异常行为检测方法技术

本发明专利技术实施例提供了一种异常行为检测方法

【技术实现步骤摘要】
异常行为检测方法、装置、设备及存储介质


[0001]本专利技术涉及计算机应用
，特别是涉及一种异常行为检测方法
、
装置
、
设备及存储介质
。

技术介绍

[0002]目前很多应用中，用户可在应用中参与各种活动赚取积分等，如此可以鼓励用户使用应用以促进应用的推广等
。
积分等作为一种资源，时刻遭受着各种层出不穷的黑产工具的威胁，当前的防刷手段多为通用的过滤器链建立的规则引擎，大多是通过用户互联网协议地址
(Internet Protocol Address
，
IP)
防篡改
、
对称加密
dfp(
拟牛顿法
)、
调用频次限制等风控手段，专业的黑客或者黑产很容易突破上述规则引擎建立的防线，使公司和用户财产遭受损失
。
如何利用用户行为数据，从这些用户行为数据中发现规律，识破伪装的用户行为，成为解决问题的关键
。

技术实现思路

[0003]本专利技术实施例的目的在于提供一种异常行为检测方法
、
装置
、
设备及存储介质，以挖掘用户行为数据的规律，实现对异常行为的检测
。
具体技术方案如下：
[0004]在本专利技术实施的第一方面，首先提供了一种异常行为检测方法，包括：
[0005]获取多个第一数据节点，每个所述第一数据节点与一个用户行为数据对应；
[0006]针对每个所述第一数据节点，计算所述第一数据节点的邻居密度，其中，所述邻居密度表示所述第一数据节点与第二数据节点的最小距离，所述第二数据节点的相互密度大于所述第一数据节点的相互密度，所述第一数据节点的相互密度表示所述第一数据节点与第三数据节点的紧密程度，所述第二数据节点的相互密度表示所述第二数据节点与第四数据节点的紧密程度，所述第三数据节点包括与所述第一数据节点的距离满足第一预设条件的数据节点，所述第四数据节点包括与所述第二数据节点距离满足第二预设条件的数据节点；
[0007]基于多个第一数据节点的邻居密度对多个第一数据节点进行聚类，得到多个聚类集合；
[0008]选取数据节点个数小于预设数量阈值的聚类集合，作为目标聚类集合，或者，依据每个聚类集合中的数据节点个数的波动情况，确定目标聚类集合；
[0009]将所述目标聚类集合中包括的第一数据节点对应的用户行为数据确定为异常行为数据
。
[0010]可选地，所述基于多个第一数据节点的邻居密度对多个第一数据节点进行聚类，得到多个聚类集合，包括：
[0011]选取邻居密度大于预设密度阈值的第一数据节点作为聚类中心；
[0012]依次遍历每一第一数据节点，查找与所述第一数据节点的邻居密度最小的第五数据节点，若所述第五数据节点为聚类中心或所述第五数据节点已被聚类过，则将所述第五
数据节点与所述第一数据节点聚类至所述聚类中心对应的聚类集合中
。
[0013]可选地，所述依据每个聚类集合中的数据节点个数的波动情况，确定目标聚类集合，包括：
[0014]按照各聚类集合中数据节点个数的增序，或者按照各聚类集合中数据节点个数的降序，对各聚类集合进行排序；
[0015]针对排序后的各聚类集合中除最后一个聚类集合之外的聚类集合，计算每一聚类集合相对于下一个聚类集合的数据节点个数波动值，其中，针对排序后的各聚类集合中除最后一个聚类集合之外的每一聚类集合，所述聚类集合对应的所述下一个聚类集合为排序后的各聚类集合中排序在所述聚类集合之后的聚类集合，所述最后一个聚类集合为排序后的各聚类集合中排在最后一个的聚类集合；
[0016]选取最大数据节点个数波动值；
[0017]基于所述最大数据节点个数波动值确定离群聚类集合
。
[0018]可选地，所述基于所述最大数据节点个数波动值确定离群聚类集合，包括：
[0019]若是按照各聚类集合中数据节点个数的增序对各聚类集合进行的排序，则将所述最大数据节点个数波动值对应的目标聚类集合，以及排序后的各聚类集合中排序在所述目标聚类集合之前的聚类集合，作为离群聚类集合；
[0020]若是按照各聚类集合中数据节点个数的降序，对各聚类集合进行的排序，则将所述最大数据节点个数波动值对应的目标聚类集合，以及排序后的各聚类集合中排序在所述目标聚类集合之后的聚类集合，作为离群聚类集合
。
[0021]可选地，所述相互密度通过如下公式计算：
[0022][0023]其中，
MuN(p)
为第一数据节点
p
对应的的第三数据节点构成的集合
,d(p,i)
为第一数据节点
p
与第三数据节点
i
的距离，
md(p)
为第一数据节点
P
的相互密度；
[0024]所述第一数据节点的邻居密度通过如下公式计算：
[0025][0026]γ
(p)
为第一数据节点
p
的邻居密度，
d(p,q)
为第一数据节点
p
与第二数据节点
q
的距离
。
[0027]可选地，在将所述目标聚类集合中包括的第一数据节点对应的用户行为数据确定为异常行为数据之后，所述方法还包括：
[0028]针对每一异常行为数据，确定所述异常行为数据对应的用户设备标识；
[0029]将所述用户设备标识发送给业务端，以使所述业务端对所述用户设备标识对应的设备的操作进行拦截
。
[0030]可选地，所述方法还包括：
[0031]获取预设时间范围内多个用户标识对应的任务执行记录；
[0032]针对每一用户标识，统计所述预设时间范围内所述用户标识的执行任务次数
、
执行任务时长
、
执行任务时间点
、
更换账号次数以及任务类型，并将一个用户标识对应的执行任务次数
、
执行任务时长
、
执行任务时间点
、
更换账号次数以及任务类型作为一个用户行为
数据
。
[0033]在本专利技术实施的第二方面，还提供了一种异常行为检测装置，包括：
[0034]获取模块，用于获取多个第一数据节点，每个所述第一数据节点与一个用户行为数据对应；
[0035]计算模块，用于针对每个所述第一数据节点，计算所述第一数据节点的邻居密度，其中，所述邻居密度表示所述第一数据节点与第二数据节点的最小距离，所述第二数据节点的相互密度大于所述第一数据节点的相互密度，所述第一数据节点的相互密度表示所述第一数据节点与第三数据节点的紧密程度，所述第二数据节点的相互密度表示所述第二数据节点与第四数据节点的紧密程度，所述第三数据节点包括与所述第一数据节点的距离满本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种异常行为检测方法，其特征在于，包括：获取多个第一数据节点，每个所述第一数据节点与一个用户行为数据对应；针对每个所述第一数据节点，计算所述第一数据节点的邻居密度，其中，所述邻居密度表示所述第一数据节点与第二数据节点的最小距离，所述第二数据节点的相互密度大于所述第一数据节点的相互密度，所述第一数据节点的相互密度表示所述第一数据节点与第三数据节点的紧密程度，所述第二数据节点的相互密度表示所述第二数据节点与第四数据节点的紧密程度，所述第三数据节点包括与所述第一数据节点的距离满足第一预设条件的数据节点，所述第四数据节点包括与所述第二数据节点距离满足第二预设条件的数据节点；基于多个第一数据节点的邻居密度对多个第一数据节点进行聚类，得到多个聚类集合；选取数据节点个数小于预设数量阈值的聚类集合，作为目标聚类集合，或者，依据每个聚类集合中的数据节点个数的波动情况，确定目标聚类集合；将所述目标聚类集合中包括的第一数据节点对应的用户行为数据确定为异常行为数据
。2.
根据权利要求1所述的方法，其特征在于，所述基于多个第一数据节点的邻居密度对多个第一数据节点进行聚类，得到多个聚类集合，包括：选取邻居密度大于预设密度阈值的第一数据节点作为聚类中心；依次遍历每一第一数据节点，查找与所述第一数据节点的邻居密度最小的第五数据节点，若所述第五数据节点为聚类中心或所述第五数据节点已被聚类过，则将所述第五数据节点与所述第一数据节点聚类至所述聚类中心对应的聚类集合中
。3.
根据权利要求1所述的方法，其特征在于，所述依据每个聚类集合中的数据节点个数的波动情况，确定目标聚类集合，包括：按照各聚类集合中数据节点个数的增序，或者按照各聚类集合中数据节点个数的降序，对各聚类集合进行排序；针对排序后的各聚类集合中除最后一个聚类集合之外的聚类集合，计算每一聚类集合相对于下一个聚类集合的数据节点个数波动值，其中，针对排序后的各聚类集合中除最后一个聚类集合之外的每一聚类集合，所述聚类集合对应的所述下一个聚类集合为排序后的各聚类集合中排序在所述聚类集合之后的聚类集合，所述最后一个聚类集合为排序后的各聚类集合中排在最后一个的聚类集合；选取最大数据节点个数波动值；基于所述最大数据节点个数波动值确定离群聚类集合
。4.
根据权利要求3所述的方法，其特征在于，所述基于所述最大数据节点个数波动值确定离群聚类集合，包括：若是按照各聚类集合中数据节点个数的增序对各聚类集合进行的排序，则将所述最大数据节点个数波动值对应的目标聚类集合，以及排序后的各聚类集合中排序在所述目标聚类集合之前的聚类集合，作为离群聚类集合；若是按照各聚类集合中数据节点个数的降序，对各聚类集合进行的排序，则将所述最大数据节点个数波动值对应的目标聚类集合，以及排序后的各聚类集合中排序在所述目标聚类集合之后的聚类集合，作为离群聚类集合
。
5.
根据权利要求1至4任一项所述的方法，其特征在于，所述相互密度通过如下公式计算：其中，
MuN(p)
为第一数据节点
p
对应的的第三数据节点构成的集合
,d(p,i)
为第一数据节点
p
...

【专利技术属性】
技术研发人员：邱敬仰，
申请(专利权)人：北京奇艺世纪科技有限公司，
类型：发明
国别省市：