证、统计概率验证、冲突验证中的一种或多种; 根据所述异常标记对所述第一验证值配置权重,以及,对所述第一验证值进行组合,以 获得一个或多个异常行为表达式; 当所述异常行为表达式满足预设的验证条件时,将所述异常表达式设置为异常行为的 特征信息。
6. 根据权利要求4所述的方法,其特征在于,所述根据所述第二异常值对所述事件请 求进行异常行为的识别的步骤包括: 判断所述第二异常值是否超过预设的异常阈值; 若是,则判断所述事件请求为异常行为; 若否,则判断所述事件请求为正常行为。
7. 根据权利要求4或5或6所述的方法,其特征在于,还包括: 当所述事件请求为正常行为时,允许执行所述事件请求对应的事件; 当所述事件请求为异常行为时,禁止执行所述事件请求对应的事件。
8. 根据权利要求7所述的方法,其特征在于,所述禁止执行所述事件请求对应的事件 的步骤包括: 拦截所述事件请求; 或者, 对触发所述事件请求的用户账号进行冻结处理。
9. 根据权利要求4或5或6或8所述的方法,其特征在于,所述第二事件特征信息包括 用户标识、事件信息、设备信息中的一种或多种; 所述累积验证对应的第二验证值包括累积数量、所述连续概率验证对应的第二验证值 包括连续概率、所述统计概率验证对应的第二验证值包括统计概率、所述冲突验证对应的 第二验证值包括是否冲突; 所述对所述第二事件特征信息进行异常验证,以拒绝所述事件请求和/或获得一个或 多个第二验证值的步骤包括: 针对所述事件请求对应的事件,统计基于所述用户标识,触发所述事件和/或所述事 件中事件参数的累积数量; 当所述累积数量大于预设的数量阈值时,拒绝所述事件请求; 和/或, 针对所述事件请求对应的事件,计算基于所述设备信息,连续触发所述事件的连续概 率; 当所述连续概率大于预设的连续概率阈值时,拒绝所述事件请求; 和/或, 针对所述事件请求对应的事件,计算基于所述设备信息,在预设的时间段内触发所述 事件的统计概率; 当所述统计概率大于预设的统计概率阈值时,拒绝所述事件请求; 和/或, 针对所述事件请求对应的事件,判断至少两种设备信息与预设的映射关系是否冲突; 当冲突时,拒绝所述事件请求。
10. -种异常行为的特征信息的提取装置,其特征在于,包括: 第一事件特征信息提取模块,用于从采集的事件数据中提取第一事件特征信息,其中, 至少部分事件数据具有对应的异常标记; 第一异常验证模块,用于对所述第一事件特征信息进行异常验证,获得第一验证值;所 述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种; 异常行为表达式获得模块,用于根据所述异常标记对所述第一验证值配置权重,以及, 对所述第一验证值进行组合,以获得一个或多个异常行为表达式; 特征信息设置模块,用于在所述异常行为表达式满足预设的验证条件时,将所述异常 表达式设置为异常行为的特征信息。
11. 根据权利要求10所述的装置,其特征在于,所述第一事件特征信息包括用户标识、 事件信息、设备信息中的一种或多种;所述累积验证对应的第一验证值包括累积数量、所述 连续概率验证对应的第一验证值包括连续概率、所述统计概率验证对应的第一验证值包括 统计概率、所述冲突验证对应的第一验证值包括是否冲突;所述第一异常验证模块包括: 第一累积验证子模块,用于针对每个事件数据对应的事件,统计基于所述用户标识,触 发所述事件和/或所述事件中事件参数的累积数量; 和/或, 第一连续概率验证子模块,用于针对每个事件数据对应的事件,计算基于所述设备信 息,连续触发所述事件的连续概率; 和/或, 第一统计概率验证子模块,用于针对每个事件数据对应的事件,计算基于所述设备信 息,在预设的时间段内触发所述事件的统计概率; 和/或, 第一冲突验证子模块,用于针对每个事件数据对应的事件,判断至少两种设备信息与 预设的映射关系是否冲突。
12. 根据权利要求10或11所述的装置,其特征在于,所述特征信息设置模块包括: 第一异常值计算子模块,用于计算每种异常行为表达式的一个或多个第一异常值; 对比子模块,用于对比所述一个或多个第一异常值和异常标记,以计算验证的准确率 和/或召回率; 设置子模块,用于在所述准确率超过预设的准确率阈值,和/或,所述召回率超过召回 率阈值时,将所述异常表达式设置为异常行为的特征信息。
13. -种基于特征信息的异常行为的识别装置,其特征在于,包括: 第二事件特征信息提取模块,用于在接收到事件请求时,从所述事件请求中提取第二 事件特征信息; 第二异常验证模块,用于对所述第二事件特征信息进行异常验证,以拒绝所述事件请 求和/或获得一个或多个第二验证值;所述异常验证包括累积验证、连续概率验证、统计概 率验证、冲突验证中的一种或多种; 第二异常值计算模块,用于将所述一个或多个第二验证值代入预设的异常行为的特征 信息中,以计算第二异常值; 异常行为识别模块,用于根据所述第二异常值对所述事件请求进行异常行为的识别。
14. 根据权利要求13所述的装置,其特征在于,所述异常行为的特征信息通过调用以 下模块获得: 第一事件特征信息提取模块,用于从采集的事件数据中提取第一事件特征信息,其中, 至少部分事件数据具有对应的异常标记; 第一异常验证模块,用于对所述第一事件特征信息进行异常验证,获得第一验证值;所 述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种; 异常行为表达式获得模块,用于根据所述异常标记对所述第一验证值配置权重,以及, 对所述第一验证值进行组合,以获得一个或多个异常行为表达式; 特征信息设置模块,用于在所述异常行为表达式满足预设的验证条件时,将所述异常 表达式设置为异常行为的特征信息。
15. 根据权利要求14所述的方法,其特征在于,所述异常行为识别模块包括: 异常阈值判断子模块,用于判断所述第二异常值是否超过预设的异常阈值;若是,则调 用异常判断子模块,若否,则正常判断子模块; 异常判断子模块,用于判断所述事件请求为异常行为; 正常判断子模块,用于判断所述事件请求为正常行为。
16. 根据权利要求13或14或15所述的装置,其特征在于,还包括: 允许执行模块,用于在所述事件请求为正常行为时,允许执行所述事件请求对应的事 件; 禁止执行模块,用于在所述事件请求为异常行为时,禁止执行所述事件请求对应的事 件。
17. 根据权利要求16所述的装置,其特征在于,所述禁止执行模块包括: 拦截子模块,用于拦截所述事件请求; 或者, 冻结子模块,用于对触发所述事件请求的用户账号进行冻结处理。
18. 根据权利要求13或14或15或17所述的装置,其特征在于,所述第二事件特征信 息包括用户标识、事件信息、设备信息中的一种或多种;所述累积验证对应的第二验证值包 括累积数量、所述连续概率验证对应的第二验证值包括连续概率、所述统计概率验证对应 的第二验证值包括统计概率、所述冲突验证对应的第二验证值包括是否冲突;所述第二异 常验证模块包括: 第二累积验证子模块,用于针对所述事件请求对应的事件,统计基于所述用户标识,触 发所述事件和/或所述事件中事件参数的累积数量; 第一拒绝子模块,用于在所述累积数量大于预设的数量阈值时,拒绝所述事件请求; 和/或, 第二连续概率验证子模块,用于针对所述事件请求对应的事件,计算基于所述设备信 息,连续触发所述事件的连续概率; 第二拒绝子模块,用于在所述连续概率大于预设的连续概率阈值时,拒绝所述事件请 求; 和/或, 第二统计概率验证子模块,用于针对所述事件请求对应的事件,计算基于所述设备信 息,在预设的时间段内触发所述事件的统计概率; 第三拒绝子模块,用于在所述统计概率大于预设的统计概率阈值时,拒绝所述事件请 求; 和/或, 第二冲突验证子模块,用于针对所述事件请求对应的事件,判断至少两种设备信息与 预设的映射关系是否冲突; 第四拒绝子模块,用于在冲突时,拒绝所述事件请求。
【专利摘要】本发明实施例提供了一种异常行为的特征信息的提取、识别方法和装置,该提取方法包括:从采集的事件数据中提取第一事件特征信息,其中,至少部分事件数据具有对应的异常标记;对所述第一事件特征信息进行异常验证,获得第一验证值;所述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种;根据所述异常标记对所述第一验证值配置权重,以及,对所述第一验证值进行组合,以获得一个或多个异常行为表达式;当所述异常行为表达式满足预设的验证条件时,将所述异常表达式设置为异常行为的特征信息。本发明实施例实现了自动化的特征信息的学习,大大降低了时间成本和人力成本,提高了异常行为的识别成功率和快速适应性。
【IPC分类】G06Q30-00
【公开号】CN104778591
【申请号】CN201510152777
【发明人】郭瑞, 郭溪, 刁士涵
【申请人】北京三快在线科技有限公司
【公开日】2015年7月15日
【申请日】2015年4月1日