一种移动用户异常行为检测方法技术

为了克服现有技术中来选择聚类成员容易造成检测结果误报率高的问题，本发明专利技术提供了一种移动用户异常行为检测方法，其采用滑动窗口动态的获取数据，以提高用户行为获取的准确性，在传统FC算法的初始聚类和增量阶段之后引入Duun_index概念，对增量后产生的聚类成员进行选择，再将选择后的优质成员用投票算法进行融合得到最终结果，再与用户的正常行为进行相似度对比时引入关联矩阵，利用平均差异度的变化来判断用户行为是否正常，从而达到异常检测高效、准确的目的。

A method for detecting abnormal behavior of mobile users

In order to overcome the existing technology to select the cluster members easily lead to the problem of high false alarm rate of the detection results, the present invention provides a mobile user behavior anomaly detection method, the sliding window is adopted to obtain the dynamic data acquisition, in order to improve the accuracy of user behavior, the concept of Duun_index is introduced after the traditional FC algorithm and incremental initial clustering stage. The selection of cluster members increment generated after the then high quality member selection after the voting fusion algorithm to get the final result, the correlation matrix similarity comparison and users of normal behavior, the average difference of the changes to determine whether the normal user behavior, so as to achieve the purpose of efficient and accurate anomaly detection.

【技术实现步骤摘要】
一种移动用户异常行为检测方法
本专利技术涉及信息安全可信
，具体涉及一种基于选择性聚类融合的移动用户异常行为检测方法。
技术介绍
随着Internet的广泛应用，整个人类社会的生活与工作正在逐渐被计算机技术、网络技术及通信技术所影响和改变着。随着智能终端的快速普及和移动互联网的迅猛发展，许多用户将互联网入口从PC端转移到了智能手机等移动智能终端，云计算技术在移动通信行业的应用必然会开创移动互联网的新时代。目前移动云服务所涉及的安全性等可信要求大多相对较低，移动云服务所涉及的各个要素和环节的可信性已成为阻碍移动云服务发展和广泛应用的重要障碍。本文旨在从用户可信方面研究用户协作层的异常行为分析技术，立足移动终端的固有缺陷，向用户提供低耗、高效、可靠的满意服务。只有当用户行为是正常合法的，用户的请求才会被智慧映射层接收，进行进一步的处理。聚类融合技术是将多个对一组对象进行聚类划分的不同结果进行合并的技术，合并后的结果比原先单一聚类的结果更加优越，稳定性和精确性都得到了明显提升。选择性聚类融合是利用设计的选择策略对聚类成员进行筛选，选出优质的聚类成员再进行融合，提高了聚类结果的质量。现有的选择性聚类融合算法一般采用差异度计算公式来对聚类成员的差异度进行衡量，从而选择优质的成员。而仅仅依据差异度来选择聚类成员容易造成检测结果误报率高，所以必须联合多方面因素考量，才能取得较好的结果。
技术实现思路
为了克服现有技术中来选择聚类成员容易造成检测结果误报率高的问题，本专利技术提供了一种移动用户异常行为检测方法，其采用滑动窗口动态的获取数据，以提高用户行为获取的准确性，在传统FC算法的初始聚类和增量阶段之后引入Duun_index概念，对增量后产生的聚类成员进行选择，再将选择后的优质成员用投票算法进行融合得到最终结果，再与用户的正常行为进行相似度对比时引入关联矩阵，利用平均差异度的变化来判断用户行为是否正常，从而达到异常检测高效、准确的目的。本专利技术为解决上述问题所采用的技术方案是：一种移动用户异常行为检测方法，其技术方案是：包含以下步骤：S1.对数据集进行训练，建立正常行为数据库；S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X，采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ；S3.异常检测过程：S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行关联矩阵转换，得到相应的关联矩阵M＝{M1,M2,...,MN}；S302.对S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行平均差异度计算；S303.把S2步骤得到的聚类融合结果Γ加入到正常行为数据集P中，再次进行平均差异度计算；S304.对S302步骤和S303步骤得到的差异度进行比较，如果S303步骤得到的差异度小于S302步骤得到的差异度，则S2步骤中的数据集X为正常行为，将S1步骤中的正常行为数据库更新为N+1个聚类结果的聚类成员集合；如果S303步骤得到的差异度大于S302步骤得到的差异度，则S2步骤中的数据集X确定为异常行为。进一步的，所述的S2步骤中的基于分形的聚类融合算法的过程是：S201.初始聚类过程：S2011.利用滑动窗口模型获取移动用户窗口范围内的数据集X；S2012.将S2011步骤获得的数据集X随机划分为H组数据子集{Xi}(i＝1,2,...,H)，并对Xi进行k-means聚类，每组数据子集产生K个簇并记录每一个簇的聚类中心，共得到H组聚类中心；S2013.利用S2012步骤得到的H组聚类中心对数据集X重新k-means聚类，得到数据集X的初始聚类集合λ＝{λ1,λ2,...,λH}，其中λH表示数据集X的初始聚类集合中的某一个初始聚类；λi表示H组数据子集中的第i个聚类，表示λi中的第k个簇；S202.增量过程：S2021.对在S2011步骤中尚未分配的点b，与S2013步骤中得到的聚类集合Ci求并集得到用户全部数据Ci′＝Ci∪b(i＝1，2，...，H)；分别计算Ci与Ci'的分形维数Fi、Fi'及其分形影响度FIDi＝|Fi-Fi'|，相互比较后得到FIDi的值最小的一个其中，S2022.遴选S2013步骤中的数据集X的初始聚类集合，保存满足公式min|Fi-Fi'|＜FIDε的聚类类别；S203：筛选融合过程：S2031.设定阈值DIε，利用Duun_index算法对满足S2022步骤的聚类成员进行处理，得到类间离间距离高于设定阈值DIε的聚类成员λ′＝{λ′1，λ′2，...，λ′h}，其中，h≤H，低于设定阈值的不再考虑；S2032.利用投票法对S2031步骤得到的高于设定阈值DIε的聚类成员进行融合得到最终的聚类结果Γ。进一步的，所述的步骤S2031中类间离间距离的得到过程如下：其中，其中dist(Ci,Cj)函数表示聚类的类间离间距离diam(Ci)函数用来测量一个类的点的直径其中，m＝1……k；k代表聚类中心个数。优选的，所述的S2031步骤中的阈值DIε＝3.5。进一步的，所述的S2032步骤中的投票法是指：设定一个矩阵Matrix[N][Z]，N为数据集中S2步骤中的数据X中的数据个数，Z为类的个数，用来存放每个数据Xi针对某个类Zi的出现的次数；最后扫描矩阵Matrix[N][Z]，记录每个数据Xi属于某个类Zi的最大次数；把该数据Xi归入次数最大的列所标识的类，得到最终的聚类结果Γ。进一步的，所述的S301步骤中的关联矩阵转换过程是：将S1骤中的N个正常行为的聚类成员集合P＝{P1,P2,...,PN}，与意正常行为聚类成员Pi，其关联矩阵为：得到关联矩阵M＝{M1,M2,...,MN}；其中，k代表聚类中心个数。进一步的，所述的S303步骤中的平均差异度定义过程如下：其中Mi和Mj是正常行为数据集P＝{P1,P2,...,PN}相应的关联矩阵M＝{M1,M2,...,MN}中的任意两个成员，||Mi,Mj||是指两个矩阵的相似性计算；1≤i≤N，1≤j≤N。本专利技术的有益效果是：本专利技术采用滑动窗口动态的获取数据，以提高用户行为获取的准确性，在传统FC算法的初始聚类和增量阶段之后引入Duun_index概念，对增量后产生的聚类成员进行选择，再将选择后的优质成员用投票算法进行融合得到最终结果，再与用户的正常行为进行相似度对比时引入关联矩阵，利用平均差异度的变化来判断用户行为是否正常，从而达到异常检测高效、准确的目的。附图说明图1为本专利技术流程图。图2为本专利技术、FC算法和K-means聚类算法检测率对比图。图3为本专利技术、FC算法和K-means聚类算法准确率对比图。图4为本专利技术、FC算法和K-means聚类算法误报率对比图。具体实施方式下面结合附图对本专利技术进行进一步的说明。如图1，一种移动用户异常行为检测方法，其技术方案是：包含以下步骤：S1.对数据集进行训练，建立正常行为数据库；S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X，采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ；S3.异常检测过程：S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据本文档来自技高网...

【技术保护点】
一种移动用户异常行为检测方法，其特征是：包含以下步骤：S1.对数据集进行训练，建立正常行为数据库；S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X，采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ；S3.异常检测过程：S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行关联矩阵转换，得到相应的关联矩阵M＝{M1,M2,...,MN}；S302.对S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行平均差异度计算；S303.把S2步骤得到的聚类融合结果Γ加入到正常行为数据集P中，再次进行平均差异度计算；S304.对S302步骤和S303步骤得到的差异度进行比较，如果S303步骤得到的差异度小于S302步骤得到的差异度，则S2步骤中的数据集X为正常行为，将S1步骤中的正常行为数据库更新为N+1个聚类结果的聚类成员集合；如果S303步骤得到的差异度大于S302步骤得到的差异度，则S2步骤中的数据集X确定为异常行为。

【技术特征摘要】
1.一种移动用户异常行为检测方法，其特征是：包含以下步骤：S1.对数据集进行训练，建立正常行为数据库；S2.利用滑动窗口模型获取移动用户窗口范围内的数据集X，采用基于分形的聚类融合算法得到数据集X的聚类融合结果Γ；S3.异常检测过程：S301.对S2步骤得到的聚类融合结果Γ与S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行关联矩阵转换，得到相应的关联矩阵M＝{M1,M2,...,MN}；S302.对S1步骤中的正常行为数据库中的N个正常行为数据P＝{P1,P2,...,PN}进行平均差异度计算；S303.把S2步骤得到的聚类融合结果Γ加入到正常行为数据集P中，再次进行平均差异度计算；S304.对S302步骤和S303步骤得到的差异度进行比较，如果S303步骤得到的差异度小于S302步骤得到的差异度，则S2步骤中的数据集X为正常行为，将S1步骤中的正常行为数据库更新为N+1个聚类结果的聚类成员集合；如果S303步骤得到的差异度大于S302步骤得到的差异度，则S2步骤中的数据集X确定为异常行为。2.根据权利要求1所述的一种移动用户异常行为检测方法，其特征是：所述的S2步骤中的基于分形的聚类融合算法的过程是：S201.初始聚类过程：S2011.利用滑动窗口模型获取移动用户窗口范围内的数据集X；S2012.将S2011步骤获得的数据集X随机划分为H组数据子集{Xi}(i＝1,2,...,H)，并对Xi进行k-means聚类，每组数据子集产生K个簇并记录每一个簇的聚类中心，共得到H组聚类中心；S2013.利用S2012步骤得到的H组聚类中心对数据集X重新k-means聚类，得到数据集X的初始聚类集合λ＝{λ1,λ2,...,λH}，其中λH表示数据集X的初始聚类集合中的某一个初始聚类；λi表示H组数据子集中的第i个聚类，表示λi中的第k个簇；S202.增量过程：S2021.对在S201步骤中尚未分配的点b，与S2013步骤中得到的聚类集合Ci求并集得到用户全部数据Ci′＝Ci∪b(i＝1，2，...，H)；分别计算Ci与Ci'的分形维数Fi、Fi'及其分形影响度FIDi＝|Fi-Fi'|，相互比较后得到FIDi的值最小的一个其中，S2022.遴选S2013步...

【专利技术属性】
技术研发人员：朱军龙，吴庆涛，郑瑞娟，张明川，谢萍，魏汪洋，张茉莉，杜鹃，
申请(专利权)人：河南科技大学，
类型：发明
国别省市：河南,41