一种异常行为检测方法及系统与流程

本发明涉及计算机技术领域中的数据分析技术，尤其涉及一种异常行为检测方法及系统。

背景技术：

随着移动终端，如手机、电脑、电子书阅读器等的快速发展和不断普及，有越来越多的用户在使用移动终端阅读电子图书，并能够随时随地进行阅读，从而享受阅读的便利性。然而，在阅读过程中，为了提高图书的排名或收益，经常会出现刷新榜单的排名(刷榜)或刷订购的情况，例如：针对一本书、一本书的某个章节或某个页面，以2-3秒、甚至以更长时间的频率刷一次，用来吸引更多的用户关注该电子图书。但由于该用户访问行为并不能真实反映用户的阅读量或购买量，且对系统负载带来的不利影响也不能及时发现和响应，因此，刷榜、刷订购等行为属于用户的异常访问行为。

在目前的移动终端阅读中，为了对用户的异常访问行为进行监控，主要采用人工事后稽核的方式，即：在出现异常访问行为之后，多以日或月为单位，对该异常访问行为进行人工稽核。由此可见，人工事后稽核的方式不仅浪费人工成本，而且效率低，不能及时发现阅读过程中的异常访问行为。因此，现有技术中亟待需要一种能对阅读用户的访问页面序列进行实时监控，并对出现的异常访问行为进行检测的方法。

技术实现要素：

有鉴于此，本发明实施例期望提供一种异常行为检测方法及系统，能够有效解决现有技术中人工事后稽核存在的成本高、效率低，以及不能及时发现和响应用户异常访问行为的问题。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供一种异常行为检测方法，根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则，并对所述频繁规则进行判断；根据判断结果中的异常频繁规则，生成异常行为规则库；所述方法还包括：

获取待检测行为信息；

将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息。

上述方案中，在所述将所述待检测行为信息判定为异常行为信息之后，所述方法还包括：将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

上述方案中，所述用户的页面访问行为数据包括：用户号码、会话编号、页面名称、页面类型、以及页面访问时间。

上述方案中，所述根据用户的页面访问行为数据，确定页面访问行为序列，包括：

获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

上述方案中，在所述确定与所述页面访问行为序列对应的频繁规则之前，所述方法还包括：对所述用户的访问页面类型的编号进行去重。

本发明实施例还提供一种异常行为检测系统，所述系统包括：确定模块、判断模块、生成模块、获取模块、匹配模块；其中，

所述确定模块，用于根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则；

所述判断模块，用于对所述频繁规则进行判断；

所述生成模块，用于根据判断结果中的异常频繁规则，生成异常行为规则库；

所述获取模块，用于获取待检测行为信息；

所述匹配模块，用于将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，则将所述待检测行为信息判定为异常行为信息。

上述方案中，所述生成模块，还用于在所述匹配模块将所述待检测行为信息判定为异常行为信息之后，将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

上述方案中，所述确定模块，具体用于：获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

上述方案中，所述系统还包括：去重模块，用于在所述确定模块确定与所述页面访问行为序列对应的频繁规则之前，对所述用户的访问页面类型的编号进行去重。

本发明实施例所提供的异常行为检测方法及系统，根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则，并对所述频繁规则进行判断；根据判断结果中的异常频繁规则，生成异常行为规则库；获取待检测行为信息；将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息。如此，通过建立异常行为规则库，在实际应用中，利用异常行为规则库自动识别用户的异常访问行为，不仅可以降低人工成本，还能够提高监控异常访问行为的实时性和有效性；并且，由于不采用人工事后稽核，在一定程度上还可以避免人工稽核过程中可能出现的不能及时发现和响应用户异常访问行为的问题，达到及时发现的目的，从而提升用户的使用感受。

附图说明

图1为本发明实施例异常行为检测方法的实现流程示意图；

图2为本发明实施例异常行为检测系统的组成结构示意图。

具体实施方式

为了能够更加详尽地了解本发明实施例的特点与技术内容，下面结合附图对本发明实施例的实现进行详细阐述，所附附图仅供参考说明之用，并非用来限定本发明。

在本发明实施例中，所述移动终端可以包括但不限于手机、平板、掌上电脑、电子书阅读器等电子设备。

如图1所示，本发明实施例中异常行为检测方法的实现流程，包括以下步骤：

步骤101：根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则，并对所述频繁规则进行判断；

这里，所述用户的页面访问行为数据包括：用户号码、会话编号、页面名称、页面类型、以及页面访问时间等信息。

其中，所述页面类型包括但不限于：登录页面、付费页面、订购页面、阅读页面。为了区分不同的访问者，网站服务器会为每个访问者都分配一个会话编号安全标识符(SID，Security Identifiers)，访问者在会话(Session)中保存的所有数据都与SID相关联。这样，在访问者访问页面的过程中，通过SID设置和获取Session数据，因此，通过Session可以实现多个页面间的数据共享。当用户在任意一个页面登录时，可以将登录标记和登录用户名保存在Session变量中，这样在其他页面中就可以获知该用户已经登录，从而避免重复登录的问题。

本步骤中根据用户的页面访问行为数据，确定页面访问行为序列，具体包括：获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

具体来说，可从用户的页面访问列表中直接提取当前用户的所有页面访问行为数据，并对需要检测的页面类型进行特殊标识，比如，将与订购和费用相关的页面进行单独编号，以区别于页面类型表中的其他普通页面，例如，添加特殊标识后页面类型为：登录页面-1、付费页面-2、订购页面-3、阅读页面-4……；在对上述页面类型进行标识处理之后，按照会话编号和页面访问时间，对用户的访问页面进行按时间和会话编号的排序，比如，6:00/1→7:00/2→8:00/3→9:00/4→……，这样使用户的访问页面类型的编号实现序列化，从而得到用户的访问页面行为序列，即得到了用户的使用轨迹。这里，时间的作用是为了进行排序。

这里，可以基于序列模式挖掘算法，确定与所述页面访问行为序列对应的频繁规则。优选地，可采用序列模式挖掘算法中的GSP算法，通过设置页面访问行为序列模式的最小支持度值，采用逐层搜索的迭代方法寻找出频繁序列。其中，所述最小支持度值为序列数据库中包含某序列的序列个数；这里，对于如何采用GSP算法以及逐层搜索的迭代方法寻找出频繁序列，属于现有技术，在此不再一一赘述。

这里，在所述确定与所述页面访问行为序列对应的频繁规则之前，所述方法还包括：对所述用户的访问页面类型的编号进行去重。

这里，由于有可能在一持续时间段内处于同一页面类型，导致页面访问行为序列的长度很长，从而影响异常行为的检测效果，此时需要对重复的页面编号进行处理，通过页面跳转以得到准确的输入数据。例如：当前的用户访问页面类型的编号为1→1→1→1→1→6，那么对于跳转而言，进行去重后的用户访问页面类型的编号为1→6。

步骤102：根据判断结果中的异常频繁规则，生成异常行为规则库；

这里，可根据业务需要以及用户的经验积累，对与页面访问行为序列对应的频繁规则进行检测，判断其是否合理，即确定出哪些频繁规则是合理的，哪些频繁规则是异常的。对于异常的频繁规则，将其添加到异常行为规则库中。其中，异常行为规则库的存储方式包括数据库或大数据存储库。

步骤103：获取待检测行为信息；

步骤104：将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息。

这里，对于检测出的异常行为信息，可综合其页面访问行为进一步确认检测结果，进一步地，可深入到业务详细情况。另外，还可以对异常行为进行相应处理，例如：对于订购异常的用户，可进行警告页面的跳转；对于资费敏感类用户，可进行后续的付费转化等。其中，资费敏感可视为只想看免费的。

这里，在所述将所述待检测行为信息判定为异常行为信息之后，所述方法还包括：将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

这里，所述待检测行为信息中的页面访问行为序列有可能在一段时间内处于同一页面类型，导致页面访问行为序列的长度很长，如一个小时内均在阅读页面，因此，为避免影响后续异常行为的检测结果，需要在将所述待检测行为信息的判定结果保存至所述异常行为规则库中之前，对所述待检测行为信息中的页面访问行为序列进行去重。

本发明实施例根据页面访问行为序列确定出频繁规则，并根据频繁规则生成异常行为规则库，以至于利用生成的异常行为规则库实时监控异常行为，相比较于现有的人工事后稽核方法，该方法能够达到及时发现阅读过程中出现的刷榜或刷订购等异常行为的目的，提高监控的实时性，能较好地监控连续刷订购页面的异常行为、以及采用交替刷订购阅读页面的异常行为，并能对资费敏感用户的付费转化起到很好的效果。

为实现上述方法，本发明实施例还提供了一种异常行为检测系统，如图2所示，该系统包括确定模块201、判断模块202、生成模块203、获取模块204、匹配模块205；其中，

所述确定模块201，用于根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则；

所述判断模块202，用于对所述频繁规则进行判断；

所述生成模块203，用于根据所述判断模块202的判断结果中的异常频繁规则，生成异常行为规则库；

所述获取模块204，用于获取待检测行为信息；

所述匹配模块205，用于将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息。

其中，所述用户的页面访问行为数据包括：用户号码、会话编号、页面名称、页面类型、以及页面访问时间；所述页面类型包括：登录页面、付费页面、订购页面、以及阅读页面。

这里，所述确定模块201，具体用于：获取当前用户的所有页面访问行为数据，对所述页面访问行为数据中需检测的页面类型进行特殊标识，并根据所述会话编号和所述页面访问时间，对用户的访问页面进行排序，将用户的访问页面类型的编号进行序列化，得到所述页面访问行为序列。

这里，可基于序列模式挖掘算法，确定与所述页面访问行为序列对应的频繁规则。

这里，所述生成模块203，还用于在所述匹配模块205将所述待检测行为信息判定为异常行为信息之后，将所述待检测行为信息的判定结果保存至所述异常行为规则库中。

这里，所述系统还包括：去重模块206，用于在所述确定模块201确定与所述页面访问行为序列对应的频繁规则之前，对所述用户的访问页面类型的编号进行去重。

在实际应用中，所述确定模块201、判断模块202、生成模块203、获取模块204、匹配模块205、去重模块206均可由位于移动终端上的中央处理器(CPU，Central Processing Unit)、微处理器(MPU，Micro Processor Unit)、数字信号处理器(DSP，Digital Signal Processor)、或现场可编程门阵列(FPGA，Field Programmable Gate Array)等实现。

本发明实施例根据用户的页面访问行为数据，确定页面访问行为序列、以及与所述页面访问行为序列对应的频繁规则，并对所述频繁规则进行判断；根据判断结果中的异常频繁规则，生成异常行为规则库；获取待检测行为信息；将所述待检测行为信息与所述异常行为规则库中的行为进行匹配，匹配成功时，将所述待检测行为信息判定为异常行为信息。如此，通过建立异常行为规则库，在实际应用中，利用异常行为规则库自动识别用户的异常访问行为，不仅可以降低人工成本，还能够提高监控异常访问行为的实时性和有效性；并且，由于不采用人工事后稽核，在一定程度上还可以避免人工稽核过程中可能出现的不能及时发现和响应用户异常访问行为的问题，达到及时发现的目的，从而提升用户的使用感受。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。