时,拒绝大于此统计概率阈值的事件,即 拒绝Xi>Xt的事件。
[0107] 例如,基于Android系统发生的概率为6/10,基于I0S系统发生的概率为4/10,根 据发生的概率的取值能对应到统计概率阈值,基于Android系统的统计概率阈值为6/10, 则当基于Android系统发生的数量为事件总数的6/10时,则可以拒绝当前发生的事件。
[0108] 在本发明的一种优选实施例中,所述冲突验证对应的第一验证值可以包括是否冲 突;则在本发明实施例中,步骤202可以包括如下子步骤:
[0109] 子步骤S14,针对每个事件数据对应的事件,判断至少两种设备信息与预设的映射 关系是否冲突。
[0110] 需要说明的是,事件可以由事件标识(如事件ID)进行表征。
[0111] 在实际中,若限制了参与活动的设备信息的比例,不法分子可能不断尝试修改设 备信息,如设备型号、系统类型等,继续参与活动。
[0112] 设备信息的比例是基于大数据的统计,若想绕开这个大数据的统计,一般需要将 设备信修改为非真实的设备信息,将统计的概率降低。
[0113] 本发明实施例中,根据领域知识,预先采集真实的设备信息,可以确定领域知识某 些真实的设备信息之间的映射关系,以获得映射关系。
[0114] 设F,Q为领域知识抽象出的两个设备信息的集合,其中F表示为{fl,f2,…,fk,… ,fn};Q表示为{ql,q2,…,ql,…,qm}。
[0115] 假设建立映射为fl-ql,fk-ql,…,fn-qm,称之为F和Q在该领域知识下的映射关 系的集合。
[0116] 一般情况下,与映射关系冲突的设备信息所属事件可以认为是异常行为触发的事 件,即疑似作弊事件。
[0117] 对于当前出现的事件,抽取该事件上领域知识F和Q两个集合的特征,扫描上面定 义的映射关系集合,如果事件中出现不属于映射关系集合的映射,则可以拒绝该事件。
[0118] 例如,某个手机品牌具有A、B、C三个型号,建立手机品牌-A、手机品牌-B、手机品 牌-C这三个映射关系,如果当前事件中的设备信息是该手机品牌的D型号,而该手机品牌 并没有D型号,与映射关系冲突。
[0119] 在具体实现中,服务器可以对事件数据和第一事件特征信息建立倒排索引和正排 索引作为基础数据结构,对当前事件中的信息进行索引查找,判断对应的设备信息是否产 生冲突。
[0120] 需要说明的是,在每种异常验证中,如累积验证、连续概率验证、统计概率验证、冲 突验证,可以输出一个第一验证值,也可以基于不同的第一特事件征值信息输出多个第一 验证值,本发明实施例对此不加以限制。
[0121] 当然,上述异常验证方式只是作为示例,在实施本发明实施例时,可以根据实际情 况设置其他异常验证方式,本发明实施例对此不加以限制。另外,除了上述异常验证方式 外,本领域技术人员还可以根据实际需要采用其异常验证方式,本发明实施例对此也不加 以限制。
[0122] 步骤203,根据所述异常标记对所述第一验证值配置权重,以及,对所述第一验证 值进行组合,以获得一个或多个异常行为表达式;
[0123] 本发明实施例中,若异常验证所获得的第一验证值为逻辑值,如是、否、true、 false等,可以对其进行数值化处理,如是、true可以定义为1,否、false可以定义为0等。
[0124] 权重可以根据异常标记确定,当事件数据具有异常标记时,其对应的某些第一验 证值(如累积数量、统计概率、是否冲突)可以配置较高的权重,某些第一验证值(如连续 概率)可以配置较低的权重。
[0125] 在具体实现中,可以采用多种方式配置权重,例如,如穷举法、贪心算法、以及机器 学习参数优化算法(如梯度法、牛顿法等)等等,本发明实施例对此不加以限制。
[0126] 组合可以包括逻辑组合和/或算术组合,例如与、或以及加减乘除、开方、n次方等 等,本发明实施例对此不加以限制。
[0127] 步骤204,当所述异常行为表达式满足预设的验证条件时,将所述异常表达式设置 为异常行为的特征信息。
[0128] 异常行为的特征信息可以为表征异常行为(如不法分子的作弊行为)特征的信 息,可以用于异常行为的验证。
[0129] 在本发明的一种优选实施例中,步骤204可以包括如下子步骤:
[0130] 子步骤S21,计算每种异常行为表达式的一个或多个第一异常值;
[0131] 子步骤S22,对比所述一个或多个第一异常值和异常标记,以计算验证的准确率和 /或召回率;
[0132] 子步骤S23,当所述准确率超过预设的准确率阈值,和/或,所述召回率超过召回 率阈值时,将所述异常表达式设置为异常行为的特征信息。
[0133] 在本发明实施例中,每一种第一验证值及其权重、组合方式都可以生成一种异常 表达式,将具体的第一验证值的数值代入异常表达式中,则可以计算出第一异常值。
[0134] 在本发明实施例中,可以设置一个异常阈值,若第一异常值超过该异常阈值,则可 以获得该事件数据为异常行为所触发的判断结果,反之,若第一异常值未超过该异常阈值, 则可以获得该事件数据为正常行为所触发的判断结果。
[0135] 对比该判断结果与异常标记,若该判断结果与异常标记一致,则可以确认该判断 结果正确,反之,若该判断结果与异常标记不一致,则可以确认该判断结果错误。
[0136] 进而可以计算判断结果的准确率和召回率,从中选取准确率、召回率满足要求的 异常表达式,设置为异常行为的特征信息。
[0137] 需要说明的是,该异常表达式中可以为验证值的类型及其权重、组合的集合,并不 一定包括第一验证值的具体数值。
[0138] 当然,除了准确率、召回率外,还可以设置其他验证条件,本发明实施例对此不加 以限制。
[0139] 为使本领域技术人员更好地理解本发明实施例,以下通过具体的实施例来说明本 发明实施例中异常行为的特征信息的提取方法。
[0140] 事件数据如表1所示:
[0141] 表 1
[0142]
【主权项】
1. 一种异常行为的特征信息的提取方法,其特征在于,包括: 从采集的事件数据中提取第一事件特征信息,其中,至少部分事件数据具有对应的异 常标记; 对所述第一事件特征信息进行异常验证,获得第一验证值;所述异常验证包括累积验 证、连续概率验证、统计概率验证、冲突验证中的一种或多种; 根据所述异常标记对所述第一验证值配置权重,以及,对所述第一验证值进行组合,以 获得一个或多个异常行为表达式; 当所述异常行为表达式满足预设的验证条件时,将所述异常表达式设置为异常行为的 特征信息。
2. 根据权利要求1所述的方法,其特征在于,所述第一事件特征信息包括用户标识、事 件信息、设备信息中的一种或多种; 所述累积验证对应的第一验证值包括累积数量、所述连续概率验证对应的第一验证值 包括连续概率、所述统计概率验证对应的第一验证值包括统计概率、所述冲突验证对应的 第一验证值包括是否冲突; 所述对所述第一事件特征信息进行异常验证,获得第一验证值的步骤包括: 针对每个事件数据对应的事件,统计基于所述用户标识,触发所述事件和/或所述事 件中事件参数的累积数量; 和/或, 针对每个事件数据对应的事件,计算基于所述设备信息,连续触发所述事件的连续概 率; 和/或, 针对每个事件数据对应的事件,计算基于所述设备信息,在预设的时间段内触发所述 事件的统计概率; 和/或, 针对每个事件数据对应的事件,判断至少两种设备信息与预设的映射关系是否冲突。
3. 根据权利要求1或2所述的方法,其特征在于,所述当所述异常行为表达式满足预设 的验证条件时,将所述异常表达式设置为异常行为的特征信息的步骤包括: 计算每种异常行为表达式的一个或多个第一异常值; 对比所述一个或多个第一异常值和异常标记,以计算验证的准确率和/或召回率; 当所述准确率超过预设的准确率阈值,和/或,所述召回率超过召回率阈值时,将所述 异常表达式设置为异常行为的特征信息。
4. 一种基于特征信息的异常行为的识别方法,其特征在于,包括: 当接收到事件请求时,从所述事件请求中提取第二事件特征信息; 对所述第二事件特征信息进行异常验证,以拒绝所述事件请求和/或获得一个或多个 第二验证值;所述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一 种或多种; 将所述一个或多个第二验证值代入预设的异常行为的特征信息中,以计算第二异常 值; 根据所述第二异常值对所述事件请求进行异常行为的识别。
5. 根据权利要求4所述的方法,其特征在于,所述异常行为的特征信息通过以下方式 获得: 从采集的事件数据中提取第一事件特征信息,其中,至少部分事件数据具有对应的异 常标记; 对所述第一事件特征信息进行异常验证,获得第一验证值;所述异常验证包括累积验 证、连续概率验