用户请求的检测方法、装置、计算机设备及存储介质与流程

本发明实施例涉及金融领域，尤其是一种用户请求的检测方法、装置、计算机设备及存储介质。

背景技术：

随着互联网技术的发展，网络在人们的工作、生活、学习中的作用越来越重要。为保证用户的网络安全，需要时时检测网络用户是否存在异常。异常行为指的是对网络正常运行造成影响的行为。

通常情况下，在检测用户是否存在异常时，由于检测模型较差通常得到的结果不准确。例如，在发送用户注册请求或验证请求时，服务器获取终端的设备数据作为样本数据，并利用样本数据构建模型。但是，由于眼版本数据基本来标称属性，只有少数的数据为数值型，对于标称属性的数据由于难以挖掘有效的分类特征，导致得到的模型较差，进而降低检测异常行为的准确性。

技术实现要素：

本发明实施例提供一种用户请求的检测方法、装置、计算机设备及存储介质。

为解决上述技术问题，本发明创造的实施例采用的一个技术方案是：提供一种用户请求的检测方法，包括下述步骤：

获取发送用户请求的终端的设备数据；

采用预设的分值特征对从所述设备数据中提取到的组合特征构造的特征集合；

按照所述特征集合的类型将所述特征集合输入到多个异常检测模型中，得到判断所述用户请求是否异常的检测结果，并采用预设的判断方法对所述检测结果进行判断，以确定所述用户请求是否异常，其中，所述异常检测模型为预先采用正样本或负样本特征集合训练至收敛状态，用于通过特征集合对终端进行安全性分类的检测模型。

可选地，所述采用预设的分值特征对从所述设备数据中提取到的组合特征构造特征集合，包括：

从所述设备数据中提取组合特征；

将所述组合特征与预设的分值特征进行比对；

当所述组合特征与所述分值特征一致时，将所述组合特征添加到正样本集合中；

当所述组合特征与所述分值特征不一致时，将所述组合特征添加到负样本集合中。

可选地，所述从所述设备数据中提取组合特征，包括：

从所述设备数据中提取多个单一特征；

获取每个单一特征的关联度；

将关联度相同的多个单一特征的组合作为所述组合特征。

可选地，所述按照所述特征集合的类型将所述特征集合输入到异常检测模型中，得到用户是否异常的检测结果之前，还包括：

获取所述终端的样本数据；

从所述样本数据中提取组合特征，其中，所述组合特征均设置有标记；

通过标记的样本数据对预设的检测模型进行训练，得到所述异常检测模型，其中，所述样本数据包括正样本特征数据和负样本特征数据。

可选地，所述采用预设的判断方法对得到的检测结果进行判断，以确定发送用户请求的用户是否异常，包括：

获取所述多个检测结果的判断类别；

根据每个模型预设的权重对所述多个模型得到的判断类别进行加权运算，得到发送用户请求的用户是否异常的判定结果。

可选地，所述获取发送用户请求的终端的设备数据，包括：

接收所述终端发送的用户请求；

根据所述用户请求中的识别码从服务器中提取预存的设备数据。

可选地，所述按照所述特征集合的类型将所述特征集合输入到多个异常检测模型中，包括；

当所述特征集合为正特征集合时，将所述特征集合输入到由正样本特征训练得到的异常检测模型中。

为解决上述技术问题，本发明实施例还提供一种用户请求的检测装置，包括：

获取模块，用于获取发送用户请求的终端的设备数据；

处理模块，用于采用预设的分值特征对从所述设备数据中提取到的组合特征构造的特征集合；

执行模块，用于按照所述特征集合的类型将所述特征集合输入到多个异常检测模型中，得到判断所述用户请求是否异常的检测结果，并采用预设的判断方法对所述检测结果进行判断，以确定所述用户请求是否异常，其中，所述异常检测模型为预先采用正样本或负样本特征集合训练至收敛状态，用于通过特征集合对终端进行安全性分类的检测模型。

可选地，所述处理模块包括：

第一获取子模块，用于从所述设备数据中提取组合特征；

第一处理子模块，用于将所述组合特征与预设的分值特征进行比对；

第一执行子模块，用于当所述组合特征与所述分值特征一致时，将所述组合特征添加到正样本集合中；

第二执行子模块，用于当所述组合特征与所述分值特征不一致时，将所述组合特征添加到负样本集合中。

可选地，所述第一获取子模块包括：

第二获取子模块，用于从所述设备数据中提取多个单一特征；

第三获取子模块，用于获取每个单一特征的关联度；

第二处理子模块，用于将关联度相同的多个单一特征的组合作为所述组合特征。

可选地，还包括：

第四获取子模块，用于获取所述终端的样本数据；

第五获取子模块，用于从所述样本数据中提取组合特征，其中，所述组合特征均设置有标记；

第三执行子模块，用于通过标记的样本数据对预设的检测模型进行训练，得到所述异常检测模型，其中，所述样本数据包括正样本特征数据和负样本特征数据。

可选地，所述执行模块包括：

第六获取子模块，用于获取所述多个检测结果的判断类别；

第四执行子模块，用于根据每个模型预设的权重对所述多个模型得到的判断类别进行加权运算，得到发送用户请求的用户是否异常的判定结果。

可选地，所述获取模块包括：

第七获取子模块，用于接收所述终端发送的用户请求；

第八获取子模块，用于根据所述用户请求中的识别码从服务器中提取预存的设备数据。

可选地，所述执行模块包括；

第五执行子模块，用于当所述特征集合为正特征集合时，将所述特征集合输入到由正样本特征训练得到的异常检测模型中。

为解决上述技术问题，本发明实施例还提供一种计算机设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行上述所述用户请求的检测方法的步骤。

为解决上述技术问题，本发明实施例还提供一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述所述用户请求的检测方法的步骤。

本发明实施例的有益效果是：通过采用分值特征对从设备数据中提取到的组合特征构造特征集合，并按照所特征集合的类型将所述特征集合输入到异常检测模型中，该方法中对标称属性的文本型设备数据构造特征集合，可以挖掘出有效的分类特征集，提高识别的准确性。此外，采用判断方法对多个模型输出的结果进行判断，可以更加全面的得到检测结果，有效的避免了单一模型的片面性问题，同时降低了由于样本不均衡导致单一异常检测模型的不准性，提高了异常检测的准确率。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的用户请求的检测方法的基本流程示意图；

图2为本发明实施例提供的一种获取发送用户请求的终端的设备数据的方法的基本流程示意图；

图3为本发明实施例提供的一种采用预设的分值特征对从设备数据中提取到的组合特征构造特征集合的方法的基本流程示意图；

图4为本发明实施例提供的一种从设备数据中提取组合特征的方法的基本流程示意图；

图5为本发明实施例提供的一种训练异常检测模型的方法的基本流程示意图；

图6为本发明实施例提供的一种采用预设的判断方法对得到的检测结果进行判断，以确定发送用户请求的用户是否异常的方法的基本流程示意图；

图7为本发明实施例提供的用户请求的检测装置基本结构框图；

图8为本发明实施例提供的计算机设备基本结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

在本发明的说明书和权利要求书及上述附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如101、102等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例

本技术领域技术人员可以理解，这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备，其仅具备无发射能力的无线信号接收器的设备，又包括接收和发射硬件的设备，其具有能够在双向通信链路上，执行双向通信的接收和发射硬件的设备。这种设备可以包括：蜂窝或其他通信设备，其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备；pcs(personalcommunicationsservice，个人通信系统)，其可以组合语音、数据处理、传真和/或数据通信能力；pda(personaldigitalassistant，个人数字助理)，其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或gps(globalpositioningsystem，全球定位系统)接收器；常规膝上型和/或掌上型计算机或其他设备，其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的，或者适合于和/或配置为在本地运行，和/或以分布形式，运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端，例如可以是pda、mid(mobileinternetdevice，移动互联网设备)和/或具有音乐/视频播放功能的移动电话，也可以是智能电视、机顶盒等设备。

本实施方式中的客户终端即为上述的终端。

具体地，请参阅图1，图1为本实施例用户请求的检测方法的基本流程示意图。

如图1所示，用户请求的检测方法包括下述步骤：

s1100、获取发送用户请求的终端的设备数据；

用户请求为终端向服务器发送的请求，其中，用户请求可以为注册请求或验证请求。通常情况下，当发送注册请求时，注册请求中包含发送注册请求的终端的设备数据。发送验证请求时，验证请求中包括发送验证请求的终端的识别码，服务器通过识别码在数据库中查询预先存储的设备数据。

在一些实施方式中，还可以通过javascript脚本来获取终端的设备数据。需要说明的是，终端的设备数据包括：设备类型、品牌、系统类型、版本、分辨率，ip地址等。

s1200、采用预设的分值特征对从设备数据中提取到的组合特征构造的特征集合；

本发明实施例中，从设备数据中提取组合特征，其中，设备数据的组合特征可以为设备类型、品牌、系统类型、版本、分辨率，ip地址等的多种的组合。对该组合特征进行赋值，根据组合特征的取值范围设定区分值，即分值特征，以及将所有组合特征的取值按照正负样本分布分为正样本特征和负样本特征，即将所有的正样本特征和负样本特征作为特征集合。

在实际应用中，根据正负样本分布，选择具有区分性的取值点；以此取值点作为基准，等于此取值点的样本标记为0，否则标记为1，或在此特征不同取值子集下，根据正负样本分布，选择具有区分性的取值子集，以此子集作为基准，样本取值属于此集合标记为0，否则标记为1，构造特征集。

举例说明，以设备类型和系统类型为例，为第一设备类型和第一系统类型作为第一组合特征，并赋值为1，将第二设备类型和第二系统类型作为第二组合特征，并赋值为2，确定1为分值特征的取值点，将第一设备类型和第一系统类型的组合特征划分到一个样本集中并标记为0作为正样本集，将第二设备类型和第二设备类型的组合特征划分到一个样本集中并标记为1作为负样本集。

本发明实施例中，按照以上方法分别将设备品牌、系统类型、版本、分辨率，ip地址等组合而成的组合特征依次添加到上述的正样本集和负样本集中。需要说明的是，对于组合特征的赋值，在实际应用中，可以按照预设的取值方法进行取值，例如对于真实存在的设备数据可以选取预设的值。对于组合特征的组合方法，也可以按照预设的方法进行组合，组合的个数不作限定，一般情况下可以按照实际应用进行组合，例如，ios系统和苹果品牌进行组合后形成的组合特征。

以上构造特征集合的方法对于复杂的文本型设备数据，可以有效的将文本数据转换为0-1二值特征，生成具有区分性的特征集合，挖掘出有效的分类特征集。

s1300、按照特征集合的类型将特征集合输入到多个异常检测模型中，得到判断用户请求是否异常的检测结果，并采用预设的判断方法对检测结果进行判断，以确定用户请求是否异常，其中，异常检测模型为预先采用正样本或负样本特征集合训练至收敛状态，用于通过特征集合对终端进行安全性分类的检测模型。

具体地，可以选择将正特征集合或者负特征集合输入到异常检测模型中。当特征集合为正特征集合时，将特征集合输入到由正样本特征训练得到的异常检测模型中，当特征集合为负特征集合时，将特征集合输入到由负样本特征训练得到的异常检测模型中。

检测结果分为两类，一种是该用户请求存在异常，另一种是该用户请求正常。本发明实施例中，多个模型包括：通过正样本集合和负样本集合训练gaussian分布的naivebayes(朴素贝叶斯算法)作为有监督的分类模型得到的第一模型，利用正样本特征集合训练无监督的孤立森林算法得到的第二模型，利用负样本特征集合训练无监督的孤立森林算法得到的第三模型，利用正样本特征集合训练无监督的oneclasssvm算法得到的第四模型和利用负样本特征集合训练无监督的oneclasssvm算法得到的第五模型。

对上述模型训练时，采用做了标记的样本特征集进行训练。需要说明的是，在获取样本特征集时，为了确保样本数据的准确性，服务器在获取终端的设备数据后，将获取到设备数据与预先得到的参考设备数据进行比对，并将比对一致的设备数据作为样本数据。例如，参考设备数据为采用爬虫算法、自动化设备以及正常验证等途径得到数据。将比对一致的数据作为样本数据可以确保样本特征集的准确性，进而提高异常检测模型识别的准确度。

需要说明的是，对比对一致的样本数据提取组合特征，将该组合特征作为正样本特征集合。以及利用正样本集合对上述模型进行训练，如此，上述模型均可以区分正样本特征。将特征集合输入到训练好的异常检测模型后，可以得出两个分类，一种是与正样本具有相同的类别，可以认为得到的检测结果正常，另一种是与正样本不同的类别，认为检测结果异常。同理，获取标记的负样本特征集，对上述模型进行训练，得到的模型可以区分负样本特征。将特征集合输入到训练好的异常检测模型后，得到两个分类，一种是与负样本具有相同的类别，认为得到的检测结果异常，另外一种与负样本不同的类别被认为检测结果正常。

上述用户请求的检测方法，通过采用分值特征对从设备数据中提取到的组合特征构造特征集合，并按照所特征集合的类型将所述特征集合输入到异常检测模型中，该方法中对标称属性的文本型设备数据构造特征集合，可以挖掘出有效的分类特征集，提高识别的准确性。此外，采用判断方法对多个模型输出的结果进行判断，可以更加全面的得到检测结果，有效的避免了单一模型的片面性问题，同时降低了由于样本不均衡导致单一异常检测模型的不准性，提高了异常检测的准确率。

本发明实施例提供一种获取发送用户请求的终端的设备数据的方法，如图2所示，图2为本发明实施例提供的一种获取发送用户请求的终端的设备数据的方法的基本流程示意图。

具体地，如图2所示，步骤s1100包括下述步骤：

s1110、接收终端发送的用户请求；

用户请求为终端向服务器发送的请求，其中，用户请求可以为注册请求、验证请求以及其它获取数据的请求。一般情况下，注册请求中包含识别码，识别码为唯一识别终端的字符串，例如，imei。

s1120、根据用户请求中的识别码从服务器中提取预存的设备数据。

设备数据包括：设备类型、品牌、系统类型、版本、分辨率，ip地址等。在一些实施方式中，用户请求中携带了ip地址、版本等设备数据。通常情况下，服务器中预存有终端的设备信息，例如设备类型、设备品牌、所使用的系统类型等，当发送用户请求时，验服务器通过识别码在数据库中查询预先存储的设备数据。在一些实施方式中，预存的设备数据是终端在首次发送注册请求时，注册请求中携带的。在一些实施方式中，还可以通过javascript脚本来获取终端的设备数据。

在实际应用中，由于设备数据中包括大量的文本型数据，对于文本型数据不能挖掘有效的分类特征，因此，为了解决这一特征，本发明实施提供一种采用预设的分值特征对从设备数据中提取到的组合特征构造特征集合的方法，如图3所示，图3为本发明实施例提供的一种采用预设的分值特征对从设备数据中提取到的组合特征构造特征集合的方法的基本流程示意图。

具体地，如图3所示，步骤s1200包括下述步骤：

s1210、从设备数据中提取组合特征；

本发明实施例中，服务器从设备数据中提取单一特征，再按照预设的组合规则将单一特征进行组合，得到组合特征。

预设的组合规则为将多个单一特征进行分类的方法，例如，可以将设备品牌与设备系统作为一个组合特征，也可以将设备型号和分辨率作为组合特征。通过采用组合特征可以便于识别特征是否异常，例如，ios系统与苹果设备作为组合特征时，是正样本，android系统与苹果设备作为组合特征时，即为负样本。

本发明实施例提供一种从设备数据中提取组合特征的方法，如图4所示，图4为本发明实施例提供的一种从设备数据中提取组合特征的方法的基本流程示意图。

具体地，如图4所示，步骤s1210包括下述步骤：

s1211、从设备数据中提取多个单一特征；

设备数据的单一特征可以为设备类型、品牌、系统类型、版本、分辨率，ip地址等的任一种。本发明实施例中，服务器预设有提取的关键词或者格式，并按照关键词或者格式从设备数据中进行提取。例如，ip地址有固定的格式，服务器预设有ip地址的格式，并从设备数据中选取与预设的格式相同的字符作为ip地址。例如，对于系统类型，服务器中预设有ios和android两种关键词，并从设备数据中提取与关键词相同的ios或者android作为系统类型。

s1212、获取每个单一特征的关联度；

关联度用于表征每个单一特征之间的关联性，本实施例中，关联度的设置用于使得将单一特征组合后更容易表示特征的真实或异常。其中，关联度为预设的数值或等级。例如，获取到的设备数据中通常包含多个种类的数据，即设备类型和该设备所使用的系统类型，通常设备类型和系统类型相互关联后更容易表示特征的真实或异常。举例说明，对于苹果品牌、ios系统和android系统，作为单一特征来说均为真实的数据，但是将android系统和苹果品牌作为组合特征则为异常数据。

s1213、将关联度相同的多个单一特征的组合作为组合特征。

关联度可以为字符、数字、字母的一种或者多种的组合，本发明实施例中，从设备数据中提取关联度相同的单一特征进行组合，即得到组合特征。

s1220、将组合特征与预设的分值特征进行比对；

分值特征为可以对组合特征区分正负，即真实或异常的取值，本发明实施例中，将提取到的多个组合特征进行赋值，举例说明，以设备类型和系统类型为例，为第一设备类型和第一系统类型作为第一组合特征，并赋值为1，将第二设备类型和第二系统类型作为第二组合特征，并赋值为2，确定1为分值特征的取值点，将第一设备类型和第一系统类型的组合特征划分到一个样本集中并标记为0作为正样本集，将第二设备类型和第二设备类型的组合特征划分到一个样本集中并标记为1作为负样本集。

本发明实施例中，终端发送的用户请求中包括多个种类的设备数据，多种设备数据的组合作为组合特征均被赋值，以及每个赋值的组合特征均设置有分值特征。将每个组合特征的值与对应的分值特征进行比对。

s1230、当组合特征与分值特征一致时，将组合特征添加到正样本集合中。

s1240、当组合特征与分值特征不一致时，将组合特征添加到负样本集合中。

本发明实施例提供一种训练异常检测模型的方法，如图5所示，图5为本发明实施例提供的一种训练异常检测模型的方法的基本流程示意图。

具体地，如图5所示，步骤s1300之前还包括：

s1310、获取终端的样本数据；

需要说明的是，为了确保正样本数据的准确性，在获取正样本数据时，通过多种途径获取样本终端的多种设备数据；将多种设备数据分别进行比对；将比对一致的设备数据作为正样本数据。

例如，可以通过爬虫算法、自动化设备及正常验证等途径得到多种设备数据，例如，可以得到设备的类型、品牌、系统类型、版本、分辨率，ip地址等的任一种。在比对的过程中，将同一种类型的设备数据进行比对，例如，将多种途径获得的品牌的数据进行比对，将多种途径获得的版本的设备数据进行比对。其中，比对一致的数据认为是准确的，作为样本数据，如此，可以大大的提高样本数据的准确性。

在一些实施方式中，通过同类型的设备数据有多个，存在多个相同的或者一个或多个不同的数据时，选取相同个数较多的设备数据作为样本数据。

在获取负样本数据时，可以选取已经确定用户请求异常的数据作为负样本数据。

s1320、从样本数据中提取组合特征，其中，组合特征均设置有标记；

本发明实施例中，提取组合特征的方法请参照图3所述的实施例，在此不再赘述。需要说明的是，上述正样本数据均为准确的样本数据。通过正样本数据对模型进行训练，训练得到的异常检测模型对用户请求的设备训练进行计算时，得到的分类结果包括两种，一种是符合正样本分类值的正常结果，另一种是不符合正样本分类值的异常结果。

s1330、通过标记的样本数据对预设的检测模型进行训练，得到异常检测模型，其中，样本数据包括正样本特征数据或负样本特征数据。

通过上述方法得到的正样本数据对oneclasssvm和孤立森林分类模型进行训练。本发明实施例中，获取负样本数据，并将负样本数据对oneclasssvm和孤立森林分类模型进行训练。以及采用正样本数据和负样本数据对naivebayes(朴素贝叶斯算法)进行训练，得到五种异常检测模型。

需要说明的是，利用正样本数据训练的模型可以识别与正样本数据具有相同特征的数据，利用负样本数据训练的模型可以识别与负样本数据具有相同特征的数据。

训练方法如下所示：

上述标记的训练数据输入到模型中，获取模型输出的激励分类值；比对期望分类值与激励分类值之间的距离是否小于或等于预设的阈值；当期望分类值与激励分类值之间的距离大于预设的阈值时，反复循环迭代的通过反向算法更新检测模型中的权重，至期望分类值与激励分类值之间的距离小于或等于预设的阈值时结束。

激励分类值是模型根据输入的样本数据得到的激励数据，在模型未被训练至收敛之前，激励分类值为离散性较大的数值，当模型未被训练至收敛之后，激励分类值为相对稳定的数据。

需要说明的是，当激励分类值与设定的期望分类值不一致时，需要采用随机梯度下降算法对模型中的权重进行校正，以使模型的输出结果与分类判断信息的期望结果相同。通过若干训练样本集(在一些实施方式中，训练时将所有样本数据打乱进行训练，以增加模型的靠干扰能力，增强输出的稳定性。)的反复的训练与校正，当检测模型输出分类数据与各训练样本的分类参照信息比对达到(不限于)99.5％时，训练结束。

为了避免正样本数据和负样本数据不平衡带来的误差，本发明实施例提供一种采用预设的判断方法对得到的检测结果进行判断，以确定发送用户请求的用户是否异常的方法，图6所示，图6为本发明实施例提供的一种采用预设的判断方法对得到的检测结果进行判断，以确定发送用户请求的用户是否异常的方法的基本流程示意图。

具体地，如图6所示，步骤s1300包括下述步骤：

s1301、获取多个检测结果的判断类别；

判断类别包括：检测正常和检测异常两种结果。本发明实施例中采用了五种异常检测模型，得到了五种检测结果。

s1302、根据每个模型预设的权重对多个模型得到的判断类别进行加权运算，得到发送用户请求的用户是否异常的判定结果。

每个模型预设的权重可以根据模型识别的准确率进行设置，对准确率高的设置的权重较大，准确率低的设置的权重较小。假设检测结果正常或异常的比重均设置为1则按照权重相乘即可得到检测结果为正常的数值和检测结果为异常的数值，将二者进行比较，数值大的即为最终的检测结果。

例如，例如五个模型的准确率相同，权重相同，最后得到的检测结果两个为正常，三个为异常，则结果为异常的数值较大，确定最终的结果为异常。

为解决上述技术问题本发明实施例还提供一种用户请求的检测装置。具体请参阅图8，图8为本实施例用户请求的检测装置基本结构框图。

如图8所示，一种用户请求的检测装置，包括：获取模块2100、处理模块2200和执行模块2300。其中，获取模块2100，用于获取发送用户请求的终端的设备数据；处理模块2200，用于采用预设的分值特征对从所述设备数据中提取到的组合特征构造的特征集合；执行模块2300，用于按照所述特征集合的类型将所述特征集合输入到多个异常检测模型中，得到判断所述用户请求是否异常的检测结果，并采用预设的判断方法对所述检测结果进行判断，以确定所述用户请求是否异常，其中，所述异常检测模型为预先采用正样本或负样本特征集合训练至收敛状态，用于通过特征集合对终端进行安全性分类的检测模型。

用户请求的检测装置通过采用分值特征对从设备数据中提取到的组合特征构造特征集合，并按照所特征集合的类型将所述特征集合输入到异常检测模型中，该方法中对标称属性的文本型设备数据构造特征集合，可以挖掘出有效的分类特征集，提高识别的准确性。此外，采用判断方法对多个模型输出的结果进行判断，可以更加全面的得到检测结果，有效的避免了单一模型的片面性问题，同时降低了由于样本不均衡导致单一异常检测模型的不准性，提高了异常检测的准确率。

在一些实施方式中，所述处理模块包括：第一获取子模块，用于从所述设备数据中提取组合特征；第一处理子模块，用于将所述组合特征与预设的分值特征进行比对；第一执行子模块，用于当所述组合特征与所述分值特征一致时，将所述组合特征添加到正样本集合中；第二执行子模块，用于当所述组合特征与所述分值特征不一致时，将所述组合特征添加到负样本集合中。

在一些实施方式中，所述第一获取子模块包括：第二获取子模块，用于从所述设备数据中提取多个单一特征；第三获取子模块，用于获取每个单一特征的关联度；第二处理子模块，用于将关联度相同的多个单一特征的组合作为所述组合特征。

在一些实施方式中，还包括：第四获取子模块，用于获取所述终端的样本数据；第五获取子模块，用于从所述样本数据中提取组合特征，其中，所述组合特征均设置有标记；第三执行子模块，用于通过标记的样本数据对预设的检测模型进行训练，得到所述异常检测模型，其中，所述样本数据包括正样本特征数据和负样本特征数据。

可选地，所述执行模块包括：第六获取子模块，用于获取所述多个检测结果的判断类别；第四执行子模块，用于根据每个模型预设的权重对所述多个模型得到的判断类别进行加权运算，得到发送用户请求的用户是否异常的判定结果。

在一些实施方式中，所述获取模块包括：第七获取子模块，用于接收所述终端发送的用户请求；第八获取子模块，用于根据所述用户请求中的识别码从服务器中提取预存的设备数据。

在一些实施方式中，所述执行模块包括；第五执行子模块，用于当所述特征集合为正特征集合时，将所述特征集合输入到由正样本特征训练得到的异常检测模型中。

为解决上述技术问题，本发明实施例还提供计算机设备。具体请参阅图8，图8为本实施例计算机设备基本结构框图。

如图8所示，计算机设备的内部结构示意图。如图8所示，该计算机设备包括通过系统总线连接的处理器、非易失性存储介质、存储器和网络接口。其中，该计算机设备的非易失性存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种用户请求的检测方法。该计算机设备的处理器用于提供计算和控制能力，支撑整个计算机设备的运行。该计算机设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种用户请求的检测方法。该计算机设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本实施方式中处理器用于执行图7中获取模块2100、处理模块2200和执行模块2300的具体内容，存储器存储有执行上述模块所需的程序代码和各类数据。网络接口用于向用户终端或服务器之间的数据传输。本实施方式中的存储器存储有用户请求的检测方法中执行所有子模块所需的程序代码及数据，服务器能够调用服务器的程序代码及数据执行所有子模块的功能。

计算机设备通过采用分值特征对从设备数据中提取到的组合特征构造特征集合，并按照所特征集合的类型将所述特征集合输入到异常检测模型中，该方法中对标称属性的文本型设备数据构造特征集合，可以挖掘出有效的分类特征集，提高识别的准确性。此外，采用判断方法对多个模型输出的结果进行判断，可以更加全面的得到检测结果，有效的避免了单一模型的片面性问题，同时降低了由于样本不均衡导致单一异常检测模型的不准性，提高了异常检测的准确率。

本发明还提供一种存储有计算机可读指令的存储介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述任一实施例所述用户请求的检测方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)等非易失性存储介质，或随机存储记忆体(randomaccessmemory，ram)等。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

以上所述仅是本发明的部分实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。