[发明专利]一种异常行为的特征信息的提取、识别方法和装置

权利要求书

1.一种异常行为的特征信息的提取方法，其特征在于，包括：

从采集的事件数据中提取第一事件特征信息，其中，至少部分事件数据具有对应的异常标记；

对所述第一事件特征信息进行异常验证，获得第一验证值；所述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种；

根据所述异常标记对所述第一验证值配置权重，以及，对所述第一验证值进行组合，以获得一个或多个异常行为表达式；

计算每种异常行为表达式的一个或多个第一异常值；

对比所述一个或多个第一异常值和异常标记，以计算验证的准确率和/或召回率；

当所述准确率超过预设的准确率阈值，和/或，所述召回率超过召回率阈值时，将所述异常表达式设置为异常行为的特征信息。

2.根据权利要求1所述的方法，其特征在于，所述第一事件特征信息包括用户标识、事件信息、设备信息中的一种或多种；

所述累积验证对应的第一验证值包括累积数量、所述连续概率验证对应的第一验证值包括连续概率、所述统计概率验证对应的第一验证值包括统计概率、所述冲突验证对应的第一验证值包括是否冲突；

所述对所述第一事件特征信息进行异常验证，获得第一验证值的步骤包括：

针对每个事件数据对应的事件，统计基于所述用户标识，触发所述事件和/或所述事件中事件参数的累积数量；

和/或，

针对每个事件数据对应的事件，计算基于所述设备信息，连续触发所述事件的连续概率；

和/或，

针对每个事件数据对应的事件，计算基于所述设备信息，在预设的时间段内触发所述事件的统计概率；

和/或，

针对每个事件数据对应的事件，判断至少两种设备信息与预设的映射关系是否冲突。

3.一种基于特征信息的异常行为的识别方法，其特征在于，包括：

当接收到事件请求时，从所述事件请求中提取第二事件特征信息；

对所述第二事件特征信息进行异常验证，以拒绝所述事件请求和/或获得一个或多个第二验证值；所述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种；

将所述一个或多个第二验证值代入预设的异常行为的特征信息中，以计算第二异常值；

根据所述第二异常值对所述事件请求进行异常行为的识别；

所述异常行为的特征信息通过以下方式获得：

从采集的事件数据中提取第一事件特征信息，其中，至少部分事件数据具有对应的异常标记；

对所述第一事件特征信息进行异常验证，获得第一验证值；所述异常验证包括累积验证、连续概率验证、统计概率验证、冲突验证中的一种或多种；

根据所述异常标记对所述第一验证值配置权重，以及，对所述第一验证值进行组合，以获得一个或多个异常行为表达式；

当所述异常行为表达式满足预设的验证条件时，将所述异常表达式设置为异常行为的特征信息。

4.根据权利要求3所述的方法，其特征在于，所述根据所述第二异常值对所述事件请求进行异常行为的识别的步骤包括：

判断所述第二异常值是否超过预设的异常阈值；

若是，则判断所述事件请求为异常行为；

若否，则判断所述事件请求为正常行为。

5.根据权利要求3或4所述的方法，其特征在于，还包括：

当所述事件请求为正常行为时，允许执行所述事件请求对应的事件；

当所述事件请求为异常行为时，禁止执行所述事件请求对应的事件。

6.根据权利要求5所述的方法，其特征在于，所述禁止执行所述事件请求对应的事件的步骤包括：

拦截所述事件请求；

或者，

对触发所述事件请求的用户账号进行冻结处理。