[发明专利]一种异常行为检测方法及装置

权利要求书

1.一种异常行为检测方法，其特征在于，包括：

基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；

基于所述第一训练样本集生成基模型；

基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；

利用所述第二训练样本集更新所述基模型；

使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

2.根据权利要求1所述的方法，其特征在于，利用所述第二训练样本集更新所述基模型，包括：

在所述基模型中选取N棵决策树为目标决策树，其中，1≤N≤M，所述M为所述基模型中决策树的总棵数；

利用所述第二训练样本集重新训练所述目标决策树。

3.根据权利要求2所述的方法，其特征在于，利用所述第二训练样本集重新训练所述目标决策树，包括：

针对每一棵所述目标决策树均执行：维持所述目标决策树的前T层不变，利用所述第二训练样本集从所述目标决策树的T+1层开始重新训练所述目标决策树，其中，所述T≥1。

4.根据权利要求2所述的方法，其特征在于，利用所述第二训练样本集重新训练所述目标决策树，包括：

针对每一棵所述目标决策树均执行：根据所述目标决策树的各参数的当前值，确定各所述参数对应的取值范围；利用所述第二训练样本集，依据各所述参数对应的取值范围重新训练所述目标决策树。

5.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若N＜M，则维持所述基模型中的其余M-N棵决策树不变。

6.根据权利要求2所述的方法，其特征在于，所述N棵决策树不包括在所述基模型的前K棵决策树中，其中，K≥1。

7.根据权利要求1-6中任一所述的方法，其特征在于，所述指定业务至少为如下中的任意一种：网页机器行为检测和洗钱行为检测。

8.一种异常行为检测装置，其特征在于，包括：

第一获取单元，用于基于指定业务的第一数据源获取第一训练样本集，其中，所述第一训练样本集中的各第一训练样本均具有其各自的标签，所述标签用于标识对应的第一训练样本是对应异常行为的正样本还是对应正常行为的负样本；

生成单元，用于基于所述第一训练样本集生成基模型；

第二获取单元，用于基于所述指定业务的第二数据源获取第二训练样本集，其中，所述第二训练样本集中的各第二训练样本均具有其各自的标签，所述标签用于标识对应的第二训练样本是对应异常行为的正样本还是对应正常行为的负样本；

更新单元，用于利用所述第二训练样本集更新所述基模型；

检测单元，用于使用更新后的基模型对与所述第二数据源相应的待检测数据进行异常行为检测。

9.一种计算机可读存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行权利要求1至权利要求7中任意一项所述的异常行为检测方法。

10.一种存储管理设备，其特征在于，所述存储管理设备包括：

存储器，用于存储程序；

处理器，耦合至所述存储器，用于运行所述程序以执行权利要求1至权利要求7中任意一项所述的异常行为检测方法。