国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測方法和系統(tǒng)的制作方法

      文檔序號:10489072閱讀:469來源:國知局
      基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測方法和系統(tǒng)的制作方法
      【專利摘要】本發(fā)明涉及一種異常行為檢測方法和系統(tǒng),該方法包括:獲取用戶的待檢測行為信息,并計算待檢測行為信息與歷史異常行為信息之間的匹配度;篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息;獲取篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取異常行為序列中篩選出的歷史異常行為信息及其對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系;根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息,將待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;計算待檢測行為序列與異常行為序列的相似度;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。上述的異常行為檢測方法和系統(tǒng)能夠準(zhǔn)確地進行用戶異常行為檢測。
      【專利說明】
      基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測方法和系統(tǒng)
      技術(shù)領(lǐng)域
      [0001]本發(fā)明涉及計算機技術(shù)領(lǐng)域,特別是涉及一種基于大數(shù)據(jù)關(guān)聯(lián)規(guī)則挖掘的異常行為檢測方法和系統(tǒng)。
      【背景技術(shù)】
      [0002]用戶異常行為常指違反社會文明準(zhǔn)則或成群體行為習(xí)慣和標(biāo)準(zhǔn)的“反?!毙袨椤L貏e是隨著人們對公共安全意識、網(wǎng)絡(luò)安全意識的提高,因此對人群場景、網(wǎng)絡(luò)等環(huán)境中的異常行為檢測的關(guān)注度越來越高。
      [0003]目前對用戶異常行為的檢測,通常依據(jù)個體異常行為的特征進行匹配檢測,或依據(jù)個體正常行為的特征進行對比檢測。但由于同一個行為可能在某些情況下是異常行為,而在其他情況下是正常行為。因此可能會將正常行為誤檢為異常行為,也有可能會將異常行為漏檢為正常行為,從而導(dǎo)致異常行為檢測的錯誤率高。

      【發(fā)明內(nèi)容】

      [0004]基于此,有必要針對上述技術(shù)問題,提供一種異常行為檢測方法和系統(tǒng),其能夠準(zhǔn)確地進行用戶異常行為檢測。
      [0005]—種異常行為檢測方法,包括以下步驟:
      [0006]獲取用戶的待檢測行為信息,并計算所述待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度;
      [0007]篩選出所述匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息;
      [0008]從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系;
      [0009]根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息,將所述待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;
      [0010]計算所述待檢測行為序列與所述異常行為序列的相似度;
      [0011]獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。
      [0012]在其中一個實施例中,所述計算所述待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度的步驟包括:
      [0013]從所述待檢測行為信息中抽取第一關(guān)鍵詞,并從所述歷史異常行為信息中抽取第一■關(guān)鍵詞;
      [0014]對所述第一關(guān)鍵詞和所述第二關(guān)鍵詞進行匹配;
      [0015]計算所述第一關(guān)鍵詞和所述第二關(guān)鍵詞的匹配度。
      [0016]在其中一個實施例中,所述計算所述待檢測行為序列與所述異常行為序列的相似度的步驟包括:
      [0017]計算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價,將所述轉(zhuǎn)換代價作為所述相似度,其中,轉(zhuǎn)換代價為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。
      [0018]在其中一個實施例中,在所述將獲取的待檢測行為信息判定為異常行為信息的步驟之后,還包括:將所述待檢測行為信息的判定結(jié)果保存至所述用戶行為數(shù)據(jù)庫。
      [0019]在其中一個實施例中,在所述獲取用戶的待檢測行為信息的步驟之前,還包括:建立所述用戶行為數(shù)據(jù)庫;
      [0020]所述建立所述用戶行為數(shù)據(jù)庫的步驟包括:
      [0021]獲取用戶的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息;
      [0022]獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列;
      [0023]根據(jù)獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列,獲取異常行為序列;
      [0024]將所述歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息,以及所述異常行為序列存儲至所述用戶行為數(shù)據(jù)庫,其中所述用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫。
      [0025]在其中一個實施例中,所述根據(jù)獲取的歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列,獲取異常行為序列的步驟包括:
      [0026]計算所述歷史異常行為信息所屬的第i類行為序列中的第j項行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度,其中,i,j,k均為正整數(shù);
      [0027]判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值;
      [0028]如果是,則將第j項行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;
      [0029]對所述歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟;
      [0030]對所述歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟;
      [0031 ]獲取最終的所述行為序列作為所述歷史異常行為信息對應(yīng)的所述異常行為序列。
      [0032]一種異常行為檢測系統(tǒng),包括:
      [0033]匹配度計算模塊,用于獲取用戶的待檢測行為信息,并計算所述待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度;
      [0034]歷史異常行為信息篩選模塊,用于篩選出所述匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息;
      [0035]關(guān)聯(lián)關(guān)系獲取模塊,用于從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系,其中,所述用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫;
      [0036]待檢測行為序列生成模塊,用于根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息,將所述待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列;
      [0037]相似度計算模塊,用于計算所述待檢測行為序列與所述異常行為序列的相似度;
      [0038]判定模塊,用于獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。
      [0039]在其中一個實施例中,所述匹配度計算模塊還用于從所述待檢測行為信息中抽取第一關(guān)鍵詞,并從所述歷史異常行為信息中抽取第二關(guān)鍵詞;對所述第一關(guān)鍵詞和所述第二關(guān)鍵詞進行匹配;計算所述第一關(guān)鍵詞和所述第二關(guān)鍵詞的匹配度。
      [0040]在其中一個實施例中,相似度計算模塊還用于計算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價,將所述轉(zhuǎn)換代價作為所述相似度,其中,所述轉(zhuǎn)換代價為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。
      [0041]在其中一個實施例中,還包括:用戶行為數(shù)據(jù)庫建立模塊;所述用戶行為數(shù)據(jù)庫建立模塊用于存儲所述歷史異常行為信息,所述歷史異常行為信息所對應(yīng)的關(guān)聯(lián)行為信息,以及所述歷史異常行為信息對應(yīng)的異常行為序列;
      [0042]在其中一個實施例中,所述用戶行為數(shù)據(jù)庫建立模塊還用于將存儲所述待檢測行為信息及其對應(yīng)的判定結(jié)果。
      [0043]在其中一個實施例中,所述用戶行為數(shù)據(jù)庫建立模塊還用于計算所述歷史異常行為信息所屬的第i類行為序列中的第j項行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度,其中,i,j,k均為正整數(shù);判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值;如果是,則將第j項行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;對所述歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟;對所述歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對應(yīng)的所述異常行為序列。
      [0044]上述的異常行為檢測方法和系統(tǒng),根據(jù)每個歷史異常行為信息的關(guān)聯(lián)關(guān)系,挖掘出待檢測行為信息對應(yīng)的待檢測行為序列;并計算待檢測行為序列與異常行為序列的相似度;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息;將獲取的待檢測行為信息判定為異常行為信息。同一個行為可能在某些情況下是異常行為,而在其他情況下是正常行為;通過異常行為序列對行為信息進行判定,不會將正常行為誤檢為異常行為,也不會將異常行為漏檢為正常行為,從而使得異常行為檢測的準(zhǔn)確率高。上述的異常行為檢測方法和系統(tǒng),提高了用戶異常行為檢測的準(zhǔn)確度。
      【附圖說明】
      [0045]圖1為一個實施例的異常行為檢測方法流程圖;
      [0046]圖2為一個實施例的建立用戶行為數(shù)據(jù)庫的流程圖;
      [0047]圖3為一個實施例的獲取異常行為序列的方法流程圖;
      [0048]圖4為一個實施例的采用文本匹配方式計算待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度的流程圖;
      [0049]圖5為一個實施例的異常行為檢測系統(tǒng)的結(jié)構(gòu)框圖;
      [0050]圖6為另一個實施例的異常行為檢測系統(tǒng)的結(jié)構(gòu)框圖。
      【具體實施方式】
      [0051]在一個實施例中,如圖1所示,提出了一種異常行為檢測方法,該方法包括以下步驟:
      [0052]步驟102,獲取用戶的待檢測行為信息,并計算待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度。
      [0053]在本實施例中,用戶為單個個體。待檢測行為信息為用戶的某一個具體的行為動作信息,例如用戶的待檢測行為信息可以為這一用戶從ATM機取款的行為序列“走進銀行_>插卡_>輸入密碼_>取款_>走出銀行”中的任意一個行為動作信息,例如取款。
      [0054]用戶的待檢測行為信息可以為用戶在購物網(wǎng)站上購物時進行的操作信息,該用戶的待檢測行為信息能夠通過購物網(wǎng)站的后臺記錄獲取;或者用戶在ATM機取款時進行的操作信息,該用戶的待檢測行為信息可以通過ATM機的后臺記錄及ATM機上安裝的攝像頭獲取;還可以為用戶在公共場所的活動信息,該用戶的待檢測行為信息可以通過公共場所安裝的攝像頭獲取。
      [0055]在一個實施例中,預(yù)先存儲的用戶行為數(shù)據(jù)庫中存儲有用戶的歷史行為信息。該歷史行為信息可以為歷史異常行為信息和歷史正常行為信息。歷史行為信息為某一具體的行為動作信息。通常匹配度是指相比較的兩個對象之間的相同或者相似程度。
      [0056]由于用戶行為數(shù)據(jù)庫中存儲的歷史行為信息可以為多種格式,例如,圖像、音頻、視頻和文本等。因此計算待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度可以通過圖像匹配方式、音頻匹配方式、視頻匹配方式或者文本匹配方式實現(xiàn)。
      [0057]步驟104,篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息。
      [0058]將上述步驟102計算得到的匹配度與第一預(yù)設(shè)閾值作比較,從用戶行為數(shù)據(jù)庫中篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息。所述歷史異常信息可能有一個或多個。一般第一預(yù)設(shè)閾值可以根據(jù)具體需要進行設(shè)定,在本實施例中設(shè)定為60%。
      [0059]步驟106,從用戶行為數(shù)據(jù)庫中獲取篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取異常行為序列中篩選出的歷史異常行為信息與篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系。
      [0060]在本實施例中,異常行為序列是由篩選出的歷史異常行為信息及其關(guān)聯(lián)行為信息按照預(yù)定關(guān)聯(lián)關(guān)系排列而成。
      [0061]在本實施例中,歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息可以有O個或I個或多個。當(dāng)只有O個關(guān)聯(lián)行為信息時,則異常行為序列為該歷史異常行為信息。當(dāng)有I個或多個關(guān)聯(lián)行為信息時,則異常行為序列中各個關(guān)聯(lián)行為信息與歷史異常行為信息之間的連接關(guān)系包括但不限于隊列關(guān)系、樹狀關(guān)系、網(wǎng)狀關(guān)系或者其它連接關(guān)系。
      [0062]關(guān)聯(lián)行為信息為與篩選出的歷史異常行為信息存在預(yù)定關(guān)聯(lián)關(guān)系的行為信息。在本實施例中,所述預(yù)定關(guān)聯(lián)關(guān)系包括時間關(guān)系(例如時間先后關(guān)系)、空間關(guān)系(例如空間相鄰關(guān)系)、因果關(guān)系和屬性關(guān)系(例如屬性相似關(guān)系)中的至少一種。
      [0063]例如,篩選出的歷史異常行為信息為“取款”,“取款”對應(yīng)的異常行為序列包括第一異常行為序列:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款,第二異常行為序列:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)。第一異常行為序列中與“取款”對應(yīng)的關(guān)聯(lián)行為信息為“走進銀行(該行為信息中有“東張西望”)”、“插卡(該行為信息中有“手發(fā)抖”),,,第二異常行為序列中與“取款”對應(yīng)的關(guān)聯(lián)行為信息為“走進銀行(該行為信息中有“東張西望”),,、“插卡(該行為信息中有“手發(fā)抖”),,、“走出銀行(該行為信息中有“東張西望”)”。
      [0064]通過獲取的關(guān)聯(lián)行為信息,挖掘篩選出的歷史異常行為信息及其關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系。
      [0065]步驟108,根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息,將待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列。
      [0066]根據(jù)上述步驟106獲取的關(guān)聯(lián)關(guān)系,獲取待檢測行為信息的關(guān)聯(lián)行為信息,然后將待檢測行為信息及其關(guān)聯(lián)行為信息按照前述的關(guān)聯(lián)關(guān)系組成待檢測行為序列。
      [0067]步驟110,計算待檢測行為序列與異常行為序列的相似度。
      [0068]在本實施例中,待檢測行為序列與異常行為序列的相似度為:將待檢測行為序列轉(zhuǎn)換成異常行為序列的代價。轉(zhuǎn)換代價越高則說明這兩個行為序列的相似度越低。轉(zhuǎn)換代價指是指:由待檢測行為序列轉(zhuǎn)換成異常行為序列所需的最少編輯操作次數(shù)。計入操作次數(shù)的編輯操作包括:將一個行為信息替換成另一個匹配度小于或等于第二預(yù)設(shè)閾值行為信息、插入一個行為信息、刪除一個行為信息。不計入操作次數(shù)的編輯操作包括將一個行為信息替換成另一個匹配度大于第二預(yù)設(shè)閾值的行為信息。
      [0069]步驟112,獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。
      [0070]比較上述實施例獲取的相似度與第二預(yù)設(shè)閾值的大小,由于異常行為序列可能有一個或者多個,所以異常行為序列與待檢測行為序列進行比對得到的相似度可能有一個或者多個,在本實施例中,只要存在一個大于第二預(yù)設(shè)閾值的相似度時,即可將待檢測行為信息標(biāo)記為異常行為信息。
      [0071]上述的異常行為檢測方法,根據(jù)歷史異常行為信息及其對應(yīng)的關(guān)聯(lián)行為信息的關(guān)聯(lián)關(guān)系,挖掘出待檢測行為信息對應(yīng)的待檢測行為序列;計算待檢測行為序列與異常行為序列的相似度,將相似度大于第二預(yù)設(shè)閾值的待檢測行為信息標(biāo)記為異常行為信息。上述的異常行為檢測方法,提高了用戶異常行為檢測的準(zhǔn)確度,減少了用戶異常行為檢測的錯誤率。
      [0072]在一個實施例中,在步驟102獲取用戶的待檢測行為信息的步驟之前,該方法還包括:建立用戶行為數(shù)據(jù)庫的步驟。
      [0073]如圖2所示,建立用戶行為數(shù)據(jù)庫的步驟具體包括:
      [0074]步驟202,獲取用戶的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息。
      [0075]用戶的歷史行為信息包括歷史異常行為信息和歷史非異常行為信息。例如,用戶在購物網(wǎng)站上購物時進行的操作信息,能夠通過購物網(wǎng)站的后臺記錄獲取。用戶在ATM機取款時進行的操作信息,可以通過ATM機的后臺記錄及ATM機上安裝的攝像頭獲取。公共場所用戶的活動信息,可以通過公共場所安裝的攝像頭獲取。需要說明的是,獲取到的用戶歷史行為信息已被標(biāo)注為異?;蛘叻钱惓!T诒緦嵤├?,非異常是指正?;蛘卟淮_定狀態(tài)。
      [0076]步驟204,獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列。
      [0077]在本實施例中,歷史異常行為信息所對應(yīng)的關(guān)聯(lián)行為信息是指與歷史異常行為信息存在預(yù)定關(guān)聯(lián)關(guān)系的關(guān)聯(lián)行為信息。預(yù)定關(guān)聯(lián)關(guān)系包括時間關(guān)系(例如時間先后關(guān)系)、空間關(guān)系(例如空間相鄰關(guān)系)、因果關(guān)系和屬性關(guān)系(例如屬性相似關(guān)系)中的至少一種。
      [0078]步驟206,根據(jù)獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列獲取異常行為序列。
      [0079]在本實施例中,如圖3所示,根據(jù)獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列獲取異常行為序列的具體過程包括:
      [0080]步驟226,計算歷史異常行為信息所屬的第i類異常行為序列中的第j項行為信息與歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度。
      [0081]步驟246,判斷該匹配度是否大于第一預(yù)設(shè)閾值,如果是,則執(zhí)行步驟266,反之,則執(zhí)行286。
      [0082]步驟266,當(dāng)匹配度大于第一預(yù)設(shè)值時,則將第j項行為信息從歷史異常行為信息所屬的第i類行為序列中刪除。
      [0083]步驟286,當(dāng)匹配度小于或者等于第一預(yù)設(shè)值時,則將第j項行為信息保留在歷史異常行為信息所屬的第i類行為序列中。
      [0084]對歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟;對歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟。
      [0085]即重復(fù)執(zhí)行步驟226至步驟286,直至得到最終的序列作為歷史異常行為信息對應(yīng)的異常行為序列。在本實施例中,i,j,k均為正整數(shù)。
      [0086]例如,通過ATM機的后臺記錄及ATM機上安裝的攝像頭獲取,用戶在ATM機取款時進行的操作信息,其中某80個取款行為被標(biāo)記成了異常行為信息(可能為盜用別人的銀行卡來取款的行為)。通過聚類算法對這80個行為序列進行歸類:
      [0087]第I類:走進銀行(該行為信息中有“東張西望”)->插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)。
      [0088]第2類:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)。
      [0089]第3類:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
      [0090]第4類:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
      [0091]另外獲取用戶在ATM機取款的6000個非異常行為序列,通過聚類算法對這6000個行為序列進行歸類:
      [0092]第I類:走進銀行(該行為信息中沒有“東張西望”)->插卡(該行為信息中沒有“手發(fā)抖”)_>輸入密碼(該行為信息中有“多次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)。
      [0093]第2類:走進銀行(該行為信息中沒有“東張西望”)_>插卡(該行為信息中沒有“手發(fā)抖”)_>輸入密碼(該行為信息中有“I次輸入密碼”)_>取款_>走出銀行(該行為信息中沒有“東張西望”)。
      [0094]如果異常取款行為所屬的第i類行為序列中的第j項行為信息與非異常取款行為所屬的某一類行為序列中的第j項行為信息匹配度大于第一預(yù)設(shè)值,則將第j項行為信息從異常取款行為所屬的第i類行為序列中刪除,最終得到的序列作為異常取款行為對應(yīng)的異常行為序列;如果得到了多個異常行為序列,刪除重復(fù)的異常行為序列,得到多類異常行為序列。需要說明的是,異常行為“取款行為”本身無需比較和刪除。
      [0095]根據(jù)上述的方式:
      [0096]異常取款行為所屬的第I類行為序列中的輸入密碼(該行為信息中有“多次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有,刪除;異常取款行為所屬的第I類行為序列中的走出銀行(該行為信息中沒有“東張西望”)在非異常取款行為所屬的某一類行為序列中有,刪除;得到的異常行為序列為:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖” )_>取款。
      [0097]異常取款行為所屬的第2類行為序列中的輸入密碼(該行為信息中有“I次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有,刪除;異常取款行為所屬的第I類行為序列中的走出銀行(該行為信息中沒有“東張西望”)在非異常取款行為所屬的某一類行為序列中有,刪除;得到的異常行為序列為:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖” )_>取款。
      [0098]異常取款行為所屬的第3類行為序列中的輸入密碼(該行為信息中有“多次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有,刪除;得到的異常行為序列為:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
      [0099]異常取款行為所屬的第4類行為序列中的輸入密碼(該行為信息中有“I次輸入密碼”)在非異常取款行為所屬的某一類行為序列中有,刪除;得到的異常行為序列為:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
      [0100]對得到的異常行為序列進行歸類,得到2類異常取款行為對應(yīng)的異常行為序列,因此與異常取款行為所關(guān)聯(lián)的異常行為序列為:
      [0101]第I類:走進銀行(該行為信息中有“東張西望”)->插卡(該行為信息中有“手發(fā)抖”)-> 取款
      [0102]第2類:走進銀行(該行為信息中有“東張西望”)_>插卡(該行為信息中有“手發(fā)抖”)_>取款_>走出銀行(該行為信息中有“東張西望”)。
      [0103]步驟208,將關(guān)聯(lián)行為信息,以及異常行為序列存儲至用戶行為數(shù)據(jù)庫。
      [0104]進一步地,將上述步驟中獲取的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息,及其歷史異常行為信息對應(yīng)的異常行為序列建立關(guān)聯(lián)后保存至用戶行為數(shù)據(jù)庫。例如,以記錄的形式存儲。
      [0105]上述步驟建立的用戶行為數(shù)據(jù)庫,用戶的歷史行為信息、關(guān)聯(lián)行為信息以及異常行為序列之間存在著對應(yīng)關(guān)系。用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫。通過上述的方式建立的用戶行為數(shù)據(jù)庫便于后續(xù)的待檢測行為信息的檢測,提高了檢測效率。
      [0106]在一個實施例中,采用文本匹配方式計算待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度。如圖4所示,具體的實施步驟為:
      [0107]步驟402,從待檢測行為信息中抽取第一關(guān)鍵詞,并從歷史異常行為信息中抽取第一■關(guān)鍵詞。
      [0108]從待檢測行為信息和歷史異常行為信息的兩個文本中分別抽取第一關(guān)鍵詞和第二關(guān)鍵詞。在本實施例中,第一關(guān)鍵詞和第二關(guān)鍵詞的數(shù)目可以為一個或者多個,且第一關(guān)鍵詞和第二關(guān)鍵詞的數(shù)目相等。
      [0109]步驟404,對第一關(guān)鍵詞和第二關(guān)鍵詞進行匹配。
      [0110]對從兩個文本中抽取出的關(guān)鍵詞進行匹配。其中,在進行關(guān)鍵詞匹配時,將關(guān)鍵詞作為字符串,既可以采用字符串的精確匹配,也可以采用字符串的模糊匹配。
      [0111]步驟406,計算第一關(guān)鍵詞和第二關(guān)鍵詞的匹配度。
      [0112]在本實施例中,將匹配成功的關(guān)鍵詞數(shù)目與總的關(guān)鍵詞數(shù)目的比值作為匹配度。
      [0113]通過上述方式將計算得到的匹配度與第一預(yù)設(shè)閾值作比較,獲取一個或多個大于第一預(yù)設(shè)閾值的匹配度對應(yīng)的歷史異常行為信息。
      [0114]通過上述的文本匹配方式,從用戶行為數(shù)據(jù)庫中篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息,提高了用戶異常行為檢測的準(zhǔn)確率。
      [0115]在一個實施例中,計算待檢測行為序列與異常行為序列的相似度的步驟包括:計算待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價,將轉(zhuǎn)換代價作為相似度。
      [0116]在一個實施例中,轉(zhuǎn)換代價是指兩個行為序列之間,由一個轉(zhuǎn)換成另一個所需的最少編輯操作的次數(shù)。計入操作次數(shù)的編輯操作包括:將一個行為信息替換成另一個行為信息,插入一個行為信息,或者刪除一個行為信息。不計入操作次數(shù)的編輯操作包括將一個行為信息替換成另一個匹配度大于預(yù)設(shè)值的行為信息。在一個實施例中,待檢測行為序列與異常行為序列的相似度為:將待檢測行為序列異常行為序列的代價。轉(zhuǎn)換代價越高則表明待檢測行為序列與異常行為序列的相似度越低。
      [0117]轉(zhuǎn)換代價的具體計算過程為:
      [0118]假設(shè)待檢測行為序列A包含m個行為信息A1,記為=A=M1,A2,...,Am},其中,m2 1,i e [ I,m]。異常行為序列B包含η個行為彳目息Bj,記為:B = {Bi,Β2,...,Βη},其中,η 2 I,j e[l,n]0
      [0119]假設(shè)F(i,j)為將待檢測行為序列A=M^A2,...,仏}轉(zhuǎn)換成異常行為序列B=IB1,B2,...,Bj}的代價,其中,F(xiàn)(0,0) = 0,F(xiàn)(0,j) = j 表示將空字符串轉(zhuǎn)換為 B={Bi,B2,...,Bj},那么需要進行的操作次數(shù)為B= (B1,B2,...,Bj的長度j,所進行的操作即為將B= {Bi,B2,...%}所有的行為信息1插入<^(1,0) = 1表示解釋將八=01,如,...,Ai}轉(zhuǎn)換為空字符串,那么需要進行的操作次數(shù)為A=...,A1)的長度i,所進行的操作即為將A= (A1,A2,...,&}所有的行為信息丟棄。
      [0120]在一個實施例中,計算F(i,j)的過程為:
      [0121]假設(shè)?(卜1,」-1)、?(卜1,」)、?(1,」-1)的值已經(jīng)通過同樣的過程求出。
      [0122](I)若六1與&的匹配度gUnBj大于或等于第二預(yù)設(shè)值,待檢測行為序列A= M1,A2,...,仏}與異常行為序列B=IB1, B2,...,Bj}之間的刪除、替換或者插入均不會對轉(zhuǎn)換代價有較大影響,因此此時轉(zhuǎn)換代價F( i,j) =F( 1-1,j-1)。
      [0123](2)若仏與氏的匹配度gWA)小于第二預(yù)設(shè)值,
      [0124]當(dāng)1^11作(1-1,」-1),?(1-1,」),?(1,」-1)}=?(1-1,」-1)時,這時將待檢測行為序列A= (A1J2,...,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...,Bj}需要把Ai替換為Bj,此時轉(zhuǎn)換R#F(i,j)=F(1-l,j-l)+l;
      [0125]當(dāng)min{F(1-l,j-l),F(xiàn)(1-l,j),F(xiàn)(i,j-l)}=F(1-l,j)時,這時將待檢測行為序列 A= {Ai,A2)...,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...,Bj}需要將Ai刪除,此時轉(zhuǎn)換代價F(i,j)=F(1-l,j-l)+l;
      [0126]當(dāng)min{F(1-l,j-1),F(xiàn)(1-l,j),F(xiàn)(i,j_l)}=F(i,j_l)時,這將待檢測行為序列A ={Al,A2,...▲}轉(zhuǎn)換成異常行為序列8=他,82,...,Bj}需要在Ai后插入字符Bj,此時轉(zhuǎn)換代^F(i,j)=F(1-l,j-l)+l0
      [ΟΙ27]在另一個實施例中,計算F(i, j)的過程為:
      [0128]假設(shè)?(卜1,」-1)、?(卜1,」)、?(1,」-1)的值已經(jīng)通過同樣的過程求出。
      [0129](I)若六1與&的匹配度gUnBj大于或等于第二預(yù)設(shè)值,待檢測行為序列A= M1,A2,...,仏}與異常行為序列B=IB1, B2,...,Bj}之間的刪除、替換或者插入均不會對轉(zhuǎn)換代價有較大影響,因此此時轉(zhuǎn)換代價F( i,j) =F( 1-1,j-1) + (l-g(Ai,Bj)) o
      [0130](2)若仏與氏的匹配度gWA)小于第二預(yù)設(shè)值,
      [0131]當(dāng)1^11作(1-1,」-1),?(1-1,」),?(1,」-1)}=?(1-1,」-1)時,這時將待檢測行為序列A= (A1J2,...,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...,Bj}需要把Ai替換為Bj,此時轉(zhuǎn)換代價F(i, j)=F(1-l,j-l) + (l-g(Ai,Bj));
      [0132]當(dāng)min{F(1-l,j-l),F(xiàn)(1-l,j),F(xiàn)(i,j-l)}=F(1-l,j)時,這時將待檢測行為序列 A= {Ai,A2)...,Ai}轉(zhuǎn)換成異常行為序列B= (B1J2,...,Bj}需要將Ai刪除,此時轉(zhuǎn)換代價F(i,j)=F(1-l,j-l) + l ;當(dāng)min{F(1-l,j-1),F(xiàn)(1-l,j),F(xiàn)(i,j-1)} =F(i,j-1)時,這將待檢測行為序列A= MiA2,...,Ai}轉(zhuǎn)換成異常行為序列B=IB1,B2,...,Bj}需要在Ai后插入字符Bj,此時轉(zhuǎn)換代價F( i,j) =F( 1-1,j-1) +1。
      [0133]在一個實施例中,在將獲取的待檢測行為信息判定為異常行為信息的步驟之后,該方法還包括:將待檢測行為信息及其對應(yīng)的判定結(jié)果保存至用戶行為數(shù)據(jù)庫。
      [0134]在本實施例中,將待檢測行為信息的判定結(jié)果,即異常行為或正常行為,標(biāo)注在待檢測行為信息中,然后將待檢測行為信息、待檢測行為信息對應(yīng)的關(guān)聯(lián)行為信息、待檢測行為序列以及判定結(jié)果保存至用戶行為數(shù)據(jù)庫。
      [0135]需要補充的是,如果用戶現(xiàn)實檢驗發(fā)現(xiàn)將該待檢測行為信息的判定結(jié)果標(biāo)注有誤,則可對所述用戶行為數(shù)據(jù)庫中該待檢測行為信息的標(biāo)注進行修改。
      [0136]通過上述步驟,將待檢測行為信息相關(guān)的數(shù)據(jù)存儲至用戶行為數(shù)據(jù)庫,豐富了用戶行為數(shù)據(jù),進一步提高了異常行為檢測的準(zhǔn)確度。
      [0137]在一個實施例中,如圖5所示,提出了一種異常行為檢測系統(tǒng)500,該系統(tǒng)500包括:匹配度計算模塊502、歷史異常行為信息篩選模塊504、關(guān)聯(lián)關(guān)系獲取模塊506、待檢測行為序列生成模塊508、相似度計算模塊510和判定模塊512。
      [0138]匹配度計算模塊502,用于獲取用戶的待檢測行為信息,并計算待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度。歷史異常行為信息篩選模塊504用于篩選出匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息。關(guān)聯(lián)關(guān)系獲取模塊506用于從用戶行為數(shù)據(jù)庫中獲取篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取異常行為序列中篩選出的歷史異常行為信息與篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系,其中,所述用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫。待檢測行為序列生成模塊508用于根據(jù)關(guān)聯(lián)關(guān)系獲取待檢測行為信息的關(guān)聯(lián)行為信息,將待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列。相似度計算模塊510用于計算待檢測行為序列與異常行為序列的相似度。判定模塊512用于獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。
      [0139]在一個實施例中,匹配度計算模塊502還用于從待檢測行為信息中抽取第一關(guān)鍵詞,并從歷史異常行為信息中抽取第二關(guān)鍵詞;對第一關(guān)鍵詞和第二關(guān)鍵詞進行匹配;計算第一關(guān)鍵詞和第二關(guān)鍵詞的匹配度。
      [0140]在一個實施例中,相似度計算模塊510還用于計算待檢測行為序列與異常行為序列之間的轉(zhuǎn)換代價,將轉(zhuǎn)換代價作為相似度,其中,轉(zhuǎn)換代價為由待檢測行為序列轉(zhuǎn)換到異常行為序列所需的最少編輯操作的次數(shù)。
      [0141]在一個實施例中,如圖6所示,該系統(tǒng)500還包括用戶行為數(shù)據(jù)庫建立模塊514。用戶行為數(shù)據(jù)庫建立模塊514用于存儲歷史異常行為信息,歷史異常行為信息所對應(yīng)的關(guān)聯(lián)行為信息,以及歷史異常行為信息對應(yīng)的異常行為序列。
      [0142]在一個實施例中,用戶行為數(shù)據(jù)庫建立模塊514還用于將存儲待檢測行為信息、待檢測行為序列、以及待檢測行為信息對應(yīng)的判定結(jié)果。
      [0143]在一個實施例中,用戶行為數(shù)據(jù)庫建立模塊514還用于計算歷史異常行為信息所屬的第i類異常行為序列中的第j項行為信息與歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度,其中,i,j,k均為正整數(shù);當(dāng)匹配度大于第一預(yù)設(shè)閾值時,將第j項行為信息從歷史異常行為信息所屬的第i類行為序列中刪除;當(dāng)所述匹配度小于或者等于第一預(yù)設(shè)閾值時,則將第j項行為信息保留在歷史異常行為信息所屬的第i類行為序列中;對所述歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟;對所述歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對應(yīng)的所述異常行為序列。
      [0144]本實施例的異常行為檢測系統(tǒng)500用于實現(xiàn)前述的異常行為檢測方法,因此異常行為檢測系統(tǒng)500中的具體實施可參見前文中異常行為檢測方法的實施例部分,例如,匹配度計算模塊502、歷史異常行為信息篩選模塊504、關(guān)聯(lián)關(guān)系獲取模塊506、待檢測行為序列生成模塊508、相似度計算模塊510和判定模塊512分別用于實現(xiàn)上述異常行為檢測方法中步驟102、104、106、108、110和112,所以,其具體實現(xiàn)方式可參照前文中有關(guān)步驟102、104、106、108、110和112的各個實施例的描述,在此不再累述。
      [0145]上述的異常行為檢測系統(tǒng),根據(jù)每個歷史異常行為信息的關(guān)聯(lián)關(guān)系,挖掘出待檢測行為信息對應(yīng)的待檢測行為序列;并計算待檢測行為序列與異常行為序列的相似度;獲取相似度大于第二預(yù)設(shè)閾值的待檢測行為信息;將獲取的待檢測行為信息判定為異常行為信息。同一個行為可能在某些情況下是異常行為,而在其他情況下是正常行為;通過異常行為序列對行為信息進行判定,不會將正常行為誤檢為異常行為,也不會將異常行為漏檢為正常行為,從而使得異常行為檢測的準(zhǔn)確率高。上述的異常行為檢測系統(tǒng),提高了用戶異常行為檢測的準(zhǔn)確度。
      [0146]以上所述實施例的各技術(shù)特征可以進行任意的組合,為使描述簡潔,未對上述實施例中的各個技術(shù)特征所有可能的組合都進行描述,然而,只要這些技術(shù)特征的組合不存在矛盾,都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍。
      [0147]以上所述實施例僅表達了本發(fā)明的幾種實施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進,這些都屬于本發(fā)明的保護范圍。因此,本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
      【主權(quán)項】
      1.一種異常行為檢測方法,其特征在于,包括以下步驟: 獲取用戶的待檢測行為信息,并計算所述待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度; 篩選出所述匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息; 從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系; 根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息,將所述待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列; 計算所述待檢測行為序列與所述異常行為序列的相似度; 獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列中的待檢測行為信息,將獲取的所述待檢測行為信息判定為異常行為信息。2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述計算所述待檢測行為序列與所述異常行為序列的相似度的步驟包括: 計算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價,將所述轉(zhuǎn)換代價作為所述相似度,其中,轉(zhuǎn)換代價為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述將獲取的待檢測行為信息判定為異常行為信息的步驟之后,還包括:將所述待檢測行為信息的判定結(jié)果保存至所述用戶行為數(shù)據(jù)庫。4.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述獲取用戶的待檢測行為信息的步驟之前,還包括:建立所述用戶行為數(shù)據(jù)庫; 所述建立所述用戶行為數(shù)據(jù)庫的步驟包括: 獲取用戶的歷史行為信息中的歷史異常行為信息和歷史非異常行為信息; 獲取歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列;根據(jù)獲取的歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列,獲取異常行為序列; 將所述歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息,以及所述異常行為序列存儲至所述用戶行為數(shù)據(jù)庫,其中所述用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫。5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述根據(jù)獲取的歷史異常行為信息對應(yīng)的行為序列和歷史非異常行為信息對應(yīng)的行為序列,獲取異常行為序列的步驟包括: 計算所述歷史異常行為信息所屬的第i類行為序列中的第j項行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度,其中,i,j,k均為正整數(shù); 判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值; 如果是,則將第j項行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除; 對所述歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟; 對所述歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟; 獲取最終的所述行為序列作為所述歷史異常行為信息對應(yīng)的所述異常行為序列。6.一種異常行為檢測系統(tǒng),其特征在于,包括: 匹配度計算模塊,用于獲取用戶的待檢測行為信息,并計算所述待檢測行為信息與預(yù)先存儲的用戶行為數(shù)據(jù)庫中的歷史異常行為信息之間的匹配度; 歷史異常行為信息篩選模塊,用于篩選出所述匹配度大于第一預(yù)設(shè)閾值的歷史異常行為信息; 關(guān)聯(lián)關(guān)系獲取模塊,用于從所述用戶行為數(shù)據(jù)庫中獲取所述篩選出的歷史異常行為信息對應(yīng)的異常行為序列,并獲取所述異常行為序列中所述篩選出的歷史異常行為信息與所述篩選出的歷史異常行為信息對應(yīng)的關(guān)聯(lián)行為信息之間的關(guān)聯(lián)關(guān)系,其中,所述用戶行為數(shù)據(jù)庫的存儲方式包括數(shù)據(jù)庫或大數(shù)據(jù)存儲庫; 待檢測行為序列生成模塊,用于根據(jù)所述關(guān)聯(lián)關(guān)系獲取所述待檢測行為信息的關(guān)聯(lián)行為信息,將所述待檢測行為信息及其對應(yīng)的關(guān)聯(lián)行為信息組成待檢測行為序列; 相似度計算模塊,用于計算所述待檢測行為序列與所述異常行為序列的相似度; 判定模塊,用于獲取所述相似度大于第二預(yù)設(shè)閾值的待檢測行為序列對應(yīng)的待檢測行為信息,將獲取的待檢測行為信息判定為異常行為信息。7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,相似度計算模塊還用于計算所述待檢測行為序列與所述異常行為序列之間的轉(zhuǎn)換代價,將所述轉(zhuǎn)換代價作為所述相似度,其中,轉(zhuǎn)換代價為由所述待檢測行為序列轉(zhuǎn)換到所述異常行為序列所需的最少編輯操作的次數(shù)。8.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,還包括:用戶行為數(shù)據(jù)庫建立模塊;所述用戶行為數(shù)據(jù)庫建立模塊還用于存儲所述歷史異常行為信息,所述歷史異常行為信息所對應(yīng)的關(guān)聯(lián)行為信息,以及所述歷史異常行為信息對應(yīng)的異常行為序列。9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述用戶行為數(shù)據(jù)庫建立模塊還用于將存儲所述待檢測行為信息及其對應(yīng)的判定結(jié)果。10.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述用戶行為數(shù)據(jù)庫建立模塊還用于計算所述歷史異常行為信息所屬的第i類行為序列中的第j項行為信息與所述歷史非異常行為信息所屬的第k類行為序列中的第j項行為信息的匹配度,其中,i,j,k均為正整數(shù);判斷所述匹配度是否大于所述第一預(yù)設(shè)閾值;如果是,則將第j項行為信息從所述歷史異常行為信息所屬的第i類行為序列中刪除;對所述歷史非異常行為信息所屬的所有行為序列中的第j項行為信息重復(fù)執(zhí)行上述步驟;對所述歷史異常行為信息所屬的第i類行為序列中的所有項行為信息重復(fù)執(zhí)行上述步驟;獲取最終的所述行為序列作為所述歷史異常行為信息對應(yīng)的所述異常行為序列。
      【文檔編號】G06F17/30GK105843947SQ201610219107
      【公開日】2016年8月10日
      【申請日】2016年4月8日
      【發(fā)明人】朱定局
      【申請人】華南師范大學(xué)
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1