合中的第一对象进行遍历，针对遍历到的第一对象，与第一预设对象模型中的第一对象进行匹配，匹配出的第一对象对应的模型即遍历到的第一对象对应的第一子模型；这里，服务器利用遍历到的第一对象对应的第一子模型，构建出与每个第二对象对应的至少一个第二对象子模型。

需要说明的是，至少一个第二对象子模型为每个第二对象关联的第一对象的数据量分布构成的集合，比如，用户C关于商户A的金额直方图、商户E的金额直方图和商户F的金额直方图。遍历到的第一对象为第一对象集合中的任一第一对象。

S311、将至少一个第二对象子模型与最大数据量，组合为与每个第二对象对应的第二子模型，将组合出的各个第二对象对应的各个第二子模型确定为第二预设对象模型。

需要说明的是，服务器获得了每个第二对象对应的至少一个第二对象子模型之后，将至少一个第二对象子模型与最大数据量组合，所获得的组合结果即每个第二对象对应的第二子模型；当获得了每个第二对象对应的第二子模型时，也就得到了各个第二对象对应的各个第二子模型第二预设对象模型。这里，每个第二对象是指各个第二对象中的任一对象，第二预设对象模型是指每个第二对象的第二子模型构成的集合。

在申请实施例中，S308中服务器依据数据量集合，构建与每个第一对象对应的第一子模型，包括S3081-S3085，下面对各步骤分别进行说明。

S3081、获取数据量集合中的各个数据量对应的数据量范围。

在本申请实施例中，服务器从数据量集合中的各个数据量中提取最小的数据量和最大的数据量，最小的数据量和最大的数据量对应的范围即数据量范围。

S3082、对数据量范围进行分段，得到多个目标段。

在本申请实施例中，服务器依据预设段大小或者预设段数量对数量范围进行分段，也就得到了多个目标段。

S3083、从数据量集合中，统计属于多个目标段中的每个目标段的数据 量的目标数量。

在本申请实施例中，服务器获得了多个目标段和数据量集合之后，确定数据量集合中的每个数据量所属的目标段，进而统计出属于多个目标段中的每个目标段的数据量的数量；而统计出的每个目标段的数据量的数量，即与每个目标段对应的目标数量。

S3084、将目标数量与数据量集合对应的集合元素数量的比值，确定为与每个目标段对应的概率值。

在本申请实施例中，服务器统计数据量集合中数据量的数量，所统计出的数据量集合中数据量的数量即数据量集合对应的集合元素数量；此时，将目标数据量作为分子，将集合元素数量作为分母，计算比值，所获得的比值结果即每个目标段对应的概率值；当完成了每个目标段对应的概率值的获取时，也就得到了与多个目标段对应的多个概率值，多个目标段与多个概率值一一对应。

S3085、将确定出的多个目标段对应的多个概率值，确定为每个第一对象对应的第一子模型。

需要说明的是，第一子模型即与第一对象关联的多个目标段对应的多个概率值。

在本申请实施例中，S3081可通过S30811和S30812实现；也就是说，服务器获取数据量集合中的各个数据量对应的数据量范围，包括S30811和S30812，下面对各步骤分别进行说明。

S30811、对数据量集合中的各个数据量进行转化，得到转化后的数据量集合。

需要说明的是，由于数据量集合中的各个数据量对应的分布通常是对数正态分布，而对数正态分布中存在平滑部分(长尾部分)，该平滑部分对应的概率接近于0，对较大的数据量的检测结果不准确，无法为后续异常行为检测提供数据支持；因此，为了提升异常行为检测的准确度，服务器对数据量集合中的各个数据量进行转化，消除平滑部分，以使得转化后的数据量集合中的各个转化后的数据量对应的分布服从标准正态分布。

这里，转化可以为对数转化，还可以是同时进行预设倍数的缩小，又可以是利用不同的权重对各个数据量对应相乘，等等，本申请实施例对此不作具体限定。还需要说明的是，当模型获取过程中对数据量进行了转化，则模型获取过程和模型应用过程中所指的数据量均是转化后的数据量。

参见图6a，当数据量为金额值时，由于小额支付时对应的金额值有时较小，比如，几元；大额支付时对应的金额值有时较大，比如，几十万；从而数据量对应的分布曲线6-1中会出现平滑部分6-11，该平滑部分6-11对应的概率分布中的概率几乎为0，无法为后续异常支付检测提供数据支持；其中，图6a中，横轴为金额值，纵轴为概率值。此时，利用自然对数(ln)对数据量进行转化，此时，图6a中的分布曲线6-1就转化成了图6b中的分 布曲线6-2；在图6b中，横轴为转化后的金额值，纵轴为概率值。易知，通过对金额值进行取对数计算，使得小额支付中，能够通过模型编码出几元的波动；大额支付中，能够通过模型编码出千元甚至万元的波动；这种小额敏感大额不敏感的趋势与对数函数的变化曲线是一致，比如，

S30812、将转化后的数据量集合中的各个转化后的数据量对应的范围，确定为数据量范围。

需要说明的是，服务器获得了转化后的数据量集合之后，从转化后的数据量集合中的各个转化后的数据量中提取最小的转化后的数据量和最大的转化后的数据量，最小的转化后的数据量和最大的转化后的数据量对应的范围即数据量范围。

相应地，S3083中服务器从数据量集合中，统计属于多个目标段中的每个目标段的数据量的目标数量，包括：服务器从转化后的数据量集合中，统计属于多个目标段中的每个目标段的转化后的数据量的目标数量。也就是说，服务器确定转化后的数据量集合中的每个转化后的数据量所属的目标段，进而统计出属于多个目标段中的每个目标段的转化后的数据量的数量；而统计出的每个目标段的转化后的数据量的数量，即与每个目标段对应的目标数量。此外，目标数据量等其他的数据量均是转化后对应的数据量。

在本申请实施例中，S310可通过S3101-S3105实现；也就是说，服务器遍历第一对象集合，基于遍历到的第一对象对应的第一子模型，构建至少一个第二对象子模型，包括S3101-S3105，下面对各步骤分别进行说明。

S3101、遍历第一对象集合，将遍历到的第1个第一对象对应的第一子模型确定为当前子模型，并构建包括当前子模型的第1个当前子模型集合。

需要说明的是，在遍历第一对象集合时，当遍历到的第一对象为第1个遍历到的第一对象时，关联的第二对象对应的当前子模型集合是空集；此时，服务器将第1个遍历到的第一对象对应的第一子模型作为一个当前子模型作为当前子模型集合中的一个元素来构建第1个当前子模型集合。

S3102、通过迭代i执行以下处理：将遍历到的第i个第一对象对应的第一子模型，分别与第i-1个当前子模型集合中的每个当前子模型进行对比，得到相似子模型，其中，2<i≤I，且i为取值递增的正整数变量，I为第一对象集合中第一对象的数量。

需要说明的是的，当遍历到的第一对象为第1个遍历到的第一对象之后又遍历到的第一对象时，服务器将遍历到的第i个第一对象对应的第一子模型分别与第i-1个当前子模型集合中的每个当前子模型进行对比，根据对比结果，从第i-1个当前子模型集合中选择与第i个第一对象对应的第一子模型最相似的一个当前子模型，也就得到了相似子模型。

S3103、当第i个第一对象对应的第一子模型与相似子模型对应的相似 度大于第一预设相似度时，合并第i个第一对象对应的第一子模型和相似子模型，得到合并后的子模型，并利用合并后的子模型替换第i-1个当前子模型集合中的相似子模型，得到第i个当前子模型集合。

需要说明的是，服务器获得了相似子模型之后，将相似子模型与第i个第一对象对应的第一子模型之间的相似度，与第一预设相似度进行对比；当相似子模型与第i个第一对象对应的第一子模型之间的相似度，大于第一预设相似度时，表明，第i个第一对象对应的第一子模型所对应的第一对象(比如，便利店A)与相似子模型所对应的第一对象(比如，便利店B)在数据量方面类似；此时，服务器合并第i个第一对象对应的第一子模型和相似子模型，合并的结果即合并后的子模型；接着，服务器利用合并后的子模型替换掉第i-1个当前子模型集合中的相似子模型，完成了替换后的第i-1个当前子模型集合即第i个当前子模型集合。

S3104、当第i个第一对象对应的第一子模型与相似子模型对应的相似度小于等于第一预设相似度时，将待更新子模型插入当前子模型集合中，完成对当前子模型集合的更新。

需要说明的是，当相似子模型与第i个第一对象对应的第一子模型之间的相似度，小于等于第一预设相似度时，表明，第i个第一对象对应的第一子模型所对应的第一对象(比如，便利店A)与相似子模型所对应的第一对象(比如，便利店B)在数据量方面不类似；此时，服务器将第i个第一对象对应的第一子模型插入第i-1个当前子模型集合中，完成了插入后的第i-1个当前子模型集合即第i个当前子模型集合。

S3105、将迭代i获得的第I个当前子模型集合确定为至少一个第二对象子模型。

在本申请实施例中，服务器在遍历第一对象集合时，针对第一对象集合中的任一第一对象，均采用S3102至S3104的过程更新当前第一对象对应的当前子模型集合；当完成对第一对象集合的遍历时，所获得的遍历更新后的当前子模型集合即构建出的至少一个第二对象子模型。

在本申请实施例中，S3102还包括S31021-S31024；也就是说，服务器将第一预设对象模型中与当前第一对象对应的待更新子模型，分别与每个第二对象对应的当前子模型集合中的各个当前子模型进行对比，得到相似子模型，包括S31021-S31024，下面对各步骤分布进行说明。

S31021、从遍历到的第i个第一对象对应的第一子模型中，获取多个目标段对应的多个第一目标概率值。

需要说明的是，由于每个第一对象对应的第一子模型为多个目标段对应的多个概率值；从而，遍历到的第i个第一对象对应的第一子模型也包括多个目标段对应的多个概率值，这里，称为多个目标段对应的多个第一目标概率值；即多个目标段对应的多个第一目标概率值，为待更新子模型对应的多个目标段与多个概率值之间的关系；其中，多个目标段与多个第一 目标概率值一一对应。

S31022、从第i-1个当前子模型集合中的每个当前子模型中，获取多个目标段对应的多个第二目标概率值。

需要说明的是，第i-1个当前子模型集合中的每个当前子模型中也包括多个目标段对应的多个概率值，这里，称为多个目标段对应的多个第二目标概率值；即多个目标段对应的多个第二目标概率值，为每个当前子模型对应的多个目标段与多个概率值之间的关系；其中，多个目标段和多个第二目标概率值一一对应。

S31023、将多个第一目标概率值和多个第二目标概率值一一对应对比，得到多个最小概率值，将多个最小概率值的累加和，确定为第i个第一对象对应的第一子模型和每个当前子模型的相似度。

需要说明的是，由于多个第二目标概率值与多个第一目标概率值一一对应，因此，服务器通过对比遍历到的第i个第一对象对应的第一子模型的多个第一目标概率值和每个当前子模型的多个第二目标概率值，确定遍历到的第i个第一对象对应的第一子模型和每个当前子模型的相似度；当获取了遍历到的第i个第一对象对应的第一子模型和每个当前子模型的相似度之后，也就得到了与第i-1个当前子模型集合中的至少一个当前子模型对应的至少一个相似度。

这里，多个最小概率值与多个第一目标概率值一一对应，且多个最小概率值和多个第二目标概率值一一对应，第i-1个当前子模型集合中至少一个当前子模型与多个相似度一一对应。

参见图7，图7是本申请实施例提供的一种示例性的获取相似度的示意图；如图7所示，在横坐标为取对数后的金额值，纵坐标为概率值的坐标系中，第i个第一对象对应的第一子模型7-1和每个当前子模型7-2的相似度为区域7-3对应的面积。这里，当第i个第一对象对应的第一子模型7-1对应的多个第一目标概率值为a _j，当前子模型7-2对应的多个第二目标概率值为b _i，j为大于等于2的整数时，第i个第一对象对应的第一子模型7-1和当前子模型7-2的相似度S如式(1)所示：

其中，n为多个目标段的数量。

S31024、从确定出的与第i-1个当前子模型集合对应的至少一个相似度中，选择最高相似度，并将第i-1个当前子模型集合中与最高相似度对应的当前子模型，确定为相似子模型。

在本申请实施例中，服务器从多个相似度中获取最高相似度，并将最高相似度在第i-1个当前子模型集合中对应的当前子模型，作为相似子模型。

在本申请实施例中，S3103中服务器合并第i个第一对象对应的第一子模型和相似子模型，得到合并后的子模型，包括S31031-S31034，下面对各步骤分别进行说明。

S31031、从第i个第一对象对应的第一子模型中，获取多个目标段对应的多个第一目标概率值。

需要说明的是，S31031的实现过程与S31021描述的实现过程一致。

S31032、从相似子模型中，获取多个目标段对应的多个待合并概率值。

需要说明的是，每个当前子模型中也包括多个目标段对应的多个概率值，这里，称为多个目标段对应的多个第二目标概率值；即多个目标段对应的多个第二目标概率值，为每个当前子模型对应的多个目标段与多个概率值之间的关系，其中，多个目标段和多个待合并概率值一一对应。

S31033、将多个第一目标概率值和多个待合并概率值一一对应对比，得到多个最大概率值。

需要说明的是，多个第一目标概率值和多个待合并概率值一一对应，多个最大概率值与多个第一目标概率值一一对应，且多个最大概率值和多个待合并概率值一一对应。

S31034、将多个目标段和多个最大概率值组合，得到合并后的子模型。

参见图8，图8是本申请实施例提供的一种示例性的获取合并后的子模型的示意图；如图8所示，在横坐标为取对数后的金额值，纵坐标为概率值的坐标系中，示出了第i个第一对象对应的第一子模型8-1和相似子模型8-2对应的合并后的子模型8-3。这里，当第i个第一对象对应的第一子模型8-1对应的多个第一目标概率值为a _j，相似子模型8-2对应的多个待合并概率值为c _j，合并第i个第一对象对应的第一子模型8-1和相似子模型8-2，得到合并后的子模型8-3的过程可通过式(2)实现，式(2)为：

C＝{…，max(a _j，c _j)，…}，i∈n        (2)

其中，C用于表示合并后的子模型8-3。

在本申请实施例中，S304可通过S3041-S3044实现；也就是说，服务器从第二预设对象模型中，获取与第二目标对象对应的且与第一目标子模型的相似度最高的第二目标子模型，包括S3041-S3044，下面对各步骤分别进行说明。

S3041、从第二预设对象模型中，获取与第二目标对象对应的至少一个目标第二对象子模型。

需要说明的是，由于第二预设对象模型为每个第二对象对应的至少一个第二对象子模型进行组合得到的；从而，服务器将第二目标对象与第二预设对象模型中的每个第二对象进行匹配，所匹配出的第二对象对应的至少一个第二对象子模型即至少一个目标第二对象子模型。

S3042、获取第一目标子模型分别与至少一个目标第二对象子模型对应的至少一个目标相似度。

在本申请实施例中，服务器将第一目标子模型分别于与每个目标第二对象子模型分别进行对比，也就得到了第一目标子模型与每个目标第二对象子模型的目标相似度，也就得到了至少一个目标第二对象子模型对应的 至少一个目标相似度；其中，至少一个目标第二对象子模型与至少一个目标相似度一一对应。

需要说明的是，服务器获取多个目标相似度的过程，与S31011-S31013描述的获取多个相似度的过程类似，本申请实施例在此不再赘述。

S3043、从个目标相似度中获取最高目标相似度。

这里，最高目标相似度为至少一个目标第二对象子模型对应的至少一个目标相似度个目标相似度中最高的目标相似度。

S3044、在至少一个目标第二对象子模型中，将与最高目标相似度对应的目标第二对象子模型确定为第二目标子模型。

需要说明的是，服务器依据最高目标相似度，从至少一个目标第二对象子模型中选择对应的目标第二对象子模型，并将选择出的将与最高目标相似度对应的目标第二对象子模型确定为第二目标子模型；其中，第二目标子模型与第一目标子模型的相似度最高。

在本申请实施例中，S305中服务器获取第二目标子模型对应的目标最大数据量，包括：当最高目标相似度大于第二预设相似度时，服务器将第二预设对象模型中与第二目标对象对应的最大数据量，确定为第二目标子模型对应的目标最大数据量；当最高目标相似度小于等于第二预设相似度时，服务器将预设数据量确定为第二目标子模型对应的目标最大数量。这里，预设数据量比如为0，或其他任意数值；另外，第一预设相似度和第二预设相似度可以相同，也可以不同，本申请实施例对此不作具体限定。

下面，以即时通信客户端的支付场景中，对支付订单进行异常检测的过程为例，来说明本申请实施例在一个实际的应用场景中的示例性应用。

参见图9，图9为本申请实施例提供的一种示例性的异常行为检测流程示意图；如图9所示，在支付场景中，用户提交支付订单9-1(待检测行为信息)之后，首先，服务器根据支付订单完成支付之前，拉取支付订单，从支付订单中获取订单三元组9-2：用户9-21(第一目标对象)、商户9-22(第一目标对象)和金额值9-23(目标数据量)。

其次，服务器从商户模型9-31(第一预设对象模型)中，获取与商户9-22对应的商户直方图9-311(第一目标子模型)，并根据商户直方图9-311的99分位点(预设模型参数)确定商户9-22的正常交易阈值t _u(异常数据量)；确定正常交易阈值t _u的过程参见图4；易知，正常交易阈值t _u表示，如果金额值大于正常交易阈值t _u，即该金额值对应的支付订单超过了99％的正常情况，确定该金额值对应的支付订单在商户侧为异常交易。这里，由于金额值9-23大于正常交易阈值t _u，表明支付订单9-1超过了99％的正常情况，从而，确定支付订单9-1在商户侧为异常交易的结果9-41(第一检测结果)。

然后，服务器从用户模型9-32(第二预设对象模型)中，获取与用户9-21对应的商户直方图组9-321(至少一个目标第二对象子模型)，并从商 户直方图组9-321中搜索与商户直方图9-311最相似的商户直方图9-322(第二目标子模型)。这里，如果商户直方图9-322与商户直方图组9-321的相似度大于0.8(第二预设相似度)，则获取用户模型9-32中与用户9-21对应的历史最大交易金额(第二目标对象对应的最大数据量)作为正常交易阈值t _v(目标最大数据量)；否则，表明用户9-21在商户9-22处未消费过，从而，将正常交易阈值t _v设置为0(预设数据量)；易知，正常交易阈值t _v表示，如果金额值小于等于正常交易阈值t _v，表明该金额值在历史支付订单中出现了相同的金额值，确定该金额值对应的支付订单在用户侧为正常交易。这里，由于金额值9-23大于正常交易阈值t _v，表明金额值9-23未在历史支付订单中出现过，从而，确定支付订单9-1在用户侧为异常交易的结果9-42(第二检测结果)。

最后，依据表1所示的决策矩阵，结合结果9-41和结果9-42，确定支付订单9-1异常(目标检测结果)，可能为盗用账号的交易；从而，对支付订单9-1进行拦截处理9-5，以提升网络安全性。其中，

表1

由表1示出的决策矩阵，易知，当商户侧表明支付订单为异常支付，且用户侧表明支付订单也为异常支付时，确定支付订单为异常支付；当商户侧表明支付订单为异常支付，且用户侧表明支付订单为正常支付时，确定支付订单为正常支付；当商户侧表明支付订单为正常支付，且用户侧表明支付订单为异常支付时，确定支付订单为疑似异常支付，此时，根据实际情况确定支付订单的异常性，即根据实际情况可以认为支付订单正常，也可以认为支付订单异常；当商户侧表明支付订单为正常支付，且用户侧表明支付订单也为正常支付时，确定支付订单为正常支付。

另外，本申请实施例还提供了另一种决策矩阵，如表2所示：

表2

由表2示出的决策矩阵，易知，当商户侧表明支付订单为异常支付，且用户侧表明支付订单也为异常支付时，确定支付订单为异常支付；当商户侧表明支付订单为异常支付，且用户侧表明支付订单为正常支付时，确定支付订单为疑似异常支付，此时，根据实际情况确定支付订单的异常性，即根据实际情况可以认为支付订单正常，也可以认为支付订单异常；当商 户侧表明支付订单为正常支付，且用户侧表明支付订单为异常支付时，确定支付订单为疑似异常支付，此时，根据实际情况确定支付订单的异常性，即根据实际情况可以认为支付订单正常，也可以认为支付订单异常；当商户侧表明支付订单为正常支付，且用户侧表明支付订单也为正常支付时，确定支付订单为正常支付。

需要说明的是，服务器依据第一检测结果和第二检测结果确定目标检测结果时，还可以是其他的决策矩阵，本申请实施例在此不一一列出。

另外，上述确定支付订单的异常性的处理过程是实时的，是在实时/在线环境上实现的；上述确定支付订单的异常性的处理过程，还可以应用在信用卡反欺诈、黑产对抗等场景中。

可以理解的是，在即时通信客户端的支付场景中，通过对支付订单进行异常检测，在基于检测结果确定支付异常时进行支付拦截、身份验证等处理，能够保证即时通信客户端中支付的安全性。

下面，继续说明支付场景中的异常行为检测的应用。

参见图10，图10是本申请实施例提供的一种示例性的获取模型的示意图；如图10所示，服务器获取近期(当前预设周期)的历史支付订单10-1(行为信息样本)，其中，历史支付订单10-1中的每条支付订单均包括用户(第二对象)、商户(第一对象)和金额(数据量)。

首先，对历史支付订单10-1按照商户(第一预设对象类型)进行聚合，得到每个商户近期所有用户的交易金额10-2(数据量集合)；利用自然对数对每个商户近期所有用户的交易金额10-2进行转化后，分段统计得到金额分布直方图10-31(第一子模型)；如图11所示的直方图11-1即图10中的金额分布直方图10-31，坐标系中横坐标为取对数后的金额值，纵坐标为概率值。将每个商户对应的金额分布直方图10-31组合，也就得到了商户模型10-3。

其次，对历史支付订单10-1按照用户(第二预设对象类型)进行聚合，得到每个用户近期所支付的各个商户10-41(第一对象集合)，以及每个用户近期在各个商户的支付金额10-42，从每个用户近期在各个商户的支付金额10-42中选择最大支付金额10-421(最大数据量)作为历史最大交易金额。

然后，遍历每个用户近期所支付的各个商户10-41，针对每个商户10-411(第i个第一对象)，从商户模型10-3中获取对应的商户金额分布直方图10-32。当每个商户10-411为遍历到的各个商户10-41中的第一个商户时，将商户金额分布直方图10-32直接插入直方图组10-51(当前子模型集合)；当每个商户10-411不为遍历到的各个商户10-41中的第一个商户时，将商户金额分布直方图10-32与直方图组10-51中的每个直方图进行对比，以从直方图组10-51中对比出相似度最高的直方图10-511(相似子模型)；其中，对比的过程参见图7。这里，如果直方图10-511和商户金额分布直 方图10-32之间的相似度大于0.8(第一预设相似度)，则将商户金额分布直方图10-32合并至直方图10-511中，合并的过程参见图8；而直方图10-511和商户金额分布直方图10-32之间的相似度小于等于0.8，则将商户金额分布直方图10-32插入至直方图组10-51中；如此，当完成对各个商户10-41的遍历时(直方图组10-51即至少一个第二对象子模型)，将每个用户对应的直方图组10-51与最大支付金额10-421组合，也就得到了第二子模型，从而也就得到了用户模型10-5(第二预设对象模型)。

需要说明的是，上述获取第一预设对象模型和第二预设对象模型的过程可在离线环境中进行。

可以理解的是，本申请实施例提供的异常行为检测方法采用的为无监督方式，无需对数据进行标注，提升了即时通信客户端的支付场景中检测的可执行性；并且，商户模型和用户模型的获取过程中仅需要商户、用户和金额值，在三维特征的情况下也能准确实现即时通信客户端的支付场景中的异常行为检测；另外，由于商户模型和用户模型的获取过程中无需数据标注，提升了获取效率，从而也使得获得的商户模型和用户模型具有时效性，能够适用于即时通信客户端的实时支付环境。

下面继续说明本申请实施例提供的异常行为检测装置455的实施为软件模块的示例性结构，在一些实施例中，如图2所示，存储在存储器450的异常行为检测装置455中的软件模块可以包括：

信息获取模块4551，配置为获取待检测行为信息，所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量；

第一检测模块4552，配置为从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型；

所述第一检测模型4552，还配置为基于预设模型参数，从所述第一目标子模型中确定异常数据量，基于所述目标数据量和所述异常数据量的对比结果，确定与所述待检测行为信息对应的第一检测结果；

第二检测模块4553，配置为从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型；

所述第二检测模型4553，还配置为获取所述第二目标子模型对应的目标最大数据量，基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果；

结果确定模块4554，配置为结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果。

在本申请实施例中，所述异常行为检测装置455还包括模型获取模块4555，配置为获取行为信息样本；依据第一预设对象类型对所述行为信息样本进行聚合，得到与每个第一对象对应的数据量集合，依据所述数据量集合，构建与每个所述第一对象对应的第一子模型，将构建出的各个所述第一对象对应的各个所述第一子模型确定为所述第一预设对象模型；依据 第二预设对象类型对所述行为信息样本进行聚合，得到与每个第二对象对应的第一对象集合和最大数据量；遍历所述第一对象集合，基于遍历到的所述第一对象对应的所述第一子模型，构建至少一个第二对象子模型；将至少一个所述第二对象子模型与所述最大数据量，组合为与每个所述第二对象对应的第二子模型，将组合出的各个所述第二对象对应的各个所述第二子模型确定为所述第二预设对象模型。

在本申请实施例中，所述模型获取模块4555，还配置为获取所述数据量集合中的各个数据量对应的数据量范围；对所述数据量范围进行分段，得到多个目标段；从所述数据量集合中，统计属于多个所述目标段中的每个所述目标段的数据量所对应的目标数量；将所述目标数量与所述数据量集合对应的集合元素数量的比值，确定为与每个所述目标段对应的概率值；将确定出的多个所述目标段对应的多个所述概率值，确定为每个所述第一对象对应的所述第一子模型。

在本申请实施例中，所述模型获取模块4555，还配置为对所述数据量集合中的各个所述数据量进行转化，得到转化后的数据量集合；将所述转化后的数据量集合中的各个转化后的数据量对应的范围，确定为所述数据量范围。

在本申请实施例中，所述模型获取模块4555，还配置为从所述转化后的数据量集合中，统计属于多个所述目标段中的每个所述目标段的转化后的数据量所对应的所述目标数量。

在本申请实施例中，所述模型获取模块4555，还配置为遍历所述第一对象集合，将遍历到的第1个所述第一对象对应的所述第一子模型确定为当前子模型，并构建包括所述当前子模型的第1个当前子模型集合；通过迭代i执行以下处理：将遍历到的第i个所述第一对象对应的所述第一子模型，分别与第i-1个当前子模型集合中的每个所述当前子模型进行对比，得到相似子模型，其中，2<i≤I，且i为取值递增的正整数变量，I为所述第一对象集合中第一对象的数量；当第i个所述第一对象对应的所述第一子模型与所述相似子模型之间的相似度大于第一预设相似度时，合并第i个所述第一对象对应的所述第一子模型和所述相似子模型，得到合并后的子模型，并利用所述合并后的子模型替换所述第i-1个当前子模型集合中的所述相似子模型，得到第i个当前子模型集合；当第i个所述第一对象对应的所述第一子模型与所述相似子模型之间的相似度小于等于所述第一预设相似度时，将第i个所述第一对象对应的所述第一子模型插入所述第i-1个当前子模型集合中，得到第i个当前子模型集合；将迭代i获得的第I个当前子模型集合确定为至少一个所述第二对象子模型。

在本申请实施例中，所述模型获取模块4555，还配置为从遍历到的第i个所述第一对象对应的所述第一子模型中，获取多个目标段对应的多个第一目标概率值；从所述第i-1个当前子模型集合中的每个所述当前子模型中， 获取多个所述目标段对应的多个第二目标概率值；将多个所述第一目标概率值和多个所述第二目标概率值一一对应对比，得到多个最小概率值，将多个所述最小概率值的累加和，确定为第i个所述第一对象对应的所述第一子模型和每个所述当前子模型的相似度；从确定出的与所述第i-1个当前子模型集合对应的至少一个所述相似度中，选择最高相似度，并将所述第i-1个当前子模型集合中与所述最高相似度对应的所述当前子模型，确定为所述相似子模型。

在本申请实施例中，所述模型获取模块4555，还配置为从第i个所述第一对象对应的所述第一子模型中，获取多个目标段对应的多个第一目标概率值；从所述相似子模型中，获取多个所述目标段对应的多个待合并概率值；将多个所述第一目标概率值和多个所述待合并概率值一一对应对比，得到多个最大概率值；将多个所述目标段和多个所述最大概率值组合，得到所述合并后的子模型。

在本申请实施例中，所述第二检测模块4553，还配置为从所述第二预设对象模型中，获取与所述第二目标对象对应的至少一个目标第二对象子模型；获取所述第一目标子模型分别与至少一个所述目标第二对象子模型对应的至少一个目标相似度；从至少一个所述目标相似度中获取最高目标相似度；在至少一个所述目标第二对象子模型中，将与所述最高目标相似度对应的目标第二对象子模型确定为所述第二目标子模型。

在本申请实施例中，所述第二检测模块4553，还配置为当所述最高目标相似度大于第二预设相似度时，将所述第二预设对象模型中与所述第二目标对象对应的最大数据量，确定为所述第二目标子模型对应的所述目标最大数据量；当所述最高目标相似度小于等于所述第二预设相似度时，将预设数据量确定为所述第二目标子模型对应的所述目标最大数量。

在本申请实施例中，所述第一检测模块4552，还配置为当所述目标数据量大于所述异常数据量时，确定所述待检测行为信息关于所述第一目标对象异常，其中，所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常；当所述目标数据量小于等于所述异常数据量时，确定所述待检测行为信息关于所述第一目标对象正常，其中，所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常。

在本申请实施例中，所述第二检测模块4553，还配置为当所述目标数据量大于所述目标最大数据量时，确定所述待检测行为信息关于所述第二目标对象异常，其中，所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常；当所述目标数据量小于等于所述目标最大数据量时，确定所述待检测行为信息关于所述第二目标对象正常，其中，所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常。

在本申请实施例中，所述结果确定模块4554，还配置为当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常，且所述第二检 测结果为所述待检测行为信息关于所述第二目标对象异常时，确定包括所述待检测行为信息异常的所述目标检测结果；当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时，确定包括所述待检测行为信息异常的所述目标检测结果；当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时，确定包括所述待检测行为信息正常的所述目标检测结果；当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时，确定包括所述待检测行为信息正常的所述目标检测结果。

本申请实施例提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。异常行为检测设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行本申请实施例上述的异常行为检测方法。

本申请实施例提供一种存储有可执行指令的计算机可读存储介质，其中存储有可执行指令，当可执行指令被处理器执行时，将引起处理器执行本申请实施例提供的异常行为检测方法，例如，如图3示出的异常行为检测方法。

在一些实施例中，计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、闪存、磁表面存储器、光盘、或CD-ROM等存储器；也可以是包括上述存储器之一或任意组合的各种设备。

在一些实施例中，可执行指令可以采用程序、软件、软件模块、脚本或代码的形式，按任意形式的编程语言(包括编译或解释语言，或者声明性或过程性语言)来编写，并且其可按任意形式部署，包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。

作为示例，可执行指令可以但不一定对应于文件系统中的文件，可以可被存储在保存其它程序或数据的文件的一部分，例如，存储在超文本标记语言(HTML，Hyper Text Markup Language)文档中的一个或多个脚本中，存储在专用于所讨论的程序的单个文件中，或者，存储在多个协同文件(例如，存储一个或多个模块、子程序或代码部分的文件)中。

作为示例，可执行指令可被部署为在一个计算设备上执行，或者在位于一个地点的多个计算设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算设备上执行。

综上所述，通过本申请实施例，在待检测行为信息包括第一目标对象、第二目标对象和目标数据量三种维度特征时，通过结合目标数据量分别与 异常数据量和目标最大数据量的比较结果，确定待检测行为信息是否具有异常性的目标检测结果的过程中，由于异常数据量为基于第一预设对象模型确定的针对第一目标对象的异常判断条件，目标最大数据量为基于第二预设对象模型确定的针对第二目标对象的异常判断条件；因此，能够在低纬度特征下，通过从第一目标对象和第二目标对象两种维度判断目标数据量是否在预设区间，来准确得到待检测行为信息是否异常的目标检测结果；从而，异常行为检测的准确度较高。

以上所述，仅为本申请的实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和范围之内所作的任何修改、等同替换和改进等，均包含在本申请的保护范围之内。

Claims (15)

1. 一种异常行为检测方法，所述方法由电子设备执行，包括：

   获取待检测行为信息，所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量；

   从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型；

   基于预设模型参数，从所述第一目标子模型中确定异常数据量，基于所述目标数据量和所述异常数据量的对比结果，确定与所述待检测行为信息对应的第一检测结果；

   从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型；

   获取所述第二目标子模型对应的目标最大数据量，基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果；

   结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果。
2. 根据权利要求1所述的方法，其中，所述从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型之前，所述方法还包括：

   获取行为信息样本；

   依据第一预设对象类型对所述行为信息样本进行聚合，得到与每个第一对象对应的数据量集合，依据所述数据量集合，构建与每个所述第一对象对应的第一子模型，将构建出的各个所述第一对象对应的各个所述第一子模型确定为所述第一预设对象模型；

   依据第二预设对象类型对所述行为信息样本进行聚合，得到与每个第二对象对应的第一对象集合和最大数据量；

   遍历所述第一对象集合，基于遍历到的所述第一对象对应的所述第一子模型，构建至少一个第二对象子模型；

   将至少一个所述第二对象子模型与所述最大数据量，组合为与每个所述第二对象对应的第二子模型，将组合出的各个所述第二对象对应的各个所述第二子模型确定为所述第二预设对象模型。
3. 根据权利要求2所述的方法，其中，所述依据所述数据量集合，构建与每个所述第一对象对应的第一子模型，包括：

   获取所述数据量集合中的各个数据量对应的数据量范围；

   对所述数据量范围进行分段，得到多个目标段；

   从所述数据量集合中，统计属于多个所述目标段中的每个所述目标段的数据量所对应的目标数量；

   将所述目标数量与所述数据量集合对应的集合元素数量的比值，确定 为与每个所述目标段对应的概率值；

   将确定出的多个所述目标段对应的多个所述概率值，确定为每个所述第一对象对应的所述第一子模型。
4. 根据权利要求3所述的方法，其中，所述获取所述数据量集合中的各个数据量对应的数据量范围，包括：

   对所述数据量集合中的各个所述数据量进行转化，得到转化后的数据量集合；

   将所述转化后的数据量集合中的各个转化后的数据量对应的范围，确定为所述数据量范围；

   所述从所述数据量集合中，统计属于多个所述目标段中的每个所述目标段的数据量所对应的目标数量，包括：

   从所述转化后的数据量集合中，统计属于多个所述目标段中的每个所述目标段的转化后的数据量所对应的所述目标数量。
5. 根据权利要求2至4任一项所述的方法，其中，所述遍历所述第一对象集合，基于遍历到的所述第一对象对应的所述第一子模型，构建至少一个第二对象子模型，包括：

   遍历所述第一对象集合，将遍历到的第1个所述第一对象对应的所述第一子模型确定为当前子模型，并构建包括所述当前子模型的第1个当前子模型集合；

   通过迭代i执行以下处理：

   将遍历到的第i个所述第一对象对应的所述第一子模型，分别与第i-1个当前子模型集合中的每个所述当前子模型进行对比，得到相似子模型，其中，2<i≤I，且i为取值递增的正整数变量，I为所述第一对象集合中第一对象的数量；

   当第i个所述第一对象对应的所述第一子模型与所述相似子模型之间的相似度大于第一预设相似度时，合并第i个所述第一对象对应的所述第一子模型和所述相似子模型，得到合并后的子模型，并利用所述合并后的子模型替换所述第i-1个当前子模型集合中的所述相似子模型，得到第i个当前子模型集合；

   当第i个所述第一对象对应的所述第一子模型与所述相似子模型之间的相似度小于等于所述第一预设相似度时，将第i个所述第一对象对应的所述第一子模型插入所述第i-1个当前子模型集合中，得到第i个当前子模型集合；

   将迭代i获得的第I个当前子模型集合确定为至少一个所述第二对象子模型。
6. 根据权利要求5所述的方法，其中，所述将遍历到的第i个所述第一对象对应的所述第一子模型，分别与第i-1个当前子模型集合中的每个所述当前子模型进行对比，得到相似子模型，包括：

   从遍历到的第i个所述第一对象对应的所述第一子模型中，获取多个目标段对应的多个第一目标概率值；

   从所述第i-1个当前子模型集合中的每个所述当前子模型中，获取多个所述目标段对应的多个第二目标概率值；

   将多个所述第一目标概率值和多个所述第二目标概率值一一对应对比，得到多个最小概率值，将多个所述最小概率值的累加和，确定为第i个所述第一对象对应的所述第一子模型和每个所述当前子模型的相似度；

   从确定出的与所述第i-1个当前子模型集合对应的至少一个所述相似度中，选择最高相似度，并将所述第i-1个当前子模型集合中与所述最高相似度对应的所述当前子模型，确定为所述相似子模型。
7. 根据权利要求5所述的方法，其中，所述合并第i个所述第一对象对应的所述第一子模型和所述相似子模型，得到合并后的子模型，包括：

   从第i个所述第一对象对应的所述第一子模型中，获取多个目标段对应的多个第一目标概率值；

   从所述相似子模型中，获取多个所述目标段对应的多个待合并概率值；

   将多个所述第一目标概率值和多个所述待合并概率值一一对应对比，得到多个最大概率值；

   将多个所述目标段和多个所述最大概率值组合，得到所述合并后的子模型。
8. 根据权利要求1至4任一项所述的方法，其中，所述从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型，包括：

   从所述第二预设对象模型中，获取与所述第二目标对象对应的至少一个目标第二对象子模型；

   获取所述第一目标子模型分别与至少一个所述目标第二对象子模型对应的至少一个目标相似度；

   从至少一个所述目标相似度中获取最高目标相似度；

   在至少一个所述目标第二对象子模型中，将与所述最高目标相似度对应的目标第二对象子模型确定为所述第二目标子模型。
9. 根据权利要求8所述的方法，其中，所述获取所述第二目标子模型对应的目标最大数据量，包括：

   当所述最高目标相似度大于第二预设相似度时，将所述第二预设对象模型中与所述第二目标对象对应的最大数据量，确定为所述第二目标子模型对应的所述目标最大数据量；

   当所述最高目标相似度小于等于所述第二预设相似度时，将预设数据量确定为所述第二目标子模型对应的所述目标最大数量。
10. 根据权利要求1至4任一项所述的方法，其中，所述基于所述目标数据量和所述异常数据量的对比结果，确定与所述待检测行为信息对应 的第一检测结果，包括：

    当所述目标数据量大于所述异常数据量时，确定所述待检测行为信息关于所述第一目标对象异常，其中，所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常；

    当所述目标数据量小于等于所述异常数据量时，确定所述待检测行为信息关于所述第一目标对象正常，其中，所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常。
11. 根据权利要求1至4任一项所述的方法，其中，所述基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果，包括：

    当所述目标数据量大于所述目标最大数据量时，确定所述待检测行为信息关于所述第二目标对象异常，其中，所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常；

    当所述目标数据量小于等于所述目标最大数据量时，确定所述待检测行为信息关于所述第二目标对象正常，其中，所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常。
12. 根据权利要求1至4任一项所述的方法，其中，所述结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果，包括：

    当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时，确定包括所述待检测行为信息异常的所述目标检测结果；

    当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象异常时，确定包括所述待检测行为信息异常的所述目标检测结果；

    当所述第一检测结果为所述待检测行为信息关于所述第一目标对象正常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时，确定包括所述待检测行为信息正常的所述目标检测结果；

    当所述第一检测结果为所述待检测行为信息关于所述第一目标对象异常，且所述第二检测结果为所述待检测行为信息关于所述第二目标对象正常时，确定包括所述待检测行为信息正常的所述目标检测结果。
13. 一种异常行为检测装置，包括：

    信息获取模块，配置为获取待检测行为信息，所述待检测行为信息包括第一目标对象、第二目标对象和目标数据量；

    第一检测模块，配置为从第一预设对象模型中，获取与所述第一目标对象对应的第一目标子模型；

    所述第一检测模块，还配置为基于预设模型参数，从所述第一目标子模型中确定异常数据量，基于所述目标数据量和所述异常数据量的对比结 果，确定与所述待检测行为信息对应的第一检测结果；

    第二检测模块，配置为从第二预设对象模型中，获取与所述第二目标对象对应的且与所述第一目标子模型的相似度最高的第二目标子模型；

    所述第二检测模块，还配置为获取所述第二目标子模型对应的目标最大数据量，基于所述目标数据量和所述目标最大数据量的对比结果，确定与所述待检测行为信息对应的第二检测结果；

    结果确定模块，配置为结合所述第一检测结果和所述第二检测结果，确定所述待检测行为信息的目标检测结果。
14. 一种异常行为检测设备，包括：

    存储器，用于存储可执行指令；

    处理器，用于执行所述存储器中存储的可执行指令时，实现权利要求1至12任一项所述的异常行为检测方法。
15. 一种计算机可读存储介质，存储有可执行指令，用于被处理器执行时，实现权利要求1至12任一项所述的异常行为检测方法。

Images