一种异常检测方法、装置、服务器及存储介质与流程

本发明涉及计算机
技术领域：
：，尤其涉及一种异常检测方法、装置、服务器及存储介质。
背景技术：
：：医院短缺药品(如自研药和医保药)的代购和倒卖活动长期影响并损害着医疗公共资源和医疗秩序，药品倒卖人员通过以较低价格从医院购得短缺药品，再以高价卖给真正需要的患者，不仅严重破坏了药品的正常销售秩序，而且会占据大量的就诊资源，使正常患者的就诊购药时间延长，难度加大，价格增高。虽然目前大多医院为了打击药品倒卖行为均制定了一些政策，如限制单次购药数量和/或限制每周购买次数等，但这些政策过于单一，并且受限于现有医院信息管理系统业务能力的局限性，不能对用户的复杂购药行为进行有效识别，无法检测出异常用户(如药品倒卖人员)从而对其进行有针对性的打击。技术实现要素：本发明实施例提供了一种异常检测方法、装置、服务器及存储介质，能够有效识别出异常的医疗行为以检测出异常用户。一方面，本发明实施例提供了一种异常检测方法，所述方法包括：获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。另一方面，本发明实施例提供了一种异常检测装置，所述装置包括：获取单元，用于获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；构建单元，用于根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；分析单元，用于对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；检测单元，用于根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。再一方面，本发明实施例提供了一种服务器，包括处理器、存储器和通信接口，所述处理器、所述存储器和所述通信接口相互连接，其中，所述存储器用于存储计算机程序指令，所述处理器被配置用于执行所述程序指令，执行如下步骤：获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。再一方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行上述第一方面的方法。本发明实施例可根据获取的第一用户的第一诊疗数据构建所述第一用户的医疗行为特征，该医疗行为特征包括一个或多个诊疗维度，以及各诊疗维度下的一项或多项行为特征数据。通过对所述第一用户在各诊疗维度下的医疗行为特征数据进行定量分析得到所述第一用户的行为可疑度，进而可根据第一用户的行为可疑度对第一用户进行异常检测。上述的异常检测过程从一个或多个维度对用户的医疗行为(如购药行为、就诊行为等)进行全面分析，能够有效识别出异常的医疗行为，从而检测出异常用户，有利于对异常用户进行针对性的打击，提升his系统的安全性。附图说明为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例提供的一种异常检测系统的示意性框图；图2是本发明实施例提供的一种异常检测方法的流程示意图；图3是本发明另一实施例提供的一种异常检测方法的流程示意图；图4是本发明实施例提供的一种异常提示信息的示意图；图5是本发明又一实施例提供的一种异常检测方法的流程示意图；图6是本发明实施例提供的一种对用户进行团体归类的流程示意图；图7是本发明实施例提供的一种异常团体的团体关系网络示意图；图8是本发明实施例提供的一种异常检测装置的示意框图；图9是本发明实施例提供的一种服务器的示意框图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。本发明实施例的相关技术提及，由于现有的his(hospitalinformationsystem，医院信息管理系统)的业务能力有限，仅能够支撑医疗业务的正常运行，如挂号、缴费、处方系统等，不能支撑大数据的实时分析与挖掘；换句话说，现有的his系统缺乏独立于业务运营之外的数据分析能力，因此，目前的医院对于药品倒卖行为仅依赖于一些简单政策，如限制单次购买数量和/或限制每周购买次数等，这些政策并不能对用户的复杂购药行为进行有效识别，也无法检测出异常用户(如药品倒卖人员)，从而无法对异常用户即药品倒卖行为进行有针对性的打击。基于此，本发明实施例提出了一种异常检测系统，请参见图1，该系统包括医院信息管理系统和服务器。其中，所述服务器可以是云端服务器，例如：腾讯私有云对应的云服务器，该服务器包含数据分析平台，该数据分析平台可包括：关系型数据管理系统(structuredquerylanguageserver，sqlserver)导出文件组件、文件到数据库表(hive表)组件、数据匹配计算组件、单就诊卡异常识别组件、团体购药识别组件以及结果输出组件。其中，所述单就诊卡异常识别组件和所述团体购药识别组件是分别基于用户异常识别模型和团体异常识别模型构建的，所述用户异常识别模型和所述团体异常识别模型是预先基于大量用于判断用户和/或团体是否异常的医疗行为特征进行训练后得到的。所述his系统用于对医院业务的运营提供技术支撑，以及对用户的诊疗数据进行管理，此处的用户是指在his系统进行过诸如注册、购药、看诊等行为的患者用户。该his系统可通过数据表的形式对用户的数据进行存储，具体地：所述his系统在接收到各医院终端(例如医生电脑、患者手机、护士电脑等等)上传的用户的诊疗数据后，将所述用户的诊疗数据中包括的基本信息(包括就诊卡号、姓名、性别、联系人姓名、居住地以及身份证号等)存储在基本信息表中，就诊信息(包括就诊科室以及就诊医生等)存储在就诊信息表中，处方信息(包括购药名称、购药数量以及购药金额等)存储在处方信息表中。如图1所示的异常检测系统的工作原理包括：①服务器从his系统中获取任一用户的诊疗数据，在一个实施例中，所述服务器可按照一定的周期(例如每隔10小时、每隔24小时等)通过sqlserver导出文本组件从his系统中导出该用户的诊疗数据。进一步地，可通过hive表组件对导出的诊疗数据进行存储，例如：可通过“loaddatelocal&filepathoverwriteintotable&tablenamepartition(ds＝％yyyymmdd％)”命令对导出的诊疗数据进行存储，在对所述诊疗数据进行存储时，可以将同一时间段内获取的诊疗数据存储在同一分区中，也可将不同时间段获取的诊疗数据存储在同一分区中。②根据用户的诊疗数据构建所述用户的医疗行为特征，该医疗行为特征包括一个或多个诊疗维度，以及各诊疗维度下的一项或多项行为特征数据。具体实现中，可通过数据匹配计算组件从数据库表中提取用户的诊疗数据并构建所述用户的医疗行为特征；在一个实施例中，所述各诊疗维度下的行为特征数据例如可以是：购药总数量、购药次数、5盒购药次数比例、手机号码对应的就诊卡个数、手机号码对应的身份证个数、身份证号对应的手机号个数、手机号/身份证号对应的联系人个数、手机号/身份证号对应的患者个数、手机号/身份证号对应的家庭住址数以及手机号/身份证号平均开药次数等等。③对所述用户的医疗行为特征进行定量分析得出该用户的行为可疑度；具体实现中，可以基于所述数据匹配组件进行定量分析以得出该用户的行为可疑度。④根据用户的行为可疑度检测该用户是否为异常用户。具体地，可采用单就诊卡异常识别组件对所述用户进行异常检测，并基于异常检测结果确定该用户是否为异常用户。进一步，如果多个用户之间存在关联而形成团体，还可以基于团体购药识别组件检测异常团体。⑤通过结果输出组件输出异常检测结果，例如：若检测到异常用户可输出异常用户的医疗行为特征，或若检测到异常团体可输出异常团体的团体关系网络及医疗行为特征。上述异常检测方法可从一个或多个维度对用户的医疗行为(如购药行为、就诊行为等)进行全面分析，能够有效识别出异常的医疗行为，从而检测出异常用户，有利于对异常用户进行针对性的打击，提升his系统的安全性。在上述图1所示的异常检测系统中，服务器和his系统通过内网建立通信连接，此处的内网是指所述服务器和his系统是基于私有协议所建立的网络，所述服务器可通过内网从所述his系统中获取用户的诊疗数据，再由其包括的数据分析平台根据所述诊疗数据对用户的购药行为进行分析，以及对所述用户进行异常检测得到异常检测结果。同理，所述his系统也可通过内网从服务器获取各用户的异常检测结果。所述服务器和所述his系统基于内网交互具有如下优点：①可保证诊疗数据在传输过程的可靠性；②通过独立于his系统的服务器对诊疗数据进行分析及异常检测的过程，不会占用his系统自身的处理资源，保证了不影响所述his系统正常的业务运营；③所述服务器可对用户的诊疗数据进行全面而深入的分析，可有效识别出his系统中的异常用户，从而有利于针对这些异常用户制定更为严谨有效的打击，以保证his系统的安全性，有利于对药品倒卖行为进行具有较强针对性的打击行为。基于上述异常检测系统的实施例的描述，本发明实施例提供了一种异常检测方法的流程示意图；请参见图2，该异常检测方法可以是由图1所示的服务器执行，且本实施例适用于对单个用户进行异常检测。该方法包括：s201，获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据。用户是指在his系统进行过诸如注册、购药、看诊等行为的就诊患者，所述第一用户是his系统中的任一个用户。一个用户对应一条或多条诊疗数据，一条诊疗数据用于表征一个用户的一次医疗行为，例如：某用户在某天某一时间去医院看病，his系统存储该用户的基本信息(如姓名、性别、地址、联系方式、就诊卡号、联系人姓名、居住地、身份证号等)、就诊信息(如就诊科室、就诊时间、就诊医生等)及处方信息(如处方、购买了什么药品、购买数据、购买金额)等，这些信息就构成一条诊疗数据，用于表示该用户的一次医疗行为。所述诊疗数据包括基本信息、就诊信息及处方信息中的任一项或多项。在一个实施例中，诊疗数据是根据各医院终端上传到his系统中和用户(就诊患者)相关的注册数据、购药数据以及看诊数据生成的。此处的医院终端包括但不限于：医生电脑、患者手机、护士电脑等等。his系统在接收到各医院终端上传的诸如注册数据、购药数据和看诊数据的任意一种或多种数据后，将对这些数据进行存储。在一种实施例中，可将这些数据存储在数据表中，例如可将注册数据存储在基本信息表中生成用户的基本信息、将看诊数据存储在就诊信息表中生成用户的就诊信息、以及将购药数据存储在处方信息表中生成用户的处方信息。可以理解的是，属于同一条诊疗数据的基本信息、就诊信息和处方信息相互关联，例如：可以将属于同一条诊疗数据的基本信息、就诊信息和处方信息设置相同的标志，那么，服务器在获取某用户的诊疗数据时，可根据该用户的基本信息的标志，获得相关的就诊信息和处方信息，从而得到该用户的一条完整的诊疗数据。在需要对his系统中存储的用户进行异常检测时，服务器可通过内网从建立通信连接的his系统中获取诊疗数据集合，所述诊疗数据集合包括多个用户的诊疗数据。服务器从his系统获取用户诊疗数据的过程，即是从his系统存储的基本信息表中获取基本信息、从就诊信息表中获取就诊信息以及从处方信息表中获取处方信息的过程。在一个实施例中，所述服务器在从his系统获取到用户的诊疗数据后，可将所述诊疗数据按照预设的存储关系进行分区存储，此处预设的存储关系可以是按照时间进行存储，例如可以将同一时间间隔内获取到的诊疗数据存储在同一分区中；或者，预设的存储关系也可以是按照用户进行存储，例如可以将同一用户的所有诊疗数据存储在同一分区中。在一个实施例中，服务器获取的每个用户的诊疗数据具体包括：基本信息、就诊信息及处方信息中的任意一种或多种，其中，基本信息包括：就诊卡号(所述就诊卡号是所述用户在his系统中进行注册时，his系统为其分配的用于唯一识别就诊患者的身份识别码(identification，id)，所述就诊患者和联系人相关，可能是联系人本人，也可能不是该联系人)、姓名(所述姓名为就诊患者的姓名)、性别(所述性别为就诊患者的性别)、联系人姓名(所述联系人为与就诊患者相关的人，可能为就诊患者本人，也可能不是该就诊患者)、居住地、身份证号以及联系电话中的一项或多项等；就诊信息包括：就诊时间、就诊科室以及就诊医生中的一项或多项；处方信息包括：购药名称、购药数量以及购药金额中的一项或多项。s202，根据所述第一诊疗数据构建所述第一用户的医疗行为特征。所述医疗行为特征用于表征第一用户在一定时间段内(例如一天、48小时内)的医疗行为特点，此处的特点例如是较高频率的购药、在不同且多个科室进行就诊等等。所述医疗行为特征包括：一个或多个诊疗维度，以及各诊疗维度下的一项或多项行为特征数据。所述诊疗维度包括：就诊卡维度、电话维度以及身份维度中的一个或多个，所述行为特征数据包括以下任一项或多项：预设时间段内的平均购药次数、家庭住址的数量、对应的患者数量、联系电话的数量、购买药物的数量、购药总次数和对应的就诊卡数量。例如：第一用户的医疗行为特征可表示为如下向量{预设时间段内的平均购药次数1、家庭地址的数量1、…}{预设时间段内的平均购药次数2、家庭地址的数量2…}{预设时间段内的平均购药次数3、家庭地址的数量3….}，上述向量中{预设时间段内的平均购药次数1、家庭地址的数量1…..}可以用于表示就诊卡维度的医疗行为特征数据，{预设时间段内的平均购药次数2、家庭地址的数量2…}可以用于表示电话维度的医疗行为特征数据；{预设时间段内的平均购药次数3、家庭地址的数量3….}可用于表示身份维度的医疗行为特征数据。可以理解的是，第一用户的医疗行为特征还可以通过数组的方式进行表示。通过步骤s202，对第一用户的医疗行为的异常识别过程就可转换为对第一用户的医疗行为特征(如向量、数组)的定量分析过程，这使得识别过程更为简单且可行。s203，对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度。如前述，所述医疗行为特征包括各诊疗维度下的行为特征数据，上述对医疗行为特征进行定量分析的过程即是对各诊疗维度下的行为特征数据进行定量分析的过程。具体实现中，先确定所述第一用户在目标诊疗维度下的可疑度，并在确定所述第一用户在目标诊疗维度下的可疑度后，进一步获取该第一用户在各诊疗维度下的可疑度，并将各诊疗维度下的可疑度进行加权求和得到所述第一用户的行为可疑度。所述行为可疑度用于标识用户的购药行为的异常程度。当所述第一用户的行为可疑度越大时，表明该第一用户的购药行为越异常，该第一用户为异常用户的可能性也就越大。因此，在确定出所述第一用户的行为可疑度后，可执行步骤s204，以检测出该第一用户是否为异常用户。需要说明的是，所述加权求和指对所述第一用户各诊疗维度下的可疑度在整体评估中占的重要作用设定比例，所有可疑度的比例加起来应为1，然后将各可疑度分别乘以各自的加权比例后再相加，以得到所述第一用户的行为可疑度。s204，根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。在本发明实施例中，为了确定出所述第一用户购药行为的异常程度(即实现通过对所述第一用户的行为可疑度进行检测，确定出所述第一用户是否为异常用户)，可预设一个可疑阈值，将该可疑阈值与所述第一用户的行为可疑度进行比对，并在所述第一用户的行为可疑度大于或等于所述预设可疑阈值时，确定所述第一用户为异常用户。本发明实施例可根据获取的第一用户的第一诊疗数据构建所述第一用户的医疗行为特征，该医疗行为特征包括一个或多个诊疗维度，以及各诊疗维度下的一项或多项行为特征数据。通过对所述第一用户在各诊疗维度下的医疗行为特征数据进行定量分析得到所述第一用户的行为可疑度，进而可根据第一用户的行为可疑度对第一用户进行异常检测。上述的异常检测过程从一个或多个维度对用户的医疗行为(如购药行为、就诊行为等)进行全面分析，能够有效识别出异常的医疗行为，从而检测出异常用户，有利于对异常用户进行针对性的打击，提升his系统的安全性。请参见图3，是本发明另一实施例提供的一种异常检测方法的流程示意图，本实施例所示方法可以是由图1所示的服务器执行，且本实施例适用于对单个用户进行异常检测。如图3所示，所述方法包括：s301，与医院信息管理系统建立通信连接。s302，从所述医院信息管理系统中获取诊疗数据集合，所述诊疗数据集合中包括多个用户的诊疗数据。s303，从所述诊疗数据集合中提取所述第一用户的第一诊疗数据，所述第一用户为所述诊疗数据集合中的任一个用户。步骤s301-s303可以是图2所示的步骤s201的具体细化步骤。其中，所获得的第一用户的第一诊疗数据包括一项或多项医疗行为数据，服务器可通过内网和his系统建立连接，即所述服务器和所述his系统之间的通信网络是基于私有协议建立的，采用内网连接的方式，可保证服务器在从所述his系统中获取用户(如第一用户)的诊疗数据时，不泄漏用户数据(即用户的诊疗数据)，也就避免了泄漏用户的隐私。s304，确定一个或多个诊疗维度。s305，根据所述第一诊疗数据确定各诊疗维度下的一项或多项行为特征数据。s306，根据所述一个或多个诊疗维度和所述各项诊疗维度下的一项或多项行为特征数据构建所述第一用户的医疗行为特征。步骤s304-s306可以是图2所示的步骤s202的具体细化步骤。在确定一个或多个诊疗维度时，服务器可根据所述第一用户的诊疗数据中包括的基本信息确定一个或多个诊疗维度，例如可根据第一用户的就诊卡号确定就诊卡维度、根据所述第一用户的联系电话确定该第一用户的电话维度，以及根据所述第一用户的身份证号确定该第一用户的身份维度。一个或者多个诊疗维度的确定便于后续可分维度对行为特征数据进行定量分析，达到对所述第一用户的医疗行为特征进行全面分析的目的。所述服务器在确定所述第一用户的一个或多个诊疗维度后，可进一步根据所述第一诊疗数据确定各诊疗维度下的行为特征数据，在一个实施例中，所述服务器可将所述第一用户的第一诊疗数据进行归一化处理得到各诊疗维度下的行为特征数据，得到的各项行为特征数据具体包括以下任一项：预设时间段内的平均购药次数、家庭住址的数量、对应的患者数量、联系电话的数量、购买药品的数量、购药总次数以及对应的就诊卡数量。在一个实施例中，可采用求和计算和/或求平均计算实现对第一诊疗数据的归一化处理，得到各诊疗维度下的行为特征数据。例如，根据获得第一诊疗数据的各个时间段对基本信息对应的就诊患者进行求和计算，得到对应的患者数量；根据获得第一诊疗数据的各个时间段对基本信息包括的居住地进行求和计算得到家庭住址总数量，再根据获得所述第一诊疗数据的时间段的数量对所述家庭住址总数量求平均值，得到所述家庭住址数量，以此类推，则可根据第一诊疗数据得到各诊疗维度下的行为特征数据。例如，根据所述第一用户的基本信息确定出的所述第一用户的诊疗维度为：就诊卡维度、电话维度以及身份维度，根据所述第一用户的第一诊疗数据确定出的各诊疗维度下的行为特征数据为：1年内购药(特殊药a)总数765盒、平均每周购药4次、对应家庭住址25个、对应患者10名、联系电话13个、购药总次数为153次，对应就诊卡10张中的一项或多项。s307，采用异常检测算法分析所述第一用户在各诊疗维度下的可疑度。此处的异常检测算法可以包括但不限于：标准差算法、分位数检测算法等等，具体实现中，步骤s307可包括以下步骤：s11，选取任一诊疗维度确定为目标诊疗维度；s12，将所述目标诊疗维度下的各项行为特征数据与所述各项行为特征数据对应的预设特征阈值进行比对；s13，根据比对结果为所述目标诊疗维度下的各项行为特征数据设置分数；s14，将目标诊疗维度下的各项行为特征数据对应的分数进行加权求和得到所述第一用户在所述目标诊疗维度下的可疑度。在步骤s11-s14中，所述预设特征阈值可根据大量已知异常用户在各诊疗维度下的各项异常行为特征数据得出，所述预设特征阈值例如可以是大量已知异常用户在各诊疗维度下各项异常行为特征数据的最小值，也可以是各诊疗维度下各项异常行为特征数据的平均值或者中位数等，此外，各医院也可根据实际情况设定并调整所述预设特征阈值。其中，每项行为特征数据对应有不同的预设特征阈值，例如上述的第一用户的各项行为特征数据对应的预设特征阈值可以是：与1年内购药总数所对应的预设特征阈值为200盒、与平均每周购药次数所对应的预设特征阈值为1次、与对应家庭住址所对应的预设特征阈值为3个、与对应患者所对应的预设特征阈值为2名、与联系电话所对应的预设特征阈值为4个、与购药总次数所对应的预设特征阈值为30次、与对应就诊卡数量所对应的预设特征阈值为2张。此外，各项行为特征数据对应的预设特征阈值还可进一步细分，以更精细地判别各项行为特征数据的可疑度。比如可将所述预设特征阈值细分为第一预设特征阈值和第二预设特征阈值，所述第一预设特征阈值用于区分正常和可疑行为，所述第二预设特征阈值用于区分可疑和高可疑行为。例如，可将所述第一用户1年内购药总数对应的预设特征阈值进一步细分为第一预设特征阈值(150盒)和第二预设特征阈值(200盒)，所述第一预设特征阈值150盒用于区分正常和可疑行为(即将1年内购药总数小于150盒的确定为正常购药行为)，所述第二预设阈值200盒用于区分可疑行为和高可疑行为(即将1年内购药数量大于或等于150盒且小于200盒的确定为可疑购药行为，将1年内购药数量大于或等于200盒的确定为高可疑购药行为)。在对各项行为特征数据对应的预设特征阈值进行细分后，所述将所述目标诊疗维度下的各项行为特征数据与所述各项行为特征数据对应的预设特征阈值进行比对，具体包括了：将目标诊疗维度下的各项行为特征数据与第一预设特征阈值进行比对，和/或，将目标诊疗维度下的各项行为特征数据与第二预设特征阈值进行比对。且所述根据比对结果为所述目标诊疗维度下的各项行为特征数据设置分数，具体包括了：根据与所述第一预设特征阈值的比对结果为所述目标诊疗维度下的各项行为特征数据设置分数，和/或根据与所述第二预设特征阈值的比对结果为所述目标诊疗维度下的各项行为特征数据设置分数。例如，可将各项行为特征数据小于对应的第一预设特征阈值的设置为0分，将行为特征数据大于或等于所述第一预设特征阈值，但小于第二预设特征阈值的设置为1分，将行为特征数据大于或等于所述第二预设特征阈值的设置为2分。在对目标诊疗维度下的各项行为特征数据设置分数后，可将各项行为特征数据的分数乘以各项行为特征数据对应的影响系数，得到各项行为特征的权重分数，再求和得到所述第一用户在目标诊疗维度下的可疑度。在一个实施例中，各项行为特征数据对应的影响权重是根据各项行为特征数据对医院购药秩序的影响情况确定的，例如，购买药物的总数对医院购药秩序的影响很大，当单个用户购买药物的数量很大时，其他用户可能无法购买到药物，所以购买药物的总数的影响系数可以为2，而对应家庭住址数量对医院购药秩序的影响并不大，所以对应家庭住址数量的影响系数可以为1。如果所述第一用户包括的诊疗维度有：就诊卡维度、电话维度以及身份维度，且各诊疗维度下的各项行为特征数据包括：1年内购药(特殊药a)总数765盒、平均每周购药4次、对应家庭住址25个、对应患者10名、联系电话13个、购药总次数为153次，对应就诊卡10张中的一项或多项。以分位数检测算法为例，对所述第一用户在身份维度(即目标诊疗维度)下的可疑度分析过程进行详细说明：首先，从所述身份维度下中选取出用于分析的目标行为特征数据，例如，将1年内购药总数765盒作为目标行为特征数据；再根据分位点(分位数)确定身份维度下1年内购药总数的预设特征阈值，所述分位点是根据大量已知用户在身份维度下的1年内购药总数的分布情况确定的，所述分位点用于描述所述大量已知用户1年内购药总数小于或等于预设特征阈值的用户占总用户的比例，并将已知用户在身份维度下的1年内购药总数分布划分为一个或多个区间范围。所述分位数例如可以为95％和99％，表示基于大量已知用户1年内购药总数的数量分布，95％的用户在身份维度下1年内购药总数小于或等于第一预设特征阈值(如150盒)，99％的用户在身份维度下1年内购药总数小于或等于第二预设特征阈值(如200盒)；由于所述第一用户在身份维度下的1年内购药总数765盒大于预设第二预设特征阈值(200盒)，为所述第一用户在身份维度下的1年内购药总数765盒设置分数为2分，并乘以其对应的影响权重2，得到所述第一用户在身份维度下1年内购药总数765盒的权重分数4分；同理，计算身份维度下的其他行为特征对应的权重分数，再求和得到所述第一用户在身份维度下的可疑度(可疑分数)。s308，对所述第一用户在各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度。在确定所述第一用户在目标诊疗维度(如上述的身份维度)下的可疑度后，可同理计算得出所述第一用户在其他诊疗维度下的可疑度，并对各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度。在一个实施例中，可先确定各诊疗维度的汇总权重值，并基于各诊疗维度下的可疑度，以及各诊疗维度对应的汇总权重值计算得到所述第一用户的行为可疑度。在另一实施例中，也可直接将各诊疗维度下的可疑度相加得到所述第一用户的行为可疑度。例如，在得到所述第一用户在身份维度(即目标诊疗维度)下的可疑度后，可进一步计算所述第一用户在电话维度下的可疑度以及在就诊卡维度下的可疑度，并根据身份维度的汇总权重值、电话维度的汇总权重值、就诊卡维度的汇总权重值，将所述第一用户在身份维度下的可疑度、电话维度下的可疑度以及就诊卡维度下的可疑度进行汇总，得到所述第一用户的行为可疑度。s309，根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。在对所述第一用户的行为可疑度进行检测时，采用不同的异常检测方法，得到的行为可疑度可能为一个数值，也可能为一个百分数，对应地，与所述行为可疑度进行比较的预设可疑阈值也可能是一个数值或者一个百分数。在一个实施例中，所述预设可疑阈值还可根据行为的异常程度进行进一步细分，例如，可将所述预设可疑阈值细分为第一预设可疑阈值和第二预设可疑阈值，所述第一预设可疑阈值用于区分是否为可疑行为(即当所述第一用户的行为可疑度大于或等于所述第一预设可疑阈值时，所述第一用户的购药行为可疑，对应的，确定所述第一用户为异常用户)，所述第二预设可疑阈值用于区分是否为高可疑行为(即当所述第一用户的行为可疑度大于或等于所述第二预设可疑阈值时，确定所述第一用户的购药行为高可疑，对应的，确定所述第一用户为高异常用户)。在一个实施例中，确定所述预设可疑阈值(即确定所述第一预设可疑阈值和第二预设可疑阈值)可以是所述服务器预先设定的；也可以是根据确定的所述his系统中各用户的行为可疑度大小灵活设定的，例如，可将各用户的行为可疑度最大的5％对应的行为可疑度值作为所述第一预设可疑度阈值；将所述各用户的行为可疑度最大的1％对应的行为可疑度值作为所述第二预设可疑阈值。s310，输出异常提示信息，所述异常提示信息包括异常用户的医疗行为特征。在一个实施例中，采用针对所述第一用户的异常检测方法，可对所述诊疗数据集合对应的各用户进行异常检测，并可根据对各用户的异常检测结果输出如图4所示的一种异常提示信息，所述异常提示信息包括异常用户的医疗行为特征，如图所示，各异常用户的医疗行为特征也可分别包括身份维度、电话维度以及就诊卡维度，各维度下的异常行为包括：一天内多次开药、对应多个家庭住址、对应多个患儿、对应多个联系电话、5盒购买次数比例高、购买次数多、购买总量大以及对应多个医通卡等。在如图4所示的异常提示信息中，颜色可用于表示各异常用户的行为可疑度的高低，颜色越浅(如图4中的灰色柱体)代表行为可疑度的程度越低，颜色越深(如图4中的黑色柱体)代表行为可疑度的程度越高。其中，各维度下的异常行为对应的柱状长度代表具有该异常行为的用户数量，其中，所述柱状长度越长，代表有越多的异常用户具有对应的异常行为，也就说明可该项异常行为在对用户进行异常检测的影响值更大(也即该项异常行为对医院购药秩序的影响更大)。在一个实施例中，根据获取的所述第一用户的第一诊疗数据确定所述第一用户的一项或多项行为特征数据以及一个或多个诊疗维度，并在确定各诊疗维度下的行为特征数据后，分析各诊疗维度下的可疑度，进而可对各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度，以及根据所述行为可疑度检测所述第一用户是否为异常用户，在完成对各用户的异常判别后，输出异常用户的异常行为，以支持医院管理者进行决策制定，从而有效遏制药品倒卖行为的产生，维护医院购药秩序。由图2和图3所述的实施例可知，服务器和his系统建立通信连接后，可从his系统中获取诊疗数据集合，所述诊疗数据集合包括一个或多个用户的诊疗数据。所述服务器可从所述诊疗数据集合中获取单个用户(如上述的第一用户)的诊疗数据，并通过对所述单个用户的诊疗数据进行分析，实现对单个用户异常性的检测。此外，所述服务器还可基于所述诊疗数据集合中各用户的诊疗数据，对这些用户进行团体归类得以至少一个团体，进而可基于这些团体中的各用户的诊疗数据对团体进行异常检测。请参见如图5所示的一种异常检测方法，本实施例所示方法可以是由图1所示的服务器执行，且本实施例适用于对团体进行异常检测。所述方法包括：s501，将诊疗数据集合中的多个用户归类为至少一个团体，每个团体包括至少两个用户。诊疗数据集合是根据服务器从his系统中获取的多个用户的诊疗数据组成的，所述服务器获取多个用户的诊疗数据的具体实施方式可参见上述实施例中对第一诊疗数据的获取过程。在一个实施例中，服务器可将诊疗数据集合中包括有至少一项相同基本信息的用户归类为一个团体(也即将所述诊疗数据集合中任意两个存在至少一项相同的基本信息的诊疗数据对应的用户团体归类至同一团体)，也就是说归类后的团体中任意两个用户之间的基本信息至少有一项相同，例如归类后的团体中任意两个用户之间的就诊卡号相同、姓名相同、性别相同、联系人姓名相同、居住地相同、身份证号相同和/或联系电话相同。具体地归类过程可参见图6，针对任意用户(如所述第一用户)，从所述第一用户的就诊卡号1出发，遍历所述诊疗数据集合，查找到与所述就诊卡号1相关联的身份证号1；若所述身份证号1用于标识第一用户，则继续遍历；若所述身份证号1用于标识第一用户之外的第二用户，则第一用户与第二用户相关联，将第一用户与第二用户归类至同一团体。以此类推进行遍历，直到从所述诊疗数据集合找出与第一用户相关联的所有用户，将这些用户进行团体归类。根据上述归类过程可确定出所述第一用户所在的目标团体，在确定所述目标团体后可执行步骤s502。s502，获取第一用户所在的目标团体包括的用户数量。在一个实施例中，所述目标团体是将诊疗数据集合中有至少一项和所述第一用户的基本信息相同的用户进行团体归类后得到的，具体可从所述第一用户的就诊卡号1出发，遍历所述诊疗数据集合找出所有与就诊卡号1相关联的身份证号，且所述与就诊卡号1相关联的身份证号均不用于标识所述第一用户，则所述目标团体包括的用户数量即是所述目标团体包括用户的身份证号的数量。在获取所述第一用户所在的目标团体包括的用户数量后，可检测所述目标团体包括的用户数量是否大于预设数量阈值，并在大于时，执行步骤s503。所述预设数量阈值是根据大量的已知可疑团体(异常团体)包括的用户数量为依据进行设定的，当团体中的用户数量超过所述预设阈值时，说明该团体有较大可能从事药品倒卖活动，因此需要对包括较大用户数量的团体进行异常检测，以排查团体的异常性。在一个实施例在，可将大量已知异常团体中包括用户数量的平均数作为预设数量阈值，也可将所述大量已知异常团体中包括用户数量的最小值作为所述预设数量阈值，还可将所述大量已知异常团体中包括用户数量的中位数作为所述预设数量阈值，此外，各医院可根据实际情况对所述预设数量阈值进行修改。举例来说，如果所述预设数量阈值为5个，当所述目标团体包括的用户数量大于预设数量阈值5个时，则认为该目标团体有较大可能从事药品倒卖活动，则可进一步对该目标团体进行异常检测以确定所述目标团体是否为异常团体；当所述目标团体包括的用户数量小于或等于所述预设数量阈值5时，基于对大量已知异常团体包括用户数量的分析，小用户团体的进行药品倒卖的可能性较低，因此，不对该目标团体进行异常检测。s503，若所述目标团体包括的用户数量大于预设数量阈值，则检测所述目标团体是否异常。在一个实施例中，对目标团体的异常检测的过程可参考上述图2或图3所示实施例中对单个用户进行异常检测的过程，具体地，步骤s503可包括以下步骤：s21，获取所述目标团体包括的所有用户的诊疗数据；s22，根据所述目标团体包括的所有用户的诊疗数据构建所述目标团体的医疗行为特征；s23，对所述目标团体的医疗行为特征进行定量分析得到所述目标团体的行为可疑度；s24，若所述目标团体的行为可疑度小于预设可疑阈值，确定所述目标团体正常；s25，若所述目标团体的行为可疑度大于或等于预设可疑阈值，确定所述目标团体异常。在步骤s21-s25中，与构建单个用户的医疗行为特征不同的是，构建所述目标团体的医疗行为特征时需参考所述目标团体包括的所有用户的诊疗数据，因此，所述目标团体在各诊疗维度下的各项行为特征数据是基于所述目标团体包括的所有用户的诊疗数据得来的。在一个实施例中，可先按照上述确定单个用户(如上述第一用户)在各个诊疗维度下的行为特征数据的方式，得出所述目标团体中所有单个用户在各诊疗维度下的行为特征数据，并对所述目标团体中所有单个用户在各诊疗维度下的行为特征数据按照预设转换规则进行转换，确定出所述目标团体在各诊疗维度下的各项行为特征数据，所述预设转换规则例如可以是求和或者求平均值等计算方法。在构建所述目标团体的医疗行为特征后，类似于对单个用户(如上述第一用户)在各诊疗维度下的可疑度分析方式，可采用异常检测算法(例如：分位数检测算法和标准差算法)分析所述目标团体在各诊疗维度下的可疑度，并通过将各诊疗维度下的可疑度进行汇总得到所述目标团体的行为可疑度，进一步地，可将所述目标团体的行为可疑度和预设可疑阈值进行比对，在所述目标团体的行为可疑度小于预设阈值时，确定所述目标团体正常，在所述目标团体的行为可疑度大于或等于预设阈值时，确定所述目标团体异常。和检测单个用户是否异常时预设的可疑阈值相似的是，和所述目标团体的行为可疑度进行比对的预设可疑阈值也可进一步细分为第一预设可疑阈值和第二预设可疑阈值，以更精确地区分团体的异常程度，即所述第一预设可疑阈值用于区分正常和异常团体，第二预设可疑阈值用于区分异常和高异常团体。而且，所述和所述目标团体的行为可疑度进行比对的预设可疑阈值也可疑时服务器预先设定的或者根据从his系统中确定的各团体的行为可疑度大小灵活设定的，如将各团体中的行为可疑度最大的5％对应的行为可疑度值作为所述第一预设可疑度阈值，将各团体中的行为可疑度最大的1％对应的行为可疑度值作为所述第二预设可疑度阈值。再一个实施例中，还可参照上述对单个用户进行异常检测的方法，对所述目标团体包括的各个用户进行异常检测，并根据对所述目标团体中各个用户的异常检测结果，确定所述目标团体是否异常。具体地，可确定所述目标团体中的异常用户数量；将所述异常用户数量和预设异常数量阈值进行对比，当所述异常用户数量大于或等于预设异常数量阈值时，确定所述目标团体异常，当所述异常用户数量小于所述预设异常数量阈值时，确定所述目标团体正常。其中，所述预设异常数量阈值也可以是根据大量已知异常团体中的异常用户数量确定的。举例来说，如果根据诊疗数据集合归类的目标团体x包括10个用户，由于所述目标团体x包括的用户数量大于预设数量阈值(假设预设数量阈值为5个)认为该目标团体x有较大可能从事药品倒卖活动，需对该目标团体x进行异常排查(即检测该目标团体是否异常)，可根据该目标团体x包括的10个用户的诊疗数据构建该目标团体x的医疗行为特征，并对该目标团体x在各诊疗维度下的医疗行为数据进行定量分析，则可确定该目标团体x是否为异常团体。假设，该目标团体x的医疗行为特征包括3个诊疗维度，分别是身份维度、电话维度以及就诊卡维度，各诊疗维度对应的行为特征数据包括以下至少一种：2年内购药(特殊药a)总量为14572盒、对应北京市和天津市家庭住址共计40个、对应患者30名、联系电话对应23个、共购药2486次、对应就诊卡280张，所述各诊疗维度下的行为特征数据是将是目标团体x中10个用户分别在各诊疗维度下的行为特征数据进行加和后得到的，进一步地，可确定各诊疗维度下的各项行为特征数据对应到的预设特征阈值，假设，2年内购药总量对应的预设特征阈值为500盒，对应的家庭住址数量对应的预设特征阈值为15个，对应患者数量的预设特征阈值为20个、对应联系电话的预设特征阈值为10个，将所述目标团体x在各诊疗维度下的各项行为特征数据与所述各项行为特征数据对应的预设特征阈值进行比对，可见所述目标团体x在各诊疗维度下的各项行为特征数据均大于所述各项行为特征数据对应的预设特征阈值，由此，可确定所述目标团体为异常团体。s504，输出异常提示信息，所述异常提示信息包括异常团体的团体关系网络和医疗行为特征。根据检测所述目标团体是否异常的方法，可确定出所述诊疗数据集合中的多个团体是否异常，当确定所述诊疗数据集合中存在异常团体时，输出异常提示信息，所述异常提示信息包括所述异常团体的团体关系网络和所述异常团体对应的医疗行为特征数据，在一个实施例中，和药物a相关的异常团体的团体关系网络可如图7所示，其中，不同的灰度分别表示和购买所述药物a相关联的就诊卡号、联系电话、身份证号以及为不同团体定义的团体号。在一个实施例中，可将获取的诊疗数据集合进行团体归类，并在对归类后的团体进行异常分析时，确定第一用户所在的目标团体，并确定所述目标团体包括的用户数量，在所述目标团体包括的用户数量大于预设数量阈值时，对所述目标团体的医疗行为特征进行定量分析，以得到所述目标团体的行为可疑度，并基于所述目标团体的行为可疑度确定所述目标团体是否异常，进一步地，在确定出多个异常团体后，可将所述多个异常团体的关系网络以及各异常团体对应的异常医疗行为特征输出，以便于医院管理者可直接探索异常团体的身份关联。本发明实施例还提供了一种异常检测装置，所述异常检测装置用于执行前述任一项所述的方法的单元。具体地，参见图8，是本发明实施例提供的一种异常检测装置的示意框图。本实施例的异常检测装置包括：获取单元801、构建单元802、分析单元803和检测单元804。在本发明实施例中，所述异常检测装置可以设置在一些需要进行异常检测的服务器或者一些专用的检测设备中。获取单元801，用于获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；构建单元802，用于根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；分析单元803，用于对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；检测单元804，用于根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。在一个实施例中，所述获取单元801，具体用于：与医院信息管理系统建立通信连接；从所述医院信息管理系统中获取诊疗数据集合，所述诊疗数据集合中包括多个用户的诊疗数据；从所述诊疗数据集合中提取所述第一用户的第一诊疗数据，所述第一用户为所述诊疗数据集合中的任一个用户；其中，所述诊疗数据包括以下任一种：基本信息、就诊信息及处方信息。在一个实施例中，所述构建单元802，具体用于：确定一个或多个诊疗维度，所述诊疗维度包括：就诊卡维度、电话维度或身份维度；根据所述第一诊疗数据确定各诊疗维度下的一项或多项行为特征数据，其中，所述行为特征数据包括以下任一项或多项：预设时间段内的平均购药次数、家庭住址的数量、对应的患者数量、联系电话的数量、购买药物的数量、购药总次数和对应的就诊卡数量；根据所述一个或多个诊疗维度和所述各项诊疗维度下的一项或多项行为特征数据构建所述第一用户的医疗行为特征。在一个实施例中，所述分析单元803，具体用于：采用异常检测算法分析所述第一用户在各诊疗维度下的可疑度；对所述第一用户在各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度。在一个实施例中，所述分析单元803具体用于采用异常检测算法分析所述第一用户在各诊疗维度下的可疑度时的具体方式为：选取任一诊疗维度确定为目标诊疗维度；将所述目标诊疗维度下的各项行为特征数据与所述各项行为特征数据对应的预设特征阈值进行比对；根据比对结果为所述目标诊疗维度下的各项行为特征数据设置分数；将目标诊疗维度下的各项行为特征数据对应的分数进行加权求和得到所述第一用户在所述目标诊疗维度下的可疑度。在一个实施例中，所述分析单元803具体用于对所述第一用户在各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度时的具体方式为：获取第一用户在各诊疗维度下的可疑度；对所述第一用户在各诊疗维度下的可疑度进行加权求和得到所述第一用户的行为可疑度。在一个实施例中，所述检测单元804，具体用于：若所述第一用户的行为可疑度小于预设可疑阈值时，则确定所述第一用户为正常用户；若所述第一用户的行为可疑度大于或等于所述预设可疑阈值时，则确定所述第一用户为异常用户。在一个实施例中，所述装置还包括：归类单元805。归类单元805，用于将所述诊疗数据集合中的多个用户归类为至少一个团体，每个团体包括至少两个用户；所述获取单元801，还用于获取所述第一用户所在的目标团体包括的用户数量；所述检测单元804，还用于若所述目标团体包括的用户数量大于预设数量阈值，则检测所述目标团体是否异常；其中，属于同一团体的任意两个用户的诊疗数据存在关联，所述存在关联包括：存在至少一项相同的基本信息，所述基本信息包括以下任一项或多项：就诊卡号、姓名、性别、联系人姓名、居住地、身份证号和联系电话。在一个实施例中，所述检测单元801，还具体用于：获取所述目标团体包括的所有用户的诊疗数据；根据所述目标团体包括的所有用户的诊疗数据构建所述目标团体的医疗行为特征；对所述目标团体的医疗行为特征进行定量分析得到所述目标团体的行为可疑度；若所述目标团体的行为可疑度小于预设可疑阈值，确定所述目标团体正常；若所述目标团体的行为可疑度大于或等于预设可疑阈值，确定所述目标团体异常。在一个实施例中，所述装置还包括：输出单元806。输出单元806，用于输出异常提示信息，所述异常提示信息包括异常用户的医疗行为特征，和/或异常团体的团体关系网络和医疗行为特征。根据本发明的一个实施例，图2、图3和图5所示的方法所涉及的各个步骤均可以是由图8所示的异常检测装置中的各个单元来执行的。例如，图2所示的步骤s201-s204可以分别由图8所示的获取单元801、构建单元802、分析单元803以及检测单元804来执行；图3所示的步骤s301-s310可分别由获取单元801、构建单元802、分析单元803、检测单元804以及输出单元806来执行；图5所示的步骤s501-s504可分别由获取单元801、检测单元804、归类单元805以及输出单元806来执行。根据本发明的另一实施例，图8所示的异常检测装置中的各个单元可以分别或全部合并为一个或若干个另外的单元来构成，或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成，还可以实现同样的操作，而不影响本发明的实施例的技术效果的实现。上述单元是基于逻辑功能划分的，在实际应用中，一个单元的功能也可以由多个单元来实现，或者多个单元的功能由一个单元实现。在本发明的其他实施例中，异常检测装置也可以包括其他单元，在实际应用中，这些功能也可以由其他单元协助实现，并且可以由多个单元协作实现。根据本发明的另一个实施例，可以通过包括中央处理单元(cpu)、随机存取存储介质(ram)、只读存储介质(rom)等处理原件和存储原件的例如计算机的同样计算设备上运行能够执行如图2、图3和图5所示的相应方法所涉及的各步骤的计算机程序(包括程序代码)，来构造如图8中所示的异常检测装置设备，以及来实现本发明实施例的异常检测方法。所述计算机程序可以记载于上述计算设备中，并在其中运行。本发明实施例构建单元802可根据获取单元801获取的第一用户的第一诊疗数据构建所述第一用户的医疗行为特征，该医疗行为特征包括一个或多个诊疗维度，以及各诊疗维度下的一项或多项行为特征数据。分析单元803通过对所述第一用户在各诊疗维度下的医疗行为特征数据进行定量分析得到所述第一用户的行为可疑度，进而检测单元804可根据第一用户的行为可疑度对第一用户进行异常检测。上述的异常检测过程从一个或多个维度对用户的医疗行为(如购药行为、就诊行为等)进行全面分析，能够有效识别出异常的医疗行为，从而检测出异常用户，有利于对异常用户进行针对性的打击，提升his系统的安全性。基于上述实施例所示的异常检测方法及异常检测装置，本发明实施例还提供了一种服务器。请参见图9，该服务器的内部结构至少包括处理器901、通信接口902及存储器903。其中，服务器内的处理器901、通信接口902及存储器903可通过总线904或其他方式连接，在本发明实施例所示图9中以通过总线连接为例。通信接口902是实现服务器与终端之间进行交互和信息交换的媒介。处理器901(或称cpu(centralprocessingunit，中央处理器))是服务器的计算核心以及控制核心，其适于实现一条或一条以上指令，具体适于加载并执行一条或一条以上指令从而实现相应方法流程或相应功能；本发明实施例所述的处理器901用于根据获取到的第一用户的第一诊疗数据对该第一用于进行一系列的异常检测处理，包括：获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户；等等。存储器903(memory)是服务器中的记忆设备，用于存放程序和数据。可以理解的是，此处的存储器903既可以包括服务器的内置存储介质，当然也可以包括服务器所支持的扩展存储介质。存储器903提供存储空间，该存储空间存储了服务器的操作系统。并且，在该存储空间中还存放了适于被处理器901加载并执行的一条或一条以上的指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的存储器903可以是高速ram存储器，也可以是非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器；可选的还可以是至少一个位于远离前述处理器901的存储器903。在本发明实施例中，处理器901加载并执行存储器903中存放的一条或一条以上指令，以实现上述图像处理方法流程的相应步骤；具体实现中，存储器903中的一条或一条以上指令由处理器901加载并执行如下步骤：获取第一用户的第一诊疗数据，所述第一诊疗数据包括一项或多项医疗行为数据；根据所述第一诊疗数据构建所述第一用户的医疗行为特征，所述医疗行为特性包括一个或多个诊疗维度及各诊疗维度下的一项或多项行为特征数据；对所述第一用户的医疗行为特征进行定量分析得到所述第一用户的行为可疑度；根据所述第一用户的行为可疑度检测所述第一用户是否为异常用户。在一个实施例中，所述处理器901还用于执行：与医院信息管理系统建立通信连接；从所述医院信息管理系统中获取诊疗数据集合，所述诊疗数据集合中包括多个用户的诊疗数据；从所述诊疗数据集合中提取所述第一用户的第一诊疗数据，所述第一用户为所述诊疗数据集合中的任一个用户；其中，所述诊疗数据包括以下任一种：基本信息、就诊信息及处方信息。在一个实施例中，所述处理器901还用于执行：确定一个或多个诊疗维度，所述诊疗维度包括：就诊卡维度、电话维度或身份维度；根据所述第一诊疗数据确定各诊疗维度下的一项或多项行为特征数据，其中，所述行为特征数据包括以下任一项或多项：预设时间段内的平均购药次数、家庭住址的数量、对应的患者数量、联系电话的数量、购买药物的数量、购药总次数和对应的就诊卡数量；根据所述一个或多个诊疗维度和所述各项诊疗维度下的一项或多项行为特征数据构建所述第一用户的医疗行为特征。在一个实施例中，所述处理器901还用于执行：采用异常检测算法分析所述第一用户在各诊疗维度下的可疑度；对所述第一用户在各诊疗维度下的可疑度进行汇总得到所述第一用户的行为可疑度。在一个实施例中，所述处理器901还用于执行：选取任一诊疗维度确定为目标诊疗维度；将所述目标诊疗维度下的各项行为特征数据与所述各项行为特征数据对应的预设特征阈值进行比对；根据比对结果为所述目标诊疗维度下的各项行为特征数据设置分数；将目标诊疗维度下的各项行为特征数据对应的分数进行加权求和得到所述第一用户在所述目标诊疗维度下的可疑度。在一个实施例中，所述处理器901还用于执行：获取第一用户在各诊疗维度下的可疑度；对所述第一用户在各诊疗维度下的可疑度进行加权求和得到所述第一用户的行为可疑度。在一个实施例中，所述处理器901还用于执行：若所述第一用户的行为可疑度小于预设可疑阈值时，则确定所述第一用户为正常用户；若所述第一用户的行为可疑度大于或等于所述预设可疑阈值时，则确定所述第一用户为异常用户。在一个实施例中，所述处理器901还用于执行：将所述诊疗数据集合中的多个用户归类为至少一个团体，每个团体包括至少两个用户；获取所述第一用户所在的目标团体包括的用户数量；若所述目标团体包括的用户数量大于预设数量阈值，则检测所述目标团体是否异常；其中，属于同一团体的任意两个用户的诊疗数据存在关联，所述存在关联包括：存在至少一项相同的基本信息，所述基本信息包括以下任一项或多项：就诊卡号、姓名、性别、联系人姓名、居住地、身份证号和联系电话。在一个实施例中，所述处理器901还用于执行：获取所述目标团体包括的所有用户的诊疗数据；根据所述目标团体包括的所有用户的诊疗数据构建所述目标团体的医疗行为特征；对所述目标团体的医疗行为特征进行定量分析得到所述目标团体的行为可疑度；若所述目标团体的行为可疑度小于预设可疑阈值，确定所述目标团体正常；若所述目标团体的行为可疑度大于或等于预设可疑阈值，确定所述目标团体异常。在一个实施例中，所述处理器901还用于执行：输出异常提示信息，所述异常提示信息包括异常用户的医疗行为特征，和/或异常团体的团体关系网络和医疗行为特征。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。以上所揭露的仅为本发明的部分实施例而已，当然不能以此来限定本发明之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于发明所涵盖的范围。当前第1页12当前第1页12