一种异常检测方法、装置、可读存储介质及电子设备制造方法及图纸

本说明书公开了一种异常检测方法、装置、可读存储介质及电子设备，通过针对每个大类，将该大类对应的历史行为数据输入异常检测模型中，得到该异常检测模型输出的该异常大类的每个异常子类的表征特征。在获取到待检测的用户行为数据后，将用户行为数据输入该异常检测模型中，根据用户行为数据对应的用户特征和预存的各异常大类包含的各异常子类的表征特征之间的相似度，确定该用户特征所对应的异常大类，并将该异常大类作为用户行为数据的异常检测结果。本方法可仅基于各异常大类分别对应的各异常子类和用户特征之间的相似度来确定异常检测结果，避免了对计算资源过大要求的同时，还能保证异常检测的准确性。还能保证异常检测的准确性。还能保证异常检测的准确性。

【技术实现步骤摘要】
一种异常检测方法、装置、可读存储介质及电子设备


[0001]本说明书涉及计算机
，尤其涉及一种异常检测方法、装置、可读存储介质及电子设备。

技术介绍

[0002]目前，用户对于自身隐私愈发关注，而随着互联网技术的发展，利用互联网技术进行网络攻击的手段也层出不穷，网页篡改、网络欺诈等安全事件也频繁发生，给用户的隐私安全提供了较大挑战。但通常情况下，在利用互联网技术进行网络攻击时，攻击者所对应的用户行为数据往往存在异常。
[0003]基于此，本说明书提供一种基于用户行为数据进行异常检测的方法。

技术实现思路

[0004]本说明书提供一种异常检测方法、装置、可读存储介质及电子设备，以部分的解决现有技术存在的上述问题。
[0005]本说明书采用下述技术方案：
[0006]本说明书提供一种异常检测方法，包括：
[0007]获取待检测的用户行为数据；
[0008]将所述用户行为数据输入预先训练的异常检测模型的第一特征提取层，得到所述第一特征提取层提取的用户特征；
[0009]根据所述用户特征和预存的各异常大类包含的各异常子类的表征特征，确定所述用户特征与各表征特征的相似度，并根据相似度最高的表征特征所对应的异常子类，确定所述用户特征所属的异常大类，将确定出的异常大类作为所述用户行为数据的异常检测结果；
[0010]其中，所述异常子类的表征特征采用下述方法确定：
[0011]针对每个异常大类，将该异常大类对应的各历史行为数据输入预先训练的异常检测模型中，通过所述第一特征提取层确定各用户特征，将所述各用户特征输入第二特征提取层，确定该异常大类的每个异常子类的表征特征。
[0012]本说明书提供一种异常检测装置，包括：
[0013]获取模块，用于获取待检测的用户行为数据；
[0014]提取模块，用于将所述用户行为数据输入预先训练的异常检测模型的第一特征提取层，得到所述第一特征提取层提取的用户特征；
[0015]确定模块，用于根据所述用户特征和预存的各异常大类包含的各异常子类的表征特征，确定所述用户特征与各表征特征的相似度，并根据相似度最高的表征特征所对应的异常子类，确定所述用户特征所属的异常大类，将确定出的异常大类作为所述用户行为数据的异常检测结果；
[0016]其中，所述异常子类的表征特征采用下述方法确定：
[0017]针对每个异常大类，将该异常大类对应的各历史行为数据输入预先训练的异常检测模型中，通过所述第一特征提取层确定各用户特征，将所述各用户特征输入第二特征提取层，确定该异常大类的每个异常子类的表征特征。
[0018]本说明书提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述异常检测方法。
[0019]本说明书提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述异常检测方法。
[0020]本说明书采用的上述至少一个技术方案能够达到以下有益效果：
[0021]在本说明书提供的异常检测方法中，通过针对每个大类，将该大类对应的历史行为数据输入异常检测模型中，得到该异常检测模型输出的该异常大类的每个异常子类的表征特征。在获取到待检测的用户行为数据后，将用户行为数据输入该异常检测模型中，得到该用户行为数据对应的用户特征，再根据该用户特征和预存的各异常大类包含的各异常子类的表征特征之间分别对应的相似度，确定该用户特征所对应的异常大类，并将该异常大类作为该用户行为数据的异常检测结果。
[0022]从上述方法可以看出，本方法可预先针对每个异常大类，用该异常大类包含的各异常子类的表征特征来表征该异常大类，使得在对用户行为数据进行异常检测时，仅需基于各异常大类分别对应的各异常子类和该用户行为数据对应的用户特征之间的相似度来确定异常检测结果，避免了对计算资源过大要求的同时，还能保证异常检测的准确性。
附图说明
[0023]此处所说明的附图用来提供对本说明书的进一步理解，构成本说明书的一部分，本说明书的示意性实施例及其说明用于解释本说明书，并不构成对本说明书的不当限定。在附
[0024]图中：
[0025]图1为本说明书提供的异常检测方法的流程示意图；
[0026]图2为本说明书提供的异常检测模型的结构示意图；
[0027]图3A为本说明书提供的第二特征提取层的结构示意图；
[0028]图3B为本说明书提供的第二特征提取层的结构示意图；
[0029]图4为本说明书提供的异常检测模型的训练方法的流程示意图；
[0030]图5为本说明书提供的异常检测装置的结构示意图；
[0031]图6为本说明书提供的对应于图1或图4的电子设备示意图。
具体实施方式
[0032]为使本说明书的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本说明书保护的范围。
[0033]以下结合附图，详细说明本说明书各实施例提供的技术方案。
[0034]目前，随着互联网技术的发展，利用互联网技术攻击用户的手段也层出不穷，给用
户执行业务造成了风险。以网络黑产行业为例，随着黑产行业的逐步发展，新型的黑产攻击手段呈现出多样化、小批量、频发突发的趋势。也就是说，在一段时间内，一种类型的黑产攻击手段可频繁出现，而在该时间段后，该类型的黑产攻击手段出现的频率会降低，而另一种类型的黑产攻击手段可频繁出现，且新出现的黑产攻击手段与以往相比，在其形式、话术等等特征上均可能存在较大区别。
[0035]因此，基于历史上的黑产攻击手段对应的数据训练得到的异常检测模型，无法满足对新型黑产攻击手段进行准确检测的需求。其中，该黑产攻击手段对应的数据可为用户行为数据。
[0036]基于此，本说明书提供一种新的异常检测方法。该异常检测方法可基于获取到的新型黑产攻击手段对应的数据，以及历史上获取到的各异常大类对应的历史行为数据，训练得到可兼顾新型黑产攻击手段和历史黑产攻击行为的异常检测模型。并在接收到待检测的用户行为数据后，基于训练完成的异常检测模型，对该用户行为数据进行准确检测，来保证异常检测的准确性。
[0037]图1为本说明书提供的异常检测方法的流程示意图，具体包括以下步骤：
[0038]S100：获取待检测的用户行为数据。
[0039]在本说明书提供的一个或多个实施例中，该异常检测方法可由服务器执行。
[0040]一般的，在异常检测领域，该异常检测方法的目的是为了检测出异常的用户行为数据，并基于上述异常的用户行为数据的异常大类对其进行相应处理。也就是说，基于用户行为数据的异常本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常检测方法，所述方法包括：获取待检测的用户行为数据；将所述用户行为数据输入预先训练的异常检测模型的第一特征提取层，得到所述第一特征提取层提取的用户特征；根据所述用户特征和预存的各异常大类包含的各异常子类的表征特征，确定所述用户特征与各表征特征的相似度，并根据相似度最高的表征特征所对应的异常子类，确定所述用户特征所属的异常大类，将确定出的异常大类作为所述用户行为数据的异常检测结果；其中，所述异常子类的表征特征采用下述方法确定：针对每个异常大类，将该异常大类对应的各历史行为数据输入预先训练的异常检测模型中，通过所述第一特征提取层确定各用户特征，将所述各用户特征输入第二特征提取层，确定该异常大类的每个异常子类的表征特征。2.如权利要求1所述的方法，所述异常检测模型还包括检测层；根据所述用户特征和预存的各异常大类包含的各异常子类的表征特征，确定所述用户特征与各表征特征的相似度，并根据相似度最高的表征特征所对应的异常子类，确定所述用户特征所属的异常大类，将确定出的异常大类作为所述用户行为数据的异常检测结果，具体包括：将所述用户特征和预存的各异常大类对应的各异常子类的表征特征输入所述异常检测模型的检测层，通过所述检测层确定所述用户特征分别与各表征特征的相似度，并确定各相似度中的最高相似度对应的异常子类；确定所述最高相似度对应的异常子类所属的异常大类，作为所述用户行为数据的异常检测结果输出。3.如权利要求1所述的方法，所述异常检测模型采用下述方式训练得到：根据已标注异常大类的若干用户行为数据，确定目标样本及其标注，以及确定若干指定样本及其标注；将所述目标样本和各指定样本分别输入待训练的异常检测模型的第一特征提取层，得到所述第一特征提取层输出的所述目标样本的用户特征，以及所述各指定样本分别对应的用户特征；针对每个异常大类，根据所述各指定样本分别对应的标注，确定该异常大类的各指定样本；将该异常大类的各指定样本分别作为输入，输入所述异常检测模型的第二特征提取层，得到所述第二特征提取层输出的该异常大类的各指定样本的参考特征；针对该异常大类包含的每个异常子类，根据该异常大类的各指定样本的参考特征对应于该异常子类的特征分量，确定该异常子类的表征特征；根据所述目标样本的用户特征分别与所述各异常大类包含的各异常子类的表征特征的相似度，确定所述目标样本对应的异常子类，并将所述目标样本对应的异常子类所属的异常大类，作为所述目标样本的异常检测结果；以所述目标样本的异常检测结果与所述目标样本的标注差异最小为优化目标，训练所述异常检测模型。4.如权利要求1所述的方法，通过所述第一特征提取层确定各用户特征，将所述各用户
特征输入第二特征提取层，确定该异常大类的每个异常子类的表征特征，具体包括：将该异常大类对应的各历史行为数据分别输入所述第一特征提取层中，得到所述第一特征提取层分别输出的各用户特征；将所述各用户特征分别输入所述异常检测模型的第二特征提取层，确定所述各用户特征分别对应的参考特征，所述参考特征包含所述用户特征对应于该异常大类包含的各异常子类的特征分量；针对该异常大类的每个异常子类，根据所述各用户特征分别对应的各参考特征中该异常子类的特征分量，确定该异常子类的表征特征。5.如权利要求4所述的方法，根据所述各用户特征分别对应的各参考特征中该异常子类的特征分量，确定该异常子类的表征特征，具体包括：根据各参考特征中对应于该异常子类的特征分量，确定所述各参考特征分别对应的用户特征属于该异常子类的概率；根据所述各用户特征，以及所述各用户特征属于该异常子类的概率，确定该异常子类的表征特征。6.如权利要求1所述的方法，所述方法还包括：针对每个异常大类，将该异常大类对应的各历史行为数据输入预先训练的异常检测模型的所述第一特征提取层中，得到所述各历史行为数据分别对应的用户特征；将各用户特征输入所述异常检测模型的第二特征提取层，根据所述各用户特征，对所述各历史行为数据进行聚类，确定各聚类簇；针对每个聚类簇，根据该聚类簇包含的各历史行为数据的表征特征，确定该聚类簇对应的异常子类的表征特征；其中，所述异常大类包含的聚类簇和所述异常大类包含的异常子类一一对应。7.如权利要求3所述的方法，以所述目标样本的异常检测结果与所述目标样本的标注差异最小为优化目标，训练所述异常检测模型，具体包括：根据所述目标样本属于各异常子类的概率，从所述各异常大类分别包含的各异常子类中，确定概率最高的异常子类，作为指定子类；以所述目标样本属于所述指定子类的概率减去预设的概率阈值的数值，作为第一损失；根据所述目标样本的异常检测结果和所述目标样本的标注的差异，确定第二损失；将所述第二损失减去所述第一损失，确...

【专利技术属性】
技术研发人员：吕乐，周璟，杨信，傅幸，王维强，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：