[发明专利]一种基于FP-growth算法异常行为检测方法及应用该方法的模型

权利要求书

1.一种基于FP-growth算法异常行为检测方法，其特征在于，所述异常行为检测方法实现用户正常行为模式挖掘以及用户异常行为检测包括以下步骤：

S1：历史数据的清洗及分组；

S2：挖掘用户正常行为模式；具体如下：

S21：基于FP-growth的用户正常行为模式挖掘，获得正常行为模式库，其中所述正常行为模式库包括用户正常行为模式集合和群组正常行为模式库；

S3：人工判断步骤S2中用户正常行为模式是否合理，保存判断合理的正常用户行为模式库；

S4：通过所述动态时间规划算法的用户行为序列聚类模型实现用户行为序列模型库的创建与更新；

S5：通过所述异常概率计算模型计算用户某一行为发生特定次数的概率；

S6：用户行为在线检测，包括异常度计算。

2.如权利要求1所述的用户异常行为检测方法，其特征在于：步骤S21中用户正常行为模式挖掘进一步包括：

S211：将用户的操作行为定义为项p，构建FP树，获得每个项p出现的概率和关联的项集；

S212：从FP树项中挖掘频繁项集，频繁项集的支持度超过预设的阈值即视为用户正常行为模式集合，并加入群组正常用户行为模式库。

3.如权利要求2所述的异常行为检测方法，其特征在于：所述用户异常行为检测方法步骤S4后还进一步包括：

将用户当前行为集合与步骤S2和步骤S4中得到的正常行为模式库和用户行为序列模型库进行对比；

其中，若用户当前行为集合不符合步骤S2和步骤S4中的正常模式，则根据步骤S5进行异常度计算，通过异常概率计算模型计算用户当前行为集合的异常总分值；若用户当前行为集合符合步骤S2和步骤S4中的正常模式，则判为正常行为，不进行步骤S5和步骤S6。

4.如权利要求1所述的异常行为检测方法，其特征在于：步骤S3中获得合理的正常用户行为模式包括如下步骤：

S31：将步骤S2中挖掘得到的用户正常行为模式集合及群组正常用户行为模式库进行人工判断，

S32：保存步骤S31中人工判断后合理的模型，设置自动执行的任务，定期使用历史数据对该模型进行训练、重复执行S1至S6，在线更新正常/异常规则集，其中规则集是所述用户正常行为模式集合和所述群组正常用户行为模式库。

5.如权利要求1所述的异常行为检测方法，其特征在于：所述数据分组是指将原始数据分别按照用户名、用户所在群组名进行分组。

6.如权利要求1所述的异常行为检测方法，其特征在于：步骤S211中构建FP树，又进一步包括：

S2111：扫描用户行为原始数据库，获得每个项p出现的概率和关联的项集；

S2112：创建FP树根结点；

S2113：从FP树中挖掘频繁项。

7.如权利要求1所述的异常行为检测方法，其特征在于：步骤S5中概率可通过如下公式计算：

其中，i代表用户行为元素，k代表发生次数。

8.如权利要求1所述的异常行为检测方法，其特征在于：实现用户行为序列模型库的步骤S4进一步可包括如下过程：

S41：定义初始的模版距离矩阵；

S42：对历史数据中任两条模版时间序列进行距离计算；当距离在规定阈值内时，则以两条模版时间序列的公共部分作为用户行为序列模版，增添到用户行为序列模版库中；

S43：重复S42过程直到模版库中的模版数量收敛；

S44：统计当前的用户行为序列模版并定期更新维护。