[发明专利]一种基于FP-growth算法异常行为检测方法及应用该方法的模型

说明书

本发明提供了一种基于FP‑growth算法异常行为检测方法及应用该方法的模型，所述异常行为检测模型包括基于FP‑growth的用户正常行为模式挖掘模型、基于动态时间规划的用户行为序列模型、异常概率计算模型；将基于FP‑growth的用户正常行为模式挖掘模型、基于动态时间规划的用户行为序列模型结合，实现用户正常行为模式挖掘，将用户当前操作与获得的正常行为模式库和用户行为序列模型库进行比对，得到双重校验，提高判断的准确性；同时根据基于泊松分布的发生次数异常概率计算模型计算当前用户行为组合的异常总分值，实现多维度对用户行为进行分析。

技术领域

本发明涉及一种检测模型，尤其是涉及一种基于FP-growth算法异常行为检测方法及应用该方法的模型。

背景技术

现有技术中主要是通过统计学方法和聚类方法实现检测，第一种通过统计学方法检测，偏离训练集统计分布的任何东西都被认为是异常。比如在控制图模型中计算出训练集每个特性的平均值和标准偏差，然后围绕平均值定义出阈值：k*标准偏差(k为通常在1.5到3.0之间的任意系数，取决于既定的算法保守程度)。在应用时，正向或负向超出阈值的点就是异常事件的可疑备选。第二种是通过聚类方法，算法在训练集上创建一些群集，应用时计算当前数据点和群集间的距离。如果距离高于给定阈值，该数据点即为异常事件的可疑备选。根据距离衡量方法和聚合规则，人们设计出了不同的聚合算法，创建了各种群集。

传统的异常行为检测算法的实现过程大多是离线的，它需要人工根据纯经验设置规则集，或者静态使用大量的历史数据进行数据建模，即定期将历史数据输入算法模型，经过运算后产生正常/异常的规则集。

不论是统计学方法还是聚类方法，模型都是相对固定的：用固定训练集算出平均值和标准偏差或群集，然后计算距离。上述的方法不适用于实际生产过程中快速异常反馈的需求，因为生产过程中为了提高准确度，降低误报率，需要极其频繁地更新数据模型，这是传统算法无法胜任的。而且传统基于数理统计的方法仅能从单一维度上对用户行为进行分析，无法较好的捕捉复杂的用户组合行为特征，导致检测结果不够智能。

发明内容

为了克服现有技术中目前检测算法存在的缺陷和不足，本发明提供了一种基于FP-growth 算法异常行为检测方法，从两个维度分别挖掘可定期更新的正常行为模式库以及用户行为序列模型库，将用户当前行为集合与获得的正常行为模式库和用户行为序列模型库进行比对，得到双重校验，提高判断的准确性；根据上述比对结果判断用户当前行为是否异常，若判断结果为异常情况，则计算当前用户行为集合的异常总分值。

本发明另外提供了一种基于FP-growth算法异常行为检测模型，所述异常行为检测模型包括基于FP-growth的用户正常行为模式挖掘模型、基于动态时间规划的用户行为序列模型、异常概率计算模型；将基于FP-growth的用户正常行为模式挖掘模型、基于动态时间规划的用户行为序列模型结合，实现用户正常行为模式挖掘，将用户当前操作与获得的正常行为模式库和用户行为序列模型库进行比对，得到双重校验，提高判断的准确性；同时根据基于泊松分布的发生次数异常概率计算模型计算当前用户行为组合的异常总分值，异常分值越高则说明该时刻的该用户行为异常程度越高，值得相关人员高优先级的关注。

对用户的组合行为进行分析，能在线高频运算更新正常/异常规则集，解决了传统算法中数据模型固定的问题。同时本发明在FP-growth算法挖掘频繁项集(即支持度大于等于人工预设阈值的操作行为集合)完成后结合数理统计方法和动态时间规划算法来进行多维度的分析，解决了传统算法中仅能从单一维度上对用户行为进行分析的问题。其中，实现用户正常行为模式挖掘以及异常行为检测包括以下步骤：

S1：历史数据的清洗及分组；

S2：挖掘用户正常行为模式；具体如下，

S21：基于FP-growth的用户正常行为模式挖掘，获得正常行为模式库，其中所述正常行为模式库包括用户正常行为模式集合和群组正常行为模式库，其中，正常行为模式挖掘包括：