CN111898758B - 一种用户异常行为识别方法、装置及计算机可读存储介质 - Google Patents
一种用户异常行为识别方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111898758B CN111898758B CN202011047099.2A CN202011047099A CN111898758B CN 111898758 B CN111898758 B CN 111898758B CN 202011047099 A CN202011047099 A CN 202011047099A CN 111898758 B CN111898758 B CN 111898758B
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- neural network
- neuron
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 23
- 230000006399 behavior Effects 0.000 claims abstract description 108
- 238000001514 detection method Methods 0.000 claims abstract description 89
- 230000002159 abnormal effect Effects 0.000 claims abstract description 40
- 238000003062 neural network model Methods 0.000 claims abstract description 39
- 210000002569 neuron Anatomy 0.000 claims description 89
- 238000012549 training Methods 0.000 claims description 51
- 238000013528 artificial neural network Methods 0.000 claims description 32
- 239000013598 vector Substances 0.000 claims description 25
- 238000012545 processing Methods 0.000 claims description 13
- 238000012360 testing method Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 10
- 238000011478 gradient descent method Methods 0.000 claims description 7
- 230000000670 limiting effect Effects 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 6
- 230000036961 partial effect Effects 0.000 claims description 6
- 238000010276 construction Methods 0.000 claims description 5
- 238000007781 pre-processing Methods 0.000 claims description 3
- YHXISWVBGDMDLQ-UHFFFAOYSA-N moclobemide Chemical compound C1=CC(Cl)=CC=C1C(=O)NCCN1CCOCC1 YHXISWVBGDMDLQ-UHFFFAOYSA-N 0.000 abstract 1
- 230000008569 process Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 238000003064 k means clustering Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 230000001133 acceleration Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000002860 competitive effect Effects 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/088—Non-supervised learning, e.g. competitive learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Image Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用户异常行为识别方法、装置及计算机可读存储介质,属于计算机技术领域。方法包括:获取用户的行为相关联的时间序列数据以及空间序列数据;根据时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测用户在预设时间点时的指标置信区间;对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较,获得针对用户的行为的第一检测结果;根据空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对用户的行为的第二检测结果;根据第一检测结果和第二检测结果,对用户的行为进行异常识别。本发明实施例能够实现准确可靠地识别出用户异常行为。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种用户异常行为识别方法、装置及计算机可读存储介质。
背景技术
信息安全是一个日益突出的人们话题。常用的网络、app账号被盗可能会造成信息泄露,资金被转走,或者被作为跳板对重要资产进行一系列的攻击行为。很多行业没有明确的认定和追查方法,因而最大的受害者往往是用户本身。由于账号权限的区别,很难简单判断多大范围的活动程度被认为有违规行为,由于业务的复杂性,也很难准确地判断账号是处于正常状态还是异常状态。异常状态是一种由各种异常活动产生的与用户常规不符的现象或事件。
目前对用户异常行为的识别,通常采用K-Means聚类这种无监督机器学习地算法,但是K-Means算法需事先确定类的个数(k),并且为每个输入数据找到一个最相似的类后,只更新这个类的参数,因此存在受初值和受噪声数据的影响而导致每次的结果不稳定,从而导致无法准确可靠地识别出风险用户。
发明内容
为了解决上述背景技术中提到的技术问题,本发明提供了一种用户异常行为识别方法、装置及计算机可读存储介质,以实现准确可靠地识别出用户异常行为。
本发明实施例提供的具体技术方案如下:
第一方面,提供一种用户异常行为识别方法,其特征在于,所述方法包括:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间;
对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别。
进一步地,所述ARIMA模型是通过如下方式构建得到:
获取样本用户的行为相关联的时间序列样本数据;
对所述时间序列样本数据进行平稳性检验,对于检验不通过的所述时间序列样本数据进行差分处理,得到平稳时间序列样本数据;
针对所述平稳时间序列样本数据,建立初始ARIMA模型,并根据所述平稳时间序列样本数据的自相关系数以及偏自相关系数,确定所述初始ARIMA模型的自回归阶数和移动平均阶数的范围;
采用AIC信息准则,确定出所述初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到所述ARIMA模型。
进一步地,所述SOM神经网络模型是通过如下方式训练得到:
S1,初始化预设的SOM神经网络中每个神经元的权重;
S2,获取样本用户的行为相关联的空间序列样本数据,并对各个所述空间序列样本数据进行归一化处理,得到训练样本集;
S3,从所述训练样本集中随机选取训练样本输入至所述SOM神经网络的输入层,得到输入向量;
S4,根据所述输入向量与所述SOM神经网络的竞争层中每个神经元的欧式距离,搜索出所述输入向量对应的获胜神经元;
S5,利用梯度下降法,对所述获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新;
S6,迭代执行步骤S3至步骤S5,直至达到预设结束条件时结束训练,得到所述SOM神经网络模型,并获取所述SOM神经网络模型输出的多个聚类。
进一步地,所述根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果,包括:
对所述空间序列数据进行归一化处理,将归一化处理后的所述空间序列数据作为输入参量输入至所述SOM神经网络模型,并根据所述输入参量到每个神经元的欧式距离,确定出所述输入参量对应的获胜神经元以及所述获胜神经元所属邻域;
计算所述获胜神经元所属聚类的聚类面积,并对所述聚类面积与面积阈值进行比较,其中仅当所述聚类面积小于所述面积阈值时,所属聚类为异常聚类;
根据所述比较的结果,生成针对所述用户的行为的第二检测结果。
进一步地,根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别之后,所述方法还包括:
若所述用户的行为的识别结果指示所述用户的行为异常,则对所述用户进行身份认证,或者对所述用户的操作行为进行限制。
第二方面,提供了一种用户异常行为识别装置,所述装置包括:
数据获取模块,用于获取用户的行为相关联的时间序列数据以及空间序列数据;
第一检测模块,用于根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间,并对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
第二检测模块,用于根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
异常识别模块,用于根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别。
进一步地,所述装置还包括构建模块,所述构建模块具体用于:
获取样本用户的行为相关联的时间序列样本数据;
对所述时间序列样本数据进行平稳性检验,对于检验不通过的所述时间序列样本数据进行差分处理,得到平稳时间序列样本数据;
针对所述平稳时间序列样本数据,建立初始ARIMA模型,并根据所述平稳时间序列样本数据的自相关系数以及偏自相关系数,确定所述初始ARIMA模型的自回归阶数和移动平均阶数的范围;
采用AIC信息准则,确定出所述初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到所述ARIMA模型。
进一步地,所述装置还包括训练模块,所述训练模块包括:
初始化子模块,用于初始化预设的SOM神经网络中每个神经元的权重;
预处理子模块,用于获取样本用户的行为相关联的空间序列样本数据,并对各个所述空间序列样本数据进行归一化处理,得到训练样本集;
训练子模块,用于从所述训练样本集中随机选取训练样本输入至所述SOM神经网络的输入层,得到输入向量,根据所述输入向量与所述SOM神经网络的竞争层中每个神经元的欧式距离,搜索出所述输入向量对应的获胜神经元,并利用梯度下降法,对所述获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新;
迭代子模块,用于重复执行所述训练子模块的步骤,直至达到预设结束条件时结束训练,得到所述SOM神经网络模型,并获取所述SOM神经网络模型输出的多个聚类。
进一步地,所述第二检测模块具体用于:
对所述空间序列数据进行归一化处理,将归一化处理后的所述空间序列数据作为输入参量输入至所述SOM神经网络模型,并根据所述输入参量到每个神经元的欧式距离,确定出所述输入向量对应的获胜神经元以及所述获胜神经元所属聚类;
计算所述获胜神经元所属聚类的聚类面积,并对所述聚类面积与面积阈值进行比较,其中仅当所述聚类面积小于所述面积阈值时,所属聚类为异常聚类;
根据所述比较的结果,生成针对所述用户的行为的第二检测结果。
进一步地,所述装置还包括异常处理模块,所述异常处理模块具体用于:
若所述用户的行为的识别结果指示所述用户的行为异常,则对所述用户进行身份认证,或者对所述用户的操作行为进行限制。
第三方面,提供了一种计算机设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如下操作步骤:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间;
对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如下操作步骤:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间;
对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别。
与现有技术相比,本发明提供的技术方案实现了如下技术效果:
1. 利用SOM神经网络聚类算法具有非线性、鲁棒性和较强的自适应学习能力,可以处理不确定性或模糊信息方面的突出能力,克服K-means算法受预先确定的K值的局限作用以及噪音数据影响的影响,从而提高用户行为异常识别的可靠性、准确性;
2. 采用ARIMA模型与SOM神经网络模型相结合,从时间和空间上双向挖掘用户行为的异常点,相比单一传统方法来说,能够提高异常点识别的能力,提高异常行为识别的准确度。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明实施例提供的一种用户异常行为识别方法的流程图;
图2示出了本发明实施例提供的一种用户异常行为识别装置的结构图;
图3示出了本发明实施例提供的一种计算机设备的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,除非上下文明确要求,否则整个说明书和权利要求书中的“包括”、“包含”等类似词语应当解释为包含的含义而不是排他或穷举的含义;也就是说,是“包括但不限于”的含义。
此外,在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
如背景技术所述,目前对用户异常行为的识别,通常采用K-Means聚类这种无监督机器学习地算法,但是K-Means算法需事先确定类的个数(k),并且为每个输入数据找到一个最相似的类后,只更新这个类的参数,因此存在受初值和受噪声数据的影响而导致每次的结果不稳定,从而导致无法准确可靠地识别出风险用户。为此,本发明实施例提供一种用户异常行为识别方法,采用ARIMA模型与SOM神经网络模型相结合,从时间和空间上双向挖掘用户行为的异常点,相比单一传统方法来说,能够提高异常点识别的能力,提高异常行为识别的准确度,同时利用SOM神经网络聚类算法具有非线性、鲁棒性和较强地自适应学习能力,可以处理不确定性或模糊信息方面地突出能力,克服K-means算法受预先确定的K值的局限作用以及噪音数据影响的影响。
实施例一
本发明实施例提供了一种用户异常行为识别方法,该方法应用于用户异常行为识别装置中,该装置可以被配置于任一计算机设备,其中计算机设备可以是服务器,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
如图1所示,本发明实施例提供的用户异常行为识别方法可以包括如下步骤:
101,获取用户的行为相关联的时间序列数据以及空间序列数据。
具体地,可以获取预设时间段内的用户数据,并对用户数据进行预处理,提取出用户的行为相关联的时间序列数据以及空间序列数据。
其中,用户数据包括用户属性数据和用户行为数据,用户属性数据可以包括:姓名、年龄、通信地址等;用户行为数据可以包括账号注册地的IP地址,每次登录时的IP地址、每次登录的时间信息、页面点击信息、用户设备信息以及在线时长等相关信息,用户设备信息可以包括设备MAC地址、设备陀螺仪数据、设备加速度数据、CPU、内存、磁盘I/O等信息。
其中,时间序列数据是按照时间先后顺序对用户在预设时间段内的实际指标值进行排序得到的指标值序列。其中,指标值是指对用户在预设时间段内的与用户的行为相关的数值型数据进行统计得到的参数指标的值。其中,参数指标可以是在线时长、设备移动距离、屏幕温度变化值中的一种,此外还可以其他指标。
其中,空间序列数据是指用户在应用上的有着空间先后顺序的行为轨迹数据,各个空间之间有着顺序、流线和方向的联系,例如,用户登录应用进行转账操作所涉及到的行为轨迹数据形成用户的空间序列数据。
102,根据时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测用户在预设时间点时的指标置信区间。
其中,预设时间点可以是时间序列数据包括的M个数据中第N个数据对应的时间点,N大于1,N小于等于M。
具体地,根据时间序列数据中预设时间点之前的多个指标实际值代入ARIMA模型中进行预测,得到预设时间点时的指标预测值以及置信度为⍺时该指标预测值的置信区间。
其中,ARIMA(Autoregressive Integrated Moving Average Model)模型即为自回归积分滑动平均模型,用过去和现在的值去预测将来,它将时间序列看成一个随机序列,并寻找最优函数去拟合它。
其中,ARIMA(p,q,d)模型定义如下:
其中p为自回归的阶数,d为序列差分阶数,q为移动平均阶数, 
是时间序列在t时刻的观察值, 
为白噪音序列, 
、 
分别为 
和
的系数。
进一步地,ARIMA模型是可以通过如下步骤a至步骤d构建得到:
a,获取样本用户的行为相关联的时间序列样本数据。
具体地,该步骤的实现过程可以参照步骤101中的时间序列数据的获取过程,此处不再赘述。
b,对时间序列样本数据进行平稳性检验,对于检验不通过的时间序列样本数据进行差分处理,得到平稳时间序列样本数据。
具体地,采用单位根检验方法检验时间序列样本数据的平稳性,判断数据是否是平稳化数据,如果数据是非平稳数据,需对数据进行平稳化处理,即对序列持续差分直到差分后的序列满足平稳性检测,得到平稳时间序列样本数据,以消除数据的趋势性,ARIMA模型的差分阶数d即为时间序列成为平稳时间序列时所做的差分次数。
c,针对平稳时间序列样本数据,建立初始ARIMA模型,并根据平稳时间序列样本数据的自相关系数以及偏自相关系数,确定初始ARIMA模型的自回归阶数和移动平均阶数的范围。
d,采用AIC信息准则,确定出初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到ARIMA模型。
具体地,确定模型的差分阶数d,以AIC信息准则为准,限定自回归阶数p和移动平均阶数q的范围,将(p,q)的组合遍历,找出具有最小AIC值的(p,q)组合。最后,将确定的最优的p、d、q应用于ARIMA模型进行预测。
103,对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较,获得针对用户的行为的第一检测结果。
具体地,判断预设时间点时的指标实际值是否位于预测的指标置信区间内,得到判断结果,根据判断结果生成针对用户的行为的第一检测结果,其中当指标实际值落在指标置信区间之外时,第一检测结果用于指示预设时间点时的指标实际值为异常值,当指标实际值落在指标置信区间内时,第一检测结果用于指示预设时间点时的指标实际值为正常值。
104,根据空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对用户的行为的第二检测结果。
其中,SOM(Self Organizing Maps,自组织映射神经网络)是一种无监督的人工神经网络。SOM的网络结构有2层:输入层、输出层(也叫竞争层)。通常神经网络基于损失函数的反向传递来训练,而SOM运用竞争学习策略,依靠神经元之间互相竞争逐步优化网络,神经元在神经网络上按二维形式排成的一个等间距的节点矩阵,构成输出层;每个节点有对应的权值向量,其维度和输入数据的维度长度相等,且使用近邻关系函数来维持输入空间的拓扑结构。
其中,SOM神经网络模型可以通过如下方式训练得到,包括步骤S1~S6:
S1,初始化预设的SOM神经网络中每个神经元的权重。
具体地,初始化预设的SOM神经网络,SOM神经网络的每个神经元的权重可以被初始化为很小的随机数,随机数大于0且小于1。此外,模型的迭代次数、学习率和邻域半径也需要进行初始化,比如可以设定迭代次数i=1000,初始学习率rate_max =0.2,rate_min=0.05,初始邻域半径zone_max =1.5,zone_min =0.8,各个模型参数可以根据不同数据或者需求做相对应调整,过小的学习率会降低网络优化的速度,增加训练时间,而过大的学习率可能导致网络参数在最终的极优值两侧来回摆动,导致网络不能收敛。在具体实施过程中,可以在SOM神经网络的训练开始时,将学习率的值选取为0.2,之后以较快的速度下降,这样有利于很快捕捉到输入向量的大致结构,当降低到一个值较小的学习率时,可以通过调整神经元的权值使之符合输入空间的样本分布结构。此外,在SOM神经网络的训练过程中,以获胜神经元为中心设定一个邻域半径R,该邻域半径R初始化为初始邻域半径,该半径固定的范围称为优胜邻域。优胜邻域的范围随着训练次数的增加不断收缩,最终收缩到邻域半径为一固定值。
S2,获取样本用户的行为相关联的空间序列样本数据,并对各个空间序列样本数据进行归一化处理,得到训练样本集。
其中,空间序列样本数据的获取过程可以参照步骤101中的时间序列数据的获取过程,此处不再赘述。
S3,从训练样本集中随机选取训练样本输入至SOM神经网络的输入层,得到输入向量。
S4,根据输入向量与SOM神经网络的竞争层中每个神经元的欧式距离,搜索出输入向量对应的获胜神经元。
具体地,计算输入向量X到每个神经元之间的欧式距离,确定与该输入向量X的欧式距离最小的神经元为获胜神经元。SOM神经网络的输出层所有神经元相互竞争,每次只有一个获胜神经元可以被激活。
S5,利用梯度下降法,对获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新。
具体地,以获胜神经元为中心设定邻域半径,该半径范围内的区域称为优胜邻域,根据获胜神经元的坐标和邻域半径,确定优胜邻域内的所有神经元,采用梯度下降法优胜邻域内的每一个神经元进行权重更新。
S6,迭代执行步骤S3至步骤S5,直至达到预设结束条件时结束训练,得到SOM神经网络模型,并获取SOM神经网络模型输出的多个聚类。
具体地,从训练样本集中读取新的输入样本,迭代执行步骤S3至步骤S5的过程,直到完成所有训练样本的训练,在所有获胜神经元的权重值更新之后,更新学习率和邻域函数。当SOM神经网络的训练次数达到预设的最大次数时,退出训练学习过程,得到训练好的SOM神经网络模型,并获取SOM神经网络模型输出的多个聚类,其中每个聚类对应一个邻域范围(即,优胜邻域),邻域范围内包含至少一个神经元。
本实施例中,通过利用SOM神经网络挖掘出空间序列数据中各影响因素之间存在的关联性,更有利于用户异常行为的分类和研究,具有很高的泛化能力。
其中,上述步骤104的实现过程可以包括:
1041,对空间序列数据进行归一化处理,将归一化处理后的空间序列数据作为输入参量输入至SOM神经网络模型。
1042,根据输入参量到每个神经元的欧式距离,确定出输入参量对应的获胜神经元以及获胜神经元所属聚类。
具体地,计算输入向量X到每个神经元之间的欧式距离,确定与该输入向量X的欧式距离最小的神经元为获胜神经元,并确定该获胜神经元所属的邻域。
1043,计算获胜神经元所属聚类的聚类面积,并对聚类面积与面积阈值进行比较,其中仅当聚类面积小于面积阈值时,所属聚类为异常聚类。
其中,面积阈值可以根据实际需要进行设定,通常聚类面积较小时,即聚类规模很小的孤立聚类设为异常聚类。
具体地,确定获胜神经元所在的优胜邻域的邻域半径,计算以该邻域半径为半径的圆的面积并作为获胜神经元所属聚类的聚类面积,对聚类面积与面积阈值进行比较。
1044,根据比较的结果,生成针对用户的行为的第二检测结果。
其中,当获胜神经元所属聚类的聚类面积小于面积阈值时,第二检测结果用于指示用户的空间序列数据为异常数据,当获胜神经元所属聚类的聚类面积不小于面积阈值时,第二检测结果用于指示用户的空间序列数据为正常数据。
需要说明的是,本发明实施例对执行步骤102与步骤104的顺序不作具体限定,以同时执行作为优选方案。
105,根据第一检测结果和第二检测结果,对用户的行为进行异常识别。
具体地,可以采用如下方式对用户的行为进行异常识别:
若第一检测结果以及第二检测结果均为正常,则将用户的行为确定为正常;若第一检测结果以及第二检测结果均为异常,则将用户的行为确定为异常;若第一检测结果与第二检测结果中仅一个为正常,则将用户的行为确定为可疑异常,对于可疑异常的行为可以通过人工方式进行识别。
进一步地,在步骤105之后,方法还可以包括:
若用户的行为的识别结果指示用户的行为异常,则对用户进行身份认证,或者对用户的操作行为进行限制。
其中,限制操作包括对应用上的关键页面上的关键功能进行禁用,关键功能包括但不限于查看、输入、提交等。
本实施例中,在判断出用户为风险用户后时,通过执行对用户进行身份认证,或者对用户进行相应的限制操作,能够有效控制和预防网络安全风险。
本发明实施例提供的用户异常行为识别方法,通过利用SOM神经网络聚类算法具有非线性、鲁棒性和较强的自适应学习能力,可以处理不确定性或模糊信息方面的突出能力,克服K-means算法受预先确定的K值的局限作用以及噪音数据影响的影响,从而提高用户行为异常识别的可靠性、准确性;另外通过采用ARIMA模型与SOM神经网络模型相结合,从时间和空间上双向挖掘用户行为的异常点,相比单一传统方法来说,能够提高异常点识别的能力,提高异常行为识别的准确度。
实施例二
本发明实施例提供了一种用户异常行为识别装置,如图2所示,装置包括:
数据获取模块202,用于获取用户的行为相关联的时间序列数据以及空间序列数据;
第一检测模块204,用于根据时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测用户在预设时间点时的指标置信区间,并对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较,获得针对用户的行为的第一检测结果;
第二检测模块206,用于根据空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对用户的行为的第二检测结果;
异常识别模块208,用于根据第一检测结果和第二检测结果,对用户的行为进行异常识别。
进一步地,装置还包括构建模块,构建模块具体用于:
获取样本用户的行为相关联的时间序列样本数据;
对时间序列样本数据进行平稳性检验,对于检验不通过的时间序列样本数据进行差分处理,得到平稳时间序列样本数据;
针对平稳时间序列样本数据,建立初始ARIMA模型,并根据平稳时间序列样本数据的自相关系数以及偏自相关系数,确定初始ARIMA模型的自回归阶数和移动平均阶数的范围;
采用AIC信息准则,确定出初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到ARIMA模型。
进一步地,装置还包括训练模块,训练模块包括:
初始化子模块,用于初始化预设的SOM神经网络中每个神经元的权重;
预处理子模块,用于获取样本用户的行为相关联的空间序列样本数据,并对各个空间序列样本数据进行归一化处理,得到训练样本集;
训练子模块,用于从训练样本集中随机选取训练样本输入至SOM神经网络的输入层,得到输入向量,根据输入向量与SOM神经网络的竞争层中每个神经元的欧式距离,搜索出输入向量对应的获胜神经元,并利用梯度下降法,对获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新;
迭代子模块,用于重复执行训练子模块的步骤,直至达到预设结束条件时结束训练,得到SOM神经网络模型,并获取SOM神经网络模型输出的多个聚类。
进一步地,第二检测模块206具体用于:
对空间序列数据进行归一化处理,将归一化处理后的空间序列数据作为输入参量输入至SOM神经网络模型,并根据输入参量到每个神经元的欧式距离,确定出获胜神经元以及获胜神经元所属邻域;
计算获胜神经元所属聚类的聚类面积,并对聚类面积与面积阈值进行比较,其中仅当聚类面积小于面积阈值时,所属聚类为异常聚类;
根据比较的结果,生成针对用户的行为的第二检测结果。
进一步地,装置还包括异常处理模块,异常处理模块具体用于:
若用户的行为的识别结果指示用户的行为异常,则对用户进行身份认证,或者对用户的操作行为进行限制。
本发明实施例提供的用户异常行为识别装置,与本发明实施例所提供的用户异常行为识别方法属于同一发明构思,可执行本发明实施例所提供的用户异常行为识别方法,具备执行用户异常行为识别方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明实施例提供的用户异常行为识别方法,此处不再加以赘述。
图3为本发明实施例提供的计算机设备的内部结构图。该计算机设备可以是服务器,其内部结构图可以如图3所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种用户异常行为识别方法。
本领域技术人员可以理解,图3中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测用户在预设时间点时的指标置信区间;
对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较,获得针对用户的行为的第一检测结果;
根据空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对用户的行为的第二检测结果;
根据第一检测结果和第二检测结果,对用户的行为进行异常识别。
在一个实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测用户在预设时间点时的指标置信区间;
对用户在预设时间点时的指标实际值与对应的指标置信区间进行比较,获得针对用户的行为的第一检测结果;
根据空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对用户的行为的第二检测结果;
根据第一检测结果和第二检测结果,对用户的行为进行异常识别。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本发明所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种用户异常行为识别方法,其特征在于,所述方法包括:
获取用户的行为相关联的时间序列数据以及空间序列数据;
根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间;
对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别;
所述根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果,包括:
对所述空间序列数据进行归一化处理,将归一化处理后的所述空间序列数据作为输入参量输入至所述SOM神经网络模型,并根据所述输入参量到每个神经元的欧式距离,确定出所述输入参量对应的获胜神经元以及所述获胜神经元所属聚类;
计算所述获胜神经元所属聚类的聚类面积,并对所述聚类面积与面积阈值进行比较,其中仅当所述聚类面积小于所述面积阈值时,所属聚类为异常聚类;
根据所述比较的结果,生成针对所述用户的行为的第二检测结果。
2.根据权利要求1所述的方法,其特征在于,所述ARIMA模型是通过如下方式构建得到:
获取样本用户的行为相关联的时间序列样本数据;
对所述时间序列样本数据进行平稳性检验,对于检验不通过的所述时间序列样本数据进行差分处理,得到平稳时间序列样本数据;
针对所述平稳时间序列样本数据,建立初始ARIMA模型,并根据所述平稳时间序列样本数据的自相关系数以及偏自相关系数,确定所述初始ARIMA模型的自回归阶数和移动平均阶数的范围;
采用AIC信息准则,确定出所述初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到所述ARIMA模型。
3.根据权利要求1所述的方法,其特征在于,所述SOM神经网络模型是通过如下方式训练得到:
S1,初始化预设的SOM神经网络中每个神经元的权重;
S2,获取样本用户的行为相关联的空间序列样本数据,并对各个所述空间序列样本数据进行归一化处理,得到训练样本集;
S3,从所述训练样本集中随机选取训练样本输入至所述SOM神经网络的输入层,得到输入向量;
S4,根据所述输入向量与所述SOM神经网络的竞争层中每个神经元的欧式距离,搜索出所述输入向量对应的获胜神经元;
S5,利用梯度下降法,对所述获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新;
S6,迭代执行步骤S3至步骤S5,直至达到预设结束条件时结束训练,得到所述SOM神经网络模型,并获取所述SOM神经网络模型输出的多个聚类。
4.根据权利要求1所述的方法,其特征在于,根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别之后,所述方法还包括:
若所述用户的行为的识别结果指示所述用户的行为异常,则对所述用户进行身份认证,或者对所述用户的操作行为进行限制。
5.一种用户异常行为识别装置,其特征在于,所述装置包括:
数据获取模块,用于获取用户的行为相关联的时间序列数据以及空间序列数据;
第一检测模块,用于根据所述时间序列数据中预设时间点之前的多个指标实际值,通过ARIMA模型预测所述用户在所述预设时间点时的指标置信区间,并对所述用户在所述预设时间点时的指标实际值与对应的所述指标置信区间进行比较,获得针对所述用户的行为的第一检测结果;
第二检测模块,用于根据所述空间序列数据,通过预先训练好的SOM神经网络模型进行异常检测,获得针对所述用户的行为的第二检测结果;
异常识别模块,用于根据所述第一检测结果和所述第二检测结果,对所述用户的行为进行异常识别;
所述第二检测模块具体用于:
对所述空间序列数据进行归一化处理,将归一化处理后的所述空间序列数据作为输入参量输入至所述SOM神经网络模型,并根据所述输入参量到每个神经元的欧式距离,确定出所述输入参量对应的获胜神经元以及所述获胜神经元所属聚类;
计算所述获胜神经元所属聚类的聚类面积,并对所述聚类面积与面积阈值进行比较,其中仅当所述聚类面积小于所述面积阈值时,所属聚类为异常聚类;
根据所述比较的结果,生成针对所述用户的行为的第二检测结果。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括构建模块,所述构建模块具体用于:
获取样本用户的行为相关联的时间序列样本数据;
对所述时间序列样本数据进行平稳性检验,对于检验不通过的所述时间序列样本数据进行差分处理,得到平稳时间序列样本数据;
针对所述平稳时间序列样本数据,建立初始ARIMA模型,并根据所述平稳时间序列样本数据的自相关系数以及偏自相关系数,确定所述初始ARIMA模型的自回归阶数和移动平均阶数的范围;
采用AIC信息准则,确定出所述初始ARIMA模型最优的自回归阶数和移动平均阶数的组合,构建得到所述ARIMA模型。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括训练模块,所述训练模块包括:
初始化子模块,用于初始化预设的SOM神经网络中每个神经元的权重;
预处理子模块,用于获取样本用户的行为相关联的空间序列样本数据,并对各个所述空间序列样本数据进行归一化处理,得到训练样本集;
训练子模块,用于从所述训练样本集中随机选取训练样本输入至所述SOM神经网络的输入层,得到输入向量,根据所述输入向量与所述SOM神经网络的竞争层中每个神经元的欧式距离,搜索出所述输入向量对应的获胜神经元,并利用梯度下降法,对所述获胜神经元及其邻域范围内神经元集合中的每一个神经元进行权重更新;
迭代子模块,用于迭代执行所述训练子模块的步骤,直至达到预设结束条件时结束训练,得到所述SOM神经网络模型,并获取所述SOM神经网络模型输出的多个聚类。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4任一所述的用户异常行为识别方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011047099.2A CN111898758B (zh) | 2020-09-29 | 2020-09-29 | 一种用户异常行为识别方法、装置及计算机可读存储介质 |
| CA3132346A CA3132346C (en) | 2020-09-29 | 2021-09-29 | User abnormal behavior recognition method and device and computer readable storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011047099.2A CN111898758B (zh) | 2020-09-29 | 2020-09-29 | 一种用户异常行为识别方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111898758A CN111898758A (zh) | 2020-11-06 |
| CN111898758B true CN111898758B (zh) | 2021-03-02 |
Family
ID=73224018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011047099.2A Active CN111898758B (zh) | 2020-09-29 | 2020-09-29 | 一种用户异常行为识别方法、装置及计算机可读存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111898758B (zh) |
| CA (1) | CA3132346C (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112288571B (zh) * | 2020-11-24 | 2022-06-10 | 重庆邮电大学 | 一种基于快速构建邻域覆盖的个人信用风险评估方法 |
| CN112907622A (zh) * | 2021-01-20 | 2021-06-04 | 厦门市七星通联科技有限公司 | 视频中目标物体的轨迹识别方法、装置、设备、存储介质 |
| CN113052314B (zh) * | 2021-05-27 | 2021-09-14 | 华中科技大学 | 一种认证半径引导攻击方法、优化训练方法及系统 |
| CN113569910B (zh) * | 2021-06-25 | 2024-06-21 | 石化盈科信息技术有限责任公司 | 账户类型识别方法、装置、计算机设备及存储介质 |
| CN113971119B (zh) * | 2021-10-21 | 2023-02-07 | 云纷(上海)信息科技有限公司 | 基于无监督模型的用户行为异常分析评估方法及系统 |
| CN114742102B (zh) * | 2022-03-30 | 2023-05-30 | 中国人民解放军战略支援部队航天工程大学 | 一种nlos信号识别方法及系统 |
| CN114419528B (zh) * | 2022-04-01 | 2022-07-08 | 浙江口碑网络技术有限公司 | 异常识别方法、装置、计算机设备及计算机可读存储介质 |
| CN115018053A (zh) * | 2022-06-16 | 2022-09-06 | 河南工业大学 | 自组织鲁棒宽度网络的空气质量监测数据校准方法及装置 |
| CN115018055B (zh) * | 2022-06-17 | 2024-10-15 | 沃太能源股份有限公司 | 创建方法、预测方法、装置、电子设备和存储介质 |
| CN115618247B (zh) * | 2022-09-26 | 2024-07-19 | 中电金信软件(上海)有限公司 | 异常检测方法、装置、电子设备及存储介质 |
| CN115565623B (zh) * | 2022-10-19 | 2023-06-09 | 中国矿业大学(北京) | 一种煤地质成分的分析方法、系统、电子设备及存储介质 |
| CN116204805B (zh) * | 2023-04-24 | 2023-07-21 | 青岛鑫屋精密机械有限公司 | 一种微压氧舱及数据管理系统 |
| CN117033052B (zh) * | 2023-08-14 | 2024-05-24 | 企口袋(重庆)数字科技有限公司 | 基于模型识别的对象异常诊断方法及系统 |
| CN117034179B (zh) * | 2023-10-10 | 2024-02-02 | 国网山东省电力公司营销服务中心(计量中心) | 基于图神经网络的异常电量识别及溯源方法及系统 |
| CN117130016B (zh) * | 2023-10-26 | 2024-02-06 | 深圳市麦微智能电子有限公司 | 基于北斗卫星的人身安全监测系统、方法、装置及介质 |
| CN117455555B (zh) * | 2023-12-25 | 2024-03-08 | 厦门理工学院 | 基于大数据的电商用户画像分析方法及系统 |
| CN117828688B (zh) * | 2024-01-29 | 2024-09-17 | 北京亚鸿世纪科技发展有限公司 | 一种数据安全处理方法及系统 |
| CN118039114B (zh) * | 2024-02-27 | 2024-08-30 | 浙江普康智慧养老产业科技有限公司 | 基于智慧养老远程监护系统的状态智能监测方法 |
| CN117906726B (zh) * | 2024-03-19 | 2024-06-04 | 西安艺琳农业发展有限公司 | 一种活牛体尺体重数据异常检测系统 |
| CN118300896B (zh) * | 2024-06-05 | 2024-08-13 | 温州数码创业投资有限公司 | 一种面向云计算服务环境的异常用户行为管理方法及系统 |
| CN118296061B (zh) * | 2024-06-05 | 2024-09-27 | 国网江苏省电力有限公司苏州供电分公司 | 电力数据的分析处理方法、系统、终端及存储介质 |
| CN118337539B (zh) * | 2024-06-17 | 2024-08-16 | 嘉兴贯文数字技术有限公司 | 一种基于物联网的网络安全通信控制方法及系统 |
| CN118503883B (zh) * | 2024-07-16 | 2024-10-22 | 天津市河北区疾病预防控制中心 | 一种基于公共卫生实验室检验多源数据处理方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789149A (zh) * | 2016-11-18 | 2017-05-31 | 北京工业大学 | 采用改进型自组织特征神经网络聚类算法的入侵检测方法 |
| CN109587713A (zh) * | 2018-12-05 | 2019-04-05 | 广州数锐智能科技有限公司 | 一种基于arima模型的网络指标预测方法、装置及存储介质 |
| CN111178523A (zh) * | 2019-08-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种行为检测方法、装置、电子设备及存储介质 |
-
2020
- 2020-09-29 CN CN202011047099.2A patent/CN111898758B/zh active Active
-
2021
- 2021-09-29 CA CA3132346A patent/CA3132346C/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789149A (zh) * | 2016-11-18 | 2017-05-31 | 北京工业大学 | 采用改进型自组织特征神经网络聚类算法的入侵检测方法 |
| CN109587713A (zh) * | 2018-12-05 | 2019-04-05 | 广州数锐智能科技有限公司 | 一种基于arima模型的网络指标预测方法、装置及存储介质 |
| CN111178523A (zh) * | 2019-08-02 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种行为检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于SOM需求响应潜力的居民用户优化聚合模型;孙彦萍 等;《电力建设》;20170731;第38卷(第7期);第25-33页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111898758A (zh) | 2020-11-06 |
| CA3132346C (en) | 2024-03-19 |
| CA3132346A1 (en) | 2022-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111898758B (zh) | 一种用户异常行为识别方法、装置及计算机可读存储介质 | |
| Maseer et al. | Benchmarking of machine learning for anomaly based intrusion detection systems in the CICIDS2017 dataset | |
| US10635788B2 (en) | Method for training and testing obfuscation network capable of processing data to be concealed for privacy, and training device and testing device using the same | |
| CN110070141B (zh) | 一种网络入侵检测方法 | |
| AU2015215826B2 (en) | A machine-learning system to optimise the performance of a biometric system | |
| US10621378B1 (en) | Method for learning and testing user learning network to be used for recognizing obfuscated data created by concealing original data to protect personal information and learning device and testing device using the same | |
| Halvaiee et al. | A novel model for credit card fraud detection using Artificial Immune Systems | |
| CN110874471B (zh) | 保护隐私安全的神经网络模型的训练方法和装置 | |
| CN113408558B (zh) | 用于模型验证的方法、装置、设备和介质 | |
| CN112784168B (zh) | 信息推送模型训练方法以及装置、信息推送方法以及装置 | |
| Xu et al. | Stochastic Online Anomaly Analysis for Streaming Time Series. | |
| CN113689218A (zh) | 风险账户的识别方法、装置、计算机设备和存储介质 | |
| JP6971514B1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
| US11366930B1 (en) | Method for training and testing obfuscation network capable of obfuscating data to protect personal information, and learning device and testing device using the same | |
| CN115438747A (zh) | 异常账户识别模型训练方法、装置、设备及介质 | |
| Traore et al. | Dynamic sample size detection in learning command line sequence for continuous authentication | |
| Yang et al. | Subtractive Clustering Based RBF Neural Network Model for Outlier Detection. | |
| Ganji et al. | Shuffled shepherd political optimization‐based deep learning method for credit card fraud detection | |
| Madhu et al. | A new paradigm for development of data imputation approach for missing value estimation | |
| de Campos Souza et al. | Online active learning for an evolving fuzzy neural classifier based on data density and specificity | |
| US12056231B2 (en) | Training an artificial intelligence engine for real-time monitoring to eliminate false positives | |
| Osamor et al. | Deep learning-based hybrid model for efficient anomaly detection | |
| US20210279441A1 (en) | Method and apparatus with anti-spoofing | |
| Chandrasekar et al. | A dexterous feature selection artificial immune system algorithm for keystroke dynamics | |
| Taha et al. | An Automatic Truncated Mean Approach for PCA In Intrusion Detection Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Room 834, Yingying building, No.99, Tuanjie Road, yanchuangyuan, Jiangbei new district, Nanjing, Jiangsu Province Patentee after: Nanjing Xingyun Digital Technology Co.,Ltd. Address before: Room 834, Yingying building, No.99, Tuanjie Road, yanchuangyuan, Jiangbei new district, Nanjing, Jiangsu Province Patentee before: Suning financial technology (Nanjing) Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240621 Address after: The 7th, 8th, 9th, 27th, 28th, and 29th floors of Building 4, No. 248 Lushan Road, Jianye District, Nanjing City, Jiangsu Province, 210000, and the 1st and 2nd floors of the podium of Building 4 Patentee after: Jiangsu Sushang Bank Co.,Ltd. Country or region after: China Address before: Room 834, Yingying building, No.99, Tuanjie Road, yanchuangyuan, Jiangbei new district, Nanjing, Jiangsu Province Patentee before: Nanjing Xingyun Digital Technology Co.,Ltd. Country or region before: China |